Malware - Ransomware

Emotet Malware kehrt zurück, um eine Welt auszunutzen, die am Rande des Abgrunds steht

Adrien Gendre

09. Oktober 2020

4 min

Emotet Malware

Abgesehen von ein paar größeren Aktivitäten im Januar war Emotet 2020 weitestgehend ruhig, dann aber trat die Emotet-Malware im Juli mit einer Reihe von globalen Angriffen wieder in Erscheinung. Es überrascht nicht, dass Emotet ein paar Monate Pause einlegte – das ist ein typisches Verhaltensmuster. Es überrascht jedoch, dass Emotet so lange brauchte, um die Unruhen auszunutzen, die im Rahmen der Pandemie den größten Teil der Welt erschütterten.

Die Rückkehr der Emotet-Malware

Emotet machte im Frühling Pause, als die COVID-19-Pandemie die Welt heimsuchte. Während andere Akteure mit COVID-19-Spam- und Phishing-Angriffen riesige Angriffswellen starteten, hielt Emotet still. Es ist schwer zu sagen, ob man einfach die Gelegenheit verpasst hatte oder in Erwartung dieser jüngsten Welle lediglich an der Verfeinerung von Techniken und Code arbeitete. Doch als Emotet dann zurückkam, geschah es mit einem Knall.

Botnet, das in der Regel ein Vorläufer weiterer Malware- und Ransomware-Angriffe ist, schickte im Juli eine massive Malspam-Welle an Outlook-Benutzer, woraufhin Microsoft am 17. Juli eine Warnung aussprach.

Die Rückkehr der Emotet-Malware

Anfang September warnten französische, japanische und australische Sicherheitsbehörden dringlich vor Emotet. Vor allem in Frankreich kam es zu einer massiven Panik, als das französische Innenministerium die Zustellung aller Dokumente per E-Mail blockierte. Wochen später sprachen Italien und die Niederlande Warnungen aus.

Nachdem eine neue Welle aufkam, mit E-Mails, die hauptsächlich in englischer, aber auch in einigen europäischen Sprachen verfasst waren, gab Microsoft eine weitere Warnung heraus. Emotet-E-Mails, die über Microsoft Outlook laufen, können eine katastrophale Wirkung haben. Sobald ein Computer mit Emotet infiziert ist, macht sich der Virus an die Arbeit, indem er Anmeldeinformationen und Daten stiehlt, die dann an andere Malware-Gruppen verkauft werden, die die Daten verwenden, um Ransomware-Angriffe zu starten.

Aktuelle Emotet-Aktivitäten und Techniken

Wie eine Menge Malspam kommen auch Emotet-E-Mails eher schlicht daher. Viele der erfassten Microsoft-Beispiele enthalten veralteten Microsoft-Text. In einigen Fällen enthalten sie Word-Dokumentenanhänge, die anscheinend im inzwischen ausgemusterten Windows 10 mobile erstellt wurden, ein klarer Fehler der Angreifer, der schnell behoben wurde. Die E-Mails enthalten jedoch stark verschleierte URLs und Makros.

Das sind besonders schlechte Nachrichten für Unternehmen, die sich auf signaturbasierte E-Mail-Filter verlassen. Diese Art von Filter kann bekannten Malware-Code erkennen, hat aber mit Verschleierung und polymorphen Viren Probleme.

Auch Sandboxing ist hilflos gegenüber Emotet-Malware, die sich der virtuellen Maschine (VM) bewusst ist. Da Emotet erkennen kann, dass sie sich in einer virtuellen Umgebung befindet, wie z. B. einer Sandbox, kann sich die Schadsoftware in der VM in einen Ruhezustand versetzen oder sogar ihren Code verändern.

Ein Markenzeichen der Emotet-Malware ist ihre Fähigkeit, Zugangsdaten zu stehlen. Wenn Emotet auf einen Computer heruntergeladen wird, setzt die Malware oft zusätzliche Tools frei, darunter den Outlook-Scraper, der E-Mail-Adressen und sogar E-Mail-Threads stiehlt.

Zusammen ermöglichen sie es Hackern, Phishing-E-Mails als Antwort auf legitime E-Mail-Threads zu versenden. Beim Thread-Hijacking können Empfänger nicht erkennen, dass die E-Mail-Absender nicht die sind, die sie zu sein scheinen.

Auch PDFs sind noch im Umlauf, aber wir sehen derzeit eine große Anzahl passwortgeschützter .ZIP-Dateien, die Word-Dokumente mit bösartigen URLs und Makros enthalten. Etwa 1.000 erfasste Proben weisen Thread-Hijacking auf, darunter die unten stehende französische Probe, in der der Hacker auf einen E-Mail-Thread mit einem „dringenden Angebot“ antwortet:

Aktuelle Emotet-Aktivitäten und Techniken

Unten finden Sie ein weiteres Beispiel für Thread-Hijacking. In diesem englischen Beispiel kümmert sich der Hacker nicht um die Konversation, sondern antwortet mit einer .ZIP-Datei und einem Archiv-Passwort auf den Thread. Dieser Ansatz mag faul erscheinen, aber der durchschnittliche Benutzer ist bei einer E-Mail als direkte Antwort eventuell nicht so misstrauisch, insbesondere, wenn der Betreff oder der angebliche Absender wichtig ist:

Aktuelle Emotet-Aktivitäten und Techniken

Die meisten Proben, die von Vade Secure erfasst werden, stammen von gehackten Konten, darunter auch E-Mails der japanischen Emotet-Malware aus Vietnam, Indien, Brasilien, Deutschland und den USA. Das folgende Beispiel eines gekaperten Threads enthält typische Geschäftskorrespondenz. Sie ist jedoch allgemein gehalten und enthält keine Einzelheiten oder Insider-Wissen über das Ziel, was darauf hinweist, dass der Hacker wenig – wenn überhaupt irgendetwas – darüber weiß:

Aktuelle Emotet-Aktivitäten und Techniken

Blockieren von Emotet-Malware

Emotet ist sicherlich einzigartig, aber es weist die gleichen Anomalien wie jede andere Malware auf. Vade Secure konzentriert sich aus diesem Grund auf die Analyse des Verhaltens von E-Mails und Anhängen. Wir verwenden heuristische Regeln, die täglich von unserem SOC aktualisiert werden. Wenn neue Informationen auftauchen, entweder aus dem Filter oder aus unserer Feedback-Schleife, werden neue Regeln erstellt.

Vade Secure analysiert E-Mails und parst URLs und Dateien in Echtzeit, einschließlich Zip-Dateien, Word-Dokumente und PDFs. Wir suchen auch nach Signaturen, aber aufgrund der sich ständig ändernden Natur von Viren wie Emotet ist die Verhaltensanalyse die wirkungsvollste Methode zur Malware-Erkennung.

Ein Word-Dokument mit bösartigen Makros weist zum Beispiel möglicherweise keine erkennbare Malware-Signatur auf, enthält jedoch Anomalien, die wir erkennen können. Dasselbe gilt für PDFs. Beispiele für häufig auftretende Anomalien sind ausführbare Dateien und die übermäßige Verwendung von Sonderzeichen. Nichtlateinische Buchstaben, wie z. B. chinesische oder kyrillische (russische), sind ebenfalls nicht normal und in den meisten Szenarien höchst verdächtig.

Code-Verschleierung, auch wenn sie gut gemacht ist, offenbart sich auch durch Anomalien, darunter nutzloser Code, der auch als „Rauschen“ oder „toter Code“ bekannt ist. Der Vade-Bedrohungsanalyst Thomas Gendron schrieb eine umfassende Malware-Analyse, die aufzeigt, wie ein Emotet-Hacker den Code verschleiert, um einen Powershell-Befehl in einem Word-Makro zu verstecken – bei den neusten Angriffen eine beliebte Technik. Hier lesen Sie die vollständige Analyse.

Unter anderem passwortgeschützte Dateien, die bösartige Dokumente enthalten, sind für die meisten Filter am schwierigsten zu blockieren. Obwohl wir den Inhalt von kennwortgeschützten .ZIP-Dateien nicht scannen können, können wir die Liste der in diesen Dateien enthaltenen Dokumente sehen, und das liefert Anhaltspunkte.

Wir haben heuristische Regeln für .ZIP-Dateien im Allgemeinen, aber auch speziell für Emotet, die auf dem Verhalten von Emotet basieren, einschließlich der Dateikomprimierungstechnik, der Namen von Datei und Archiv sowie Länge und Format des Passworts. Unsere heuristischen Regeln für diese und andere Indikatoren identifizieren und blockieren Emotet-Angriffe konsequent.

Insgesamt verwendet Vade Secure 10.000 heuristische Regeln, um Malware, Phishing, Spear-Phishing und Spam zu identifizieren. Zusätzlich dazu überwacht das Vade Secure-SOC bekannte IPs und URLs, die von Emotet verwendet werden, und fügt sie täglich zum Filter hinzu. Mit diesem verhaltensorientierten Ansatz haben wir die Möglichkeit, Malware zu blockieren, ohne die Payload zu kennen – in einigen Fällen sogar, ohne die Datei analysieren zu müssen.

Um den Benutzern von Vade Secure for Microsoft 365 einen besseren Überblick über die Emotet-Bedrohungen gegen ihre Unternehmen und Kunden bereitzustellen, hat Vade Secure unter der Funktion „Aktuelle Ereignisse“ einen speziellen Filter für Emotet erstellt. Jede E-Mail, die von Vade Secure anhand von heuristischen Regeln entweder als Emotet klassifiziert wurde oder mit einer bekannten Emotet-URL oder -IP verbunden ist, kann unter „Aktuelle Ereignisse“ identifiziert werden.

Blockieren von Emotet-Malware

MSP-Kunden können sich mit dieser Funktion beruhigt darauf verlassen, dass ihr MSP proaktiv auf Emotet reagiert und die Bedrohungen bekämpft werden.

Erfahren Sie mehr über die Anti-Malware- und Anti-Ransomware-Lösung von Vade Secure.