Bedrohungslage

Emotet erkennen: Maßnahmen gegen Trojaner

3. März 2020 von Bianca Wellbrock

Emotet erkennen
© Andrey Popov - Adobe Stock

4.4
(5)

Emotet – im Jahre 2019 vom BSI als „König der Schadsoftware“ bezeichnet – ist nach wie vor aktiv. Neben Stadtverwaltungen wurden Behörden, Kliniken und Universitäten lahmgelegt, man war auf Zettel und Stift angewiesen. Die Ransomware zeigte sich in der Vergangenheit als sehr anpassbar, was sie so gefährlich macht. Im „State of Malware“-Report 2019 (PDF-Download) zeigte Malwarebytes auf, dass Emotet im Jahre 2019 die zweithäufigste Bedrohung für Unternehmen darstellte – direkt hinter der Adware Yontoo, die im Jahresvergleich um sagenhafte 6.000 % zulegte. In unserem heutigen Beitrag zeigen wir auf, was Emotet angerichtet hat und mit welchen Maßnahmen Sie sich gegen den Trojaner rüsten können.

Phoenix aus der Asche: Emotet bleibt aktiv

Emotet ist schon seit 2014 aktiv. In unserem Beitrag „Spear-Phishing mit Emotet“ berichteten wir erstmals 2018 über die trickreiche Ransomware, aber erst in den vergangenen zwei Jahren zeigte Emotet so richtig, was die Malware kann. Wer steckt eigentlich hinter der Schadsoftware? So genau weiß man das wohl nicht, das Bundesamt für Sicherheit in der Informationstechnik (BSI) äußert sich dazu nicht. Es gibt Gerüchte, in denen Osteuropa oder Russland als Ursprungsgegenden infrage kommen, jedoch existieren keine seriösen Belege. Das BSI ist sich sicher, dass „die Entwickler von Emotet ihre Software und ihre Infrastruktur an Dritte untervermieten“. Diese setzen zusätzlich auf weitere Schadsoftware, um die „eigenen Ziele zu verfolgen“, erklärt das BSI. Diese Ziele seien finanzieller Natur, das BSI geht nicht von Spionage aus.

Ende 2018 wurde es etwas ruhiger um Emotet; offenbar machten auch die Cyberkriminellen eine kleine Weihnachtspause. Im März 2019 meldete sich der Schädling jedoch mit aller Macht zurück; wir berichteten. Sehen wir uns an, was Emotet seither angerichtet hat:

Emotet zielt auf heise.de

Als am Montag, den 13. Mai 2019 kurz vor 15 Uhr ein Mitarbeiter eine Mail öffnete, die sich auf einen real existierenden Geschäftsvorfall bezog, nahm das Unheil in der Heise-Redaktion seinen Lauf: Der vermeintliche Geschäftspartner bat in der E-Mail darum, kurz noch die Daten im beigefügten Word-Dokument zu überprüfen und gegebenenfalls anzupassen. Der Heise-Mitarbeiter öffnete das Dokument und eine (manipulierte) Fehlermeldung forderte dazu auf, „Enable Editing“ anzuklicken. Damit gab der Mitarbeiter dem Trojaner den Startschuss: Im Hintergrund infizierte Emotet munter das Windows-System, um sich dann im Heise-Netz zu tummeln.

Die Admins der Heise-Redaktion entschieden sich, das Netz inklusive neu aufgesetzten Rechnern sowie einem neuen Active Directory hochzuziehen. In diesem Zuge wurden außerdem verschärfte Sicherheitsmaßnahmen umgesetzt, die ähnliche Situationen künftig idealerweise vermeiden oder zumindest erschweren. Nur unter größter Vorsicht wurden existierende Daten, Tools und Ähnliches Schritt für Schritt ins neue Netzwerk übertragen. Den kompletten Bericht zu dem Vorfall können Sie direkt auf heise.de nachlesen.

