臭名昭著的恶意软件僵尸网络 Emotet 2020年 10 月底陷入低迷,2020年 12 月 21日又活跃。Emotet 桥头堡充当恶意软件,在失陷主机上安装其他恶意软件。目前观察到 Emotet 在野分发 TrickBot。国家立陶宛公共卫生中心遭遇 Emotet 的攻击,Emotet 感染了其内部网络,并开始下载其他恶意软件。这导致立陶宛国家公共卫生中心暂时禁止电子邮件系统,直到恶意软件从内部网络中删除。
本文将介绍 Emotet 的新 Loader 并与前期使用的 一起使用Loader 比较。两者在解压顺序、文件的新属性和新的混淆方法上存在差异,同时讨论了使用的检测逃避技术。
差异
执行流程
最终的 Payload 执行前应执行多个步骤:
观察最近收集的样本,减少了执行步骤:
原因尚不清楚,但猜测是由于执行过程长,检测率无法有效降低。Emotet 在所有阶段使用一种叫做反射加载的技术进行加载,所以如果一个安全的产品能够检测到反射加载的行为,多次使用无助于避免检测。
另一个可能的原因是攻击者试图逃避 Emotet 创建启发性检测方法。由于之前的执行过程非常长,这已经成为一个独特的特征。如果检测到这么长的执行过程,就会发现 Emotet,因此,改变执行过程的常读可能有帮助。
Loader
Loader 也做了一些改变。第一个变化是从可执行文件切换到 DLL。该 DLL 文件具有导出函数RunDLL和 Control_RunDLL,这使得检测由 Emotet 感染是可能的。如果使用与导出相匹配的参数启动过程 rundll32.exe,系统是 Emotet 感染了。
混淆技术
通过 Loader 提取的 Payload 使用了一种新的混淆技术,使用多个位置操作,而不是单位操作来设置局部变量中的值。这种混淆在不执行代码的情况下很难理解,调试过程也很繁琐。
相似之处
解密算法
Payload 加密后储存在 中Loader 中,以前的发展是针对 Emotet 静态解密提取 Payload 工具仍然有效,加密算法没有改变。
代码混淆
除了上述混淆技术外,代码还包含复杂的条件分支和不必要的跳转指令,使得分析代码执行顺序极其困难。
隐藏数据
Payload 通过不列出 Windows API 隐藏功能的名称或任何有意义的字符串。研究人员必须通过调试了解 Payload 的功能,字符串以加密形式存储,API 用名字的哈希值进行分析。
进化
2020 年末,Emotet 的进化正在尽可能降低检测的概率。随着感染量的增加,跟踪 Emotet 的持续进化至关重要,其变化很可能导致大面积感染。
参考来源:DeepInstinct