新年大礼包 | 新型Emotet变种重现江湖

近期,安全厂商Minerva发现了新型的Emotet变种活动,而这种以“圣诞快乐”(Emotet Grinch)为主题的Emotet变种正在酝酿新年里的第一波攻击。

目前,网络犯罪分子正在积极利用新型的Emotet变种来进行疯狂攻击,而这种Emotet变种能够稳定绕过目标系统中某些基本的安全控制措施。Minerva将这种新型的Emotet变种称之为“Emotet Grinch”,跟很多基于恶意邮件的感染过程类似,Emotet攻击者主要通过恶意邮件来实现感染,而邮件中则包含一个指向恶意文档“Your Holidays eCard.doc”的链接地址。当然了,这个文档将会引诱目标用户启用嵌入在其中的恶意宏:

接下来的攻击步骤跟之前的Emotet活动类似:恶意宏会利用下列字符串作为参数并执行cmd.exe:

脚本中包含了一些用于实现混淆处理的代码,用于在多个变量中隐藏字符串“powershell”,攻击者对其进行了编译并会在攻击的下个阶段中执行这部分恶意代码。简而言之,这是一个无文件型的PowerShell Payload。在之前的Emotet攻击活动中,Payload代码中最开始是一段经过混淆处理的Invoke-Expression函数调用,后面跟着一个经过混淆处理的字符串,分析后我们发现这又是另一个恶意PowerShell脚本:

环境变量“comspec”中包含了指向cmd.exe的路径地址,并会通过字符串“iex”来调用Invoke-Expression:

跟之前的Emotet攻击不同的是,Emotet Grinch选择使用三重Invoke-Expression层来包装它的“礼物”。每一层都会调用一行命令来对字符串“iex”进行拆解。第一层使用了“MaximumDriveCount”:

第二层使用了“$Shellid”变量:

第三层使用了“$VerbosePreference”:

这种混淆技术还结合了字符串替换技术(例如使用字母“C”替换字符串“garBaGe”),这样就可以绕过一些常见的静态检测以及安全产品了,因为检测工具很难“突破”多个层最终扫描到其恶意功能。

反混淆完成之后,下图所示的脚本代码将会在目标用户的主机系统中执行:

在PowerShell脚本的初始阶段,它会从硬编码列表中的五个域名下载Emotet可执行Payload,并随机执行。

需要注意的是,跟之前的Emotet可执行Payload不同,广大用户可以使用Minerva自制的Emotet免疫程序来避免感染Emotet变种:

总结

如果用户不幸感染了本文所介绍的Emotet Grinch,大家可以使用Minerva的恶意文档防御模块来在Emotet攻击的第一阶段切断感染链。

入侵威胁指标IoC

恶意文档的SHA256:

负责托管可执行Payload的URL地址:

如需获取更多URL地址,可参考Pastebin的这份文档:【传送门】。

负责托管恶意文档的URL地址:

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-01-16

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏张泽旭的专栏

信息管理系统(java)

该项目开发的软件为网络QQ账户信息管理系统软件,是鉴于目前人们QQ的使用领域的增加,QQ信息呈爆炸性增长的前提下人们对自己的QQ信息管理的自动化与准确化的要求日...

3842
来自专栏玄魂工作室

CTF实战31 综合实战和讲解一(讲解部分)

该培训中提及的技术只适用于合法CTF比赛和有合法授权的渗透测试,请勿用于其他非法用途,如用作其他非法用途与本文作者无关

2763
来自专栏Python中文社区

Scrapy详解之中间件(Middleware)

如上图标号4、5处所示,下载器中间件用于处理scrapy的request和response的钩子框架,可以全局的修改一些参数,如代理ip,header等

5472
来自专栏BestSDK

深度解析|用API来分析软件,是否存在恶意倾向

我们发现有越来越多的恶意软件开始使用各种加密、封装和加壳等保护技术来对恶意代码进行混淆处理,以防止系统或程序对其进行识别。除此之外,这些技术甚至还会让研究人员对...

3317
来自专栏FreeBuf

[细节剖析]X Windows中一个22年的漏洞

X Windows系统,今天作为世界各地的Linux桌面,已经存在超过20年了,仍然存在Bug。几天前Sysadmins为libXfont库提供了补丁,来对应...

2045
来自专栏FreeBuf

Kali Linux下社工密码字典生成工具Cupp/Cewl教程

Cupp是一款用Python语言写成的可交互性的字典生成脚本。尤其适合社会工程学,当你收集到目标的具体信息后,你就可以通过这个工具来智能化生成关于目标的字典。当...

2191
来自专栏緣來來來

第一篇:Python简介和入门

python的创始人为吉多·范罗苏姆(Guido van Rossum)。1989年的圣诞节期间,吉多·范罗苏姆为了在阿姆斯特丹打发时间,决心开发一个新的脚本解...

811
来自专栏小文博客

换肤大师国服版FOR6.20即将发布

1535
来自专栏FreeBuf

DIY一个专属HID注入设备吧

*本文原创作者:kincaid,本文属FreeBuf原创奖励计划,未经许可禁止转载

1620
来自专栏数值分析与有限元编程

开源数学计算软件Maxima

Maxima是一个计算机代数运算系统,它是由MIT于1968至1982年间开发的Macsyma系统演变而来的。MIT于1982年将Macsyma源代码交与美国能...

1782

扫码关注云+社区

领取腾讯云代金券