Zusammenfassung

Das Hornetsecurity Security Lab beobachtete einen 1000 % Anstieg in den Downloadzahlen des Emotet Loaders. Die Zunahme der Downloadzahlen des Emotet-Loaders korreliert mit der Packer-Änderung der Malware, was dazu führt, dass der Emotet-Loader von Anti-Viren-Software weniger erkannt wird. Die von uns gesammelten Daten deuten darauf hin, dass diese Zunahme darauf zurückzuführen ist, dass der Loader nicht direkt erkannt wird und somit auch die Download-URLs der Emotet-Loader weniger durch Sicherheitsmechanismen blockiert werden. Jedoch schließen viele AV-Anbieter die Erkennungslücke bereits, wodurch die Identifizierung des Emotet-Loaders zunimmt und damit auch die Anzahl der Downloads wieder abnimmt. Die folgende Analyse gibt gute Einblicke in die Auswirkungen eines Emotet-Packer-Updates.

Hintergründe

Die Malware, die heute allgemein als Emotet bekannt ist, wurde erstmals 2014 beobachtet. Es handelte sich dabei um einen Banking-Trojaner, der den Opfern Bankdaten und Bankanmeldeinformationen stahl. Er entwickelte sich jedoch zu einer Malware-as-a-Service (MaaS)-Operation, die anderen Cyberkriminellen Malware-Verteilungsdienste zur Verfügung stellte.

Wir haben in früheren Blogbeiträgen mehrfach über Emotet berichtet. Die jüngsten Ereignisse sind in der folgenden Zeitleiste zu sehen:

Emotet Ereignis-Zeitleiste

Am 18.08.2020 wurden Veränderungen an Emotets Loader beobachtet. Der Loader von Emotet ist jetzt mit einem anderen Packer vor Analysen geschützt. Verschiedene Security Researcher haben beobachtet, dass diese Packer-Änderung zu einer geringeren Erkennung des Emotet-Loaders durch AV-Software1 geführt hat. Auch der entpackte Kern erhielt zuvor Aktualisierungen, die jedoch keine nennenswerten Auswirkungen auf die Downloads des Emotet-Loaders hatten. Die Änderungen am 07.08.2020 zur Behebung einer Pufferüberlauf-Schwachstelle, die in einem Emotet-„Impfstoff“ namens EmoCrash verwendet wurde, hatten ebenso keinen Einfluss auf die vorliegende Download-Statistik des Emotet-Loaders, da der „Impfstoff“ erst dann wirksam wird, wenn der Emotet-Loader bereits heruntergeladen ist.

Technische Analyse

Wir sammelten Download-Statistiken von den Emotet-Download-URLs über die Methoden, die in unserem vorherigen Artikel über die Emotet-Webshells2. Für diejenigen, die den vorherigen Artikel nicht gelesen haben, stellt der PHP-Code, den Emotet verwendet, um seine Downloads zu verteilen, eine JSON-Ausgabe zur Verfügung, die die Anzahl der Downloads der Emotet-Payloads auf dieser bestimmten URL angibt. Wir haben unsere Erfassungs- und Analysemethoden gegenüber dem vorherigen Artikel nicht geändert, um sicherzustellen, dass unsere Ergebnisse direkt beobachtete Auswirkungen von Emotet’s Verteilungsvorgang sind und keine Erfassungs- oder Analyseartefakte, die durch unsere geänderte Methodik verursacht wurden.

Es gibt zwei Arten von Emotet-Download-URLs. Solche, die ein schadhaftes Emotet-Dokument (Emotet-Maldoc) herunterladen und solche, die den Emotet Loader herunterladen. Die Emotet-Maldocs, die auch per E-Mail verschickt werden können, enthalten Emotet-Loader-Download-URLs, von denen der VBA-Makrocode den Emotet-Loader herunterlädt. Beim Emotet-Loader handelt es sich um die eigentliche Emotet-Malware, die sich dann auf dem Computer des Opfers installiert.

In unserer früheren Analyse lag der Anteil der Emotet-Download-URLs, die den Emotet-Loader herunterladen, bei 15 %. Jetzt, am 19.08.2020, beträgt der Anteil 20 %. Dies ist darauf zurückzuführen, dass Emotets-Maldocs jetzt 6 oder 7 Emotet-Loader-Download-URLs anstelle der „klassischen“ 5 verwenden, wie aus diesem dekodierten PowerShell-Befehl hervorgeht, der von einem kürzlich verbreiteten Emotet-Maldoc extrahiert wurde:

Emotet mit 6 URLs zum Herunterladen

Die Anzahl der Downloads des Emotet-Loaders, die wir von den kompromittierten Emotet-Websites über die versteckte Statistikseite von Emotet erfassen konnten, ist jedoch deutlich mehr als proportional um 5 % gestiegen.

