Emotet mit neuen Vermeidungstechniken und Proxy C&C-Servern

Originalartikel von Marco Dela Vega, Jeanne Jocson and Mark Manahan


UPDATE: In einer früheren Version des Artikels wurde die Vermutung geäußert, dass vernetzte Geräte als Teil des Emotet C&C-Netzwerks verwendet wurden. Diese Ansicht basierte auf Shodan-Ergebnissen. Wir bedauern die Verwirrung, die diese Äußerungen verursacht haben könnten und haben die entsprechenden Absätze aus dem Beitrag entfernt.

Der von Trend Micro 2014 entdeckte Banking-Schädling Emotet hat seither immer wieder zugeschlagen und sich zu einer teuren Bedrohung entwickelt. Die US-Regierung schätzt, dass ein Vorfall mit Emotet ein Unternehmen 1 Mio.$ für die Wiederherstellung kostet. Die Autoren haben die Schadsoftware kontinuierlich aktualisiert und mit neuen Fähigkeiten, Verbreitungstechniken und anderem ausgestattet. Eine kürzlich durchgeführte Analyse von Emotet-Verkehr zeigte, dass neue Samples einen anderen POST-Infektionsverkehr einsetzen als frühere Versionen. Auch versucht der Schädling kompromittierte vernetzte Geräte als Proxy-C&C-Server zu nutzen für die Weiterleitung an die tatsächlichen Emotet C&Cs. Diese Änderungen mögen auf den ersten Blick trivial erscheinen, doch das Mehr an Komplexität im C&C-Verkehr soll die Entdeckung vermeiden.

Verbreitung über Spam

Emotet wird typischerweise über Spam Mail auf die Systeme der Opfer gebracht. Dies zeigen auch die Anfang April gefundenen Samples, die zudem den trojanisierten Downloader Powload nutzten. Die Spam-Nachrichten gaben vor, eine Rechnung im Anhang zu haben, in einer ZIP-Datei, die mit einem vierstelligen Passwort geöffnet werden konnte, das in der Mail angegeben war. Die ZIP-Datei enthielt Varianten von Powload (Trojan.W97M.POWLOAD). Nach dem Öffnen nutzt die Datei Powershell, um eine ausführbare Payload herunterzuladen.


Bild 1. Beispiel einer Emotet Spam Mail. Die Samples zeigen, dass es sie in verschiedenen Sprachen gibt.

Änderungen im POST-Infektionsverkehr

Die Welle von Emotet Samples mit dem neuen POST-Infektionsverkehr wurde vom 15. März, 2019, an überwacht. Frühere Verbindungen des Schädlings nutzten keinen URI-Pfad, doch die neueren zeigen zufallsgesteuerte Wörter und eine zufällige Zahl, die als URI-Verzeichnispfad verwendet wird. Diese zufallsgesteuerten Wörter im URI-Pfad erschweren die netzwerkbasierte Entdeckung, denn der Verkehr erscheint so Sicherheitslösungen legitimer.

Auch die Daten in der HTTP POST Nachricht haben sich geändert. Frühere Emotet-Samples verwendeten typischerweise eine HTTP GET-Anfrage, um Informationen über das Opfer an den C&C-Server zu senden, und die Daten werden im Cookie-Header gespeichert. Die Daten wurden mit einem RSA-Schlüssel, AES, verschlüsselt und dann in Base64 kodiert, bevor sie dem Cookie-Wert hinzugefügt wurden.

Nun nutzen die Hintermänner den Cookie-Header nicht länger und wechselten auch bei der http-Anfrage zu POST. Die Daten werden weiterhin mit einem RSA-Schlüssel und AES verschlüsselt und in Base64 kodiert. Statt jedoch im Cookie-Wert werden sie in die HTTP-POST-Nachricht eingefügt. Damit entsteht eine weitere Ebene der Komplexität, mit deren Hilfe die Malware der Erkennung entgehen oder weitere Untersuchungen verzögern kann, wenn sie erkannt wird.

Schutz vor der Bedrohung

Die Änderungen zeigen, dass die Autoren der Schadsoftware die Vemeidungstechniken verfeinern und versuchen, sie an die Sicherheitslösungen anzupassen. Wird die Bedrohung nicht erkannt, so kann sie zu erheblichen finanziellen Verlusten und Daten in Unternehmen führen.

Die Verteidigung gegen Bedrohungen wie Emotet erfordern einen mehrschichtigen und proaktiven Ansatz, der auf allen Fronten schützt – Gateway, Endpoints, Netzwerke und Server. Die Trend Micro Endpoint-Lösungen Smart Protection Suites und Trend Micro Worry-Free Services Advanced können über Verhaltensmonitoring, Applikationskontrolle und Shielding von Sicherheitslücken die Ausführung von bösartigen Routinen verhindern.

Vernetzte Geräte lassen sich über Lösungen schützen wie Trend Micro™ Home Network Security und Trend Micro Smart Home Network™ (SHN), die den Internetverkehr zwischen Router und allen vernetzten Geräten prüfen. Netzwerkschutz bietet Trend Micro Deep Discovery Inspector, der alle Ports und Netzwerkprotokolle auf fortschrittliche Bedrohungen überwacht und über die Sandbox und Scanning Ransomware erkennt und blockt.Enterprises can also monitor all ports and network protocols for advanced threats and be protected from targeted attacks with the Trend Micro™ Deep Discovery™ Inspector network appliance.

Trend Micro XGen™ Security liefert eine generationsübergreifende Kombination aus Abwehrtechniken gegen eine Vielfalt von Bedrohungen für Datencenter, Cloud-Umgebungen, Netzwerke und Endpunkte.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.