未加星标

Emotet新增邮件窃取模块

字体大小 | |
[系统(windows) 所属分类 系统(windows) | 发布者 店小二05 | 时间 2018 | 作者 红领巾 ] 0人收藏点击收藏

Emotet恶意软件家族最近因将勒索软件payload传播到美国的基础设施而登上头条。研究人员最近就发现僵尸网络运营者新加的一个能够窃取邮箱内容的模块。

这一新功能能够有效利用现有的Emotet感染情况,将受感染用户系统中的邮件内容窃取并发回给僵尸网络运营者。该功能能够有效获取邮箱列表中180天内的邮件,并发回给攻击者。

邮件信息窃取模块

之前的Emotet模块已经使用 Outlook Messaging API 来窃取通讯录列表。MAPI使用最常用的例子就是Simple MAPI和完全MAPI,Simple MAPI是windows默认Windows Live邮件客户端的一部分,完全MAPI是Outlook和Exchange使用的。也就是说,该API可以在配置合理的情况下使应用可以访问邮件。

配置也是该模块首先检查的。访问注册表HKLM\Software\Clients\Mail\Microsoft Outlook,到mapi32.dll模块的路径DllPathEx需要进行定义。注册表是非常明确的,有许多的看似真实的key该模块并不会关注,比如HKLM\Software\Clients\Mail\Windows Mail。

对每封邮件,模块会收集:

发件人姓名和邮箱;

收件人姓名和邮箱。

这个新的模块更加全面,还包括邮件的主题和主体部分。会爬取interpersonal message (IPM) 根目录下的每个子文件夹的邮件:

确认邮件是否是过去的100e-9 * 15552000000 * 10000 / 3600 / 24 = 180天内发送和接收的(PR_MESSAGE_DELIVERY_TIME)。

如果是,就获取发件人(PR_SENDER_NAME_W,PR_SENDER_EMAIL_ADDRESS_W)、收件人(PR_RECEIVED_BY_NAME_W,PR_RECEIVED_BY_EMAIL_ADDRESS_W)、主题(PR_SUBJECT_W)和主体(PR_BODY_W)。

如果主体部分超过16384个字符,就会被缩短为16384个字符加上该字符串……

然后会在全局链接列表中添加一个含有上述邮件信息的结构,并用Base64编码写入一个临时文件。

攻击原理
Emotet新增邮件窃取模块

攻击步骤图

需要强调的是,该模块被应用到已被Emotet感染的系统中,并开始窃取邮件并发回给攻击者。过去的几天,Emotet大约窃取了上万个被感染系统的无数封邮件。

下面看一下其工作原理:

受感染的Emotet 的会从C2服务器加载模块DLL, DLL会将payload二进制文件注入到新的Emotet进程中;

新进程会扫描所有邮件,并将结果保存到临时文件中;

原始的模块DLL会等payload执行结束(或300秒后杀掉该进程),然后读取临时文件;

原始DLL会用WinINet API发布一个发送临时文件到C2服务器的HTTP请求。


Emotet新增邮件窃取模块

Emotet的全球威胁追踪图

结论

Emotet已经成为一个严重的威胁,最近在美国的城市使用勒索软件,已造成超过100万美元的损失。美国是受Emotet影响最严重的国家之一。而Emotet的运营者开始转移到服务端提取,邮件泄露带来的危害也不容小觑。Emotet是迄今为止最高级的僵尸网络之一,企业应该尽量减少暴露的威胁点,利用可以帮助做出明智决策的情报信息。

本文系统(windows)相关术语:三级网络技术 计算机三级网络技术 网络技术基础 计算机网络技术

代码区博客精选文章
分页:12
转载请注明
本文标题:Emotet新增邮件窃取模块
本站链接:https://www.codesec.net/view/610764.html


1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责;
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性,不作出任何保证或承若;
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
技术大类 技术大类 | 系统(windows) | 评论(0) | 阅读(97)