UPDATE: EMOTET WEIHNACHTSWELLE

 

Am 26.12. haben wir eine neue Welle an Emotet Phishingmails beobachtet, die ihre Opfer dazu animierte, auf einen Link zu klicken, um eine Weihnachtskarte zu erhalten. Statt der versprochenen Karte verbarg sich hinter dem Link jedoch ein weiteres gefährliches Dokument, das per VBA Makro Emotet herunterlädt. Die Angreifer nutzten die Festtage, um die Mails ihrer Campagne glaubwürdiger aussehen zu lassen.

 

Ein Screenshot der Betreffzeilen einiger Mails, die alle zur gleichen Emotet Malware führten, zeigt die Kreativität der Angreifer:

 

 

Zudem variierte auch die durchaus glaubwürdig erscheinende Nachricht mit dem Link. Wir haben die Namen in den Screenshots hinter der Grußfloskel entfernt, da Emotet häufig echte, dem Opfer bekannte Namen, verwendet:

 

 

 

 

 

 

 

Die gefährlichen Dokumente wurden von folgenden Servern heruntergeladen:

 

  • httX://family.mikemccully.com/Holidays-Card/
  • httX://slatersf.com/Your-Christmas-Card/

 
Wir freuen uns, unsere Kunden sicher durch die Feiertage gebracht zu haben! 🙂

 

+++

 

Die seit dem Jahr 2014 als Banking-Trojaner bekannt gewordene Malware “Emotet” tritt in immer wieder neuen Variationen auf. In der zweiten Hälfte dieses Jahres haben wir eine neue und zudem sehr aktive Angriffswelle beobachtet, die sich vorzugsweise über Links in Phishing-E-Mails verbreitet. In diesem Beitrag erklären wir den Angriffsvektor und Infektionsweg von “Emotet”, die Verbreitungsmethoden, Ziele und seine Anti-Analysetricks anhand eines statisch und dynamisch analysierten Samples.

 

Angriffsvektor Phishing-Mails

 

Wir konnten sehr einfache aber effizient gestaltete Phishing-Mails beobachten, die die Identität einer Person aus einem geleakten Adressbuch verwendeten. Mit diesen versenden die Angreifer einen Link, über den ein Officedokument heruntergeladen wird, an andere Personen des Adressbuches. Die Adressbücher wurden von anderen mit “Emotet” infizierten Rechnern gestohlen.

 

Laut eines Berichtes von Kaspersky Lab über die letzte große Welle 2015 ist “Emotet” modular aufgebaut und kann dadurch mit einem integrierten Downloader beliebigen Payload von einem  Command and Control (C&C ) Server auf das infizierte System nachladen. Zudem enthält der Trojaner ein Modul zum Stehlen der Adressbücher aus Microsoft Outlook des infizierten Rechners. Dieses Verhalten konnten wir auch bei der neuen “Emotet”-Variante beobachten.

 

Über den Link in der versendeten Phishing-Mail laden sich die Opfer eine Office-Datei mit einem bösartigen Makro herunter, welches sich beispielsweise als Rechnung tarnt. Öffnet der Benutzer die Datei, wird er durch einen Phishing-Trick dazu animiert, die Ausführung von Makros zu aktivieren.

 

Betrugsversuch durch gefälschte Officeanweisung

Fällt das Opfer auf den Trick rein und führt die in dem Screenshot gezeigten Anweisungen aus, wird das in dem Dokument enthaltene VBA-Makro gestartet, das einen PowerShell-Befehl ausgeführt, um “Emotet” herunterzuladen und auszuführen. Für die Angreifer hat das den Vorteil, dass sie jederzeit den heruntergeladenen Payload ändern oder die Server herunterfahren können. Diese zeitliche Komponente erschwert es, die Folgen einer Infektion vorherzusagen.

 

 

Analyse von Emotet

Wir haben das Malware-Sample, das für die Infektion und das Nachladen neuer Module verantwortlich ist, genauer analysiert. Das von uns analysierte Sample wurde über das Makro eines Office-Dokuments heruntergeladen und hat folgenden sha256-Hashwert, über das es eindeutig identifiziert werden kann: 9e40a7cc2a8d070dbcbb24fe37782ef70876f748bc9e8304d4391601ee4e6f57. Durch Reverse Engineering und dynamische Analysen konnten wir beobachten, dass “Emotet” vier Stadien durchläuft:

 

1. Stadium

 

In diesem Stadium sieht die Malware recht harmlos aus, denn sie importiert vergleichsweise wenige Funktionen. Zusammen mit Sektionen einer auffällig hohen Entropie ist das ein Zeichen dafür, dass die Binärdatei verpackte Inhalte enthält.

