• 构建年轻干部梯次培养链 2019-03-19
  • 孙实的专栏作者中国国家地理网 2019-03-15
  • 湖南师范大学举行研究阐释党的十九大精神国家社科基金重大专项学术研讨会 2019-03-15
  • [雷人]蠢货!土地处于不同的城市和地段,关联的资源不一样,价值也不一样。不然给咱俩同样面积的土地,咱的在北上广深,你的在边远山区,你干么? 2019-03-08
  • 国际社会持续热议上合青岛峰会:上合组织发展进入新阶段 彰显中国领导力 2019-03-08
  • 珍惜野生动物频现甘孜境内 生态环境质量不断提升 2019-03-06
  • "新经济形势下金融创新的变革与机遇"论坛 2019-03-06
  • 频道栏目
    神奇公式秒杀全国11选5 > 安全 > 网络安全 > 正文

    山西快乐十分前三组选遗漏:Emotet银行木马分析报告

    2018-10-19 10:11:20         来源:[db:作者]  
    收藏   我要投稿

    神奇公式秒杀全国11选5 www.2zfa.com 一、背景
    最近一段时间国外安全研究人员在相关安全社交网站上公布了多个Emotet银行木马最新的变种样本,深信服EDR安全团队对此事进行了相关跟进,获取到了相应的样本,并对其中一个最新的变种样本进行了详细分析。
    Emotet银行木马首次发现是在2014年6月份,此银行木马主要通过垃圾邮件的方式进行传播感染目标用户,是一款比较著名且复杂的银行木马。
    二、样本运行流程

    三、样本分析
    邮件附件DOC样本(重命名为Emotet.doc),如下所示:

    打开文档之后,如下:

    使用VBA编辑器,查看里面包含宏代码,如下:


    提取里面的VBA,如下:

    里面包含自动可执行的恶意宏代码,相应的宏代码如下:

    宏代码的结构表,如下:

    动态调试,解密出相应的宏代码,如下:

    是一段混淆过的cmd命令脚本,此CMD脚本运行之后会调用powershell脚本,相应的powershell脚本,如下:

    重新整理之后,如下:

    此powershell脚本会遍历相应的恶意服务器网站,然后从网站下载相应的恶意程序,并重命名为727.exe,运行DOC之后,如下:

    727.exe分析
    1.核心代码是经过加密的,如下所示:

    2.通过动态调试分析,如下:

    3.获取操作系统的位数,名称及版本信息,如下:

    4.在内存进行PE文件解密操作,然后执行到内存中PE文件入口点,如下:

    5.创建互斥变量PEMA94,如下:

    6.通过GetModuleFileName获取文件路径,如下:

    7.调用CreateProcess启动程序,创建子进程,如下:


    8.创建完子进程之后,通过ExitProcess退出父进程,如下:

    运行之后相应的进程信息,如下:

    对创建的子进程相关分析
    1.通过GetWindowsDirectory获取Windows目录下,如下:

    2.获取磁盘信息,如下:

    3.创建互斥变量Global\M1A9E9938,如下:

    4.创建窗口,如下:

    捕获窗口消息,执行消息循环操作,如下:

    5.设置相应的注册表项,如下:

    设置的注册表项,如下:

    6.通过GetComputerNameW获取计算机名,拼接成随机字符串,如下:

    7.在临时目录创建44E0.tmp程序,如下:

    8.在系统目录创建tvoutduplex程序,如下:

    9.创建tvoutduplex服务,如下:

    创建的相应的服务,如下:

    10.枚举相应的服务状态,如下:

    11.然后启动服务进程,如下:

    12.销毁创建的窗口,如下:

    13.退出子进程,如下所示:

    运行之后相应的进程信息,如下:

    tvoutduplex样本分析
    1.获取计算机操作系统版本信息,如下:

    2.遍历主机中的进程,获取进程信息,如下:

     


    获取到的主机进程列表,如下:

    3.然后将之前获取的主机用户名,操作系统版本以及进程列表信息拼接成字符串,通过算法进行加密,如下:

    4.获取远程服务器地址,如下:

    5.通过GetTickCount获取随机数字,如下:

    然后拼接之成加密的数据,如下:

    最后通过Cookie发送到远程恶意服务器,下载相应的恶意???,如下:

    6.恶意服务器地址,会随机改变,如下:

    得到的相关的恶意服务器地址,见IOC表
    7.读取相应的恶意服务器网站数据,如下:

    读取到的数据,如下:

    网络流量分析
    1.下载Emotet母体样本,流量如下:

    下载相应的Emotet母体样本,如下:

    2.上传主机的相关信息,流量如下:

    3.返回的相应的数据包,如下:

    四、解决方案
    深信服EDR已经能有效检测御防此类银行木马家族及其变种,同时深信服EDR安全团队提醒广大用户:
    1.不要点击来源不明的邮件附件,不从不明网站下载软件
    2.及时给主机打补丁,修复相应的高危神奇公式秒杀全国11选5
    3.对重要的数据文件定期进行非本地备份
    4.尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139,3389等
    5.RDP远程服务器等连接尽量使用强密码,不要使用弱密码
    6.安装专业的终端安全防护软件,为主机提供端点防护和病毒检测清理功能
    五、相关IOC
    MD5
    18080C897FEE73EFED43FD054CD8941F 
    509048748DA8071701D37B2E85698C09 
    99E71C359A0278A11FD3702D51157997  
    IP
    50.23.215.155
    206.198.226.9
    207.150.220.204
    78.100.162.222
    63.230.124.249
    186.71.61.91
    5.32.119.58
    80.69.56.6
    149.62.173.247
    103.59.201.76
    108.170.54.171
    49.62.173.247
    3.230.124.249
    80.69.56.5
    208.97.32.81
    173.197.222.214
    190.143.132.114
    186.71.61.91
    190.131.167.194
    208.104.22.125
    190.131.6.100
    204.184.25.164
    98.190.202.177
    DNS
    vdtogt.nl
    viciousenterprises.com
    unclebudspice.com
    thesilveramericaneagle.com
    valiunas.com
    URL
    //vdtogt.nl/amyQ
    //viciousenterprises.com/qXUuXq
    //unclebudspice.com/80d
    //thesilveramericaneagle.com/tb
    //valiunas.com/G8CooI
    //63.230.124.249:443/
    //82.28.208.186/
    //78.100.163.222/
    //24.224.45.166:8080/
    //149.62.173.247:8080/
    //108.170.54.171:8080
    //208.97.32.81:8080/
    //208.104.22.125:990/
    //80.69.56.5:50000/
    //173.197.222.214:443/
    上一篇:传统白加黑远控木马分析
    下一篇:全新“撒旦”Satan勒索病毒来袭
    相关文章
    图文推荐

    关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 神奇公式秒杀全国11选5

    版权所有: 神奇公式秒杀全国11选5--致力于做实用的IT技术学习网站

  • 构建年轻干部梯次培养链 2019-03-19
  • 孙实的专栏作者中国国家地理网 2019-03-15
  • 湖南师范大学举行研究阐释党的十九大精神国家社科基金重大专项学术研讨会 2019-03-15
  • [雷人]蠢货!土地处于不同的城市和地段,关联的资源不一样,价值也不一样。不然给咱俩同样面积的土地,咱的在北上广深,你的在边远山区,你干么? 2019-03-08
  • 国际社会持续热议上合青岛峰会:上合组织发展进入新阶段 彰显中国领导力 2019-03-08
  • 珍惜野生动物频现甘孜境内 生态环境质量不断提升 2019-03-06
  • "新经济形势下金融创新的变革与机遇"论坛 2019-03-06