某次钓鱼邮件分析（Emotet木马）

一、事件概述 某天下午收到公司员工报告，收到了疑似钓鱼邮件。随后对此钓鱼邮件展开分析，最终确定是Emotet家族木马。 二、处理过程 1. 事件发现 邮件内容如下所示： 2. 样本分析 下载附件中文件，发现是一个带密码的压缩包，使用邮件中密码解压，可以得到一个“8326629020974240005.xlsm”文件，如下所示： xlsm是可以携带宏的Excel文件，将后缀名改为zip后解压，查看内容，可以看到“sharedStrings.xml”文件中使用regsvr32.exe远程加载了可疑内容，明显是钓鱼常用手段， 访问其中的链接，可以下载到恶意DLL样本文件,如下所示： 从压缩包中的“workbook.xml”可以看到，xlsm文件中存在多个隐藏的Sheet，并且在其中一个隐藏的Sheet中定义了其中一个单元格为_xlnm.Auto_Open，这类似于VBA宏中的Sub Auto_Open()，当用户打开xlsm文件，点击启用宏时会自动执行， macrosheets文件夹下的xml是混淆后的宏代码，如下所示： 在Mac上打开此xlsm文件，Excel会提示包含宏，是否选择禁用，此处选择禁用宏并打开，如下： 打开后可以看到是一份空的文档（Sheet1第一行覆盖了一张图片），这是因为有属性为隐藏的Sheet。此时可在Sheet1上右键，选择取消隐藏，如下可以看到，还存在5个被隐藏的Sheet： Grrr1与Sbrr1是一份字典，用于混淆的宏代码还原： EFWFSFG中定义了混淆后的代码，用于执行恶意代码： 结果与从压缩包中xml看到的结果相同。由于恶意代码被混淆，所以进行恢复，从最终恢复出的部分内容可以分析出是利用urlmon远程下载文件并执行： 从上述分析结果可以看出，此恶意xlsm文件利用了Excel4.0宏向受害者提供有效载荷，实现钓鱼攻击。 3. 沙箱分析 使用沙箱分析此xlsm，从进程树可以看到，确实加载执行了远程文件 并且也有多家反病毒引擎报毒： 4. 确定来源 在搜索引擎搜索xlsm文件中远程下载的URL，可以看到已经有人报告了此URL： 从MALWARE bazaar上可以看到，此URL被多家引擎标记为Emotet家族木马： 从引擎下载的Emotet家族使用的XLSM文件和DLL文件通过逆向分析发现，文件结构、关键字段都和钓鱼样本中基本相同: 文件相似度也很高： 另外在twitter也可以看到，相关威胁情报也曝出Emotet近期新增了粉色主题的xlsm钓鱼邮件，这从攻击手法和文件内容上都与本次收到的样本相同: 基于以上分析可以确定，本次收到的钓鱼邮件是Emotet家族木马。 三、结论建议 Emotet在2014年出现时只是一款银行木马，经过近几年的发展，Emotet的功能不断扩展，已经进化成为完整的恶意软件分发服务。Emotet主要通过发送钓鱼邮件的方式进行传播，邮件一般包含带密码的附件，附件中经常为doc、docm、xls、xlsm等带有恶意宏的office文件，所以收到存在可疑附件的邮件后要谨慎，不可随意打开。 本次钓鱼邮件由于员工警惕性较高，未下载打开邮件中的附件，所以未发生实质性危害。但由于不止一人收到了恶意邮件，并且邮件正文中存在员工邮箱和姓名，所以可以推断可能当前存在少量人员信息泄露的问题。 文章来源：先知社区（myc） 黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！ 如侵权请私聊我们删文 END 多一个点在看多一条小鱼干