針對同時通過惡意郵件傳播的Emotet和Trickbot的分析

新聞 07-21

概述

Emotet和Trickbot是針對Windows系統進行敏感信息竊取的惡意軟體，它們普遍竊取的是銀行相關的信息。這兩個惡意軟體通常情況下會通過不同的惡意垃圾郵件活動實現分發，但最近我們發現，有時在單個感染鏈中同時發現這兩種類型的惡意軟體。這種Emotet和Trickbot的組合，無疑使得易受攻擊的Windows主機遭受更大的風險。

隨著時間推移，在2018年，Trickbot惡意軟體仍然會通過其自身的惡意郵件活動實現傳播，但我們卻在Emotet的分發過程中找到Trickbot樣本。目前，大多數關於Emotet和Trickbot的分析文章都只關注其中一種惡意軟體的特徵，而這些分析幾乎都無法描繪出完成的感染鏈全貌。

本文主要對目前Emotet的狀況進行分析，並重點研究包含Trickbot的Emotet感染通信。

共同點

儘管Emotet和Trickbot是兩個不同系列的惡意軟體，但它們還是有著一些相似之處。首先，兩者都是信息竊取類的惡意軟體，可以通過惡意郵件或蠕蟲的方式進行傳播，同時也可以包含載入其他功能的模塊。在過去一年左右的時間，二者都是通過惡意郵件，使用郵件中附帶的Microsoft Word文檔作為初始感染載體來實現傳播。

Emotet

Emotet在2014年夏季被首次發現，最開始它屬於銀行惡意軟體，但後來不斷發展具有了其他用途。到2017年，多方研究證明Emotet已經開始被用作其他惡意軟體的載入器（例如惡意軟體Dridex）。同時，當時有研究者聲稱Emotet正在用於載入Trickbot，因此我們所分析的感染鏈在此前就曾經有過先例。

在2018年，Emotet通常會被用於載入IcedID銀行木馬或Zeus Panda銀行木馬。在2018年6月，我們發現Emotet將Trickbot作為其後續惡意軟體的實際樣本。此外，我們還發現存在將Spambot惡意軟體作為其後續惡意軟體的樣例，受感染的Windows主機會發出更多的惡意郵件。

根據目前的分析成果，Emotet的初始感染方式還僅限於Word文檔中的惡意宏。默認情況下，Microsoft Office中的宏是被禁用的。如果用戶忽略Office的安全警告，在易受攻擊的Windows主機上啟用宏，那麼惡意Word文檔就會啟動感染鏈，主機將遭受威脅。這些宏的作用是：從受感染的伺服器上檢索Emotet惡意軟體，並感染計算機。

經過對惡意郵件的分析，我們發現Emotet使用了兩種方法來誘導用戶點擊Word文檔：

2、Word文檔以附件的形式直接添加到郵件中，郵件正文不包含任何鏈接。

Trickbot

Trickbot最早出現在2016年秋季，被認為是另一個憑據竊取惡意軟體Dyreza的接班人。Trickbot是一個模塊化的惡意軟體，具有垃圾郵件發送等附加功能。其最顯著的功能就是橫向移動。截至2017年7月，Trickbot添加了一個基於SMB的蠕蟲傳播模塊，但其中沒有包含漏洞利用工具。

2018年6月，我在malware-traffic-analysis.net網站上發布了有關SMB傳播的Trickbot感染流量樣本，其中表明Trickbot會從受感染的Windows客戶端遷移到易受攻擊的活動目錄域（AD域）控制器。在這裡，SMB上的Trickbot橫向移動過程與2017年5月的WannaCry永恆之藍在方法上有明顯的不同，因此可以認定，這種SMB傳播方式是由Trickbot作者開發的不同方式。

Trickbot通常具有其自身的惡意郵件分發渠道，但是現在Trickbot攻擊者也在藉助Emotet實現感染。

Emotet的分發

從2018年6月11日（周一）開始，在一周之內，我們監測到大量以美國國稅局為標題的惡意郵件被發送給位於美國的郵箱用戶，郵件中包含惡意軟體Emotet。「美國國稅局」並不是該惡意郵件所使用的唯一標題，但卻是最為常用的一個標題。在2018年7月4日前後，我們還監測到以「獨立日」為標題的惡意郵件，同樣也用來分發Emotet。

