IT-Security

Emotet: Trojaner kehrt zurück

4. August 2020 von PSW GROUP Redaktion
Emotet: Trojaner kehrt zurück
©AndreyPopov - Canva.com

5
(1)

Emotet ist zurück: Wie Phoenix aus der Asche kehrt der Trojaner nach knapp fünfmonatiger Pause wieder zurück – wieder gab es eine Welle an Spam-Mails und Emotet-Aktivitäten. Emotet hat dazu gelernt, doch auch neue Feinde bekommen. Wir fassen für Sie den aktuellen Stand zusammen.

Emotet: Schadsoftware ist wieder unterwegs

Schon seit geraumer Zeit sorgt der „Emotet“ getaufte Trojaner in Deutschland und der ganzen Welt für Aufsehen, wir berichteten. Seit etwa Mitte Juli gehen vom Botnetz Emotet nach gut fünfmonatiger Pause Angriffswellen aus. Wie Bleeping Computer erklärt, lagen die Ziele bislang vorwiegend in den USA sowie im Vereinigten Königreich. Die Masche ist noch dieselbe: Die Opfer des Trojaners erhalten eine E-Mail mit Links oder Word-Dokumenten sowie der Bitte, diese zu öffnen. Erlaubt der Rechner des Opfers Makros, so aktiviert dies die in den Dokumenten enthaltenen Makros, deren Ausführung für die Installation von Emotet sorgt.

In der Vergangenheit hat Emotet Daten verschlüsselt. Bislang ist unklar, welche Schadsoftware durch Emotet nun im Rahmen der neuen Welle konkret auf infizierten Rechnern installiert werden. In den den E-Mails angehängten Dokumenten befinden sich offenbar neue URLs. Diese verweisen auf gehackte WordPress-Sites. Auf solchen Zielseiten werden verschiedene Informationen angezeigt, etwa, dass es nicht möglich sei, das Dokument ordnungsgemäß zu öffnen. Klicken Nutzer nun auf derartige Nachrichten, könnte das Tür und Tor für den Trojaner öffnen.

Neben anderen Forschern hat sich auch Malwarebytes Emotets Rückkehr angeschaut: Ist Emotet einmal auf einem System, werden Schadprogramme wie Trickbot nachgeladen. Mithilfe dieser können Passwörter, aber auch SSH-Keys oder Cookies gestohlen werden. Hinzu kommt die Tatsache, dass sich Emotet im Netzwerk immer weiterverbreitet. Die Sicherheitsforscher von Malwarebytes attestieren Emotet vor allem dann Gefährlichkeit, wenn er sich mit anderen Schädlingen verbündet, um etwa Ransomware auf die Systeme zu schleusen.

Emotet lernt seine Opfer erst kennen

Um die Opfer zu verführen, Links und Anhänge anzuklicken, müssen die E-Mails entsprechend echt aussehen. Und genau hier hat Emotet leider sehr dazugelernt: Der Trojaner hat die Fähigkeit, aus den E-Mail-Programmen infizierter Rechner neben Kontaktinformationen sowie –beziehungen auch Inhalte von Nachrichten auszulesen.

In der Folge sind die Angreifer in der Lage, täuschend echt wirkende Antworten auf Nachrichten zu geben, die die Nutzer tatsächlich versendet haben. Die Makro-Aktivierung mit oben erwähnten Tricks ist da nur noch ein kleiner Schritt.

Emotet wurde selbst Hacking-Opfer

Kurz nachdem Emotet seine Aktivitäten wiederaufnahm, schwächten anonyme Hacker die Infrastruktur des Schädlings, indem sie den Schadcode von Emotet mal eben durch animierte GIFs ersetzt hatten, wie ZDNet berichtete. Dazu machen sich die Hacker eine Schwachstelle in der sogenannten Webshell zunutze, über die dann Kommandozeilen-Befehle auf dem Server ausgeführt werden können.

Die Emotet-Gang setzt auf die Open Source-Webshell von GitHub – jedoch immer mit demselben Passwort. Wie Sicherheitsforscher Kevin Beaumont bereits in 2019 auf Twitter anmerkte, ist Emotets Verbreitungsmethode als unsicher einzustufen. Es wäre jedem möglich, die Payload zu ändern. Es scheint, als wäre genau das jetzt geschehen und als hätten die unbekannten Hacker Zugang zu diesem Passwort erhalten. Am 23. Juli versuchte man, die Eindringlinge aus den Webshells zu vertreiben, was zu einem Ausfall des Emotet-Botnetzwerks führte. Vertrieben wurden die Eindringlinge jedoch nicht. Wer die Eindringlinge sind, ist noch immer unklar, es gibt jedoch Spekulationen: Man vermutet entweder eine oder mehrere Personen aus der Sicherheitscommunity oder auch eine konkurrierende Malware-Gang hinter den Angriffen.

