Emotet: wielofunkcyjna broń cyberprzestępców

Emotet to rodzaj złośliwego oprogramowania, który jest aktywny dłużej niż inne tego typu zagrożenia. Przez ostatnie lata firmy na całym świecie mocno odczuły jego działanie, które przysporzyło im milionowych szkód. Wyjaśniamy, czym właściwie jest Emotet, i jakie spustoszenia może wywołać.

Emotet to jedno z najdłużej działających profesjonalnych narzędzi wykorzystywanych przez cyberprzestępców w ostatnich latach. Po raz pierwszy zostało ono odkryte w 2014 roku jako koń trojański atakujący bankowość internetową, a następnie ewoluowało i aktualnie działa na zasadzie klucza otwierającego infekcjom dostęp do komputera.

„Emotet jako oprogramowanie był konsekwentnie i profesjonalnie rozwijany przez lata”, mówi Anton Wendel, Inżynier Bezpieczeństwa G DATA Advanced Analytics. „W poszczególne dni odkrywaliśmy do 200 nowych odmian oprogramowania Emotet. Tak szybki rozwój stanowi sposób na ukrycie złośliwego oprogramowania przed rozwiązaniami antywirusowymi. Można jednak stawić im czoła poprzez DeepRay – rozwiązanie zabezpieczające oparte na sztucznej inteligencji.

Nawet w wydawałoby się “spokojne dni” analizy przeprowadzane przez inżyniera, pokazują co najmniej 25 nowych wersji tego złośliwego oprogramowania.

Prawdziwy e-mail vs. Fałszywy e-mail

Rozprzestrzenianie się poprzez dokumenty Worda

Złośliwe oprogramowanie zazwyczaj przedostaje się na komputery ofiar za pośrednictwem zainfekowanych wiadomości e-mail w formacie Word. Przestępcy wciąż wysyłają ofiarom nowe wiadomości, by uruchomiły one aktywne elementy dokumentu, z reguły makra. Ścieżka infekcji prowadzi więc zawsze przez użytkownika. W przeciwieństwie do innych typów złośliwego oprogramowania Emotet nie przenosi się poprzez exploit kits, bądź przeglądarkę. Za każdym razem przestępcy szukają nowych powodów, dla których użytkownik powinien kliknąć w przycisk „uruchom aktywną zawartość”. Twierdzą na przykład, że dany dokument został stworzony „przy pomocy internetowej wersji pakietu Office” bądź powołują się na rzekome problemy ze zgodnością.

„Firmy mogłyby niezwykle łatwo chronić się przed zagrożeniem ze strony oprogramowania Emotet”, mówi Wendel. „Uruchamianie makr można całkowicie wyłączyć za pośrednictwem Polityki Grupowej. W przypadku, gdy makra są konieczne dla przeprowadzania operacji biznesowych, firmy powinny stworzyćwłasne makra i akceptować jedynie uruchamianie podpisanych makr”. Użytkownicy prywatni z reguły wcale nie potrzebują makr, dlatego nigdy nie powinni ich aktywować.

Do czego jest zdolny Emotet?

Emotet posiada bardzo złożone funkcje szpiegowskie. Dla przykładu przestępcy otrzymują informacje na temat wszystkich procesów zachodzących w komputerze, co umożliwia im wyciągnięcie wniosku o tym, do jakich celów wykorzystywane jest dane urządzenie, na przykład, jeśli na komputerze uruchomione jest oprogramowanie do rachunkowości. Emotet składa się także z kilku modułów z możliwością zdalnej aktywacji. Należy jednak zwrócić uwagę na fakt, iż nie wszystkie ze wspomnianych poniżej funkcji wykonywane są za każdym razem na zainfekowanym komputerze. To serwer C&C decyduje, jakie moduły zostają aktywowane.

Kradzież haseł

Za pośrednictwem oprogramowania Nirsoft Emotet może także skopiować wiele haseł przechowywanych na komputerze, w szczególności hasła do kont e-mail zapisane w Outlooku lub Thunderbirdzie, bądź jakiekolwiek inne hasła zachowane w przeglądarce. Większy poziom bezpieczeństwa zapewnia w tym przypadku korzystanie z funkcji managera haseł.

Kolejny z modułów oprogramowania Emotet wykorzystywany jest do rozsyłania spamu. Autorzy złośliwego oprogramowania nie rozsyłają klasycznych wiadomości ze spamem, na przykład dotyczących leków bądź suplementów na potencję, ale wykorzystują zasoby ofiar do prowadzenia swoich własnych kampanii. Emotet to innowacyjne rozwiązanie do dostarczania wspomnianych wiadomości. Jako że przestępcy posiadają dostęp do informacji w książkach adresowych oraz są w stanie odtworzyć sieci zależności, mogą dostarczać tego typu wiadomości w sposób spersonalizowany. W tym celu Emotet opiera się na interfejsie MAPI (Messaging Application Programming Interface).

Funkcje te zostają załadowane jako moduł w ramach tego samego procesu, co sam Emotet i zostają wykonane bez zapisywania pliku na dysku. W ten sposób trudniej jest je wykryć. Można stwierdzić, że Emotet opiera się w różnych modułach na koncepcji złośliwego oprogramowania działającego bez wykorzystania plików. Po wykonaniu zadania kod jest usuwany z pamięci i tym samym nie ma możliwości przeprowadzenia kontroli.

Emotet zawiera także komponent działający tak, jak robak. Pozwala on złośliwemu oprogramowaniu na wtargnięcie do innych komputerów tworzących daną sieć bez konieczności kliknięcia przez innych użytkowników w załącznik w celu aktywacji. Oprogramowanie wykorzystuje w tym celu protokół SMB (Server Message Block) od Microsoftu. Z protokołu tego korzystało także oprogramowanie WannaCry, by zarażać setki tysięcy systemów na całym świecie. Rozprzestrzenianie się tego zagrożenia opierało się jednak na dodatkowych lukach w systemie Windows.

Ten rodzaj złośliwego oprogramowania rozprzestrzenia się czytając tokeny logowania z lokalnej pamięci Windowsa, które wykorzystuje do logowania na innych komputerach. W przypadku, gdy użytkownikowi przydzielono rozszerzone zezwolenia – np. uprawnienia administratora – atak staje się wyjątkowo skuteczny. Emotet można także skonfigurować w ten sposób, by przeprowadzał ataki brute force ukierunkowane przeciwko kontom z wykorzystaniem zachowanych na nich listach haseł.

Emotet może także stworzyć w zainfekowanych systemach serwer proxy, umożliwiając lepszy kamuflaż dla swoich własnych działań. W ten sposób możliwe jest lepsze ukrycie infrastruktury poleceń i kontroli. Ponadto w ten sposób pojawia się również możliwość obejścia wszelkich istniejących blokad w ramach zakresu IP infrastruktury systemu.

Pliki binarne zamiast procesów

Oprócz modułów opisanych powyżej, Emotet może także ponownie załadować klasyczne pliki zawierające złośliwe oprogramowanie. Przestępcy z reguły posługują się takimi trojanami bankowymi jak Zeus Panda, Corebot, Trickbot czy Gozi. Ostatnio jednak coraz częściej pojawiają się doniesienia o tym, iż Emotet ponownie ładuje również takie złośliwe oprogramowanie typu ransomware, jak Ryuk i aktywuje je po przeprowadzeniu pogłębionej analizy sytuacji firmy. W tym zawiera się pozyskiwanie informacji, które mogą pokazać, czy opłacalne będą kolejne ataki oraz jak wysokiego okupu można żądać bez rozbijania banku ofiary.

Opr: DD