趋势科技研究人员在分析恶意软件的网络流量时发现了“另一种后感染流量”的新Emotet木马变种。新版本加入了用受感染连接设备作为代理C2服务器、用随机URI目录路径来规避基于网络的检测规则功能,试图用先前受到攻击的设备作代理、隐藏其真正的C2服务器。
连接设备作为额外的C2通信层
研究人员还发现,Emotet操作人员正尝试破坏IP摄像头、路由器、网络摄像头和Web界面/管理面板等设备,将其作为僵尸网络新的额外服务器通信层的一部分,添加到了伪装的基础设施中,“恶意软件被用来感染和收集易受攻击的连接设备,作为其他恶意活动的资源”。Emotet主人需要隐藏活动中所用的真实C2服务器,因其IP地址在恶意软件中是硬编码,能非常容易地分析僵尸网络的基础设施。
一些用作代理C2服务器的受感染设备
为提升隐身、随机生成的URI
Emotet有效负载使用带Powload Trojan压缩附件的恶意电子邮件传送到目标计算机上,启动后可下载Emotet可执行文件。
3月15日以来,研究人员便监控到新的POST感染Emotet流量,其发现新的银行木马变种在其POST请求中使用随机生成的URI目录路径,以更好融入主机的传出Web流量。
实现之前,Emotet会“用HTTP GET请求将受害人信息发送到C&C服务器、并将数据存储在Cookie标头中。 数据使用RSA密钥进行AES加密,之后在Base64中编码、再添加到Cookie值中,“新版本在HTTP POST消息内发送被盗信息,用RSA密钥和AES加密,并在Base 64中编码,检测到后可逃避检测或延迟进一步调查”。
Emotet流量比较
据US-CERT的TA18-201A建议,这些新增功能增加了恶意软件C2流量的整体复杂性,并与之前观察到的Emotet行为一致:
“Emotet是一种多态银行木马,可逃避典型的、基于签名的检测。它有几种维护持久性的方法,包括自动启动注册表项和服务。其使用模块化动态链接库(DLL)来不断发展和更新功能。另外Emotet有虚拟机感知功能,如在虚拟环境中运行,可能会生成错误指示符。”
更重要的一点,Emotet(也被称为Geodo或Heodo)是由MUMMY SPIDER(又名Mealybug)威胁小组创建的一个不断演化的模块化木马[ 1、2、3、4 ]。
Mealybug在大规模malspam活动时用其将恶意软件的有效载荷丢弃到目标上、窃取金融信息(如加密货币钱包或银行登录);此外,该木马还会泄露敏感数据(如登录凭据和个人身份信息(PII)数据等)。
在用模块将Emotet改进后,其能成为其他银行特洛伊木马或各种信息窃取模块化机器人(如Trickbot)的有效载体通道。黑客组织将其变成了一个巨大的僵尸网络、租给其他威胁组织。还观察到Emotet释放BitPaymer、LockerGoga、Ryuk [ 1、2、3 ]等勒索软件。
趋势科技虽没为该新Emotet变体提供妥协指标(IOC),但US-CERT在其TA18-201A恶意软件警报结束时提供了“限制Emotet及类似malspam影响最佳实践”的详细列表。
本文作者:Gump,转载自:http://www.mottoin.com/detail/3934.html
閱讀更多 A1d2m3i4n5 的文章
