Mehrschichtige Betriebsmechanismen von Emotet

Originalbeitrag von Trend Micro

In nur fünf Jahren schaffte es die Schadsoftware Emotet, sich zu einer der berüchtigtsten Cyberbedrohungen zu entwickeln – eine, deren Angriffe Kosten von bis zu 1 Mio. $ für die Wiederherstellung verursachen, so das US-CERT. Kürzlich berichtete Trend Micro bereits über die Aktivitäten sowie die zwei Infrastrukturkonfigurationen von Emotet. Nun stehen die mehrschichtigen Betriebsmechanismen, die zu den bemerkenswertesten Features der Malware gehören, im Vordergrund.

Die Aktivitäten der Artefakte von Emotet – ihre Dokument-Dropper und gepackten ausführbaren Samples – zeigten Diskrepanzen hinsichtlich des Zeitpunkts, an dem ein jedes Anzeichen von Aktivität zeigte. Die Sicherheitsforscher stellten fest, dass sich die Infrastruktur für das Erstellen und Verbreiten von Dokument-Droppern von der für das Packen und Inbetriebnehmen der Executables unterscheidet.

Die Forscher beobachteten, wann die Autoren die Dropper erstellten und nutzten, sodass sich ein Zeitmuster ergab, und das zeigte unter anderem, dass die Dropper sich einen oder zwei Tage pro Woche freinahmen:


Bild 1. Tägliches Aktivitätsmuster für Emotet Dropper


Bild 2. Stündliches Aktivitätsmuster für Emotet Dropper
Weitere Erkenntnisse über die Aktivitäten der Malware-Betreiber und der Betriebsmodelle, Infektionsketten und den Verbindungen zu russisch sprechenden Akteuren finden Interessierte im Originalbeitrag und im Whitepaper „Exploring Emotet’s Activities“.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.