详细内容或原文请订阅后点击阅览
快速帖子:使用 VBA 下载器中的“Do While”循环分析恶意文档
摘要 Emotet 是一个模块化恶意软件交付平台,在过去几年中一直主导着商品恶意软件威胁领域。它已经从一个简单的银行木马演变为一个成熟的恶意软件分发服务,为其他威胁行为者团体提供各种有效载荷。美国国土安全部表示…阅读
来源:Security Soup _恶意软件分析摘要
Emotet 是一个模块化恶意软件交付平台,在过去几年中一直主导着商品恶意软件威胁领域。它已经从一个简单的银行木马演变为一个成熟的恶意软件分发服务,为其他威胁行为者团体提供各种有效载荷。美国国土安全部表示,Emotet 感染使州和地方政府花费高达 100 万美元来补救。Emotet 由被称为 Mummy Spider 的威胁组织运营。
状态 Mummy Spider2019 年 12 月 6 日星期五,我看到了一个新的垃圾邮件活动,其中包括 Emotet 的一些异常行为。在这种情况下,主要进程执行仍然非常典型:打开一个用宏武器化的恶意 Word 文档,这会调用 WMI 进程调用,从而生成 PowerhShell 脚本。该脚本尝试从五个 URL 资源中下载核心二进制文件。
与此活动相关的 Emotet 变体的一个有趣的新功能是在包装 WMI 调用和 PowerShell 进程的 VBA 宏代码中包含一个“Do While”循环。本质上,此循环增加了宏代码无限生成 PowerShell 进程的能力。正如您所预料的那样,这可能会在某些检测平台上引发大量警报。
我之前没有见过这个特定的功能,而且由于这可能会导致一些混乱的检测,我想我会查看文档并执行一些基本的静态恶意软件分析。我们开始吧!
Word DOC 以及 VBA 代码的隐藏方式
我们将要查看的样本来自 12 月 6 日。
- SHA256:82d8447c9a16697893b2b2f973def8ec7f3052051fa7511592494d4455ab83da