Trong 6 tháng, mạng botnet khét tiếng emotet hầu như không có hoạt động nào và giờ nó đang phát tán thư rác độc hại. Hãy đi sâu vào chi tiết và thảo luận về tất cả những gì bạn cần biết về phần mềm độc hại khét tiếng để chống lại nó.
Tại sao mọi người lại sợ Emotet?
Emotet cho đến nay là một trong những trojan nguy hiểm nhất từng được tạo ra. Phần mềm độc hại đã trở thành một chương trình rất phá hoại khi nó phát triển về quy mô và mức độ tinh vi. Nạn nhân có thể là bất kỳ ai từ doanh nghiệp đến người dùng cá nhân tiếp xúc với các chiến dịch email spam.
Botnet phân phối thông qua lừa đảo có chứa các tài liệu Excel hoặc Word độc hại. Khi người dùng mở các tài liệu này và bật macro, Emotet DLL sẽ tải xuống rồi tải vào bộ nhớ.
Nó tìm kiếm các địa chỉ email và đánh cắp chúng cho các chiến dịch thư rác. Hơn nữa, mạng botnet giảm tải trọng bổ sung, chẳng hạn như Cobalt Strike hoặc các cuộc tấn công khác dẫn đến ransomware.
Bản chất đa hình của Emotet, cùng với nhiều mô-đun mà nó bao gồm, khiến phần mềm độc hại khó xác định. Nhóm Emotet liên tục thay đổi chiến thuật, kỹ thuật và quy trình để đảm bảo rằng các quy tắc phát hiện hiện tại không thể áp dụng được. Là một phần trong chiến lược ẩn mình trong hệ thống bị nhiễm, phần mềm độc hại tải xuống các tải trọng bổ sung bằng nhiều bước.
Và kết quả của hành vi Emotet đang tàn phá các chuyên gia an ninh mạng: phần mềm độc hại gần như không thể loại bỏ. Nó lây lan nhanh chóng, tạo ra các chỉ số bị lỗi và thích nghi theo nhu cầu của kẻ tấn công.
Emotet đã nâng cấp như thế nào trong những năm qua?
Emotet là một botnet mô-đun tiên tiến và liên tục thay đổi. Phần mềm độc hại này bắt đầu hành trình dưới dạng một trojan ngân hàng đơn giản vào năm 2014. Nhưng kể từ đó, nó đã có một loạt các tính năng, mô-đun và chiến dịch khác nhau:
2014. Chuyển tiền, thư rác, DDoS, và mô-đun đánh cắp sổ địa chỉ.2015. Chức năng trốn tránh.2016. Thư rác, bộ công cụ khai thác RIG 4.0, gửi trojan khác.2017. Mô-đun đánh cắp sổ địa chỉ và phân phối.2021. Các mẫu độc hại XLS, sử dụng MSHTA, do Cobalt Strike.2022 loại bỏ. Một số tính năng vẫn giữ nguyên, nhưng năm nay cũng có một số cập nhật.
Xu hướng này chứng tỏ rằng Emotet sẽ không đi đến đâu mặc dù thường xuyên có “kỳ nghỉ” và thậm chí là chính thức ngừng hoạt động. Phần mềm độc hại phát triển nhanh chóng và thích nghi với mọi thứ.
Phiên bản Emotet 2022 mới có những tính năng gì?
Sau gần nửa năm tạm dừng, botnet Emotet đã trở lại mạnh mẽ hơn. Đây là những gì bạn cần biết về phiên bản 2022 mới:
Nó loại bỏ IcedID, một trojan ngân hàng mô-đun. Phần mềm độc hại tải XMRig, một công cụ khai thác đánh cắp dữ liệu ví. Trojan có những thay đổi nhị phân. Emotet bỏ qua phát hiện bằng cách sử dụng cơ sở mã 64-bit. Một phiên bản mới sử dụng các lệnh mới:
Gọi rundll32.exe với một DLL có tên ngẫu nhiên và xuất PluginInit
Mục tiêu của Emotet là lấy thông tin đăng nhập từ Google Chrome và các trình duyệt khác. Nó cũng được nhắm mục tiêu sử dụng giao thức SMB để thu thập dữ liệu của công ty Giống như sáu tháng trước, mạng botnet sử dụng mồi nhử độc hại XLS, nhưng lần này nó đã sử dụng một mồi mới:
Thu hút Excel của Emotet
Làm cách nào để phát hiện Emotet?
Thách thức chính của Emotet là phát hiện nó trong hệ thống một cách nhanh chóng và chính xác. Bên cạnh đó, một nhà phân tích phần mềm độc hại nên hiểu hành vi của mạng botnet để ngăn chặn các cuộc tấn công trong tương lai và tránh những tổn thất có thể xảy ra.
Với lịch sử phát triển lâu dài của mình, Emotet đã đẩy mạnh chiến lược chống trốn tránh. Thông qua sự phát triển của chuỗi thực thi quy trình và hoạt động của phần mềm độc hại bên trong hệ thống bị lây nhiễm thay đổi, phần mềm độc hại đã thay đổi đáng kể các kỹ thuật phát hiện.
Ví dụ: vào năm 2018, có thể phát hiện ra nhân viên ngân hàng này bằng cách xem tên của quy trình – đó là một trong những quy trình sau:
sự kiện, ngẫu nhiên, biến hình đại diện, âm thanh, archivesymbol, wabmetagen, msrasteps, secmsi, crsdcard, thu hẹp, smxsel, watchvsgd, mfidlisvc, searchatsd, lpiograd, người thông báo, appxmware, sansidaho
Sau đó, vào quý đầu tiên của năm 2020, Emotet bắt đầu tạo khóa cụ thể vào sổ đăng ký – nó ghi vào khóa HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER giá trị có độ dài 8 ký hiệu (chữ cái và ký tự).
Tất nhiên, các quy tắc Suricata luôn xác định phần mềm độc hại này, nhưng các hệ thống phát hiện thường tiếp tục sau đợt đầu tiên vì các quy tắc cần cập nhật.
Một cách khác để phát hiện nhân viên ngân hàng này là các tài liệu độc hại của nó – kẻ lừa đảo sử dụng các mẫu và mồi nhử cụ thể, ngay cả khi có lỗi ngữ pháp trong đó. Một trong những cách đáng tin cậy nhất để phát hiện Emotet là theo quy tắc YARA.
Để vượt qua các kỹ thuật chống trốn tránh của phần mềm độc hại và nắm bắt mạng botnet – hãy sử dụng hộp cát phần mềm độc hại làm công cụ thuận tiện nhất cho mục tiêu này. Trong ANY.RUN, bạn không chỉ có thể phát hiện, theo dõi và phân tích các đối tượng độc hại mà còn nhận được các cấu hình đã được trích xuất từ mẫu.
Có một số tính năng mà bạn chỉ sử dụng để phân tích Emotet:
tiết lộ các liên kết C2 của một mẫu độc hại với FakeNet sử dụng bộ quy tắc Suricata và YARA để xác định thành công mạng botnet Lấy dữ liệu về máy chủ C2, khóa và chuỗi được trích xuất từ kết xuất bộ nhớ của mẫu thu thập IOC của phần mềm độc hại mới
Công cụ này giúp thực hiện các cuộc điều tra thành công một cách nhanh chóng và chính xác, vì vậy các nhà phân tích phần mềm độc hại có thể tiết kiệm thời gian quý báu.
Hộp cát ANY.RUN đã chuẩn bị những ưu đãi đáng kinh ngạc cho Thứ Sáu Đen 2022! Bây giờ là thời điểm tốt nhất để tăng cường phân tích phần mềm độc hại của bạn và tiết kiệm một số tiền! Kiểm tra các ưu đãi đặc biệt cho các gói cao cấp của họ nhưng trong thời gian giới hạn – từ ngày 22 đến ngày 29 tháng 11 năm 2022.
Emotet chưa thể hiện đầy đủ chức năng và phân phối tải trọng tiếp theo nhất quán. Sử dụng các công cụ hiện đại như sandbox phần mềm độc hại trực tuyến ANY.RUN để cải thiện an ninh mạng của bạn và phát hiện mạng botnet này một cách hiệu quả. Giữ an toàn và săn lùng mối đe dọa tốt!
