威尼斯432888cam(中国集团)有限公司-企业百科


打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
首页 > 关于威尼斯432888cam > 企业新闻

新闻与活动

威尼斯432888cam最新资讯与活动。

警惕!Emotet木马卷土重来,威尼斯432888cam检测拦截一气呵成!
发布时间 :2021年12月02日
类型 :勒索软件
分享:

近日,威尼斯432888cam侦测到大量垃圾邮件攻击事件,攻击者会在垃圾邮件中放入带有宏病毒的文档,其通过使用宏4.0加密来增加分析难度。其宏代码会外联恶意链接后下载dll文件。该dll文件经分析确认为Emotet家族木马。目前威尼斯432888cam新版本病毒码已支持检测,WRS已经可以拦截Emotet木马相关URL。


Emotet是一种计算机恶意软件程序,最初是作为一种银行木马病毒开发的。其目的是访问外部设备并监视敏感的私有数据。其主要通过垃圾电子邮件传播。相应的电子邮件包含恶意链接或受感染的文档。如果点击下载文档或打开链接,则会自动下载恶意软件到计算机上。这些电子邮件看起来非常真实,因此Emotet的受害者众多,如下是典型攻击邮件样例:

1.jpg



攻击流程


2.jpg


威尼斯432888cam产品解决方案


 


√ 威尼斯432888cam病毒码版本17.225.60,云病毒码版本17.225.71,全球码版本17.225.00已经可以检测,请用户及时升级病毒码版本。

√ 威尼斯432888camWRS已经可以拦截Emotet木马相关URL。



病毒详细分析


 Excel文件分析

Excel类的Emotet主要使用了宏4.0,不同于以往宏病毒,宏4.0的解析需要拼接单元格中的字符来还原:


3.jpg

打开宏病毒会发现其宏代码界面为空:

4.jpg

样本中存在大量的隐藏sheet,其恶意代码均隐藏其中。

5.jpg

6.jpg


通过解析资源,威尼斯432888cam可以到其会调用urldownloadfile外联地址并下载dll文件执行。

7.png


 Doc文档分析


Doc类文档会把自身的project进行加密:

9.png


打开其vba界面会发现可疑project,并且被加密,以此来保护宏代码:

10.png

经过破解得到其project代码主要是在关闭文档时执行释放的bat文件:

11.png

12.png

Bat文件经过base64加密混淆:

13.png

经解密后发现bat其行为是调用powershell外联恶意地址下载dll后执行,下载的dll均经过随机字符串命名。

14.png


Dll文件分析


最终执行样本名为随机,besta.ocx为初始名称,其由宏病毒母体释放,之后以参数44531.6803328704通过rundll32运行,运行后,经过数分钟延时,再次以子进程重新执行自身C:\Windows\SysWOW64\besta.ocx。延时后,释放代码,代码经过加密处理,对所有api及参数进行加密保护,形如以下代码:


15.png

释放的代码为新的dll:

16.png

在联网的情况下,释放自身文件到以下目录的随机路径:

C:\Windows\SysWOW64\Afarrpbjz\ykunaogriwtv.vkj

延迟后,第三次以子进程重新执行自身:

C:\Windows\SysWOW64\rundll32.exe "C:\Windows\SysWOW64\Afarrpbjz\ykunaogriwtv.vkj",Psgip

之后第四次执行自身:

C:\Windows\SysWOW64\rundll32.exe "C:\Windows\SysWOW64\Afarrpbjz\ykunaogriwtv.vkj",Control_RunDLL

Dll经过多次运行后会释放到C:\Windows\System32\Hhhxkyjbrspraj\[random],实际还是文件自身:

17.png

在这一次中,开始执行后门功能:

① 执行C:\Windows\system32\ipconfig  /renew刷新ip后开始尝试连接下列服务器:

18.png


19.png


② 流量使用https(8080端口),内容经过bcypt加密:

20.png

21.png


③ 当服务器连接成功后,上报本机信息,接收指令,开始后门C&C。

22.png


安全建议


√ 不要点击来源不明的邮件以及附件;

√ 不要点击来源不明的邮件中包含的链接;

√ 不要随意点击来历不明的office文档,将Office默认设置“受保护的视图”;

√ 打开系统自动更新,并检测更新进行安装;

√ 请到正规网站或者应用商店下载程序;

√ 采用高强度的密码,避免使用弱口令密码,并定期更换密码;

√ 尽量关闭不必要的端口;

√ 尽量关闭不必要的网络共享;

 


IOCs



23.png


URL

hxxps[:]//thetrendskill[.]com/wp-content

hxxp[:]//alittlebrave[.]com/wp-content

hxxps[:]//www[.]pasionportufuturo[.]pe

hxxp[:]//sp[.]mongoso[.]com/wp-content

hxxp[:]//prabin[.]me/content

hxxps[:]//zbc[.]vn/wp-admin

hxxp[:]//www[.]thebanditproject[.]com/wp-content

hxxp[:]//sterileinstrument[.]com/sterilematrix_mf

hxxps[:]//www[.]radio-galaxia[.]us

hxxp[:]//gronninggrafisk[.]dk

hxxp[:]//multilifecapsule[.]com

hxxp[:]//sierraendurancesports[.]com

分享到微信
X