सबसे खतरनाक और कुख्यात खतरों में से एक फिर से वापस आ गया है। जनवरी 2021 में, वैश्विक अधिकारियों ने बॉटनेट को हटा दिया। कानून प्रवर्तन ने Emotet के निष्पादन योग्यों को एक विनाशकारी अद्यतन भेजा है। और यह ट्रोजन की कहानी के अंत की तरह लग रहा था।
लेकिन मैलवेयर ने कभी भी आश्चर्यचकित करना बंद नहीं किया।
नवंबर 2021, यह बताया गया कि ट्रिकबॉट अब अकेले काम नहीं करता है और इमोटेट को वितरित करता है। और उद्योग में सहयोगियों के साथ Any.RUN इमोटेट के दुर्भावनापूर्ण दस्तावेज़ों के उद्भव को नोटिस करने वाले पहले लोगों में से थे।
 |
| पहला इमोटेट दुर्भावनापूर्ण दस्तावेज़ |
और इस फरवरी में, हम एक बहुत ही सक्रिय लहर देख सकते हैं जिसमें बदमाश कई हमले कर रहे हैं, रैंकिंग में शीर्ष पर पहुंच गए हैं। यदि आप इस विषय में रुचि रखते हैं या मैलवेयर पर शोध कर रहे हैं, तो आप की विशेष सहायता का उपयोग कर सकते हैं कोई भी। भागो, साइबर खतरों का पता लगाने और उनका विश्लेषण करने के लिए इंटरैक्टिव सैंडबॉक्स।
आइए नए संस्करण के परिवर्तनों को देखें जो इस विघटनकारी मैलवेयर ने इस बार लाए।
इमोटेट इतिहास
इमोटेट एक परिष्कृत, लगातार बदलते मॉड्यूलर बॉटनेट है। 2014 में मैलवेयर सिर्फ एक मामूली बैंकिंग ट्रोजन था। उसके बाद से इसने विभिन्न सुविधाएँ, मॉड्यूल और अभियान प्राप्त कर लिए हैं:
- 2014. मनी ट्रांसफर, मेल स्पैम, डीडीओएस, और एड्रेस बुक चोरी मॉड्यूल।
- 2015. चोरी की कार्यक्षमता।
- 2016. मेल स्पैम, RIG 4.0 शोषण किट, अन्य ट्रोजन की डिलीवरी।
- 2017. एक स्प्रेडर और पता पुस्तिका चोरी करने वाला मॉड्यूल।
पॉलीमॉर्फिक प्रकृति और कई मॉड्यूल इमोटेट को पता लगाने से बचने की अनुमति देते हैं। मैलवेयर के पीछे की टीम मौजूदा डिटेक्शन नियमों को बेकार बनाने के लिए अपनी रणनीति, तकनीक और प्रक्रियाओं को लगातार बदलती रहती है। यह संक्रमित सिस्टम में रहने के लिए कई चरणों का उपयोग करके अतिरिक्त पेलोड डाउनलोड करता है। इसका व्यवहार मैलवेयर से छुटकारा पाना लगभग असंभव बना देता है। यह तेजी से फैलता है, दोषपूर्ण संकेतक बनाता है, और हमलावरों की जरूरतों के अनुकूल होता है।
और 14 नवंबर, 2021 को, Emotet का एक नए संस्करण के साथ पुनर्जन्म हुआ।
इमोटेट का पुनर्जन्म क्यों हुआ?
पूरे इमोटेट का इतिहास, इसे कई ब्रेक मिले। लेकिन जनवरी 2021 में वैश्विक पुलिस कार्रवाई के बाद, हम तैयार थे कि यह अच्छे के लिए चला जाएगा। संयुक्त प्रवर्तन ने गिरोह के कई सदस्यों को गिरफ्तार किया, सर्वरों को अपने कब्जे में ले लिया और बैकअप नष्ट कर दिया।
फिर भी, बॉटनेट और भी मजबूत हो गया। यह चोरी की तकनीकों में कुशल है और नेटवर्क से समझौता करने के लिए कई तरीकों का उपयोग करता है जिससे यह उतना ही खतरनाक हो जाता है जितना पहले हुआ करता था।
यह पता लगाया गया था कि ट्रिकबॉट ने सिस्टम के लिए एक गतिशील लिंक लाइब्रेरी (डीएलएल) डाउनलोड करने का प्रयास किया था। और डीएलएल इमोटेट बन गए, और बाद में, शोधकर्ताओं ने इस तथ्य की पुष्टि की।
2021 में वापसी के बाद, Emotet ने Any.RUN सैंडबॉक्स में शीर्ष 3 अपलोड का नेतृत्व किया। इतने लंबे ब्रेक के बाद भी यह लोकप्रिय बनी रही। सभी आंकड़े भावनात्मक रुझान मैलवेयर ट्रेंड ट्रैकर में उपलब्ध हैं, और संख्या सार्वजनिक सबमिशन पर आधारित हैं।
 |
| पिछले सप्ताह के शीर्ष मैलवेयर अपलोड |
कोई आश्चर्य नहीं कि अब इसके संचालन रेल पर वापस आ गए हैं, कोई भी। रन का डेटाबेस लगभग हो जाता है 3 हजार प्रति सप्ताह दुर्भावनापूर्ण नमूने। और यह स्पष्ट हो रहा है कि आपको किसी भी समय इस तरह के हमले के लिए तैयार रहने की आवश्यकता है।
Emotet ने कौन-सी नई सुविधाएँ हासिल की हैं?
