Fachartikel

Emotet: Gefahr erkannt, aber noch nicht gebannt

Emotet hat die Karten für die IT-Bedrohungsabwehr neu gemischt und viele Admins ins Schwitzen gebracht: Die Malware kompromittiert das zwischenmenschliche Vertrauen und führt breit angelegte Angriffe auf E-Mail-Adressen durch. Selbst nachdem die Infrastruktur von Emotet zerschlagen wurde, ist die Gefahr noch nicht gebannt. Reverse Engineering kann helfen, Ransomware-Dateien zu disassemblieren, um die Bedrohungslage besser zu verstehen. Eine Möglichkeit ist das kostenlose Open-Source-Tool PE Tree, das die Entschlüsselung von Malware erleichtert, indem es Anomalien im Code und in den Daten erkennt.
Malware-Analyse im Regenbogen-Look – PE Tree lässt sich als Standalone-Anwendung installieren und ausführen.
Gefahr im E-Mail-Postfach: Wer mit seinem Gegenüber kommunizieren möchte, muss ein Mindestmaß an Vertrauen an den Tag legen – sonst funktioniert es nicht. Genau dieses Grundprinzip macht sich Emotet zunutze und ist damit zu einer der gefährlichsten Malwarevarianten der jüngsten Zeit avanciert. Und auch nachdem die Infrastruktur von Emotet kürzlich zerschlagen wurde, ist die Gefahr für Unternehmen, Institutionen und Privatpersonen noch längst nicht gebannt. Für eine umfassende Gefahrenabwehr kann das Reverse Engineering von Malware wichtige Schützenhilfe leisten, um Malware zu verstehen und zu entschlüsseln.

Um die damit verbundenen Prozesse zu beschleunigen, stellt BlackBerry Anwendern das Open-Source-Tool PE Tree zur Verfügung. Mit diesem gibt es einen effektiven Ansatz für das Reverse-Engineering, der das Reverse-Engineering von Ransomware-Payloads im Speicher sowie die Durchführung von Pivot-Suchen zur Unterstützung bei der Identifizierung und Informationsbeschaffung erleichtert. Eines der Hauptziele des Lösungsansatzes besteht damit darin, Cybersicherheitsexperten bei ihrer verantwortungsvollen und existenziell wichtigen Aufgabe zu entlasten. Ein Überblick verdeutlicht das Potenzial der frei zugänglichen Software.

Das Funktionsprinzip von Emotet
Emotet operiert als Malware-Delivery-System, das wie ein Botnet funktioniert, Angriffe gegen viele unterschiedliche E-Mail-Adressen führt und das Vertrauen der Empfänger missbraucht. Der SPAM-Spreader erstellt gezielt E-Mails, die Menschen dazu verleiten, ihren Computer zu infizieren. Ist der erste Schritt hinein ins System erst gelungen, kann die Malware spezifische, von Fall zu Fall aktivierte Angriffe starten – unter anderem umfasst die Palette die Verbreitung im Netzwerk, WiFi-Verbreitung, Diebstahl von E-Mail-Kontaktdaten sowie von Inhalten und nicht zuletzt von Passwörtern.

Den Auftakt der Attacke bildet eine Serien-E-Mail, deren Inhalt in einer zentralen Social-Engineering-Nachricht nach bekanntem Muster besteht, beispielsweise "Sehr geehrter [Name]" sowie einem Anhang oder Link zu einer Datei mit der Malware. Hochgeladen wird sie mit den Anmeldedaten des Absenders aus einer Liste von kompromittierten E-Mail-Konten. Ebenfalls darin enthalten sind Benutzernamen und Kennwörter für E-Mail-Clients, mit deren Hilfe Emotet versucht, sich beim Mailserver zu authentifizieren. Ziel ist es, den SPAM so zu versenden, als stamme er von den Personen in der Liste. Darüber hinaus ist eine Liste mit Zielen für die E-Mails enthalten, inklusive Vor- und Nachnamen sowie den E-Mail-Adressen der Empfänger.
Das typische Vorgehen von Emotet: Die Malware versucht, die SPAM-Vorlage an jedes verfügbare Ziel zu senden und an den Server zurückzumelden, wo sie erfolgreich war – ein Prozedere, das an Massenmails erinnert, die kommerzielle Unternehmen an Abonnenten verschicken. Ein triftiges Indiz dafür, dass Emotet nicht einfach nur Malware ist, sondern das Produkt Krimineller mit den nötigen finanziellen Ressourcen, die sich darauf spezialisiert haben, das Vertrauen der Menschen auszunutzen.

Wenn sich die Schadsoftware erst im System eingenistet hat, nutzt sie jede Gelegenheit, Bankdaten, E-Mail-Kontoinformationen, E-Mail-Adressbücher und vieles mehr zu sammeln und anschließend an einen externen Server zu schicken. Potenzielle Malware-Anhänge sind Office-Dokumente, in denen Makros versteckt sind, die ihrerseits PowerShell-Befehle starten, oder getarnte ausführbare Dateien. Verwendete Links können den Anschein einer Einladung zu einem Meeting erwecken und die Opfer, die daran teilnehmen wollen, dazu verleiten, als offizielle Meeting-Software getarnte Malware zu installieren.

