Fachartikel

Emotet: Gefahr erkannt, aber noch nicht gebannt

Emotet hat die Karten für die IT-Bedrohungsabwehr neu gemischt und viele Admins ins Schwitzen gebracht: Die Malware kompromittiert das zwischenmenschliche Vertrauen und führt breit angelegte Angriffe auf E-Mail-Adressen durch. Selbst nachdem die Infrastruktur von Emotet zerschlagen wurde, ist die Gefahr noch nicht gebannt. Reverse Engineering kann helfen, Ransomware-Dateien zu disassemblieren, um die Bedrohungslage besser zu verstehen. Eine Möglichkeit ist das kostenlose Open-Source-Tool PE Tree, das die Entschlüsselung von Malware erleichtert, indem es Anomalien im Code und in den Daten erkennt.
Malware-Analyse im Regenbogen-Look – PE Tree lässt sich als Standalone-Anwendung installieren und ausführen.
Gefahr im E-Mail-Postfach: Wer mit seinem Gegenüber kommunizieren möchte, muss ein Mindestmaß an Vertrauen an den Tag legen – sonst funktioniert es nicht. Genau dieses Grundprinzip macht sich Emotet zunutze und ist damit zu einer der gefährlichsten Malwarevarianten der jüngsten Zeit avanciert. Und auch nachdem die Infrastruktur von Emotet kürzlich zerschlagen wurde, ist die Gefahr für Unternehmen, Institutionen und Privatpersonen noch längst nicht gebannt. Für eine umfassende Gefahrenabwehr kann das Reverse Engineering von Malware wichtige Schützenhilfe leisten, um Malware zu verstehen und zu entschlüsseln.

Um die damit verbundenen Prozesse zu beschleunigen, stellt BlackBerry Anwendern das Open-Source-Tool PE Tree zur Verfügung. Mit diesem gibt es einen effektiven Ansatz für das Reverse-Engineering, der das Reverse-Engineering von Ransomware-Payloads im Speicher sowie die Durchführung von Pivot-Suchen zur Unterstützung bei der Identifizierung und Informationsbeschaffung erleichtert. Eines der Hauptziele des Lösungsansatzes besteht damit darin, Cybersicherheitsexperten bei ihrer verantwortungsvollen und existenziell wichtigen Aufgabe zu entlasten. Ein Überblick verdeutlicht das Potenzial der frei zugänglichen Software.

Das Funktionsprinzip von Emotet
Emotet operiert als Malware-Delivery-System, das wie ein Botnet funktioniert, Angriffe gegen viele unterschiedliche E-Mail-Adressen führt und das Vertrauen der Empfänger missbraucht. Der SPAM-Spreader erstellt gezielt E-Mails, die Menschen dazu verleiten, ihren Computer zu infizieren. Ist der erste Schritt hinein ins System erst gelungen, kann die Malware spezifische, von Fall zu Fall aktivierte Angriffe starten – unter anderem umfasst die Palette die Verbreitung im Netzwerk, WiFi-Verbreitung, Diebstahl von E-Mail-Kontaktdaten sowie von Inhalten und nicht zuletzt von Passwörtern.

Den Auftakt der Attacke bildet eine Serien-E-Mail, deren Inhalt in einer zentralen Social-Engineering-Nachricht nach bekanntem Muster besteht, beispielsweise "Sehr geehrter [Name]" sowie einem Anhang oder Link zu einer Datei mit der Malware. Hochgeladen wird sie mit den Anmeldedaten des Absenders aus einer Liste von kompromittierten E-Mail-Konten. Ebenfalls darin enthalten sind Benutzernamen und Kennwörter für E-Mail-Clients, mit deren Hilfe Emotet versucht, sich beim Mailserver zu authentifizieren. Ziel ist es, den SPAM so zu versenden, als stamme er von den Personen in der Liste. Darüber hinaus ist eine Liste mit Zielen für die E-Mails enthalten, inklusive Vor- und Nachnamen sowie den E-Mail-Adressen der Empfänger.
Das typische Vorgehen von Emotet: Die Malware versucht, die SPAM-Vorlage an jedes verfügbare Ziel zu senden und an den Server zurückzumelden, wo sie erfolgreich war – ein Prozedere, das an Massenmails erinnert, die kommerzielle Unternehmen an Abonnenten verschicken. Ein triftiges Indiz dafür, dass Emotet nicht einfach nur Malware ist, sondern das Produkt Krimineller mit den nötigen finanziellen Ressourcen, die sich darauf spezialisiert haben, das Vertrauen der Menschen auszunutzen.

Wenn sich die Schadsoftware erst im System eingenistet hat, nutzt sie jede Gelegenheit, Bankdaten, E-Mail-Kontoinformationen, E-Mail-Adressbücher und vieles mehr zu sammeln und anschließend an einen externen Server zu schicken. Potenzielle Malware-Anhänge sind Office-Dokumente, in denen Makros versteckt sind, die ihrerseits PowerShell-Befehle starten, oder getarnte ausführbare Dateien. Verwendete Links können den Anschein einer Einladung zu einem Meeting erwecken und die Opfer, die daran teilnehmen wollen, dazu verleiten, als offizielle Meeting-Software getarnte Malware zu installieren.

