Zusammenfassung

Am 17.07.2020 entdeckte das Hornetsecurity Security Lab die Rückkehr von Emotet. Der wieder auftauchende Emotet-Malspam wurde bereits durch bestehende Erkennungsregeln blockiert. Die aktuelle Emotet-Malspam-Welle verwendet erneut bösartige Makrodokumente, die entweder über Anhänge oder über bösartige Download-Links verbreitet werden. Wie üblich laden die VBA-Makros im Dokument den Emotet Loader herunter, den das Hornetsecurity Security Lab bereits analysiert hat [EmotetLoader].

Hintergrund

Wie bereits berichtet, war die Rückkehr von Emotet unvermeidlich. Das Botnet Emotet hat seit dem 07.02.2020 keinen Malspam mehr verschickt. Obwohl es andere Aktivitäten im Botnet gab, wie aus der folgenden Zeitachse ersichtlich ist, wurde seit 7.2.2020 kein Malspam vom Hornetsecurity Lab beobachtet.

Emotet jüngste Ereignisse

Am 17.07.2020 wurden neue Emotet-Malspam-E-Mails durch die E-Mail-Filtersysteme von Hornetsecurity blockiert. Eine dieser E-Mails sieht wie folgt aus:

Emotet-Malspam-E-Mail

An die E-Mail ist ein Word-Dokument angehängt, es existieren jedoch auch andere E-Mails mit böswilligen Download-Links zu den böswilligen Word-Dokumenten. Beim Öffnen des Dokuments wird der Benutzer angewiesen, auf „Bearbeitung aktivieren“ zu klicken (oder wie die Emotet-Autoren es ausdrücken „Enable Edition“ (dt. „Edition aktivieren“)) und auf die Banner-Schaltfläche „Inhalt aktivieren“ zu klicken:

Emotet DOC-Anlage

Wenn ein Benutzer dies tut, wird er ein Opfer von Emotet.

Technische Analyse

Wie bereits früher berichtet, sieht die typische Emotet-Infektionskette wie folgt aus

Emotettet-Infektionskette

Wir haben bereits über den Emotet Loader als Teil einer Analyse bezüglich seiner Aktualisierungen berichtet. Da Emotet zu diesem Zeitpunkt keinen Malspam verschickte, konnten wir die bösartigen Dokumente, die typischerweise bei Emotet-Infektionen verwendet werden, nicht skizzieren.

Die VBA-Makros sind verschleiert. Das Makro konstruiert einen Powershell-Befehl aus verschleierten Zeichenfolgen, die in das VBA-Makro eingebettet sind:

Emotet-Powershell-Befehl

Die Dekodierung des Base64-kodierten Befehls enthüllt die 5 Emotet Loader-Download-URLs:

Emotet URLs zum Herunterladen

Das Dokument wird versuchen, den Emotet Loader von jeder dieser 5 URLs herunterzuladen:

Emotet DNS-Abfragen

Falls einer der 5 Downlods erfolgreich ist, führt er den EmotetLoader aus, den wir zuvor in einem anderen Artikel [EmotetLoader] analysiert haben.

Schlussfolgerung und Gegenmaßnahme

Anders als bisher spekuliert, hat Emotet keine neuen Tricks auf Lager – zumindest nicht, wenn es um den Malspam geht.

Zum Schutz vor Emotet empfiehlt das US-CERT, „Filter am E-Mail-Gateway zu implementieren, um E-Mails mit bekannten Malspam-Indikatoren herauszufiltern“ [USCERT].

Hornetsecurity’s Spam und Malware Protection, mit den höchsten Erkennungsraten auf dem Markt, hat den wieder aufgetauchten Emotet-Malspam bereits erkannt und blockiert. Hornetsecurity’s Advanced Threat Protection erweitert diesen Schutz, indem es auch noch unbekannte Bedrohungen erkennt.

Über das Blockieren der eingehenden Emotet-Mails hinaus können die Verteidiger öffentlich zugängliche Informationen des Cryptolaemus-Teams nutzen, einer freiwilligen Gruppe von IT-Sicherheitsexperten, die sich zur Bekämpfung von Emotet zusammengeschlossen haben. Sie stellen täglich neue Informationen über ihre Website [CryptolaemusWeb] zur Verfügung. Dort erhalten Sie die neueste C2-IP-Liste zum Auffinden und/oder Blockieren von C2-Verkehr. Für Echtzeit-Updates können Sie ihrem Twitter-Account [CryptolaemusTwitter] folgen.

Verweise

Indicators of Compromise (IOCs)

Hashes

SHA256Beschreibung
99d8438c947cac7ca363037f1436ecab4e7fa4609c9c59f6fd5006a050d361aaBöswilliges Dokument
5d2c6110f2ea87a6b7fe9256affbac0eebdeee18081d59e05df4b4a17417492bBöswilliges Dokument
c5949244e5d529848c2323545a75eec34e6ba33c6519d46359b004d6717a68a5Böswilliges Dokument

URLs

  • hxxps[:]//www.elseelektrikci[.]com/wp-content/hedk3/
  • hxxps[:]//www.rviradeals[.]com/wp-includes/LeDR/
  • hxxps[:]//skenglish[.]com/wp-admin/o0gf/
  • hxxps[:]//www.packersmoversmohali[.]com/wp-includes/pgmt4x/
  • hxxps[:]//www.tri-comma[.]com/wp-admin/MmD/

DNSs

  • www.elseelektrikci[.]com
  • www.rviradeals[.]com
  • skenglish[.]com
  • www.packersmoversmohali[.]com
  • www.tri-comma[.]com