ट्रोजन पहले से ही किसी भी कंपनी के लिए एक गंभीर खतरा है। सभी मैलवेयर अपडेट जानने से ऐसे खतरे से बचने और सतर्क रहने में मदद मिल सकती है। आइए देखें कि एक नया संस्करण क्या सुविधाएँ लाता है और यह पिछले वाले से कैसे भिन्न है।
टेम्पलेट्स
इमोटेट अभियान एक मैलस्पैम ईमेल से शुरू होता है जिसमें दुर्भावनापूर्ण कार्यालय दस्तावेज़ (हथियारयुक्त माइक्रोसॉफ्ट ऑफिस दस्तावेज़) या फ़िशिंग ईमेल से जुड़े हाइपरलिंक होते हैं, जो व्यापक रूप से वितरित किया जाता है और पीड़ितों को दुर्भावनापूर्ण अनुलग्नक खोलने के लिए प्रेरित करता है। हथियारबंद Microsoft Office दस्तावेज़ में इसके निष्पादन के लिए एक VBA कोड और AutoOpen मैक्रो है। इमोटेट समूह अपने पीड़ितों को मैक्रोज़ को सक्षम करने के लिए लुभाता है, और यह एकमात्र उपयोगकर्ता इंटरैक्शन है जो हमले को शुरू करने के लिए आवश्यक है। यह उपयोगकर्ता इंटरैक्शन सैंडबॉक्स परीक्षणों और सत्यापनों को दरकिनार करने की अनुमति देता है।
Emotet दुर्भावनापूर्ण ईमेल अभियानों का उपयोग करके वितरित करता है जिनमें आमतौर पर Office दस्तावेज़ शामिल होते हैं। और मैलवेयर अपने maldocs के टेम्प्लेट के साथ बहुत रचनात्मक हो जाता है। बॉटनेट लगातार उन्हें बदलता है: यह प्रोग्राम के अपडेट, संदेशों, फाइलों की नकल करता है। और सामग्री अस्पष्ट वीबीए मैक्रो को एम्बेड करती है और विभिन्न निष्पादन श्रृंखला बनाती है। मैलवेयर के पीछे के लेखक उपयोगकर्ताओं को हमले शुरू करने के लिए मैक्रोज़ को सक्षम करने के लिए छल करते हैं।
और एक नए संस्करण में एक ट्विस्ट भी है। 2020 की गर्मियों में, Emotet ने Office 365 संदेश के साथ एक दस्तावेज़ का उपयोग किया। छवि अपरिवर्तित रहती है, लेकिन यह XLS प्रारूप में बदल जाती है। साथ ही, इस नए संस्करण में, पहली बार हेक्साडेसिमल और ऑक्टल प्रारूपों में आईपी पते का प्रतिनिधित्व करने के लिए उपयोग किया गया था जिससे दूसरा चरण डाउनलोड किया गया था। एक बाद की तकनीक को फिर से बदल दिया गया था, और बदमाश पेलोड को डाउनलोड करने के लिए हेक्स एन्कोडेड आईपी का उपयोग नहीं करते हैं।
 |
| फरवरी में इमोटेट टेम्प्लेट |
नई तकनीक
Emotet नई तकनीकों को प्राप्त करके एक बहुरूपी प्राणी के रूप में बार को ऊपर उठाता रहता है। नवीनतम मैलवेयर संस्करण रणनीति में कुछ मामूली बदलावों के साथ आया है: यह फिर से MSHTA का लाभ उठाता है। सामान्य तौर पर, मैक्रो 4.0 सीएमडी, डब्ल्यूस्क्रिप्ट, या पॉवर्सशेल को चलाने के लिए एक्सेल का लाभ उठाता है, जो एक अन्य प्रक्रिया शुरू करता है जैसे कि एमएसएचटीए या ऊपर उल्लिखित एक जो मुख्य पेलोड को डाउनलोड करता है और इसे rundll32 द्वारा चलाता है।
बॉटनेट दुर्भावनापूर्ण स्ट्रिंग्स और यूआरएल, आईपी, कमांड, या यहां तक कि शेलकोड जैसी सामग्री को मास्क करने के लिए उत्सुक है। लेकिन कभी-कभी, आप फ़ाइल की स्क्रिप्ट से URL और IP की सूची प्राप्त कर सकते हैं। आप निश्चित रूप से इसे अपने आप में किसी में भी पा सकते हैं। RUN की स्टैटिक डिस्कवरिंग - बस इसे आज़माएं!
