Az Emotet Malware megtámadja a kormányokat és szervezeteket milliókat károsító áldozatoknak

Az Emotet vitathatatlanul az elmúlt öt év legproblematikusabb és költségesebb rosszindulatú programja. Ezt a rosszindulatú szoftvert először fedezték fel 2014-ben, és azóta szinte folyamatosan okoz problémát. A fenyegetés egyfajta, két hónapos szünetet tartott 2019 májusában, csak azért, hogy július végén készítsék a címsort, amikor a floridai Lake Citybe támadtak, 460 000 dollárba kerülve a városnak.

Ugyanebben az évben a Giesseni Egyetem, a Freiburgi Katolikus Egyetem, valamint a német városok, Frankfurt és Bad Homburg bezárták informatikai hálózataikat egy újabb Emotet támadás miatt.

Masszív Emotet spam-kampányokat fedeztek fel angol, német, lengyel és olasz nyelven. Az Egyesült Államok Belbiztonsági Minisztériuma figyelmezteti, hogy az Emotet „állami, helyi, törzsi és területi (SLTT) kormányokat, valamint a magán- és az állami szektort érinti”.

Emotet partnerek más rosszindulatú szoftverekkel a Wreak Havoc számára

Az Emotet-et eredetileg arra tervezték, hogy becsapjon a célgépekbe és ellopja a banki hitelesítő adatokat. Ez a fenyegetés azonban egy nagyobb, kifinomultabb rosszindulatú programmá fejlődött, amely ma már nemcsak önálló veszély, hanem vektor is, amely más rosszindulatú programok családjait terjeszti és terjeszti.

Az Emotet központi szerepet játszik a rosszindulatú programok támadásában. Úgy tűnik, hogy különféle rosszindulatú programok üzemeltetői rendszeresen részt vesznek a fenyegetés terjesztésében, segítve az új áldozatok megtalálását és megfertőzését.

Bár az Emotet több, mint információ ellopására képes, ez a fenyegetés elsősorban cseppként működik. A fenyegetés szereplői az Emotet hálózatát használják a rosszindulatú programok más családjainak, például az Azorult, a Dridex és az Ursnif terjesztésére. Ami aggasztó, hogy az Emote hajlandó továbbítani olyan kártevő programokat, amelyek további fenyegetéseket szüntetnek meg, és az áldozatok gépeit számos fenyegetéssel eltömik.

A legjelentősebb kártevő kombináció az Emotet - Trickbot - Ryuk trió, amely nemcsak érzékeny információkat lop el, hanem arra is felszólítja a szervezeteket, hogy fizessenek izmos váltságdíjakat. A rendszer egyszerű: az Emotet letölt a Trickbot-ot, egy moduláris trójai, amely az áldozatok gépeit bizalmas információkkal, például bejelentkezési adatokkal és e-mail címekkel lekaparja. Eközben a rosszindulatú szereplők ellenőrzik, hogy a célgép egy szervezet része-e. Ha ez a helyzet, akkor elhagyják a Ryuk-ot, a ransomware fenyegetést, amely a felhasználó által generált adatokat titkosítja és az áldozatokat kiszorítja.

Az Emotet kombinált támadások negatív következményekkel járhatnak, például:

  • adatvesztés
  • a személyes és egyéb érzékeny információk kiszivárgása
  • pénzügyi veszteségek
  • károsíthatja a szervezet hírnevét
  • a rendszeres műveletek akadályozása

Emotet terjesztési taktikája

Az Emotet spam kampányokra támaszkodik. Az évek során a számítógépes támadók szkripteket, mikro-engedélyezett dokumentumokat és rosszindulatú hivatkozásokat használtak. Az Emotet korai verziói rosszindulatú JavaScript fájlokat használnak, míg későbbi változatai összetettebb elemeket használnak, például makrokompatibilis dokumentumokat, amelyek letöltik a rosszindulatú hasznos terhelést a parancs- és vezérlő (C&C) szerverekről.

Az Emotet által választott terjesztési technika először tűnhet szabványnak. A használt technika közelebbi bemutatása azonban felfedi a rosszindulatú programok kifinomultságát. Ez a fenyegetés nem szokásos rosszindulatú program. A kutatók jelentése szerint az Emotet fejlett spam-technikákat alkalmaz, amelyek rosszindulatú objektumokat illesztnek be a legitim beszélgetési szálakba.

Az Emotet spammodulja nemcsak az e-mail kapcsolatok listáját, hanem az üzenetek tartalmát is ellopja. A rosszindulatú program meglévő beszélgetésekbe lép. Megtévesztő üzeneteket épít fel, amelyek tartalmazzák a régi levelezésből másolt információkat, valamint rosszindulatú elemeket. Amint az az 1. ábrán látható, az Emotet arra kényszeríti áldozatait, hogy impulzív módon töltsék le a rosszindulatú fájlokat azzal, hogy törvényes tudósítónak teszik magukat.


1. ábra. A Malspam példája - Forrás: Talosintelligence.com Blog

Elképzelhető, hogy a rosszindulatú programok csak a fertőzött eszközök hálózatán keresztül terjesztik a rosszindulatú spamot. De nem ez a helyzet. Az Emotet spam üzeneteket terjeszt áldozatainak gépeiről, de rosszindulatú üzeneteket továbbít más helyekről és független szerverekről is. A kutatók jelentése szerint a rosszindulatú program ellopja áldozatainak hitelesítő adatait, és elosztja azokat egy olyan botok hálózatának, amely ugyanazokat a hitelesítő adatokat használja az Emotet támadási e-mailek továbbítására.

