Emotet er en skadevare som ble oppdaget i 2014 og har vært benyttet
som en skadevare rettet mot bank og finansnæringen. Navnet blir også
ofte brukt om nettverket av infiserte maskiner (botnett),
kommandosentraler og operatører bak kampanjene. Skadevaren er under
stadig utvikling med ny funksjonalitet og moduler. I det siste har
skadevaren blitt brukt til angrep mot virksomheter i alle sektorer,
inkludert norske kommuner.
Emotet har avanserte trekk ved seg, og styres i kampanjer i både
tidsrom og geografisk angrepsflate. Etter at operatørene har kjørt en
kampanje, ligger Emotet i ro en lengre periode før ny versjon lanseres
og aktiviteten tiltar på nytt.
Det eksisterer tre separate infrastrukturer. En infisert host kan
bare være medlem av en av disse, men kan flyttes mellom dem ved behov.
Den har etter hvert blitt så utbredt at andre aktører leier botnettet
for å kjøre sine egne kampanjer gjennom disse. Emotet lar angriperen
laste inn sine egne moduler etter behov slik som typisk mekanismer for å
stjele bankinformasjon og kryptering av enheten. Det bygges altså en
verdikjede av illegal økonomi rundt disse systemene, ikke ulikt hvordan
annen skadevare og kriminelle cybernettverk utvikler seg for tiden.
Emotet kommer seg inn i infrastrukturen typisk på denne måten:
- Epost kommer inn, med ondsinnet vedlegg. Dette er typisk doc (word) eller pdf fil
- Vedlegg åpnes og bruker bes aktivere programtillegg for å kjøre kode/makro
- Angrepskode kjøres på maskinen
- Emotet
maskerer seg i andre prosesser – slik som svhost for å komme rundt
antivirus/antimalware. Det opprettes også servicer og mekanismer for å
ikke forsvinne ved omstart Koden er også ofte relativt ny kompilert slik
at signaturrett endrer seg for å komme rundt sikkerhetsmekanismene.
- Den sjekker så om den har kontakt med kommando strukturen (command & control). Disse hostes på legitime sider som er hacket.
- Emotet
lister ut epost kontoer (Outlook, gmail, yahoo), domenekonto og
brukernavnpassord som er lagret i browser. Denne listen sendes tilbake
til kommando infrastrukturen.
- Via MAPI API i Outlook henter den
ut alle eposter de siste 180 dager og 16kb pr epost. Den lager så en
oversikt over hvem brukeren sendes oftest epost til.
- I tillegg kan det noen ganger gjennomføres LDAP oppslag mot AD kontroller for å liste ut brukerkontoer.
- Den
kan også sjekker tilgang til nettverkshare med skriverettigheter og
legger seg inn der, evt forsøker bruteforce pålogging mot share som
krever pålogging med en innebygget ordliste på ca 10000 passord,
kombinert med kjente brukerkontoer. Den bruker også EternalBlue
sårbarheten i SMBv1 for å spre seg lateralt.
- Den finner SMTP
servere som den får tilgang til via stjålne brukernavn/passord. Dette
kan være en tilfeldig SMTP server hos et annet foretak. Den sjekker med
kommando infrastrukturen om hva den offentlige IP adressen er på denne
serveren og om den er svartelistet på div spam tjenester.
- Så
starter sendingen av epost med ondsinnet vedlegg. Eposten bruker
adresselisten som allerede er kjent i en epost tråd som er stjålet og
legger inn ondsinnet vedlegg i en epost tråd som allerede eksisterer.
Anbefalte tiltak:
- Innfør DMARC, slik at epost er autentisert med SPF/DKIM og sett
DMARC i p=reject modus når dette er på plass. Aktiver DMARC for
e-postmottak.
- Blokker for mottak av .img-filer i e-postmottak.
.img filer sendt via e-post har relativt få legitime bruksområder, og
dersom man har et legitimt behov kan slike filer sendes på andre måter,
eksempelvis pakket i passordbeskyttet zip-fil.
- Blokker kjøring
av makroer fra filer lastet ned fra internett. Blokker også bruk av
makroer internt, men først etter å ha avdekket evt bruksområder i
bedriften.
- Implementer sandkassekjøring for mottatte e-poster.
Blokkering av kjente metoder for skadevarelevering lider av å være en
reaktiv metode. Sandkassekjøring beskytter bedre mot nye og ukjente
angrepsmetoder.
- Innfør applikasjonshvitelisting slik at kun
kjente applikasjoner an kjøres. Applikasjonshvitelisting bør først over
en periode settes opp i monitoreringsmodus, for å kunne hviteliste
legitime applikasjoner som benyttes i egen virksomhet. Dette er et av de
mest effektive tiltakene man kan sette inn for å herde infrastrukturen.
- Uansett hva slags tiltak som er innført, bør du som bruker
avstå fra å 'aktivere innhold' (enable content) i vedlegg, da dette er
det samme som å tillate kjøring av makroer/kode fra vedlegget og dermed
risikere infisering.
https://nsm.no/regelverk-og-hjelp/rad-og-anbefalinger/grunnleggende-tiltak-for-sikring-av-e-post/
https://nsm.no/fagomrader/digital-sikkerhet/nasjonalt-cybersikkerhetssenter/varsler-fra-ncsc/varsel-om-pagaende-emotet-kampanje
https://attack.mitre.org/software/S0367/
https://www.fortinet.com/blog/threat-research/deep-analysis-of-new-emotet-variant-part-1
https://blog.talosintelligence.com/2019/09/emotet-is-back-after-summer-break.html