Emotet powraca – Blogi Cisco

Kobieta Technologia

Poniższy tekst jest wspólnym dziełem Marii Jose Erquiagi, Onura Erdogana i Adeli Jezkovej z zespołu Cisco Cognitive

Emotet (znany również jako Geodo i Heodo) jest trojanem bankowym, ale jest również modularnym złośliwym oprogramowaniem, które może być wykorzystywane do pobierania innych złośliwych programów, takich jak Trickbot i IcedID [8, 9, 13]. Emotet został po raz pierwszy zaobserwowany w 2014 roku [9]. W styczniu 2021 roku, dzięki połączonym wysiłkom Interpolu i Eurojustu, Emotet został usunięty [12]. Emotet pojawił się jednak ponownie w listopadzie 2021 r., a od 2022 r. wykazuje większą aktywność [6, 7].

Mimo że Emotet narodził się jako trojan bankowy, z czasem ewoluował i stał się wysoce modularnym zagrożeniem. Ewolucja ta dała adwersarzom narzędzie do różnych celów. Emotet może być wykorzystywany jako początkowy ładunek i pozostawać nieaktywny przez dłuższy czas, dopóki przeciwnicy nie zdecydują się go wykorzystać [10]. Ta cecha Emoteta daje przeciwnikom elastyczność w przeprowadzaniu wieloetapowego procesu infekcji. Oznacza to, że Emotet może działać jako trojan bankowy, ale zaobserwowano również, że w zainfekowanych systemach może zrzucać dodatkowe złośliwe oprogramowanie [1]. Emotet ma możliwość gromadzenia informacji o zainfekowanych systemach, dzięki czemu przeciwnicy mogą ocenić wartość aktywów [14, 15]. Niektóre analizy pokazują, że Emotet może zrzucać CobaltStrike, który następnie zrzuca ransomware [11]. Na przykład, jednym z programów ransomware zrzucanych przez Emotet jest Ryuk [9].

W ciągu ostatnich kilku miesięcy złośliwe oprogramowanie Emotet zostało zaobserwowane w środowisku naturalnym, a jego wykrywalność znacznie wzrosła [1]. Mimo że ponowne pojawienie się Emoteta nastąpiło w (prawie) tym samym czasie, co odkrycie luki w Log4J, nie ma wystarczających dowodów na to, że te dwie rzeczy są ze sobą powiązane. Jednak CobaltStrike, o którym wiadomo, że jest powiązany z Emotetem, wykorzystywał lukę w Log4J [4].

Ponowne pojawienie się Emoteta zmotywowało nas do przeprowadzenia głębszych badań i podjęcia wysiłku w celu zaktualizowania zdolności wykrywania dla klientów Global Threat Alerts. Dzięki temu klienci Cisco Secure Network Analytics i Secure Endpoint korzystający z GTA mają teraz lepszy dostęp do informacji o zagrożeniach.

W tym blogu podsumowujemy zagrożenie Emotet, jego cykl życia oraz typowe wzorce wykrywalności. W drugiej części bloga pokażemy, jak wykorzystać GTA do wykrywania Emotet.

Podsumowanie charakterystyki

Emoteta

  • Modułowy trojan bankowy
  • Downloader/Dropper
  • Polimorficzny – może omijać wykrywanie oparte na sygnaturach
  • Zorientowany na maszyny wirtualne

Zachowanie Em

oteta

Przepływ ataku został szczegółowo przedstawiony na Rysunku 1. Zgodnie z analizą przedstawioną przez Brada Duncana [2], wektorem ataku wydaje się być phishing, poprzez wiadomość e-mail z załączonym plikiem (1). Plik zawarty w wiadomości phishingowej jest dokumentem pakietu Office (2). Po otwarciu przez ofiarę pliku dokumentu Office i włączeniu makr (3), na jej urządzenie pobierany jest plik DLL Emotet (4). Po pobraniu plik DLL jest uruchamiany (5) i generuje połączenie z systemem kontroli i dowodzenia Emotet (6) [5, 7].

Rysunek 1. Przepływ ataku Emotet

Dołączone pliki i wykonanie PowerShell

Po otwarciu i uruchomieniu przez ofiarę zainfekowanych plików oraz włączeniu makr (głównie z rozszerzeniami docx lub xml), wykonywane jest polecenie w celu uzyskania i wykonania aplikacji HTML. Wzór adresu URL obserwowany dla tego kroku jest następujący:

hxxp://{adres IP}/[yy]/[y].{html|png}

Gdzie „yy” to zwykle dwa znaki alfabetu.

Na przykład, jeden z adresów URL znalezionych w środowisku naturalnym:

hxxp

://91.2

40.118[.]172/hh/hello.png

Następnie, pobiera ładunek PowerShell, po czym prowadzi do pobrania binarnego pliku Emotet, który jest plikiem dll z dowolnego z podanych adresów URL zawartych w opisanym powyżej adresie URL. Format w tym przypadku może być różny, niektóre z adresów URL wyglądają następująco:

http://ttisecurity[.]com/cgi/7RFeiqkgymCs/

Gdzie regex to:
.*/(gci/){0,1}[a-z0-9_]{3,20}$

Innym wzorcem związanym z Emotetem był

.*/(wp-admin/){0,1}[a-z0-9_]{3,20}$

Podczas pobierania ładunku Emotet wzorcem agenta użytkownika była Mozilla/5.0 (Windows NT; Windows NT %; en-US) WindowsPowerShell/5.1.%

Wykonanie DLL i Emotet C2

Gdy pliki DLL znajdą się w zainfekowanym systemie, pobiera plik PE, a następnie nawiązuje komunikację ze swoim systemem Command and Control, używając protokołów HTTP lub HTTPS na portach 80, 8080 i 443 [2]. Mimo że niektórzy badacze twierdzą, że nie ma związku między podatnością Log4J a Emotetem, istnieją pewne wspólne zachowania, takie jak wykorzystywanie tych samych adresów IP do celów C2. Na przykład, te adresy IP są związane zarówno z Emotetem, jak i Log4j

:

  • 250.21[.]2 i 116.124.128[.]206 założonych w [4]
  • 94.252[.]3
  • 31.163[.]17
  • 178.186[.]134
  • 79.205[.]117

Wykrycie Emotet za pomocą Global Threat Al

erts

GTA (Global Threat Alerts) wykrywa Em

otet

jako zagrożenie wysokiego ryzyka. Opis zagrożenia zawiera kod oprogramowania MITRE oraz techniki wykorzystywane przez Emotet.

Rysunek 2. Szczegółowy opis Emoteta w GTA

Szczegółowy

opis zagrożenia

(patrz Rysunek 3)

zawiera również dodatkowe informacje dotyczące plików, które mogły zostać zmodyfikowane, usunięte lub utworzone przez konkretne zagrożenie. Informacje te są wzbogacone o analizę próbek Emotet w Cisco Threat Grid [16]. Podawane są wzorce plików, które mogły zostać zmodyfikowane przez Emotet, prawdopodobieństwo zachowania złośliwego oprogramowania oraz poziom dotkliwości dla każdego ze zdarzeń. Te dodatkowe informacje pomagają administratorom sieci i zespołom ds. bezpieczeństwa w ograniczaniu zagrożeń nie tylko w sieci, ale także w urządzeniach. Rysunek 3. Informacje dotyczące zachowania systemu Emotet w punktach końcowych, na podstawie próbek z systemu Emotet. Obejmują prawdopodobieństwo wystąpienia zdarzenia oraz poziom dotkliwości.

Rysunki 4, 5 i 6 przedstawiają różne szczegóły dotyczące zasobów z alertów Emotet. Można tam zaobserwować ruch z zainfekowanego urządzenia do złośliwych adresów IP, hostów i domen, o których wiadomo, że są powiązane z Emotetem. W pierwszym przypadku, atak nawiązał komunikację z hostami o nazwach 201.213.32[.]59, 45.55.82[.]2 oraz 89.32.150[.]160 (Rysunek 4). W drugim przykładzie aktywo komunikowało się z nazwami hostów robertmchilespe[.]com i vbaint[.]com (rysunek 5). W trzecim przykładzie wykrycie wykryło komunikację z domeną 104.131.148[.]38 (Rysunek 6).

