Anzeige
SECURITY28. Juni 2022

Emotet: Botnet kehrt mit voller Wucht zurück

Totgesagte leben länger: Das gilt auch für Emotet. Einst ein einfacher Banking-Trojaner, später dann eine wahrhaftige “Crime-as-a-Service” Plattform, kehrt die Malware jetzt laut dem ESET Threat Report 2022 mit voller Wucht zurück. Doch es gibt Gegenwehr: Microsoft verschärft die Sicherheit von Makros. Wird Emotet auch das überleben?

Emotet
Welivesecurity
Eine der wichtigsten Erkenntnisse des Reports sei, dass das Emotet-Botnet wie Phönix aus der Asche auferstanden ist. Im März und April 2022 tauchten riesige Mengen an Spam auf. In den ersten vier Monaten in 2022 seien es im Vergleich zu den letzten vier Monaten in 2021 um das Hundertfache mehr gewesen.

Da Microsoft die Standardverarbeitung von Dateien mit Makros verschärft hat, wird es nicht mehr lange möglich sein, Empfänger dazu zu bringen, auf „Inhalt aktivieren“ zu klicken. Doch die Annahme, dass damit die Bedrohung nun in Vergessenheit geraten wird, könne sich laut Rene Holt, Welivesecurity (Website), als Trugschluss erweisen, denn die Betreiber von Emotet seien nicht dafür bekannt, leicht aufzugeben.

Emotet – eine Makroansicht

Emotet wurde erstmals im Juni 2014 als Banking-Trojaner entdeckt und entwickelte sich seitdem rasant zu einer „Crime-as-a-service“ Plattform, die Zugänge zu kompromittierten Systemen an andere kriminelle Gruppen verkauft. Sobald Emotet auf einem Computer läuft, lädt er in der Regel andere Arten von Malware wie Dridex, Gootkit, IcedId, Nymaim, Qbot, TrickBot, Ursnif und Zbot herunter und führt sie aus. Emotet habe einen modularen Programmaufbau mit einem Hauptmodul, das über umfangreiche Spam-Kampagnen verbreitet wird. Diese enthalten E-Mails mit bösartigen Microsoft Word-Dokumenten. Emotet verwendet dann zusätzliche Module, um:

  • sich weiter zu verbreiten, indem es Spam-E-Mails zusammenstellt und verschickt
  • sich in nahegelegenen, unsicheren WLAN-Netzwerken zu verbreiten, indem er daran gekoppelte Benutzer kompromittiert
  • Brute-Force-Angriffe auf Netzwerke auszuführen und dadurch Benutzernamen und Kennwörter zu stehlen
  • kompromittierte Systeme in Proxys innerhalb seiner Befehls- und Kontrollinfrastruktur zu verwandeln
  • legitime Nirsoft-Anwendungen wie MailPassView und WebBrowserView zu missbrauchen, die Passwörter von gängigen E-Mail-Clients bzw. Webbrowsern wiederherstellen können
  • E-Mail-Adressen und Namen aus der Microsoft Outlook-Instanz des angegriffenen Systems zu stehlen
  • alle E-Mail-Nachrichten und -Anhänge von den kompromittierten Systemen abzuweigen
Welivesecurity
Im Jahr 2018 habe Emotet eine effektive Technik wiederbelebt – E-Mail-Thread-Hijacking – um die Chance zu erhöhen, dass ein potenzielles Opfer die E-Mail-Anhänge öffnet. Die Malware fing an, E-Mails zu stehlen, die sie in den Posteingängen kompromittierter Systeme fand. Danach verwendete Emotet sie in seinen Spam-Kampagnen wieder. So war es leicht möglich, eine schädliche E-Mail legitim aussehen zu lassen: Sobald das Opfer das mit Makros versehene Word-Dokument aus dem ZIP-Archiv extrahiert, es öffnet und dann auf „Inhalt aktivieren“ klickt, werden die infizierten Anhänge ausgeführt.

Als Reaktion schaffte Microsoft am 30. Februar 2022 kurzerhand die Schaltfläche „Inhalt aktivieren“ ab. Doch die Entwickler der Malware hätten diese Änderung längst zur Kenntnis genommen: Sie experimentieren laut Welivesecurity nun mit verschiedenen Techniken, um sich von den Makros als „Initialzünder“ zu lösen, und Emotet so unter die Leute zu bringen.