Berliner Kammergericht ist offline

Im September 2019 wurde das Berliner Kammergericht von Emotet in die Knie bzw. in die Internetlosigkeit gestürzt. Eine infizierte E-Mail gab Emotet den Weg ins Netz des obersten Straf- und Zivilgerichts frei. Hieß es zunächst von offizieller Seite, dass keine Daten entwendet wurden, bestätigen jüngste Meldungen, dass Daten gestohlen wurden.

Das Cyber Emergency Response Team von T-Systems erstellte ein Gutachten (s. Pressemeldung auf berlin.de), aus dem hervorgeht, dass Daten abgezogen wurden. Laut Gutachten wüteten Emotet und Trickbot über mehrere Tage hinweg ungehindert durchs Netz des Gerichts und zogen dabei Daten ab, etwa Login-Daten. Außerdem gäbe es Indizien dafür, dass sich Angreifer einen manuellen, interaktiven Zugang verschaffen konnten.

Hieß es seitens des Kammergerichts zunächst, man werde wohl bis Anfang 2020 offline bleiben, wird das Kammergericht bis auf weiteres auf Telefon, Fax und Briefpost ausweichen, wie auf der Website zu lesen ist. Das elektronische Anwaltspostfach funktioniere, die Geschäftsstelle für Justizverwaltungsangelegenheiten ist auch wieder per E-Mail erreichbar. Dennoch bleibt die Erreichbarkeit weiterhin eingeschränkt – bis wann, ist unklar.

Angriff auf Uni Gießen

Auch die Uni Gießen blieb nicht verschont: Im Dezember 2019 meldete die Universität, komplett offline zu sein und zu befürchten, Opfer einer Hackerattacke geworden zu sein. Man habe die Server schnellstmöglich heruntergefahren; Internet, E-Mail-Systeme oder interne Netzwerke konnten nicht genutzt werden.

Das Herunterfahren der Server war ein guter Gedanke: Wenngleich der Schädling – wahrscheinlich Emotet – bereits im System war, gelang es durch das Herunterfahren, sämtliche wissenschaftlichen Daten sowie die Datenbestände der Verwaltung zu schützen. Im Dezember liefen Lehr- und Forschungsbetrieb im Notfallmodus; der Normalzustand wird seit Januar schrittweise wiederhergestellt.

Landesamt für Steuern geht offensiv vor

Öffentliche und privatwirtschaftliche Stellen möchten verhindern, auf ähnliche Weise getroffen zu werden – so auch das Land Niedersachsen. Man könnte sicherlich daran arbeiten, die IT-Infrastruktur so umzuorganisieren, dass sie hinreichend Widerstand bietet. Niedersachsen jedoch geht andere Wege und beschneidet sich selbst in den eigenen Kommunikationsmöglichkeiten: Schon seit Monaten nimmt das Bundesland keine E-Mails mehr entgegen, die Office-Dokumente enthalten. Wie das Land in einer Pressemeldung darlegt, werden sämtliche Nachrichten an die Finanzämter Niedersachsens, ans Landesamt für Steuern Niedersachsen sowie an die Steuerakademie Niedersachsen blockiert, die einen Link enthalten. Auch hier ist der Hinweis darauf gegeben, dass E-Mails mit Office-Anhängen ebenfalls blockiert werden.

Wir sind uns sicher: Sinnvoller wäre es, die IT entsprechend zu sichern. In den folgenden Abschnitten verraten wir Ihnen, wie Sie sich effizient vor Emotet schützen können, ohne Ihre Kommunikation derartig zu beschneiden.

Emotet nutzt Angst vor Coronavirus

Ängste in der Bevölkerung sind oft ein Fest für Cyberkriminelle. So wundert es wenig, dass die Ängste, die derzeit durch das Coronavirus ausgelöst werden, auch mithilfe von Emotet ausgenutzt werden. Wie das US-amerikanische Cybersecurity-Unternehmen Proofpoint herausfand, versenden Cyberkriminelle angeblich Dokumente, die zur Aufklärung dienen sollen. Diese Dokumente sind jedoch verseucht und sollen Emotet weiter in Umlauf bringen.

