Emotet 恶意文档中的新混淆技术

摘要

Emotet 是一个模块化恶意软件交付平台，在过去几年中一直主导着商品恶意软件威胁领域。它已从简单的银行木马发展成为成熟的恶意软件分发服务，为其他威胁行为者团体提供各种有效负载。美国国土安全部表示，州和地方政府因 Emotet 感染的补救费用高达 100 万美元。 Emotet 由被追踪为 Mummy Spider 的威胁组织运营。

表情 状态 蜘蛛妈妈

20 年 1 月 23 日星期四，我分析了一份来自垃圾邮件活动的文档，其中包含一些我以前从未见过的有趣的新混淆技术。这些技术可能旨在绕过反病毒引擎和/或垃圾邮件过滤器的检测。 Emotet 通常通过启用宏的 Word 文档在网络钓鱼活动中传递。新的混淆包括对文档结构的一些根本性更改（例如用户表单、模块和对象的新变体），以及 VBA 宏代码本身内的显着升级的混淆方案。

VBA

在这种情况下，整个感染链几乎保持不变：打开一个使用宏武器化的恶意 Word 文档，该文档会调用 WMI 进程调用，从而生成 PowerShell 脚本。该脚本尝试从五个 URL 资源下载核心二进制文件。

观察战术演变在 Emotet 样本中非常常见，特别是在蜘蛛妈妈长时间休息之后。这里的时间安排在某种程度上是可以预测的，因为该组织在美国和俄罗斯庆祝圣诞节后的典型休息时间刚刚于 1 月 14 日恢复垃圾邮件操作。

俄罗斯 恶意文档 位于 我看过了 SANS 日记

文档结构和隐藏代码

我们将要查看的样本是 1 月 23 日的新鲜样本。我从 VirusTotal 中提取了一个样本：

病毒总数

“蓝色模板”

此处分析

表单无处不在

“Rtuatvmpjx”表单