某次釣魚郵件分析（Emotet木馬）

一、事件概述

某天下午收到公司員工報告，收到了疑似釣魚郵件。隨后對此釣魚郵件展開分析，最終確定是Emotet家族木馬。

二、處理過程

1. 事件發現

郵件內容如下所示：

2. 樣本分析

下載附件中文件，發現是一個帶密碼的壓縮包，使用郵件中密碼解壓，可以得到一個“8326629020974240005.xlsm”文件，如下所示：

xlsm是可以攜帶宏的Excel文件，將后綴名改為zip后解壓，查看內容，可以看到“sharedStrings.xml”文件中使用regsvr32.exe遠程加載了可疑內容，明顯是釣魚常用手段，

訪問其中的鏈接，可以下載到惡意DLL樣本文件,如下所示：

從壓縮包中的“workbook.xml”可以看到，xlsm文件中存在多個隱藏的Sheet，并且在其中一個隱藏的Sheet中定義了其中一個單元格為_xlnm.Auto_Open，這類似于VBA宏中的Sub Auto_Open()，當用戶打開xlsm文件，點擊啟用宏時會自動執行，

macrosheets文件夾下的xml是混淆后的宏代碼，如下所示：

在Mac上打開此xlsm文件，Excel會提示包含宏，是否選擇禁用，此處選擇禁用宏并打開，如下：

打開后可以看到是一份空的文檔（Sheet1第一行覆蓋了一張圖片），這是因為有屬性為隱藏的Sheet。此時可在Sheet1上右鍵，選擇取消隱藏，如下可以看到，還存在5個被隱藏的Sheet：

Grrr1與Sbrr1是一份字典，用于混淆的宏代碼還原：

EFWFSFG中定義了混淆后的代碼，用于執行惡意代碼：

結果與從壓縮包中xml看到的結果相同。由于惡意代碼被混淆，所以進行恢復，從最終恢復出的部分內容可以分析出是利用urlmon遠程下載文件并執行：

從上述分析結果可以看出，此惡意xlsm文件利用了Excel4.0宏向受害者提供有效載荷，實現釣魚攻擊。

3. 沙箱分析

使用沙箱分析此xlsm，從進程樹可以看到，確實加載執行了遠程文件

并且也有多家反病毒引擎報毒：

4. 確定來源

在搜索引擎搜索xlsm文件中遠程下載的URL，可以看到已經有人報告了此URL：

從MALWARE bazaar上可以看到，此URL被多家引擎標記為Emotet家族木馬：

從引擎下載的Emotet家族使用的XLSM文件和DLL文件通過逆向分析發現，文件結構、關鍵字段都和釣魚樣本中基本相同:

文件相似度也很高：

另外在twitter也可以看到，相關威脅情報也曝出Emotet近期新增了粉色主題的xlsm釣魚郵件，這從攻擊手法和文件內容上都與本次收到的樣本相同:

基于以上分析可以確定，本次收到的釣魚郵件是Emotet家族木馬。

三、結論建議

Emotet在2014年出現時只是一款銀行木馬，經過近幾年的發展，Emotet的功能不斷擴展，已經進化成為完整的惡意軟件分發服務。Emotet主要通過發送釣魚郵件的方式進行傳播，郵件一般包含帶密碼的附件，附件中經常為doc、docm、xls、xlsm等帶有惡意宏的office文件，所以收到存在可疑附件的郵件后要謹慎，不可隨意打開。

本次釣魚郵件由于員工警惕性較高，未下載打開郵件中的附件，所以未發生實質性危害。但由于不止一人收到了惡意郵件，并且郵件正文中存在員工郵箱和姓名，所以可以推斷可能當前存在少量人員信息泄露的問題。

文章來源：先知社區（myc）