2022年Emotet的所有你需要知道的

6个月来，臭名昭著的Emotet僵尸网络几乎没有任何活动，现在它正在分发恶意垃圾邮件。让我们深入了解细节，讨论您需要了解的有关臭名昭著的恶意软件的所有信息，以对抗它。

为什么每个人都害怕Emotet？

Emotet是迄今为止最危险的木马之一。随着规模和复杂性的增长，恶意软件成为一个极具破坏性的程序。受害者可以是任何人，从公司到私人用户，都可能受到垃圾邮件活动的影响。

僵尸网络通过包含恶意Excel或Word文档的网络钓鱼进行传播。当用户打开这些文档并启用宏时，Emotet DLL会下载并加载到内存中。

它搜索电子邮件地址，并窃取它们进行垃圾邮件活动。此外，僵尸网络会丢弃额外的有效载荷，例如钴击或其他导致勒索软件的攻击。

Emotet的多态性，以及它包含的许多模块，使得恶意软件难以识别。Emotet团队不断改变其战术、技术和程序，以确保现有的检测规则无法适用。作为其在受感染系统中保持不可见的策略的一部分，恶意软件使用多个步骤下载额外的有效载荷。

Emotet行为的结果对网络安全专家来说是毁灭性的：恶意软件几乎不可能被移除。它传播迅速，生成错误的指标，并根据攻击者的需要进行调整。

这些年来Emotet是如何升级的？

Emotet是一个先进且不断变化的模块化僵尸网络。2014年，该恶意软件作为一个简单的银行木马开始了它的旅程。但从那以后，它获得了一系列不同的功能、模块和活动：

• 2014.转账、邮件垃圾邮件、DDoS和地址簿窃取模块。
• 2015.规避功能。
• 2016.邮件垃圾邮件，RIG 4.0漏洞工具包，其他木马的交付。
• 2017.一个扩展器和地址簿窃取器模块。
• 2021，XLS恶意模板，使用Cobalt Strike丢弃的MSHTA。
• 2022年。一些功能保持不变，但今年也带来了一些更新。

这一趋势证明，尽管经常“休假”，甚至官方关闭，Emotet也不会去任何地方。恶意软件进化很快，可以适应各种情况。

Emotet 2022新版本获得了哪些功能？

经过近半年的休息，Emotet僵尸网络恢复得更加强大。以下是您需要了解的2022年新版本：

• 它删除了模块化银行木马IcedID。
• 该恶意软件加载XMRig，一个窃取钱包数据的矿工。
• 特洛伊木马程序有二进制更改。
• Emotet使用64位代码库绕过检测。
• 新版本使用新命令：

使用随机命名的DLL和导出PluginInit调用rundll32.exe

• Emotet的目标是从Google Chrome和其他浏览器获取证书。
• 它还旨在利用SMB协议收集公司数据
• 和六个月前一样，僵尸网络使用XLS恶意诱饵，但这次采用了新的：

Emotet的Excel诱饵

如何检测情绪？

Emotet的主要挑战是在系统中快速准确地检测到它。除此之外，恶意软件分析师应该了解僵尸网络的行为，以防止未来的攻击并避免可能的损失。

Emotet凭借其漫长的发展历程，加强了反规避策略。通过进程执行链的演变和受感染系统内的恶意软件活动的变化，恶意软件极大地改变了检测技术。

例如，在2018年，可以通过查看流程的名称来检测这位银行家；这是其中之一：

eventswrap，implrandom，turndavatar，soundser，archivesymbol，wabmetagen，msrasteps，secmsi，crsdcard，窄购，smxsel，watchvsgd，mfidlisvc，searchatsd，lpiograd，noticesman，appxmware，sansidaho

后来，在2020年第一季度，Emotet开始在注册表中创建特定的密钥-它将长度为8个符号（字母和字符）的密钥HKEY_CURRENT_USER\SOFTWARE\MMICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER值写入到注册表中。

当然，Suricata规则总是识别这种恶意软件，但检测系统通常会在第一波之后继续，因为规则需要更新。

检测这位银行家的另一种方法是其恶意文件——骗子使用特定的模板和诱饵，即使其中有语法错误。检测情绪的最可靠方法之一是YARA规则。

克服恶意软件的反规避技术并捕获僵尸网络；使用恶意软件沙盒作为实现这一目标的最方便的工具。在ANY.RUN中，您不仅可以检测、监视和分析恶意对象，还可以从示例中获取已提取的配置。

有一些功能可用于情绪分析：

• 显示恶意样本与FakeNet的C2链接
• 使用Suricata和YARA规则集成功识别僵尸网络
• 获取从样本的内存转储中提取的有关C2服务器、密钥和字符串的数据
• 收集新的恶意软件的IOC

该工具有助于快速准确地执行成功的调查，因此恶意软件分析师可以节省宝贵的时间。

ANY.RUN沙盒为 Black Friday 2022! 现在是加强恶意软件分析并节省资金的最佳时机！查看他们的高级计划的特别优惠，但时间有限；2022年11月22日至29日。

Emotet尚未展示完整的功能和一致的后续有效载荷交付。使用ANY.RUN在线恶意软件沙盒等现代工具来提高您的网络安全性并有效检测此僵尸网络。保持安全和良好的威胁狩猎！