Emotet verlagert Techniken

Zwischen dem 26. April und dem 2. Mai 2022 entdeckten die ESET-Forscher eine Testkampagne der Emotet-Betreiber, bei der sie das typische Microsoft Word-Dokument durch eine Verknüpfungsdatei (LNK) als bösartiger Anhang ersetzte. Per Doppelklick könne die Verknüpfungsdatei eine Zielressource starten, in diesem Fall ein PowerShell-Skript, das Emotet herunterlädt und ausführt.

Emotet
Welivesecurity
In einer anderen Testkampagne zwischen dem 4. und 19. April lockten die Kriminellen ihre Opfer mit einem ZIP-Archiv, das auf OneDrive gespeichert war. Dieses enthielt Microsoft Excel Add-in (XLL)-Dateien, mit denen sich benutzerdefinierte Funktionen zu Excel hinzufügen lassen. Wenn diese Dateien extrahiert und heruntergeladen wurden, führten sie Emotet aus.

Eindämmung von Makro-Malware

Welivesecurity

Das Versenden von Dokumenten per E-Mail, die Makros enthalten, ist in Unternehmensumgebungen weit verbreitet. Wenn diese Makros allerdings infiziert sind, könne darüber Malware schnell verbreitet werden. Microsoft hat diesen potenziellen Missbrauch von Makros erkannt. Und Versuche, Nutzer vor Malware zu schützen, gibt es schon seit der Blütezeit von Word 97. Damals gab es die erste integrierte Sicherheitsfunktion in Word, die die Ausführung von Visual Basic for Applications (VBA)-Makros blockiert. Und doch haben Hacker wie die Betreiber von Emotet ihre Bemühungen stets angepasst und immer wieder einen Weg gefunden, ihre Malware an den Mann zu bringen.

Das ist auch im Jahr 2022 nicht anders. Seit April verschärft Microsoft die Standardverarbeitung von makrofähigen Dateien schrittweise. Nach Einführung der Änderungen könnten Makros nach wie vor nicht mehr ausgeführt werden. Um sie ausführen zu können, müssen also entweder die Daten über die Dateizone – manchmal auch als „Mark of the Web“ bezeichnet – entfernt werden. Oder die Datei muss aus einer Zone stammen, die vertrauenswürdiger ist als das Internet. Mit diesen weitaus komplexeren Schritten sollen Empfänger sensibilisiert und künftige Spam-Kampagnen möglichst unterbunden werden.

Mark-of-WebWelivesecurity
Der durch diese Änderung erhöhte Sicherheitsvorteil sei aber nur so stark wie das „Mark of the Web“. Dabei handelt es sich um den Kommentar, der zu HTML-Dateien (sowie MHT- und XML-Dateien) hinzugefügt wird und deren Host-URL angibt.

Missbrauch von alternativen Datenströmen

Eine NTFS-Datei kann eine beliebige Anzahl von Datenströmen enthalten. Das bedeute, dass diese für böswillige Zwecke genutzt werden können und auch schon genutzt wurden. Die Betreiber der Winnti-Gruppe beispielsweise speicherten eine schädliche, verschlüsselte Payload in einem Stream, den sie NULL.DAT. nannten. Nach der Entschlüsselung war die Payload entweder die PortReuse-Backdoor oder die ShadowPad-Malware.

Als die Turla-Betreiber 2016 die Gazer-Backdoor gegen Botschaften und Konsulate auf der ganzen Welt einsetzten, versteckte die Backdoor ihre Dateien in Streams und verwendete GUIDs als Stream-Namen, wenn sie sie nicht in der Windows-Registrierung speichern konnte.

