是的,你没看错,Emotet恶意软件竟然也被别人黑了!近日,有人为了拿Emotet僵尸网络来开涮,竟然直接入侵了Emotet恶意软件的分发站点,并替换掉了Emotet原本所使用的恶意Payload以及GIF图片。

研究人员发现,这一次针对Emotet恶意软件的攻击活动在过去的几天时间里一直都在进行,而这一次的攻击活动也导致Emotet垃圾邮件活动暂停了一段时间,因为他们需要想办法重新拿回自己Emotet分发网站的控制权限。

大家应该都知道,Emotet的发行和传播依赖于这些被黑客攻击的网站,网络犯罪分子需要利用这些网站来存储用于垃圾邮件活动的攻击Payload。

当垃圾邮件活动的目标用户受骗上当并打开了垃圾邮件的附件时,嵌入在恶意附件中的恶意宏将会被执行,并从僵尸网络中获取并下载Emotet恶意软件的Payload。

如果没有这些恶意Payload,那么目标用户的电脑就不会被Emotet所控制。因此,无论是和人在僵尸网络的分发网络中替换了原本的恶意软件(Payload),这一行为都是对用户有益的,同时这一行为也让Emotet背后的攻击者忙得不可开交了。

Joseph Roosen是Cryptolaemus研究小组的成员,他一直在跟Emotet恶意软件打交道,他也将此次针对Emotet恶意软件活动背后的人称之为“白衣骑士”。

目前,Emotet僵尸网络分发站点上的恶意文档以及Payload已经被替换成了各种图片。研究人员打开Emotet恶意软件的分发站点之后,首先看到的是詹姆斯·弗兰科的照片,然后Emotet分发网站也变成了Hackerman meme的相关内容。

 

Roosen在其发表的推文中写道:“目前,针对Emotet恶意软件的攻击活动仍然处于进行之中,受影响的站点是Emotet T1发行站点,这个站点主要负责托管垃圾邮件活动中所使用的恶意附件文档以及恶意软件。”

研究人员在接受BleepingComputer的采访时表示,Emotet背后的攻击者之所以将垃圾邮件活动置于待命状态,就是因为“白衣骑士”这一次的行为。当然了,Emotet背后的攻击者可能会对Emotet进行一些升级和改变,以保护他们的恶意活动。

在发送垃圾邮件时,Emotet会使用各种不同的电子邮件模板和恶意附件文档来实现恶意软件的传播。

有些垃圾邮件会将恶意Word文档直接附加到电子邮件中,而其他的一些垃圾邮件则会包含用户必须单击才能下载文档的链接。

对于那些包含钓鱼链接的恶意电子邮件,当目标用户点击它们之后,原本应该打开和安装的是恶意文档/恶意软件,但现在他们将会看到一个meme或毫无意义的图像。

下面给出的是目前Emotet分发站点目前的样子:视频地址:https://vimeo.com/441369969

微软网络安全研究人员Kevin Beaumont也注意到了此次针对Emotet的攻击活动,他对Emotet发行站点进行了检查,并且发现其中大约有四分之一的Payload已经被GIF图片所代替了。

研究人员表示,整个内容替换活动发生的非常快,当Emotet上传了恶意Payload之后,它们便在不到一个小时的时间里全部被替换掉了。除此之外研究人员还发现,在某些情况下,攻击者的行动速度更加快的惊人,他们竟然可以在不到两分钟内的时间里就更换了恶意软件Payload。

实际上,Emotet背后的攻击者一直都在使用Webshell来管理和维护其分发网络。因此,目前最合理的解释就是,有人获取到了Emotet的管理密码,并决定利用这个优势来对Emotet进行攻击。

Kevin Beaumont在2019年12月底曾通过发表推文表示,Emotet背后的攻击者使用了一款开源的Webshell来实现对分发网站的管理和控制,并循环生成访问密码,因为这样就不必再为修改密码而烦恼了。但是现在,研究人员相信是有人在Emotet分发站点上获取到了Webshell的密码,并决定以编程的方式替换了站点上原有的恶意Payload。

但是,Roosen还指出,Emotet可能还有其他方法来传播和投放其恶意Payload,并且可以想办法重新获取并访问他们用来传播恶意软件的网站。

如果Emotet背后的攻击者仍然能够控制网站托管的硬件设备,那么他们就可以使用不同的密码来部署新的Webshell,并重新拿回Emotet分发网络的控制权。但是,Emotet所使用的服务器很可能是从其他执行流量重定向攻击的网络犯罪分子手上买过来的,而这些重定向攻击活动可以通过钓鱼网站或合法网站中的广告以

及虚假促销来吸引用户,并想办法将用户骗入各种欺诈活动之中。

在本文发稿之时,Emotet站点上一些被替换的内容已经被重定向至其他资源了。

文章原文链接:https://www.anquanke.com/post/id/212094