Emotet Malware analysis (تحليل البرمجية الخبيثة Emotet )


كتب في 2021-04-24

أهلا بكم في هذه المقالة سوف نقوم بتحليل البرمجية الخبيثة Emotet


مقدمة

Emotet برمجية خبيثة ظهرت لأول مرة في 2014 والتي تهدف لسرقة المعلومات البنكية للمستخدم والمعلومات الحساسة مثل email, password وغيرها قد تنتقل هذه البرمجية من خلال

  • Microsoft Word 97-2003 Document (.DOC)

  • Microsoft Word XML Document (.XML)

  • Office Open XML Document (.DOCX)

  • Portable Document Format (PDF)
    في هذه المقالة سوف أقوم بتحليل عينه لهذه البرمجية من نوع Microsoft Word 97-2003 Document (.DOC)

عناصر المقالة
  • تحليل الكود

  • تحليل أسلوب البرمجية

  • IOCs

  • الأدوات المستخدمة


التحليل
تحليل الكود

في بداية الأمر عند تحليل أي ملف يفضل أن نأخذ نظرة عامة على الملف نتعرف على نوع الملف تاريخ انشاءة الحجم وغيرة. ويمكن الاستعانة بعدة أدوات مثل:

 file

1- لمعرفة نوع الملف

file FileName
 exiftool

2- لإستخراج Metadata للملف

exiftool FileName
oledump.py

oledump.py -M " سوف نقوم بإستخدام هذه الأداة كثيرًا أثناء التحليل لكن في هذه الأثناء نحتاج فقط استخراج Metadata من الملف عن طريق خيار M- "

oledump.py -M FileName