Emotet銀行木馬防不勝防，小心感染 ！

     近日，武漢高防安全團隊檢測到Emotet銀行木馬針對國內企業的攻擊活動呈活躍趨勢，會竊取受害主機上的outlook信息，再偽裝釣魚郵件不定時發送到受害者通訊錄；Emotet使用失陷站點作為惡意PE的下載鏈接，下載執行后惡意PE又連接到指定的C&C地址。

     Emotet銀行木馬是于2014年首次發現的銀行木馬，慣用手法是通過垃圾郵件傳播惡意腳本、惡意鏈接或惡意宏文檔，當用戶點擊后會自動下載執行Emotet的惡意程序，竊取受害主機信息發送到C&C服務器，并從服務器接收加密功能模塊。Emotet的攻擊，多使用靈活的載荷進行傳播，例如高度混淆的宏代碼、頻繁更新的失陷站點和C&C地址、通信內容均經過加密等，使得分析和追蹤檢測的難度增大。

     攻擊流程

     惡意功能分析

     釣魚郵件及文檔

     Emotet所使用的釣魚郵件通常偽裝為行業相關的回復郵件，或直接轉發受害者的郵件內容：

     郵件中附帶一個doc文檔，是包含惡意宏代碼的病毒文檔，沒有實質內容，只提醒用戶點擊“啟用宏”按鈕，一旦啟用，便自動執行惡意宏代碼，下載執行Emotet的惡意EXE文件：

     宏代碼通常做過混淆，調試提取變量，可以發現執行了一段base64編碼的powershell命令：

     解碼反混淆后得到URL列表，是失陷站點用于惡意PE文件的下載的鏈接，鏈接失活很快，會不斷更新，使得威脅情報攔截較為困難：

     http://vidriodecoracion.com/wp-admin/MIH/

     http://vanbrast.com/bleech/fR/

     http://varivoda.com/cgi-bin/897/

     http://wakan-tanka.org/Kleinteile/E/

     https://www.webhost4christ.org/LAMB/D/

     http://white-on-rice.com/Logos/U/

     http://zahnarzt-flensburg.com/cgi-bin/L8/

     惡意EXE文件

     1、樣本母體采用白文件嵌入的方式，利用不同的正常MFC程序插入惡意payload，增加檢測難度，通過CreateDialogIndirectParam函數創建一個無模式對話框，將惡意功能函數設置為對話框過程進行調用：

     2、樣本執行采用多層payload解密，申請內存空間后從自身讀取資源進行解密，最后跳轉執行：

     3、進行檢測自身文件屬性、判斷操作系統位數等前置操作，為后續執行作鋪墊：

     4、遍歷system32目錄是否有復制母體：

     5、遍歷進程找到當前進程，通過API獲取進程映像文件路徑：

     6、創建線程，監控母體文件所在路徑的變化，此處設置參數表示“監視該目錄的名稱改變”：

     7、采集主機信息，具體包括主機用戶名、磁盤卷序列號、系統版本、系統位數、當前運行的進程列表等信息：

     8、對獲取的信息進行加密處理：

     9、連接C&C服務器的地址，發送加密的主機信息

     10、啟用多線程，每個線程都訪問不同的C&C服務器IP地址：

     提取出來的C&C地址有：

     216.10.40.16

     91.121.54.71

     209.236.123.42

     77.55.211.77

     85.105.140.135

     138.97.60.141

     217.13.106.14

     190.2.31.172

     50.121.220.50

     111.67.12.221

     177.73.0.98

     加固建議

     1. 避免打開來歷不明的郵件、鏈接和網址附件等，收到可疑郵件時注意對比發件方郵箱地址是否屬實；

     2. 盡量不要在非官方渠道下載非正版的應用軟件，發現文件類型與圖標不相符時應先使用安全軟件對文件進行查殺；

     3. 不隨意開啟文檔文件的宏功能。