Emotet

Emotet在2014年6月被安全厂商趋势科技发现,据公开信息认为是Mealybug网络犯罪组织在运营,至今保持活跃。该家族由针对欧洲的银行客户的银行木马发展成为了对全球基础设施的僵尸网络,在攻与防的较量中,使用的的技术手法层出不穷。
Emotet是一种通过邮件传播的银行木马,诱骗用户点击执行恶意代码,最早被发现于2014年并持续活动至今,在国内也有一定的影响面,其积极的杀软对抗策略使之成为一个难缠的对手。
Emotet是一种主要通过垃圾邮件进行传播的木马。传播至今,已进行过多次版本迭代。早期版本中,它通过恶意JavaScript文件被投递。在后来的版本,演变为使用启用宏的Office文档从C2服务器下载后进行传播。
Emotet是2014年发现的一种银行木马,之后研究人员发现了大量的Emotet垃圾邮件活动,使用多种钓鱼方法诱使用户下载和加载恶意payload,主要使用恶意Word文档传播。
之前在文中我拆解了一个Emotet Downloader,它使用宏和Powershell命令从受感染的网站下载Emotet。虽然他们已经修改了他们的下载器的工作方式,幸运的是它已经上传到VirusBay。
如果大家读过minerva实验室之前发表的文章,那么应该对Emotet有所了解。最近minerva又阻挡了Emotet新发起的一波攻击,这波攻击以圣诞节主题,我们将其称之为“Emotet Grinch”(Emotet圣诞怪杰)。
在这篇文章中,我首先会跟大家分析目前比较热门的银行木马Emotet,并在分析的过程中给大家介绍一款功能强大的新工具。接下来,我会告诉大家如何使用这款工具,并且提取出已编码的PowerShell脚本。