Weitere schädliche Aktionen aus dem Arsenal von Emotet sind das Sammeln von Wireless-Passwörtern, von Netzwerk-Anmeldeinformationen und Stealth-Fähigkeiten wie das Setzen eines speicherresidenten Timers, Sandbox-Awareness und Anti-Analyse-Funktionen. Dadurch lässt sich die Malware auf einfachem Weg weiterverbreiten. Die Vielfalt benutzerdefinierter Schadsoftware, die Emotet verbreiten kann, ist nahezu unendlich. Da sich der Schädling an verschiedenen Orten replizieren und eine Domain nach der anderen kompromittieren kann, ist es zudem für die meisten Blacklist-basierten Antiviren- und Netzwerkverteidigungs-Tools schwierig, den Eindringling zu stoppen.

Angriff eines scheinbar unbesiegbaren Gegners
Die Kriminellen gehen immer cleverer vor und setzen auf aktuelle Ereignisse und Aufhänger von allgemeinem Interesse als Lockvogel. Wenn das Thema, der Absender und der Anhang zusammen ein stimmiges Bild ergeben, kann die Malware selbst die skeptischsten E-Mail-Empfänger über bestehende Kontaktlisten austricksen. Weil Kommunikation auf Vertrauen fußt und weil Emotet exakt dieses Vertrauen missbraucht, sind letztlich alle E-Mail-Nutzer potenziell gefährdet.

Vor diesem Hintergrund erfordert die Verteidigung gegen Emotet einen breit angelegten Ansatz. Phishing-E-Mails und ein kompromittiertes authentifiziertes Netzwerk sowie drahtloser Zugang sind die notwendigen Bedingungen für seine Ausbreitung. Angesichts überaus plausibel gestalteter Social-Engineering-Angriffe ist die Schulung von Mitarbeitern als Schutzmaßnahme geboten, aber bei Weitem nicht wirksam genug. Einer OSSTMM-Analyse zufolge sind die einzigen wirksamen operativen Mittel zum Schutz vor dieser Art von Angriffen die Nichtverwendung von Standard-Installationskonfigurationen für alles, einschließlich Windows-Standardverzeichnissen, Whitelisting von Datenverkehr, physische Netzwerksegmentierung, benutzerdefinierte Ports für Dienste, wo dies möglich ist, und Multifaktor- oder verifizierte identitätsbasierte Authentifizierung.

21.04.2021/ln/Tom Bonner, Distinguished Threat Researcher bei BlackBerry

Nachrichten

Blick in alle Richtungen [5.05.2021]

D-Link stellt mit der DCS-6500LH eine Überwachungskamera vor, die sich per App steuern lässt. Das Gerät verfügt über eine Schwenk- und Neigefunktion für ein Blickfeld von 340 Grad horizontal sowie 90 Grad vertikal. Durch die automatische Bewegungs- und Geräuscherkennung erhalten Nutzer eine Push-Nachricht aufs Mobilgerät und sehen live, was vor der Kamera passiert. [mehr]

TeamViewer integriert Malwarebytes-Virenschutz [4.05.2021]

TeamViewer-Kunden können ihre Rechner künftig mit Malwarebytes vor Schadsoftware schützen. Hierfür ist das Unternehmen aus Göppingen eine Partnerschaft mit dem US-amerikanischen Anbieter für Echtzeit-Cybersicherheit eingegangen. "Malwarebytes Endpoint Protection" sowie "Endpoint Detection and Response" sollen dabei in "TeamViewer Remote Management" integriert werden. [mehr]

Tipps & Tools

Kubernetes-Backup erstellen [23.04.2021]

Das Containermanagement-Tool Kubernetes hat sich in den letzten Jahren zum De-Facto-Standard beim Deployment von Applikationen entwickelt – lokal und in der Cloud. Im Betrieb speichert Kubernetes alle Clusterdaten inklusive der Ressourcenspezifikationen in "etcd", einem verteilten Key-Value-Store. Daraus ergibt sich logischerweise, dass etcd als Schlüsselkomponente unter allen Umständen Teil des Backups sein muss. Das freie Werkzeug "KubeDR" will dies erledigen. [mehr]

Vorschau Mai 2021: Hybrid Cloud [19.04.2021]

Nahezu alle Unternehmen stehen inzwischen mit einem Bein in der Cloud, ohne gleich die lokale Infrastruktur aus dem Fenster zu werfen. In der Mai-Ausgabe widmet sich IT-Administrator dem Thema "Hybrid Cloud" und zeigt, wie sich beide Welten sinnvoll zusammenführen lassen. So lesen Sie beispielsweise, wie Sie Azure-Ressourcen lokal einbinden und Workloads in hybriden Umgebungen ausrollen. Außerdem zeigen wir im Mai-Heft, wie Sie mit vSphere Trust Authority Ihre VMware-Umgebung absichern und Applikations-Rollouts auf verschiedenen Clouds mit Ansible automatisieren. [mehr]

Buchbesprechung

Computernetze und Internet of Things

von Patrick-Benjamin Bök, Andreas Noack, Marcel Müller

Anzeigen