EMOTET: Slik kommer den seg inn på PCen din

Emotet er en skadevare som ble oppdaget i 2014 og har vært benyttet som en skadevare rettet mot bank og finansnæringen. Navnet blir også ofte brukt om nettverket av infiserte maskiner (botnett), kommandosentraler og operatører bak kampanjene. Skadevaren er under stadig utvikling med ny funksjonalitet og moduler. I det siste har skadevaren blitt brukt til angrep mot virksomheter i alle sektorer, inkludert norske kommuner.

Publisert: 09.11.2020

Emotet har avanserte trekk ved seg, og styres i kampanjer i både tidsrom og geografisk angrepsflate. Etter at operatørene har kjørt en kampanje, ligger Emotet i ro en lengre periode før ny versjon lanseres og aktiviteten tiltar på nytt.

Det eksisterer tre separate infrastrukturer. En infisert host kan bare være medlem av en av disse, men kan flyttes mellom dem ved behov. Den har etter hvert blitt så utbredt at andre aktører leier botnettet for å kjøre sine egne kampanjer gjennom disse. Emotet lar angriperen laste inn sine egne moduler etter behov slik som typisk mekanismer for å stjele bankinformasjon og kryptering av enheten. Det bygges altså en verdikjede av illegal økonomi rundt disse systemene, ikke ulikt hvordan annen skadevare og kriminelle cybernettverk utvikler seg for tiden.

Emotet kommer seg inn i infrastrukturen typisk på denne måten:

  • Epost kommer inn, med ondsinnet vedlegg. Dette er typisk doc (word) eller pdf fil
  • Vedlegg åpnes og bruker bes aktivere programtillegg for å kjøre kode/makro
  • Angrepskode kjøres på maskinen
  • Emotet maskerer seg i andre prosesser – slik som svhost for å komme rundt antivirus/antimalware. Det opprettes også servicer og mekanismer for å ikke forsvinne ved omstart Koden er også ofte relativt ny kompilert slik at signaturrett endrer seg for å komme rundt sikkerhetsmekanismene.
  • Den sjekker så om den har kontakt med kommando strukturen (command & control). Disse hostes på legitime sider som er hacket.
  • Emotet lister ut epost kontoer (Outlook, gmail, yahoo), domenekonto og brukernavnpassord som er lagret i browser. Denne listen sendes tilbake til kommando infrastrukturen.
  • Via MAPI API i Outlook henter den ut alle eposter de siste 180 dager og 16kb pr epost. Den lager så en oversikt over hvem brukeren sendes oftest epost til.
  • I tillegg kan det noen ganger gjennomføres LDAP oppslag mot AD kontroller for å liste ut brukerkontoer.
  • Den kan også sjekker tilgang til nettverkshare med skriverettigheter og legger seg inn der, evt forsøker bruteforce pålogging mot share som krever pålogging med en innebygget ordliste på ca 10000 passord, kombinert med kjente brukerkontoer. Den bruker også EternalBlue sårbarheten i SMBv1 for å spre seg lateralt.
  • Den finner SMTP servere som den får tilgang til via stjålne brukernavn/passord. Dette kan være en tilfeldig SMTP server hos et annet foretak. Den sjekker med kommando infrastrukturen om hva den offentlige IP adressen er på denne serveren og om den er svartelistet på div spam tjenester.
  • Så starter sendingen av epost med ondsinnet vedlegg. Eposten bruker adresselisten som allerede er kjent i en epost tråd som er stjålet og legger inn ondsinnet vedlegg i en epost tråd som allerede eksisterer.

Anbefalte tiltak:

  • Innfør DMARC, slik at epost er autentisert med SPF/DKIM og sett DMARC i p=reject modus når dette er på plass. Aktiver DMARC for e-postmottak.
  • Blokker for mottak av .img-filer i e-postmottak. .img filer sendt via e-post har relativt få legitime bruksområder, og dersom man har et legitimt behov kan slike filer sendes på andre måter, eksempelvis pakket i passordbeskyttet zip-fil.
  • Blokker kjøring av makroer fra filer lastet ned fra internett. Blokker også bruk av makroer internt, men først etter å ha avdekket evt bruksområder i bedriften.
  • Implementer sandkassekjøring for mottatte e-poster. Blokkering av kjente metoder for skadevarelevering lider av å være en reaktiv metode. Sandkassekjøring beskytter bedre mot nye og ukjente angrepsmetoder.
  • Innfør applikasjonshvitelisting slik at kun kjente applikasjoner an kjøres. Applikasjonshvitelisting bør først over en periode settes opp i monitoreringsmodus, for å kunne hviteliste legitime applikasjoner som benyttes i egen virksomhet. Dette er et av de mest effektive tiltakene man kan sette inn for å herde infrastrukturen.
  • Uansett hva slags tiltak som er innført, bør du som bruker avstå fra å 'aktivere innhold' (enable content) i vedlegg, da dette er det samme som å tillate kjøring av makroer/kode fra vedlegget og dermed risikere infisering.

https://nsm.no/regelverk-og-hjelp/rad-og-anbefalinger/grunnleggende-tiltak-for-sikring-av-e-post/

https://nsm.no/fagomrader/digital-sikkerhet/nasjonalt-cybersikkerhetssenter/varsler-fra-ncsc/varsel-om-pagaende-emotet-kampanje

https://attack.mitre.org/software/S0367/

https://www.fortinet.com/blog/threat-research/deep-analysis-of-new-emotet-variant-part-1

https://blog.talosintelligence.com/2019/09/emotet-is-back-after-summer-break.html

Bjørn T. Tveiten