趨勢科技MDR(託管式偵測及回應服務)發現Emotet散播的Nozelesn勒索病毒載入程式

透過趨勢科技的託管式偵測及回應(Managed Detection and Response，簡稱MDR) 監控，我們發現了模組化的Emotet惡意軟體在散播Nymaim惡意軟體，後者接著會載入Nozelesn勒索病毒。我們2019年2月在一間飯店的監控端點上偵測到了這隻Emotet變種。為了近一步調查，我們取得了580個類似的Emotet附件檔，並收集從2019年1月9日到2019年2月7日間的資料。

威脅調查

在2月11日，我們開始調查在MDR監控端點所看到的一起Emotet偵測事件。為了便於分析，我們將此端點稱為EP01。在初步調查時我們注意到下列可疑檔案：

主機	時間	檔案路徑	註記
EP01	2/11/19 11:10 a.m. CST	C:\Users\{username}\Downloads\636493431.doc	Powload
EP01	2/11/19  11:15 a.m. CST	C:\Users\{username}\942.exe	Emotet
EP01	2/11/19  11:15 a.m. CST	C:\Users\{username}\AppData\Local\indexerneutral\indexerneutral.exe	Emotet
EP01	2/11/19  11:17 a.m. CST	C:\ProgramData\kdPZBXZIE4OUI3CMIrJ.exe	Nymaim
EP01	2/11/19  11:15 a.m. CST	C:\ProgramData\BHB2pT1jmhQdvC8236r.exe	Nymaim

注意：這些是我們在撰寫此分析時發現的入侵指標。本文最後會提供雜湊值和偵測名稱。

表1. Emotet惡意軟體感染時間表

當我們觀察可能被再次感染的環境時，我們在另一個端點上找到名為How_Fix_Nozelesn_files.htm的檔案 – 這次是在伺服器上。為了便於討論，我們稱此伺服器為S01。S01出現了Nozelesn勒索病毒的感染跡象，並且檔案似乎是在2月15日左右寫入磁碟。我們進一步驗證了這些活動，並發現有多起相關的活動。為了深入了解，我們在EP01上進行第二次的調查，也就是根本原因分析（RCA）。

分析

根據RCA，惡意文件檔是用Chrome瀏覽器下載並以Microsoft Word開啟。我們知道該組織使用的是Office 365，因此這符合他們的日常操作。打開惡意文件後會立即呼叫PowerShell.exe。它會連到多個IP地址，最終在系統內產生另一個名為942.exe的檔案。

主要被偵測到的元件indexerneutral.exe其實是942.exe搬移過的結果，這是Emotet的主要元件。它會注入explorer.exe程序來讓自己駐留在記憶體內。根據其行為，惡意軟體可能會連到多個IP地址來下載其他惡意軟體執行。在此案例中，我們發現它還會不斷下載自己的更新，每次都會連到一組新的命令和控制（C&C）伺服器。除了更新Emotet變種外，它還會建立兩個帶有隨機檔名的檔案（如表1中的初始指標所示），我們將其識別為次要惡意負荷。要注意的是，在相同時間範圍內，有許多其他次要惡意負荷在EP01的不同位置產生（即gigabit-8.exe，wcdma-78.exe等），如下所示：

次要惡意負荷

C:\ProgramData\blvds-45\blvds-38.exe

C:\Users\{username}\AppData\Roaming\flywheel-7\flywheel-3.exe

C:\Users\{username}\AppData\Roaming\gigabit-4\gigabit-8.exe

C:\Users\{username}\AppData\Local\ammeter-7\ammeter-66.exe

C:\Users\{username}\AppData\Roaming\debounce-6\debounce-7.exe

C:\Users\{username}\AppData\Local\wcdma-15\wcdma-78.exe

表2. 次要惡意負荷樣本

我們注意到次要惡意負荷與Nymaim有相似的檔案命名模式和行為，我們和其他資安研究人員在2018年進行分析時與Nozelesn勒索病毒連結在一起。Nozelesn勒索病毒被用在2018年7月針對波蘭的攻擊活動，使用副檔名“.nozelesn”加密檔案，並且會產生一份檔名為HOW_FIX_NOZELESN_FILES.htm的勒贖通知。雖然沒有找到Nozelesn勒索病毒樣本，但趨勢科技Smart Protection Network的資料將該活動與Nymaim相關聯，後者是一種惡意軟體下載程式。在此案例中，我們懷疑Nymaim可能已經下載了Nozelesn勒索病毒，並使用無檔案執行方式將勒索病毒載入系統記憶體。

