七月底的一大資安新聞是殭屍網路 Emotet 被惡搞的消息。
A vigilante is sabotaging the Emotet botnet by replacing malware payloads with GIFs
殭屍網路病毒Emotet被惡搞,惡意程式被換成無害GIF檔
新聞出來後,我們偶然聽到有人開始討論「Emotet 殭屍網路被駭」一事。
所以 Emotet殭屍網路被駭了嗎?不,並沒有。下圖為至撰寫日期為止有從Emotet中繼站收到新模組執行檔的日期,顯然Emotet依然健在。
什麼是 Emotet?
Emotet 另外一個名稱為 Geodo,繼承 Cridex/Bugat/Feodo 而來的惡意程式,從命名原則上就可以看出它們之間的繼承關係。底下是對 Geodo 以及其後代 Heodo 的簡述,其餘相關惡意程式家族分支可參照 [1]。
- Geodo: is a successor of the Feodo ebanking Trojan that first appeared in 2014. This variant is commonly also known as Emotet. This variant is not active anymore.
- Heodo: is a successor of the Geodo (aka Emotet). It first appeared in March 2017 and is also commonly known as Emotet. While it was initally used to commit ebanking fraud, it later turned over to a Pay-Per-Install (PPI)-like botnet which is propagating itself through compromised email credentials.
從2017開始,Emotet 客戶端(執行檔)與伺服器端(中繼站)被大幅度重新設計,去掉原本盜取銀行帳戶資訊 (banking module) 的功能,進而轉為計次付費安裝 (pay-per-install) 的生意模式,並透過遞送垃圾郵件與內部網路擴散等手法擴大感染範圍。
此後 Emotet 以販售受感染可以控制的肉雞 (bot) 來盈利,買家通常買來安裝自己的殭屍網路,或是滲透進入具有價值的企業網路並安裝勒索軟體。為了追求更高收益,俄羅斯黑產組織近幾年逐漸演變成專業分工 (compartmentalized) 架構,在經濟環境內各司其職,把自己能提供的生意內容專精化。獲得大聲量的黑產供應商基本上都有屬於他們成功的因素,而 Emotet 是怎麼做到的?
為什麼Emote會有如此大的討論聲量?
可能原因眾多。我們密切觀察該殭屍網路近三年並歸納出兩項可能的心得(僅拋磚引玉、歡迎指教):
1. 與俄羅斯黑產菁英關係密切,抑或 Emotet 就是俄羅斯黑產菁英其中一支。(此篇文章中我以「俄羅斯黑產」代稱以前蘇聯地區為首的網路犯罪集團)
2. 殭屍網路技術能力卓越。
與俄羅斯黑產菁英關係密切,抑或 Emotet 就是俄羅斯黑產菁英其中一支
2019年開始,針對性勒索軟體 (Targeted Ransomware) 開始猖獗。其中兩支惡名昭彰的家族 TheTrick-Ryuk-Conti 與 Dridex-Bitpaymer-WastedLocker 中的前者大量透過 Emotet 進行散播,時常可以在歐美新聞中看到關於 Emotet 產生巨大破壞的消息,此亦引起資安廠商與執法單位的注意[2]。
執法單位起訴、通緝、懸賞、逮捕的流程使這些黑產巨頭們必須顧慮信任關係。舉例而言,2019年底美國與英國執法單位共同起訴 EvilCorp(以烏克蘭、俄羅斯人為首的黑產企業,同時是 Dridex-Bitpaymer-WastedLocker 背後的擁有者),並提供五百萬美金懸賞獎金。既然 Emotet 從至少2018年起就開始提供特定黑產菁英服務,我們不難判斷此生意來往建築在強烈的信任關係上,也許內部甚至有橫跨不只一個集團的黑客。以 Aqua(下圖一)為例,在另立門戶為 EvilCorp 的領導者前,曾經在不同的門派下管理殭屍網路。
