Ena najbolj nevarnih in zloglasnih groženj se spet vrača. Januarja 2021 so globalni uradniki odstranili botnet. Organi pregona so poslali uničujočo posodobitev izvršljivih datotek Emotet. In videti je bilo kot konec trojanske zgodbe.
Toda zlonamerna programska oprema ni prenehala presenečati.
Novembra 2021 so poročali, da TrickBot ne deluje več sam in ne dostavlja Emoteta. In ANY.RUN je bil s kolegi v industriji med prvimi, ki so opazili pojav zlonamernih dokumentov Emotet.
 |
| Prvi zlonamerni dokumenti Emotet |
In letos februarja lahko opazimo zelo aktiven val s prevaranti, ki izvajajo številne napade, in so dosegli vrh lestvice. Če vas ta tema zanima ali raziskujete zlonamerno programsko opremo, lahko uporabite posebno pomoč VSE.TECI, interaktivni peskovnik za odkrivanje in analizo kibernetskih groženj.
Poglejmo si spremembe nove različice, ki jih je tokrat prinesla ta moteča zlonamerna programska oprema.
Zgodovina Emoteta
Emotet je prefinjen modularni botnet, ki se nenehno spreminja. Leta 2014 je bila zlonamerna programska oprema le nepomembni bančni trojanec. Od takrat je pridobil različne funkcije, module in kampanje:
- 2014. Moduli za prenos denarja, vsiljeno pošto, DDoS in krajo imenika.
- 2015. Funkcionalnost izogibanja.
- 2016. Neželena pošta, RIG 4.0 exploit kit, dostava drugih trojancev.
- 2017. Modul za razširjanje in krajo imenika.
Polimorfna narava in številni moduli omogočajo Emotetu, da se izogne odkrivanju. Ekipa, ki stoji za zlonamerno programsko opremo, nenehno spreminja svoje taktike, tehnike in postopke, da bi obstoječa pravila odkrivanja naredila neuporabna. Prenese dodatne koristne obremenitve s številnimi koraki, da ostane v okuženem sistemu. Zaradi njegovega vedenja se je zlonamerne programske opreme skoraj nemogoče znebiti. Hitro se širi, ustvarja napačne indikatorje in se prilagaja potrebam napadalcev.
In 14. novembra 2021 se je Emotet ponovno rodil z novo različico.
Zakaj se je Emotet ponovno rodil?
Ves čas Zgodovina Emoteta, dobil je več prelomov. Toda po globalnih policijskih operacijah januarja 2021 smo bili pripravljeni, da bo za vedno izginilo. Skupna kazen je aretirala več članov tolpe, prevzela strežnike in uničila varnostne kopije.
Kljub temu se je botnet vrnil še bolj robusten. Spreten je pri tehnikah utaje in uporablja več načinov za ogrožanje omrežij, zaradi česar je enako nevaren kot nekoč.
Zasledili so, da je Trickbot poskušal prenesti dinamično povezovalno knjižnico (DLL) v sistem. Izkazalo se je, da so DLL-ji Emotet, kasneje pa so raziskovalci potrdili dejstvo.
Leta 2021 po vrnitvi je Emotet vodil med 3 najboljšimi nalaganji v peskovniku ANY.RUN. Tudi po tako dolgem premoru je še vedno postal priljubljen. Vse statistike na Emotetni trendi so na voljo v Malware Trends Trackerju, številke pa temeljijo na javnih predložitvah.
 |
| Najbolj naložena zlonamerna programska oprema v zadnjem tednu |
Ni čudno, da zdaj, ko je njegovo delovanje spet v tirnicah. Baza podatkov RUN dobi skoraj 3 tisoč zlonamernih vzorcev na teden. In postaja jasno, da se morate kadar koli pripraviti na to vrsto napada.
Katere nove funkcije je pridobil Emotet?
Trojanec je že resna grožnja vsakemu podjetju. Če poznate vse posodobitve zlonamerne programske opreme, se lahko izognete takšni grožnji in ste previdni. Raziščimo, katere funkcije prinaša nova različica in v čem se razlikuje od prejšnjih.
Predloge
Kampanje Emotet se začnejo z neželeno e-pošto, ki vsebuje zlonamerne dokumente Office (dokumenti Microsoft Office z orožjem) ali hiperpovezave, priložene lažnemu e-poštnemu sporočilu, ki je široko razširjeno in žrtve zvabi k odpiranju zlonamernih priponk. Dokument Microsoft Office z orožjem ima kodo VBA in makro AutoOpen za njegovo izvedbo. Skupina Emotet zvabi svoje žrtve, da omogočijo makre, in to je edina uporabniška interakcija, ki je potrebna za začetek napada. Ta uporabniška interakcija omogoča izogibanje testom in preverjanjem peskovnikov.
