Emotet木马分析与检测
字数 1977 2025-12-05 12:09:13

Emotet木马分析与检测技术文档

1. 样本概况

1.1 样本信息

  • 文件名: DeviceManager.exe
  • SHA-256哈希: 58de3a083077a6f0f178bbf94ee2fc90875475e5277b687751e33cfa4e3cd519

1.2 测试环境及工具

  • 虚拟环境: WMware + Win10 64位操作系统
  • 分析工具:
    • 火绒剑(行为监控)
    • IDA(静态反汇编分析)
    • X32dbg(动态调试)
    • Stud_PE(PE文件结构分析)
    • exeinfope(查壳工具)

2. 静态与动态分析

2.1 PE文件结构分析

2.1.1 基础信息

  • 检查文件入口点、映像基址、区段数量
  • 分析DOS文件头信息
  • 查看具体区段名称、大小和地址信息
  • 验证文件数字签名状态

2.1.2 加壳检测

  • 使用exeinfope工具检测,确认样本无壳保护

2.2 IDA静态分析

2.2.1 主程序逻辑(start函数)

持久化植入机制

  1. 文件名验证: 检查自身文件名是否为"sysnldcvmr.exe"
  2. 安全规避: 若非指定文件名,删除源文件的Zone.Identifier数据流
  3. 多路径复制:
    • 系统目录(%windir%)
    • 用户目录(%userprofile%)
    • 临时目录(%temp%)
  4. 文件属性设置: 重命名为"sysnldcvmr.exe",设置隐藏+系统属性
  5. 注册表自启动:
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
    • 自启项名称: "Windows Setting"
  6. 进程启动: 每次复制后启动副本进程确保驻留

2.2.2 多线程架构

线程1(sub_407440): C2通信与载荷下载

功能流程:
1. URL构建: 拼接基础地址与数字后缀生成完整URL
2. 缓存清理: 清除URL缓存避免检测
3. 通信检测: C2服务器发起请求,响应头长度>5000Byte触发下载
4. 文件生成: %temp%目录创建随机名EXE文件
5. 安全规避: 删除Zone.Identifier数据流
6. 载荷处理:
   - 读取文件头256字节(含4字节魔数)
   - 提取16字节RC4密钥
   - 获取4字节加密数据长度
   - 验证16字节预期Hash
7. 解密执行: RC4解密后验证完整性,执行恶意代码
8. 循环维持: 持续执行保持与C2通信

线程2(sub_405880): Web3资产窃取

攻击流程:
1. 窗口隐藏: 基于时间戳动态生成隐蔽窗口
2. 剪贴板监控: 持续监控系统剪贴板
3. 目标识别: 识别特定加密货币地址格式
   - BitcoinCash
   - Ronin
   - Nano
4. 地址替换: 将合法地址替换为攻击者预设地址
5. 资金转移: 受害者使用粘贴地址时资金转入攻击者账户

线程3(sub_406BC0): 感染传播与远程控制

核心功能:
1. 文件完整性检查: 对比目标文件与自身大小,不一致则替换
2. 磁盘发现:
   - 查询注册表NoDrives键值(Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   - 识别未隐藏的可感染磁盘
3. 文件清理: 删除.lnk/.vbs/.js等指定后缀文件
4. 系统文件绕过: 避开Thumbs.dbdesktop.ini等系统文件
5. 感染传播:
   - 复制自身到目标磁盘命名为DriveSecManager.exe
   - 创建快捷方式与隐藏目录
   - 转移用户文件至隐藏目录
6. 网络穿透: 利用UPnP协议开放40500端口映射
7. 防火墙绕过: 将恶意程序加入防火墙白名单
8. 安全校验: 生成两个随机数作为交互校验标识
9. 控制线程: 创建4个线程负责指令接收、执行与通信维护

3. 行为分析

3.1 主程序行为(DeviceManager.exe)

3.1.1 进程行为

  • 进程启动后立即衍生恶意子进程sysnldcvmr.exe
  • 多线程并发执行不同恶意功能模块

3.1.2 网络行为

  • 主进程本身不直接发起网络通信
  • 通过衍生进程实现网络连接

3.2 衍生文件行为(sysnldcvmr.exe)

3.2.1 进程行为

  • 持续驻留内存,维持恶意功能
  • 定期与C2服务器通信

3.2.2 网络行为

  • 建立与恶意IP 185.215.113.66的通信连接
  • 实现数据泄露和指令接收

4. 检测与对抗方案

4.1 持久化对抗措施

  1. 文件清理:

    • 检查%windir%、%userprofile%、%temp%目录下的sysnldcvmr.exe
    • 删除发现的恶意文件及关联隐藏目录

  2. 注册表修复:

    • 定位HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER的Run项
    • 删除"Windows Setting"自启项

4.2 感染防护

  1. 磁盘监控:

    • 监控NoDrives注册表项变更
    • 拦截DriveSecManager.exe的创建行为

  2. 文件恢复:

    • 恢复被删除的.lnk、.vbs等文件
    • 找回被转移至隐藏目录的用户文件

4.3 网络通信阻断

  1. C2通信拦截:

    • 阻断与185.215.113.66的通信
    • 监控URL拼接行为模式

  2. 载荷防护:

    • 删除%temp%目录下的随机名恶意文件
    • 监控异常的网络下载行为

4.4 资产保护

  1. 剪贴板防护:

    • 监控剪贴板读取操作
    • 实现加密货币地址变更检测

  2. 交易验证:

