在2018年,Emotet的活动激增。 表情包最初是一家银行木马,但此博客将阐明它如何也已成为“威胁分发者”。我们还将讨论服务器端和客户端活动及其传播方式。它的自我传播使安全供应商静态检测它更具挑战性。我们将解释垃圾邮件中的URL,托管在这些URL上的恶意软件如何不断变化以及如何使用蛮力来横向移动。
什么是Emotet?
自2014年以来,Emotet恶意软件活动就开始了。它经常以不同的技术和变体来间隔传播以向受害者传播恶意软件。我们看到攻击者使用复杂的技术来逃避检测。它已从独立的银行木马演变为复杂的威胁分发者。在2017年初,我们看到Emotet广告活动通过带有PDF和JS文件的垃圾邮件传播。在2018年,它正在MS Office Word文档中传播,其中包含严重混淆的宏。该邮件还包含一个URL,用于下载MS Office(Word,Excel)文档。 US-CERT已发出 警报 强调Emotet是如何构成严重威胁。
是什么使它成为更复杂的分销商?
该恶意软件显示出持续感染,并且在定期更改URL和URL传递的有效负载方面非常具有攻击性,因此很难进行静态检测。我们还看到网络的凭证被盗,电子邮件帐户凭证和密码存储在Web浏览器中。它尝试使用被盗凭据通过蛮力攻击在内部传播到整个网络。它通过抓取受害者的姓名和电子邮件地址来劫持电子邮件ID’的Outlook帐户,然后使用该帐户发送更多的垃圾邮件,从本质上将受害者变成垃圾邮件发送者。
感染媒介:
战役分为两个阶段。
- 攻击网站。
- 攻击受害者的机器。 (已经在我们以前的博客中讨论过)
这些受感染的网站被用来托管最新的恶意软件。这些恶意软件将作为文档下载,然后在传播恶意软件的后期阶段作为Emotet的可执行文件下载。
为什么Emotet定位基于PHP的网站?
大约70%-80%的网站是使用PHP开发的。甚至Joomla,WordPress之类的内容管理系统都在PHP上运行。 PHP是服务器端脚本语言,它在服务器上执行代码并给出HTML作为响应。如果攻击者成功地在(PHP)服务器上执行了恶意代码,则他可以获得服务器的管理员访问权限。在服务器上执行恶意代码的目标是漏洞。就像在WordPress和Joomla插件中一样,发现了许多可以利用的漏洞。其中一些是“任意文件上传漏洞”,“直接访问XMLRPC.php”,“远程特权升级漏洞”,“跨站点脚本”和“信息泄露漏洞”。在分析过程中,我们检查了其是否使用了最新的漏洞exploit-db和Rapid7。另外,在代码中,它包含“http://exploit-db.com/search/?action=search&filter_description=LinuxLinuxKernelposix_getegid?nameuidnamegid/cwd”。通常,网站所有者不会修补这些漏洞,因为更新到最新的插件可能会影响他们的网站主题。这就是为什么这些网站很容易成为针对性目标的原因,这些网站可以用作免费且无法检测的基础架构来收集各种恶意软件。
表情包如何破坏网站并用作威胁分发者?
当用户访问URL时,它作为对服务器的“获取”请求。服务器读取URL并执行与当前请求关联的PHP页面。
e.g. When user accesses “http://www.Abc.com/login”, on server-side webserver checks login.php page. If it is present then executes code on the server 和 sends HTML as response. Generally, we can’t access PHP code 目录ectly as its access is restricted by the server. To plant a backdoor 脚本 on PHP based websites/server, the attacker needs to upload the backdoor 脚本 on PHP server using any 的 the above-mentioned vulnerabilities. Then the attacker needs to send a request for that resource (backdoor 脚本) which will execute on PHP server 和 gives access to PHP server along with the server’s admin id 和 password. It will in turn download more malicious content from CnC server.
表情包可以通过将后门脚本上传到易受攻击的网站来定位PHP网站。攻击者可能使用漏洞扫描程序,如wpscan,owasp-zap,Joomla扫描程序和nmap来查找网站中的漏洞。此外,我们发现“ fped8.org”服务器上列出了许多受感染的网站。
受Emotet破坏的网站还包含类似的脚本 脚本 的 Roi777Eng 使用PHP后门破解网站。
表情包’s first target is to compromise website listed on “fped8.org” server for uploading malicious 脚本s 和 then tries other vulnerable websites. It uploads backdoor PHP 脚本 by using arbitrary file upload vulnerability, which means the file mime type is not checked by server or code while upload is going on 和 the uploaded folder on given websites is 目录ectly accessible. So, the attacker is able to plant backdoor easily. Once the 脚本 is uploaded to the website, attacker hits request like “http://www.Abc.com/wp-uploads/2018/11/backdoor.php” 和 脚本 is executed on the server. They also compromise WordPress themes which are available on WordPress, Joomla shops. We have analyzed one 的 the compromised websites which contains theme named “sketch”, which was uploaded in November. 404.php page 的 that particular website was compromised 和 giving backdoor access to the attacker. Once the website is exploited attacker executes malicious code by post 和 gets request. To bypass filters, it is using obfuscated code.
e.g. “http://www.Abc.com/remote.php?key=’shell_’$v’exec(ls -ano)’ ”.
在上面的示例中,shell_exec是用于执行shell命令的PHP函数。为了绕过Web托管服务提供商添加的检查,攻击者在请求中添加了空变量,例如$ v。这些未初始化的变量将被忽略。在PHP中,“ shell_exec”和shell_exec具有相同的含义,任何字符串都可以用作函数调用。我们可以用“ \ x73 \ x68 \ x65 \ x6C \ x6C \ x5F \ x65 \ x78 \ x65 \ x63”之类的十六进制形式编写此函数名称,不过就是shell_exec。这样,可以绕过防火墙在Web服务器上执行多个命令。
例如。:
<?php
$ m =”shell_exec”;
$ v = $ m(‘dir’);
回声$ v;
?>
经过调查,我们发现这些受到攻击的网站被攻击者用作恶意软件托管平台或基础设施,可用于传播Emotet,Miner等任何恶意软件。如上所述,全世界PHP网站的数量非常高,以同样的方式,受感染网站的数量也很高。
在Emotet广告系列中,我们发现了多个这样的脚本,这些脚本根据攻击者的命令执行。攻击者仅通过发布请求就可以发送exe或doc文件的新变种。在受感染的网站上,脚本将对文件进行加密并以随机名称保存。要执行这些PHP脚本,它使用PHP的eval()函数。下面的恶意脚本用于在受感染的服务器上进行远程访问或后门访问。通常,脚本位于以下位置 wp-admin \ wpclient。
remote.php
settings.php
minify.php
wsetting.php
syslib.php
new_license.php
在某些情况下,我们发现以上脚本位于网站的根文件夹或wp-includes中,它们还编辑了主题的404.php,其中包含与以下脚本中提及的代码相同的代码。让我们来看一些重要的脚本。
Remote.php:
该脚本用作PHP门口后门。这些脚本将“ HTTP”和“ curl”请求发送到“fped8.org/doorways/settings_v2.php” 和 “ update.php” 如下图所示。
该脚本可能在更新恶意脚本模块中起主要作用。攻击者根据“获取”和“发布”请求参数激活功能。我们发现remote.php能够下载和执行从HTTP请求获取的PHP脚本。如果我们尝试直接访问remote.php,则它将发送“ 真正”响应或重定向到另一个域。它通过检测来检查内容管理系统(CMS)‘/wp-blog-header.php’ for WordPress 和 ‘/includes/framework.php’对于Joomla。然后,根据PHP网站的类型,它为其编辑了主题模板,该模板定义了一个名为edittext()的函数,该函数接受_themesfile_data,_extlinksfilename和_other_data,并将其添加到网站主题中。
它将数据下载并存储在名为temp * clientid *的缓存文件夹中。它获取一个编码的PHP脚本,即主机服务器的IP地址列表,该主机服务器向fped8.org发送请求。在调查中,我们发现此IP地址列表与受感染网站上Emotet文件夹中存在的IP地址列表相似。这帮助我们将Emotet广告系列与“门到PHP后门”广告系列相关联。此外,它还包含删除目录full_del_dir()的功能。
Settings.php:
该文件是入侵者的主要组件。我们发现,当我们打开此页面时,将获得密码输入框和提交按钮。在分析其PHP代码时,我们发现此页面已多次加密。我们使用base64_decode和str_rot13解密了该文件。然后,数组中又有许多base64加密的字符串。解码后,我们发现执行套接字连接的Perl脚本和javascript。我们假设该脚本文件用于使攻击者获取shell访问权限。
Also it contains href action for “http://exploit-db.com/search/?action=search&filter_description=LinuxLinuxKernelposix_getegid?nameuidnamegid/cwd”, “http[:]//crackfor.me/index.php”, ”http[:]//md5.rednoize.com/” 和 “https[:]//hashcracking.ru/index.php”. It also executes the command by using PHP functions like shell_exec which executes commands on the shell 和 returns output as a string. It also has the ability to upload the file. This 脚本 also uses functions like “find -type f -name fetchmailrc, htpasswd, 和 config*”. It has SQL commands to insert data 和 dump data in SQL.
wpsetting.php:
用于将上传的文件移动到目的地。
Minify.php:
When we send user request, we get input box for password. Minify.php 和 Settings.php both files are the same. After decryption we found that it is nothing but a webshell. Similar webshell are also available on “hxxps://webshell.co/”. Both the files i.e. minify.php 和 setting.php are encrypted by different encryption algorithms 和 decrypted on execution. To evade detection on the server side, both the 脚本 files are highly encrypted. This 脚本 is webshell which consists 的 different utilities which helps the attacker to gain access 的 the complete system without any user id password.
