Emotet的演變：從銀行木馬到網路威脅分銷商

最新 07-30

「用指尖改變世界」

有證據表明，Emotet背後的運營團隊Mealybug已經從維護自己的自定義銀行木馬發展成為了其他組織的惡意軟體的分銷商。

Mealybug是一個網路犯罪組織，自2014年以來一直保持活躍。我們可以通過其使用的自定義惡意軟體Trojan.Emotet來識別它。近幾年來，Mealybug似乎已經改變了其商業模式，從針對歐洲的銀行客戶轉變為了使用其基礎設施為全球其他威脅行為者提供惡意軟體包裝和交付服務。

由於Emotet可以自我傳播，因此它給受害者組織帶來了額外的挑戰。網路蠕蟲已經經歷了一次復興，這裡有一些眾所周知的例子，如WannaCry（Ransom.Wannacry）和Petya/NotPetya（Ransom.Petya）。通過網路傳播還意味著受害者能夠在不點擊惡意鏈接或下載惡意附件的情況下受到感染。一旦降落到受害者組織的設備上，Emotet會下載並執行一個包含一個密碼列表的擴展模塊，用於暴力訪問同一網路上的其他設備。

Emotet的自我傳播以及暴力訪問有可能會給受害者組織帶來更大的麻煩，因為它可能會產生多次失敗的登錄嘗試，進而導致用戶被鎖定在他們的網路賬戶之外。這也產生了對IT服務台的需求增加以及一般生產力下降的連帶反應，而這正是臭名昭著的Conficker蠕蟲（W32.Downadup）的一個代表性標誌，在經歷了十年之後，引起類似問題的始作俑者換成了Emotet。

除了通過暴力訪問之外，Emotet還可以通過在受感染設備上安裝的垃圾電子郵件模塊來傳播到其他設備上去。該模塊生成的電子郵件使用了標準的社會工程技術，其主題通常包含類似於「Invoice」這樣的單詞。一些主題還包含了被泄露的電子郵件賬戶所有者的名字，以使它看起來並不像是垃圾電子郵件。這些電子郵件通常包含惡意鏈接或惡意附件，如果被打開，受害者的設備將會被Trojan.Emotet所感染。

最近，Mealybug似乎已經擴大了其業務，主要成為了其他攻擊組織的惡意軟體分銷商。

當Mealybug於2014年首次被發現時，它正在使用Emotet來傳播銀行木馬，並專註於針對德國的銀行客戶。當時，Mealybug使用Trojan.Emotet作為Cridex銀行木馬的一個修改版本W32.Cridex.B的載入程序組件。在2015年，Mealybug開始瞄準瑞士銀行客戶，並將Emotet升級為更具模塊化的惡意軟體。新版本的Emotet為其載入程序、銀行數據竊取、電子郵件憑證竊取、分散式拒絕服務（DDoS）攻擊和惡意電子垃圾郵件提供了單獨的模塊。

Mealybug主要致力於使用Emotet來交付銀行木馬。在2017年，它成為了第一個交付IcedID（Trojan.IcedID）銀行木馬的組織。同樣在2017年，它還被觀察到交付了Trojan.Trickybot和Ransom.UmbreCrypt勒索軟體。經過多年的發展，Mealybug已經提升了自己的能力，現在似乎提供了一種「端到端」的惡意軟體交付服務。它不僅交付了惡意軟體，而且還對它們進行了混淆以減少被檢出的機率，並提供了一個擴展模塊來允許惡意軟體自我傳播。

Emotet通過發送包含能夠導致文檔被下載的惡意鏈接或附有惡意文檔的電子郵件，在受害者的設備或網路上獲得初步立足點。至少從2015年開始，Emotet就擁有了反分析技術。在2018年，Emotet的有效載荷包含了一個含有其主要組件和一個反分析模塊的壓縮文件。反分析模塊會執行多次檢查以確保它並不是運行在用於惡意軟體研究的設備上，然後才會載入主要組件。PowerShell或JavaScript都用於下載這個木馬，該木馬會將一個經打包的有效載荷文件交付到受害者的設備上。一旦降落到受害者的設備上，最新版本的Emotet將執行以下操作：

將自身移動到其首選目錄

在啟動文件夾中創建指向自身的LNK文件

收集受害者的設備信息並將其發送到C＆C伺服器

然後，它可以從C＆C伺服器下載新的有效載荷，並執行它們。Emotet可以下載自身的更新版本或任何其他惡意軟體。現有版本的Emotet將從C＆C伺服器下載模塊，包括：

銀行業務模塊：此模塊用於攔截來自瀏覽器的網路流量，以竊取用戶輸入的銀行詳細信息。這就是Emotet被分類為銀行木馬的原因。

電子郵件客戶端信息竊取模塊：此模塊用於竊取電子郵件客戶端軟體中的電子郵件憑證。

瀏覽器信息竊取模塊：此模塊用於竊取瀏覽歷史記錄和已保存的密碼等信息。

PST信息竊取模塊：此模塊用於讀取Outlook的電子郵件存檔，並提取電子郵件的發件人姓名和電子郵件地址，可能用於發送垃圾電子郵件。

由這些模塊竊取的所有信息都將被發送到C＆C伺服器。Emotet還有一個DDoS模塊，可以將受感染的設備添加到殭屍網路中，以執行DDoS攻擊。

圖1. Trojan.Emotet主要關注位於美國的目標

多年來，Emotet的地理目標也在顯著增加。在經歷了2015年以來相對平靜的一段時期之後，在2017年下半年，Emotet的檢出率開始激增。而在那一年，Mealybug的目標包括了位於加拿大、中國、英國和墨西哥的受害者。然而，根據賽門鐵克2018年上半年的遙測數據顯示，其關注的焦點目前主要集中在位於美國的目標身上。

圖2.按地理區域劃分的Trojan.Emotet檢出率

自2018年2月以來，Emotet已被用於傳播W32.Qakbot，這是一個以網路蠕蟲行為而聞名的銀行木馬家族。

就像Emotet一樣，Qakbot也可以自我傳播。Qakbot試圖通過暴力訪問來實現跨網路傳播，同時也使用「 living-off-the-land（靠山吃山靠水吃水）」工具進行傳播。它使用PowerShell來下載並運行Mimikatz（Hacktool.Mimikatz），這是一個開源的憑證竊取工具，允許攻擊者在建立初始立足點之後，就可以在網路上快速移動。

事實上，Emotet和Qakbot都具有自我傳播的能力，這意味著一旦它們進入到你的網路中，就會迅速蔓延。兩者都試圖通過暴力訪問在網路上傳播，這也增加了用戶被鎖定在其設備之外的風險。在2018年2月，Qakbot檢出率的飆升表明這種威脅的「雙重傳播」正在發生，這意味著Mealybug正在使用Emotet在網路上傳播Qakbot，而Qakbot同時也在使用自己的自我傳播能力。帳戶鎖定場景是一種非常現實的威脅，對於組織來說是一個潛在的大問題。

圖3. 2018年1月1日至5月28日期間的W32.Qakbot檢測率

賽門鐵克的分析表明，Emotet和Qakbot使用了相同的打包程序，但有多種因素表明，Mealybug僅為Qakbot背後的威脅行為者提供Emotet作為交付服務，並沒有直接操控木馬。

兩種木馬的C＆C基礎設施之間似乎沒有任何重疊，分析還揭示了它們主要組件的代碼和反分析技術存在差異。

Mealybug使用了兩種不同的傳播機制也是令人驚訝的，因為如上所述，兩種嘗試暴力破解密碼的木馬都可以觸發帳戶鎖定並阻斷木馬的傳播。如果兩種木馬都是由Mealybug操控的，那麼該組織不太可能同時使用兩種不同的傳播技術。出於這些原因，我們認為Emotet和Qakbot是由兩個獨立的組織操控的，而Mealybug正在提供Emotet作為其他惡意軟體的交付機制。

Mealybug似乎已經找到了自己的定位：為其他威脅行為者提供惡意軟體交付服務。Trojan.Emotet的主要組件被用作一個載入程序，理論上可以支持任何有效載荷。雖然它仍然主要用於分發銀行木馬，但從理論上講，它可以傳播任何惡意軟體，並且有報道稱它已經交付了Ransom.UmbreCrypt勒索軟體。Mealybug大概是通過從使用其服務的威脅行為者那裡獲取利潤來賺錢的。根據我們所觀察到的，Mealybug似乎一次同時服務於多個攻擊組織，我們也沒有證據能夠表明它是某個組織的「專屬」分銷商。在2017年11月，Mealybug被觀察到在多起活動中同時將Trojan.Trickybot和W32.Qakbot交付到了同一台設備上，而這是在幾分鐘之內完成的。

Mealybug從將自己的銀行木馬交付給相對較少的目標到主要作為其他威脅行為者的全球分銷商的轉變很有意思。我們觀察到Mealybug正在不斷發展並改進他們的技術和商業模式，以最大化利潤。看來，Mealybug似乎已經決定通過擔任經銷商這一角色，以最大限度地提高其收益。

這可能來源於Mealybug發現，僅通過銀行木馬賺錢已經變得非常困難，所以他們不得不改變了自己的策略。隨著銀行對雙因素身份驗證（2FA）的普及和使用，使得通過竊取憑證來破壞帳戶變得更加困難，並且隨著網上銀行業務的成熟，人們的安全意識和保護措施也得到了改善。

Mealybug的活動為組織帶來了許多挑戰，這包括：

它的像蠕蟲一樣的能力意味著它可以在組織中迅速傳播。

Emotet的網路傳播能力意味著設備可以在沒有任何用戶交互的情況下受到感染。

暴力訪問增加了受害者組織中的用戶被鎖定在設備之外的可能性，並給IT團隊帶來麻煩並影響工作效率。

本文由黑客視界綜合網路整理，圖片源自網路；轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！