近日,8087金沙娱场城侦测到大量垃圾邮件攻击事件,攻击者会在垃圾邮件中放入带有宏病毒的文档,其通过使用宏4.0加密来增加分析难度。其宏代码会外联恶意链接后下载dll文件。该dll文件经分析确认为Emotet家族木马。目前8087金沙娱场城新版本病毒码已支持检测,WRS已经可以拦截Emotet木马相关URL。
Emotet是一种计算机恶意软件程序,最初是作为一种银行木马病毒开发的。其目的是访问外部设备并监视敏感的私有数据。其主要通过垃圾电子邮件传播。相应的电子邮件包含恶意链接或受感染的文档。如果点击下载文档或打开链接,则会自动下载恶意软件到计算机上。这些电子邮件看起来非常真实,因此Emotet的受害者众多,如下是典型攻击邮件样例:
√ 8087金沙娱场城病毒码版本17.225.60,云病毒码版本17.225.71,全球码版本17.225.00已经可以检测,请用户及时升级病毒码版本。
√ 8087金沙娱场城WRS已经可以拦截Emotet木马相关URL。
Excel类的Emotet主要使用了宏4.0,不同于以往宏病毒,宏4.0的解析需要拼接单元格中的字符来还原:
样本中存在大量的隐藏sheet,其恶意代码均隐藏其中。
通过解析资源,我们可以到其会调用urldownloadfile外联地址并下载dll文件执行。
Doc类文档会把自身的project进行加密:
打开其vba界面会发现可疑project,并且被加密,以此来保护宏代码:
经过破解得到其project代码主要是在关闭文档时执行释放的bat文件:
Bat文件经过base64加密混淆:
经解密后发现bat其行为是调用powershell外联恶意地址下载dll后执行,下载的dll均经过随机字符串命名。
最终执行样本名为随机,besta.ocx为初始名称,其由宏病毒母体释放,之后以参数44531.6803328704通过rundll32运行,运行后,经过数分钟延时,再次以子进程重新执行自身C:\Windows\SysWOW64\besta.ocx。延时后,释放代码,代码经过加密处理,对所有api及参数进行加密保护,形如以下代码:
释放的代码为新的dll:
在联网的情况下,释放自身文件到以下目录的随机路径:
C:\Windows\SysWOW64\Afarrpbjz\ykunaogriwtv.vkj
延迟后,第三次以子进程重新执行自身:
C:\Windows\SysWOW64\rundll32.exe "C:\Windows\SysWOW64\Afarrpbjz\ykunaogriwtv.vkj",Psgip
之后第四次执行自身:
C:\Windows\SysWOW64\rundll32.exe "C:\Windows\SysWOW64\Afarrpbjz\ykunaogriwtv.vkj",Control_RunDLL
Dll经过多次运行后会释放到C:\Windows\System32\Hhhxkyjbrspraj\[random],实际还是文件自身:
在这一次中,开始执行后门功能:
① 执行C:\Windows\system32\ipconfig /renew刷新ip后开始尝试连接下列服务器:
② 流量使用https(8080端口),内容经过bcypt加密:
③ 当服务器连接成功后,上报本机信息,接收指令,开始后门C&C。
√ 不要点击来源不明的邮件以及附件;
√ 不要点击来源不明的邮件中包含的链接;
√ 不要随意点击来历不明的office文档,将Office默认设置“受保护的视图”;
√ 打开系统自动更新,并检测更新进行安装;
√ 请到正规网站或者应用商店下载程序;
√ 采用高强度的密码,避免使用弱口令密码,并定期更换密码;
√ 尽量关闭不必要的端口;
√ 尽量关闭不必要的网络共享;
URL
hxxps[:]//thetrendskill[.]com/wp-content
hxxp[:]//alittlebrave[.]com/wp-content
hxxps[:]//www[.]pasionportufuturo[.]pe
hxxp[:]//sp[.]mongoso[.]com/wp-content
hxxp[:]//prabin[.]me/content
hxxps[:]//zbc[.]vn/wp-admin
hxxp[:]//www[.]thebanditproject[.]com/wp-content
hxxp[:]//sterileinstrument[.]com/sterilematrix_mf
hxxps[:]//www[.]radio-galaxia[.]us
hxxp[:]//gronninggrafisk[.]dk
hxxp[:]//multilifecapsule[.]com
hxxp[:]//sierraendurancesports[.]com