Trend Micro Managed Detection and Response findet neue Emotet-Variante

Originalbeitrag von Erika Mendoza, Jay Yaneza, Gilbert Sison, Anjali Patil, Julie Cabuhat, Joelson Soares


Über das Managed Detection and Response (MDR)-Monitoring stellten die Sicherheitsforscher von Trend Micro im Februar auf einem Endpoint in der Gastgewerbebranche fest, dass die modulare Emotet-Malware Nymaim-Schadsoftware verbreitet. Diese lädt dann die Nozelesn-Ransomware. In die Analyse der Bedrohung bezogen die Forscher außerdem 580 ähnliche Emotet Dateianhang-Samples aus der Telemetrie und zusätzlich vom Januar bis Februar gesammelte Daten mit ein.

Noch während des Monitorings der Umgebung auf eine mögliche Neuinfektion erhielten die Forscher einen Bericht zu Dateien (How_Fix_Nozelesn_files.htm), die auf einem anderen Endpunkt gefunden worden waren. Es handelte sich diesmal um einen Server. Er wies Anzeichen einer Nozelesn Ransomware-Infektion auf. Auch stellten die Experten bei näherer Analyse mehrere Aktivitäten im Zusammenhang mit den ursprünglichen Ereignissen fest und starteten eine Root-Cause-Untersuchung.


Bild 1. Ablaufdiagramm der Emotet-Infektion auf der Basis einer Root Cause Analyse

Bei der Analyse der nachgelagerten Payload fielen Ähnlichkeiten zu Nymaim ins Auge, die sowohl Trend Micro als auch andere Sicherheitsforscher 2018 mit der Nozelesn Ransomware in Verbindung gebracht hatten. Diese wurde in einer Kampagne in Polen im Juli 2018 eingesetzt. Auch wenn keine Samples gefunden wurden, so zeigten Daten aus der Trend Micro™ Smart Protection Network™-Sicherheitsinfrastruktur Verbindungen zum Malware Downloader Nymaim. Darüber hinaus stellte sich heraus, dass Emotet sich selbst innerhalb eines Netzwerks über administrative Share auf mehrere Maschinen kopieren kann. Technische Einzelheiten zur Recherche und Analyse finden Interessierte im Originalbeitrag.

Wichtige Ergebnisse der Untersuchung

Folgende Punkte lassen sich nach der Untersuchung hervorheben:

  • Emotet Spam-Emails entwickeln sich weiter. Im Laufe eines einzigen Monats gab es weltweit mehr als 14.000 Erkennungen ähnlicher Spam-Emails. Die meisten wurden in Großbritannien (23. Januar), Zypern und Deutschland (1. Februar) und des Weiteren in Argentinien, Venezuela und Kanada entdeckt.

Die häufigsten Betreffs waren „Up to date emergency exit map”, „latest invoice” und andere (siehe Tabelle im Originalbeitrag). Auch änderten sich die Spam-Mails je nach anvisiertem Empfänger. Drei Sprachen wurden verwendet: Englisch, Deutsch und Spanisch.

  • Unabhängig von den Variationen in den Spam-Mails ist der Hauptinfektionsweg immer gleich. Die Infektionskette startet mit einer Spam-Mail, die ein bösartiges Dokument als Anhang hat. Nach dem Öffnen des Anhangs wird ein Makro ausgeführt und PowerShell aufgerufen, die weitere Malware von einem entfernten Standort herunterlädt. Ihre Payload ist sehr volatil und kann die endgültige Payload wie Qakbot direkt herunterladen, hier Emotet als Loader einer weiteren Malware. A Eine weitere Variante der Emotet-bezogenen Spam-Kampagne enthält einen Link zu einer XML-Datei. Sie kann sich vor Antimalware-Software verstecken, indem sie bösartige Makros einbindet, die verwendet werden, um die wichtigsten Payloads in als Word-Dokumente getarnten XML-Dateien abzulegen. Der einfachste Weg, problematische Infektionen zu verhindern, besteht darin, Bedrohungen am Eintrittsort zu stoppen.
  • Emotet lädt mehrere Dateien herunter und führt sie aus. Sie sind erst dann sichtbar, wenn sie sich erfolgreich mit ihren C&C-Server verbinden. Manchmal wird die tatsächliche Payload nicht gleich heruntergeladen, eine Tatsache, die die Analyse erschwert.
  • Emotet-Infektionen machen nicht auf dem ursprünglich betroffenen Endpunkt Halt. Sie breiten sich auf alle damit verbundenen Computer im Netz aus.

Verteidigung gegen diese Bedrohungen

Unternehmen sollten beim Einsatz und Absichern der PowerShell Best Practices befolgen. PowerShell ist ein Management Framework, das auf der Liste der von Missbrauch betroffenen Systemadministrations-Tools von Trend Micro steht. Microsoft liefert auch Anleitungen zu Execution Policies und auch für die Einstellung von PowerShell auf ConstrainedLanguageMode. So lassen sich Systeme über PowerShell-Befehle härten. Unternehmenskunden können auch neuere Microsoft-Fähigkeiten nutzen, um sich proaktiv gegen die ursprünglichen Infektionen zu schützen. Beispielsweise blockt Office 2016 Makros und kann Infektionen verhindern. Eine weitere Möglichkeit ist auch die Einschränkung von PowerShell insgesamt.

Zur Unterstützung im Kampf gegen diese trickreichen Bedrohungen können Unternehmen auch einen Managed Detection and Response (MDR)-Service in Anspruch nehmen, der erfahrene Sicherheitsprofis zur Verfügung der Kunden stellt. MDR-Analysten haben ein breit gefächertes Wissen zu alten und neuen Bedrohungen und erkennen sie, bevor sie Schaden anrichten.

Indicators of Compromise sind im Originalbeitrag enthalten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.