充当Nozelesn勒索软件加载器的Emotet变种

2019年2月，趋势科技在针对酒店行业的一个MDR（ managed detection and response ）监测端点中检测到了一种特殊的Emotet变体。此次攻击行动通过Emotet恶意软件下载Nymaim恶意软件，并利用Nymaim来加载Nozelesn勒索软件。在这次威胁调查中，我们还从遥测中获取了580个类似的Emotet文件附件样本，并收集了2019年1月9日至2019年2月7日之间的数据。

威胁调查

2月11日，我们开始对MDR监控端点的Emotet检测情况做调查。在端点EP01中，我们注意到以下可疑文件：

表1.Emotet恶意软件感染时间线

当我们观察可能再次感染的环境时，我们收到了一份报告，称在另一个端点(这次是服务器)上发现了名为How_Fix_Nozelesn_files.htm的文件。通过调用服务器S01显示，该服务器受到了Nozelesn勒索软件的感染，文件似乎是在2月15日前后被写入的磁盘。在进一步检验了这些活动后发现与它们大多都与初始事件相关。为了更好的理解这些事件，我们对EP01进行了二次调查，并将其称之为根源链分析(RCA)。

分析

图1.该Emotet样本感染的根本原因的分析图表

基于RCA的分析，恶意文件通过谷歌Chrome下载并用Microsoft Word打开。在打开恶意文档之后，会立即生成PowerShell.exe并连接到各种IP地址，最终在系统中创建了另一个名为942.exe的文件。

图2. 连接到各种IP地址并创建942.exe的PowerShell脚本

检测到的组件indexerneutral.exe是Emotet的主要组件，它实际上是移动到另一个位置的942.exe。它通过explorer.exe进程注入内存中并保持驻留。根据其行为，恶意软件可能会连接到多个IP地址并下载将在系统中执行的另一个恶意软件。我们注意到它还不断下载自身的更新，每次都联系一组新的命令和控制（C＆C）服务器。除了更新Emotet变体之外，它还创建了两个带有随机文件名的文件（如表1中所示），我们将其识别为次级payload。应该注意的是，在相同的时间范围内，还有其他几个次级payload（gigabit-8.exe, wcdma-78.exe, etc等）会在EP01的不同位置创建，如下所示：

表2.次级payload

我们注意到，次级payload与Nymaim在文件命名和行为上有许多相似性，可以联想到去年的 Nozelesn勒索软件事件 。Nozelesn是攻击者于2018年7月在针对波兰的攻击行动中使用的勒索软件，它加密文件使用的文件扩展名为“.nozelesn”，并附带一份名为HOW_FIX_NOZELESN_FILES.htm的勒索信。虽然没有找到Nozelesn勒索软件样本，但我们安全基础设施的数据显示此次行动与Nymaim相关联，Nymaim是一种已知的恶意软件下载程序。对于这种情况，我们怀疑Nymaim可能已经下载了Nozelesn勒索软件，并使用无文件执行将勒索软件加载到机器的内存中。

RCA的另一个值得注意的亮点是Emotet能够通过管理共享将自身复制到网络中的多台机器上。 indexerneutral.exe的副本以[8位] .exe的形式分发给\\ {host} \ ADMIN $ \。

基于这些信息，我们提出了两个关于S01如何被Nozelesn勒索软件攻击的可能方案:

·Emotet被成功复制并通过管理共享执行到S01。之后，S01中复制的Emotet下载了Nymaim恶意软件，该恶意软件又加载了内存中的Nozelesn勒索软件；

·Nymaim在EP01中加载Nozelesn勒索软件，然后通过共享文件夹在S01中加密文件。

从这两种可能性来看，我们更倾向于第一种情况，因为我们的监测没有显示EP01中有任何Nozelesn勒索软件感染。

调查重点

以下是我们调查的重点，包括我们在MDR客户检测后从遥测中收集的数据。

Emotet目前的传播现状是利用垃圾邮件持续发展。在短短一个月的时间内（2019年1月9日至2019年2月7日），我们的遥测技术在全球范围内检测到超过14,000个类似的垃圾邮件。1月23日在英国检测到的次数最多，2月1日在塞浦路斯和德国，2月4日在塞浦路斯和委内瑞拉，2月5日发生在塞浦路斯和阿根廷。1月28日，我们在加拿大也发现了大量检测，而2月2日则是多个地点同时发生。

到1月底，我们观察到此Emotet垃圾邮件活动中使用的最常见的电子邮件主题是“最新的紧急出口地图”，而在2月则转换成了更为常见的主题，如“最新发票”，“配送详细信息”， “近日电报”和“紧急送达”等。虽然大多数电子邮件主题与付款有关，但我们注意到了犯罪分子使用的每一个变化，如下所示。

表3.在调查期间观察到的Emotet常见的垃圾邮件活动主题和电子邮件主题

我们还注意到，垃圾邮件的更改取决于预期的收件人。虽然它根据发送日期保持了类似的主题，但使用了不同的语言来针对使用这些语言的特定国家。例如，1月23日，除了“最新紧急出口地图”，我们还看到“NOTAUSGANGKARTE AKTUELLE”被发送给德国收件人。类似地，“Factura”(发票的西班牙语术语)也被发送到讲西班牙语的地方。在这个特别的行动中，我们观察了三种语言的使用:英语、德语和西班牙语。

图3.每个国家/地区Emotet常见的电子邮件主题的分布

无论垃圾邮件的变化如何，Emotet的主要感染流程都保持不变。一个典型的Emotet感染链始于垃圾邮件，并用恶意文档作为附件；打开附件后，宏会自动执行；然后最终调用PowerShell从远程位置下载其他恶意软件。但它的payload不是恒定的，既可以直接下载最终payload，如Qakbot；也可以如本例中那样，下载Emotet并充当另一个恶意软件的加载程序；还有一种情况是文件中含有一个指向XML文件的链接，通过嵌入恶意宏来躲避反恶意软件的检测，恶意宏用于将主要payload隐藏在伪装成Word文档的XML文件中。而预防这些感染的最简单的方法就是保持警惕，不轻易打开未知文件。

只有成功连接到C＆C服务器，Emotet才会下载并执行最初不可见的多个文件。在某些情况下，它不会立即下载真实的payload。这也使得对它的分析特别困难。

Emotet感染不会在最初受影响的端点停止。它可能会传播到网络中其他连接的计算机上。

如何抵御这项棘手的威胁

新的一年，网络威胁仍旧大量出现，并利用复杂的技术不断发展壮大中，组织机构需要始终掌有对端点和网络安全的控制能力。Emotet就是我们发现的一个很好的例子，它首次出现是在2014年，是一种变化多端的威胁。它能够调整自身payload，使之适应网络安全防御系统。如果不加以发现，它会导致企业损失大量数据和金钱。然而这类威胁也只是内部安全团队需要警惕的众多威胁之一。

企业还应该采用最佳实践来使用和保护PowerShell。PowerShell是一个管理框架，它也是经常被滥用的系统管理 工具 之一。为确保将其安全地用于运营和云环境中，IT/系统管理员应遵循微软执行策略的指导方针，并将PowerShell设置为ConstrainedLanguageMode，这些才是本质上通过PowerShell命令增强系统的方法。企业客户还可以利用微软的新功能，对最初的感染点采取主动动作，例如，Office 2016可以阻止宏并帮助防止感染，企业可以从整体上考虑限制PowerShell。

IoC

此次攻击行动涉及许多文件、域名和IP地址。以下是值得注意的部分项目:

Emotet行动相关哈希值: