趨勢科技研究人員在分析惡意軟件的網絡流量時發現了“另一種後感染流量”的新Emotet木馬變種。新版本加入了用受感染連接設備作為代理C2服務器、用隨機URI目錄路徑來規避基於網絡的檢測規則功能,試圖用先前受到攻擊的設備作代理、隱藏其真正的C2服務器。
連接設備作為額外的C2通信層
研究人員還發現,Emotet操作人員正嘗試破壞IP攝像頭、路由器、網絡攝像頭和Web界面/管理面板等設備,將其作為殭屍網絡新的額外服務器通信層的一部分,添加到了偽裝的基礎設施中,“惡意軟件被用來感染和收集易受攻擊的連接設備,作為其他惡意活動的資源”。Emotet主人需要隱藏活動中所用的真實C2服務器,因其IP地址在惡意軟件中是硬編碼,能非常容易地分析殭屍網絡的基礎設施。
一些用作代理C2服務器的受感染設備
為提升隱身、隨機生成的URI
Emotet有效負載使用帶Powload Trojan壓縮附件的惡意電子郵件傳送到目標計算機上,啟動後可下載Emotet可執行文件。
3月15日以來,研究人員便監控到新的POST感染Emotet流量,其發現新的銀行木馬變種在其POST請求中使用隨機生成的URI目錄路徑,以更好融入主機的傳出Web流量。
實現之前,Emotet會“用HTTP GET請求將受害人信息發送到C&C服務器、並將數據存儲在Cookie標頭中。 數據使用RSA密鑰進行AES加密,之後在Base64中編碼、再添加到Cookie值中,“新版本在HTTP POST消息內發送被盜信息,用RSA密鑰和AES加密,並在Base 64中編碼,檢測到後可逃避檢測或延遲進一步調查”。
Emotet流量比較
據US-CERT的TA18-201A建議,這些新增功能增加了惡意軟件C2流量的整體複雜性,並與之前觀察到的Emotet行為一致:
“Emotet是一種多態銀行木馬,可逃避典型的、基於簽名的檢測。它有幾種維護持久性的方法,包括自動啟動註冊表項和服務。其使用模塊化動態鏈接庫(DLL)來不斷髮展和更新功能。另外Emotet有虛擬機感知功能,如在虛擬環境中運行,可能會生成錯誤指示符。”
更重要的一點,Emotet(也被稱為Geodo或Heodo)是由MUMMY SPIDER(又名Mealybug)威脅小組創建的一個不斷演化的模塊化木馬[ 1、2、3、4 ]。
Mealybug在大規模malspam活動時用其將惡意軟件的有效載荷丟棄到目標上、竊取金融信息(如加密貨幣錢包或銀行登錄);此外,該木馬還會洩露敏感數據(如登錄憑據和個人身份信息(PII)數據等)。
在用模塊將Emotet改進後,其能成為其他銀行特洛伊木馬或各種信息竊取模塊化機器人(如Trickbot)的有效載體通道。黑客組織將其變成了一個巨大的殭屍網絡、租給其他威脅組織。還觀察到Emotet釋放BitPaymer、LockerGoga、Ryuk [ 1、2、3 ]等勒索軟件。
趨勢科技雖沒為該新Emotet變體提供妥協指標(IOC),但US-CERT在其TA18-201A惡意軟件警報結束時提供了“限制Emotet及類似malspam影響最佳實踐”的詳細列表。
本文作者:Gump,轉載自:http://www.mottoin.com/detail/3934.html
閱讀更多 A1d2m3i4n5 的文章
