钓鱼邮件Emotet木马分析
一、事件概述
某天下午收到公司员工报告,收到了疑似钓鱼邮件。随后对此钓鱼邮件展开分析,最终确定是Emotet家族木马。
二、处理过程
1. 事件发现
邮件内容如下所示:
![](https://pic3.zhimg.com/80/v2-9aaf8b5520d6a2ad43b1513a9e1eeb9e_720w.webp)
![](https://pic2.zhimg.com/80/v2-bc2a8f205e7b1e5db0c28f98316c73dd_720w.webp)
2. 样本分析
下载附件中文件,发现是一个带密码的压缩包,使用邮件中密码解压,可以得到一个“8326629020974240005.xlsm”文件,如下所示:
![](https://pic1.zhimg.com/80/v2-32c3ddd09b086dca84f7821812e85d7c_720w.webp)
xlsm是可以携带宏的Excel文件,将后缀名改为zip后解压,查看内容,可以看到“sharedStrings.xml”文件中使用regsvr32.exe远程加载了可疑内容,明显是钓鱼常用手段,
![](https://pic4.zhimg.com/80/v2-0046a966d59b8d1074c21094df1516fb_720w.webp)
访问其中的链接,可以下载到恶意DLL样本文件,如下所示:
![](https://pic2.zhimg.com/80/v2-53643c38c82d9cfd296883214eaaca6d_720w.webp)
从压缩包中的“workbook.xml”可以看到,xlsm文件中存在多个隐藏的Sheet,并且在其中一个隐藏的Sheet中定义了其中一个单元格为_xlnm.Auto_Open,这类似于VBA宏中的Sub Auto_Open(),当用户打开xlsm文件,点击启用宏时会自动执行,
![](https://pic2.zhimg.com/80/v2-8b6364604080bf0890ad4c46583a5bdd_720w.webp)
macrosheets文件夹下的xml是混淆后的宏代码,如下所示:
![](https://pic2.zhimg.com/80/v2-f5c6894eea73916bfa8903d23105b6e9_720w.webp)
在Mac上打开此xlsm文件,Excel会提示包含宏,是否选择禁用,此处选择禁用宏并打开,如下:
![](https://pic4.zhimg.com/80/v2-7d6d525a5412162d520668db555dfab3_720w.webp)
打开后可以看到是一份空的文档(Sheet1第一行覆盖了一张图片),这是因为有属性为隐藏的Sheet。此时可在Sheet1上右键,选择取消隐藏,如下可以看到,还存在5个被隐藏的Sheet:
![](https://pic2.zhimg.com/80/v2-4e310264663e960e0a5070fd58f4820d_720w.webp)
Grrr1与Sbrr1是一份字典,用于混淆的宏代码还原:
![](https://pic2.zhimg.com/80/v2-495797e6c3740c92fd46d3e9c684bf5d_720w.webp)
EFWFSFG中定义了混淆后的代码,用于执行恶意代码:
![](https://pic2.zhimg.com/80/v2-5c8ce6ca2d02d4558d214e07d7e72101_720w.webp)
结果与从压缩包中xml看到的结果相同。由于恶意代码被混淆,所以进行恢复,从最终恢复出的部分内容可以分析出是利用urlmon远程下载文件并执行:
![](https://pic4.zhimg.com/80/v2-725745a0210f53556366d31643f4c347_720w.webp)
从上述分析结果可以看出,此恶意xlsm文件利用了Excel4.0宏向受害者提供有效载荷,实现钓鱼攻击。
3. 沙箱分析
使用沙箱分析此xlsm,从进程树可以看到,确实加载执行了远程文件
![](https://pic2.zhimg.com/80/v2-5165b12fc6be34ab95da6f5bd875fcd5_720w.webp)
![](https://pic3.zhimg.com/80/v2-fdf4c97fc481287b3be95111831de2ba_720w.webp)
并且也有多家反病毒引擎报毒:
![](https://pic3.zhimg.com/80/v2-f93059055e341ff6a2cab6218f54fd16_720w.webp)
4. 确定来源
在搜索引擎搜索xlsm文件中远程下载的URL,可以看到已经有人报告了此URL:
![](https://pic4.zhimg.com/80/v2-06c648669feb10decbcf8628414b54df_720w.webp)
从MALWARE bazaar上可以看到,此URL被多家引擎标记为Emotet家族木马:
![](https://pic4.zhimg.com/80/v2-0cb9fa8952ca28ca09e16659c6c87e2f_720w.webp)
从引擎下载的Emotet家族使用的XLSM文件和DLL文件通过逆向分析发现,文件结构、关键字段都和钓鱼样本中基本相同:
![](https://pic2.zhimg.com/80/v2-80bcafbeffff1748afb4708a6515f939_720w.webp)
![](https://pic2.zhimg.com/80/v2-a56db5b796bbccd78b048d7fa3f415c9_720w.webp)
文件相似度也很高:
![](https://pic3.zhimg.com/80/v2-23dbb6ac9a4560a5cb4548884bed579e_720w.webp)
另外在twitter也可以看到,相关威胁情报也曝出Emotet近期新增了粉色主题的xlsm钓鱼邮件,这从攻击手法和文件内容上都与本次收到的样本相同:
![](https://pic3.zhimg.com/80/v2-d7f72306997958c1307260005a5b4e2a_720w.webp)
基于以上分析可以确定,本次收到的钓鱼邮件是Emotet家族木马。
三、结论建议
Emotet在2014年出现时只是一款银行木马,经过近几年的发展,Emotet的功能不断扩展,已经进化成为完整的恶意软件分发服务。Emotet主要通过发送钓鱼邮件的方式进行传播,邮件一般包含带密码的附件,附件中经常为doc、docm、xls、xlsm等带有恶意宏的office文件,所以收到存在可疑附件的邮件后要谨慎,不可随意打开。
本次钓鱼邮件由于员工警惕性较高,未下载打开邮件中的附件,所以未发生实质性危害。但由于不止一人收到了恶意邮件,并且邮件正文中存在员工邮箱和姓名,所以可以推断可能当前存在少量人员信息泄露的问题