摘要
在过去的几天里,Cofense检测到了Geodo / Emotet恶意软件近期活动的两个特征,一是Geodo僵尸网络正在通过网络钓鱼行为直接散播非Geodo恶意软件,比如Qakbot银行木马;二是Geodo已经定位了更为精准的攻击目标——美国州级政府机构的员工。
Cofense之前已经已经多次报道过Geodo / Emotet的相关内容,Geodo的最近一次现身是在假期结束后的一月份,而此次观测到的活动又出现了新的迹象,Geodo背后的威胁行为者通过在其产品中添加交付服务,可以散播其他恶意payload。
过程详述
Cofense Intelligence注意到Geodo僵尸网络中发生了某种行为变化,截至1月28日,Cofense已检测到Geodo僵尸网络通过网络钓鱼直接向受害者发送非Geodo恶意软件的行为,其中就包括Qakbot银行木马,并且此次钓鱼活动在攻击目标数量上也有所增加。为了隐藏活动迹象,Geodo还会在感染结束时将二进制文件的内容替换为calc.exe的内容。上述这些变化再次表明,Geodo仍在发展壮大中。
当然,此次传播Qakbot的行动,在架构上仍然遵循了典型的Geodo特点——一个武器化的Office文档(包含了钓鱼传播的恶意宏),唯一的例外在于payload,也就是Qakbot。据其他机构的报道,除了Qakbot之外,此次行动还传播了另一个臭名昭著的恶意木马——IcedID。 图1中我们截取了此次行动中某封电子邮件的正文,一个法语的网络钓鱼邮件,邮件的主要内容是关于发票的。 请注意,附件是缺少扩展名的Microsoft Word文档。图2显示了直接在Word中打开文档的展示结果。
图1.电子邮件正文和没有扩展名的附件
图2.执行该附件的展示结果
如果环境与进一步感染所需的参量保持一致,并且用户接受了打开文档所需的提示,则将执行一个小宏,并会试图从5个硬编码位置中的任何一个处检索payload。宏本身在执行最终的PowerShell负载之前会有几个消除混淆的迭代。图3显示了脚本的最后一层,它的变量名和结构中仍然包含少量的混淆。
图3.Office宏使用的PowerShell脚本
这个宏具有Geodo脚本的所有典型特征,包括由“@”符号分隔的url列表。不过这个宏也提供了一个微妙的新特性:在脚本的末尾,会检查检索到的payload的大小,以确保它超过40KB。此检查的目的是确保下载的内容可能是可执行文件,而不是恶意HTML或其他文件。一个简单的HTML blob的大小很可能小于40KB,而一个格式良好的可执行文件(比如Qakbot和Geodo的可执行文件)的大小会超过几个KB。
在分析过程时,Cofense Intelligence注意到五个payload位置中的只有第一个位置交付了Qakbot,而其他的都交付了Geodo。Qakbot的出现与以往典型的Geodo行为有很大的不同——以往5个负载位置都是Geodo,以二进制文件表示。
图4.获取Qakbot负载的网络GET请求
Qakbot payload下载完后,名称将被更改为914.exe,并放置在C:/Users/Admin/AppData/Local/Temp目录中。
图5.914.exe在Temp目录中的位置
在此感染周期中,当%temp%中的payload被执行时,它会在将其自身的副本放入其他位置之前,执行标准的反分析检查和反沙箱检查,而位置的变化取决于执行的二进制文件的权限。之前的行动中往往只是简单的保留原始二进制文件,并且这些二进制文件几乎总是以相同的方式命名:<3 number> .exe – in%temp%。 然而,此次检测到的行动可以看出,背后的行为人正进一步试图隐藏其足迹。二进制文件在%temp%中会被替换为合法的Windows Calculator的内容:calc.exe。图6显示了用于此项动作的脚本。
图6.用calc.exe的副本覆盖弃用的二进制文件
上面命令的第一部分,也就是第一个“&”符号之前的内容——只是用6个ICMP包ping了本地机器。该命令在其他恶意软件中也经常能见到,用其来延迟时间或稍微混淆命令的后半部分。type用于读取文件的内容。在本例中,该命令会读取cal .exe的内容,并覆盖在%temp%中弃用的二进制文件的内容。
自1月28日以来,我们观察到几次失败的攻击行动,并试图就此归纳出一种新形式的范本(也被其他独立的Geodo研究人员称为The Violet Template)。图7和图8展示了此次行动的示例; 图9展现了典型的Violet范本。这些不成功的尝试似乎都发生在Epoch 1 Geodo僵尸网络中,许多研究人员认为这表示仍在开发或测试阶段,而Epoch 2则将是用于正式的攻击行动中。
图7.Geodo僵尸网络发送的一个损坏的宏
图8.Geodo样本在执行时崩溃
图9.Violet范本中的示例消息
除了技术上的变化,Geodo还开始使用内部签名和以前的寻址线索来针对美国州政府部门的员工。这代表Geodo在改进上显得更具有针对性——这也是我们在去年11月的报告中不曾看到的。由于目标的敏感性,这里将不做图像展示。针对这些员工的钓鱼邮件据称来自部门员工间的相互感染,获取的情报可能是从该部门之前感染Geodo的用户的电子邮件帐户中截取的。
Geodo已演变成了当前一个不断扩大的威胁,其收入模式似乎是其运营商战略的核心。也是通过从一手资料盗窃转向“即服务即交付”模式,Geodo确立了自己作为恶意软件散播纽带的关键地位。到目前为止,Geodo的传播模式决定了Geodo需要直接部署到感染机器上,而在不远的将来,可能仅需更新这个模式就能安装更多的恶意负载,而不需要进行二次安装。