威尼斯432888cam(中国集团)有限公司-企业百科


股票代码:688225
Menu

产品全景图 >

云安全
终端安全
数据安全
身份安全
高级威胁治理
网络与通信安全
安全管理
SaaS服务
一体化智能安全运营平台
网络管理
信息技术应用创新
工业安全

安全服务 >

安全运营 >

云安全
信池云安全资源池【ForCloud SDSEC】
信舱多云安全管理平台【ForCloud CSPM】
信舱RASP应用自保护安全【ForCloud RASP】
信舱自适应微隔离【ForCloud MSG】
信舱云原生容器安全 【ForCloud CNAPP】
信舱云主机无代理安全防护【ForCloud AGENTLESS】
信舱云主机有代理安全防护【ForCloud CWPP】
终端安全
新一代终端安全TrustOne
数据安全
信数数据安全运营平台【AISDSOP】
信数数据分类分级系统【AISDC】
信数数据库审计系统【AISDBA】
信数数据脱敏系统【AISDM】
信数数据库防火墙【AISDBFW】
信数数据库访问控制【AISDBAC】
信数多方计算平台【AISMPC】
信数应用安全审计系统【AISAPI】
信数数据防泄漏系统【AISNDLP】
信数数据水印溯源系统【AISDWM】
信数数据库加密系统【AISDBE】
身份安全
信磐统一身份认证与访问管理系统【AISIAM】
信磐堡垒机【AISIFORT】
高级威胁治理
信桅高级威胁监测系统【TDA】
信桅高级威胁分析系统【DDAN】
信桅高级威胁邮件防护系统【DDEI】
信池统一安全管理平台【LinkOne】
信桅蜜罐系统【AISBIG】
网络与通信安全
信舷防毒墙系统【AISEDGE】
信舷防火墙系统【AISFW】
信舷WEB应用防火墙系统【AISWAF】
信舷网络威胁入侵防护系统【AISTPS】
信舷上网行为审计系统【AISACG】
信磐互联网接入认证系统【AISOBS】
集中IPoE接入认证系统【AISDHCP】
DNS全业务域名解析系统【AISDNS】
域名服务和地址分配及管理系统【AIDDI】
信舷安全隔离与信息交换系统【AISIES】
信舷网页防篡改系统【AISWD】
信舷抗拒绝服务系统【AISADS】
5G全流量安全检测与响应系统【AIS5GNDR】
大模型安全网关【AISLFW】
信桨网络流量审计分析系统【SpiderFlow】
安全管理
日志审计分析系统【AIRDS】
漏洞扫描系统【SpiderScan】
安全数据中心【AISSDC】
SaaS服务
天穹共享免疫SaaS系统【ImmunityOne】
一体化智能安全运营平台
信舵安全管理与分析平台【MAXS】
网络管理
故障管理系统【AISFMS】
算网融合管理系统【AISCNCMP】
综合终端管理系统 【AISITMS】
智能网管系统【AISIPOSS】
信息技术应用创新
信创DHCP系统
信创DNS全业务域名解析系统
信创AAA系统
信创零信任访问控制系统
信创统一帐号认证授权平台
信创防毒墙系统
信创高级威胁监测系统
信创WEB应用防火墙系统
信创防火墙系统
工业安全
信桨工控防火墙【ICFireWall】
信桨工业流量审计分析系统【ICFlow】
信桨工业主机安全加固【ICHost】
信桨工业安全管理平台【ICSMP】
信桨工业安全隔离与信息交换系统 【ICGAP】
信桨工业运维安全管理与审计系统【ICOPS】
信桨工控等保检查工具箱【ICSI】
安全运营
MSS托管安全运营服务
热点推荐
<
|
>
打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
首页 > 安全通告

安全通告

警惕!Emotet木马卷土重来,威尼斯432888cam检测拦截一气呵成!
发布时间 :2021年12月02日
分享:

近日,威尼斯432888cam侦测到大量垃圾邮件攻击事件,攻击者会在垃圾邮件中放入带有宏病毒的文档,其通过使用宏4.0加密来增加分析难度。其宏代码会外联恶意链接后下载dll文件。该dll文件经分析确认为Emotet家族木马。目前威尼斯432888cam新版本病毒码已支持检测,WRS已经可以拦截Emotet木马相关URL。


