手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中

Emotet加入新的绕过技术和代理C2服务器

来源£º本站整理 作者£º佚名 时间£º2019-04-28 TAG£º 我要投稿

自2014年首次被发现至今£¬Emotet银行木马不断地发展¡£美国政府估计Emotet事件需要花费一个企业100万美元来修复¡£Emotet是一款广泛传播的恶意软件£¬而且其开发者也在不断地加入新的功能¡¢传播方法等¡£
通过对Emotet的流量分析可以看出新样本使用的是与之前样本不同的后感染流量¡£恶意软件尝试使用被黑的互联网设备作为代理C2服务器以重定向到真实的C2服务器¡£这些变化带来的C2流量复?#26377;?#30340;变化可以帮助其绕过检测¡£这些发现也表明恶意软件正被?#32654;?#24863;染和收集?#26032;?#27934;的联网设备£¬这些设备会被用作恶意用途¡£
通过垃圾邮件传输
Emotet主要通过垃圾邮件的方式到达受害者系统¡£研究人员发现的4月初的样本中恶意软件仍通过垃圾邮件在木马下载器Powload的帮助下进行传播¡£垃圾邮件消息会诱使用户下载邮件中的恶意文件£¨附件£©¡£附件是一个ZIP文件£¬可以用邮件正文中的4位密码打开¡£分析zip文件发现含有一个Powload的变种£¬如果用户输入密码£¬文件就使用Powershell来下载可执行文件£¬也就是Emotet的payload¡£

图1. Emotet垃圾邮件示例
后感染流量的变化
研究人员是从2019年3月15日开?#25216;?#25511;这波使用POST-infection流量的Emotet样本的¡£这也是研究人员首次使用POST-infection流量技术¡£

图2. Emotet post-infection HTTP Post请求流量
之前的Emotet流量中是连接并不使用URI路径£¬但是新样本中使用的是随机的单词和数字组合作为URL目录路径£¬如图2所示¡£URI路径中的随机字母可以帮助恶意软件绕过基于网络的检测¡£空URI路径是红色的flag£¬所以该技术可以帮助使流量看起来更加合法£¨非恶意£©¡£
下面是新样本中的URI路径中使用的随机单词£¬这些单词也出现在Emotet可执行文件中¡£

图3. URI中使用的单词
除了URI路径外£¬HTTP POST消息主体中的数据也发生了变化¡£之前的Emotet样本使用HTTP GET请求来发送受害者信息到C2服务器£¬数据保存在Cookie header中¡£数据用RSA KEY和AES加密£¬然后用base64编码£¬再加入到cookie值中¡£
新样本的流量中£¬攻击者使用Cookie header并讲HTTP请求方法修改为POST¡£数据仍然使用RSA key和AES加密£¬然后用base64编码¡£但是是保存再HTTP POST消息主体而不是cookie值中¡£这一变化又增加了复?#26377;?#21487;以帮助恶意软件绕过检测或增加分析所需的时间¡£

图4. 新旧Emotet样本C2流量比较
使用联网设备作为C2代理服务器
Emotet的样本中有一个硬编码的IP地址列表作为C2服务器¡£平均每个Emotet样本中含有39个C2服务器£¬最多有44个£¬最少有14个¡£通过分析已知的Emotet C2服务器的活跃IP地址£¬研究人员发现这些IP其实是一些联网设备¡£其中一个是路由器的web接口£¬另一个是管理打印机和其他设备的嵌入式服务器£¬还有一个好像是DVR£¨Digital Video Recorders£©的服务器接口¡£
通过分析Emotet C2服务器研究人员发现这些联网的设备都被用作C2通信的一个新加的层¡£

图5. Shodan?#38468;?br/>
图6. 被黑的DVR的登陆页面
通过分析活跃的C2服务器的开放端口和服务£¬研究人员发现Emotet尝试利用这些?#26032;?#27934;的联网设备作为第一层的C2服务器¡£这一层服务器作为代理会重定向受害者到真实的C2服务器£¬在C2服务器通信中加入一层可以使分析人员难以追踪攻击者¡£而且攻击者还可以使用这些?#26032;?#27934;的设备来做其他恶意活动¡£
3月份Shodan扫描的C2列表表明Emotet已经在使用大量的联网设备了£º

表1. Emotet黑掉的联网设备
如何应对£¿
POST-infection流量的变化和使用联网设备都表明Emotet仍在不断更新£¬而且是不断发展的一个威?#30149;?#24694;意软件作者使用了新的绕过技术£¬如果不能检查或无法检测到£¬那么威胁就会继续发展£¬给企业带来更大的经济和数据损失¡£研究人员建议使用多层防御机制£¬保护网关¡¢终端¡¢网络和服务器在内的所有设备¡£
 

?#26087;?#26126;¡¿:黑吧安全网(http://www.rliwo.live)登载此文出于传递更多信息之目的£¬并不代表本站赞同其观点和对其真实性负责£¬仅适于网络安全技术爱好者学习研究使用£¬学习中请遵循国家相关法律法规¡£如有问题请联系我们£¬联系邮箱[email protected]£¬我们会在最短的时间内进行处理¡£
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载
        ¹ºÂò²ÊƱȨÍþÍøÖ·
        手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中