info@seqrite.it +39 055 43 03 52
Global
Italy
Japan
Poland
LATAM
info@seqrite.it
+39 055 43 03 52
Global
Italy
Japan
Poland
LATAM
SEQRITE
  • PRODOTTI
  • RISORSE
  • SUPPORTO
  • PARTNER
  • NEWS
  • CHI SIAMO
  • CONTATTI
  • PRODOTTI

    PROTEZIONE ENDPOINT E DATI

    »Endpoint Security On Premise »Endpoint Security Cloud »Seqrite Encryption Manager »Gestione Dispositivi Mobile aziendali
    • Seqrite mSuite

    SICUREZZA GATEWAY

    »Unified Threat Management (UTM)

    PROTEZIONE SERVER

    »Seqrite Antivirus per Server
  • RISORSE
    News Aggiornamenti, alert, avvisi e strategie per la sicurezza aziendale.
    Schede Tecniche Scarica le schede tecniche dei prodotti, con elenco delle funzioni, tabella comparativa e informazioni sui requisiti di sistema.
    Manuali Fai riferimento alle nostre guide utente per informazioni riguardanti l'installazione e l'uso degli Antivirus Seqrite.
    Case Studies Esempi reali di come Seqrite ha aiutato le imprese a massimizzare la sicurezza aziendale.
    Report delle Minacce Rimani aggiornato riguardo le più recenti minacce informatiche con i nostri report trimestrali.
    White Papers Approfondisci la conoscenza delle nostre soluzioni per migliorare le operazioni aziendali.
  • SUPPORTO
    FAQ PRODOTTI Trova una risposta alla tua richiesta di supporto tra le domande più frequenti.
    APRI UN TICKET Apri un ticket di assistenza (servizio riservato ai partner Seqrite).
    SUPPORTO UTENTI Scrivi un messaggio al team di supporto Seqrite.
    Offline Updater Aggiorna il tuo Seqrite Unified Threat Management (UTM) al più recente database dei virus.
    Aggiornamento Firmware Aggiorna il tuo Seqrite Unified Threat Management (UTM) con il più recente Firmware Upgrade.
  • PARTNER
    PARTNER PROGRAM La tua esperienza e le nostre soluzioni ti aiutano a differenziare e a far crescere il tuo business.
    DIVENTA UN PARTNER Diventa un nostro partner e accresci il tuo business.
    LOCALIZZA PARTNER Cerca i nostri partner nel mondo.
    REGISTRAZIONE ACCORDI Registra le tue opportunità di vendita.
  • NEWS
  • CHI SIAMO
    PANORAMICA Aiutiamo le imprese a semplificare la sicurezza IT ed a massimizzare le loro performance
    LEADERSHIP Management team di Seqrite
    PREMI E CERTIFICAZIONI Le nostre soluzioni di sicurezza vengono riconosciute anno dopo anno dalle associazioni, dai media e dalle organizzazioni del settore
  • CONTATTI

PROTEZIONE ENDPOINT E DATI

»Endpoint Security On Premise »Endpoint Security Cloud »Seqrite Encryption Manager »Gestione Dispositivi Mobile aziendali
  • Seqrite mSuite

SICUREZZA GATEWAY

»Unified Threat Management (UTM)

PROTEZIONE SERVER

»Seqrite Antivirus per Server
News Aggiornamenti, alert, avvisi e strategie per la sicurezza aziendale.
Schede Tecniche Scarica le schede tecniche dei prodotti, con elenco delle funzioni, tabella comparativa e informazioni sui requisiti di sistema.
Manuali Fai riferimento alle nostre guide utente per informazioni riguardanti l'installazione e l'uso degli Antivirus Seqrite.
Case Studies Esempi reali di come Seqrite ha aiutato le imprese a massimizzare la sicurezza aziendale.
Report delle Minacce Rimani aggiornato riguardo le più recenti minacce informatiche con i nostri report trimestrali.
White Papers Approfondisci la conoscenza delle nostre soluzioni per migliorare le operazioni aziendali.
FAQ PRODOTTI Trova una risposta alla tua richiesta di supporto tra le domande più frequenti.
APRI UN TICKET Apri un ticket di assistenza (servizio riservato ai partner Seqrite).
SUPPORTO UTENTI Scrivi un messaggio al team di supporto Seqrite.
Offline Updater Aggiorna il tuo Seqrite Unified Threat Management (UTM) al più recente database dei virus.
Aggiornamento Firmware Aggiorna il tuo Seqrite Unified Threat Management (UTM) con il più recente Firmware Upgrade.
PARTNER PROGRAM La tua esperienza e le nostre soluzioni ti aiutano a differenziare e a far crescere il tuo business.
DIVENTA UN PARTNER Diventa un nostro partner e accresci il tuo business.
LOCALIZZA PARTNER Cerca i nostri partner nel mondo.
REGISTRAZIONE ACCORDI Registra le tue opportunità di vendita.
PANORAMICA Aiutiamo le imprese a semplificare la sicurezza IT ed a massimizzare le loro performance
LEADERSHIP Management team di Seqrite
PREMI E CERTIFICAZIONI Le nostre soluzioni di sicurezza vengono riconosciute anno dopo anno dalle associazioni, dai media e dalle organizzazioni del settore

26 luglio 2018
L'evoluzione di Emotet: in 4 anni si evolve da trojan a complesso distributore di minacce


Campagne di diffusione del malware Emotet esistono da molto tempo. Viene diffuso frequentemente a intervalli, con diverse tecniche e versioni in base al tipo di vittima-target. Si distingue per l'uso massiccio di tecniche di offuscamento per evitare l'individuazione da parte degli antivirus. All'inizio del 2017 abbiamo osservato una campagna di distribuzione di Emotet attraverso email contenenti allegati PDF e file JS. In questi giorni invece è in distribuzione tramite documenti di Word Office contenenti una macro altamente offuscata. 

Catena di attacco


Il meccanismo di diffusione nella campagna attuale è l'invio di una mail di phishing. Usa oggetti mail del tipo "Invoice", o "Delivery details", "Shipment details", "Payment details": un piccolo espediente per convincere il destinatario ad aprire la mail per visionarne il contenuto. Queste email rimandano a siti web compromessi o di phishing che scaricano sulla macchina dell'utente u documento Word. Più raramente invece l'allegato viene inviato direttamente assieme alla mail: in quel caso è contenuto in un archivio.


Analisi dettagliata della macro
In questo attacco viene usato come vettore un documento Office contenente una macro che richiede, ovviamente, l'abilitazione per attivarsi. Sotto ne mostriamo un esempio. Il documento in esempio contiene ben due macro altamente offuscate, “prMzoHTQ” w “zdXXRhCd” e un codice di auto esecuzione. 

Nella prima macro, durante la fase di deoffuscamento, abbiamo scoperto che è stato usato molto codice di scarto al solo fine di complicare le operazioni di ingegneria inversa. 

In mezzo a tutto il codice spazzatura, abbiamo individuato lo script PowerShell codificato in base64. Dopo averlo messo in chiaro, ne abbiamo ricavato il seguente codice

Prima e dopo la decriptazione (foto sotto)



Per decriptare lo script però occorrono due passaggi: il primo, ovvero la decodifica della stringa in base64 (vedi sopra), quindi la decompressione dell'output ottenuto. 


Ecco sopra mostrato lo script completamente deoffuscato. Come si può vedere altro non è che una lista di URL dannosi. Lo scirpt scarica il malware da uno di questi URL, lo rinomina usando nomi random e lo salva nella cartella %temp%  con estensione .exe. Infine il malware viene eseguito.

Analisi del Payload
Il payload scaricato [numeri_random].exe viene eseguito dalla cartella %temp%. Nel caso in esempio il nostro payload si chiama “iwamregutilman.exe”. Questo file rinomina la sua istanza e lancia una copia di se stesso dal nome “wsdquota.exe” dalla cartella “C:\Windows\system32”. 

Il flusso di esecuzione. 

Il payload ha una lista predefinita di parole: da questo elenco seleziona 2 parole da combinare con le quali rinominare la seconda copia di se stesso appena creata. Esegue quindi entrambe le copie .exe dalle rispettive location. Il nostro "wsdquota.exe", unisce appunto come prima parola "wsd" e come seconda "quota". Ecco sotto l'elenco completo dei nomi. 


La prima istanza del file copiato contiene una grande quantità di dati criptati: questi vengono decriptati in fase di runtime e scrivono in memoria altri 2 file PE che potranno essere usati per ulteriori processi. Fatto ciò, il processo principale verifica se il processo "secondo" viene generato da solo o meno: in caso contrario genera un mutex, quindi chiude il processo principale e lo esegue come singolo. Il processo appena generato elencherà tutti i processi in esecuzione e li memorizzerà: fatto ciò inizierà l'enumerazione di tutti i processi. 

Individuati, tramite la funzione CreateToolhelp32Snapshot, i dettagli di ogni processo in esecuzione, il malware comincerà a criptare i dati e ad inviarli ad un server dannoso in POST request. 

La richiesta POST

Non tutti i server dannosi sono attivi, quindi non siamo riusciti a individuare l'attività dopo la risposta del malware. Sotto riportiamo l'elenco di URL dannosi presente nel malware, ai quali il malware invia la richiesta POST.


Lista dei Server C&C

Statistiche di individuazione
Quick Heal individua con successo le email di spam che costituiscono il vettore iniziale della campagna di distribuzione di Emotet. Sotto le statistiche di individuazione dell'ultimo mese. 


Nomi di individuazione:
  • MIME.Emotet.Downloader.31464
  • MIME.Emotet.31831
  • MIME.Emotet.31617
  • MIME.Emotet.31618
  • W97M.Emotet.31645
  • W97M.Emotet.31769
  • X97M.Emotet.32092
  • Trojan.Emotet.Y4
  • Trojan.Emotet.X4
Seqrite individua queste minacce e neutralizza la campagna Emotet grazie alla protezione multi livello che può individuare i malware quando tentano di accede al pc, ma anche quando sono già "entrati" grazie al sistema di individuazione comportamentale. 

Ultime news

Per saperne di più

Alert di sicurezza: individuata vulnerabilità 0-day in Microsoft. E' pericolosa e già usata in attacchi reali

07 giugno 2022

E stata individuata una vulnerabilità 0-day di gravità elevata nel Microsoft Windows Support Diagnostic Tool (MSDT). La CVE-2022-3...

Per saperne di più

Aggiornare il certificato di sicurezza per installare correttamente le soluzioni Seqrite

09 maggio 2022

ProblematicaAbbiamo ricevuto segnalazioni, da parte di alcuni utenti, della comparsa di un pop up di errore al momento di installa...

Per saperne di più

Spring4Shell: la vulnerabilità 0-day CVE-2022-22965 in Spring Framework

08 aprile 2022

E' stata individuata una vulnerabilità 0-day di esecuzione di codice da remoto e classificata come critica: denominata Spring4Shel...

Supporto

Vedi le FAQ
Supporto Utenti
Partner Program
Diventa Partner
Community Seqrite

Risorse

News
White Papers
Report sulle minacce
Manuali
Case Studies

Chi siamo

Panoramica
Perché Seqrite
Leadership
Premi e Certificazioni
Contatti





P.IVA: 05345670482   
© S-MART è un marchio di proprietà netWork Sas