层层对抗安全软件火绒对Emotet僵尸网络深度分析

文章正文

发布时间：2025-06-15 02:02

使用论坛附件上传样本压缩包时必须使用压缩密码保护，压缩密码:52pojie，否则会导致论坛被杀毒软件等误报，论坛有权随时删除相关附件和帖子！
病毒分析分区附件样本、网址谨慎下载点击，可能对计算机产生破坏，仅供安全人员在法律允许范围内研究，禁止非法用途！
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容，即使对方是非法内容，也应向警方求助！

本帖最后由火绒安全实验室于 2021-5-8 13:25 编辑

一、详细分析
Emotet是过去七年全球规模最大的僵尸网络之一（目前已自毁）。根据我们的溯源分析，该病毒在2014年出现至今的7年期间中，除了散播其他木马病毒以外，还在持续通过不断更换外层混淆器，调整自身的代码逻辑和更新C&C服务器来对抗安全软件的查杀。因此，梳理并分析其中的对抗过程，对于面对未来出现的家族样本具有非常重要的参考价值。

173001pbb1pub1pm3pzf6f.png (30.01 KB, 下载次数: 0)

下载附件

2021-4-29 16:04 上传

Emotet木马病毒主要通过钓鱼邮件进行传播。钓鱼邮件中会将恶意文档（通常为doc、docx、xls、xlsx等）伪装为交易发票等重要信息，从而诱导用户打开。当用户打开附件中的恶意文档并启用宏后，便会感染病毒，成为僵尸网络中的一个节点。具体病毒执行流程如下图所示:

Image-3.png (57.6 KB, 下载次数: 0)

下载附件

2021-4-29 16:04 上传

病毒执行流程图

恶意文档
钓鱼邮件中带毒宏文档执行后，主机会向C&C服务器发送请求，下载执行真正的Emotet木马可执行程序。加载执行Emotet木马的方式会根据木马的形式不同而不同，通常与宏病毒中的代码配合完成加载（比如动态库形式的木马需要用rundll32加载执行）。在我们举例的Emotet宏文档病毒代码中，会通过命令行启动执行带命令行的powershell，依次尝试从几个不同的C&C服务器下载动态库形式的木马模块，如果下载成功则使用rundll32加载执行。相关现象及代码，如下图所示：

Image-4.png (88.24 KB, 下载次数: 0)

下载附件

2021-4-29 16:04 上传

带毒宏文档

Image-5.png (28.56 KB, 下载次数: 0)

下载附件

2021-4-29 16:04 上传

启动带命令行的powershell

Image-6.png (264.06 KB, 下载次数: 0)

下载附件

2021-4-29 16:04 上传

powershell下载执行木马

Image-7.png (143.19 KB, 下载次数: 0)

下载附件

2021-4-29 16:04 上传

启动powershell下载执行木马模块

Emotet外层混淆器
Emotet木马模块的外层为混淆器，用于对抗分析和杀软查杀。随着Emotet病毒的长时间的演变，外层的混淆器也在不断进行变化。从对Emotet家族的样本分析来看，外层混淆器具有阶段性特征，但每个阶段之间并没有直接的演化关联。并且当对外层混淆器特征进行样本查询时，发现存在不同家族使用相同混淆器的情况，因此猜测病毒使用的混淆器可能不是Emotet团伙自身维护。在各阶段的混淆器中存在常见的对抗虚拟沙盒的手段，如冷门API调用，检查具体函数实现等。相关代码，如下图所示:

Image-8.png (86.92 KB, 下载次数: 0)

下载附件

2021-4-29 16:04 上传

冷门动态库和函数

Image-9.png (199.07 KB, 下载次数: 0)

下载附件

2021-4-29 16:05 上传

检查具体函数实现

Image-10.png (122.23 KB, 下载次数: 0)

下载附件

2021-4-29 16:05 上传

将解密内层PE代码放在动态库导出函数中

病毒混淆器一般分为2-3层，最外层解密执行shellcode， shellcode解密加载最终的PE执行，或者是中间有多层shellcode多次加载的情况。同时加载PE的方式也有直接内存加载执行或者创建新进程注入等方式。下面就几个明显的阶段性混淆器进行简单说明:

1、简单内存加载
最开始时混淆器有2层，外层解密并执行shellcode，shellcode负责加载执行内层的PE文件。具体代码，如下图所示：

Image-11.png (237.29 KB, 下载次数: 0)

下载附件

2021-4-29 16:05 上传

加载执行

2、多层shellcode注入加载+ 环境检测
这个阶段的混淆器总共有3层，外层的MFC混淆器解密执行第二层shellcode，第二层shellcode解密执行第三层shellcode，第三层shellcode检测执行环境（检测虚拟机，沙箱，关闭微软防火墙服务等）并将最终的PE以创建新进程注入的方式加载执行。具体代码，如下图所示：

Image-12.png (195.85 KB, 下载次数: 0)

下载附件

2021-4-29 16:05 上传

检测环境并将PE注入执行

3、控制流在多个内存区域间跳转
这个阶段的混淆器较为复杂，且持续了很长一段时间。最外层的混淆器解密并加载执行子PE，子PE比较特殊，文件以0x10字节大小对齐， windows无法直接加载执行。子PE加载执行原始的PE文件，原始的PE文件经过特殊处理，病毒代码片段分布在两个部分，最终加载完成后，病毒的执行控制流会在三个内存区域跳转（其中一个为垃圾代码段）。相关代码，如下图所示：

Image-13.png (352.93 KB, 下载次数: 0)

下载附件

2021-4-29 16:05 上传

控制流在多个内存区域间跳转

4、简单内存加载+垃圾指令混淆
最新版本的混淆反而没那么复杂，只有简单的内存加载执行逻辑，但是会在指令之间插入一些垃圾API调用或者垃圾汇编代码，从而改变病毒的二进制特征，对抗特征查杀。具体代码，如下图所示：

Image-14.png (186.31 KB, 下载次数: 0)

下载附件

2021-4-29 16:05 上传

使用垃圾指令或调用混淆

Emotet内层恶意代码
通过对病毒不同变种内层PE进行分析发现，不同于外层混淆器，内层PE的混淆有一个明显演变的过程。下面将其简单分为3个阶段进行说明：

1、没有混淆
病毒所使用的字符串均以明文的方式存储，所调用的API均为正常静态导入。具体如下图所示：

Image-15.png (156.62 KB, 下载次数: 0)

下载附件

2021-4-29 16:05 上传

病毒使用的字符串和API均未混淆

2、API动态获取、字符串加密
病毒对使用的API以计算hash值的方式遍历内存加载的模块与其导出函数的名称，通过比对存储的hash值，从而得到对应的API函数地址。病毒对使用的字符串进行异或加密存储，在每次使用时，分配空间解密使用。具体如下图所示：

Image-16.png (191.41 KB, 下载次数: 0)

下载附件

2021-4-29 16:05 上传

病毒只对使用的导入函数进行混淆，字符串依然明文存储

Image-17.png (280.45 KB, 下载次数: 0)

下载附件

2021-4-29 16:05 上传

导入函数和字符串均混淆

3、控制流平坦化和大数运算混淆
在原有API动态获取和加密字符串的基础上，病毒使用控制流平坦化和大数运算进行混淆。这使得相同的代码编译得到的二进制特征各不相同，从而增大安全软件的检出难度，阻碍分析人员对病毒功能逻辑的分析。

Image-18.png (114.26 KB, 下载次数: 0)

下载附件

2021-4-29 16:05 上传

控制流平坦化使逻辑难以分析

Image-19.png (267.33 KB, 下载次数: 0)

下载附件

2021-4-29 16:05 上传

大数运算混淆改变二进制特征

Emotet木马虽然不断更新演变，更改病毒行为特征和更新内外层混淆手段，但其主要功能基本没有变化。Emotet的主要功能为下载执行恶意模块，其中包括自身的更新模块和其他病毒模块（Qakbot、Trickbot等）。病毒在首次启动时都会将自身转移到其他目录（APPDATA或SYSTEM目录），然后添加转移后的病毒开机自启从而驻留。开机自启的方式有创建注册表Run项，在STARTUP目录创建自身快捷方式、以服务启动和添加计划任务启动等。病毒运行后会与C&C服务器建立连接，发送上线信息并接收服务器端传来的恶意模块。病毒与C&C服务器之间的通信均为加密通信，加密算法从开始的RSA+RC4，后面转变为RSA+AES。对于从病毒服务器端传来的恶意执行模块，开始是病毒将模块存储在注册表键值中，并通过检测注册表的变化来加载执行下发的模块。后期，病毒可以通过解析数据包中的控制信息选择以不同的方式加载执行，可以直接内存加载、创建文件添加开机启动或计划任务方式启动等。具体相关代码，如下图所示：

