Az Emotet Malware megtámadja a kormányokat és szervezeteket milliókat károsító áldozatoknak

Az Emotet vitathatatlanul az elmúlt öt év legproblematikusabb és költségesebb rosszindulatú programja. Ezt a rosszindulatú szoftvert először fedezték fel 2014-ben, és azóta szinte folyamatosan okoz problémát. A fenyegetés egyfajta, két hónapos szünetet tartott 2019 májusában, csak azért, hogy július végén készítsék a címsort, amikor a floridai Lake Citybe támadtak, 460 000 dollárba kerülve a városnak.

Ugyanebben az évben a Giesseni Egyetem, a Freiburgi Katolikus Egyetem, valamint a német városok, Frankfurt és Bad Homburg bezárták informatikai hálózataikat egy újabb Emotet támadás miatt.

Masszív Emotet spam-kampányokat fedeztek fel angol, német, lengyel és olasz nyelven. Az Egyesült Államok Belbiztonsági Minisztériuma figyelmezteti, hogy az Emotet „állami, helyi, törzsi és területi (SLTT) kormányokat, valamint a magán- és az állami szektort érinti”.

Emotet partnerek más rosszindulatú szoftverekkel a Wreak Havoc számára

Az Emotet-et eredetileg arra tervezték, hogy becsapjon a célgépekbe és ellopja a banki hitelesítő adatokat. Ez a fenyegetés azonban egy nagyobb, kifinomultabb rosszindulatú programmá fejlődött, amely ma már nemcsak önálló veszély, hanem vektor is, amely más rosszindulatú programok családjait terjeszti és terjeszti.

Az Emotet központi szerepet játszik a rosszindulatú programok támadásában. Úgy tűnik, hogy különféle rosszindulatú programok üzemeltetői rendszeresen részt vesznek a fenyegetés terjesztésében, segítve az új áldozatok megtalálását és megfertőzését.

Bár az Emotet több, mint információ ellopására képes, ez a fenyegetés elsősorban cseppként működik. A fenyegetés szereplői az Emotet hálózatát használják a rosszindulatú programok más családjainak, például az Azorult, a Dridex és az Ursnif terjesztésére. Ami aggasztó, hogy az Emote hajlandó továbbítani olyan kártevő programokat, amelyek további fenyegetéseket szüntetnek meg, és az áldozatok gépeit számos fenyegetéssel eltömik.

A legjelentősebb kártevő kombináció az Emotet - Trickbot - Ryuk trió, amely nemcsak érzékeny információkat lop el, hanem arra is felszólítja a szervezeteket, hogy fizessenek izmos váltságdíjakat. A rendszer egyszerű: az Emotet letölt a Trickbot-ot, egy moduláris trójai, amely az áldozatok gépeit bizalmas információkkal, például bejelentkezési adatokkal és e-mail címekkel lekaparja. Eközben a rosszindulatú szereplők ellenőrzik, hogy a célgép egy szervezet része-e. Ha ez a helyzet, akkor elhagyják a Ryuk-ot, a ransomware fenyegetést, amely a felhasználó által generált adatokat titkosítja és az áldozatokat kiszorítja.

Az Emotet kombinált támadások negatív következményekkel járhatnak, például:

  • adatvesztés
  • a személyes és egyéb érzékeny információk kiszivárgása
  • pénzügyi veszteségek
  • károsíthatja a szervezet hírnevét
  • a rendszeres műveletek akadályozása

Emotet terjesztési taktikája

Az Emotet spam kampányokra támaszkodik. Az évek során a számítógépes támadók szkripteket, mikro-engedélyezett dokumentumokat és rosszindulatú hivatkozásokat használtak. Az Emotet korai verziói rosszindulatú JavaScript fájlokat használnak, míg későbbi változatai összetettebb elemeket használnak, például makrokompatibilis dokumentumokat, amelyek letöltik a rosszindulatú hasznos terhelést a parancs- és vezérlő (C&C) szerverekről.

