新兴邮件木马家族

新兴邮件木马家族

AgentTesla

然而，如日中天的 Maze 团队却在 11 月初发出如下声明，表示其在暗 上将“关闭该项目”：
图 29　Maze 运营者在 11 月的声明

目前尚无法得知该声明是否为烟雾弹行为，但可见的是，这种由 Maze 发扬光大的勒索与泄露相组 合的恶劣运营方式，必将被其他勒索软件所效仿。

BitRAT

近年来，随着 TinyNuke、Gozi 等 RAT木马源码的泄露，黑客开发新型 RAT木马的成本大幅降低。 今年，使用了 TinyNuke 核心 hVNC（隐藏式远程桌面）逻辑的 RAT木马，及 Warzone、BitRAT 等恶意 程序在黑客论坛上大行其道，成为恶意邮件攻击者的新宠。
第三季度出现的 BitRAT可谓当前 RAT木马制作模式的写照。BitRAT通常使用如表格内脚本执行等 较为简单的文档利用方式实现投递，释放层级也较少，并且在投递完成后立即运行。
BitRAT支持的功能较多，包括远程桌面、录像、录音、代理通信、键盘记录、挖矿、进程和文件控 制、凭证窃取等。然而，其核心代码主要来自开源项目，比如 hVNC功能移植自 TinyNuke，录像功能 使用了 OpenCV api，录音功能则来自 WAVE等。
参考较早之前出现的 Warzone 木马，今后 BitRAT可能会增加其攻击链的复杂度，同时迎来一段时 间的扩张期。同时以 Warzone 和 BitRAT为代表，这些全功能的 RAT木马可能会进入低价厮杀的阶段， 作为其载体的恶意邮件数量也会增加。

COVID-与传统邮件僵尸 络家族

Emotet

进入 2020 年，Emotet 依然是世界上危害最大的邮件木马程序。伏影实验室经过抽样统计发现，当 前的恶意钓鱼邮件中有超过 50% 最终投递了 Emotet 木马。
Emotet 家族属于银行木马，出现于 2014 年，主要以垃圾邮件形式传播，感染 Windows 主机后并 盗取用户邮箱来获得重要个人财务信息。该木马的主要维护者是一个被称为 Mealybug 的 络犯罪团伙。 近年来，Emotet 在多起事件中被发现开始用于传播其他恶意家族，涉及银行木马、DDoS 和勒索等，
涉及的木马程序包括 Cridex、IcedID、QakBot、Trickbot、UmbreCrypt、LockerGoga 和 AzoRult 等。
不同于其他邮件木马，Emotet 在获取和利用邮件地址资源上更进一步，它可以使用一个独立的模 块盗窃受害者主机上 Outlook 邮箱中的邮件地址，从而使用这些窃取到的邮件地址作为新的发件人。这 样的方式不但可以获得几乎无限的邮件地址资源，还能够隐藏攻击者的信息，并回避一些邮件地址过滤手段，可谓一举多得。Emotet 使用这种方式构造了一个恶意邮件传播 络，受害者主机作为该 络中 的组件互相关联，极大增加了根除的难度。
Emotet 邮件传播 络的维护者十分重视诱饵内容的构建。目前已发现的 Emotet 鱼叉邮件，其诱饵 形式包括账单、罚单、请柬、通告、工资单等，内容包括信息确认、商务交流、广告宣传等，可谓无所 不包。因此，可以想象作为今年最大热点话题的 COVID-19疫情信息给 Emotet 的扩散提供了怎样的便利。 即第一季度利用疫情诱饵攻击日本目标之后，Emotet 在三季度之后对攻击链进行了一些改动，更新了 文档的图片，并开始大量使用疫情话题制作诱饵文本。伏影实验室发现的借用疫情话题的 Emotet 邮件， 主要可以分为伪造疫情相关新闻或通知、借助疫情内容增加邮件真实度的两种类型。
下图是一季度出现的一例 Emotet COVID-19 鱼叉邮件：
图 30　某针对意大利用户的 Emotet 鱼叉邮件

邮件正文部分填充了使用意大利语书写的世界卫生组织关于 COVID-19疫情的通告，伪装为 COVID-19新闻稿的附件则携带了 Emotet 木马程序，如果邮件接收者执行了该 Emotet 程序，该木马将 会下载包括隐私窃取、键盘记录、远程控制、挖矿等多类恶意程序并运行。
由于 Emotet 诱饵邮件的文本大多由自动化脚本生成，拼写、语法错误和字符集乱码依然是判断 Emotet 钓鱼邮件的重要依照。

NetWire

NetWire，又称 NetWireRC 或 Recam，是一款最早出现在 2012 年的商业级远控木马，曾被尼日利 亚的黑客用于攻击企业目标。多年以来，NetWire 一直在更新版本，并演化出多条不同的攻击链。19 年起， NetWire 进入新一轮的爆发期，借助由鱼叉邮件和 盘组建的扩散 络广为传播。
NetWire 使用者在今年 2 月份开始就开始利用疫情信息构建诱饵邮件和诱饵文档。在一起典型攻击 案例中，NetWire 使用 mapsofworld.com 站上的 COVID-19疫情地图制作了漏洞诱饵文档，进而通过 CVE-2017-11882 漏洞，最终在受害者主机上植入了最新的 NetWire 变种。该案例中的攻击链如下图：
图 31　Netwire 典型攻击流程漏洞 rtf 文档运行后，通过短链接获取到二阶段载荷的地址并下载运行，二阶段载荷将解密后的字 符串和 Shellcode 注入到 Windows 程序 ieinstal.exe 中运行， Shellcode 访问 GoogleDrive 并将 NetWire 下载到内存中执行。
NetWire 远控木马变种数量众多，但大多是集中在远控功能上的变化，程序本身缺乏杀软对抗与反 分析功能。本年度流行的 NetWire 木马包含获取软硬件信息、文件操作、窗口操作、进程操作、注册表 操作、反弹 shell、输入设备模拟、窃取 Outlook、pidgin 账户信息等 RAT功能。
NetWire v1 版本支持 Windows 和安卓平台，而 v2 后已完全覆盖 Windows、Linux、Mac 和安卓这 4 大主流平台。目前 NetWire 分为轻量版、基础版和高级版，分别以月、年和季度作为许可有效期。轻 量和基础版价格允许折扣，其中轻量版月价最低仅 10 美元，而高级版季度价则高达 1200 美元。
图 32　NetWire 官 售价
可见，用不同的功能和价位来吸引需求不同的购买群体，并限定有效期从而获得持续付费，早已成 为这些商业级远控开发组织的生财之道。

参考资料

绿盟 2020 DDoS攻击态势 告

友情链接

GA 1029-2022 机动车驾驶人考试场地及其设施设置规范