Emotet恶意软件家族最近因将勒索软件payload传播到美国的基础设施而登上头条。研究人员最近就发现僵尸网络运营者新加的一个能够窃取邮箱内容的模块。

这一新功能能够有效利用现有的Emotet感染情况，将受感染用户系统中的邮件内容窃取并发回给僵尸网络运营者。该功能能够有效获取邮箱列表中180天内的邮件，并发回给攻击者。

邮件信息窃取模块

之前的Emotet模块已经使用Outlook Messaging API来窃取通讯录列表。MAPI使用最常用的例子就是Simple MAPI和完全MAPI，Simple MAPI是Windows默认Windows Live邮件客户端的一部分，完全MAPI是Outlook和Exchange使用的。也就是说，该API可以在配置合理的情况下使应用可以访问邮件。

配置也是该模块首先检查的。访问注册表HKLM\Software\Clients\Mail\Microsoft Outlook，到mapi32.dll模块的路径DllPathEx需要进行定义。注册表是非常明确的，有许多的看似真实的key该模块并不会关注，比如HKLM\Software\Clients\Mail\Windows Mail。

对每封邮件，模块会收集：

· 发件人姓名和邮箱；

· 收件人姓名和邮箱。

这个新的模块更加全面，还包括邮件的主题和主体部分。会爬取interpersonal message (IPM) 根目录下的每个子文件夹的邮件：

· 确认邮件是否是过去的100e-9 * 15552000000 * 10000 / 3600 / 24 = 180天内发送和接收的（PR_MESSAGE_DELIVERY_TIME）。

· 如果是，就获取发件人(PR_SENDER_NAME_W, PR_SENDER_EMAIL_ADDRESS_W)、收件人(PR_RECEIVED_BY_NAME_W, PR_RECEIVED_BY_EMAIL_ADDRESS_W)、主题(PR_SUBJECT_W)和主体(PR_BODY_W)。

· 如果主体部分超过16384个字符，就会被缩短为16384个字符加上该字符串……

然后会在全局链接列表中添加一个含有上述邮件信息的结构，并用Base64编码写入一个临时文件。

攻击原理

攻击步骤图

需要强调的是，该模块被应用到已被Emotet感染的系统中，并开始窃取邮件并发回给攻击者。过去的几天，Emotet大约窃取了上万个被感染系统的无数封邮件。

下面看一下其工作原理：

· 受感染的Emotet 的会从C2服务器加载模块DLL， DLL会将payload二进制文件注入到新的Emotet进程中；

· 新进程会扫描所有邮件，并将结果保存到临时文件中；

· 原始的模块DLL会等payload执行结束（或300秒后杀掉该进程），然后读取临时文件；

· 原始DLL会用WinINet API发布一个发送临时文件到C2服务器的HTTP请求。

Emotet的全球威胁追踪图

结论

Emotet已经成为一个严重的威胁，最近在美国的城市使用勒索软件，已造成超过100万美元的损失。美国是受Emotet影响最严重的国家之一。而Emotet的运营者开始转移到服务端提取，邮件泄露带来的危害也不容小觑。Emotet是迄今为止最高级的僵尸网络之一，企业应该尽量减少暴露的威胁点，利用可以帮助做出明智决策的情报信息。