详细内容或原文请订阅后点击阅览
使用 Kusto 追踪 Emotet 活动
介绍 Emotet 不再需要介绍——它是最常见的网络犯罪团伙之一,已经存在很多年了。 2021 年 1 月,欧洲刑警组织和其他执法机构采取了一项破坏行动,彻底取缔了 Emotet。 [1] 事实上,Emotet 恶意活动显着减少……继续阅读使用 Kusto 追踪 Emotet 活动 →
来源:NVISO Labs _恶意软件介绍
Emotet 不再需要介绍——它是最为猖獗的网络犯罪团伙之一,已经存在多年。2021 年 1 月,欧洲刑警组织和其他执法机构采取了一项破坏行动,彻底取缔了 Emotet。[1] 事实上,在取缔事件发生后的几个月里,Emotet 恶意垃圾邮件 (malspam) 和网络钓鱼活动显着减少。
1然而在 2021 年 11 月,Emotet 又回来了 [2],并再次针对全球范围内多个行业的组织。
2从 2022 年 3 月 10 日开始,我们检测到了一场大规模的恶意垃圾邮件活动,该活动通过加密(受密码保护的)ZIP 文件传递 Emotet(和其他有效载荷)。截至 3 月 23 日撰写本博文时,该活动仍在继续,尽管活动的频率似乎有所降低。该活动似乎是由 Emotet 的 Epoch4 和(主要)Epoch5 僵尸网络节点发起的。
在这篇博文中,我们将首先了解特定的 Emotet 活动,并使用 Kusto 查询语言 (KQL) 扩展检测和搜索规则。
Emotet 活动
恶意垃圾邮件活动本身具有以下模式:
- 组织的电子邮件服务器被滥用/入侵以发送初始电子邮件电子邮件具有伪造的显示名称,声称是合法的 电子邮件的主题是回复“RE:”或转发“FW:”,并包含收件人的电子邮件地址 电子邮件正文仅包含几个句子和打开附件的密码 附件是一个加密的 ZIP 文件,可能是为了逃避检测,其中包含启用宏的 Excel 文档 (.XLSM) Excel 将依次下载 Emotet 有效负载 最后,Emotet 可能会下载下一阶段之一(例如 CobaltStrike、SystemBC 或其他恶意软件)