详细内容或原文请订阅后点击阅览
Emotet 恶意文档中的新混淆技术
摘要 Emotet 是一个模块化恶意软件交付平台,在过去几年中一直主导着商品恶意软件威胁领域。它从一个简单的银行木马演变为一个成熟的恶意软件分发服务,为其他威胁行为者团体提供各种有效载荷。美国国土安全部表示,Emotet 感染……阅读
来源:Security Soup _恶意软件分析摘要
Emotet 是一个模块化恶意软件交付平台,在过去几年中一直主导着商品恶意软件威胁领域。它已经从一个简单的银行木马演变为一个成熟的恶意软件分发服务,为其他威胁行为者团体提供各种有效载荷。美国国土安全部表示,Emotet 感染使州和地方政府花费高达 100 万美元来补救。Emotet 由被称为 Mummy Spider 的威胁组织运营。
Emotet 声明 Mummy Spider20 年 1 月 23 日星期四,我分析了一份来自垃圾邮件活动的文档,其中包含一些我以前从未见过的有趣的新混淆技术。这些技术很可能是为了绕过 AV 引擎和/或垃圾邮件过滤器的检测而设计的。Emotet 通常通过启用宏的 Word 文档在网络钓鱼活动中传递。新的混淆包括对文档结构的一些根本性更改(例如,用户表单、模块和对象的新变体),以及 VBA 宏代码本身内显著升级的混淆方案。
VBA在这种情况下,整体感染链基本保持不变:打开一个被宏武器化的恶意 Word 文档,这将调用 WMI 进程调用,从而生成 PowerShell 脚本。该脚本尝试从五个 URL 资源下载核心二进制文件。
在 Emotet 样本中,观察战术演变相当常见,特别是在 Mummy Spider 长时间休息之后。这里的时间安排有些可预测,因为该组织刚刚在 1 月 14 日恢复了垃圾邮件行动,此前他们在美国和俄罗斯度过了圣诞节假期。
俄罗斯 恶意文档 之前 我看过了 SANS 日记文档结构和隐藏代码
我们将要查看的样本是 1 月 23 日的新鲜样本。我从 VirusTotal 中拉取了一个样本:
VirusTotal