RCA結果另一個值得注意的地方是Emotet能夠透過管理共用將自己複製到網路內的多台電腦。indexerneutral.exe會以[8位數].exe的格式散播到\\{host}\ADMIN$\。

根據這些資料，我們提出兩種S01如何被Nozelesn勒索病毒攻擊的可能情境：

1. Emotet透過管理共用被複製到S01並執行。接著，S01內的Emotet下載了Nymaim惡意軟體，後者又將Nozelesn勒索病毒載入記憶體。或者是
2. Nymaim在EP01中載入Nozelesn勒索病毒，然後透過共享資料夾加密了S01的檔案。

我們在這兩種可能中更傾向於第一種，因為我們的監控沒有顯示EP01遭到Nozelesn勒索病毒感染的跡象。

調查結果重點

以下是我們調查結果的重點，包括我們在MDR客戶端偵測收集的資料。

• Emotet垃圾郵件繼續發展。在短短一個月內（2019年1月9日至2019年2月7日），我們在全球範圍內偵測到超過14,000封類似的垃圾郵件。偵測數最高的是1月23日在英國，2月1日在塞普勒斯和德國，2月4日在塞普勒斯和委內瑞拉，2月5日在塞普勒斯和阿根廷。我們1月28日在加拿大也看到了大量偵測，以及2月2日出現在多個地方。

到1月底時，我們觀察到Emotet垃圾郵件最常用的郵件主題是「Up to date emergency exit map（最新的緊急出口地圖）」。在2月轉換成比較常見的郵件主題，如「latest invoice（最新發票）」，「shipping details（運送詳情）」，「wire sent out today（今日電匯）」和「urgent delivery（緊急派送）」。雖然大多數郵件主題與付款有關，但我們注意到網路犯罪分子在使用時都有做些變化，如下所示。

垃圾郵件活動主題	郵件主旨
Invoice	Invoice due number {number}
Invoice: {number}
Invoice: #{number}
Invoice number {number}
Copy Invoice {number}
Invoice {number} reminder
Invoice {number}
Tarifa (Rate)	El monto de su tarifa para inspeccion
[Subcomisión técnica General de NAPs]Aumento de Su tarifa de {name}
Aumento de Su tarifa de {name}
Modificacion de Su tarifa de {name}
umento de su tarifa según el contrato de {name}
Factura (Invoice)	Envio Documento Factura
Envio de Factura Electrónica, 2019-02-02
{name} Factura
{name} Factura UM-590
Envio de Factura Electronica IRCG-099 01 2019
{name} Envio del Comprobante acture Digital SWG-931, 2019-02-02
E-fax Message	[External] New eFAX message
Notificacion de recepcion (Notification of reception)	NOTIFICACION DE RECEPCION DE DOCUMENTO
{name} Notificacion de recepcion PJ-45620, 2019-02-04
{name} Notificacion de recepcion
Payment	ACH Payment Advice
Payment Status
ACH Payment 02/05/19
{name} PAYMENT NOTIFICATION 02.05.2019
Payment Details

表3. 調查期間觀察到Emotet相關常見垃圾郵件活動主題和電子郵件主旨

我們還注意到垃圾郵件會根據目標收件者而有所變化。雖然它會根據寄送日期使用類似的主題，但會用不同語言來針對不同國家。如在1月23日，除了「Up to date emergency exit map（最新緊急出口地圖）」外，我們還看到用「NOTAUSGANGKARTE AKTUELLE（德文的最新緊急出口）」寄給德國收件者。同樣地，西班牙文的發票「Factura」被寄給西班牙文地區。我們在此波攻擊活動中觀察到三種語言的使用：英文、德文和西班牙文。

