Mitä Emotetille kuuluu? | WeLiveSecurity

Emotet on vuodesta 2014 lähtien toiminut haittaohjelmaperhe, jota operoi Mealybug tai TA542 -niminen tietoverkkorikollisuusryhmä. Vaikka se alkoi pankkitroijalaisena, se kehittyi myöhemmin bottiverkoksi, josta tuli yksi yleisimmistä uhista maailmanlaajuisesti. Emotet leviää roskapostisähköpostien kautta; se voi suodattaa tietoja ja toimittaa kolmannen osapuolen haittaohjelmia vaarantuneille tietokoneille. Emotet-operaattorit eivät ole kovin nirsoja kohteidensa suhteen, asentaen haittaohjelmiaan niin yksityishenkilöiden kuin yritysten ja isompien organisaatioiden järjestelmiin.

Tammikuussa 2021 Emotet oli kohteena a takedown Eurojustin ja Europolin koordinoiman kahdeksan maan kansainvälisen yhteistyön tuloksena. Tästä operaatiosta huolimatta Emotet heräsi henkiin marraskuussa 2021.

Kuva 1. Aikajana mielenkiintoisista Emotetin tapahtumista sen paluun jälkeen

Roskapostikampanjat

Vuoden 2021 lopulla tapahtuneen paluun ja useiden roskapostikampanjoiden jälkeen vuoden 2022 alku jatkui näillä trendeillä ja rekisteröidyimme useita Emotet-operaattoreiden käynnistämiä roskapostikampanjoita. Tänä aikana Emotet levisi pääasiassa haitallisten Microsoft Word- ja Microsoft Excel -dokumenttien kautta, joissa oli upotettuja VBA-makroja.

Heinäkuussa 2022 Microsoft muutti pelin kaikille haittaohjelmaperheille, kuten Emotet ja Qbot – jotka olivat käyttäneet haitallisia dokumentteja sisältäviä phishing-sähköposteja levitysmenetelmänä – poistamalla VBA-makrot käytöstä Internetistä hankituissa asiakirjoissa. Tämä muutos oli ilmoitti Microsoftin vuoden alussa ja otettiin käyttöön alun perin huhtikuun alussa, mutta päivitys peruutettiin käyttäjien palautteen vuoksi. Lopullinen käyttöönotto tapahtui heinäkuun 2022 lopussa, ja kuten kuvasta 2 voidaan nähdä, päivitys johti Emotetin kompromissien huomattavaan vähenemiseen; emme havainneet merkittävää toimintaa kesällä 2022.

Kuva 2. Emoteettien tunnistustrendi, seitsemän päivän liukuva keskiarvo

Emotetin päähyökkäysvektorin poistaminen käytöstä sai sen operaattorit etsimään uusia tapoja vaarantaa kohteensa. Mealybug alkoi kokeilla haitallisten LNK- ja XLL-tiedostojen kanssa, mutta vuoden 2022 lopussa Emotet-operaattorit kamppailivat löytääkseen uuden hyökkäysvektorin, joka olisi yhtä tehokas kuin VBA-makrot. Vuonna 2023 he järjestivät kolme erottuvaa roskapostikampanjaa, joista jokainen testasi hieman erilaista tunkeutumistietä ja sosiaalisen suunnittelun tekniikkaa. Hyökkäysten kutistuminen ja jatkuvat muutokset lähestymistavassa voivat kuitenkin viitata tyytymättömyyteen tuloksiin.

Ensimmäinen näistä kolmesta kampanjasta tapahtui 8. maaliskuuta^th, 2023, kun Emotet-botnet alkoi jakaa Word-asiakirjoja, jotka on maskattu laskuiksi ja joissa oli upotettuja haitallisia VBA-makroja. Tämä oli melko outoa, koska Microsoft oli oletuksena poistanut VBA-makrot käytöstä, joten uhrit eivät voineet suorittaa upotettua haittakoodia.

Heidän toisessa kampanjassaan 13. maaliskuuta^th ja 18. maaliskuuta^th, hyökkääjät ilmeisesti myönsivät nämä puutteet, ja sen lisäksi, että he käyttivät vastausketjua, he myös siirtyivät VBA-makroista OneNote-tiedostoihin (ONE), joissa oli upotettu VBScript. Jos uhrit avasivat tiedoston, heitä tervehti suojattuna OneNote-sivulta näyttävä sivu, joka pyysi heitä napsauttamalla Näytä-painiketta nähdäkseen sisällön. Tämän graafisen elementin takana oli piilotettu VBScript, joka oli asetettu lataamaan Emotet DLL.

Huolimatta OneNote-varoituksesta, jonka mukaan tämä toiminto saattaa johtaa haitalliseen sisältöön, ihmiset yleensä napsauttavat samankaltaisia ​​kehotteita tottumuksestaan ​​ja voivat siten antaa hyökkääjien vaarantaa laitteitaan.

Viimeisin ESET-telemetriassa havaittu kampanja käynnistettiin 20. maaliskuuta^th, hyödyntäen tulevaa tuloveron eräpäivää Yhdysvalloissa. Bottiverkon lähettämät haitalliset sähköpostit teeskentelivät tulevan Yhdysvaltain verovirastolta (IRS) ja sisälsivät liitteenä olevan arkistotiedoston nimeltä W-9 form.zip. Mukana oleva ZIP-tiedosto sisälsi Word-asiakirjan, jossa oli upotettu haitallinen VBA-makro, joka aiotun uhrin täytyi luultavasti mahdollistaa. Tämän erityisesti Yhdysvaltoihin kohdistetun kampanjan lisäksi havaitsimme myös toisen samaan aikaan käynnissä olevan kampanjan, jossa käytettiin upotettuja VBScriptejä ja OneNote-lähestymistapaa.

Kuten kuvasta 3 voidaan nähdä, suurin osa ESETin havaitsemista hyökkäyksistä kohdistui Japaniin (43 %) ja Italiaan (13 %), vaikkakin näiden alueiden vahva ESETin käyttäjäkunta saattaa vääristää näitä lukuja. Kun nämä kaksi parasta maata on poistettu (keskittyäkseen muuhun maailmaan), kuvasta 4 voidaan nähdä, että myös muu maailma kärsi, Espanja (5 %) kolmannella sijalla ja Meksiko (5 %). %) ja Etelä-Afrikka (4 %).

Kuva 3. Emotetin tunnistukset tammi 2022 – kesäkuu 2023

Kuva 4. Emotetin tunnistukset tammikuu 2022 – kesäkuu 2023 (ei sisällä JP:tä ja IT:tä)

Parannettu suojaus ja hämärtymiset

Uudelleen ilmestymisensä jälkeen Emotet sai useita päivityksiä. Ensimmäinen merkittävä ominaisuus on, että botnet vaihtoi salausmalliaan. Ennen purkamista Emotet käytti RSA:ta ensisijaisena epäsymmetrisenä mallina ja uudelleen ilmestymisen jälkeen botnet alkoi käyttää elliptisen käyrän salausta. Tällä hetkellä jokaisessa Downloader-moduulissa (kutsutaan myös päämoduuliksi) on kaksi upotettua julkista avainta. Toista käytetään elliptisen käyrän Diffie Hellman -avaimenvaihtoprotokollalle ja toista allekirjoituksen varmentamiseen – Digitaalinen allekirjoitusalgoritmi.

Sen lisäksi, että Emotet-haittaohjelmat on päivitetty 64-bittiseen arkkitehtuuriin, Mealybug on myös ottanut käyttöön useita uusia hämäriä moduulien suojaamiseksi. Ensimmäinen huomattava hämmennys on ohjausvirran tasoitus, joka voi merkittävästi hidastaa analysointia ja mielenkiintoisten koodin osien paikantamista Emotetin moduuleissa.

Mealybug myös toteutti ja paransi monien satunnaistustekniikoiden toteutusta, joista merkittävimmät ovat rakenteen jäsenten järjestyksen satunnaistaminen ja vakioita laskevien käskyjen satunnaistaminen (vakiot peitetään).

Vielä yksi mainitsemisen arvoinen päivitys tapahtui vuoden 2022 viimeisellä neljänneksellä, kun moduulit alkoivat käyttää ajastinjonoja. Niillä moduulien päätoiminto ja moduulien viestintäosa asetettiin takaisinsoittotoiminnoksi, jota useat säikeet kutsuvat ja kaikki tämä yhdistetään ohjausvirran tasoittamiseen, jossa tila-arvo, joka hallitsee mitä koodilohkoa on kutsuttava jaetaan säikeiden kesken. Tämä hämärtyminen muodostaa toisen esteen analyysissä ja tekee suoritusvirran seuraamisesta entistä vaikeampaa.

Uudet moduulit

Pysyäkseen kannattavana ja yleisinä haittaohjelmina Mealybug otti käyttöön useita uusia moduuleja, jotka näkyvät keltaisella kuvassa 5. Jotkut niistä luotiin suojamekanismiksi botnetille, toiset haittaohjelmien tehokkaampaa leviämistä varten ja viimeisenä mutta ei vähäisimpänä moduulina. joka varastaa tietoja, joita voidaan käyttää uhrin rahan varastamiseen.

Kuva 5. Emotetin yleisimmin käytetyt moduulit. Punainen oli olemassa ennen purkamista; keltainen ilmestyi paluun jälkeen

Thunderbird Email Stealer ja Thunderbird Contact Stealer

Emotet leviää roskapostisähköpostien kautta ja ihmiset usein luottavat niihin sähköposteihin, koska Emotet käyttää onnistuneesti sähköpostiketjun kaappaustekniikkaa. Ennen poistoa Emotet käytti moduuleja, joita kutsumme Outlook Contact Stealeriksi ja Outlook Email Stealeriksi ja jotka pystyivät varastamaan sähköpostit ja yhteystiedot Outlookista. Mutta koska kaikki eivät käytä Outlookia, Emotet keskittyi poiston jälkeen myös ilmaiseen vaihtoehtoiseen sähköpostisovellukseen – Thunderbirdiin.

Emotet voi ottaa käyttöön Thunderbird Email Stealer -moduulin vaarantuneeseen tietokoneeseen, joka (kuten nimestä voi päätellä) pystyy varastamaan sähköposteja. Moduuli etsii Thunderbird-tiedostoja, jotka sisältävät vastaanotettuja viestejä (MBOX-muodossa) ja varastaa tiedot useista kentistä, mukaan lukien viestin lähettäjä, vastaanottajat, aihe, päivämäärä ja sisältö. Kaikki varastetut tiedot lähetetään sitten C&C-palvelimelle jatkokäsittelyä varten.

Yhdessä Thunderbird Email Stealerin kanssa Emotet ottaa käyttöön myös Thunderbird Contact Stealer -sovelluksen, joka pystyy varastamaan yhteystiedot Thunderbirdistä. Tämä moduuli etsii myös Thunderbird-tiedostoja ja tällä kertaa sekä vastaanotettuja että lähetettyjä viestejä. Erona on, että tämä moduuli vain poimii tiedot Alkaen:, To:, CC: ja CC: kentät ja luo sisäisen kaavion siitä, kuka kommunikoi kenen kanssa, missä solmut ovat ihmisiä, ja kahden ihmisen välillä on reuna, jos he kommunikoivat keskenään. Seuraavassa vaiheessa moduuli tilaa varastetut yhteystiedot – alkaen eniten yhteydessä olevista ihmisistä – ja lähettää nämä tiedot C&C-palvelimelle.

Kaikkea tätä työtä täydentää kaksi lisämoduulia (jotka olivat olemassa jo ennen poistoa) - MailPassView Stealer -moduuli ja Spammer-moduuli. MailPassView Stealer väärinkäyttää laillista NirSoft-työkalua salasanan palautukseen ja varastaa tunnistetiedot sähköpostisovelluksista. Kun varastetut sähköpostit, tunnistetiedot ja tiedot siitä, kenen kanssa on yhteydessä, käsitellään, Mealybug luo haitallisia sähköposteja, jotka näyttävät vastaukselta aiemmin varastettuihin keskusteluihin, ja lähettää nämä sähköpostit yhdessä varastettujen tunnistetietojen kanssa roskapostittajamoduuliin, joka käyttää näitä valtuustietoja lähettämiseen. haitalliset vastaukset aikaisempiin sähköpostikeskusteluihin SMTP:n kautta.

Google Chromen luottokorttivarastaja

Kuten nimestä voi päätellä, Google Chrome Credit Card Stealer varastaa tietoja Google Chrome -selaimeen tallennetuista luottokorteista. Tämän saavuttamiseksi moduuli käyttää staattisesti linkitettyä SQLite3-kirjastoa päästäkseen Web Data -tietokantatiedostoon, joka yleensä sijaitsee %LOCALAPPDATA%GoogleChromeUser DataDefaultWeb-tiedot. Moduuli tekee kyselyn taulukosta luottokortit varten kortin_nimi, erääntymiskuukausi, päättymisvuosija kortin_numero_salattu, joka sisältää tietoja Google Chromen oletusprofiiliin tallennetuista luottokorteista. Viimeisessä vaiheessa card_number_encrypted-arvon salaus puretaan käyttämällä avaimeen tallennettua avainta %LOCALAPPDATA%GoogleChromeUser DataLocal State -tiedosto ja kaikki tiedot lähetetään C&C-palvelimelle.