    • 关键交易前验证地址完整性
    • 使用多重验证机制

4.5 远程控制防护

  1. 网络配置:

    • 禁用不必要的UPnP服务
    • 监控40500端口的映射行为

  2. 防火墙管理:

    • 审核防火墙白名单条目
    • 移除恶意程序的白名单权限

  3. 安全校验:

    • 分析随机数生成算法
    • 实现指令交互的完整性验证

5. 检测特征总结

5.1 文件特征

  • 特定哈希值: 58de3a083077a6f0f178bbf94ee2fc90875475e5277b687751e33cfa4e3cd519
  • 文件名模式: sysnldcvmr.exe、DriveSecManager.exe

5.2 行为特征

  • 多目录自我复制
  • 注册表自启动项添加
  • 剪贴板监控行为
  • UPnP端口映射请求
  • 特定网络通信模式

5.3 网络特征

  • C2服务器IP: 185.215.113.66
  • 通信端口: 40500
  • 特定的URL拼接模式

本技术文档提供了Emotet木马的完整分析框架和检测方案,可用于安全防护产品的规则制定和应急响应流程的建立。

Emotet木马分析与检测技术文档 1. 样本概况 1.1 样本信息 文件名 : DeviceManager.exe SHA-256哈希 : 58de3a083077a6f0f178bbf94ee2fc90875475e5277b687751e33cfa4e3cd519 1.2 测试环境及工具 虚拟环境 : WMware + Win10 64位操作系统 分析工具 : 火绒剑(行为监控) IDA(静态反汇编分析) X32dbg(动态调试) Stud_ PE(PE文件结构分析) exeinfope(查壳工具) 2. 静态与动态分析 2.1 PE文件结构分析 2.1.1 基础信息 检查文件入口点、映像基址、区段数量 分析DOS文件头信息 查看具体区段名称、大小和地址信息 验证文件数字签名状态 2.1.2 加壳检测 使用exeinfope工具检测,确认样本无壳保护 2.2 IDA静态分析 2.2.1 主程序逻辑(start函数) 持久化植入机制 : 文件名验证 : 检查自身文件名是否为"sysnldcvmr.exe" 安全规避 : 若非指定文件名,删除源文件的Zone.Identifier数据流 多路径复制 : 系统目录(%windir%) 用户目录(%userprofile%) 临时目录(%temp%) 文件属性设置 : 重命名为"sysnldcvmr.exe",设置隐藏+系统属性 注册表自启动 : HKEY_ LOCAL_ MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ HKEY_ CURRENT_ USER\Software\Microsoft\Windows\CurrentVersion\Run\ 自启项名称: "Windows Setting" 进程启动 : 每次复制后启动副本进程确保驻留 2.2.2 多线程架构 线程1(sub_ 407440): C2通信与载荷下载 线程2(sub_ 405880): Web3资产窃取 线程3(sub_ 406BC0): 感染传播与远程控制 3. 行为分析 3.1 主程序行为(DeviceManager.exe) 3.1.1 进程行为 进程启动后立即衍生恶意子进程sysnldcvmr.exe 多线程并发执行不同恶意功能模块 3.1.2 网络行为 主进程本身不直接发起网络通信 通过衍生进程实现网络连接 3.2 衍生文件行为(sysnldcvmr.exe) 3.2.1 进程行为 持续驻留内存,维持恶意功能 定期与C2服务器通信 3.2.2 网络行为 建立与恶意IP 185.215.113.66的通信连接 实现数据泄露和指令接收 4. 检测与对抗方案 4.1 持久化对抗措施 文件清理 : 检查%windir%、%userprofile%、%temp%目录下的sysnldcvmr.exe 删除发现的恶意文件及关联隐藏目录 注册表修复 : 定位HKEY_ LOCAL_ MACHINE和HKEY_ CURRENT_ USER的Run项 删除"Windows Setting"自启项 4.2 感染防护 磁盘监控 : 监控NoDrives注册表项变更 拦截DriveSecManager.exe的创建行为 文件恢复 : 恢复被删除的.lnk、.vbs等文件 找回被转移至隐藏目录的用户文件 4.3 网络通信阻断 C2通信拦截 : 阻断与185.215.113.66的通信 监控URL拼接行为模式 载荷防护 : 删除%temp%目录下的随机名恶意文件 监控异常的网络下载行为 4.4 资产保护 剪贴板防护 : 监控剪贴板读取操作 实现加密货币地址变更检测 交易验证 : 关键交易前验证地址完整性 使用多重验证机制 4.5 远程控制防护 网络配置 : 禁用不必要的UPnP服务 监控40500端口的映射行为 防火墙管理 : 审核防火墙白名单条目 移除恶意程序的白名单权限 安全校验 : 分析随机数生成算法 实现指令交互的完整性验证 5. 检测特征总结 5.1 文件特征 特定哈希值: 58de3a083077a6f0f178bbf94ee2fc90875475e5277b687751e33cfa4e3cd519 文件名模式: sysnldcvmr.exe、DriveSecManager.exe 5.2 行为特征 多目录自我复制 注册表自启动项添加 剪贴板监控行为 UPnP端口映射请求 特定网络通信模式 5.3 网络特征 C2服务器IP: 185.215.113.66 通信端口: 40500 特定的URL拼接模式 本技术文档提供了Emotet木马的完整分析框架和检测方案,可用于安全防护产品的规则制定和应急响应流程的建立。