Emotet ist zur\u00fcck: Wie Phoenix aus der Asche kehrt der Trojaner nach knapp f\u00fcnfmonatiger Pause wieder zur\u00fcck \u2013 wieder gab es eine Welle an Spam-Mails und Emotet-Aktivit\u00e4ten. Emotet hat dazu gelernt, doch auch neue Feinde bekommen. Wir fassen f\u00fcr Sie den aktuellen Stand zusammen.<\/p>\n
Schon seit geraumer Zeit sorgt der \u201eEmotet\u201c getaufte Trojaner in Deutschland und der ganzen Welt f\u00fcr Aufsehen, wir berichteten<\/a>. Seit etwa Mitte Juli gehen vom Botnetz Emotet nach gut f\u00fcnfmonatiger Pause Angriffswellen aus. Wie Bleeping Computer erkl\u00e4rt, lagen die Ziele bislang vorwiegend in den USA sowie im Vereinigten K\u00f6nigreich. Die Masche ist noch dieselbe: Die Opfer des Trojaners erhalten eine E-Mail mit Links oder Word-Dokumenten sowie der Bitte, diese zu \u00f6ffnen. Erlaubt der Rechner des Opfers Makros, so aktiviert dies die in den Dokumenten enthaltenen Makros, deren Ausf\u00fchrung f\u00fcr die Installation von Emotet sorgt.<\/p>\n In der Vergangenheit hat Emotet Daten verschl\u00fcsselt. Bislang ist unklar, welche Schadsoftware durch Emotet nun im Rahmen der neuen Welle konkret auf infizierten Rechnern installiert werden. In den den E-Mails angeh\u00e4ngten Dokumenten befinden sich offenbar neue URLs. Diese verweisen auf gehackte WordPress-Sites. Auf solchen Zielseiten werden verschiedene Informationen angezeigt, etwa, dass es nicht m\u00f6glich sei, das Dokument ordnungsgem\u00e4\u00df zu \u00f6ffnen. Klicken Nutzer nun auf derartige Nachrichten, k\u00f6nnte das T\u00fcr und Tor f\u00fcr den Trojaner \u00f6ffnen.<\/p>\n Neben anderen Forschern hat sich auch Malwarebytes Emotets R\u00fcckkehr angeschaut<\/a>: Ist Emotet einmal auf einem System, werden Schadprogramme wie Trickbot nachgeladen. Mithilfe dieser k\u00f6nnen Passw\u00f6rter, aber auch SSH-Keys oder Cookies gestohlen werden. Hinzu kommt die Tatsache, dass sich Emotet im Netzwerk immer weiterverbreitet. Die Sicherheitsforscher von Malwarebytes attestieren Emotet vor allem dann Gef\u00e4hrlichkeit, wenn er sich mit anderen Sch\u00e4dlingen verb\u00fcndet, um etwa Ransomware auf die Systeme zu schleusen.<\/p>\n Um die Opfer zu verf\u00fchren, Links und Anh\u00e4nge anzuklicken, m\u00fcssen die E-Mails entsprechend echt aussehen. Und genau hier hat Emotet leider sehr dazugelernt: Der Trojaner hat die F\u00e4higkeit, aus den E-Mail-Programmen<\/a> infizierter Rechner neben Kontaktinformationen sowie \u2013beziehungen auch Inhalte von Nachrichten auszulesen.<\/p>\n In der Folge sind die Angreifer in der Lage, t\u00e4uschend echt wirkende Antworten auf Nachrichten zu geben, die die Nutzer tats\u00e4chlich versendet haben. Die Makro-Aktivierung mit oben erw\u00e4hnten Tricks ist da nur noch ein kleiner Schritt.<\/p>\n Kurz nachdem Emotet seine Aktivit\u00e4ten wiederaufnahm, schw\u00e4chten anonyme Hacker die Infrastruktur des Sch\u00e4dlings, indem sie den Schadcode von Emotet mal eben durch animierte GIFs ersetzt hatten, wie ZDNet berichtete<\/a>. Dazu machen sich die Hacker eine Schwachstelle in der sogenannten Webshell zunutze, \u00fcber die dann Kommandozeilen-Befehle auf dem Server ausgef\u00fchrt werden k\u00f6nnen.<\/p>\n Die Emotet-Gang setzt auf die Open Source-Webshell von GitHub \u2013 jedoch immer mit demselben Passwort. Wie Sicherheitsforscher Kevin Beaumont bereits in 2019 auf Twitter anmerkte<\/a>, ist Emotets Verbreitungsmethode als unsicher einzustufen. Es w\u00e4re jedem m\u00f6glich, die Payload zu \u00e4ndern. Es scheint, als w\u00e4re genau das jetzt geschehen und als h\u00e4tten die unbekannten Hacker Zugang zu diesem Passwort erhalten. Am 23. Juli versuchte man, die Eindringlinge aus den Webshells zu vertreiben, was zu einem Ausfall des Emotet-Botnetzwerks f\u00fchrte. Vertrieben wurden die Eindringlinge jedoch nicht. Wer die Eindringlinge sind, ist noch immer unklar, es gibt jedoch Spekulationen: Man vermutet entweder eine oder mehrere Personen aus der Sicherheitscommunity oder auch eine konkurrierende Malware-Gang hinter den Angriffen.