研究人员为深入分析 Emotet 核心组件和其他模块,专门开发了名为 EmoLoad 的工具,使用该工具可以单独加载执行 Emotet 的模块。
EmoLoad
EmoLoad 是一个能够运行 Emotet 模块的定制化加载工具。该工具能分配所需的数据结构,并调用自定义入口点,同时允许自定义执行环境。有了该工具的帮助,分析人员就可以轻松地进行动态分析。为了进一步简化分析过程,EmoLoad 甚至提供了将模块与其嵌入到一个独立的可执行文件中的选项,这使提交模块到沙盒进行分析成为可能。
为什么是 Emotet
Emotet 是近年来最为突出的威胁之一,模块化设计使得 Emotet 可以通过拉取不同的模块来实现不同的目的。例如当与勒索软件相配合时,可以下发对应的恶意组件。
这些额外的组件都由核心模块直接在内存中调用执行,不会落地在磁盘上。即使使用动态分析提取 Payload,单独加载提取的模块也不可避免地会失败,毕竟自定义入口点需要在内存中分配特定的数据结构。这些数据结构是核心模块进行管理,加载的不同组件都只用到其中一部分。
