Gastbeitrag von BlackBerry
Emotet gegen den Rest der Welt
Um die Erfolgsgeschichte der Netzwerksicherheit zu beschreiben, bietet sich ein Vergleich mit einem Videospiel an: Übertragen in die Welt des Gamings wären moderne Security-Lösungen zurzeit ohne Weiteres in der Lage, das letzte und höchste Boss-Level gegen Eindringlinge und Störenfriede abzusichern. Wie bei einem Videospiel braucht es allerdings nur einen einzigen schlauen Kopf, der sich durch Springen, Ausweichen und Schießen seinen Weg durch das Labyrinth bahnt und alles ruiniert.
Die Analogie mag seltsam anmuten, aber dennoch lohnt es sich, noch einen Moment bei dem Bild zu verweilen: Sicherheitsvorkehrungen, wie beispielsweise Wände, Schutzbarrieren und verschlüsselte Kommunikationskanäle, funktionieren so gut, dass es eines brachialen Angriffs bedarf, um ins Innere zu gelangen und sich dort einen Weg zum Boss zu bahnen. Exakt so funktioniert auch Malware. Denn in der Regel greift Schadsoftware nicht direkt in die Netzwerksicherheit ein, sondern nutzt den Menschen als Einfallstor. Der Grund: Menschen sind ein leichteres Ziel als die Sicherheitsvorkehrungen innerhalb des Netzwerks. Genau dieser Umstand legt die Erfolgsbasis für Emotet.
Emotet ist eine kommerzielle Malware, die Menschen angreift, sich auf Computern einnistet und anschließend diese Computer für andere Malware öffnet. Gleichzeitig versucht sie, sich auf andere Systeme auszuweiten. Die Bedrohung Emotet ist keine typische Malware mehr, sondern eine künstliche Computerkrankheit.
Während sich die Netzwerksicherheit kontinuierlich verbessert, müssen Schadprogramme neue Wege für die Infektion und Verbreitung finden. Laut dem BlackBerry Research and Intelligence Team, das aktiv Botnets verfolgt, die mit Emotet verbunden sind, erfolgt die Pflege dieser Malware akribisch als kommerzieller Code. Zwei Eigenschaften machen Emotet so schlagkräftig: Zum einen ist es modularisiert, um die Arten von Angriffen zu variieren und zum anderen aktualisiert der Entwickler von Emotet den Code kontinuierlich, um Funktionen zu erweitern und die Stabilität zu erhalten.
Wie es funktioniert
Emotet ist ein Malware-Delivery-System, das wie ein Botnet arbeitet und Angriffe gegen eine große Anzahl von E-Mail-Adressen einsetzt, die das Vertrauen der Empfänger missbrauchen. In erster Linie greift es also Menschen an. Emotet ist ein Spam-Spreader, der gezielt E-Mails erstellt, mit denen er Menschen dazu verleitet, ihren Computer zu infizieren. Sobald er sich im System befindet, kann er spezifische Angriffe ausführen – die Palette beinhaltet unter anderem Verbreitung im Netzwerk, WiFi-Verbreitung, Diebstahl von E-Mail-Kontaktdaten sowie von Inhalten und nicht zuletzt von Passwörtern.
Der Angriff beginnt mit einer Serien-E-Mail, die eine zentrale Social-Engineering-Nachricht nach bekanntem Muster beinhaltet, zum Beispiel „Sehr geehrter [Name]“ und einen Anhang oder Link zu einer Datei, die die Malware enthält. Die Vorlage wird mit den Anmeldedaten des Absenders aus einer Liste von kompromittierten E-Mail-Konten hochgeladen. Diese Liste enthält Benutzernamen und Kennwörter für Mail-Clients und versucht, sich beim Mail-Server zu authentifizieren, um den Spam so zu versenden, als stamme er von den Personen in der Liste. Außerdem ist eine Zielliste enthalten, die Vor- und Nachname sowie die E-Mail-Adresse der Empfänger beinhaltet.
Emotet versucht, die Spam-Vorlage an jedes verfügbare Ziel zu senden und an den Server zurückzumelden, welche Sendung erfolgreich war, ähnlich wie es kommerzielle Unternehmen bei Massen-Mails an Abonnenten handhaben. Hier zeigt sich, dass Emotet nicht einfach nur Malware ist, sondern ein Produkt eines finanzstarken Geschäftsimperiums. Dessen Geschäftsmodell besteht darin, das Vertrauen der Menschen auszunutzen.
Sobald die Schadsoftware im System Fuß gefasst hat, ist sie in der Lage, Bankdaten, E-Mail-Kontoinformationen, E-Mail-Adressbücher und vieles mehr zu sammeln, um sie an Server zu senden. Malware-Anhänge können ein Office-Dokument sein, in dem Makros versteckt sind, die ihrerseits PowerShell-Befehle oder getarnte, ausführbare Dateien starten. Verwendete Links können aussehen wie die Einladung zu einem Meeting und die Opfer auffordern, als offizielle Meeting-Software getarnte Malware zu installieren, um daran teilzunehmen. Weitere bekannte Angriffs-Tools sind das Sammeln von Wireless-Passwörtern, das Sammeln von Netzwerk-Anmeldeinformationen und Stealth-Fähigkeiten wie das Setzen eines speicherresidenten Timers, Sandbox-Awareness und Anti-Analyse-Funktionen. Diese ermöglichen es, die vorgesehene Malware ohne zusätzliche Social-Engineering-Opfer weiter zu verbreiten.
- Emotet gegen den Rest der Welt
- Abwehr des Unaufhaltsamen
Lesen Sie mehr zum Thema
