Was steckt hinter den Emotet-Aktivitäten und den zwei Infrastrukturen

Originalbeitrag von Trend Micro

Der von Trend Micro 2014 entdeckte Bankentrojaner Emotet kehrte im letzten Jahr mit einem eigenen Spamming-Modul zurück und sucht seine Ziele in neuen Branchen mit neuen Techniken zur Vermeidung von Sandboxen sowie anderen Analysetechniken. Die Sicherheitsforscher von Trend Micro analysierten die Aktivitäten des Trojaners und auch Emotets Artefakten. 8.528 einzigartige URLs, 5.849 Dokumenten-Dropper und 571 Executables wurden dafür von Juni bis September gesammelt, um auch die Infrastruktur von Emotet und mögliche Attributionsinformationen zu erforschen.

Zu den wichtigsten Erkenntnissen gehören folgende:

  1. Es gibt mindestens zwei Infrastrukturen, die parallel laufen und das Emotet-Botnet unterstützen. Anhand des Gruppierens der C&C-Server und der RSA-Schlüssel der Malware erkannten die Forscher zwei klar zu unterscheidende Infrastrukturen. Auch sahen sie, dass die Bedrohungsakteure monatlich die RSA-Schlüssel wechselten. Die Payloads der Gruppen zeigten keine wichtigen Unterschiede in Bezug auf Ziele oder Zweck, sodass es wahrscheinlich ist, dass die Infrastrukturen der Gruppen darum so aufgesetzt sind, damit es schwieriger wird, Emotet nachzuverfolgen und auch um mögliche Ausfälle zu kompensieren.
  2. Bei der Erstellung von Emotets Artefakten wurde möglicherweise auf mehrschichtige Betriebsmechanismen gesetzt. Die Inkonsistenz der Aktivitätsmuster zeigt, dass die für die Erstellung und Verbreitung der Dokumenten-Dropper genutzte Infrastruktur sich von der für das Packen und Deployment von Emotets Executables unterscheidet. Die Erstellung von Dokumenten-Dropper stoppt während der Feierabendstunden.
  3. Die Autoren der Malware könnten irgendwo in der UTC+10-Zeitzone oder weiter östlich davon leben.

Die meisten C&C-Server stehen in den USA, Mexiko und Kanada.

Bild. Länder in denen Emotet C&C-Server verteilt sind

Die technischen Einzelheiten zu den zwei Infrastrukturen, Emotet-Gruppen und weiteres beinhaltet der Originalbeitrag.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.