Image-20.png (125.39 KB, 下载次数: 0)

下载附件

2021-4-29 16:05 上传

导入RSA公钥并生成通信AES密钥

Image-21.png (57.88 KB, 下载次数: 0)

下载附件

2021-4-29 16:05 上传

开始时接收的文件存储在注册表中

Image-22.png (55.17 KB, 下载次数: 1)

下载附件

2021-4-29 16:05 上传

接收文件加载执行

Image-23.png (194.48 KB, 下载次数: 0)

下载附件

2021-4-29 16:05 上传

通信的加密算法发生变化

二、同源样本分析
通过同源性分析发现， Cridex与Emotet的恶意代码中存在诸多相似代码，所以可以推断Cridex和Emotet系为同源样本。Cridex的首次出现时间为2011年，Emotet的首次出现为2014年，我们根据样本的出现时间和同源性推断，Cridex可能为Emotet的前身。相关同源性代码，如下图所示：

Image-24.png (148.42 KB, 下载次数: 0)

下载附件

2021-4-29 16:05 上传

同源性代码（1）

Image-25.png (160.39 KB, 下载次数: 0)

下载附件

2021-4-29 16:05 上传

同源性代码（2）

外层混淆器
在我们溯源到的样本中，Cridex所使用的外层混淆器主要代码逻辑与Emotet混淆器非常相似，且用于解密内层原始PE的shellcode主要代码逻辑对比，如下图所示：

Image-26.png (120.66 KB, 下载次数: 0)

下载附件

2021-4-29 16:05 上传

最外层混淆对比

在溯源到的样本中，Cridex和Emotet的内层混淆代码（我们暂且称上述代码解密执行的shellcode部分为内层混淆）相似度极高。由此可以得知，Cridex与Emotet所使用的混淆器存在一定的相似性。内层混淆代码对比，如下图所示：

Image-27.png (222.34 KB, 下载次数: 0)

下载附件

2021-4-29 16:05 上传

内层混淆代码对比

内层恶意代码
Cridex内层恶意代码部分基本不存在混淆代码，相较于Emotet来说混淆程度较低。Cridex内层恶意代码功能包括：通过hook浏览器和Explorer的方式，根据远程服务器下发的窃取策略，盗取用户凭证、用户邮箱登录用户名及密码、FTP登录密码、用户浏览器数据等信息，或根据C&C服务器下发的策略任意修改用户的HTTP请求内容。相关关键代码，如下图所示：

Image-28.png (62.66 KB, 下载次数: 0)

下载附件

2021-4-29 16:05 上传

窃取用户邮箱、FTP账户密码

Image-29.png (115.74 KB, 下载次数: 0)

下载附件

2021-4-29 16:05 上传

将窃取到的账户、密码拼接到回传数据中

Image-30.png (100.64 KB, 下载次数: 0)

下载附件

2021-4-29 16:06 上传

收集用户浏览器数据

Cridex作为Emotet的前身，其病毒功能较为单一。虽然Cridex病毒的C&C服务器可以任意下发用于信息窃取的相关配置，但是该病毒只能用于窃取用户的关键账号、密码信息。而Emotet从其发展而来，不再执行特定的恶意攻击，而是成为了网络威胁的分发平台，通过散播其他病毒威胁获利。Emotet曾分发过Trickbot，Ryuk等病毒，进而对互联网环境造成了更加广泛的安全风险。

三、附录

经过长时间追踪，火绒共捕获数百万Emotet家族相关样本，病毒hash仅以部分样本hash为例。病毒hash，如下图所示：

Image-31.png (568.01 KB, 下载次数: 0)

下载附件

2021-4-29 16:06 上传

免费评分参与人数 21吾爱币 +18 热心值 +19 理由