freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Emotet银行木马分析报告
2018-08-15 14:00:39

一、背景

最近一段时间国外安全研究人员在相关安全社交网站上公布了多个Emotet银行木马最新的变种样本,深信服EDR安全团队对此事进行了相关跟进,获取到了相应的样本,并对其中一个最新的变种样本进行了详细分析。

Emotet银行木马首次发现是在2014年6月份,此银行木马主要通过垃圾邮件的方式进行传播感染目标用户,是一款比较著名且复杂的银行木马。

二、样本运行流程

图片.png

三、样本分析

邮件附件DOC样本(重命名为Emotet.doc),如下所示:

图片.png

打开文档之后,如下:

图片.png

使用VBA编辑器,查看里面包含宏代码,如下:

图片.png图片.png

提取里面的VBA,如下:

图片.png

里面包含自动可执行的恶意宏代码,相应的宏代码如下:

图片.png

宏代码的结构表,如下:

图片.png

动态调试,解密出相应的宏代码,如下:

图片.png

是一段混淆过的cmd命令脚本,此CMD脚本运行之后会调用powershell脚本,相应的powershell脚本,如下:

图片.png

重新整理之后,如下:

图片.png

此powershell脚本会遍历相应的恶意服务器网站,然后从网站下载相应的恶意程序,并重命名为727.exe,运行DOC之后,如下:

图片.png

727.exe分析

1.核心代码是经过加密的,如下所示:

图片.png

2.通过动态调试分析,如下:

图片.png

3.获取操作系统的位数,名称及版本信息,如下:

图片.png

4.在内存进行PE文件解密操作,然后执行到内存中PE文件入口点,如下:

图片.png

5.创建互斥变量PEMA94,如下:

图片.png

6.通过GetModuleFileName获取文件路径,如下:

图片.png

7.调用CreateProcess启动程序,创建子进程,如下:

图片.png

8.创建完子进程之后,通过ExitProcess退出父进程,如下:

图片.png

运行之后相应的进程信息,如下:

图片.png

对创建的子进程相关分析

1.通过GetWindowsDirectory获取Windows目录下,如下:

图片.png

2.获取磁盘信息,如下:

图片.png

3.创建互斥变量Global\M1A9E9938,如下:

图片.png

4.创建窗口,如下:

图片.png

捕获窗口消息,执行消息循环操作,如下:

图片.png

5.设置相应的注册表项,如下:

图片.png

设置的注册表项,如下:

图片.png

6.通过GetComputerNameW获取计算机名,拼接成随机字符串,如下:

图片.png

7.在临时目录创建44E0.tmp程序,如下:

图片.png

8.在系统目录创建tvoutduplex程序,如下:

图片.png

9.创建tvoutduplex服务,如下:

图片.png

创建的相应的服务,如下:

图片.png

10.枚举相应的服务状态,如下:

图片.png

11.然后启动服务进程,如下:

图片.png

12.销毁创建的窗口,如下:

图片.png

13.退出子进程,如下所示:

图片.png

运行之后相应的进程信息,如下:

图片.png

tvoutduplex样本分析

1.获取计算机操作系统版本信息,如下:

图片.png

2.遍历主机中的进程,获取进程信息,如下:

图片.png

获取到的主机进程列表,如下:

图片.png

3.然后将之前获取的主机用户名,操作系统版本以及进程列表信息拼接成字符串,通过算法进行加密,如下:

图片.png

4.获取远程服务器地址,如下:

图片.png

5.通过GetTickCount获取随机数字,如下:

图片.png

然后拼接之成加密的数据,如下:

图片.png

最后通过Cookie发送到远程恶意服务器,下载相应的恶意模块,如下:

图片.png

6.恶意服务器地址,会随机改变,如下:

图片.png

得到的相关的恶意服务器地址,见IOC表

7.读取相应的恶意服务器网站数据,如下:

图片.png

读取到的数据,如下:

图片.png

网络流量分析

1.下载Emotet母体样本,流量如下:

图片.png

下载相应的Emotet母体样本,如下:

图片.png

2.上传主机的相关信息,流量如下:

图片.png

3.返回的相应的数据包,如下:

图片.png

四、解决方案

深信服EDR已经能有效检测御防此类银行木马家族及其变种,同时深信服EDR安全团队提醒广大用户:

1.不要点击来源不明的邮件附件,不从不明网站下载软件

2.及时给主机打补丁,修复相应的高危漏洞

3.对重要的数据文件定期进行非本地备份

4.尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139,3389等

5.RDP远程服务器等连接尽量使用强密码,不要使用弱密码

6.安装专业的终端安全防护软件,为主机提供端点防护和病毒检测清理功能 

五、相关IOC

MD5

18080C897FEE73EFED43FD054CD8941F  

509048748DA8071701D37B2E85698C09  

99E71C359A0278A11FD3702D51157997   

IP

50.23.215.155

206.198.226.9

207.150.220.204

78.100.162.222

63.230.124.249

186.71.61.91

5.32.119.58

80.69.56.6

149.62.173.247

103.59.201.76

108.170.54.171

49.62.173.247

3.230.124.249

80.69.56.5

208.97.32.81

173.197.222.214

190.143.132.114

186.71.61.91

190.131.167.194

208.104.22.125

190.131.6.100

204.184.25.164

98.190.202.177 

DNS

vdtogt.nl

viciousenterprises.com

unclebudspice.com

thesilveramericaneagle.com

valiunas.com 

URL

http://vdtogt.nl/amyQ

http://viciousenterprises.com/qXUuXq

http://unclebudspice.com/80d

http://thesilveramericaneagle.com/tb

http://valiunas.com/G8CooI

http://63.230.124.249:443/

http://82.28.208.186/

http://78.100.163.222/

http://24.224.45.166:8080/

http://149.62.173.247:8080/

http://108.170.54.171:8080

http://208.97.32.81:8080/

http://208.104.22.125:990/

http://80.69.56.5:50000/

http://173.197.222.214:443/

*本文作者:千里目安全实验室,转载请注明来自FreeBuf.COM

# 银行木马 # Emotet
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者