Az Emotet által választott terjesztési technika először tűnhet szabványnak. A használt technika közelebbi bemutatása azonban felfedi a rosszindulatú programok kifinomultságát. Ez a fenyegetés nem szokásos rosszindulatú program. A kutatók jelentése szerint az Emotet fejlett spam-technikákat alkalmaz, amelyek rosszindulatú objektumokat illesztnek be a legitim beszélgetési szálakba.

Az Emotet spammodulja nemcsak az e-mail kapcsolatok listáját, hanem az üzenetek tartalmát is ellopja. A rosszindulatú program meglévő beszélgetésekbe lép. Megtévesztő üzeneteket épít fel, amelyek tartalmazzák a régi levelezésből másolt információkat, valamint rosszindulatú elemeket. Amint az az 1. ábrán látható, az Emotet arra kényszeríti áldozatait, hogy impulzív módon töltsék le a rosszindulatú fájlokat azzal, hogy törvényes tudósítónak teszik magukat.


1. ábra. A Malspam példája - Forrás: Talosintelligence.com Blog

Elképzelhető, hogy a rosszindulatú programok csak a fertőzött eszközök hálózatán keresztül terjesztik a rosszindulatú spamot. De nem ez a helyzet. Az Emotet spam üzeneteket terjeszt áldozatainak gépeiről, de rosszindulatú üzeneteket továbbít más helyekről és független szerverekről is. A kutatók jelentése szerint a rosszindulatú program ellopja áldozatainak hitelesítő adatait, és elosztja azokat egy olyan botok hálózatának, amely ugyanazokat a hitelesítő adatokat használja az Emotet támadási e-mailek továbbítására.

Fertőzésvektor és anti-AV technikák

Amint a felhasználó kapcsolatba lép egy sérült e-mail elemmel, a rosszindulatú makrók letöltik az Emotet végrehajtható fájlját egy távoli C&C szerverről. Ismert, hogy a fenyegetés szereplői három szervert használnak (1., 2. és 3. időszak), amelyek egymástól függetlenül működnek. Ha egy szervert leszereznek, a másik kettő folytathatja a rosszindulatú programok futtatását.


2. ábra. Hiányos makrokód - Forrás: Virusbulletin.com

A makró kódot nagymértékben elmossák (2. ábra). Nagyon hosszú, rengeteg szemetes karaktert tartalmaz, amelyek elfedik a kód hasznos részeit. Ez az egyszerű, mégis hatékony anti-kriminalisztikai technika megnehezíti és kellemetlenné teszi a rosszindulatú programok elemzését.


2.1. Ábra Tiszta makrokód - Itt láthatja a 2. ábrán bemutatott makrokód hasznos részeit - Forrás: Virusbulletin.com

Az Emotet végrehajtható fájlja a kutatókat is kihívásokkal szolgál. Azáltal, hogy ezt az elemet számos átalakításba helyezi, a rosszindulatú szereplők célja a rosszindulatú programok elemzésének akadályozása és az észlelés elkerülése. A rosszindulatú programok különféle verziói különféle végrehajtható fájlokat használnak, egyedi struktúrákkal. A kutatók rámutattak, hogy a változatok között az egyetlen közös elem a szülő-gyermek típusú folyamatszerkezet. A rosszindulatú program biztosítja annak zökkenőmentes és folyamatos végrehajtását azáltal, hogy futtatja önmagát, mint egyedi folyamatokkal rendelkező gyermekfolyamatokat. További trükkök, amelyeket az Emotet a statikus elemzés akadályozására használ, egy dinamikusan összeállított importtábla és egy ritka kivonat-algoritmus megvalósítása.

Fontos megjegyezni, hogy az Emotet tisztában van a környezetével. Ha azt észleli, hogy egy homokozóban fut, a rosszindulatú program megszakítja annak végrehajtását. Ráadásul a rosszindulatú programok néhány változatát úgy tervezték, hogy az alvó üzemmódba váltással elkerülje az elemzést. Bónuszként a rosszindulatú szereplők számára ez a technika elrejti malware-jét az antivírus-programok ellen.

