Emotet进化史:从银行木马到恶意软件分发器

​​

 Emotet在2014年出现时只是一款银行木马,经过近几年的发展,Emotet的功能不断扩展,已经进化成为完整的恶意软件分发服务。

Emotet发展史

Emotet 恶意软件第一个版本出现于2014年,通过拦截互联网流量来窃取银行凭证信息。当时,Emotet恶意软件的攻击目标是德国和奥地利的银行。

很快,第二个版本出现了,并增加了一些额外的模块,比如转账、垃圾邮件、DDoS和地址簿窃取模块。Emotet 第三版出现于2015年,主要升级了反绕过功能,并将瑞士的银行加入了潜在攻击目标列表。

2016年12月,Emotet第4个版本出现,修改了攻击向量。第4版最初主要依赖RIG 4.0漏洞利用套件来进入受害者计算机,随后转向垃圾邮件。之后,第4版从使用自己的银行模块转向在受感染的机器上释放其他的木马。

根据使用的模块不同,Emotet 恶意软件可以执行大量的恶意活动。病毒的大多数版本包括一个垃圾邮件模块,可以通过从受感染的机器来发送恶意邮件来传播恶意软件。另一个非常常见的模块是凭证窃取模块,允许Emotet 来从web浏览器和邮件客户端窃取敏感信息。

从2017年开始,Emotet木马中出现了传播器模块,可以用来感染通过本地网络互联的所有机器。此外,病毒还实现了地址簿窃取模块,分析了邮件发送者和接收者之间的关系,并用收集来的信息来增强随后从用户计算机发起的攻击活动的有效性,用个人定制化的垃圾邮件来攻击朋友、家庭成员和大学同学。

Emotet 恶意软件通过模块的使用和不同的反绕过函数提供了许多灵活的功能,还实现了驻留。为确保恶意软件在受感染的机器中,恶意软件会注入运行的进程中,一般是Explorer.exe。此外,恶意软件还用计划任务和修改注册表的方法。

Emotet 恶意软件分析

ANY.RUN 的一个视频展示了Emotet的执行过程,对该恶意软件的行为进行了详细分析。

​​

图 1: emotet执行的进程树

​​

图 2: Emotet 分析的文本报告

Emotet 执行过程

Emotet 木马最初是通过恶意垃圾邮件传播的,攻击链的第一步就是使用社会工程技术诱使潜在受害者打开office 附件。文件打开并启用了宏后,用户无需进行其他操作。下载的文件包含有恶意的VBA 代码,代码会在文件被打开后运行。感染过程中的其他选项包括使用WMI 来启用下载payload的Powershell 脚本。Powershell 脚本是编码的,,Emotet 需要其他的步骤来在受感染的系统中实现驻留,复制自己到%AppData% 文件夹中,并修改注册表中的autorun值。经过所有的感染过程,恶意软件会与服务器发送信息和接收信息。在执行的最后一步,Emotet 会等待来自C2 服务器的命令。

Emotet传播方式

Emotet恶意软件最主要的传播方式是恶意垃圾邮件活动。该木马使用地址簿窃取模块来获取受害者邮件账户的所有垃圾邮件,并发送给被劫持账户的所有联系人。

由于收到邮件的人一般都是发送者认识的人,因此Emotet攻击的成功率很高。受害者接收到的邮件中一般都含有一个恶意URL,点击后会下载恶意软件。垃圾邮件并不是Emotet使用的唯一传播方式,还会使用特定的Windows漏洞在用户完全不知情的情况下入侵用户机器。

总结

Emotet 恶意软件是目前活跃的最复杂、最具破坏性的木马。自2014年出现开始,就不断进化,引入了反绕过特征,获取了蠕虫功能,甚至从最初的信息窃取转向在被感染的机器上安装其他木马。Emotet 可以在临近系统中传播,可以很容易地感染同一网络中的其他机器,使得该攻击成为受害者的噩梦。随着恶意软件中加入了一系列的反分析技术使得这一情况变得更加复杂。

本文翻译自:https://any.run/malware-trends/emotet如若转载,请注明原文地址。

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/133736.html<

(0)
管理的头像管理
上一篇2025-02-28 20:06
下一篇 2025-02-28 20:07

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注