Fertőzésvektor és anti-AV technikák

Amint a felhasználó kapcsolatba lép egy sérült e-mail elemmel, a rosszindulatú makrók letöltik az Emotet végrehajtható fájlját egy távoli C&C szerverről. Ismert, hogy a fenyegetés szereplői három szervert használnak (1., 2. és 3. időszak), amelyek egymástól függetlenül működnek. Ha egy szervert leszereznek, a másik kettő folytathatja a rosszindulatú programok futtatását.


2. ábra. Hiányos makrokód - Forrás: Virusbulletin.com

A makró kódot nagymértékben elmossák (2. ábra). Nagyon hosszú, rengeteg szemetes karaktert tartalmaz, amelyek elfedik a kód hasznos részeit. Ez az egyszerű, mégis hatékony anti-kriminalisztikai technika megnehezíti és kellemetlenné teszi a rosszindulatú programok elemzését.


2.1. Ábra Tiszta makrokód - Itt láthatja a 2. ábrán bemutatott makrokód hasznos részeit - Forrás: Virusbulletin.com

Az Emotet végrehajtható fájlja a kutatókat is kihívásokkal szolgál. Azáltal, hogy ezt az elemet számos átalakításba helyezi, a rosszindulatú szereplők célja a rosszindulatú programok elemzésének akadályozása és az észlelés elkerülése. A rosszindulatú programok különféle verziói különféle végrehajtható fájlokat használnak, egyedi struktúrákkal. A kutatók rámutattak, hogy a változatok között az egyetlen közös elem a szülő-gyermek típusú folyamatszerkezet. A rosszindulatú program biztosítja annak zökkenőmentes és folyamatos végrehajtását azáltal, hogy futtatja önmagát, mint egyedi folyamatokkal rendelkező gyermekfolyamatokat. További trükkök, amelyeket az Emotet a statikus elemzés akadályozására használ, egy dinamikusan összeállított importtábla és egy ritka kivonat-algoritmus megvalósítása.

Fontos megjegyezni, hogy az Emotet tisztában van a környezetével. Ha azt észleli, hogy egy homokozóban fut, a rosszindulatú program megszakítja annak végrehajtását. Ráadásul a rosszindulatú programok néhány változatát úgy tervezték, hogy az alvó üzemmódba váltással elkerülje az elemzést. Bónuszként a rosszindulatú szereplők számára ez a technika elrejti malware-jét az antivírus-programok ellen.

Az Emotet Malware kitartása megbocsáthatatlan

Az Emotet létrehozza a kitartást azáltal, hogy beírja kódját az explorer.exe fájlba és más futó folyamatokba. A rosszindulatú program érzékeny rendszerinformációkat gyűjt és feltölti az adatokat egy távoli C&C szerverre. A fenyegetés jelentést tesz az új fertőzésről, és utasításokat kap a támadás folytatására.

Az Emotet ütemezését ütemezett feladatok vagy regisztrációs kulcsok révén tartja fenn. A rosszindulatú programok új verziói a betöltő szolgáltatását hozzák létre. A radar alatt történő repülés érdekében az Emotet utánozza az ismert végrehajtható fájlok nevét. Másolja a törvényes szolgáltatásleírásokat a saját újonnan létrehozott szolgáltatásaiba. Ha nem tud létrehozni egy szolgáltatást, akkor a 'SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run' beállításjegyzéket használja. Ezenkívül a fenyegetés véletlenszerűen elnevezett fájlokat hoz létre a rendszer gyökérkönyvtáraiban, és Windows szolgáltatásokként futtatja azokat.

Amint az Emotet megállapítja a perzisztenciát, megpróbálja elterjedni a helyi hálózaton. A rosszindulatú programok többféle megközelítést alkalmaznak a terjesztésre, beleértve a felhasználói fiókok brutális kényszerítését és a hálózati erőforrások felsorolását. Célja a hálózat minden eszközének megfertőzése, adatok begyűjtése tőlük és hozzáadása az óvó robotok óriás hálózatához.


3. ábra: Az Emotet eloszlása a helyi hálózati képre - Forrás: us-cert.gov/ncas/alerts/TA18-201A

Az Emotet megelőzése felhasználói beavatkozást igényel

Az Emotet megelőzése a felhasználók oktatásával kezdődik. Ez a rosszindulatú program a szociális mérnöki támadásokra támaszkodik, amelyek kudarcot vallnak, ha a felhasználók óvatosan alkalmaznak biztonsági intézkedéseket és a következő tippek ragaszkodása mellett:

  • A felhasználóknak vigyázniuk kell a váratlan üzenetekre, még az ismerős feladóktól érkező üzenetekre, és csak akkor léphetnek kapcsolatba velük, ha biztonságosnak bizonyulnak.
  • Szigorú jelszópolitikát kell alkalmazni.
  • A felhasználóknak választaniuk kell a többtényezős hitelesítést is, ha elérhető.
  • A legfrissebb szoftverek karbantartása kötelező.
  • Az Emotet gyakran rosszindulatú programokat dob le, amelyek kihasználják a már ismert és már javított biztonsági réseket, mint például az EternalBlue.Anti-vírus alkalmazások jó tűzfallal kombinálva megvédik a számítógépet a fenyegetések sokaságától.

Az Egyesült Államok Belbiztonsági Minisztériuma azt ajánlja, hogy a szervezetek szigorúan kövessék a legjobb biztonsági gyakorlatokat.

January 21, 2020

Válaszolj