• 無論垃圾郵件如何變化，Emotet的主要感染流程都保持不變。典型的Emotet感染鏈始於垃圾郵件，包括用惡意文件作為附件檔。開啟附件檔後會執行巨集，最終會呼叫PowerShell從遠端位置下載其他惡意軟體。它的惡意負荷時常變化，可以直接下載最終的惡意負荷（如Qakbot）。但在此波攻擊活動中，它下載了Emotet，後者再來載入另一個惡意軟體。另一種Emotet垃圾郵件變種包含了指向XML檔案的連結。此類變種可以隱藏內嵌的惡意巨集來避免被防毒軟體偵測，這些惡意巨集會用來植入偽裝成Word文件的XML檔案內的惡意負荷。要預防被感染的最簡單方法是在進入點封鎖威脅。保持小心警覺。
• 一開始不會看到Emotet下載和執行多個檔案，除非它成功地連上C&C伺服器。在某些案例中，它不會立即下載實際的惡意負荷。這讓分析變得很困難。
• Emotet感染不會停留在最初的中毒端點。它可能會散播到網路內的其他連線電腦。

組織如何抵禦棘手的威脅?

隨著威脅不斷出現且發展使用複雜技術，組織需要能夠掌握其端點和網路安全。趨勢科技在2014年發現的Emotet是適應網路安全防禦並彈性感染系統及提供惡意負荷的最佳威脅範例。這種威脅是內部資安團隊需要關注的眾多威脅之一 一旦沒有發現就可能導致企業損失大量資料和金錢。

企業還應該採用最佳實作來安全地使用PowerShell。PowerShell是一個管理框架，也是常被濫用的系統管理工具之一。IT和系統管理員可以遵循Microsoft的最佳實作來確保將它安全地用在營運和雲端環境。Microsoft還提供了關於執行政策及將PowerShell設成受限語言模式（onstrained Language Mode）的指南，這些都是從本質上透過PowerShell命令來強化系統的方法。企業客戶還可以透過Microsoft新功能，積極地防護最開始的感染點。例如，Office 2016可以封鎖巨集和協助防止感染，企業也可以選擇進行整體規劃來限制使用PowerShell。

為了幫助抵禦這些棘手的威脅，企業可以考慮使用託管式偵測及回應（MDR）服務，為中大型企業提供經驗豐富的資安專家及專業網路安全技能。託管式偵測及回應服務的分析人員對新舊威脅有廣泛的了解，可以在它們對組織系統和端點造成嚴重破壞前先加以發現。還可以正確且有效地運用進階端點偵測和及回應（EDR）工具，快速準確地分析威脅及其行為。像是在之前所提到會派送Nozelesn的Emotet變種調查，我們的託管式偵測及回應服務分析人員一旦發現這發展中的威脅就馬上會主動提供通知，包括偵測及調查結果。

入侵指標

此波攻擊用到了大量檔案、網域和IP地址，趨勢科技已經可以偵測此調查內所發現的惡意元件。下面是部分值得注意項目的列表：

與Emotet相關的雜湊值：

檔案名稱	SHA-256	偵測名稱
636493431.doc	38e695287e8f00318c9009714baa096011bc690bf697d4f318a11af808d2f4a0	Trojan.W97M.POWLOAD.THBABAI
942.exe	A091F487CF8544D5877BF14462D1BB1C419DAF360A7E915A112703DDD4E6A16E	TrojanSpy.Win32.EMOTET.THBABAI
indexerneutral.exe (updated)	D5CB1A67EC286E5E2527EF477AB2BEF6B5C8F8C4C505E880C902192334259211	TrojanSpy.Win32.EMOTET.THBABAI
kdPZBXZIE4OUI3CMIrJ.exe; BHB2pT1jmhQdvC8236r.exe	885DDE202F4E912AE4453F3BB1929F216707A217CB32FEC3B9C59D7A755F4D48	Ransom.Win32.NOZELESN.AA
wcdma-78.exe	23c98f174d4f7ed059b534294f99e130fdf16a04bccf07de626519458c845ea2	TROJ_GEN.R020C0WBH19

原文出處：Emotet-Distributed Ransomware Loader for Nozelesn Found via Managed Detection and Response 作者： Erika Mendoza，Jay Yaneza，Gilbert Sison，Anjali Patil，Julie Cabuhat和Joelson Soares