Emotet的技术迭代史

月初，Emotet获得了一个通过无线网络传播的模块(MD5： 75d65cea0a33d11a2a74c703dbd2ad99)，该模块试图通过字典攻击访问Wi-Fi。它的代码类似于带有Wi-Fi连接功能的Network Spreader模块(bypass.exe)。如果暴力攻击成功，模块就会将有关网络的数据传输到C&C。

与bypass.exe一样，该模块也作为独立文件(a.exe)传播到自解压文件(MD5：5afdcffca43f8e7f848ba154ecf12539)中。该存档文件还包含上述service.exe(MD5：5d6ff5cc8a429b17b5b5dfbf230b2ca4)，与第一个版本一样，它除了将受感染计算机的名称发送给C&C之外，什么也不能做。inary Defense公司直到2020年1月才首次公开描述了该模块，回到旧的传播机制和使用旧模块的代码看起来有点奇怪，因为在2017年bypass.exe和service.exe已经合并到一个DLL模块中。

4月14日：

Emotet再次开始在HTTP标头的Cookie字段中使用GET请求进行数据传输，以实现小于1 KB的数据传输大小，同时启动POST请求以获取大量数据(MD5：38991b639b2407cbfa2e7c64bb4063c4)。填充Cookie字段的模板也不同，如果以前使用的是Cookie：%X =的形式，那么现在是Cookie：%u =。数字和等号之间新添加的空格有助于识别Emotet流量。另一个银行木马开始使用Emotet进行自我传播，这次是Trickster(或Trickbot)，这是自2016年以来就开始出现的模块化银行木马，也是Dyreza的最佳替代者。2019年Trickster网银木马位列第三位,占所有发现的针对企业的金融威胁的12%。2015年内，受到银行木马攻击的用户中，超过40%的用户是受到Dyreza的攻击。Dyreza通过有效的网络植入，窃取数据和网银系统入口。

7月

首次获得基于libminiupnpc软件包的所谓的UPnP模块(MD5：0f1d4dd066c0277f82f74145a7d2c48e)。该模块根据本地网络中主机的请求在路由器上启用端口转发。这不仅使攻击者能够访问位于NAT之后的本地网络计算机，还可以将受感染的计算机转变为C&C代理。

8月

8月，有报道称新的Ryuk勒索软件感染了病毒，这是自2017年以来对Hermes勒索软件的修改。后来发现，感染链始于Emotet，后者下载了Trickster，反过来又安装了Ryuk。此时，Emotet和Trickster都配备了通过本地网络传播的功能，而且Trickster利用了SMB中的已知漏洞，这进一步促进了恶意软件在本地网络中的传播。再加上Ryuk，这是一个攻击力特别强的组合。Ryuk勒索家族最早可追溯至2018年8月，起源于Hermes勒索家族, 此勒索病毒主要通过垃圾邮件、僵尸网络下发、RDP爆破以及漏洞进行传播，使用RSA+AES的方式加密用户文件,在无私钥的情况下无法恢复文件。

月底，网络扩展器模块的密码列表被更新。它们仍然编号为1000，但是大约有100个被更改了(MD5： 3f82c2a733698f501850fdf4f7c00eb7)。

（编辑：宁德站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!