qm1210/emotet-malware-analysis

# 使用混合方法分析 Emotet 恶意软件 本仓库存储了**恶意软件分析**课程大作业的报告，主题是通过结合静态分析和动态分析来分析 **Emotet** 恶意软件样本。 ## 目标 本项目专注于分析一个特定的 Emotet 样本，旨在： - 通过文件格式、签名、哈希值和 PE 结构来确定恶意软件样本的本质。 - 分析在 sandbox 环境中执行时的行为。 - 根据静态和动态分析结果重建该 Emotet 样本的攻击链。 - 提取入侵指标，例如 hash、进程行为、Registry、网络连接和 C2。 - 提出 Emotet 的审查、清除和防御流程建议。 ## 分析样本 - **恶意软件类型：** Emotet - **SHA256：** `6393fe8dd4721190f240e22feeb769675b6194a70cabd5a415c2364686a9089c` - **主要特征：** PE32 文件，带有加壳/隐藏 payload 的迹象，使用 Visual Basic 6 runtime，在合适的环境中表现出注入和 C2 通信行为。 ## 使用的工具 报告中使用的工具包括： - HxD - CFF Explorer - HashMyFiles - VirusTotal - Jotti's Malware Scan - VirScan.org - PEStudio - Detect It Easy - Exeinfo PE - Bytehist - Hybrid Analysis / Falcon Sandbox ## 分析内容 ### 1. 理论背景 报告概述了 Trojan 和 Emotet，包括其发展历史、模块化架构、botnet 机制、C2 通信、逃避技术、persistence、kill chain 以及防御措施。 ### 2. 静态分析 主要步骤： - 检查文件签名并确定 PE 格式。 - 计算并比对哈希值。 - 使用多个杀毒引擎检查样本。 - 分析 strings、import table 和 PE 结构。 - 检查 packer、obfuscation 以及被隐藏的 payload 迹象。 - 根据获得的技术特征对样本进行分类。 ### 3. 动态分析 样本通过 Hybrid Analysis 在以下两个环境中进行分析： - **Windows 10 64-bit：** 记录到多种逃避技术、环境检查、对系统进程的 hook/injection，以及在检测到 sandbox 时有自行终止的迹象。 - **Windows 7 64-bit：** 记录到了更完整的行为链，包括释放 payload、注入到 `explorer.exe`、建立 persistence、收集机器标识符以及 C2 通信。 ### 4. 流程综合 报告总结了以下流程： - 静态分析以识别初始特征。 - 动态分析以观察实际行为。 - 审查进程、网络流量和 Registry 中的异常情况。 - 按以下顺序进行清除：隔离系统、终止进程、删除 persistence、删除恶意文件、检查并恢复。 - 提出通过系统配置、补丁管理、网络监控和用户培训进行防御的建议。 ## 主要结果 - 确认该样本是具有逃避能力且能适应环境的 Emotet 变体。 - 发现用 VB6 编写的 packer/loader 迹象。 - 记录了向系统进程进行 process injection 的行为。 - 记录了在 Windows 7 环境中通过 HTTP POST 和非标准端口进行 C2 通信的行为。 - 成功构建了从环境检查、payload 解密、注入、persistence、C2 通信到清除痕迹的攻击链。 ## 防御建议 - 阻止来自从 Internet 下载的 Office 文档中的 macro。 - 限制 PowerShell/WMI，优先采用只允许已签名脚本的策略。 - 更新 Windows 补丁，特别是与 SMB 相关的漏洞；禁用 SMBv1。 - 监控 outbound traffic、HTTP beaconing 以及到异常 IP/C2 的连接。 - 部署电子邮件过滤，阻止危险的附件和双重扩展名的文件。 - 培训用户不要对来源不明的文档点击 `Enable Content` 或 `Enable Editing`。 ## 发展方向 - 逆向第二阶段的 payload 以深入了解其功能模块。 - 解密 POST beacon 的内容及来自 C2 的响应。 - 对比更多不同时期的 Emotet 样本。 - 基于分析出的 IoC/TTP，为 SIEM、Suricata、Sigma 或 EDR 构建检测规则。

标签：C2通信, DAST, DNS 反向解析, Emotet, IoC提取, IP 地址批量处理, PE32, PE结构分析, SSH蜜罐, Visual Basic 6, 云安全监控, 云资产清单, 反病毒引擎, 合规性检查, 威胁情报, 开发者工具, 恶意软件分析, 木马, 杀伤链, 沙箱分析, 网络信息收集, 网络安全, 计算机病毒, 进程注入, 逆向工程, 隐私保护, 静态分析