 

Die Libraries, die für die Ausführung des ersten Stadiums der Malware benötigt werden, werden geladen. Anschließend sammelt die Malware grundlegende Informationen über das System, so zum Beispiel Benutzernamen, Computernamen, Umgebungsvariable und den Windows-Pfad. Dieser Pfad wird mit dem String “\system32\calc.exe” zusammengefügt, sodass letzendlich “C:\Windows\system32\calc.exe” entsteht. Danach wird überprüft, ob dies eine ausführbare Datei ist, wie im nachfolgenden Screenshot auch in der dynamischen Analyse zu sehen ist. Auf diesem Weg versucht die Malware herauszufinden, ob sie sich in einer echten Windows-Umgebung befindet.

 

 

Am Ende des ersten Stadiums wird das zweite Stadium entschlüsselt, entpackt und ausgeführt.

2. Stadium

 

In diesem Stadium werden mitgelieferte Programmbibliotheken entpackt und benötigte Funktionen dynamisch nachgeladen, die im weiteren Verlauf indirekt aufgerufen werden. Im nachfolgenden Screenshot befindet sich im EAX Register (zu sehen in der Ecke rechts oben) ein Zeiger auf die Funktion VirtualAlloc der Bibliothek kernel32.dll. Im disassemblierten Binärcode ist an Adresse 00402122 der dazugehörige indirekte Call des Registers EAX zu sehen.

 

Diese Technik wird verwendet, um Analysen zu erschweren. Durch statische Analysen allein ist es schwer vorherzusagen, was sich im EAX Register befindet und somit nachzuvollziehen, welche Funktion dort aufgerufen wird. Erst eine dynamische Analyse lädt die richtigen Werte in die Register und zeigt die eigentliche Funktion.

 

Danach werden einige Techniken ausgeführt, um Sandbox-Analysen zu erschweren. Im nachfolgenden Screenshot ist zu sehen, wie der NetBIOS Computername des Systems durch einen indirekten Call der Funktion GetComputerNameExA abgefragt wird und dann durch einen weiteren indirekten Call der Funktion lstrcmp mit dem String “TEQUILABOOMBOOM” verglichen wird.

 

Dieser String ist sehr signifikant. In einem Blogbeitrag beschreibt Malwarebytes Labs, dass der String in dem Neutrino Botnet Builder Toolkit verwendet wird, um bekannte Sandboxen zu erkennen. In den Kommentaren wird erwähnt, dass sich diese Überprüfung auf die VirusTotal Sandbox bezieht. Dort wird allerdings der Benutzername und nicht der Computername mit dem String verglichen. Wir gehen davon aus, dass dies nur eine lustige Referenz ist, oder sich die Entwickler bei der Funktion schlicht vertippt haben. Es wäre jedenfalls eine interessante lokale Mitigationsstrategie, den Computernamen entsprechend abzuändern.

 

Wie auch in den folgenden Screenshots der API-Calls zu sehen ist, werden weitere Anti-Sandbox-Checks durchgeführt. Sollte einer dieser Checks erfolgreich sein, beendet die Malware ihre Ausführung.

 

Überprüfung nach bekannten Namen:

 

 

Überprüfung, ob bekannte Sandbox-Dateien existieren:

 

 

Unter anderem werden folgende Checks ausgeführt, um einer Sandbox-Analyse zu entgehen:

 

  • Ist der Benutzername “Wilbert” und eine weitere Variable “SC” oder “CW”?
  • Ist der Benutzername “admin” und der Computername “SystemIT” und kann die Datei “C:\Symbols\aagmmc.pdb” gelesen werden?
  • Ist der Benutzername “admin” und der Computername “KLONE_X64-PC”?
  • Ist der Benutzername “John Doe” und eine weitere Variable “BEA-CHI”?
  • Ist der Benutzername “John” und existiert eine der Dateien “C:\take_screenshot.ps1” oder “C:\loaddll.exe”?
  • Existieren die Dateien “C:\email.htm” und “C:\123\email.doc”, sowie vielleicht “C:\123\email.docx”?
  • Existieren die Dateien “C:\a\foobar.bmp” und “C:\a\foobar.doc”, sowie vielleicht “C:\a\foobar.gif”?
  • Wurde die Malwaredatei mit den Namen “sample”, “mlwr_smpl” oder “artifact.exe” benannt?

Sind die Checks überstanden, wird das dritte Stadium der Malware entpackt und ausgeführt.

 

3. Stadium

 

In diesem Stadium überprüft die Malware mit der Mutex MC01935C3, ob sie schon auf dem System läuft.

 

Durch das Erstellen eines Registry-Eintrages wird Persistenz hergestellt, wobei wir ein unterschiedliches Verhalten auf verschiedenen Windows-Versionen beobachten konnten. Unter Windows XP 32bit läuft “Emotet” unter dem ursprünglichen Namen der ausführbaren Datei, zum Zeitpunkt der Ausführung, weiter.

Unter Windows 7 32bit und Windows 10 64bit löscht “Emotet” seine ursprüngliche Datei und kopiert sich zuvor an einen anderen Ort. Zudem werden folgende Registry-Einträge erstellt:

 

  • HKLM\SOFTWARE\Microsoft\Tracing\infoagent_RASAPI32
  • HKLM\SOFTWARE\Microsoft\Tracing\infoagent_RASMANCS

4. Stadium

 

“Emotet” läuft unter Windows 10 im Pfad C:\Users\username\AppData\Local\Microsoft\Windows\eventshedule.exe als Kopie von sich selbst und als Subprozess von explorer.exe weiter. Stellt die Malware fest, dass sie unter Beobachtung steht, löscht sie sich von diesem Ort und legt erneut eine Kopie von sich unter C:\Windows\SysWOW64\eventshedule.exe ab. Wird “Emotet” erneut unter Beobachtung gestellt, beendet sich der aktuelle Prozess und startet sich von der gleichen Lokation erneut.

 

Wir konnten unter allen Windows Versionen beobachten, dass “Emotet” unter dem Namen “Web DAV Client DLL” läuft. Der folgende Screenshot zeigt den Prozess unter Windows 7.

 

 

Die Malware beginnt anschließend, ihre C&C Server zu kontaktieren und neue Module nachzuladen. Wir haben Kontaktversuche zu den folgenden C&C Servern beobachtet:

 

  • http: //162.243.154.25:443/
  • http: //136.243.202.133:8080/
  • http: //66.234.234.36:8080/
  • http: //212.83.146.230:8080/
  • http: //209.126.105.250:8080/
  • http: //66.175.215.16:8080/
  • http: //178.254.33.12:8080/
  • http: //46.4.67.203:7080/
  • http: //147.135.209.118:443/

“Emotets” Cyber Kill Chain

 

Das Ziel von “Emotet” ist es, den Angreifern Geld zu verschaffen. Somit lässt sich die Malware unter der Kategorie “Crimeware” eingeordnen. Das theoretische Modell der “Pyramid of Pain” beschreibt, dass sich die von den Angreifern verwendeten Techniken und Taktiken am seltensten ändern. Dies ist auch bei “Emotet” im Vergleich zu den älteren Versionen zu beobachten. Auch wenn das Nachladen von neuen, unbekannten Modulen und immer wieder neuen Varianten dieser Malware eine Ungewissheit bezüglich der direkten Absichten mit sich bringt, ist davon auszugehen, dass sich die Zielsetzung, Geld zu beschaffen auch in zukünftigen Versionen der Malware nicht ändern wird.

 

Mit voranschreitender Analyse fügen sich die Puzzleteile zu einem großen Ganzen zusammen. In dem nachfolgenden Diagramm haben wir abschließend die einzelnen Angriffsschritte von “Emotet” im Modell der Cyber Kill Chain dargestellt.

 

Hornetsecurity Sandbox

Schlussendlich haben wir noch einen Screenshot des “Emotet”-Samples aus der Sandbox-Analyse von Hornetsecurity, die es eindeutig (mit der höchstmöglichen Punktzahl) als bösartig identifiziert:

 

 

Schutz vor Malware mit Advanced Threat Protection

Die Malware „Emotet“ ist nur eine von vielen Möglichkeiten, Ihnen oder Ihrem Unternehmen finanzielle Schäden zuzufügen. Auch der Verlust von wichtigen Daten kann Ihnen durch Malware, Viren und Ransomware bevorstehen. Advanced Threat Protection ist ein intelligenter Spamfilter, der gefährliche E-Mail-Inhalte frühzeitig erkennt. Im Gegensatz zu normalen Spamfiltern kann Advanced Threat Protection bereits Gefahren erkennen, die dem Spamfilter noch nicht bekannt sind. Erfahren Sie mehr über Advanced Threat Protection.