Emotet是一种计算机恶意软件程序,最初是作为一种银行木马病毒开发的。其目的是访问外部设备并监视敏感的私有数据。其主要通过垃圾电子邮件传播。相应的电子邮件包含恶意链接或受感染的文档。如果点击下载文档或打开链接,则会自动下载恶意软件到计算机上。这些电子邮件看起来非常真实,因此Emotet的受害者众多,如下是典型攻击邮件样例:

1.jpg



攻击流程


2.jpg


威尼斯432888cam产品解决方案


 


√ 威尼斯432888cam病毒码版本17.225.60,云病毒码版本17.225.71,全球码版本17.225.00已经可以检测,请用户及时升级病毒码版本。

√ 威尼斯432888camWRS已经可以拦截Emotet木马相关URL。



病毒详细分析


 Excel文件分析

Excel类的Emotet主要使用了宏4.0,不同于以往宏病毒,宏4.0的解析需要拼接单元格中的字符来还原:


3.jpg

打开宏病毒会发现其宏代码界面为空:

4.jpg

样本中存在大量的隐藏sheet,其恶意代码均隐藏其中。

5.jpg

6.jpg


通过解析资源,威尼斯432888cam可以到其会调用urldownloadfile外联地址并下载dll文件执行。

7.png


 Doc文档分析


Doc类文档会把自身的project进行加密:

9.png


打开其vba界面会发现可疑project,并且被加密,以此来保护宏代码:

10.png

经过破解得到其project代码主要是在关闭文档时执行释放的bat文件:

11.png

12.png

Bat文件经过base64加密混淆:

13.png

经解密后发现bat其行为是调用powershell外联恶意地址下载dll后执行,下载的dll均经过随机字符串命名。

14.png


Dll文件分析


最终执行样本名为随机,besta.ocx为初始名称,其由宏病毒母体释放,之后以参数44531.6803328704通过rundll32运行,运行后,经过数分钟延时,再次以子进程重新执行自身C:\Windows\SysWOW64\besta.ocx。延时后,释放代码,代码经过加密处理,对所有api及参数进行加密保护,形如以下代码:


15.png

释放的代码为新的dll:

16.png

在联网的情况下,释放自身文件到以下目录的随机路径:

C:\Windows\SysWOW64\Afarrpbjz\ykunaogriwtv.vkj

延迟后,第三次以子进程重新执行自身:

C:\Windows\SysWOW64\rundll32.exe "C:\Windows\SysWOW64\Afarrpbjz\ykunaogriwtv.vkj",Psgip

之后第四次执行自身:

C:\Windows\SysWOW64\rundll32.exe "C:\Windows\SysWOW64\Afarrpbjz\ykunaogriwtv.vkj",Control_RunDLL

Dll经过多次运行后会释放到C:\Windows\System32\Hhhxkyjbrspraj\[random],实际还是文件自身:

17.png

在这一次中,开始执行后门功能:

① 执行C:\Windows\system32\ipconfig  /renew刷新ip后开始尝试连接下列服务器:

18.png


19.png


② 流量使用https(8080端口),内容经过bcypt加密:

20.png

21.png


③ 当服务器连接成功后,上报本机信息,接收指令,开始后门C&C。

22.png


安全建议


√ 不要点击来源不明的邮件以及附件;

√ 不要点击来源不明的邮件中包含的链接;

√ 不要随意点击来历不明的office文档,将Office默认设置“受保护的视图”;

√ 打开系统自动更新,并检测更新进行安装;

√ 请到正规网站或者应用商店下载程序;

√ 采用高强度的密码,避免使用弱口令密码,并定期更换密码;

√ 尽量关闭不必要的端口;

√ 尽量关闭不必要的网络共享;

 


IOCs



23.png


URL

hxxps[:]//thetrendskill[.]com/wp-content

hxxp[:]//alittlebrave[.]com/wp-content

hxxps[:]//www[.]pasionportufuturo[.]pe

hxxp[:]//sp[.]mongoso[.]com/wp-content

hxxp[:]//prabin[.]me/content

hxxps[:]//zbc[.]vn/wp-admin

hxxp[:]//www[.]thebanditproject[.]com/wp-content

hxxp[:]//sterileinstrument[.]com/sterilematrix_mf

hxxps[:]//www[.]radio-galaxia[.]us

hxxp[:]//gronninggrafisk[.]dk

hxxp[:]//multilifecapsule[.]com

hxxp[:]//sierraendurancesports[.]com

上一篇:招聘有“陷阱”!FakeWord木马病毒伪装简历文档,点击要小心

下一篇:威胁周报 | Wi-Fi接入再曝安全事件,数百万个人数据遭泄露

返回列表
分享到微信
X