Emotet的重生：僵尸网络的新特性及检测方法

最危险、最臭名昭著的威胁之一又回来了。今年2021年1月，全球官员收缴了僵尸网络。执法部门向Emotet的可执行文件发送了破坏性更新。这看起来就像特洛伊木马故事的结尾。

但恶意软件从未停止过令人惊讶的行为。

2021年11月，据报道，TooButt不再单独工作，并交付Emotet。什么都可以。RUN with业内同事是最先注意到Emotet恶意文档出现的人之一。

第一个Emotet恶意文件

今年2月，我们可以看到一股非常活跃的浪潮，骗子们发起了无数次攻击，在排名中名列前茅。如果你对这个话题感兴趣或者对恶意软件感兴趣，你可以利用任何一个网站的特别帮助。RUN，用于检测和分析网络威胁的交互式沙盒。

让我们看看这次这个破坏性恶意软件带来的新版本的变化。

Emotet历史

Emotet是一个复杂的、不断变化的模块化僵尸网络。2014年，该恶意软件只是一个微不足道的银行特洛伊木马。此后，它获得了不同的功能、模块和活动：

• 2014.转账、垃圾邮件、DDoS和地址簿盗窃模块。
• 2015.规避功能。
• 2016.邮件垃圾邮件、RIG 4.0漏洞工具包、其他特洛伊木马的交付。
• 2017年，一个扩展器和地址簿窃取器模块。

多态性和众多模块允许Emotet避免被检测。恶意软件背后的团队不断改变其策略、技术和程序，使现有的检测规则变得无用。它通过许多步骤下载额外的有效载荷，以留在受感染的系统中。它的行为使恶意软件几乎无法摆脱。它传播速度快，生成错误的指示器，并适应攻击者的需要。

2021年11月14日，Emotet以新版本重生。

为什么Emotet会重生？

纵观Emotet的历史，它有过几次中断。但是在2021年1月的全球警察行动之后，我们准备好了它将永远消失。联合执法部门逮捕了几名帮派成员，接管了服务器，并销毁了备份。

尽管如此，僵尸网络恢复得更加强大。它擅长规避技术，并使用多种方法破坏网络，使其变得像过去一样危险。

据跟踪，Trickbot试图将动态链接库（DLL）下载到系统中。后来，研究人员证实了这一事实。

在2021复出后，Emotet领先3的上传在任何一个。运行沙箱。即使经过这么长时间的休息，它仍然很受欢迎。所有关于Emotet趋势的统计数据都可以在恶意软件趋势跟踪程序中找到，这些数据基于公众提交的数据。

上周上传的顶级恶意软件

难怪现在它的运营已经恢复正常。RUN的数据库几乎3000每周都有恶意样本。很明显，你需要随时为这种攻击做好准备。

Emotet获得了哪些新功能？

特洛伊木马已经对任何公司构成严重威胁。了解所有恶意软件更新有助于避免此类威胁并保持谨慎。让我们来研究一下新版本带来了什么功能，以及它与以前版本的区别。

模板

Emotet活动以包含恶意Office文档（武器化的Microsoft Office文档）的恶意垃圾邮件或附加到钓鱼电子邮件的超链接开始，钓鱼电子邮件广泛传播，诱使受害者打开恶意附件。武器化的Microsoft Office文档有一个VBA代码和用于执行的AutoOpen宏。Emotet组诱使受害者启用宏，这是发起攻击所需的唯一用户交互。这种用户交互允许绕过沙盒测试和验证。

Emotet使用通常由Office文档组成的恶意电子邮件活动进行分发。恶意软件通过其恶意文件的模板变得非常有创意。僵尸网络不断地改变它们：它模仿程序的更新、消息和文件。内容嵌入了模糊的VBA宏，并生成了不同的执行链。恶意软件背后的作者诱使用户启用宏来启动攻击。

新版本也有一个转折点。2020年夏天，Emotet使用了带有Office 365消息的文档。图像保持不变，但已切换为XLS格式。此外，在这个新版本中，第一次使用十六进制和八进制格式来表示从中下载第二阶段的IP地址。后来的一项技术再次被改变，crooks不使用十六进制编码的IP来下载有效负载。

2月份的Emotet模板

新技术

Emotet通过获得新技术，不断提高作为多态生物的门槛。最新的恶意软件版本在策略上做了一些小改动：它再次利用MSHTA。一般来说，Macro 4.0利用Excel运行CMD、Wscript或Powershell，这会启动另一个进程，如MSHTA或上面提到的一个进程，该进程下载主有效负载并通过rundll32运行。

僵尸网络热衷于屏蔽恶意字符串和内容，比如URL、IP、命令，甚至外壳代码。但有时，您可以从文件的脚本中获取URL和IP的列表。你可以在任何地方找到它。RUN的静态发现–；试试看！

来自Emotet伪PNG文件的URL列表

同伴

我们知道，Emotet通常会丢弃其他恶意软件，以加剧感染。去年11月，人们发现僵尸网络在受损主机上传播了Trickbot banking特洛伊木马。

目前，我们可以注意到Emotet与Cobalt Strike一起工作。它是渗透测试人员和罪犯使用的C2框架。在这种情况下，钴打击意味着最初感染和勒索软件攻击之间的时间大大缩短。

来自Emotet感染的钴击IOC列表

过程树

执行链也得到了一些修改。在大多数情况下，我们可以注意到CMD子进程、PowerShell和Rundll32，各种示例证明作者更喜欢混合进程，不断改变它们的顺序。它背后的主要目标是避免被规则集检测到，这些规则集通过应用程序的子进程识别威胁。

Emotet进程树

命令行

Emotet很久以前就从EXE文件切换到了DLL，所以主负载在RundL32下运行。Powershell和CMD的大量使用保持不变：

Emotet命令行

如何检测并防止Emotet？

如果你需要一种快速便捷的方式来获取Emotet样本的完整信息–；使用现代工具。任何RUN interactive sandbox允许实时监控流程，并立即接收所有必要的数据。

Suricata规则集成功识别不同的恶意程序，包括Emotet。此外，利用假网功能可以揭露C2链接的恶意样本。该功能还有助于收集恶意软件的IOC。

Emotet样本来来往往，很难跟上它们。因此，我们建议您查看每天在我们的公开提交中更新的新样品。

事实证明，Emotet是野生环境中最危险的网络威胁之一。该恶意软件改进了其功能，并能逃避检测。这就是为什么像任何工具一样依赖有效工具至关重要的原因。