Az Emotet Malware kitartása megbocsáthatatlan

Az Emotet létrehozza a kitartást azáltal, hogy beírja kódját az explorer.exe fájlba és más futó folyamatokba. A rosszindulatú program érzékeny rendszerinformációkat gyűjt és feltölti az adatokat egy távoli C&C szerverre. A fenyegetés jelentést tesz az új fertőzésről, és utasításokat kap a támadás folytatására.

Az Emotet ütemezését ütemezett feladatok vagy regisztrációs kulcsok révén tartja fenn. A rosszindulatú programok új verziói a betöltő szolgáltatását hozzák létre. A radar alatt történő repülés érdekében az Emotet utánozza az ismert végrehajtható fájlok nevét. Másolja a törvényes szolgáltatásleírásokat a saját újonnan létrehozott szolgáltatásaiba. Ha nem tud létrehozni egy szolgáltatást, akkor a 'SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run' beállításjegyzéket használja. Ezenkívül a fenyegetés véletlenszerűen elnevezett fájlokat hoz létre a rendszer gyökérkönyvtáraiban, és Windows szolgáltatásokként futtatja azokat.

Amint az Emotet megállapítja a perzisztenciát, megpróbálja elterjedni a helyi hálózaton. A rosszindulatú programok többféle megközelítést alkalmaznak a terjesztésre, beleértve a felhasználói fiókok brutális kényszerítését és a hálózati erőforrások felsorolását. Célja a hálózat minden eszközének megfertőzése, adatok begyűjtése tőlük és hozzáadása az óvó robotok óriás hálózatához.


3. ábra: Az Emotet eloszlása a helyi hálózati képre - Forrás: us-cert.gov/ncas/alerts/TA18-201A

Az Emotet megelőzése felhasználói beavatkozást igényel

Az Emotet megelőzése a felhasználók oktatásával kezdődik. Ez a rosszindulatú program a szociális mérnöki támadásokra támaszkodik, amelyek kudarcot vallnak, ha a felhasználók óvatosan alkalmaznak biztonsági intézkedéseket és a következő tippek ragaszkodása mellett:

  • A felhasználóknak vigyázniuk kell a váratlan üzenetekre, még az ismerős feladóktól érkező üzenetekre, és csak akkor léphetnek kapcsolatba velük, ha biztonságosnak bizonyulnak.
  • Szigorú jelszópolitikát kell alkalmazni.
  • A felhasználóknak választaniuk kell a többtényezős hitelesítést is, ha elérhető.
  • A legfrissebb szoftverek karbantartása kötelező.
  • Az Emotet gyakran rosszindulatú programokat dob le, amelyek kihasználják a már ismert és már javított biztonsági réseket, mint például az EternalBlue.Anti-vírus alkalmazások jó tűzfallal kombinálva megvédik a számítógépet a fenyegetések sokaságától.

Az Egyesült Államok Belbiztonsági Minisztériuma azt ajánlja, hogy a szervezetek szigorúan kövessék a legjobb biztonsági gyakorlatokat.

Zane -Ig
January 21, 2020
Malware
Magyar
January 21, 2020
Malware

Népszerű Bejegyzések

A Microsoft arra figyelmeztet, hogy az állam által támogatott...

4 days ezelőtt

Trojan Al11 Malware Detection

11 months ezelőtt

A Pinaview egy teljes funkcionalitású adware alkalmazás

10 months ezelőtt

„Az iCloudját feltörték” és „Az iPhone-ját feltörték” előugró...

7 months ezelőtt

Mi az a Lucky Ransomware?

7 months ezelőtt

„American Express – Frissítse fiókinformációit” E-mail átverés

6 months ezelőtt
Magyar
Betöltés...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Itthon

Termékek

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Támogatás

Súgó fájlok GYIK Downloads Inquiries & Support

Vállalat

Rólunk Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Adatvédelmi irányelvek Cookie-szabályzat Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

A Windows a Microsoft védjegye az Egyesült Államokban és más országokban.
A Mac, az iPhone, az iPad és az App Store az Apple Inc. védjegye az Egyesült Államokban és más országokban.
Az iOS a Cisco Systems, Inc. és/vagy leányvállalatainak bejegyzett védjegye az Egyesült Államokban és bizonyos más országokban.
Az Android és a Google Play a Google LLC védjegye.