<\/p>\n Es ist recht wahrscheinlich, dass die Emotet-Gang bereits Schritte unternommen hat, um die Eindringlinge zu entfernen \u2013 jedenfalls beobachten verschiedene Sicherheitsforscher eine Stabilisierung der Emotet-Infrastruktur. Es gelang den Hackern jedenfalls, verschiedene GIFs in die Emotet-Fallen einzuschleusen. Anfangs betraf die Manipulation nur wenige der gekaperten WordPress-Sites; mittlerweile erscheint eine Art Wettrennen entbrannt zu sein. Tats\u00e4chlich zeigen ein Viertel der Quellen von Emotet mittlerweile GIFs an, Tendenz steigend. Die Zahl der GIFs steigt aktuell wesentlich schneller als die Anzahl der Neuinfektionen mit Emotet.<\/p>\n Es ist nicht davon auszugehen, dass die Emotet-Gang ihre Aktivit\u00e4ten nun einstellen wird, viel zu erfolgreich waren sie mit dem \u201eK\u00f6nig der Schadsoftware\u201c, wie das BSI Emotet einst bezeichnete. Auch erscheint fraglich, ob Selbstjustiz wirklich der richtige Weg ist, Emotet beizukommen. Den unbekannten Hackern ist es jedenfalls gelungen, eine Schlacht um Payloads und GIFs zu starten und die Emotet-Gang zumindest vor\u00fcbergehend etwas ins Staunen zu bringen.<\/p>\n Es ist anzunehmen, dass dies nicht das Ende von Emotet ist \u2013 wohl auch in Zukunft werden wir immer wieder von Emotet in neuen Varianten h\u00f6ren. Das Wettrennen zwischen der IT-Sicherheitsbranche und Cyberkriminellen ist und bleibt Realit\u00e4t. Deshalb: Sch\u00fctzen Sie sich und Ihre IT-Infrastruktur! Welche Ma\u00dfnahmen gegen Trojaner helfen, haben wir Ihnen in diesem Beitrag zusammengestellt<\/a>. Lesen Sie auch die Tipps, die das BSI in Hinblick auf die Schadsoftware Emotet gibt<\/a>.<\/p>\n James Quinn<\/a>, seines Zeichens Malware-Analyst im Hause Binary Defense, ist es gegen Jahresanfang gelungen, einen Fehler in Emotet zu entdecken<\/a>. Dieser Fehler befindet sich in dem Code-Teil, der es der Malware gestattet, sich auf einem Rechner einzunisten – dieser Code f\u00fchrt also auch dazu, dass Emotet Neustarts \u00fcberstehen kann. Nach vielen Recherchen und Untersuchungen gelang es Quinn, mithilfe eines PowerShell-Skripts einen Absturz von Emotet auszul\u00f6sen.<\/p>\n Quinn taufte das Skript „EmoCrash“. Dieses legt einen Schl\u00fcssel innerhalb der Registry an. Beim Versuch, Systeme mit der Malware Emotet zu infizieren, sorgt dieser Schl\u00fcssel f\u00fcr einen Puffer\u00fcberlauf innerhalb des Emotet-Codes. Genau das bringt den Sch\u00e4dling zum Absturz – und soll effizient vor Emotet-Infektionen sch\u00fctzen, \u00e4hnlich wie ein Impfstoff.<\/p>\n Dem Forscher zufolge soll dieser „Impfstoff“ sogar auf Systemen funktionieren, auf denen Emotet bereits gew\u00fctet hat. Auf solchen Systemen ersetzt das Skript einen Registry-Schl\u00fcssel, der urspr\u00fcnglich von Emotet angelegt wird, durch den EmoCrash-Schl\u00fcssel – und die Malware st\u00fcrzt ab. Das kann zwar leider bereits bestehende Infektionen nicht r\u00fcckg\u00e4ngig machen. Aber immerhin soll das Kommunizieren mit Befehlsservern der Emotet-Gang verhindert werden.<\/p>\n Auch um Systeme mit aktiver Emotet-Infektion innerhalb von Netzwerken aufzusp\u00fcren, kann das Skript eingesetzt werden. In der Windows-Ereignisanzeige werden Abst\u00fcrze mit den Event-IDs 1000 sowie 1001 dokumentiert. Admins k\u00f6nnen anhand dieser IDs gezielt nach Infektionen suchen.<\/p>\n Einen Direktvertrieb des Skripts gibt es nicht – \u00fcber einen Sicherheitsanbieter wurde EmoCrash vertrieben, sodass nicht klar ist, wie viele das Skript eingesetzt hatten. Ziel war es, das Skript nicht an die Hacker durchsickern zu lassen. Das ist jedoch ohnehin irrelevant: Seit die Emotet-Entwickler Anfang August den Code-Teil f\u00fcr die dauerhafte Einnistung der Malware vollst\u00e4ndig ge\u00e4ndert hatten, ist EmoCrash wieder wirkungslos.<\/p>\nEmotet lernt seine Opfer erst kennen<\/h3>\n
Emotet wurde selbst Hacking-Opfer<\/h2>\n
IT-Sicherheit und Emotet<\/h2>\n
Update, 24.08.20: „Impfstoff“ gegen Emotet<\/h2>\n