管Emotet已經過時，但它仍在不斷演變，并一直是當前最具威脅的木馬之一。

Emotet的技術迭代史(2014-2017年)

2018

1月

Emotet開始傳播銀行木馬Panda(Zeus Panda，于2016年首次發現，并基于泄漏的Zbot銀行木馬源代碼進行攻擊，并攔截網站上的擊鍵和輸入表單內容)。

4月

4月9日：

4月初，Emotet獲得了一個通過無線網絡傳播的模塊(MD5： 75d65cea0a33d11a2a74c703dbd2ad99)，該模塊試圖通過字典攻擊訪問Wi-Fi。它的代碼類似于帶有Wi-Fi連接功能的Network Spreader模塊(bypass.exe)。如果暴力攻擊成功，模塊就會將有關網絡的數據傳輸到C&C。

與bypass.exe一樣，該模塊也作為獨立文件(a.exe)傳播到自解壓文件(MD5：5afdcffca43f8e7f848ba154ecf12539)中。該存檔文件還包含上述service.exe(MD5：5d6ff5cc8a429b17b5b5dfbf230b2ca4)，與第一個版本一樣，它除了將受感染計算機的名稱發送給C&C之外，什么也不能做。

自解壓的RAR文件，帶有可通過Wi-Fi傳播的組件

黑客迅速更新了模塊，在幾個小時內檢測到第一個版本，研究人員收到了更新的自提取文件(MD5： d7c5bf24904fc73b0481f6c7cde76e2a)，其中包含了一個新的service.exe，其中包含了Emotet (MD5： 26d21612b676d66b93c51c611fa46773)。

具有更新的service.exe的自解壓RAR文件

Binary Defense公司直到2020年1月才首次公開描述了該模塊，回到舊的傳播機制和使用舊模塊的代碼看起來有點奇怪，因為在2017年bypass.exe和service.exe已經合并到一個DLL模塊中。

4月14日：

Emotet再次開始在HTTP標頭的Cookie字段中使用GET請求進行數據傳輸，以實現小于1 KB的數據傳輸大小，同時啟動POST請求以獲取大量數據(MD5：38991b639b2407cbfa2e7c64bb4063c4)。填充Cookie字段的模板也不同，如果以前使用的是Cookie：%X =的形式，那么現在是Cookie：%u =。數字和等號之間新添加的空格有助于識別Emotet流量。

GET請求示例

4月30日：

C&C服務器暫停了他們的活動，直到5月16日才恢復，之后GET請求中的空間就消失了。

更新后的GET請求示例

6月

另一個銀行木馬開始使用Emotet進行自我傳播，這次是Trickster(或Trickbot)，這是自2016年以來就開始出現的模塊化銀行木馬，也是Dyreza的最佳替代者。2019年Trickster網銀木馬位列第三位,占所有發現的針對企業的金融威脅的12%。2015年內，受到銀行木馬攻擊的用戶中，超過40%的用戶是受到Dyreza的攻擊。Dyreza通過有效的網絡植入，竊取數據和網銀系統入口。

7月

首次獲得基于libminiupnpc軟件包的所謂的UPnP模塊(MD5：0f1d4dd066c0277f82f74145a7d2c48e)。該模塊根據本地網絡中主機的請求在路由器上啟用端口轉發。這不僅使攻擊者能夠訪問位于NAT之后的本地網絡計算機，還可以將受感染的計算機轉變為C&C代理。

8月

8月，有報道稱新的Ryuk勒索軟件感染了病毒，這是自2017年以來對Hermes勒索軟件的修改。后來發現，感染鏈始于Emotet，后者下載了Trickster，反過來又安裝了Ryuk。此時，Emotet和Trickster都配備了通過本地網絡傳播的功能，而且Trickster利用了SMB中的已知漏洞，這進一步促進了惡意軟件在本地網絡中的傳播。再加上Ryuk，這是一個攻擊力特別強的組合。Ryuk勒索家族最早可追溯至2018年8月，起源于Hermes勒索家族, 此勒索病毒主要通過垃圾郵件、僵尸網絡下發、RDP爆破以及漏洞進行傳播，使用RSA+AES的方式加密用戶文件,在無私鑰的情況下無法恢復文件。

月底，網絡擴展器模塊的密碼列表被更新。它們仍然編號為1000，但是大約有100個被更改了(MD5： 3f82c2a733698f501850fdf4f7c00eb7)。

解密后的密碼列表

10月

10月12日：

當研究人員沒有注冊傳播新模塊或更新時，C&C服務器就會暫停他們的活動，直到10月26日活動才恢復。

10月30日：

Outlook的數據過濾模塊(MD5：64C78044D2F6299873881F8B08D40995)進行了更新。關鍵的創新是能夠竊取信息本身的內容。盡管如此，可竊取數據的數量被限制為16 KB(較大的消息被截斷)。

Outlook數據導出模塊新舊版本的代碼比較

11月

當研究人員沒有注冊傳播新模塊或更新時，C&C服務器暫停了他們的活動。活動直到12月6日才恢復。

12月

C&C活動僅在2019年1月10日恢復，因此停機時間更長。

2019

3月

3月14日：

Emotet再次修改了HTTP協議的一部分，切換到POST請求，并使用字典創建路徑。現在已填充了Referer字段，，并且出現了 Content-Type: multipart/form-data appeared. (MD5: beaf5e523e8e3e3fb9dc2a361cda0573)：

POST請求生成函數的代碼

POST請求的示例

3月20日

協議的HTTP部分的另一個更改，Emotet刪除了Content-Type：multipart / form-data。數據本身使用Base64和UrlEncode(MD5：98fe402ef2b8aa2ca29c4ed133bbfe90)進行編碼。

更新后的POST請求生成函數的代碼

POST請求的示例

4月

最初的報告似乎表明，Emotet垃圾郵件正在使用Outlook的新數據泄漏模塊所竊取的信息：在電子郵件中觀察到被盜主題、郵件列表和郵件內容的使用。

5月

C&C服務器停止工作了很長一段時間(三個月)。活動于2019年8月21日恢復。然而，在接下來的幾個星期里，服務器只傳播更新和模塊，沒有發現任何垃圾郵件活動。這些時間可能用于恢復與受感染系統的通信，收集和處理數據，以及在本地網絡上傳播。

11月

開發者對協議的HTTP部分進行了微小的更改，此時Emotet放棄使用字典來創建路徑，選擇隨機生成的字符串(MD5： dd33b9e4f928974c72539cd784ce9d20)。

POST請求的示例

2月

2月6日：

這是協議的HTTP部分的另一個變化，現在，路徑不由單個字符串組成，而是由幾個隨機生成的單詞組成。 Content-Type再次成為多部分/表單數據。

POST請求的示例

隨著HTTP部分的更新，二進制部分也被更新。加密保持不變，但Emotet刪除谷歌協議緩沖區并切換到自己的格式。壓縮算法也發生了變化，liblzf取代了zlib。關于新協議的更多細節可以在英特爾和CERT Polska 報告中找到。

2020

2月7日

C&C活動直到2020年7月才恢復。在此期間，垃圾郵件的數量降至零。與此同時，Binary Defense與各種CERT和infosec社區一起開始傳播EmoCrash，這是一個PowerShell腳本，可為Emotet使用的系統注冊表項創建不正確的值。這導致惡意軟件在安裝過程中“崩潰”。這個killswitch一直持續到8月6日，當時Emotet背后的開發者修補了該漏洞。

7月

就在垃圾郵件活動恢復幾天后，就有報告顯示，有人用圖片和表情包替換了受攻擊網站的惡意表情包。因此，點擊垃圾郵件的鏈接，打開的是普通圖片，而不是惡意文檔。這并沒有持續太久，到7月28日，惡意文件已經不能再被替換為圖像。

總結

盡管Emotet已經過時，但它仍在不斷演變，并一直是當前最具威脅的木馬之一。

2020年11月最活躍的C&C：

本文翻譯自：https://securelist.com/the-chronicles-of-emotet/99660/