Neuer EMOTET-Schädling umgeht Sandbox und Analyse

Originalartikel von Rubio Wu, Threats Analyst

Der im September wieder aufgetauchte Banking-Schädling EMOTET hat nun seinen Aktionsradius erweitert. Kürzlich entdeckten die Sicherheitsforscher von Trend Micro eine neue Variante (TSPY_EMOTET.SMD10) mit ein paar Änderungen am üblichen Verhalten sowie neuen Routinen, die dazu beitragen, Sandbox- und Malware-Analyse zu umgehen.

Die Forscher fanden heraus, dass EMOTETs Dropper statt wie bislang RunPE nun CreateTimerQueueTimer ausnutzt. Dies ist ein Windows Application Programming Interface (API), das eine Queue für Timer erzeugt. Diese Timer stellen leichtgewichtige Objekte dar, die die Auswahl einer Callback-Funktion zu einer gegebenen Zeit ermöglichen. Die ursprüngliche Funktion des APIs besteht darin, eine Timer-Routine zu erzeugen. Hier jedoch wird die Callback-Funktion des APIs zur tatsächlichen Payload von EMOTET. Der Wechsel von RunPE zu einem Windows API scheint deshalb stattgefunden zu haben, weil die Ausnutzung von RunPE zu bekannt wurde und damit leichter zu erkennen.

Dies ist nicht die erste Malware, die CreateTimerQueueTimer missbraucht. Hancitor, ein Banking-Trojaner, der PONY und VAWTRAK ablegt, nutzte ebenfalls das API in den eigenen Droppern.

Anti-Analyse und Anti-Sandbox

Die Forscher fanden zudem eine neue Verhaltensweise in dieser Variante, nämlich eine Antianalyse-Technik. Es gibt Schadsoftware, die so aufgesetzt ist, dass sie eine Weile untätig ist, um der Erkennung durch Analyseprodukte zu entgehen. Die Analyseplattform hat jedoch die eigenen Sleep-Zeiten auf nur sehr kurze Intervalle zwischen den Scans geändert. EMOTETs Antianalyse-Technik checkt, wann der Scanner die Aktivitäten überwacht, und CreateTimerQueueTimer unterstützt diesen Job mit einem Intervall von 0x3E8 Millisekunden.

Die Variante kann auch prüfen, ob sie sich während der zweiten Phase der Payload innerhalb einer Sandbox-Umgebung befindet. Der EMOTET Loader wird nicht ausgeführt, wenn dies der Fall ist. Technische Einzelheiten zum Checking liefert der Originalbeitrag.

Infektionskette

Bild 1. Die Infektionskette der neuen EMOTET-Variante

Die Infektion startet mit einer Phishing-Mail, die eine bösartige URL enthält, die eine Datei mit einem bösartigen Makro ablegt.

Bild 2. EMOTET Phishing-Mail

Bild 3. Bösartiges EMOTET-Dokument

Unternehmen und Endanwender können Bedrohungen wie EMOTET vermeiden, indem sie Best Practices für den Schutz vor Phishing-Angriffen befolgen. Nutzer sollten immer vorsichtig sein, wenn andere persönliche Informationen anfordern. Auch sollten sie keine Links anklicken oder Dateien herunterladen, wenn diese aus „nicht vertrauenswürdigen“ Quellen stammen. Schließlich bieten strenge Sicherheitsrichtlinien für die Mail Gateways Schutz.

Trend Micro-Lösungen

Unternehmen können eine mehrschichtige Verteidigung aufbauen, um das Risiko möglichst gering zu halten. Die Trend Micro Endpoint-Lösung Smart Protection Suites und Trend Micro Worry-Free Services Advanced können über Verhaltensmonitoring, Applikationskontrolle und Shielding von Sicherheitslücken die Ausführung von bösartigen Routinen verhindern. Eine Email- und Web Gateway-Lösung wie Trend Micro™ Deep Discovery™ Email Inspector kann Unternehmen schützen, weil sie bösartige Anhänge und URLs erkennt.

Trend Micro Hosted Email Security ist eine wartungsfreie cloudbasierte Lösung, die permanent aktuellen Schutz bietet und Spam, Malware, Spear-Phishing und komplexe, zielgerichtete Angriffe stoppt, bevor sie Ihr Netzwerk erreichen. Hosted Email Security schützt Microsoft Exchange, Microsoft Office 365, GoogleApps sowie viele weitere gehostete und lokale E-Mail-Lösungen. E-Mail-Verschlüsselung ist in der Basisversion bereits enthalten.

Trend Micro™ Smart Protection for Endpoints mit XGen™ Security kombiniert Machine Learning-Technologien mit einer Reihe von Schutztechniken, um alle Sicherheitslücken auf jeglichen Endpunkten zu schließen und so den bestmöglichen Schutz vor fortgeschrittenen Angriffen zu liefern. Indicators of Compromise (IoCs) und Adressen der C&C umfasst ebenfalls der Originalbeitrag.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*