Die Emotet-Download-Statistik vom 2020-07-29 zeigte, dass der Emotet-Loader im Durchschnitt mit einer Rate von etwa 2500 Downloads pro Stunde heruntergeladen wurde. Die folgende Grafik zeigt das Verhältnis zwischen Loader- und Maldoc-Downloads sowie deren Gesamtvolumen für den Zeitraum 2020-07-29:

Emotet alte Download-Statistiken

Zwei Tage nach dem Loader-Wechsel, am 19.08.2020, zeigen die Download-Statistiken von Emotet, dass der Emotet-Loader im Durchschnitt mit einer Rate von etwa 25000 pro Stunde heruntergeladen wurde, was einer Steigerung von 1000 % entspricht. Das folgende Diagramm zeigt das Verhältnis zwischen Emotet-Loader- und Emotet-Maldoc-Downloads sowie deren Gesamtvolumen für den Zeitraum 2020-08-19:

Emotet neue Download-Statistiken

Wir führen diesen Anstieg auf die jüngsten Änderungen am Emotet-Loader zurück. Der neue Packer wird von AV-Anbietern noch nicht sehr gut erkannt, z.B. wurden die meisten neuen Download-URLs nach dem Emotet-Update von keinem der bei VirusTotal aufgeführten Anbieter erkannt:

Emotet Loader-Download-URL bei VirusTotal nicht erkannt

Emotet Loader-Download-URL bei VirusTotal nicht erkannt

Während die Ergebnisse von VirusTotal nicht die tatsächliche dynamische Erkennung der AV-Software von Emotet darstellen, zeigt die niedrigere Erkennung insbesondere bei der Analyse der Download-URLs der Emotet-Loader dennoch eindeutig, dass die Änderung des Emotet-Packers die Erkennung tatsächlich verringert haben. Da zuvor viele der Download-URLs des Emotet-Loaders sofort als bösartig gekennzeichnet wurden, blockierten viele Sicherheitsprodukte Downloads von potenziellen Opfern, was zu sehr wenigen Gesamtdownloads des Emotet-Loaders führte.

Am 20.08.2020 fiel die Anzahl der Emotet-Loader-Downloads auf 7500 pro Stunde, was einem Rückgang von 70 % im Vergleich zum 19.08.2020 entspricht:

Emotet verbesserte Erkennungs-Download-Statistik

Dies liegt wahrscheinlich daran, dass AV-Hersteller die Erkennung von Emotets neuem Packer derzeit weiter ausbauen, zumindest werden laut VirusTotal neue Emotet-Loader-Download-URLs von AV-Herstellern wieder zunehmend schneller als schadhaft erkannt:

Emotet Loader-Download-URL bei VirusTotal erneut erkannt

Dies untermauert unsere Hypothese, dass der Anstieg der Downloadzahlen von Emotet-Loader durch Emotets neuen Packer verursacht wird aber natürlich auch in geringem Maße durch den Anstieg der Download-URLs des Emotet-Loader innerhalb der Emotet Maldocs.

Schlussfolgerung und Gegenmaßnahme

Unsere Analyse hat gezeigt, welche Auswirkungen die Änderungen am Emotet Lader haben. Wir beobachteten einen Anstieg der Downloads des Emotet-Loader um 1000 %, was in engem Zusammenhang mit den Erkennungen der Emotet-Loader-Download-URLs durch AV-Anbieter steht.

Zum Schutz vor Emotet empfiehlt das US-CERT, „Filter am E-Mail-Gateway zu implementieren, um E-Mails mit bekannten Malspam-Indikatoren herauszufiltern“3.

Hornetsecuritys Spam und Malware Protection mit den höchsten Erkennungsraten auf dem Markt sind von den Aktualisierungen des Emotet-Loaders nicht betroffen (da der Loader nie direkt per E-Mail verschickt wird) und werden daher (wie in der Vergangenheit) alle Emotet-Malspam-Indikatoren blockieren, wie z.B. Makro-Dokumente, die zur Infektion verwendet werden, aber auch bekannte Emotet-Download-URLs. Hornetsecuritys Advanced Threat Protection erweitert diesen Schutz, indem es auch noch unbekannte bösartige Links durch dynamisches Herunterladen und Ausführen der potenziell bösartigen Inhalte in einer Sandbox erkennt. Das bedeutet, dass Hornetsecurity auch für den Fall vorbereitet ist, dass die Änderung des Emotet-Loaders mit einer Änderung der Auslieferungstaktik einhergeht.

Über das Blockieren der eingehenden E-Mails von Emotet hinaus sollten Netzwerk-Administratoren öffentlich zugängliche Informationen des Cryptolaemus-Teams nutzen, einer freiwilligen Gruppe von IT-Sicherheitsleuten, die sich zur Bekämpfung von Emotet zusammengeschlossen haben. Sie stellen täglich neue Informationen über ihre Website4 zur Verfügung. Dort erhalten Sie die neueste C2-IP-Liste zum Auffinden und/oder Blockieren von Emotet-C2-Verkehr. Für Echtzeit-Updates können Sie ihrem Twitter-Account5 folgen.

Verweise