Emotet Maldoc的分析

逆向病毒分析 3年前 (2022) admin
707 0 0

Emotet 是一个恶意软件家族,已经感染了超过一百万台设备,被认为是近十年来最危险的威胁之一。研究人员观察到,近期的 Emotet 活动通过附加在钓鱼邮件的各种恶意 Microsoft Office 文件或恶意文档进行传播。一旦目标打开附件文档,就会使用 VBA 宏或 Excel 4.0 宏来执行下载并运行 Emotet 恶意软件。

本文将重点介绍这些恶意文档以及它们如何将 Emotet 恶意软件安装到目标的本地磁盘上。


带有恶意附件的钓鱼邮件

Emotet 使用钓鱼邮件与社会工程学相结合的方式,来诱骗目标将恶意软件下载到设备上。这些邮件的主题行中通常包含“Re:”或“Fw:”,如图 1 和 2 所示,旨在将邮件伪装成回复或转发消息,使目标认为该邮件是合法的。

Emotet Maldoc的分析

图 1:带有附件的回复邮件

Emotet Maldoc的分析

图 2:带有 .xls 附件的转发邮件

图 3 展示了另一种技术,将恶意文档打包到 ZIP 中,并使用密码加密,其中密码包含在正文中。

Emotet Maldoc的分析

图 3:受密码保护的 ZIP 附件的邮件


恶意 Excel和 Word 文档分析

附件中的 Excel 文件和 Word 文档包含恶意宏。打开后,它们会显示一个图像,要求目标点击安全警告栏中的“启用内容”按钮,来执行恶意宏。

下图显示了用于诱使目标点击“启用内容”的技术:图 4 是Word 文档的屏幕截图,图 5 是Excel文件的屏幕截图。

Emotet Maldoc的分析

图 4:Word 文档内容

Emotet Maldoc的分析

图 5:Excel 文件内容


恶意宏分析

Microsoft Office 文件中的宏通常用 VBA(Visual Basic for Applications)编写。在这种情况下,Word 文档包含恶意 VBA 代码,而Excel 文件除了 VBA 宏之外还使用 Excel 4.0宏。

研究人员收集了与此次活动相关的五个不同样本,其中包含的宏代码和执行流程存在差异。为了便于识别,研究人员为每个样本指定了一个标签名称,该名称来自样本首次出现的时间。标签名称由两部分组成,年份前缀和月份星期的后缀,由下划线连接。

第一个样本出现在 2021 年 11 月的第三周,其标签名称为“2021_NovW3”,是带有 VBA 宏的 Excel 文件和 Word 文档。第二个是使用 Excel 4.0 宏的 Excel 文件,出现在 2021 年 11 月的第四周,标签名称为“2021_NovW4”。第三个是带有 VBA 宏的 Word 文档,其标记名称为“2021_DecW2”。第四个是带有 Excel 4.0 宏的 Excel 文件,它的标签名称是“2021_DecW4”。第五个是一个带有 VBA 宏的 Excel 文件,标签名称“2022_FebW2”。

标签名称

文件类型

宏类型

2021_NovW3

Excel/Word

VBA 宏

2021_NovW4

Excel

Excel 4.0 宏

2021_DecW2

Word

VBA 宏

2021_DecW4

Excel

Excel 4.0 宏

2022_FebW2

Excel

VBA 宏

下面是对每个样本的恶意宏的分析。

2021_NovW3

此样本有一个名为“Workbook_Open()”或“Document_Open()”的 VBA 函数,该函数在文件打开时自动执行。然后它调用另一个函数将脚本数据写入 VBS 文件并将其保存在“C:ProgramData”文件夹中。接下来,它使用“Wscript.exe”来执行 VBS 文件。

Emotet Maldoc的分析

图 6:用于执行 VBS 文件的 VBA 代码

在 VBS 文件中,它会生成一个 PowerShell 代码来将 Emotet 恶意软件 dll 下载到“C:ProgramData”文件夹中,然后使用“regsvr32.exe”执行它。

Emotet Maldoc的分析

图 7:VBS文件中的脚本代码

2021_NovW4

这是一个 Excel 文件,它使用 Excel 4.0 宏工作表上的公式而不是 VBA 宏来执行恶意代码。如图 8 所示,一些工作表被隐藏,包括包含恶意公式的工作表。工作表“FEGFL”中的单元格 A1 名为“Auto_Open”,并包含一个内置宏,一旦打开文件,该宏就会自动从该单元格运行公式。

这个宏工作表包含一个公式,可调用 API“URLDownloadToFileA”从不同 URL 下载 Emotet 恶意软件。它试图从每个公式中的 URL 下载 Emotet 恶意软件,直到下载成功。Emotet 恶意软件以 .ocx 文件扩展名保存的 dll 文件,使用“regsvr32.exe”执行。

Emotet Maldoc的分析

图 8:宏工作表,单元格 A1 命名为“Auto_Open”

2021_DecW2

此 VBA 代码包含一个名为“AutoOpen()”的函数,该函数在打开文档时自动运行宏。在这个函数中,它将自身保存为文本格式的HTA (HTML Application)文件,如图9所示。与此同时,脚本数据显示在图片下方的内容文本区域中,并通过最小字体和白色字体颜色来隐藏(为了便于查看,图 9 中的字体颜色已更改为红色)。由于HTA文件是文本格式,因此内容文本区域中的脚本数据是文件中包含的唯一部分。为了执行HTA文件,Windows系统中的”explorer.exe “被用于VBA宏。

Emotet Maldoc的分析

图 9:将ActiveDocument 保存为 HTA 文件的 VBA 代码

Emotet Maldoc的分析

图 10:用于执行 HTA 文件的 VBA 代码

HTA 文件中的脚本代码提取 JavaScript 代码以下载 Emotet 恶意软件。Emotet 恶意软件以 JPG 文件的形式保存到“C:UsersPublic”文件夹,但它实际上是一个 dll 文件。最后,Emotet 恶意软件 dll 使用“rundll32.exe”执行。

Emotet Maldoc的分析

图 11:HTA文件中的脚本代码

2021_DecW4

在隐藏的宏工作表“Macro1”中,单元格 F1 被命名为“Auto_Open”,以便在打开文件时自动运行公式。在F1单元格下面的单元格里有正常的文本,直到F18单元格,其中包含要执行的公式。图 12 所示的简单公式使用“mshta.exe”来执行 HTML URL。HTML URL 的网页受到 HTML Guardian 的保护,这是一个对源代码进行加密的工具。

Emotet Maldoc的分析

图 12:宏工作表中的公式和“Auto_Open”

解密 HTML 源代码后,有一个被字符串“{GOOGLE}”混淆的 VBScript 代码片段,如图 13 所示。它运行 PowerShell 代码从 PNG URL 下载和执行脚本。PNG URL 不是图像文件,而是一个 PowerShell 脚本文件,其中包含用于下载 Emotet 恶意软件的多个 URL。最后,Emotet 恶意软件以 dll 文件的形式保存在“C:UsersPublicDocuments”文件夹中,并使用“rundll32.exe”执行。

Emotet Maldoc的分析

图 13:用于运行 PowerShell 脚本的 VBScript 代码

2022_FebW2

此样本与“2021_DecW4”具有相同的代码和执行流程。但它没有使用 Excel 4.0 宏,而是使用 VBA 宏来执行其恶意行为。图 14 显示了自动运行函数“AutoOpen()”中的内容。虽然有很多注释,但VBA代码非常简单,使用“mshta.exe”来执行一个HTML URL。由于 HTML URL 中的脚本代码和后续过程与“2021_DecW4”中的内容相同,可以通过查看它来了解更多细节。

Emotet Maldoc的分析

图 14:执行 HTML URL 的 VBA 代码


Emotet 攻击趋势

Emotet 于2014 年首次被发现,最新的 Emotet 活动于 2021年 11 月中旬爆发,并使用钓鱼邮件附带的恶意文档进行传播。研究人员一直在跟踪这些恶意文档,以及在此活动中用于绕过检测的变体数量。图15显示了从2021年11月中旬到2022年3月使用的Emotetmaldocs的每日时间戳。上一节中提到的所有样本都是在这一时期出现的。

第一次攻击出现在 2021 年 11 月 16 日。此后,每周都会传播不同类型的恶意文件,直到圣诞节假期。1月12日假期结束,它就以更频繁和持续的攻击方式涌现,分发了大量种类繁多的恶意文档。从2月底到3月底,它转而使用同一类型的恶意文件(2021_NovW4)和不同的钓鱼图片模板。2月28日以后,除了周末,每天都有新的恶意文件出现,只有一两天的休息时间。

Emotet Maldoc的分析

图 15:最新 Emotet Maldoc 活动的时间线


结论

在上一节中,研究人员的研究表明某些类型的恶意文件在时间轴上的时间戳比其它文件多。图16中的饼状图是基于时间戳的出现频率,显示了本次活动中每个恶意文件的使用率。根据这个图表,”2021_NovW4 “是最活跃的,涉及超过50%的恶意文件。其次是 “2021_NovW3″,包括27%的Excel文件和6%的Word文件。值得一提的是,Excel文件占所有恶意文件的93%,远远高于只有7%的 Word 文件。其中一个原因可能是,Excel 4.0宏程序只对Excel文件起作用。正因为如此,用户应该对来自未知发件人的带有Excel文件附件的可疑邮件特别谨慎。

Emotet Maldoc的分析

图 16:活动中的恶意文档类型

研究人员在此期间还收集了 Emotet 恶意软件payload。图17显示了Emotet恶意软件的每周计数,条形图下面显示的时间轴上有每个Emotet maldoc的时间戳。计数高的几周与恶意文件出现的时间相匹配,而没有恶意文件的几周则几乎没有出现。

Emotet Maldoc的分析

图 17:每周 Emotet 恶意软件计数

该图还显示,圣诞节后检测到的所有恶意文档都是 Excel 文件。使用 Excel 文件更加灵活,因为它的宏类型可以是 VBA 宏、Excel 4.0 宏或两者兼有。其中一个好处是 Excel 4.0 宏比 VBA 宏更容易绕过安全检测。

如时间线所示,自 2022 年 3 月以来,Emotet恶意软件主要通过使用 Excel 4.0 宏的恶意 Excel文件“2021_NovW4”传播。研究人员认为攻击者更喜欢使用带有 Excel 4.0 宏的 Excel 文件作为恶意文档,以减少杀毒引擎的检测。


IoC

恶意文件 (SHA256):
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Emotet 恶意软件(SHA256):
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 


原文链接:
https://www.fortinet.com/blog/threat-research/Trends-in-the-recent-emotet-maldoc-outbreak





原文始发于微信公众号(维他命安全):Emotet Maldoc的分析

版权声明:admin 发表于 2022年4月21日 上午11:30。
转载请注明:Emotet Maldoc的分析 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...