Emotet nimmt WLANs ins Visier

Emotet ist ein echter Verwandlungskünstler, der sich immer wieder neu erfindet. Wie im Februar bekannt wurde, scannt die Ransomware nun auf infizierten Rechnern nach WLANs, die sich in der Nähe befinden. Die Sicherheitsforscher von Binary Search erklärten, dass bei den WLAN-Attacken eine interne Passwortliste zum Einsatz käme. Bei der Emotet-Analyse entdeckten die Forscher ein sich selbst entpackendes RAR-Archiv mit den Programmen worm.exe sowie service.exe. Diese Tools erstellen auf WLAN-Rechnern eine Liste von allen erkennbaren Funknetzen. Der Schädling versucht im Anschluss, sich dort anzumelden, indem systematisch sämtliche Passwörter der Liste ausprobiert werden.

Danach folgt das übliche Emotet-Programm, sodass alle im WLAN gefundenen Windows-Rechner infiziert werden. Das schließt Zugriffe auf Dateifreigaben, aber auch Windows- bzw. Active Directory-Konten ein. Der Schädling meldet alle gesammelten Informationen einschließlich der Funknetz-Namen sowie deren Passwörter an einen Command and Control Server (C2). Binary Search fand heraus, dass dieses WLAN-Modul schon bald zwei Jahre alt, bislang allerdings unbekannt ist.

Brute-Force-Angriffe dieser Art können gegen sichere WLAN-Passwörter nichts ausrichten. Das Verwenden von Standardpasswörtern jedoch ist gefährlich und sollte dringend überdacht werden.

Emotet und Microsoft Office 365

Eine der wichtigsten Schutzmaßnahmen vor Emotet ist es, das Ausführen von Makros in Microsoft Office zu unterbinden. Die meisten Office-User nutzen ohnehin keine Makros – das kann über Gruppenrichtlinien in Unternehmen recht simpel eingerichtet werden. Sollte man zumindest meinen. Da Microsoft das Administrieren mit Gruppenrichtlinien jedoch verschlimmbessert hat, ist dieser Schutz nicht so zuverlässig, wie gemeinhin angenommen.

Die Administratoren der Heise-Redaktion sind eher zufällig über ein interessantes Aber gestolpert: Wenn in Ihrer Organisation einige die Office Professional Plus-Version nutzen, andere jedoch schon auf „Office 365 Business Premium“ gewechselt haben, werden von zweiterem die Gruppenrichtlinien ignoriert. Das geht nicht etwa mit einer Warnmeldung einher, sondern geschieht heimlich, still und leise. In welchen Office-Versionen die Gruppenrichtlinien ignoriert werden, führt heise selbst in diesem Beitrag auf. Der Artikel geht auch darauf ein, dass das Ausführen von Makros über die Registry-Einträge deaktiviert werden kann und dann über die Gruppenrichtlinien verteilt wird. Das ist jedoch weder einfach noch ohne einen Haken möglich. Heise erklärt im verlinkten Beitrag Details.

Heise fand weiter heraus, dass es sich nicht um ein grundsätzliches Office 365-Problem handelt. Vielmehr sind die preisgünstigen Business-Versionen von dieser Lücke betroffen. Die teuer vertriebenen Enterprise-Versionen unterstützen die Gruppenrichtlinien wieder.

Maßnahmen gegen Emotet und andere Trojaner

Beim Schutz gegen Emotet und andere Trojaner nützt es nichts, sich ausschließlich auf Antiviren-Software zu verlassen. Emotet zu erkennen, ist schon schwierig: Der polymorphe Virus verändert bei jedem Abruf seinen Code ein wenig, sodass er bei signaturbasierten Suchen, wie sie viele Antiviren-Programme durchführen, unentdeckt bleiben kann.