以下是自2018年6月11日以來，我們監測到的用於分發Emotet的惡意郵件發件人和標題的一些示例。

發件人：

From: [various spoofed sender names and email addresses]

From: Internal Revenue Service

From: Internal Revenue Service Online

From: Internal Revenue Service Online Center

From: IRS

From: IRS Online Center

From: IRS.gov

From: Intuit

From: Intuit Online Payroll Support Team

From: Intuit Payroll

From: Intuit Payroll Services

郵件標題：

Subject: 4th of July congratulation

Subject: 4th of July eCard

Subject: 4th of July Greeting eCard

Subject: Happy 4th of July Greeting Message

Subject: Record of Account Transcript from June 14, 2018

Subject: Tax Account Transcript from June 14, 2018

Subject: The Fourth of July wishes

Subject: Verification of Non-filing Letter

Subject: Verification of Non-filing Letter from 06/15/2018

Subject: Wage and Income Transcript

Subject: 0335363294

Subject: 2142 Payroll Summary

Subject: 3291 Payroll Summary

Subject: ACCOUNT#94895547-Milan Marsic

Subject: Engr. Abdul Rauf Invoice 8288592

Subject: Invoice 897614 from Patrick Bingham

Subject: Invoices Overdue

Subject: IRS Record of Account Transcript

Subject: IRS Record of Account Transcript from 06/14/2018

Subject: IRS Record of Account Transcript from 06/15/2018

Subject: IRS Record of Account Transcript from June 14, 2018

Subject: IRS Record of Account Transcript from June 15, 2018

Subject: IRS Tax Return Transcript from 06/12/2018

Subject: IRS Tax Return Transcript from June 11, 2018

Subject: IRS Tax Account Transcript

Subject: IRS Tax Account Transcript from 06/15/2018

Subject: IRS Tax Account Transcript from June 15, 2018

Subject: IRS Tax Return Transcript

Subject: IRS Verification of Non-filing Letter

Subject: IRS Verification of Non-filing Letter from 06/11/2018

Subject: IRS Verification of Non-filing Letter from 06/12/2018

Subject: IRS Verification of Non-filing Letter from June 11, 2018

Subject: IRS Verification of Non-filing Letter from June 14, 2018

Subject: IRS Wage and Income Transcript

Subject: IRS Wage and Income Transcript from 06/14/2018

Subject: IRS Wage and Income Transcript from June 11, 2018

Subject: IRS Wage and Income Transcript from June 15, 2018

Subject: New Invoice / WM2708 / RP# 09648

Subject: New Payroll Co.

Subject: NYPXV7-16497063849

Subject: Pay Invoice

Subject: Payment

Subject: Payroll Tax Payment

Subject: Scott Crowe The 4th of July Greeting eCard

其中，每一封電子郵件都包含Word文檔附件，或者正文中包含下載Word文檔的鏈接。

通過郵件中的鏈接誘導用戶下載Emotet惡意Word文檔：

通過郵件附件誘導用戶下載Emotet惡意Word文檔：

Emotet活動從2018年5月起開始頻繁

Autofocus統計了在過去的一年中Emotet惡意郵件的增長趨勢，從2018年5月開始，Emotet Word文檔的點擊量急劇增加。以下是通過鏈接或附件兩種方式被誘導打開Emotet惡意Word文檔的圖表。其中的「Links」對應通過URL請求下載Emotet Word文檔的次數，其中的「Attachments」對應監測到的以附件方式傳播的電子郵件數量。

2017年5月至2018年5月之間，Emotet Word文檔的點擊率：

2018年5月，Emotet Word文檔的點擊數：

AD域中的Emotet感染

我在2018年6月15日，在malware-traffic-analysis.net發布的博客文章中提供了一個Emotet惡意郵件的感染示例。我們的分析過程是在Active Directory環境中完成的，域控所使用的操作系統為未打補丁的Windows Server 2008 R2，Windows客戶端所使用的操作系統為未打補丁的Windows 7 Professional Service Pack 1。

AD域環境中，成功的Emotet+Trickbot感染鏈：