Guildma verwendete auch Streams als eine Methode, um seine Binärmodule zu verstecken und speicherte mehrere Dateien in den Streams einer einzigen Datei. Gezielt speicherte Guildma alle seine bösartigen Module einschließlich einiger Tools von Nirsoft zum Extrahieren gespeicherter Anmeldeinformationen aus gängigen E-Mail-Clients und Webbrowsern als Streams der Datei desktop.ini:

  • ini:nauwuygiaa.jpg (MailPassView)
  • ini:nauwuygiab.jpg (BrowserPassView)…

Auch für Angriffe auf Air-Gap-Netzwerke haben Bedrohungsakteure Streams verwendet, um schädliche Komponenten in sonst harmlos aussehenden Dateien auf USB-Laufwerken zu verstecken. Die Streams könnten gestohlene Daten sowie Befehls- und Steuerungsanweisungen der kriminellen Betreiber enthalten. Angesichts dessen, dass Air-Gap-Netzwerke keine Internetverbindungen haben, ist es für die Sicherheit dieser Netzwerke von entscheidender Bedeutung, die Verwendung von USB-Geräten und anderen tragbaren Speichermedien zu unterbinden, die in und aus diesen Netzwerken eingesetzt werden.

Einige Schadprogramme wie GoBotKR können den Zone.Identifier-Stream aus Dateien entfernen, um zu verschleiern, dass sie aus der Internetzone heruntergeladen wurden. Dadurch wird jeder Schutz umgangen, der sich ausschließlich auf das Mark of the Web stützt, um festzulegen, wann die Ausführung von Makros blockiert werden soll.

Schließlich haben Spammer wie die Emotet-Entwickler einen Social-Engineering-Ansatz gewählt. So versuchen sie, die Empfänger dazu zu bringen, Makros zu aktivieren, anstatt den Zone.Identifier Stream zu entfernen oder nutzen Streams, um die Payload zu tarnen – bis jetzt.

Sicherheitsfazit

Es gilt zu beachten, dass manche Software den Zone.Identifier-Stream nicht hinzufügt oder weitergibt, zumindest nicht konstant. Wer beispielsweise 7-Zip verwendet, um eine .exe-Datei aus einem aus dem Internet heruntergeladenen Archiv zu extrahieren, wird der Zone.Identifier des Archivs nicht an dessen Inhalt weitergegeben. Das heißt, es gibt kein Mark of the Web, das Sicherheitssperren oder Warnungen auslöst, wenn eine der extrahierten Dateien ausgeführt wird. Der Zone.Identifier wird allerdings durch einen Doppelklick auf die .exe-Datei innerhalb des Archivs weitergegeben.

Angesichts dessen, dass die Schaltfläche „Inhalte aktivieren“ entfernt wurde, wurde bei GitHub eine praktische Liste erstellt, die zeigt, ob Dateiarchivierungsprogramme das Mark of the Web unterstützen (mehr hier).

Für Unternehmen, die Makros als Teil der Arbeitsabläufe ihrer Mitarbeiter verwenden, müssen IT-Administratoren möglicherweise die Richtlinien für den Umgang mit Makros in Office anpassen. Darüber hinaus sollten Unternehmen diese Gelegenheit nutzen, um ihre Sicherheitsmaßnahmen gegen Bedrohungen zu prüfen, die sich über E-Mails verbreiten. Hier einige Tipps:

  • Verwenden einer E-Mail-Sicherheitslösung, die Phishing-, Spam- und andere bösartige E-Mails daran hindert, in den Posteingang zu gelangen.
  • Durchführung einer Phishing-Simulationsübung, um das Sicherheitsbewusstsein der Mitarbeiter zu testen und zu schärfen.
  • Einsatz einer Endpoint Detection & Response-Lösung erwägen. Damit lasse sich erkennen, ob der Cyberangriff auf Ihr Netzwerk durch eine infizierte E-Mail oder einen anderen Vektor verursacht wurde.

Letztendlich habe das bevorstehende Ende der Schaltfläche „Inhalte aktivieren“  zwei Auswirkungen. Erstens könnten die Benutzer einen besseren Schutz vor bösartigen Makros erwarten, die per E-Mail zugestellt werden. Zweitens, dass Spammer wie Emotet ihre bevorzugten Taktiken anpassen, um ihre Opfer weiterhin zu täuschen. Sollte sich eines der Experimente als erfolgreich erweisen, ist mit neuen Malware-Kampagnen in den Posteingängen zu rechnen.ft

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert