新年大禮包 | 新型Emotet變種重現江湖
近期,安全廠商Minerva發現了新型的Emotet變種活動,而這種以「聖誕快樂」(Emotet Grinch)為主題的Emotet變種正在醞釀新年裡的第一波攻擊。
目前,網路犯罪分子正在積極利用新型的Emotet變種來進行瘋狂攻擊,而這種Emotet變種能夠穩定繞過目標系統中某些基本的安全控制措施。Minerva將這種新型的Emotet變種稱之為「Emotet Grinch」,跟很多基於惡意郵件的感染過程類似,Emotet攻擊者主要通過惡意郵件來實現感染,而郵件中則包含一個指向惡意文檔「Your Holidays eCard.doc」的鏈接地址。當然了,這個文檔將會引誘目標用戶啟用嵌入在其中的惡意宏:
接下來的攻擊步驟跟之前的Emotet活動類似:惡意宏會利用下列字元串作為參數並執行cmd.exe:
腳本中包含了一些用於實現混淆處理的代碼,用於在多個變數中隱藏字元串「powershell」,攻擊者對其進行了編譯並會在攻擊的下個階段中執行這部分惡意代碼。簡而言之,這是一個無文件型的PowerShell Payload。在之前的Emotet攻擊活動中,Payload代碼中最開始是一段經過混淆處理的Invoke-Expression函數調用,後面跟著一個經過混淆處理的字元串,分析後我們發現這又是另一個惡意PowerShell腳本:
環境變數「comspec」中包含了指向cmd.exe的路徑地址,並會通過字元串「iex」來調用Invoke-Expression:
跟之前的Emotet攻擊不同的是,Emotet Grinch選擇使用三重Invoke-Expression層來包裝它的「禮物」。每一層都會調用一行命令來對字元串「iex」進行拆解。第一層使用了「MaximumDriveCount」:
第二層使用了「$Shellid」變數:
第三層使用了「$VerbosePreference」:
這種混淆技術還結合了字元串替換技術(例如使用字母「C」替換字元串「garBaGe」),這樣就可以繞過一些常見的靜態檢測以及安全產品了,因為檢測工具很難「突破」多個層最終掃描到其惡意功能。
反混淆完成之後,下圖所示的腳本代碼將會在目標用戶的主機系統中執行:
在PowerShell腳本的初始階段,它會從硬編碼列表中的五個域名下載Emotet可執行Payload,並隨機執行。
需要注意的是,跟之前的Emotet可執行Payload不同,廣大用戶可以使用Minerva自製的Emotet免疫程序來避免感染Emotet變種:
總結
如果用戶不幸感染了本文所介紹的Emotet Grinch,大家可以使用Minerva的惡意文檔防禦模塊來在Emotet攻擊的第一階段切斷感染鏈。
入侵威脅指標IoC
惡意文檔的SHA256:
負責託管可執行Payload的URL地址:
如需獲取更多URL地址,可參考Pastebin的這份文檔:【傳送門】。
負責託管惡意文檔的URL地址:
* 參考來源:minerva,FB小編Alpha_h4ck編譯,轉載請註明來自FreeBuf.COM
TAG:FreeBuf |