该脚本中可用的工具:
1.文件管理器
2.SQL浏览器
3.控制台
4.Php Shell执行php代码。 (Eval())
5,字典攻击工具
6.Network脚本创建套接字连接。
一旦将此脚本上传到Web服务器上,攻击者就可以使用文件管理器轻松安装其他脚本并获得ftp访问权限。经调查,我们发现该脚本也被添加为受感染站点活动主题中的404页面,以实现持久性。但是由于这些脚本具有一键式自删除功能,因此攻击者可以删除所有这些脚本。
new_license.php:
在某些受到感染的服务器上,我们找到了new_license.php。此PHP脚本包含多部分HTML表单,没有任何客户端和服务器端验证。攻击者可以在服务器上上传任何PHP(有效负载或后门),如图12所示。在此页面上,我们获得了到上载脚本的链接。这种脚本用于在Web服务器上上传任何文件并执行恶意代码。
表情包脚本文件
我们发现Emotet在随机生成的名称文件夹中删除了5个文件。文件列表如下:
.67179322b768a6c97af866b5561a06aabf878f15
.bt
.htaccess
index.php
web.config
.bt:
这是一个隐藏文件,其中包含该文件中的主机URL列表IP列表,并且“ PHP后门文件”相同。许多受Emotet感染的域都包含此文件以及上面提到的文件。这就是为什么我们认为这两个广告系列都参与了分发恶意软件的活动。
.67179322b768a6c97af866b5561a06aabf878f15:
这是一个json文件,每当从给定的受感染站点下载Emotet时,每个请求都会更新该文件。
{“4″:1031,”5″:1255,”2″:31,”3”:14}
这里的1031是从当前受感染站点下载的Emotet的计数。
.htaccess:
它用于提供对文件的访问,还用于限制对某些文件的访问。该文件授予index.php的权限。以下是权限列表
DirectoryIndex index.php
<Files index.php>
订购允许,拒绝
允许所有人
</Files>
index.php:
这包含主要的Emotet有效负载。在网络钓鱼电子邮件中,将包含index.php链接的上述文件夹提供给受害者。每当用户单击链接时,就会发送解密的Emotet恶意软件(doc / Exe)作为响应。在邮件中,有一个指向包含index.php的文件夹的链接。当请求发送到服务器时,它执行index.php并发送exe或doc作为响应。
这个index.php也被高度加密。解码后,我们发现Emotet使用类和私有变量以加密形式存储主要有效负载。有一个称为“执行”的功能,可将有效载荷解码并将其发送给用户。它使用PHP的标头函数发送响应。
在标头中,它发送数据,例如“’过期:星期二,格林尼治标准时间1970年1月1日00:00:00’”,“缓存控制:不存储,不缓存,必须重新验证,max-age = 0’”。它将文件的内容类型称为“应用程序/八位字节流”,‘内容传输编码:二进制’。成功发送文件作为响应后,它将新的下载计数写入json文件“ .67179322b768a6c97af866b5561a06aabf878f15”。
要解密此脚本,它首先使用包功能(如上图所示)解密API名称。然后,它使用解密函数(Gzinflate,base64_decode)解密其余的PHP脚本。
客户端执行
我们在之前的博客中已经在客户端讨论了该活动的传播机制。 //blogs.quickheal.com/evolution-4-year-old-threat-emotet-infamous-trojan-complex-threat-distributer/
结论:
这样,PHP恶意软件感染了干净的PHP网站/服务器,并提供了对攻击者执行恶意脚本的访问权限。此外,它可以用于分发恶意软件,例如在我们的案例中index.php包含加密的Emotet恶意软件。每当调用此PHP时,都会发送解密的Emotet恶意软件(doc / Exe)作为响应。这些受感染的网站被攻击者用作恶意软件托管平台或基础结构。在某些情况下,我们发现在访问Web服务器之后,攻击者可能会删除恶意脚本。
表情包恶意软件通过垃圾邮件进行传播,该邮件具有社交工程技巧,可以轻松地诱骗用户。
快速修复针对Emotet广告系列的每一层提供多层保护。
遵循的安全措施
- 不要在邮件正文中打开由未知来源发送的任何链接。
- 不要下载不受信任的来源收到的附件。
- 始终打开防病毒软件的电子邮件保护。
- 执行文档时不要启用“宏”或“编辑模式”。
请密切关注我们即将推出的有关Emotet广告系列的技术论文。
主题专家:
Bajrang Mane,Vallabh Chole,Preksha Saxena |快速修复安全实验室
没意见