情感表情很难被发现与杀死。我坚信SAVE引擎使用AI来对抗高风险的宏病毒_病毒安全_

Emotet木马病毒连续2年排名第一

Emotet病毒是著名的银行木马病毒。它起源于2014年在。经过多次迭代和升级，它已成为世界上最广泛，最致命的计算机病毒之一。在任何运行情况下，Emotet病毒在2019年和2020年的流行度排名中均居首位，上载了40,000多个样本，是第二名特斯拉特斯拉的三倍以上（图1）。Sangfor的安全团队发融中心法兰克福受到Emotet的入侵，这座城市与互联网断开连接（图片2）。

广告残茬增长很快？试试这款剃须刀，剃须后不会留下任何残留物，随身携带非常方便，免费送货

在广告系列的开始，整个战斗将开始，而大玩家的利益将帮助您征服世界！

图片2.Emotet导致整个法兰克福市断开连接

以下是通过实际攻击案例分析的Emotet病毒。

1.收到了网络钓鱼电子邮件

与过去的策略一样，Emotet通过大量的垃圾邮件活动进行分发。该攻击使用引人注目的主题令人迷惑的电子邮件来冒充合作伙的副本版本，分散的人们再次组队并与怪物战斗！图6.隐藏在宏病毒附件的表单控件中的VBA代码

3.宏病毒释放了恶意的powershell脚本

通过消除对宏代码的混乱和动态分析，可以发现powershell脚本引擎主要以无文件方式启动以进行分析和执行，从而避免了对传统功能引擎的检测和查杀。如图7所示，powershell进程执行由BASE64编码的脚本。

广告庆祝公司上市一周年！免费获得价值1580元的股票神器！图7.宏病毒释放的恶意powershell代码

在对内存中的BASE64编码脚本进行解码之后，发现该脚本主要是通过通过URL远程下载有效负载来启动的。下图显示了Powershell代码逻辑和远程下载负载的URL。

做广告的成都女友们参加了婚礼，但那位女士直接放了一个录像带，整个观众都被炸了！ ！ ！图8.解码后的恶意Powershell代码

4.自动下载并运行有效负载以实现恶意行为

Emotet病毒下载的有效负载使用Microsoft的基本类库，并使用大量的MFC框架代码，以使其更易于变形并避免被传统功能引擎检测到。通过大量样本集的水平比较，可以发现在创建和初始化窗口之前，多个变体会隐藏其初始的核心恶意代码。如图9所示，恶意代码的下一个阶段是在解密后通过申请可执行内存来执行的。更有趣的是，此示例中的VirtualAlloc函数的最后两个参数是通过多次计算生成的，目的是避免进行静态分析。

首先为完整服务器做广告，获得礼物，体验令人耳目一新的图片9.有效载荷发布ShellCode

第一阶段的ShellCode代码（图10）大大简化了，使用自定义的GetProcAddress函数和CRC32算法来检查函数名称，以动态获取ntdll.dll中的函数地址。准备所需的函数后，使用R算法解密资源并执行第二阶段代码。

将免费赠送珍贵的广告，宠物将进入这个世界的大陆

图10.第一阶段的ShellCode

第二阶段ShellCode继承了动态获取函数地址的第一阶段方法。如图11所示，再次申请存储空间并解密可执行程序。如图12所示，刷新CPU缓存后，执行流程将转移到已发布的可执行程序中。

广告热门新服务即将到来！上网时可获得VIP +防寒服，您可以在几秒钟内回收设备！图1 1.第二阶段的ShellCode

在广告是一位女性领导者担任司机的岁月中，除了驾驶她，她还必须在某些方面照顾自己的需求。图1 2.ShellCode控件流劫持

将第三阶段的可执行程序扩展到内存中后，发现代码逻辑在使用时和情况下会干扰执行流程。

图1 3.第三阶段的ShellCode

此阶段的核心功能是将可执行程序复制到c：\ windows \ syswow64下的一个随机命名的文件夹，然后随机命名一个可执行文件以将其释放。由Emotet病毒创建的文件夹和文件名如图14所示。

广告高爆炸性传奇会挑出所有首领，在几秒钟内爆炸9999武器。图1 4.提取ShellCode释放的文件夹和文件的名称

创建可执行程序后，使用系统服务管理器将可执行程序注册为服务以实现持久性。服务启动时，有效负载将完成整个加载工作阶段，并且核心功能将通过该服务启动。如图15所示，成功创建服务后的注册表信息。

广告[震惊]德国取暖器，在3秒钟内迅速升温，整个房间都很温暖！ 3天1千瓦小时！图1 5.注册表已被恶意程序修改

服务启动后，使用硬编码的IP地址与远程C2服务器建立连接以上传主机信息，并进一步控制其他恶意模块的传递。如图16所示，与远程C2建立连接的过程。

图1 6.恶意程序建立了C2通信

传统技术更难以发现和杀死Emotet

Emotet经常变形，这对传统的基于规则和基于哈希的检测和杀死提出了巨大挑战。在任何一次运行中，一年中记录的Emotet哈希数为16,560；具有2-3种流行度的病毒散列数分别仅为87和34，这表明Emotet的变异性。在最近的安全事件中，两个Emotet示例完全不同（图17）。依靠散列或规则进行战斗的挑战非常巨大。启动Emotet的恶意宏程序后，各种类型的PE黑色文件可以下载，甚至将恶意代码加载到内存中的无文件攻击也很难检测和消除。

（a）Emotet样本1（b）Emotet样本2

图1 7. Emotet宏病毒变形

该木马还具有高级的持久性和动态行为转义机制，例如能够检测沙箱和虚拟机的功能。该木马具有多态设计。它可以更改其代码以绕过基于常规签名引擎的检测，从而使这种网络防御策略无法抵抗其攻击。如果这还不够，Emotet可以从控制服务器接收更新并执行此操作，就像安装了操作系统更新一样。这使木马能够将其他恶意软件秘密地放置在受感染的计算机上。 Emotet Trojan具有模块化设计，可以使此恶意软件适应各种任务，并针对每个特定活动对其进行自定义，从而使攻击者具有最大的灵活性。 Emotet恶意软件可以执行大量恶意活动，具体取决于特定活动中使用的模块。从2017年开始，Emotet Trojan开始配备扩展器模块，从而允许恶意软件感染通过本地网络连接的所有计算机。该病毒的大多数版本都包含一个垃圾邮件模块，该模块可以通过从受感染的计算机发送一系列恶意电子邮件来继续传播恶意软件。它分析了电子邮件发送者和接收者之间的关系，并使用收集的信息来增强源自用户PC的后续活动的有效性，以便可以使用个性化垃圾邮件来对待受害者的朋友，家人和目标是实现蠕虫般的传播效果。

Sangfor SAVE防病毒引擎引入了AI技术来对抗诸如Emotet之类的高风险宏病毒

对于三个安全事件中的Emotet示例的三个变体，SAVE防病毒引擎可以在不首次升级模型的情况下盲目检测。其中许多是首次使用权威的反病毒供应商平台VirusTotal。独立报告案。

依靠AI的泛化能力，病毒专家的经验以及大量的样本操作和维护（如图18所示），SAVE反病毒引擎可以通过变形的宏病毒在高抽象水平上准确识别Emotet病毒的固定点。检测技术检测病毒。 SAVE防病毒引擎对Office文件中的宏程序执行词法分析，形态分析，词频分析，黑白词分析，语法分析和熵分析，并全面捕获了区分病毒的能力的特征和普通文件，并使用大量样本训练获得了准确的AI模型，并实现了准确识别已知和未知Office文件病毒的功能。

图1 8. Sangfor SAVE反病毒引擎的变形宏病毒检测方案

当前，SAVE防病毒引擎的变形宏病毒检测技术可以在Any.run上有效检测流行的宏病毒，高度混淆的变异病毒以及各种排名靠前的宏病毒。 Sangfor已将SAVE防病毒引擎应用于Sangfor的许多安全产品和服务，这些产品和服务分布在保护链的每个环节中，包括终端检测和响应平台EDR，下一代防火墙AF，安全感知平台SIP，全网络行为管理AC等，继续将人工智能技术等最新科学技术成果转化为安全保护功能，有效保护用户的业务安全。

参考资料

[1] Sangfor预警报告：

[2] Sangfor分析报告：

[3]安全牛分析报告：

本文来自本站，转载请注明本文网址：
http://www.pc-fly.com/a/shouji/article-342825-1.html