手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中

Emotet加入新的绕过技术和代理C2服务器

来源:本站整理 作者:佚名 时间:2019-04-28 TAG: 我要投稿

自2014年首次被发现至今,Emotet银行木马不断地发展。美国政府估计Emotet事件需要花费一个企业100万美元来修复。Emotet是一款广泛传播的恶意软件,而且其开发者也在不断地加入新的功能、传播方法等。
通过对Emotet的流量分析可以看出新样本使用的是与之前样本不同的后感染流量。恶意软件尝试使用被黑的互联网设备作为代理C2服务器以重定向到真实的C2服务器。这些变化带来的C2流量复?#26377;?#30340;变化可以帮助其绕过检测。这些发现也表明恶意软件正被?#32654;?#24863;染和收集?#26032;?#27934;的联网设备,这些设备会被用作恶意用途。
通过垃圾邮件传输
Emotet主要通过垃圾邮件的方式到达受害者系统。研究人员发现的4月初的样本中恶意软件仍通过垃圾邮件在木马下载器Powload的帮助下进行传播。垃圾邮件消息会诱使用户下载邮件中的恶意文件(附件)。附件是一个ZIP文件,可以用邮件正文中的4位密码打开。分析zip文件发现含有一个Powload的变种,如果用户输入密码,文件就使用Powershell来下载可执行文件,也就是Emotet的payload。

图1. Emotet垃圾邮件示例
后感染流量的变化
研究人员是从2019年3月15日开?#25216;?#25511;这波使用POST-infection流量的Emotet样本的。这也是研究人员首次使用POST-infection流量技术。

图2. Emotet post-infection HTTP Post请求流量
之前的Emotet流量中是连接并不使用URI路径,但是新样本中使用的是随机的单词和数字组合作为URL目录路径,如图2所示。URI路径中的随机字母可以帮助恶意软件绕过基于网络的检测。空URI路径是红色的flag,所以该技术可以帮助使流量看起来更加合法(非恶意)。
下面是新样本中的URI路径中使用的随机单词,这些单词也出现在Emotet可执行文件中。

图3. URI中使用的单词
除了URI路径外,HTTP POST消息主体中的数据也发生了变化。之前的Emotet样本使用HTTP GET请求来发送受害者信息到C2服务器,数据保存在Cookie header中。数据用RSA KEY和AES加密,然后用base64编码,再加入到cookie值中。
新样本的流量中,攻击者使用Cookie header并讲HTTP请求方法修改为POST。数据仍然使用RSA key和AES加密,然后用base64编码。但是是保存再HTTP POST消息主体而不是cookie值中。这一变化又增加了复?#26377;?#21487;以帮助恶意软件绕过检测或增加分析所需的时间。

图4. 新旧Emotet样本C2流量比较
使用联网设备作为C2代理服务器
Emotet的样本中有一个硬编码的IP地址列表作为C2服务器。平均每个Emotet样本中含有39个C2服务器,最多有44个,最少有14个。通过分析已知的Emotet C2服务器的活跃IP地址,研究人员发现这些IP其实是一些联网设备。其中一个是路由器的web接口,另一个是管理打印机和其他设备的嵌入式服务器,还有一个好像是DVR(Digital Video Recorders)的服务器接口。
通过分析Emotet C2服务器研究人员发现这些联网的设备都被用作C2通信的一个新加的层。

图5. Shodan?#38468;?br/>
图6. 被黑的DVR的登陆页面
通过分析活跃的C2服务器的开放端口和服务,研究人员发现Emotet尝试利用这些?#26032;?#27934;的联网设备作为第一层的C2服务器。这一层服务器作为代理会重定向受害者到真实的C2服务器,在C2服务器通信中加入一层可以使分析人员难以追踪攻击者。而且攻击者还可以使用这些?#26032;?#27934;的设备来做其他恶意活动。
3月份Shodan扫描的C2列表表明Emotet已经在使用大量的联网设备了:

表1. Emotet黑掉的联网设备
如何应对?
POST-infection流量的变化和使用联网设备都表明Emotet仍在不断更新,而且是不断发展的一个威?#30149;?#24694;意软件作者使用了新的绕过技术,如果不能检查或无法检测到,那么威胁就会继续发展,给企业带来更大的经济和数据损失。研究人员建议使用多层防御机制,保护网关、终端、网络和服务器在内的所有设备。
 

?#26087;?#26126;】:黑吧安全网(http://www.rliwo.live)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱[email protected],我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载
        购买彩票权威网址
        手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中
        mg电子娱乐平台 博洛尼亚大学法学博士 西班牙人口总数 日本川崎前锋有外援吗 河北十一选五预测 国标麻将安卓版 下载麻将游戏四人麻将 现金咖啡返水 巴拉多利德足球队 逆战论坛