emotet惡意軟體家族最近因將勒索軟體payload傳播到美國的基礎設施而登上頭條。研究人員最近就發現殭屍網路運營者新加的乙個能夠竊取郵箱內容的模組。
這一新功能能夠有效利用現有的emotet感染情況,將受感染使用者系統中的郵件內容竊取並發回給殭屍網路運營者。該功能能夠有效獲取郵箱列表中180天內的郵件,並發回給攻擊者。
郵件資訊竊取模組
之前的emotet模組已經使用outlook messaging api來竊取通訊錄列表。mapi使用最常用的例子就是****** mapi和完全mapi,****** mapi是windows預設windows live郵件客戶端的一部分,完全mapi是outlook和exchange使用的。也就是說,該api可以在配置合理的情況下使應用可以訪問郵件。
配置也是該模組首先檢查的。訪問登錄檔hklm\software\clients\mail\microsoft outlook,到mapi32.dll模組的路徑dllpathex需要進行定義。登錄檔是非常明確的,有許多的看似真實的key該模組並不會關注,比如hklm\software\clients\mail\windows mail。
對每封郵件,模組會收集:
· 發件人姓名和郵箱;
· 收件人姓名和郵箱。
這個新的模組更加全面,還包括郵件的主題和主體部分。會爬取interpersonal message (ipm) 根目錄下的每個子資料夾的郵件:
· 確認郵件是否是過去的100e-9 * 15552000000 * 10000 / 3600 / 24 = 180天內傳送和接收的(pr_message_delivery_time)。
· 如果是,就獲取發件人(pr_sender_name_w, pr_sender_email_address_w)、收件人(pr_received_by_name_w, pr_received_by_email_address_w)、主題(pr_subject_w)和主體(pr_body_w)。
· 如果主體部分超過16384個字元,就會被縮短為16384個字元加上該字串……
然後會在全域性鏈結列表中新增乙個含有上述郵件資訊的結構,並用base64編碼寫入乙個臨時檔案。
攻擊原理
攻擊步驟圖
需要強調的是,該模組被應用到已被emotet感染的系統中,並開始竊取郵件並發回給攻擊者。過去的幾天,emotet大約竊取了上萬個被感染系統的無數封郵件。
下面看一下其工作原理:
· 受感染的emotet 的會從c2伺服器載入模組dll, dll會將payload二進位制檔案注入到新的emotet程序中;
· 新程序會掃瞄所有郵件,並將結果儲存到臨時檔案中;
· 原始的模組dll會等payload執行結束(或300秒後殺掉該程序),然後讀取臨時檔案;
· 原始dll會用wininet api發布乙個傳送臨時檔案到c2伺服器的http請求。
emotet的全球威脅追蹤圖
結論emotet已經成為乙個嚴重的威脅,最近在美國的城市使用勒索軟體,已造成超過100萬美元的損失。美國是受emotet影響最嚴重的國家之一。而emotet的運營者開始轉移到服務端提取,郵件洩露帶來的危害也不容小覷。emotet是迄今為止最高端的殭屍網路之一,企業應該儘量減少暴露的威脅點,利用可以幫助做出明智決策的情報資訊。
python 郵件模組
在基於網際網路的應用中,程式經常需要自動地傳送電子郵件。如 乙個 的註冊系統會在使用者註冊時傳送一封郵件來確認註冊 當使用者忘記登陸密碼的時候,通過郵件來取回密碼。smtplib模組是python中smtp 簡單郵件傳輸協議 的客戶端實現。我們可以使用smtplib模組,輕鬆的傳送電子郵件。下面的例...
python logging 模組發郵件
工作中需要及時解決線上的 bug,所以,及時獲取 log 中的 warning,error 是非常有必要的。1 import logging 2 import logging.handlers 3 4 class encodingformatter logging.formatter 5 def i...
Python 內建模組 郵件
一.email模組 官方文件 email是python內建的用於管理電子郵件訊息的庫1.類 1 message類 email模組的核心就是email.message.emailmessage類.它是email物件模型的基類,為設定和查詢頭欄位內容 訪問資訊體的內容 建立和修改結構 化資訊提供了核心功...