Wie wir bereits in unserem Beitrag „Update zu Emotet“ geschrieben haben, gibt es keine 100-prozentige Sicherheit, kein Tool speziell gegen Trojaner, vor allem nicht, wenn sie so wandelbar sind wie Emotet. Jedoch können Sie durch organisatorische und technische Maßnahmen Vorkehrungen treffen, die das Risiko einer Infektion signifikant reduzieren. Das BSI nennt Maßnahmen, die umgesetzt werden müssen, sowie Maßnahmen, deren Umsetzung empfehlenswert ist. Beide stellen wir Ihnen im Folgenden vor.

Dringend empfohlene Maßnahmen gegen Emotet & Co.

  • Sensibilisierung: Informieren Sie sich regelmäßig über weitere Entwicklungen. Sie können Ihre Informationen selbst recherchieren oder beispielsweise Newsletter abonnieren, sodass Sie automatisch informiert werden. Den BSI-Newsletter oder auch unseren Newsletter können Sie unter den Verlinkungen abonnieren. Als Organisation ist es wichtig, alle Mitarbeiter, die mit der IT-Infrastruktur umgehen, zu sensibilisieren, beispielsweise durch entsprechende Trainings. Nutzer sollten in der Lage sein, selbst dezente Auffälligkeiten zu erkennen und entsprechende Schritte einzuleiten, etwa das Melden an den IT-Sicherheitsbeauftragten.
  • Sicherheitsupdates: Von Herstellern bereitgestellte Sicherheitsupdates sind zeitnah zu installieren, und zwar sowohl für Betriebssysteme als auch für Anwendungsprogramme. Idealerweise erfolgen Updates automatisiert über eine zentrale Software-Verteilung.
  • AV-Software: In Organisationen und Unternehmen sollte die Antiviren-Software zentral administriert werden. Dazu gehört auch das regelmäßige Prüfen, ob die Updates der AV-Signaturen wirklich auf sämtlichen Clients ausgerollt werden.
  • Backups: Führen Sie regelmäßig mehrstufige Datensicherungen durch. Vergessen Sie dabei nicht, einen möglichen Wiederanlauf zu planen und das Rückspielen von Daten zu testen. Im Ernstfall muss es funktionieren!
  • Monitoring: Sinnvoll ist es, das automatisierte Monitoring inklusive Alarm bei Anomalien regelmäßig durch manuelles Monitoring von Logdaten zu ergänzen.
  • Segmentierungen: Trennen Sie sinnvoll Produktions-, Client-, Domain-Controller- sowie Server-Netze inklusive isolierter Administration nach verschiedenen Vertrauenszonen, Regionen und/ oder Anwendungsbereichen.
  • Berechtigungen: Eine der größten Gefahren sind Fehler von netzinternen Nutzern. Deshalb dürfen sämtliche Nutzerkonten nur über die wirklich notwendigen Berechtigungen zur Aufgabenerfüllung verfügen.

