Emotet银行木马分析报告

导语:最近一段时间国外安全研究人员在相关安全社交网站上公布了多个Emotet银行木马最新的变种样本,深信服EDR安全团队对此事进行了相关跟进,获取到了相应的样本,并对其中一个最新的变种样本进行了详细分析。

一、背景

最近一段时间国外安全研究人员在相关安全社交网站上公布了多个Emotet银行木马最新的变种样本,深信服EDR安全团队对此事进行了相关跟进,获取到了相应的样本,并对其中一个最新的变种样本进行了详细分析。

Emotet银行木马首次发现是在2014年6月份,此银行木马主要通过垃圾邮件的方式进行传播感染目标用户,是一款比较著名且复杂的银行木马。

二、样本运行流程

图片1.png

三、样本分析

邮件附件DOC样本(重命名为Emotet.doc),如下所示:

图片2.png

打开文档之后,如下:

图片3.png

使用VBA编辑器,查看里面包含宏代码,如下:

图片4.png

图片5.png

提取里面的VBA,如下:

图片6.png

里面包含自动可执行的恶意宏代码,相应的宏代码如下:

图片7.png

宏代码的结构表,如下:

图片8.png

动态调试,解密出相应的宏代码,如下:

图片9.png

是一段混淆过的cmd命令脚本,此CMD脚本运行之后会调用powershell脚本,相应的powershell脚本,如下:

图片10.png

重新整理之后,如下:

图片11.png

此powershell脚本会遍历相应的恶意服务器网站,然后从网站下载相应的恶意程序,并重命名为727.exe,运行DOC之后,如下:

图片12.png

727.exe分析

1.核心代码是经过加密的,如下所示:

图片13.png

2.通过动态调试分析,如下:

图片14.png

3.获取操作系统的位数,名称及版本信息,如下:

图片15.png

4.在内存进行PE文件解密操作,然后执行到内存中PE文件入口点,如下:

图片16.png

5.创建互斥变量PEMA94,如下:

图片17.png

6.通过GetModuleFileName获取文件路径,如下:

图片18.png

7.调用CreateProcess启动程序,创建子进程,如下:

图片19.png

8.创建完子进程之后,通过ExitProcess退出父进程,如下:

图片20.png

运行之后相应的进程信息,如下:

图片21.png

 

对创建的子进程相关分析

1.通过GetWindowsDirectory获取Windows目录下,如下:

图片22.png

2.获取磁盘信息,如下:

图片23.png

3.创建互斥变量Global\M1A9E9938,如下:

图片24.png

4.创建窗口,如下:

图片25.png

捕获窗口消息,执行消息循环操作,如下:

图片26.png

5.设置相应的注册表项,如下:

图片27.png

设置的注册表项,如下:

图片28.png

6.通过GetComputerNameW获取计算机名,拼接成随机字符串,如下:

图片29.png

7.在临时目录创建44E0.tmp程序,如下:

图片30.png

8.在系统目录创建tvoutduplex程序,如下:

图片31.png

9.创建tvoutduplex服务,如下:

图片32.png

创建的相应的服务,如下:

图片33.png

10.枚举相应的服务状态,如下:

图片34.png

11.然后启动服务进程,如下:

图片35.png

12.销毁创建的窗口,如下:

图片36.png

13.退出子进程,如下所示:

图片37.png

运行之后相应的进程信息,如下:

图片38.png

 

tvoutduplex样本分析

1.获取计算机操作系统版本信息,如下:

图片39.png

2.遍历主机中的进程,获取进程信息,如下:

图片40.png

获取到的主机进程列表,如下:

图片41.png

3.然后将之前获取的主机用户名,操作系统版本以及进程列表信息拼接成字符串,通过算法进行加密,如下:

图片42.png

4.获取远程服务器地址,如下:

图片43.png

5.通过GetTickCount获取随机数字,如下:

图片44.png

然后拼接之成加密的数据,如下:

图片45.png

最后通过Cookie发送到远程恶意服务器,下载相应的恶意模块,如下:

图片46.png

6.恶意服务器地址,会随机改变,如下:

图片47.png

得到的相关的恶意服务器地址,见IOC表

7.读取相应的恶意服务器网站数据,如下:

图片48.png

读取到的数据,如下:

图片49.png

网络流量分析

1.下载Emotet母体样本,流量如下:

图片50.png

 下载相应的Emotet母体样本,如下:

图片51.png

2.上传主机的相关信息,流量如下:

图片52.png

3.返回的相应的数据包,如下:

图片53.png

四、解决方案

深信服EDR已经能有效检测御防此类银行木马家族及其变种,同时深信服EDR安全团队提醒广大用户:

1.不要点击来源不明的邮件附件,不从不明网站下载软件

2.及时给主机打补丁,修复相应的高危漏洞

3.对重要的数据文件定期进行非本地备份

4.尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139,3389等

5.RDP远程服务器等连接尽量使用强密码,不要使用弱密码

6.安装专业的终端安全防护软件,为主机提供端点防护和病毒检测清理功能

五、相关IOC

MD5

18080C897FEE73EFED43FD054CD8941F  

509048748DA8071701D37B2E85698C09  

99E71C359A0278A11FD3702D51157997  

IP

50.23.215.155

206.198.226.9

207.150.220.204

78.100.162.222

63.230.124.249

186.71.61.91

5.32.119.58

80.69.56.6

149.62.173.247

103.59.201.76

108.170.54.171

49.62.173.247

3.230.124.249

80.69.56.5

208.97.32.81

173.197.222.214

190.143.132.114

186.71.61.91

190.131.167.194

208.104.22.125

190.131.6.100

204.184.25.164

98.190.202.177

DNS

vdtogt.nl

viciousenterprises.com

unclebudspice.com

thesilveramericaneagle.com

valiunas.com

URL

http://vdtogt.nl/amyQ

http://viciousenterprises.com/qXUuXq

http://unclebudspice.com/80d

http://thesilveramericaneagle.com/tb

http://valiunas.com/G8CooI

http://63.230.124.249:443/

http://82.28.208.186/

http://78.100.163.222/

http://24.224.45.166:8080/

http://149.62.173.247:8080/

http://108.170.54.171:8080

http://208.97.32.81:8080/

http://208.104.22.125:990/

http://80.69.56.5:50000/

http://173.197.222.214:443/

源链接

Hacking more

...