分析样本出处

LorePE.exe和Resource Hacker分析

首先我们用LordPE这个程序来检查程序， 看到里面的程序入口点是0x470c0，镜像大小是0x10000000，总的来说还是比较大的，毕竟是64位程序。

行为特征分析

在前文我们主要是通过静态分析的角度，从文件结构以及特殊段表的角度，去分析这个文件是否加壳，已经是否含有一些可疑的带留意的信息。我们在前面的分析知道这个样本的魔数，也就是magic number是MZ。那么对应的它是exe文件或者dll文件。那么接下来我们尝试运行样本，先改成exe文件，然后通过Process Monitor这个程序来监控他在注册表、 络行为、文件行为这些上面会有什么动作以下是我们的运行截图。

反调试分析

分析结果

样本的自我保护：存在一些高危敏感行为，有反虚拟机行为、反检测技术和反逆向工程的技术在样本里面体现比如在动态调试的过程中，我们在缓冲区中发现了一个PE文件，在系统环境探测当中，它会检查注册表中的CPU名称以及检查硬盘相关的信息，通过检查常见的固件信息、查询系统硬盘大小、检查适配器地址等收集操作系统硬件相关的指纹信息来尝试判定样本是否处于虚拟环境中，而这种多方检查的手段让样本处于相对独立的运行环境，是反虚拟机行为、反检测技术和反逆向工程的技术体现。同时，二进制文件当中也存在被加密和压缩的数据，这是应对静态分析的反逆向工程技术的体现。自身也会检查系统的时间，而这个操作常常用于躲避恶意软件分析系统。
络相关：样本当中存在可疑的HTTP流量，而这种可以流量在Emotet家族中具有可识别的特点。Emotet通常通过恶意垃圾邮件（malspam）电子邮件进行分发。
系统相关：轮询操作系统敏感路径下的文件，枚举进程模块，在枚举过程中，如果发现了特定的进程或者线程，将会对其进行相关检查、注入操作。样本会搜索并加载模块资源，枚举文件和目录，在临时目录中创建文件。Emotet感染链中的关键步骤是Microsoft Word文档，其中包含旨在感染易受攻击的Windows主机的宏。
总的来说，这个样本技术复杂度比较高的，威胁性高。特别是样本当中存储了一般虚拟环境的指纹信息，然后通过广泛收集各种操作系统的硬件信息来不断比较来判定样本是否处在虚拟环境中、调试环境中等。
在反调试、反虚拟机这一块，其编程手段值得我们学习。

学习 址

• https://www.kaspersky.com.cn/resource-center/threats/emotet
• https://www.malwarebytes.com/emotet
• https://www.xctf.org.cn/library/details/85162f1d6357c787b3cecc13302219e152f28904/
• https://analyze.intezer.com/files/978f702136527b15555bf7ebe208c464117219acaae692380ede3f96cafbdff4/sub/1de9d7d8-2de1-43ea-bf3d-bfb51fd4819e/genetic-summary
• https://www.joesandbox.com/analysis/612929/0/html#deviceScreen

文章知识点与官方知识档案匹配，可进一步学习相关知识 络技能树首页概览22321 人正在系统学习中