Weitere schädliche Aktionen aus dem Arsenal von Emotet sind das Sammeln von Wireless-Passwörtern, von Netzwerk-Anmeldeinformationen und Stealth-Fähigkeiten wie das Setzen eines speicherresidenten Timers, Sandbox-Awareness und Anti-Analyse-Funktionen. Dadurch lässt sich die Malware auf einfachem Weg weiterverbreiten. Die Vielfalt benutzerdefinierter Schadsoftware, die Emotet verbreiten kann, ist nahezu unendlich. Da sich der Schädling an verschiedenen Orten replizieren und eine Domain nach der anderen kompromittieren kann, ist es zudem für die meisten Blacklist-basierten Antiviren- und Netzwerkverteidigungs-Tools schwierig, den Eindringling zu stoppen.

Angriff eines scheinbar unbesiegbaren Gegners
Die Kriminellen gehen immer cleverer vor und setzen auf aktuelle Ereignisse und Aufhänger von allgemeinem Interesse als Lockvogel. Wenn das Thema, der Absender und der Anhang zusammen ein stimmiges Bild ergeben, kann die Malware selbst die skeptischsten E-Mail-Empfänger über bestehende Kontaktlisten austricksen. Weil Kommunikation auf Vertrauen fußt und weil Emotet exakt dieses Vertrauen missbraucht, sind letztlich alle E-Mail-Nutzer potenziell gefährdet.

Vor diesem Hintergrund erfordert die Verteidigung gegen Emotet einen breit angelegten Ansatz. Phishing-E-Mails und ein kompromittiertes authentifiziertes Netzwerk sowie drahtloser Zugang sind die notwendigen Bedingungen für seine Ausbreitung. Angesichts überaus plausibel gestalteter Social-Engineering-Angriffe ist die Schulung von Mitarbeitern als Schutzmaßnahme geboten, aber bei Weitem nicht wirksam genug. Einer OSSTMM-Analyse zufolge sind die einzigen wirksamen operativen Mittel zum Schutz vor dieser Art von Angriffen die Nichtverwendung von Standard-Installationskonfigurationen für alles, einschließlich Windows-Standardverzeichnissen, Whitelisting von Datenverkehr, physische Netzwerksegmentierung, benutzerdefinierte Ports für Dienste, wo dies möglich ist, und Multifaktor- oder verifizierte identitätsbasierte Authentifizierung.

21.04.2021/ln/Tom Bonner, Distinguished Threat Researcher bei BlackBerry

Nachrichten

Storage transformiert in die Cloud [5.05.2021]

HPE will seinen Storage-Geschäftsbereich stärker auf ein Cloudbetriebsmodell ausrichten. Bestandteil des neuen Portfolios ist eine Data-Services-Plattform für "Unified DataOps" – also einheitlichen Betrieb von Daten an jedem Ort aus der Cloud. Ebenso neu sind die cloudnativen Speichersysteme namens Alletra. [mehr]

Blick in alle Richtungen [5.05.2021]

D-Link stellt mit der DCS-6500LH eine Überwachungskamera vor, die sich per App steuern lässt. Das Gerät verfügt über eine Schwenk- und Neigefunktion für ein Blickfeld von 340 Grad horizontal sowie 90 Grad vertikal. Durch die automatische Bewegungs- und Geräuscherkennung erhalten Nutzer eine Push-Nachricht aufs Mobilgerät und sehen live, was vor der Kamera passiert. [mehr]

Tipps & Tools

Event-Streaming als Kern einer hybriden Cloudstrategie [6.05.2021]

Nutzer von heute sind es gewohnt, nahezu alles in Echtzeit zu erleben: Live-Berichterstattung selbst aus entlegensten Teilen der Welt oder die Nachverfolgung von Bestellungen. Im Hintergrund müssen sich dabei riesige Datenmengen mit hoher Geschwindigkeit zwischen der Cloud und on-premises bewegen – eine große Herausforderung für die IT. Wie unser Fachartikel darlegt, kann hier Event-Streaming als ständige Verbindung zwischen allen Unternehmensbereichen fungieren, gerade in Hybrid-Cloud-Umgebungen beim Verarbeiten großer Datenströme helfen und die Daten nahezu nahtlos fliessen lassen. [mehr]

Download der Woche: SterJo NetStalker [5.05.2021]

Es gibt zahlreiche Maßnahmen, um die Sicherheit für Internet-Rechner zu fördern. Grundsätzlich gilt gerade für professionelle Anwender, dass sie zunächst wissen sollten, was auf dem PC nach außen geöffnet ist. Das kostenfreie Tool "NetStalker" hilft dabei, genau diese Details zu sehen und zu analysieren. Neben der Überwachung der Programme, die auf das Internet zugreifen, können Sie diese Verbindungen bei Bedarf auch blockieren. [mehr]

Buchbesprechung

Computernetze und Internet of Things

von Patrick-Benjamin Bök, Andreas Noack, Marcel Müller

Anzeigen