欢迎光临
我们一直在努力

Emotet 僵尸网络在消失 10 个月之后又开始借助 Trickbot 复活了

微信截图_20211210003321.png

Trickbot和Emotet被认为是史上危害最大的僵尸网络。Check Point Research (CPR)观察到Emotet 僵尸网络在消失 10 个月之后又开始借助 Trickbot 复活了。

Trickbot是2020年规模最大的僵尸网络之一,仅次于Emotet。为了阻止Trickbot,不同的供应商合作甚至删除了 94% 对 Trickbot 运营至关重要的核心服务器。Trickbot已经销声匿迹11个月了,但这个僵尸网络在2021年5月、6月和9月的最流行的恶意软件家族中排名第一。在过去的11个月里,Check Point Research (CPR)在全球范围内发现了超过14万名Trickbot受害者,涉及200多个活动和数千个IP地址。

Trickbot 是一种用 C++ 编写的僵尸网络和银行木马,可以窃取财务详细信息、帐户凭据和个人身份信息。它可以在网络中传播,并释放各种有效载荷。Trickbot利用复杂的编码技术躲避检测,由于其灵活性和模块化结构,,它成为了其他恶意软件传播的载体。

Trickbot参与过不同的勒索软件活动,如臭名昭著的Ryuk和Conti攻击。Trickbot不断更新新的功能、特性和分布向量,使其成为一种灵活且可定制的恶意软件,可以作为多用途活动的一部分进行传播。它自2016年以来就为人所知,并一直在迭代。

最近,研究人员注意到,被Trickbot感染的设备开始释放Emotet样本,这是自2021年1月Emotet消失以来的第一次。本研究将分析Trickbot恶意软件,描述其在消失后的活动,并解释为何Emotet在Emotet重生时选择了Trickbot。我们还将深入探讨Emotet感染的技术细节。

Trickbot的历史

2016年,Trickbot作为Dyre恶意软件的继承者出现,因为后者的操作人员已被俄罗斯当局逮捕。这两个恶意软件家族之间有很多代码相似之处。从那时起,Trickbot就开始了自己的历史。开发者并没有将所有的功能嵌入到恶意软件中,,而是决定将其分布在多个可以动态更新的模块中。这一决定导致了 20 多个 Trickbot 模块,每个模块负责一个单独的功能:横向移动、窃取浏览器凭据、安装代理反向模块等。并非所有模块都是用 C++ 编写的,其中一些是用 Delphi 编写的,这可能是 Trickbot 作者使用的外包开发服务的标志。

Trickbot造成的破坏经常能成为热点话题。例如,在2019年7月,发现了一个数据库,其中有2.5亿封电子邮件被Trickbot操作员在他们的活动中使用。Trickbot的使用者适应了全球变化,并利用BLM和COVID-19等优先问题欺骗用户打开带有恶意附件的电子邮件。在COVID-19大流行期间,Trickbot的活动达到顶峰,每天发送2.4亿条垃圾邮件。另一种传播方式是将用户重定向到恶意网站的链接。

2020年,Trickbot与Emotet一起被用来传播Ryuk勒索软件,造成了巨大的破坏。Universal Health Services 报告称,由于 Ryuk 攻击,该公司蒙受了 6700 万美元的损失。根据研究,在 Ryuk 攻击中用于赎金的加密钱包最高价值 1.5 亿美元。

有证据表明,Trickbot 攻击者将他们的攻击与 APT 结合起来。 2019 年 12 月,朝鲜的 Lazarus 组织被发现使用名为 Anchor Project 的攻击框架。 Anchor Project 是 Trickbot 使用的后门模块,仅针对知名受害者。

Trickbot 不断参与造成巨大破坏的高调攻击,导致知名安全公司(ESET、微软、赛门铁克)在电信供应商的帮助下封杀Trickbot 僵尸网络,当时正好在美国总统大选之前,竞选人员让数百万受 Trickbot 感染的计算机干扰选举过程。

本来Trickbot 威胁应该彻底结束,但遗憾的是它没有。 Trickbot 运营商重新组合,找到了继续运营的新方法,尽管他们的队伍有所损失,但并没有放弃他们的攻击意图。

2021年接连被其他恶意软件利用

在其生命周期中,Trickbot 一直与不同的恶意软件家族相关联,因为它可以帮助这些家族进行传播。例如,Ryuk 勒索软件或 BazarBackdoor——这只是 Trickbot 提供的一些恶意软件家族。 2020 年 10 月僵尸网络被阻止后,这种情况没有改变。 Trickbot 参与了 2021 年最严重的勒索软件攻击。

2021年9月22日,美国联邦调查局发布了一份报告,详细披露了Conti勒索软件背后的组织。其中多次提到了Trickbot,声称它是向受害者的计算机发送勒索软件的工具之一。Conti 勒索软件是一个严重的威胁。正如 FBI 报告所述,全球约有 400 个组织受到 Conti 的影响,其中 290 个位于美国。 FBI 确定了各种攻击媒介,包括备受瞩目的攻击媒介:医疗保健和急救网络、执法机构、紧急医疗服务、警务调度中心和市政当局。

攻击目标

在僵尸网络被摧毁后,Trickbot 的活动率持续存在:

1.webp.jpg

2020年11月1日以来Trickbot的动态

Check Point Research发现,自从僵尸网络关闭以来,全球有超过包括组织和个人的14万名受害者受到了Trickbot的影响。Trickbot总共影响了149个国家,占世界所有国家的75%以上。如下图所示,几乎三分之一的Trickbot目标位于葡萄牙和美国:

2.png

2020年11月1日以来,Trickbot受害者的区域分布

下图显示了按行业划分的受害者分布:

3.webp.jpg

2020年11月1日以来,按行业划分的受害者分布

来自知名行业的受害者占所有受害者的50%以上,再次表现了Trickbot的高度针对性。

攻击活动

研究人员在过去6个月里发现了223个不同的Trickbot活动。然而,223 个活动中有 129 个在 7 月份停止了活动。

4.webp.jpg

最近观察到的活动数量

Trickbot 活动的规模似乎有所下降,但根据分析,我们可以得出完全相反的结论。尽管活动数量减少,但受害者人数继续增加,活动变得更加大规模和具有针对性。

有两个活动因其使用的 IP 地址数量而引人注目,标识符为“zev4”的活动在其活动期间一直使用 79 个 IP 地址,而活动“zem1”略少一些,使用了64 个不同的 IP 地址。

这可能是Trickbot持续增长的一个迹象,因为这些活动是新出现的。

“zev4”于7月26日首次被发现,至今仍在活动。“zem1”是一个短期活动,从9月13日到9月15日只有3天出现过。没有其他活动使用超过50个IP地址。然而,其中37个(不包括上面的2个活动)使用超过40个不同的IP地址。

下图显示了按时间间隔使用 IP 地址数量的活动总数:

5.webp.jpg

使用许多唯一IP地址的活动数量

这些信息可以解释为:虽然 Trickbot 攻击的受害者范围很广,但它依赖于相对较少的 IP 地址。正如我们将在下一章中看到的那样,其中一些是经过时间考验且值得信赖的。

网络基础设施

我们总共跟踪了 Trickbot 活动中使用的 1061 个唯一的未加密 IP 地址,以及 1115 个唯一的 ip:port 组合。在多达61个活动中使用了8个地址,所有地址都在443端口上:

6.png

列表中的所有IP地址到目前为止至少已经使用了5个月

Emotet重生

Emotet僵尸网络曾经是一个巨大的威胁,控制着150多万台计算机,它能够用更多的银行恶意软件、木马和勒索软件感染这些计算机。估计损失约为25亿美元。Emotet是一种长期恶意软件,自2014年以来,它的操作会出现一些中断和暂停,在被查封之前,它的传播非常广泛,影响了世界各地超过150万台计算机。它以传播其他恶意软件家族而闻名,包括Trickbot、Ryuk勒索软件等。

Emotet于去年1月在世界各地执法机构和司法机关的联合行动下被取缔。

7.webp.jpg

参与Emotet取缔的法律机构

全世界数百名安全研究人员为它的查封和没有 Emotet的出现而兴奋异常。然而,在 11 月 15 日,也就是在其被查封后仅 10 个月,受 Trickbot 感染的计算机就开始释放Emotet 样本。新感染 Emotet 的计算机再次开始传播,通过强大的恶意垃圾邮件活动诱使用户下载密码保护压缩文件,其中包含一旦运行并启用宏的恶意文件,就会用 Emotet 感染计算机,导致感染周期重复并启用 Emotet重建其僵尸网络。在Emotet 重生时,Emotet 无法选择比 Trickbot 更好的平台。

自从我们在11月发现Emotet卷土重来以来,观察到它的活动量至少是2021年1月Emotet被下架之前的50%。这种上升趋势也将在12月持续。

在初期运营10个月后,Emotet升级了运营,并在工具箱中添加了一些新技巧。使用椭圆曲线密码术代替 RSA 密码术,改进其控制流扁平化方法,通过使用模仿合法软件的恶意 Windows 应用安装程序包增加初始感染等。

除了使用Trickbot来释放样本,Emotet还坚持通过恶意文件来传播被探测的方案。下面我们来看看在恶意文件的帮助下进行的Emotet感染的细节。

通过恶意文件下载 Emotet有效载荷

我们分析了具有以下哈希值的恶意 Excel 文件:800f6f0cbc307b6d39dd48563fb2a15a2119a76d97ec599f0995e3c4af0b2211。

该文件是从多个来源加载的,根据 VirusTotal 的说法,它出现在 VirusTotal 上的日期是 2021-11-16:

8.webp.jpg

VirusTotal上的分析文件

文件中的脚本使用Powershell下载有效载荷。

9.webp.jpg

PowerShell脚本中的恶意URL

该脚本将 Windows PE 二进制文件从以下位置下载到“C:\\ProgramData”文件夹:

10.png

如果成功下载了有效载荷,则生成二进制文件,脚本将停止检查给定列表中的其他URL。其中一个Emotet有效载荷以这种方式下载了以下哈希值:3f57051e3b62c87fb24df0fdc4b30ee91fd73d3cee3a6f7a962efceba2e99c7d。

Emotet是一个不能掉以轻心的威胁,就像过去看到的那样,它可以发展到可怕的范围。据悉,Emotet过去曾释放过各种勒索软件,因此,这种情况也会导致勒索软件攻击的增加。

本文翻译自:https://research.checkpoint.com/2021/when-old-friends-meet-again-why-emotet-chose-trickbot-for-rebirth/如若转载,请注明原文地址

赞(0) 打赏
未经允许不得转载:黑客技术网 » Emotet 僵尸网络在消失 10 个月之后又开始借助 Trickbot 复活了
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