Rysunek 4. Komunikacja z zasobu do nazw hostów 201.213.32[.]59, 45.55.82[.]2 oraz 89.32.150[.]160 związanych z Emotet Rysunek 5. Komunikacja z zasobu do nazw hostów robertmchilespe[.]com i vbaint[.]com, związanych z Emotet Rysunek 6. Komunikacja z zasobu do domeny 104.131.148[.]38, związana z Emotetem

Aby sprawdzić, czy Emotet został wykryty w Twoim środowisku, kliknij przycisk Szczegóły zagrożenia Emotet.

Łagodzenie

skutków działania programu Emotet

Aby zapobiec działaniu programu Emotet, zalecamy podjęcie następujących działań

:

  • Blokowanie wiadomości e-mail zawierających podejrzane załączniki.
  • Skanuj podejrzane pliki przed ich otwarciem
  • Odizoluj zainfekowane urządzenia od reszty sieci, aby uniknąć rozprzestrzeniania się
  • W miarę możliwości ograniczyć korzystanie z PowerShell i narzędzi zdalnych
  • Zresetować wszystkie hasła użytkowników w zainfekowanych urządzeniach
  • Rozważyć zastosowanie 2FA (np. Cisco DUO).

Wnioski

Przeprowadziliśmy badania w celu znalezienia nie tylko nowych IOC (IP, domen i próbek), ale również wzorców adresów URL związanych z nową falą Emotet, aby nasi klienci byli na bieżąco z najnowszymi zmianami zagrożeń. Przetworzone IOC są również wykorzystywane przez algorytmy uczenia maszynowego GTA, które pomagają w dalszym wzbogacaniu wyników wykrywania. Użytkownicy GTA Secure Endpoint i Secure Network Analytics mogą wykrywać Emotet w swoich systemach, wykonywać działania zaradcze i być bezpieczni przed ewolucją tego zagrożenia.

Referencje

  1. Powrót z martwych: Emotet pojawia się ponownie, rozpoczyna odbudowę, aby zakończyć 2021 r. Raport Talos, listopad 2021.
  2. Powrót Emoteta. Opublikowano: 2021-11-16. Brad Duncan
  3. Jak reagować na Apache Log4j za pomocą Cisco Secure Analytics. Robert Harris
  4. Lista Emotet epoch 5 IOCs, Brad Duncan. 2022
  5. Nowa metoda infekcji Emotet. Saqib Khanzada, Tyler Halfpop, Micah Yates i Brad Duncan. 15 lutego 2022 r.
  6. Reflektor zagrożeń cyberbezpieczeństwa: Emotet, RedLine Stealer i Magnat Backdoor. Autor: Artsiom Holub. 3 lutego 2022 r.
  7. Opis Emotet. Malpedia. Fraunhofer Institut. Niemcy
  8. Opis Emotet, Wikipedia
  9. Powrót z wakacji: Analiza działalności Emotet w 2020 roku. Listopad 2020. Cisco Talos. https://blog.talosintelligence.com/2020/11/emotet-2020.htmlhttps://blog.talosintelligence.com/2020/11/emotet-2020.htmlhttps://blog.talosintelligence.com/2020/11/emotet-2020.html
  10. Wykrywanie złośliwego oprogramowania Emotet za pomocą inteligencji poznawczej
  11. Corporate Loader „Emotet”: Historia powrotu projektu „X” dla oprogramowania Ransomware. Yelisey Boguslavskiy & Vitali Kremez. Grudzień 2021 r.
  12. Najgroźniejsze na świecie złośliwe oprogramowanie EMOTET unieszkodliwione dzięki globalnym działaniom. Styczeń 2021 r. Europol
  13. Opis oprogramowania Emotet. MITRE
  14. Komodytyzacja wieloetapowych ataków złośliwego oprogramowania. Chris Gerritz. DarkReading, lipiec 2019 r.
  15. Emotet rośnie powoli, ale stabilnie od czasu listopadowego odrodzenia. Bill Toulas. Bleeping computer. Marzec 2022 r.
  16. Cisco Secure Malware Analytics (Threat Grid)

Chętnie poznamy Twoje zdanie. Zadaj pytanie, skomentuj poniżej i pozostań w kontakcie z Cisco Secure w serwisie społecznościowym!

Kanały społecznościowe Cisco Secure

Instagram
Facebook
Twitter
LinkedIn

Udostępnij

:

Czytaj dalej: https://blogs.cisco.com/security/emotet-is-back

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.