@dfncert@infosec.exchangeEmotet: Eine Übersicht über die Schadsoftware
Emotet ist bereits 2014 entdeckt worden, unterscheidet sich allerdings in vielen Facetten von anderer Schadsoftware. Ein Merkmal dieser Schadsoftware ist, dass sich sowohl deren Eigenschaften als auch die Durchführung der Angriffe ständig ändert. So richten sich die Angriffe nicht nur gegen Endanwender sondern stellen auch für Firmen und Universitäten eine große Bedrohung dar. Weiterhin wird Emotet aktuell dazu verwendet, zusätzliche Schadsoftware nachzuladen. An dieser Stelle fassen wir die Facetten und Eigenschaften zusammen, die diese Schadsoftware so besonders machen und geben eine kurze Übersicht, wie man sich schützen kann.
Spezielle Fähigkeiten und Eigenschaften von Emotet
Das Besondere an Emotet ist die Vielseitigkeit, die sowohl die Schadsoftware an sich als auch deren Verwendung betrifft.
Emotet greift sowohl Firmen als auch Endbenutzer an
Emotet stellt sowohl für Firmen und Institute als auch für Endanwender eine große Bedrohung dar. Dies bezieht sich sowohl auf die Art des initialen Angriffs als auch auf die Verbreitung nach einer erfolgreichen Infektion. Der initiale Angriff ist immer eine Phishing-Mail, an die entweder direkt ein Microsoft Office Dokument oder eine PDF-Datei angehängt ist, oder die einen Link auf solche Dokumente enthält. Die Phishing-Mails sind dabei an die verschiedenen "Zielgruppen" angepasst: So werden diese beispielsweise als Bewerbungen getarnt und gezielt an Personalabteilungen gesendet; oft werden die Mails auch als Rechnungen von bekannten Telekommunikationsanbietern (beispielsweise Deutsche Telekom AG) getarnt. Dabei wird in der Regel fehlerfreies Deutsch verwendet, weshalb Emotet insbesondere im gesamten deutschsprachigen Raum seit ein paar Jahren sehr "erfolgreich" ist.
Eine weitere Anpassung an die Zielgruppe ist die flexible Anpassung der Schadfunktionen, auf die im nächsten Punkt eingegangen wird.
Emotet kann andere Schadsoftware nachladen und sich in Netzwerken verbreiten
Emotet ist im Wesentlichen ein "Banking-Trojaner", der lokal Transaktionen des Online-Bankings angreift. Jedoch kann diese Schadsoftware zusätzliche Schadsoftware nachladen, die sich aktiv im Netzwerk verbreitet. Beispiele sind "Trickbot" und "Qakbot" (Beispiele: #1, #2, #3, #4, #5, #6). So verwendet Trickbot beispielsweise den Exploit ETERNALBLUE (MS17-010), um sich über verwundbare SMBv1-Server weiter zu verbreiten. Qakbot verbreitet sich im Netzwerk, indem die Software verschiedene Passwörter ausprobiert oder das Tool "Mimikatz" verwendet, um Passwörter aus dem Speicher zu rekonstruieren. Durch die aktive Verbreitung sind insbesondere Firmen und Institute gefährdet, die Microsoft Windows-Netzwerke betreiben.
Emotet missbraucht Kontakt-Informationen aus Outlook
Emotet wertet die Kontaktdaten des E-Mail Programms Outlook für die nachfolgenden Angriffe aus. Dabei werden Beziehungen zwischen Sendern und Empfängern von E-Mails an den Server der Angreifer gesendet. Für Phishing-Mails wird dann gezielt eine Absenderadresse gewählt, die dem Opfer bekannt ist (Social Engineering Angriff).
Emotet verwendet verschiedene Methoden, um Zugangsdaten für E-Mail-Clients und Browser auszulesen
Wie das US-CERT in der Warnmeldung TA18-201A beschreibt, verwendet Emotet verschiedene Methoden, um Passwörter bzw Zugangsdaten für E-Mail-Clients und Browser auszulesen. Davon betroffen sind Microsoft Outlook, Windows Mail, Mozilla Thunderbird, Hotmail, Yahoo! Mail und Gmail sowie die Browser Internet Explorer, Mozilla Firefox, Google Chrome, Safari und Opera. Die ermittelten Zugangsdaten ermöglichen es, bestehende E-Mail-Accounts für den Versand von Phishing-Mails zu missbrauchen. In Kombination mit den Kontaktinformationen aus Outlook lassen sich Phishing-Mails erstellen, die sowohl von einem legitimen Account versendet werden als auch von bestens bekannten Absendern stammen.
Update: Unsere Kollegen vom CERT-Bund berichteten am 11.04.2019 via Twitter: "Seit Ende 2018 späht Emotet aus Outlook-Postfächern nicht nur die Kontaktbeziehungen, sondern auch die ersten 16kB jeder E-Mail aus. Diese ausgespähten E-Mails werden nun verwendet, um mit vermeintliche Antworten die Schadsoftware weiter zu verbreiten."
Update: Unsere Kollegen von CERT.at berichteten am 29.07.2020 via Twitter: "Emotet verschickt jetzt auch gestohlene E-Mail-Anhänge." (Details)
Update: Unsere Kollegen vom CERT-Bund berichteten am 02.09.2020 via Twitter: "Spams kommen jetzt auch wieder mit passwortgeschützten ZIP-Archiven im Dateianhang, welche die schädlichen Word-Dokumente enthalten."
Wir aktualisieren regelmäßig unsere Aktuellen Informationen und Links rund um die Schadsoftware Emotet.
Schutz vor der Emotet Schadsoftware
Der Schutz vor Emotet erfolgt auf mehreren Ebenen. Bislang wurden für die initiale Infektion in der Regel Phishing-Mails verwendet. Diese enthielten oder zeigten auf Microsoft Office-Dokumente mit darin enthaltenen bösartigen Makros. Ein Schutz besteht also darin, die Ausführung von Makros zu unterbinden: beispielsweise durch Schulung der Mitarbeiter(innen) und/oder durch technische Maßnahmen.
Weitere Schutzmechanismen sind die Erkennung der Schadsoftware auf betroffenen Systemen sowie deren Verbreitung im Netzwerk. Dies kann beispielsweise durch Antivirus-Software oder ein Intrusion Detection System (IDS) erfolgen.
Eine Ausbreitung von Emotet oder nachgeladener Schadsoftware lässt sich verhindern, indem aktuelle Sicherheitspatches eingespielt werden, das Netzwerk entsprechend segmentiert wird und sichere Passwörter verwendet werden.
Eine gute und umfassende deutschsprachige Zusammenfassung der Maßnahmen ist von der Allianz für Cybersicherheit veröffentlicht worden.
