Czym jest Emotet?
Emotet to trojan rozprzestrzeniający się głównie za pośrednictwem SPAM’u, jest powszechnym problemem od czasu jego pierwszego pojawienia się w 2014 r.
Dzięki sieci składającej się z wielu botnetów określanych jako „epochy” przez zespół badawczy Cryptolaemus, Emotet nieustannie wysyła SPAM wiadomości e-mail w kampaniach mających na celu infekowanie urządzeń użytkowników za pomocą ataków phishingowych.
Po pomyślnym uruchomieniu na punkcie końcowym trojan Emotet przepuszcza inne złośliwe programy do struktury IT atakowanego, takie jak Qakbot, Cobalt Strike, a w niektórych przypadkach nawet ransomware Ryuk. Jednak od lipca 2022 r. szeroko rozpowszechnione oprogramowanie Malware-as-a-Service (MaaS) najwyraźniej przestało działać i wydawało się, że nie prowadzi już tych kampanii spamowych.
Przez następne cztery miesiące ataki hakerskie z użyciem Emotet nie odbywały się często. Następnie, 2 listopada, grupa Cryptolaemus odkryła, że jej botnety, szczególnie te znane jako Epoch4 i Epoch5, ponownie zaczęły wysyłać wiadomości SPAM. Te e-maile phishingowe wykorzystywały różne metody, aby nakłonić ofiary do otwarcia ich, a następnie pobrania i uruchomienia pliku .xls z makrami używanymi do pobrania droppera Emotet.
Wygląda na to, że Emotet powrócił, okazując się równie złośliwy, jak poprzednio.
Rosnący zestaw modułów Emotet
Od samego początku Emotet stale ewoluuje, dodając nowe techniki unikania ataków i zwiększając prawdopodobieństwo udanych infekcji. Jest również w stanie obsługiwać szereg modułów, z których każdy jest używany do różnych aspektów kradzieży informacji, które wysyłają raporty do swoich serwerów dowodzenia i kontroli (C2). Od monitorowania procesów po przechwytywanie adresów e-mail programu Microsoft Outlook, zaobserwowano, że Emotet wstrzykuje zarówno zastrzeżone moduły, jak i łatwo dostępne darmowe narzędzia. Dodawane i ulepszane przez lata z alarmującą skutecznością. Niedawno do trojana Emotet dodano nowy moduł rozdzielający Server Message Block (SMB), który jest skuteczną metodą przemieszczania bocznego po umieszczeniu na docelowym urządzeniu.
Rozrzutnik SMB rozpoczyna ten proces, uzyskując te same uprawnienia bezpieczeństwa, co początkowe konto docelowe. Po zalogowaniu do systemu ofiary moduł ten zaczyna podszywać się pod tego użytkownika, duplikując jego token konta na poziomie Security Impersonation. Daje to procesowi takie same uprawnienia jak bieżącemu użytkownikowi w tym systemie. Dystrybutor z tymi zduplikowanymi uprawnieniami wywołuje funkcję „ImpersonateLoggedOnUser” w celu wykonania działań w tym samym kontekście bezpieczeństwa konta, na którym jest aktualnie zalogowany.
Od tego momentu moduł rozpoczyna wyliczanie zasobów sieciowych przy użyciu interfejsów WinAPI WnetOpenEnumW i WnetEnumResourceW. Spośród tych zasobów zapisuje wszelkie potencjalne serwery zdalne na liście. Następnie, korzystając z dwóch dodatkowych zakodowanych na stałe list (jednej z typowych nazw użytkowników, drugiej z typowych haseł), rozprzestrzeniony będzie powtarzał czynności po tej liście nazw serwerów i rozpocznie wymuszanie udziału IPC$ z WinAPI WNetAddConnection2W w nadziei na pomyślne połączenie.
Jeśli nie zostanie nawiązane żadne połączenie z dostępnymi danymi uwierzytelniającymi, rozprzestrzeniający SMB może również spróbować wyszukać dodatkowe nazwy użytkowników z serwera, na który atakuje NetUserEnum WinAPI. Wszelkie potencjalnie nowe znalezione nazwy użytkowników zostaną również złamane za pomocą zakodowanej na stałe listy haseł do logowania do udziału IPC$.
Jak atakuje trojan Emotet?
Jeśli połączenie powiedzie się, program rozprowadzający w końcu spróbuje połączyć się z udziałami ADMIN$ i C$. Stamtąd w końcu kopiuje moduł ładujący Emotet do wspomnianego udziału i uruchamia go jako usługę. Usługa jest wykonywana za pomocą regsvr32.exe i osiągany jest ruch boczny.
Wraz z rozprzestrzenianiem SMB, inny niedawno dodany moduł jest wykorzystywany do kierowania ataków na przeglądarkę Google Chrome ofiary w nadziei na kradzież przechowywanych informacji o kartach kredytowych. Podczas gdy Emotet używał w przeszłości innych modułów do wyszukiwania informacji finansowych (takich jak moduł NirSoft WebBrowserPassView), Proofpoint znalazł na początku czerwca 2022 r. następujące odszyfrowane ciągi, które wydają się dotyczyć konkretnie przeglądarki Chrome.
Analiza techniczna. Emotet atakuje
Gdy użytkownik pobiera załącznik .xls z jednej z wiadomości phishingowych, wektor infekcji jest całkowicie zależny od włączenia przez użytkownika makr do pobrania droppera Emotet. Teraz wszystkie pliki pobierane z Internetu, w tym załączniki do wiadomości e-mail, takie jak pliki programu Excel, domyślnie otrzymują specjalną flagę firmy Microsoft. Znana jako flaga Mark-of-the-Web (MOTW), jest to funkcja zabezpieczeń pierwotnie wprowadzona przez przeglądarkę Internet Explorer w celu wymuszenia działania zapisanych stron internetowych w tej samej strefie bezpieczeństwa, z której strona została zapisana.Zasadniczo zmusza to programy do bardziej ostrożnego traktowania niektórych typów plików. Na przykład plik Excela z flagą MotW zostanie otwarty w widoku chronionym, który automatycznie wyłącza makra — to bardzo zła wiadomość dla Emotet.
Aby ominąć tę wbudowaną funkcję bezpieczeństwa, infekcje Emotet polegają zamiast tego na dobrej, staromodnej inżynierii społecznej, aby ręcznie obejść te zabezpieczenia. Użytkownicy w końcu stają się bardziej bystrzy, jeśli chodzi o identyfikowanie podejrzanych załączników, ale ten nowy wariant robi coś szczególnie podstępnego.
W załączniku .xls (ef2ce641a4e9f270eea626e8e4800b0b97b4a436c40e7af30aeb6f02566b809c) wysłanym w ramach tej nowej kampanii spamowej prowadzonej przez botnet Epoch4 użytkownicy są proszeni o przeniesienie nowo pobranego pliku do folderu „Szablony” programu Excel, jak pokazano poniżej na rysunku 4.
Na zdjęciach można zobaczyć makra używane przez plik .xls, a także złośliwe adresy URL używane do pobierania Emotet. Na rysunku ostanim z nich widać, jak makra z innego wariantu tego pliku .xls (199a2e0e1bb46a5dd8eb3a58aa55de157f6005c65b70245e71cecec4905cc2c0) docierają do alternatywnych internetowych adresów URL.
Stąd dropper Emotet jest pobierany do losowo generowanego folderu w %UserProfile%\AppData\Local jako plik .dll. Ten plik .dll ma również losowo wygenerowaną nazwę. Po pobraniu makra używają regsvr32.exe do uruchamiania Emotet.
Emotet będzie działał w tle, łącząc się ze swoim serwerem C2 w celu pobrania dodatkowego złośliwego oprogramowania. Osiąga również trwałość w systemie, tworząc klucz rejestru pokazany na rysunku 9, dzięki czemu może pozostać aktywny na komputerze lokalnym w oczekiwaniu na dalsze instrukcje.
Gra końcowa Emotet. Modułowy trojan
Emotet, jako MaaS, koncentruje się na rozprzestrzenianiu innego złośliwego oprogramowania. Uważany za jednego z najbardziej rozpowszechnionych dystrybutorów złośliwego oprogramowania, jego odrodzenie spotkało się z dużym niepokojem w branży. Wraz z wprowadzeniem bardziej podstępnych wariantów mających na celu ominięcie automatycznych punktów kontrolnych bezpieczeństwa, wygląda na to, że jego dropper jest wykorzystywany do pobierania trojana bankowego IcedID. Osiąga to poprzez pobranie instalatora, który następnie pobiera osobny plik binarny z adresu URL hxxps[:]//bayernbadabum[.]com/botpack[.]dat w celu zrzucenia końcowego ładunku na urządzenie ofiary.
Jakby wbudowany moduł Emotet do kradzieży informacji o kartach kredytowych nie był wystarczająco niepokojący, jego dodatkowy ładunek IcedID jest jeszcze bardziej złowrogi. IcedID, znany również jako BokBot, to modułowy trojan znany z kradzieży informacji finansowych. Ustanawiając również trwałość poprzez drążenie procesów, sam w sobie jest w pełni zdolny do upuszczania dodatkowego złośliwego oprogramowania. IcedID monitoruje i rejestruje aktywność przeglądarki internetowej w celu kradzieży poufnych informacji, takich jak dane logowania do bankowości internetowej. W niedawno znalezionej próbce IcedID upuszczonej przez nowe warianty Emotet legalna ścieżka pdb może być nawet dostrzeżona w ciągach znaków pliku. Może to świadczyć o tym, jak „świeży” jest ten wariant, a może nawet nadal jest w fazie aktywnego rozwoju.
Trojan Emotet rozpowszechnia złośliwe oprogramowanie
Dzięki ciągłej ewolucji w ciągu ostatnich ośmiu lat Emotet stał się bardziej wyrafinowany pod względem taktyk unikania. Dodał dodatkowe moduły w celu dalszego rozprzestrzeniania się, a teraz rozpowszechnia złośliwe oprogramowanie za pośrednictwem kampanii phishingowych. Chociaż mógł być uśpiony przez kilka miesięcy, teraz powrócił, co czyni go zagrożeniem, z którym muszą się liczyć zarówno użytkownicy biznesowi, jak i indywidualni.
Wskazówki łagodzenia skutków ataku harkerskiego
- Emotet może dotknąć każdego. Zawsze zachowuj ostrożność podczas otwierania załączników wiadomości e-mail, niezależnie od typu pliku.
- Pamiętaj, aby dokładnie przeczytać wszystkie wyskakujące okienka bezpieczeństwa, gdy zostaniesz poproszony o ręczne włączenie ustawień na swoim komputerze.
- Monitoruj konta pod kątem nietypowego i nieautoryzowanego dostępu.
- Korzystaj z wysokiej klasy zabezpieczeń i antywirusów.
- Postaw na szkolenia z cyberbezpieczeństwa.
Zablokowanie cyberataków przed ich rozpoczęciem, pomoże Ci przezwyciężyć strach przed przerwaniem pracy związanym z cyberprzestrzenią. Posiadanie bezpiecznych, niezawodnych i godnych zaufania produktów już teraz zapewnia większe możliwości biznesowe w przyszłości.
Zadbaj o cyberbezpieczeństwo swojej organizacji!
