针对同时通过恶意邮件传播的Emotet和Trickbot的分析
导语:Emotet和Trickbot是针对Windows系统进行敏感信息窃取的恶意软件,它们普遍窃取银行相关信息。本文主要对目前Emotet的状况进行分析,并重点研究包含Trickbot的Emotet感染通信。
概述
Emotet和Trickbot是针对Windows系统进行敏感信息窃取的恶意软件,它们普遍窃取的是银行相关的信息。这两个恶意软件通常情况下会通过不同的恶意垃圾邮件活动实现分发,但最近我们发现,有时在单个感染链中同时发现这两种类型的恶意软件。这种Emotet和Trickbot的组合,无疑使得易受攻击的Windows主机遭受更大的风险。
随着时间推移,在2018年,Trickbot恶意软件仍然会通过其自身的恶意邮件活动实现传播,但我们却在Emotet的分发过程中找到Trickbot样本。目前,大多数关于Emotet和Trickbot的分析文章都只关注其中一种恶意软件的特征,而这些分析几乎都无法描绘出完成的感染链全貌。
本文主要对目前Emotet的状况进行分析,并重点研究包含Trickbot的Emotet感染通信。
共同点
尽管Emotet和Trickbot是两个不同系列的恶意软件,但它们还是有着一些相似之处。首先,两者都是信息窃取类的恶意软件,可以通过恶意邮件或蠕虫的方式进行传播,同时也可以包含加载其他功能的模块。在过去一年左右的时间,二者都是通过恶意邮件,使用邮件中附带的Microsoft
Word文档作为初始感染载体来实现传播。
Emotet
Emotet在2014年夏季被首次发现,最开始它属于银行恶意软件,但后来不断发展具有了其他用途。到2017年,多方研究证明Emotet已经开始被用作其他恶意软件的加载器(例如恶意软件Dridex)。同时,当时有研究者声称Emotet正在用于加载Trickbot,因此我们所分析的感染链在此前就曾经有过先例。
在2018年,Emotet通常会被用于加载IcedID银行木马或Zeus Panda银行木马。在2018年6月,我们发现Emotet将Trickbot作为其后续恶意软件的实际样本。此外,我们还发现存在将Spambot恶意软件作为其后续恶意软件的样例,受感染的Windows主机会发出更多的恶意邮件。
根据目前的分析成果,Emotet的初始感染方式还仅限于Word文档中的恶意宏。默认情况下,Microsoft
Office中的宏是被禁用的。如果用户忽略Office的安全警告,在易受攻击的Windows主机上启用宏,那么恶意Word文档就会启动感染链,主机将遭受威胁。这些宏的作用是:从受感染的服务器上检索Emotet恶意软件,并感染计算机。
经过对恶意邮件的分析,我们发现Emotet使用了两种方法来诱导用户点击Word文档:
1、在邮件正文中,插入Word文档的链接,诱导目标用户点击链接下载文档;
2、Word文档以附件的形式直接添加到邮件中,邮件正文不包含任何链接。
Trickbot
Trickbot最早出现在2016年秋季,被认为是另一个凭据窃取恶意软件Dyreza的接班人。Trickbot是一个模块化的恶意软件,具有垃圾邮件发送等附加功能。其最显著的功能就是横向移动。截至2017年7月,Trickbot添加了一个基于SMB的蠕虫传播模块,但其中没有包含漏洞利用工具。
2018年6月,我在malware-traffic-analysis.net网站上发布了有关SMB传播的Trickbot感染流量样本,其中表明Trickbot会从受感染的Windows客户端迁移到易受攻击的活动目录域(AD域)控制器。在这里,SMB上的Trickbot横向移动过程与2017年5月的WannaCry永恒之蓝在方法上有明显的不同,因此可以认定,这种SMB传播方式是由Trickbot作者开发的不同方式。
Trickbot通常具有其自身的恶意邮件分发渠道,但是现在Trickbot攻击者也在借助Emotet实现感染。
Emotet的分发
从2018年6月11日(周一)开始,在一周之内,我们监测到大量以美国国税局为标题的恶意邮件被发送给位于美国的邮箱用户,邮件中包含恶意软件Emotet。“美国国税局”并不是该恶意邮件所使用的唯一标题,但却是最为常用的一个标题。在2018年7月4日前后,我们还监测到以“独立日”为标题的恶意邮件,同样也用来分发Emotet。
以下是自2018年6月11日以来,我们监测到的用于分发Emotet的恶意邮件发件人和标题的一些示例。
发件人:
From: [various spoofed sender names and email addresses] From: Internal Revenue Service <[spoofed email address]> From: Internal Revenue Service Online <[spoofed email address]> From: Internal Revenue Service Online Center <[spoofed email address]> From: IRS <[spoofed email address]> From: IRS <[email protected]> <[spoofed email address]> From: IRS <[email protected]> <[spoofed email address]> From: IRS <[email protected]> <[spoofed email address]> From: IRS Online Center <[spoofed email address]> From: IRS.gov <[spoofed email address]> From: Intuit <[spoofed email address]> From: Intuit Online Payroll Support Team <[spoofed email address]> From: Intuit Payroll <[spoofed email address]> From: Intuit Payroll Services <[spoofed email address]>
邮件标题:
Subject: 4th of July congratulation Subject: 4th of July eCard Subject: 4th of July Greeting eCard Subject: Happy 4th of July Greeting Message Subject: Record of Account Transcript from June 14, 2018 Subject: Tax Account Transcript from June 14, 2018 Subject: The Fourth of July wishes Subject: Verification of Non-filing Letter Subject: Verification of Non-filing Letter from 06/15/2018 Subject: Wage and Income Transcript Subject: 0335363294 Subject: 2142 Payroll Summary Subject: 3291 Payroll Summary Subject: ACCOUNT#94895547-Milan Marsic Subject: Engr. Abdul Rauf Invoice 8288592 Subject: Invoice 897614 from Patrick Bingham Subject: Invoices Overdue Subject: IRS Record of Account Transcript Subject: IRS Record of Account Transcript from 06/14/2018 Subject: IRS Record of Account Transcript from 06/15/2018 Subject: IRS Record of Account Transcript from June 14, 2018 Subject: IRS Record of Account Transcript from June 15, 2018 Subject: IRS Tax Return Transcript from 06/12/2018 Subject: IRS Tax Return Transcript from June 11, 2018 Subject: IRS Tax Account Transcript Subject: IRS Tax Account Transcript from 06/15/2018 Subject: IRS Tax Account Transcript from June 15, 2018 Subject: IRS Tax Return Transcript Subject: IRS Verification of Non-filing Letter Subject: IRS Verification of Non-filing Letter from 06/11/2018 Subject: IRS Verification of Non-filing Letter from 06/12/2018 Subject: IRS Verification of Non-filing Letter from June 11, 2018 Subject: IRS Verification of Non-filing Letter from June 14, 2018 Subject: IRS Wage and Income Transcript Subject: IRS Wage and Income Transcript from 06/14/2018 Subject: IRS Wage and Income Transcript from June 11, 2018 Subject: IRS Wage and Income Transcript from June 15, 2018 Subject: New Invoice / WM2708 / RP# 09648 Subject: New Payroll Co. Subject: NYPXV7-16497063849 Subject: Pay Invoice Subject: Payment Subject: Payroll Tax Payment Subject: Scott Crowe The 4th of July Greeting eCard
其中,每一封电子邮件都包含Word文档附件,或者正文中包含下载Word文档的链接。
通过邮件中的链接诱导用户下载Emotet恶意Word文档:
通过邮件附件诱导用户下载Emotet恶意Word文档:
Emotet活动从2018年5月起开始频繁
Autofocus统计了在过去的一年中Emotet恶意邮件的增长趋势,从2018年5月开始,Emotet
Word文档的点击量急剧增加。以下是通过链接或附件两种方式被诱导打开Emotet恶意Word文档的图表。其中的“Links”对应通过URL请求下载Emotet
Word文档的次数,其中的“Attachments”对应监测到的以附件方式传播的电子邮件数量。
2017年5月至2018年5月之间,Emotet Word文档的点击率:
2018年5月,Emotet Word文档的点击数:
AD域中的Emotet感染
我在2018年6月15日,在malware-traffic-analysis.net发布的博客文章中提供了一个Emotet恶意邮件的感染示例。我们的分析过程是在Active
Directory环境中完成的,域控所使用的操作系统为未打补丁的Windows Server 2008
R2,Windows客户端所使用的操作系统为未打补丁的Windows 7 Professional Service Pack 1。
AD域环境中,成功的Emotet+Trickbot感染链:
在WireShark监测到的感染通信(经过筛选后):
在图7中,展示了Windows客户端上Emotet的初始感染通信来自于192.168.200.95,接下来的是同一主机上的Trickbot感染流量。
Trickbot通过SMB,从Windows客户端传播到192.168.200.4上易受攻击的域控。约20分钟后,易受攻击的AD域控显示出被Trickbot感染的迹象。
下图展示了Trickbot从192.168.200.4发送到域控的流量。
总结
新发现的这一系列活动,有效结合了Emotet的分发机制和Trickbot的横向移动能力。二者的结合,无疑产生了一种更为强大的感染源,使得所有易受攻击的Windows主机面临更大的威胁。
考虑到上述威胁,我们建议用户及时更新系统补丁,仅在必须时再使用系统管理员账户,并使用垃圾邮件过滤机制。
在后续,我们将会继续调查该恶意活动的情况,并在有任何进展后及时发布更新。(附录见原文)