Es ist recht wahrscheinlich, dass die Emotet-Gang bereits Schritte unternommen hat, um die Eindringlinge zu entfernen – jedenfalls beobachten verschiedene Sicherheitsforscher eine Stabilisierung der Emotet-Infrastruktur. Es gelang den Hackern jedenfalls, verschiedene GIFs in die Emotet-Fallen einzuschleusen. Anfangs betraf die Manipulation nur wenige der gekaperten WordPress-Sites; mittlerweile erscheint eine Art Wettrennen entbrannt zu sein. Tatsächlich zeigen ein Viertel der Quellen von Emotet mittlerweile GIFs an, Tendenz steigend. Die Zahl der GIFs steigt aktuell wesentlich schneller als die Anzahl der Neuinfektionen mit Emotet.

Es ist nicht davon auszugehen, dass die Emotet-Gang ihre Aktivitäten nun einstellen wird, viel zu erfolgreich waren sie mit dem „König der Schadsoftware“, wie das BSI Emotet einst bezeichnete. Auch erscheint fraglich, ob Selbstjustiz wirklich der richtige Weg ist, Emotet beizukommen. Den unbekannten Hackern ist es jedenfalls gelungen, eine Schlacht um Payloads und GIFs zu starten und die Emotet-Gang zumindest vorübergehend etwas ins Staunen zu bringen.

IT-Sicherheit und Emotet

Es ist anzunehmen, dass dies nicht das Ende von Emotet ist – wohl auch in Zukunft werden wir immer wieder von Emotet in neuen Varianten hören. Das Wettrennen zwischen der IT-Sicherheitsbranche und Cyberkriminellen ist und bleibt Realität. Deshalb: Schützen Sie sich und Ihre IT-Infrastruktur! Welche Maßnahmen gegen Trojaner helfen, haben wir Ihnen in diesem Beitrag zusammengestellt. Lesen Sie auch die Tipps, die das BSI in Hinblick auf die Schadsoftware Emotet gibt.

Update, 24.08.20: „Impfstoff“ gegen Emotet

James Quinn, seines Zeichens Malware-Analyst im Hause Binary Defense, ist es gegen Jahresanfang gelungen, einen Fehler in Emotet zu entdecken. Dieser Fehler befindet sich in dem Code-Teil, der es der Malware gestattet, sich auf einem Rechner einzunisten – dieser Code führt also auch dazu, dass Emotet Neustarts überstehen kann. Nach vielen Recherchen und Untersuchungen gelang es Quinn, mithilfe eines PowerShell-Skripts einen Absturz von Emotet auszulösen.

Quinn taufte das Skript „EmoCrash“. Dieses legt einen Schlüssel innerhalb der Registry an. Beim Versuch, Systeme mit der Malware Emotet zu infizieren, sorgt dieser Schlüssel für einen Pufferüberlauf innerhalb des Emotet-Codes. Genau das bringt den Schädling zum Absturz – und soll effizient vor Emotet-Infektionen schützen, ähnlich wie ein Impfstoff.

Dem Forscher zufolge soll dieser „Impfstoff“ sogar auf Systemen funktionieren, auf denen Emotet bereits gewütet hat. Auf solchen Systemen ersetzt das Skript einen Registry-Schlüssel, der ursprünglich von Emotet angelegt wird, durch den EmoCrash-Schlüssel – und die Malware stürzt ab. Das kann zwar leider bereits bestehende Infektionen nicht rückgängig machen. Aber immerhin soll das Kommunizieren mit Befehlsservern der Emotet-Gang verhindert werden.

Auch um Systeme mit aktiver Emotet-Infektion innerhalb von Netzwerken aufzuspüren, kann das Skript eingesetzt werden. In der Windows-Ereignisanzeige werden Abstürze mit den Event-IDs 1000 sowie 1001 dokumentiert. Admins können anhand dieser IDs gezielt nach Infektionen suchen.

Einen Direktvertrieb des Skripts gibt es nicht – über einen Sicherheitsanbieter wurde EmoCrash vertrieben, sodass nicht klar ist, wie viele das Skript eingesetzt hatten. Ziel war es, das Skript nicht an die Hacker durchsickern zu lassen. Das ist jedoch ohnehin irrelevant: Seit die Emotet-Entwickler Anfang August den Code-Teil für die dauerhafte Einnistung der Malware vollständig geändert hatten, ist EmoCrash wieder wirkungslos.

Wie hat Ihnen dieser Artikel gefallen?

Average rating 5 / 5. Vote count: 1

0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu