Schadsoftware Emotet
Die bleibende Bedrohung
Trotz der erfolgreichen Zerschlagung seiner Server-Infrastruktur durch Europol 2021 ist die Schadsoftware Emotet weiterhin aktiv. Netskope beobachtet die Malware und hat aktuelle Fälle in Excel-Dokumenten analysiert. Die Analyse zeigt, wie Emotet arbeitet und welche Schlupflöcher zu schließen sind.
Der Artikel liefert unter anderem Antworten auf folgende Fragen:
- Wie genau geht die Schadsoftware Emotet vor?
- Wie findet Emotet auch noch heute Schlupflöcher in Systemen?
- Wie genau arbeitet die Emotet-Kampagne und ihr dreistufiger Übertragungsmechanismus?
Emotet ist eine Schadsoftware, die 2014 erstmals identifiziert wurde und vor allem über Makros in präparierten Microsoft Office-Dokumenten arbeitet, die in Spam- und Phishing-Kampagnen per E-Mail verbreitet werden. Nach Download und Öffnung kompromittierter Dateien befällt die Malware Rechner und Netzwerke und sorgt zum Beispiel für die Nachladung von Ransomware, die bei Unternehmen großen Schaden anrichtet – laut BKA zwischen 2014 und 2021 in Höhe von mindestens 14,5 Millionen Euro. 2021 war es Europol unter Mitarbeit von Strafverfolgungsbehörden aus Deutschland, den Niederlanden, Frankreich, England, Kanada, USA, Ukraine und Litauen gelungen die Server-Infrastruktur zu zerschlagen und so seine Verbreitung deutlich einzudämmen.
Immer noch gefährlich
Doch Emotet konnte nicht vollständig ausgeschaltet werden und findet auch heute – zum Beispiel über Excel 4.0 (XML)-Makros – weiterhin Schlupflöcher in die Unternehmens-IT. Im Rahmen des Netskope Threat Lab wurden aktuell Hunderte von bösartigen Office-Dokumenten gefunden und analysiert, die zum Herunterladen und Ausführen von Emotet verwendet werden. Das deutet darauf hin, dass einige Angreifer trotz der Schutzmaßnahmen, die Microsoft 2022 zur Eindämmung von Angriffen über Excel 4.0 (XML)- und VBA-Makros veröffentlicht hat, immer noch die alten Verbreitungsmethoden verwenden.
Netskope Threat Lab hat für seine aktuelle Analyse 776 bösartige Tabellenkalkulationen untersucht, die zwischen dem 9. und 21. Juni 2022 auf Virus Total hochgeladen wurden, dem von Google betriebenen Online-Portal zum Viren- und Malware-Check von Dateien, und die Excel 4.0 (XLM)-Makros missbrauchen, um via Emotet weitere Schadfunktionen nachzuladen und auszuführen. Die meisten dieser Dateien haben die gleichen URLs und teilen auch einige Metadaten. Es wurden 18 URLs aus den 776 Proben extrahiert, von denen vier online waren und Emotet ausführten. Die Emotet-Kampagne und ihr Übertragungsmechanismus arbeiten in drei Stufen.
Stufe 1: Bösartige Tabellenkalkulationen
Die erste Stufe ist eine bösartige Kalkulationstabelle, die Excel 4.0 (XLM)-Makros missbraucht, um Emotet herunterzuladen und auszuführen. Diese Dateien werden als E-Mail-Anhänge versendet, wobei manche Tabellenkalkulationen auch in einer passwortgeschützten ZIP-Datei angehängt sind. Die Kalkulationstabelle enthält dabei eine Nachricht, die den Benutzer dazu verleiten soll, die geschützte Ansicht zu entfernen, indem er auf die Schaltfläche „Bearbeitung freigeben“ klickt. Der bösartige Code selbst ist verschleiert und über versteckte Arbeitsblätter und Zellen verteilt. Er lädt die Schadfunktion von einer externen URL über die „URLDownloadToFileA“-API herunter und führt sie mit „regsvr32.exe“ aus, einer häufig verwendeten Binärdatei für die Living-off-the-Land-Technik.
Außerdem wurden die meisten der analysierten Dateien von „Dream“ verfasst und zuletzt entweder von „RHRSDJTJDGHT“ oder „TYHRETH“ gespeichert, was darauf hindeutet, dass die Dateien wahrscheinlich einen gemeinsamen Autor haben.
Stufe 2: Verschlüsselt und gepackt
Von den 18 aus den Tabellenkalkulationen extrahierten Dateien wurden Proben von vier verschiedenen URLs heruntergeladen. Zwei dieser Dateien entpackten den gleichen Emotet-Schadcode. Die zentrale Schadfunktion von Emotet ist verschlüsselt und in den PE-Ressourcen des Ladenden gespeichert. Dies ist der gleiche Fall wie bei anderen gepackten Emotet-Samples, die im Frühjahr 2022 analysiert wurden.
Der Entpackungs- und Entschlüsselungsprozess ist ebenfalls sehr ähnlich wie bei anderen aktuellen Beispielen, die Netskope Threat Labs bereits im Jahr 2022 analysiert hat, wobei ein Schlüssel in einem einfachen rollierenden XOR-Algorithmus verwendet wird.
Stufe 3: Emotet-Schadcode
Aus den Beispielen ließen sich drei verschiedene Payloads (64-Bit-DLLs) extrahieren, die von den URLs heruntergeladen wurden. Beim Vergleich dieser Schadcodes mit jenen, die Netskope schon im April 2022 analysiert hatte, können einige Ähnlichkeiten festgestellt werden: beispielsweise das im DLL-Namen verwendete Muster oder auch der Persistenzmechanismus über den Windows-Dienst, der die Nutzlast über regsvr32.exe ausführt.
Es zeigen sich aber auch Unterschiede: Der erste ist, wo und wie Emotet seine Zeichenfolgen entschlüsselt. Während Emotet früher seine Zeichenketten in der PE .text-Sektion speicherte, verwendet die Malware aktuell Funktionen, um entschlüsselte Zeichenketten abzurufen. Einfach ausgedrückt, nutzt der Angreifer das Konzept der Stack-Strings, die als Parameter an die Funktion übergeben werden, die den Entschlüsselungsprozess durchführt.
Die entschlüsselten Zeichenketten können leicht abgerufen werden, indem Haltepunkte in der Rückkehr dieser Funktionen gesetzt werden. Es ist auch möglich, ein Python-Skript zu verwenden, um diese Daten automatisch mit Dumpulator oder einem anderen Emulations-Framework zu extrahieren. Die C2-Adressen werden hierbei auch auf eine andere Weise abgerufen: Anstatt diese Daten in der PE .data-Sektion zu speichern, analysiert Emotet die C2-Adressen auch über Funktionen. Es ist auch möglich, diese Informationen statisch zu extrahieren, indem ein Emulationsskript verwendet wird, das dem für die Strings verwendeten ähnelt.
Vorsicht ist weiter geboten
Netskope Threat Labs sieht immer wieder Angreifer, die Microsoft Office-Dateien zum Herunterladen und Ausführen von Emotet missbrauchen. Es ist daher empfehlenswert, Microsoft Office immer auf die neuesten Versionen zu aktualisieren. Außerdem können IT-Administratoren Excel 4.0 (XLM) Makros über Gruppenrichtlinien vollständig blockieren. Die Threat Labs überwachen die Emotet-Kampagne aktiv und stellen sicher, dass alle bekannten Bedrohungsindikatoren (IOCs) und Payloads erfasst werden. Alle IOCs, Skripte und die Yara-Regeln dazu finden sich im Git-Hub-Repository.
Lesen Sie mehr zum Thema