Weitere optionale Maßnahmen

  • Aufräumen: Je weniger Programme Ihnen und Ihren Mitarbeitern zur Verfügung stehen, umso weniger potenzielle Schwachstellen existieren. Nicht benötigte Software sollte deshalb grundsätzlich deinstalliert werden. Schränken Sie in Webbrowsern die Ausführung aktiver Inhalte ein und entfernen Sie Browser-Plugins, die Sie nicht benötigen.
  • Makros: Deaktivieren Sie Makros sowie OLE-Objekte in Microsoft Office und nutzen Sie ausschließlich signierte Makros. Sinnvoll ist es, auf die freie Software LibreOffice zu setzen, denn die Emotet-Makros funktionieren bei der Open Source-Lösung nicht.
  • WSH: Deaktivieren Sie Windows Script Host (WSH).
  • Whitelistings: Setzen Sie auf Application-Whitelisting. Dafür gibt es verschiedene Tools, beispielsweise Microsoft AppLocker.
  • Admin-Kennwörter: Vermeiden Sie statische lokale Administrationskennwörter und deaktivieren Sie administrative Freigaben.
  • 2FA: Zum Anmelden an Systemen setzen Sie auf 2-Faktor-Autorisierung. So verhindern Sie das automatisierte Ausbreiten der Schadprogramme in Ihrem Netzwerk durch ausgespähte Zugangsdaten.
  • Dateiendungen: Lassen Sie Dateiendungen standardmäßig anzeigen. So gelingt es, Doppelendungen wie „Erklärung.pdf.exe“ zu erkennen.
  • Plain-Text: E-Mail-Clients bieten die Möglichkeit, Nachrichten im HTML oder im Plain-Text darzustellen. Nutzen Sie die reine Textdarstellung („Plain-Text“ oder „Nur-Text“ oder „Reiner Text“) – das hat eine große Schutzwirkung. Weiter können Sie verschleierte URLs innerhalb der Textdarstellung einfach erkennen, während das Verschleiern in HTML-E-Mails ein Leichtes ist. Unterdrücken Sie mindestens die Ausführung aktiver Inhalte in HTML-Mails, stellen Sie jedoch idealerweise auf Plain-Text um.
  • Informationen darstellen lassen: Um vertrauenswürdig zu erscheinen, verschleiern Angreifer häufig ihre E-Mail-Adresse. Ein gefälschter Absender wird in den Anzeigenamen eingetragen; eigentlicher Absender ist jedoch wahrscheinlich eine kompromittierte und zum Versand missbrauchte Adresse. Konfigurieren Sie Ihren E-Mail-Client so, dass neben dem Anzeigenamen auch die vollständige Absender-E-Mail-Adresse angezeigt wird.
  • E-Mail-Server konfigurieren: Richten Sie E-Mail-Server so ein, dass sie extern eingelieferte E-Mails mit Absenderadressen, die aus der eigenen Organisation stammen, ablehnen, in Quarantäne verschieben oder aber zumindest deutlich als verdächtig markieren.
  • Ausführbare Dateien: Mails mit ausführbaren Dateien werden idealerweise blockiert oder in Quarantäne verschoben. Ein generelles Filtern für Dateitypen und/ oder Empfänger kann sinnvoll sein. Ist dies nicht möglich, können entsprechende E-Mails schon im Betreff entsprechend deutlich markiert werden.
  • Verschlüsselung: Verschlüsseln Sie Ihre E-Mail-Kommunikation, verhindern Sie ein Ausspähen der E-Mail-Inhalte. Setzen Sie durchgängig auf digitale Signaturen, gelingt die Validierung bekannter E-Mail-Absender. Dafür sind die zur Verifikation relevanten Informationen idealerweise einfach auf der Website abrufbar.
  • Firewall: Unterbinden Sie direkte Verbindungen zwischen Clients innerhalb eines Netzwerks mittels Firewall.

Emotet-Test-Tool besser nicht nutzen

Das Japanische CERT hat das Emotet-Test-Tool EmoCheck veröffentlicht. Verlassen Sie sich bitte nicht darauf: Durch den polymorphen Charakter kann sich Emotet wandeln, was dazu führen kann, dass das Tool den Trojaner nicht erkennt. Alte Emotet-Versionen sind dem Tool durchaus bekannt, jedoch sollten Sie Aussagen wie „Ihr System ist sauber“ nicht unbedingt vertrauen. EmoCheck will charakteristische Zeichenketten erkennen und so vor dem Trojaner warnen können. Seine Wandelbarkeit macht das jedoch unmöglich.

Wie ist das bei Ihnen: Sind Sie bislang sicher an Emotet vorbeigekommen oder hat der Trojaner auch bei Ihnen zugeschlagen? Kommen Sie mit uns ins Gespräch – wir freuen uns auf Ihre Kommentare!

Wie hat Ihnen dieser Artikel gefallen?

Average rating 4.4 / 5. Vote count: 5



4 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu

Auf dieses Thema gibt es 4 Reaktionen