ideanix/hunting-emmenhtal

# 追捕 Emmenhtal：检测规则与 IOCs **案例：** SECINC-2026-0224 **作者：** [IDEANIX LLC](https://ideanix.org) — 数字取证与事件响应 **日期：** 2026 年 3 月 **TLP：** WHITE ## 关于 从一次涉及 **Emmenhtal Loader** 通过 **ClickFix** 社会工程学手段投放银行木马的事件响应工作中提取的检测规则和入侵指标（IOC）。 攻击者的杀伤链： ``` ClickFix (fake CAPTCHA) → mshta.exe (polyglot .mp4) → PowerShell (AES + AMSI bypass) → Reflection.Assembly (fileless .NET) → Banking Trojan (webinjects, formgrabber, keylogger, mimikatz) → Telegram Bot API (23 bots) + ngrok C2 ``` 所有 IOC 均通过重新格式化的 930 GB NTFS 卷的原始磁盘取证和 hiberfil.sys 分析恢复。 完整分析文章：[IDEANIX Blog](https://ideanix.org/blog/hunting-emmenhtal) IOC 也可在 [ThreatFox](https://threatfox.abuse.ch/browse/tag/IDEANIX/) 上获取。 ## 目录 | 文件 | 描述 | |------|-------------| | `yara/emmenhtal.yar` | 10 条 YARA 规则 — Emmenhtal, ClickFix, 银行木马, Telegram C2 | | `sigma/` | 10 条 Sigma 规则 — mshta, PowerShell, Telegram, AMSI 绕过 | | `ioc/ioc_domains.txt` | 恶意域名 | | `ioc/ioc_hashes.txt` | SHA256/MD5/SHA1 哈希值 | | `ioc/ioc_ips.txt` | C2 IP 地址 | | `ioc/ioc_telegram.txt` | Telegram bot 令牌和聊天 ID | | `ioc/ioc_urls.txt` | 恶意 URL | | `ioc/stix_bundle.json` | 用于 SIEM/TIP 导入的 STIX 2.1 捆绑包 | | `ioc/siem_import.csv` | 用于直接 SIEM 导入的 CSV | | `mitre_attack.json` | MITRE ATT&CK Navigator 层（18 个技术） | ## YARA 规则 (10) | 规则 | 检测对象 | MITRE | |------|---------|-------| | `Emmenhtal_Polyglot_MP4_HTA` | PE + 嵌入式 HTA + PowerShell | T1218.005 | | `Emmenhtal_PowerShell_Loader` | Reflection.Assembly + AES | T1059.001, T1620 | | `Banking_Trojan_Webinjects_CBW` | Webinject 配置 (.cbw) | T1185 | | `Telegram_Bot_JS_Exfiltration` | 通过 Telegram Bot API 进行 JS 数据渗出 | T1567 | | `ClickFix_Fake_Captcha` | 伪造 CAPTCHA + 剪贴板注入 | T1204.001 | | `Mshta_Delivery_Chain` | mshta + .shop / .mp4 | T1218.005 | | `Buhtrap_Banking_Trojan_Strings` | 银行木马组件 | T1185, T1003 | | `SECINC_2026_0224_IOC_Domains` | 已知恶意域名 | — | | `SECINC_2026_0224_IOC_Telegram_Bots` | 已知 bot ID | — | ## Sigma 规则 (10) | 规则 | 检测对象 | MITRE | |------|---------|-------| | Mshta + .shop 域名 | Emmenhtal 投递 | T1218.005 | | PowerShell Reflection + AES | 无文件 .NET 加载 | T1059.001, T1620 | | 来自非浏览器的 Telegram API | 数据渗出 | T1567 | | 通过 PowerShell/CMD 使用 Telegram API | 通过 CLI 渗出 | T1567 | | Mshta JS/VBS + URL | 内联脚本执行 | T1218.005 | | PowerShell 生成 mshta | 投递链 | T1059.001 | | Mshta 加载 .mp4 | 多态滥用 | T1036.008 | | 已知恶意域名 | DNS 检测 | T1583.001 | | Ngrok 隧道创建 | C2 通道 | S0508 | | PowerShell 中的 AMSI 绕过 | 防御规避 | T1562 | ## MITRE ATT&CK | ID | 技术 | 证据 | |----|-----------|----------| | T1204.001 | 用户执行：恶意链接 | ClickFix 伪造 CAPTCHA | | T1218.005 | Mshta | 40+ 个投递命令 | | T1059.001 | PowerShell | AES + Reflection + AMSI 绕过 | | T1059.005 | VBScript | mshta vbscript:execute | | T1059.007 | JavaScript | mshta javascript: | | T1027 | 混淆的文件 | Base64, AES, polyglot | | T1036.008 | 伪装：文件扩展名 | .mp4 = PE+HTA | | T1620 | 反射式代码加载 | Assembly::Load() | | T1562.001 | 损害防御 | AMSI 绕过 | | T1056.001 | 键盘记录 | 键盘记录器 + 屏幕录制 | | T1056.002 | GUI 输入捕获 | Formgrabber | | T1185 | 浏览器会话劫持 | Webinjects | | T1003 | 凭证转储 | Mimikatz (反射式) | | T1111 | 多因素认证拦截 | SMS Grabber | | T1567 | 通过 Web 服务渗出 | Telegram Bot API | | T1572 | 协议隧道 | ngrok C2 | | T1583.001 | 获取基础设施 | .shop 域名 | | S0508 | ngrok | 备用 C2 | ## 参考资料 - [ANY.RUN — Emmenhtal 沙箱分析](https://any.run/report/4864e60175ec2fb6f2724c0830c3bf09c043d327c5824e77c8c2a8b2e077fdcf/739f2512-3db9-4f52-9c5d-694752b548c5) - [Sekoia — WebDAV-as-a-Service: Emmenhtal](https://blog.sekoia.io/webdav-as-a-service-uncovering-the-infrastructure-behind-emmenhtal-loader-distribution/) - [Orange Cyberdefense — Emmenhtal Loader](https://www.orangecyberdefense.com/global/blog/cert-news/emmenhtal-a-little-known-loader-distributing-commodity-infostealers-worldwide) - [Cisco Talos — Emmenhtal + Amadey](https://blog.talosintelligence.com/maas-operation-using-emmenhtal-and-amadey-linked-to-threats-against-ukrainian-entities/) - [ThreatFox IOCs](https://threatfox.abuse.ch/browse/tag/IDEANIX/) - [Microsoft — ClickFix 分析](https://www.microsoft.com/en-us/security/blog/2025/08/21/think-before-you-clickfix-analyzing-the-clickfix-social-engineering-technique/) ## 许可证 本作品采用 [CC BY 4.0](https://creativecommons.org/licenses/by/4.0/) 发布。您可以自由使用、分享和改编，但需注明来源 IDEANIX LLC。 **IDEANIX LLC** — 数字取证与事件响应

标签：AMSI 绕过, ClickFix, ClickFix 社会工程学, Cloudflare, Emmenhtal Loader, Formgrabber, Homebrew安装, IOC, IPv6, Mimikatz, MITRE ATT&CK, mshta, nuclei, OpenCanary, PowerShell, STIX 2.1, Telegram C2, TIP, Webinject, YARA, 云资产可视化, 代理, 威胁情报, 开发者工具, 数字取证, 数据渗漏, 无文件攻击, 检测规则, 网络资产发现, 自动化脚本, 自定义DNS解析器, 银行木马, 键盘记录器