欢迎来到威客安全请登录免费注册
手机版 微信公众号 收藏|官方客服电话:4006-119-120
企业客户
发布保密众测
让您的产品更安全
销售
发布众测
让安全生意不再难做
白帽子
提交漏洞
获得高额现金奖励
登录威客安全 ×
忘记密码       没有帐号 , 立即注册
Emotet使用受损设备作为代理命令服务器
草莓圣代2019-05-06 10:14人评论0人阅读3274


趋势科技研究人员在分析恶意软件的网络流量时发现了“另一种后感染流量”的新Emotet木马变种。新版本加入了用受感染连接设备作为代理C2服务器、用随机URI目录路径来规避基于网络的检测规则功能,试图用先前受到攻击的设备作代理、隐藏其真正的C2服务器。


连接设备作为额外的C2通信层


研究人员还发现,Emotet操作人员正尝试破坏IP摄像头、路由器、网络摄像头和Web界面/管理面板等设备,将其作为僵尸网络新的额外服务器通信层的一部分,添加到了伪装的基础设施中,“恶意软件被用来感染和收集易受攻击的连接设备,作为其他恶意活动的资源”。Emotet主人需要隐藏活动中所用的真实C2服务器,因其IP地址在恶意软件中是硬编码,能非常容易地分析僵尸网络的基础设施。


一些用作代理C2服务器的受感染设备


为提升隐身、随机生成的URI


Emotet有效负载使用带Powload Trojan压缩附件的恶意电子邮件传送到目标计算机上,启动后可下载Emotet可执行文件。


3月15日以来,研究人员便监控到新的POST感染Emotet流量,其发现新的银行木马变种在其POST请求中使用随机生成的URI目录路径,以更好融入主机的传出Web流量。


实现之前,Emotet会“用HTTP GET请求将受害人信息发送到C&C服务器、并将数据存储在Cookie标头中。 数据使用RSA密钥进行AES加密,之后在Base64中编码、再添加到Cookie值中,“新版本在HTTP POST消息内发送被盗信息,用RSA密钥和AES加密,并在Base 64中编码,检测到后可逃避检测或延迟进一步调查”。 


Emotet流量比较


据US-CERT的TA18-201A建议,这些新增功能增加了恶意软件C2流量的整体复杂性,并与之前观察到的Emotet行为一致:


“Emotet是一种多态银行木马,可逃避典型的、基于签名的检测。它有几种维护持久性的方法,包括自动启动注册表项和服务。其使用模块化动态链接库(DLL)来不断发展和更新功能。另外Emotet有虚拟机感知功能,如在虚拟环境中运行,可能会生成错误指示符。”


更重要的一点,Emotet(也被称为Geodo或Heodo)是由MUMMY SPIDER(又名Mealybug)威胁小组创建的一个不断演化的模块化木马[ 1、2、3、4 ]。


Mealybug在大规模malspam活动时用其将恶意软件的有效载荷丢弃到目标上、窃取金融信息(如加密货币钱包或银行登录);此外,该木马还会泄露敏感数据(如登录凭据和个人身份信息(PII)数据等)。


在用模块将Emotet改进后,其能成为其他银行特洛伊木马或各种信息窃取模块化机器人(如Trickbot)的有效载体通道。黑客组织将其变成了一个巨大的僵尸网络、租给其他威胁组织。还观察到Emotet释放BitPaymer、LockerGoga、Ryuk [ 1、2、3 ]等勒索软件。


趋势科技虽没为该新Emotet变体提供妥协指标(IOC),但US-CERT在其TA18-201A恶意软件警报结束时提供了“限制Emotet及类似malspam影响最佳实践”的详细列表。

文章来源:MottoIn,转载请注明来自
本文标签:安全动态网络安全漏洞聚焦

分享到:
文章评论
登录后参与评论
评论 ( 0 )
京ICP备案14036275号 Copyright ©2014 jinlongSec All Rights Reserved 建议使用IE9以上浏览器浏览  |   威客安全品牌所有权归北京锦龙信安科技有限公司所有  |