匿名與信任之間的難題在黑產界也存在,如何確認生意夥伴的背景不是 FBI 臥底警察 (在 2008 年 FBI 探員臥底並抄家最大的黑產論壇之一[4]),甚至夥伴被抓的時候不會出賣其他人?目前已有一些研究在探討黑產間的信任難題[11]。當前可以確定 Emotet 並非公開販售的殭屍網路服務,至今沒有公開消息指出該團隊在哪個地下論壇或群組售賣服務與招兵買馬。合理猜測他們只讓信任關係強烈的對象接觸生意,甚至這些黑產巨頭間可能互相知道對方真實身分。
以技術角度面切入依然看到相同結論:自 2018 年起 Emotet 服務的對象屈指可數,主要客戶有使用 TheTrick gtag=mor 開頭的集團與使用 Qakbot 的集團。
目前的俄羅斯菁英黑產的經營方式已經和一般中小企業架構沒什麼差別,以俄羅斯檢調單位對 Lurk的起訴書為例[5],該集團於莫斯科與葉卡捷琳堡皆設有實體辦公室。我們認為 Emotet 或許不是例外。
殭屍網路技術能力卓越
Emotet 這一兩年在資安公司與新聞媒體間引起非常大的關注,如何偵測並抵擋它成為大家矚目的焦點。我們認為技術能力上的優勢之一在於支撐整個殭屍網路背後的架構設計相當精巧。
Emotet 中繼站設計成多層次網路架構,第一層為受 Emotet 感染的受害主機,第二層通常架設於被入侵的網站伺服器上,而第三層(目前主流共識)為黑客實際註冊的伺服器,每一層架構會負責將流量導向下一層。此設計除了讓拔除整個殭屍網路難度更高之外,也使外界更難窺得完整的網路架構。
而第一階層的中繼站為受感染的電腦,這些電腦時常隱藏在區域網路 (NAT) 內部。Emotet 模組化的設計得以在感染電腦後從中繼站派送通用隨插即用模組 (UPNP module),此模組向區域網路路由器註冊通訊埠轉發 (Port Forwarding) ,讓外網受感染的機器可與在內網的肉雞進行溝通。這些設置都能自動化完成,使管理設置網路的成本降得更低。
有趣的是,我還在台灣資安廠商工作時,曾針對 Emotet 網路架構進行研究,並發現當時(2019)這個殭屍網路有兩組互不相通的架構平行運作。至今大家已觀察到三組獨立架構,但如此設計背後的原因仍然成謎。
如前所述,Emotet 自行傳播的方式對外使用垃圾郵件:
- 帳號密碼竊取模組 (credential stealer module) 將受害者電腦上的帳號密碼送回中繼站,資料中有機會包含信箱帳號密碼。
- 郵件竊取模組 (email stealer) 將受害者電腦上的信件送回中繼站,從信件中獲取攻擊目標。從2019年底開始,殭屍網路會回覆偷取的信件以增加社交工程成功機率。
- 垃圾郵件發送模組 (spamming module) 從受害者電腦上登入被竊取的郵件信箱帳密,並自動寄出垃圾郵件。與以往垃圾郵件發送不同,此模組因通過郵件伺服器的認證,寄送者會是正常的郵件伺服器。
Emotet 對內則利用字典檔攻擊針對管理者共用機制 (admin shares)、WIFI伺服器進行散播。字典檔的字庫內容可能是來自遭竊取帳密中統計出最常使用的弱密碼。
除了精密的網路架構設計與維運外,其惡意程式開發流程也相當嚴謹。長期觀察 Emotet 執行檔的特徵後,我們發現 Emotet 開發團隊採取的模式更傾向敏捷開發,頻繁在短時間內釋出小幅更新,前後版本相隔時間最短只有一週。另外,在正式使用新開發的模組前,Emotet 也會先選擇少量受感染機器進行客戶端實體測試。綜觀整體開發流程,與一般軟體公司的流程十分相近。
為了確保服務品質,確保肉雞是有價值的受害者,而不是研究者的虛擬機器、抑或資安產品的連線, Emotet 開發團隊經常修改連線通訊協定 (Communication protocol),只要有公開資訊討論關於新版的變化,該團隊總是可以在很短的時間內散播下一個可用的版本。其在中繼站上也套用各種檢查機制,使研究員窺探新攻擊行動的難度更高,我們相信,他們甚至可能有雇專人檢查各連線是否為模擬器連線(意即研究員利用各種方式模仿惡意程式的行為,而非真實感染)。
所以Emotet殭屍網路真的被駭了嗎?
