深入瞭解Emotet多層操作機制
在短短5年的時間裡,Emotet已成功演變成目前最臭名昭著的網路威脅之一。據US-CERT稱,Emotet的每次現身,都伴隨著平均高達100萬美元的修復費用。在 最近一篇分析Emotet的文章 中,我們介紹了Emotet的活動及其兩個基礎設施的設定,以及在對其跟蹤後發現的一些資訊:Emotet在去年6月至9月間全球共有721個C&C伺服器、8258個獨立的URL、5849個檔案Dropper和571個可執行樣本;並闡述了對Emotet研究的三個主要發現,包括多層操作機制、至少兩個平行運作的構架,和Emotet的所在地的大致時區;而這篇後續文章主要關注Emotet的多層操作機制,這也是該惡意軟體最值得注意的特性之一。在研究論文“ 探索Emotet的活動” 中,我們對這種模組化惡意軟體的執行方式有了更深入的瞭解,並討論了Emotet與講俄語的攻擊者有關的可能性。
多層操作機制:檔案dropper和打包的可執行檔案
Emotet所使用的檔案dropper和打包的可執行樣本——其出現的活動跡象在時間上有一定差異性。建立和傳播檔案dropper的基礎設施不同於打包和部署其可執行檔案的基礎設施。
對於Emotet的檔案dropper,由於其經常被惡意軟體創作者使用,且容易收集和大規模建立,於是我們決定觀察其創作者是在什麼時候建立它們的。然後我們統計每天各時段檔案dropper唯一時間戳的生成規律。
圖1. 按天統計的Emotet檔案dropper的生成模式
圖2. 按小時統計的 Emotet檔案dropper的生成模式
圖1和圖2顯示,創作者建立檔案dropper的規律是每週休息一到兩天,並且在1點到6點(UTC)之間的非工作時間段不活躍。我們還注意到,創作者在9月份每天使用檔案dropper工具的次數都超過了20次。
與此同時,Emotet的可執行樣本也激發激發了我們的研究興趣,這些樣本是由自制的打包工具打包的。我們注意到,與通常清除或偽造已打包樣本中的編譯時間戳的惡意軟體打包程式不同,Emotet在使用了打包程式仍然保留了一些可能是合法的時間戳。
我們發現,根據編譯時間戳,雜湊值為SHA256 30049dadda36afb06677655aa8b3e9066511f47e017561bee7e456d4c0236d和2f93cc97f99c77880027b149d257268f45bce1255aeaefdc4f21f5bd744573f的Emotet樣本在編譯後,僅有幾分鐘的時間就出現在了野外。為了確定一個Emotet樣本從被編譯到出現在野外的時間,我們使用如下表達式:
delta = Math.Floor(樣本首次現身時間 – 樣本中的彙編時間戳)
由於delta在-24到+24小時之間繪製都是合法的,所以我們從571個樣本中選擇了371個具有合法時間戳的樣本。
在計算過程中,我們發現以更短的時間間隔(比如以分鐘為單位)繪製delta時,我們能夠得到兩組delta分佈。注意這一點很重要,因為如果時間戳是隨機偽造的,那麼計算結果應當顯示為均勻分佈。
圖3. delta值的分佈示意圖
其中,有101個Emotet樣本從被封裝好,到首次觀測到出現在野外,中間的間隔時間為7小時,我們將其稱為第一個示例組,其機器可能設定為UTC +7時區;其他267個樣本的delta分佈資訊顯示,間隔時間都小於60分鐘,我們將其稱為第二示例組,其機器可能設定為UTC +0時區;但是,由剩下的Emotet樣本組成的第三組,我們卻缺乏足夠的資訊,因為編譯時間戳已經被篡改了。
我們在前兩組之間發現了一個有趣的點:從它們在野外的出現情況看,Emotet參與者似乎在輪流地使用它們。
圖4. 兩組(UTC +0和UTC +7)的可執行樣本的首次發現日期,每個圓的半徑代表當天找到的樣本數量
兩個Emotet組在野外出現的時間每次持續1到5天,這可能意味著每個組的機器在那些天被連續用來生成和部署打包好的可執行檔案。
下圖展示了檔案dropper和打包的可執行樣本的活動模式。可以看出,當出現新的檔案dropper時,不會出現可執行樣本,反之亦然。這可能意味著存在用於建立檔案dropper和生成可執行樣本的多層操作機制。
圖5. 檔案dropper(藍色)和打包的可執行樣本(紅色)的活動模式
如何預防Emotet
Emotet通過欺騙使用者開啟惡意郵件的方式傳播,因此避免開啟可疑郵件可以幫助降低這種威脅的感染風險。Emotet的參與者通常用與財務相關的電子郵件主題和檔案附件欺騙受害者,比如不同語言的“發票”、“付款”和“收據”。而使用嵌入式URL傳送的電子郵件,則可以傳遞Emotet檔案dropper,因此需要注意URL的資訊——與此惡意軟體相關的惡意URL通常包含國家資訊,如US或DE,以及常用的關鍵字,如“商業”、“小企業”和“工資單”等。
下面是一些Emotet參與者使用的URL示例:
·hxxp://arad-net.ir/files/En_us/Invoice-for-sent/Deposit/
· hxxp://arendaufa02.ru/files/En_us/Aug2018/Invoice-067831
· hxxp://cestenelles.jakobson.fr/521EHMUI/BIZ/Personal
· hxxp://checkout.spyversity.com/9iifVzAhH4pD3D/BIZ/Firmenkunden
· hxxp://challengerballtournament.com/9773605LDMSIR/identity/Smallbusiness
除了警惕可疑的電子郵件之外,Emotet還會誤導使用者進行作業系統的更新,因為Emotet會刪除SMB漏洞以進行傳播。眾所周知,它可以通過刪除瀏覽器和密碼獲取模組來竊取使用者資訊,以及使用黑客工具來恢復使用者密碼,因此定期更改密碼的做法將有助於防範這種惡意軟體。
在我們題為 “探索Emotet的活動” 的研究中,可以找到更多的Emotet感染技術,以及對Emotet活動、操作模型、感染鏈和二進位制檔案的更多分析。