Kampf gegen einen agilen Gegner: Erkenntnisse von der Emotet-Front
Der Trojaner Emotet ist darauf spezialisiert, Schutzbarrieren auszuweichen, immer wieder zuzuschlagen und sich zu vervielfältigen, um maximalen Schaden anzurichten. Dabei ist die Malware dank ständiger Updates, modularem Design und der Fähigkeit, verschiedenste Techniken zur Netzwerkunterwandung anzuwenden, für IT-Sicherheitsspezialisten besonders schwierig zu enttarnen.
Innerhalb seiner fünfjährigen Lebenszeit hat sich Emotet von einem „normalen“ Trojaner, der still und heimlich Bankdaten seiner Opfer entwendete, zu einer extrem raffinierten und breit gestreuten Plattform für die Verbreitung anderer Schadsoftware mit unterschiedlichsten Zielen entwickelt, die meist im Gepäck von Spam-Kampagnen anreist. In diesem Jahr waren das z.B. die beiden Banktrojaner TrickBot und Qbot, es gibt aber auch Verbindungen zu BitPaymer – eine hoch entwickelte Ransomware-Familie, die sechsstellige Summen erpresst.
Ende 2018 bewertete das BSI Emotet als „…ein Fall von Cyber-Kriminalität, bei der die Methoden hochprofessioneller APT-Angriffe adaptiert und automatisiert wurden. Schon im aktuellen Lagebericht des BSI haben wir von einer neuen Qualität der Gefährdung gesprochen und sehen uns durch Emotet darin bestätigt.“ (Quelle: BSI)
„Emotet ist weiterhin eine sehr gefährliche Bedrohung und die Auseinandersetzung mit dem Thema ist eine der größten Herausforderungen für Sys-Admins und Threat-Hunter“, ruft Michael Veit, Security Evangelist bei Sophos, ins Bewusstsein. „Vor diesem Hintergrund und angesichts der bisherigen Emotet-Schäden, die wir in unserer täglichen Arbeit erlebt haben, muss Prävention das erste Mittel der Abwehr sein. Und zwar konsequent umgesetzt.“
- Sicherung ALLER Geräte
Vorsorge ist besser als Nachsorge. Sind Unternehmen oder Organisationen von Emotet betroffen, ist die Quelle der Infektion fast ausnahmslos ein ungesichertes Gerät im Netzwerk. Um das eigene Netzwerk zu überprüfen, bietet sich ein Netzwerk-Scan zur Auflistung jedes aktiven Geräts an. Taucht dort ein noch nicht erfasstes Gerät auf, muss es sofort mit den neuesten Updates versehen und in den Endpoint-Schutz aufgenommen werden.
Auch wenn Emotet zunächst einmal auf nicht gesicherte Geräte in einem Netzwerk begrenzt ist, wird die Schadsoftware ständig versuchen, auszubrechen und dabei ihre große Anpassungsfähigkeit nutzen. Je länger Emotet diese Versuche durchlaufen darf, desto höher ist die Wahrscheinlichkeit, dass es durch seine Modulation eine Lücke in der Abwehr findet, ausbricht und sich im gesamten Netzwerk verbreitet.
„Man kann unmöglich vorhersagen, worin letztendlich die entscheidende Lücke besteht“, so Veit, „es kann beispielsweise ein neuer Exploit oder eine Mutation sein, die Emotet vor Signatur-basiertem Anti-Virus temporär versteckt. Entsprechend sind moderne Abwehrtechnologien wie Deep Learning oder Exploit Prevention entscheidend.“
- Patchen: so früh und oft wie möglich
Emotet ist das perfekte Einfallstor für andere Schadsoftware. Wer Emotet verhindert, stoppt auch seine Parasiten. Potentielle Sicherheitslücken sollte man deshalb mit Patches so schnell und oft wie möglich schließen.
Ein Negativbeispiel: Der SMB Exploit EternalBlue wurde 2017 durch WannaCry und NotPetya bekannt. Man kann fast nicht glauben, dass trotz dieser weltweiten Berichterstattung und fast zwei Jahre nachdem Microsoft sein Sicherheits-Bulletin MS17-010 ankündigte, das Patches zum Schutz davor beinhielt, die Schadsoftware immer noch profitablen Nutzer dieses Exploits macht. Einer dieser Malware-Parasiten, die Emotet sehr gern einschleppt, ist TrickBot. Lerneinheit aus diesem Beispiel: Patchen. Sofort, bitte.
- PowerShell als Standardeinstellung blockieren
Emotet verschafft sich normalerweise Zugang via schädlicher Email-Anhänge. Das Ausbruchs-Szenario findet dann recht schnell in vier Akten statt:
- Mitarbeiter erhält Email mit Word-Dokument im Anhang
- Mitarbeiter öffnet Word-Dokument und wird in ein Makro hineingelockt
- Makro löst die PowerShell aus, die Emotet herunterlädt
- Emotet-Infektion beginnt
Ja, richtig. Der Mitarbeiter fällt etwas unglücklich auf. Aber: Der Hinweis zu Sensibilisierung und Schulung der Mitarbeiter gegenüber merkwürdigen Email-Anhängen greift hier zu kurz. Denn selbst bei bestgeschulter Aufmerksamkeit wird im unendlichen Email-Strom einmal der falsche Klick gemacht – und schon ist Emotet im Spiel. Deswegen sollten Administratoren den Nutzer-Zugang zur PowerShell blockieren – und das nicht nur via Richtlinie, sondern per Blacklisting. Das gilt zunächst einmal für alle Mitarbeiter, dann können individuell diejenigen Personen wieder Zugang bekommen, die PowerShell tatsächlich bei der täglichen Arbeit brauchen.
Weitere Informationen zur Abwehr von Emotet und TrickBot gibt Sophos hier.
Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
Telefon: +1 (724) 536839
E-Mail: sophos@tc-communications.de
PR Manager EMEA
Telefon: +49 (721) 25516-263
E-Mail: joerg.schindler@sophos.com
TC Communications
Telefon: +49 (30) 55248198
E-Mail: sophos@tc-communications.de