Systeminfo- ja Hardwareinfo-moduulit

Pian Emotetin paluun jälkeen marraskuussa 2021 ilmestyi uusi moduuli, jota kutsumme Systeminfoksi. Tämä moduuli kerää tietoja vaarantuneesta järjestelmästä ja lähettää ne C&C-palvelimelle. Kerätyt tiedot sisältävät:

• Tuotos SystemInfo komento
• Tuotos ipconfig / all komento
• Tuotos nltest /dclist: komento (poistettu lokakuussa 2022)
• Prosessiluettelo
• Käyttöaika (saatu kautta GetTickCount) sekunneissa (poistettu lokakuussa 2022)

In lokakuu 2022 Emotetin operaattorit julkaisivat toisen uuden moduulin, jota kutsutaan nimellä Hardwareinfo. Vaikka se ei varasta yksinomaan tietoja vaarantuneen koneen laitteistosta, se toimii täydentävänä tietolähteenä Systeminfo-moduulille. Tämä moduuli kerää seuraavat tiedot vaarantuneesta koneesta:

• tietokoneen nimi
• Käyttäjätunnus
• Käyttöjärjestelmän versiotiedot, mukaan lukien pää- ja sivuversiot
• Istunnon tunniste
• CPU merkkijono
• Tietoja RAM-muistin koosta ja käytöstä

Molemmilla moduuleilla on yksi ensisijainen tarkoitus – varmistaa, tuleeko viestintä laillisesti vaarantuneelta uhrilta vai ei. Emotet oli varsinkin paluun jälkeen todella kuuma aihe tietoturva-alalla ja tutkijoiden keskuudessa, joten Mealybug teki paljon vaivaa suojellakseen itseään toimintojensa seuraamiselta ja valvonnalta. Näiden kahden moduulin keräämien tietojen ansiosta, jotka eivät ainoastaan ​​kerää tietoja, vaan sisältävät myös seuranta- ja analyysitemppuja, Mealybugin kyky erottaa todelliset uhrit haittaohjelmien tutkijoiden toiminnasta tai hiekkalaatikoista parani merkittävästi.

Mitä seuraavaksi?

ESET-tutkimuksen ja telemetrian mukaan bottiverkon molemmat aikakaudet ovat olleet hiljaisia ​​huhtikuun 2023 alusta lähtien. Tällä hetkellä on epäselvää, onko tämä taas uusi loma-aika tekijöille, kamppailevatko he uuden tehokkaan infektiovektorin löytämisessä vai onko joku uusi ylläpitää botnetiä.

Vaikka emme voi vahvistaa huhuja, että yksi tai molemmat botnetin aikakaudet olisi myyty jollekin tammikuussa 2023, havaitsimme epätavallisen toiminnan yhdellä aikakaudella. Lataajamoduulin uusin päivitys sisälsi uuden toiminnon, joka kirjaa moduulin sisäiset tilat ja seuraa sen suoritusta tiedostoon C: JSmithLoader (Kuva 6, kuva 7). Koska tämän tiedoston on oltava olemassa kirjatakseen jotain, tämä toiminto näyttää virheenkorjaustulosta sellaiselle, joka ei täysin ymmärrä, mitä moduuli tekee ja miten se toimii. Lisäksi botnet levisi tuolloin laajalti myös Spammer-moduuleja, joita pidettiin Mealybugille arvokkaampina, koska historiallisesti he käyttivät näitä moduuleja vain koneissa, joita he pitivät turvallisina.

Kuva 6. Latausmoduulin toiminnan kirjaaminen

Kuva 7. Latausmoduulin toiminnan kirjaaminen

Riippumatta siitä, mikä selitys sille, miksi botnet on nyt hiljainen, on totta, Emotet on tunnettu tehokkuudestaan, ja sen operaattorit ovat yrittäneet rakentaa uudelleen ja ylläpitää botnet-verkkoa ja jopa lisätä joitain parannuksia, joten seuraa blogiamme nähdäksesi mitä tulevaisuus tuo tullessaan. meille.

IoC: t

Asiakirjat

verkko

MITER ATT & CK -tekniikat

Tämä pöytä on rakennettu käyttämällä version 12 MITRE ATT&CK -yritystekniikoista.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. Autot / sähköautot, hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• BlockOffsets. Ympäristövastuun omistuksen nykyaikaistaminen. Pääsy tästä.
• Lähde: https://www.welivesecurity.com/2023/07/06/whats-up-with-emotet/