 |
| Emotet की नकली PNG फ़ाइल से URL सूची |
साथी
हम जानते हैं कि इमोटेट आमतौर पर संक्रमण को और खराब करने के लिए अन्य मैलवेयर छोड़ देता है। नवंबर में, यह पहचाना गया कि बॉटनेट ने समझौता किए गए मेजबानों पर ट्रिकबॉट बैंकिंग ट्रोजन वितरित किया।
वर्तमान में, हम देख सकते हैं कि इमोटेट कोबाल्ट स्ट्राइक के साथ काम करता है। यह एक C2 ढांचा है जिसका उपयोग पैठ परीक्षकों और अपराधियों द्वारा भी किया जाता है। परिदृश्य में कोबाल्ट स्ट्राइक होने का मतलब है कि प्रारंभिक संक्रमण और रैंसमवेयर हमले के बीच का समय काफी कम हो जाता है।
 |
| इमोटेट संक्रमण से कोबाल्ट स्ट्राइक आईओसी की सूची |
प्रक्रिया वृक्ष
निष्पादन की श्रृंखला में कुछ संशोधन भी हुए। ज्यादातर मामलों में, हम एक CMD चाइल्ड प्रोसेस, एक PowerShell, और Rundll32 को नोटिस कर सकते हैं, और विभिन्न नमूने यह साबित करते हैं कि लेखक प्रक्रियाओं को मिलाना पसंद करते हैं, लगातार अपना ऑर्डर बदलते रहते हैं। इसके पीछे मुख्य लक्ष्य उन नियमों द्वारा पता लगाने से बचना है जो किसी एप्लिकेशन की चाइल्ड प्रक्रियाओं द्वारा खतरे की पहचान करते हैं।
 |
| इमोटेट प्रोसेस ट्री |
कमांड लाइन
इमोटेट बहुत समय पहले EXE फ़ाइलों से DLL में बदल गया था, इसलिए मुख्य पेलोड Rundll32 के तहत चला। Powershell और CMD का प्रचुर उपयोग अपरिवर्तित रहता है:
 |
| इमोटेट कमांड-लाइन |
Emotet का पता कैसे लगाएं और उससे कैसे बचाव करें?
यदि आपको इमोटेट नमूने के बारे में पूरी जानकारी प्राप्त करने के लिए तेज़ और सुविधाजनक तरीके की आवश्यकता है - आधुनिक उपकरणों का उपयोग करें। Any.RUN इंटरैक्टिव सैंडबॉक्स वास्तविक समय में प्रक्रियाओं की निगरानी और सभी आवश्यक डेटा तुरंत प्राप्त करने की अनुमति देता है।
सुरिकाटा नियमसेट सफलतापूर्वक विभिन्न दुर्भावनापूर्ण कार्यक्रमों की पहचान करते हैं, जिनमें इमोटेट भी शामिल है। इसके अलावा, एक दुर्भावनापूर्ण नमूने के C2 लिंक को प्रकट करने के लिए नकली नेट सुविधा के साथ। यह कार्यक्षमता मैलवेयर के IOCs को इकट्ठा करने में भी मदद करती है।
इमोटेट के नमूने आते हैं और चले जाते हैं, और उनके साथ रहना मुश्किल है। इसलिए, हम आपको सलाह देते हैं कि आप हमारे में प्रतिदिन अपडेट होने वाले नए नमूनों की जांच करें सार्वजनिक प्रस्तुतियाँ.
जंगली में सबसे खतरनाक साइबर खतरों में इमोटेट एक जानवर साबित होता है। मैलवेयर अपनी कार्यक्षमता में सुधार करता है और पता लगाने से बचने पर काम करता है। इसलिए यह आवश्यक है कि प्रभावी साधनों पर भरोसा किया जाए जैसे कोई भी। भागो।
मैलवेयर शिकार का आनंद लें!