Emotet distribuira z uporabo zlonamernih e-poštnih kampanj, ki so običajno sestavljene iz Officeovih dokumentov. In zlonamerna programska oprema postane zelo ustvarjalna s predlogami svojih maldocs. Botneti jih nenehno spreminjajo: posnemajo posodobitve programov, sporočila, datoteke. In vsebina vdela zakriti makro VBA in ustvari različne izvedbene verige. Avtorji zlonamerne programske opreme zavedejo uporabnike, da omogočijo makre za začetek napada.
In nova različica ima tudi preobrat. Poleti 2020 je Emotet uporabil dokument s sporočilom Office 365. Slika je ostala nespremenjena, vendar je prešla v format XLS. Tudi v tej novi različici je bil prvič uporabljen čas v šestnajstiški in osmiški obliki za predstavitev naslova IP, s katerega je bila prenesena druga stopnja. Kasnejša tehnika je bila spet spremenjena in prevaranti ne uporabljajo HEX kodiranega IP-ja za prenos tovora.
 |
| Emotet šablone februarja |
Nove tehnike
Emotet kot polimorfno bitje z doseganjem novih tehnik dviguje lestvico. Najnovejša različica zlonamerne programske opreme je prinesla nekaj manjših sprememb v taktiki: ponovno uporablja MSHTA. Na splošno Macro 4.0 uporablja Excel za zagon bodisi CMD, Wscript ali Powershell, ki zažene drug proces, kot je MSHTA ali zgoraj omenjeni, ki prenese glavni tovor in ga zažene rundll32.
Botnet si prizadeva prikriti zlonamerne nize in vsebino, kot so URL-ji, IP-ji, ukazi ali celo lupinske kode. Toda včasih lahko seznam URL-jev in IP-jev pridobite iz skripta datoteke. Zagotovo ga lahko najdete sami v KATERIKOLI. RUN-ovo Static Discovering – samo poskusite!
 |
| Seznam URL-jev iz Emotetove lažne datoteke PNG |
Tovariši
Vemo, da Emotet običajno odstrani drugo zlonamerno programsko opremo, da poslabša okužbo. Novembra je bilo ugotovljeno, da je botnet na ogrožene gostitelje dostavil bančnega trojanca Trickbot.
Trenutno lahko opazimo, da Emotet deluje s Cobalt Strike. To je ogrodje C2, ki ga uporabljajo tudi preizkuševalci penetracije in kriminalci. Če imate Cobalt Strike v scenariju, se čas med začetno okužbo in napadom izsiljevalske programske opreme znatno skrajša.
 |
| Seznam IOC Cobalt Strike zaradi okužbe z Emotetom |
Procesno drevo
Nekaj sprememb je bila deležna tudi izvedbena veriga. V večini primerov lahko opazimo podrejeni proces CMD, PowerShell in Rundll32, različni vzorci pa dokazujejo, da avtorji raje mešajo procese in nenehno spreminjajo njihov vrstni red. Glavni cilj za njim je preprečiti odkrivanje z nabori pravil, ki identificirajo grožnjo podrejenih procesov aplikacije.
 |
| Emotet procesno drevo |
Ukazna vrstica
Emotet je že zdavnaj prešel z datotek EXE na DLL, tako da je glavni tovor potekal pod Rundll32. Obilna uporaba Powershell in CMD ostaja nespremenjena:
 |
| Emotet ukazna vrstica |
Kako odkriti Emotet in se zaščititi pred njim?
Če potrebujete hiter in priročen način za pridobitev popolnih informacij o vzorcu Emotet - uporabite sodobna orodja. Interaktivni peskovnik ANY.RUN omogoča spremljanje procesov v realnem času in takojšnje prejemanje vseh potrebnih podatkov.
Nabori pravil Suricata uspešno prepoznajo različne zlonamerne programe, vključno z Emotetom. Poleg tega s funkcijo Fake net za razkrivanje povezav C2 zlonamernega vzorca. Ta funkcija pomaga tudi pri zbiranju IOC zlonamerne programske opreme.
Vzorci Emotet prihajajo in gredo in težko jim je slediti. Zato vam svetujemo, da preverite sveže vzorce, ki se dnevno posodabljajo v našem javne prispevke.
Emotet se je izkazal za zver med najnevarnejšimi kibernetskimi grožnjami v naravi. Zlonamerna programska oprema izboljša svojo funkcionalnost in deluje tako, da se izogne zaznavanju. Zato se je nujno zanesti na učinkovita orodja, kot je VSE.TECI.
Uživajte v lovu na zlonamerno programsko opremo!