是,也不是。
先解釋一下 Emotet 感染鍊的全貌:
- 受害者會收到一封惡意的電子郵件
- 此封電子郵件帶有惡意連結(點開連結下載惡意文件)或惡意附件
- 惡意文件基本上是 WORD ,內部帶有惡意巨集 (Malicious MACRO VBA)
- 巨集下載 Emotet 執行檔
- 執行檔設定自身系統潛伏
Emotet 的執行檔通常被放在一些已被入侵的網站下,提供給惡意巨集內的 URL 下載。我們通常稱這些用來置放執行檔被入侵的網站為執行檔下載點 (binary distribution)。是這些下載點被駭了。至於控制整個殭屍網路的中繼站並沒有停止派送模組的跡象。
將下載點上的執行檔替換掉的行為,影響範圍為新的垃圾郵件攻擊任務無法成功植入執行檔,幾天內無法擁有新的感染。此舉的確使他們的生意受到某種程度的打擾,然而現存的殭屍網路與原本的中繼站不受影響。僅是短暫打擾感染鍊就能使整個殭屍網路降低傷害力,甚至消失嗎?我想答案是「不會」。
至於是誰做的,目前沒有任何單位或團體公開承認,而社群討論較傾向是某些匿名研究員幹的。
我們也是傾向認同這個破壞性行為來自某些研究員之手,然而這種不負責任的行動,不僅違法、違反研究員學術道德,也只會全面性增加掌握犯罪集團的難度。
一來,那些下載點原先也是被黑客入侵的主機,逕自入侵無辜受害者的財產,本身即存在法律與道德層面問題。並且此舉並沒有對原先的殭屍網路運行造成任何影響,以我們對 Emotet 的觀察,要修正這種小打擾不需費時太久,反而會影響其他研究員與執法單位對 Emotet 的追蹤。
舉個例子,2015 年 FBI 全面掌控、移除GameOver Zeus 並起訴背後主導者 Slavik,從掌握情資到最終採取行動移除殭屍網路,整個流程邀請跨國執法單位與研究單位共同參與並長達數年,其中任何資訊皆嚴格保密。
結語
История русских хакеров — это история подростков всего бывшего СССР [8].
俄羅斯黑客的歷史是整個前蘇聯的青少年歷史。
Emotet 真的被駭了嗎?ƪʕ•ᴥ•ʔ ʃ 誰都不想成為黑產的受害者,但對我來說,先理解 Emotet 之所以為什麼成為 Emotet ,之後再來談如何防禦吧。
[1] Abuse.ch, Feodo tracker, https://feodotracker.abuse.h/browse/
[2] US-cert, Alert (TA18–201A) Emotet Malware, https://us-cert.cisa.gov/ncas/alerts/TA18-201A
[3]MAKSIM VIKTOROVICH YAKUBETS, FBI, https://www.fbi.gov/wanted/cyber/maksim-viktorovich-yakubets
[4] FBI, ‘Dark Market’ Takedown, https://archives.fbi.gov/archives/news/stories/2008/october/darkmarket_102008
[5] YJ Hsieh and ZY Wu, Lurk in the Dark (Prison)
[6] Centurylink Black Lotus Labs, Emotet Illuminated: Mapping a Tiered Botnet Using Global Network Forensics, https://blog.centurylink.com/emotet-illuminated-mapping-a-tiered-botnet-using-global-network-forensics/
[7] YJ Hsieh, Exploring Emotet’s Activities
[8] Даниил Туровский, Вторжение: Краткая история русских хакеров (Russian Edition), https://www.amazon.com/%D0%92%D1%82%D0%BE%D1%80%D0%B6%D0%B5%D0%BD%D0%B8%D0%B5-%D0%9A%D1%80%D0%B0%D1%82%D0%BA%D0%B0%D1%8F-%D0%B8%D1%81%D1%82%D0%BE%D1%80%D0%B8%D1%8F-%D1%80%D1%83%D1%81%D1%81%D0%BA%D0%B8%D1%85-%D1%85%D0%B0%D0%BA%D0%B5%D1%80%D0%BE%D0%B2-ebook/dp/B0827WMJLS
[9] Michael Sandee, Tillmann Werner, Elliott Peterson, GameOver Zeus: Badguys And Backends, https://www.youtube.com/watch?v=KkEVwswqIBs
[10] EVGENIY MIKHAILOVICH BOGACHEV, FBI, https://www.fbi.gov/wanted/cyber/evgeniy-mikhailovich-bogachev
[11] Jonathan Lusthau, usIndustry of Anonymity: Inside the Business of Cybercrime, https://www.amazon.com/Industry-Anonymity-Inside-Business-Cybercrime/dp/0674979419
