Seite 2: Die aktuelle Emotet-Generation

Inhaltsverzeichnis

Die vierte Emotet-Generation namens Heodo, auf der auch die heutigen Varianten des Schadprogramms noch basieren, wurde erstmals im März 2017 gesichtet. Seitdem sind Nutzer weltweit von Emotets Spam-Kampagnen betroffen. Statt ausführbarer Dateien enthalten die Spam-Mails nun entweder ein Microsoft-Office-Dokument als Dateianhang oder einen Link, der zum Download eines solchen Dokuments führt. In einzelnen Kampagnen werden auch PDFs als Dateianhang versendet, welche den Download-Link zu einem schädlichen Office-Dokument enthalten. Die Infektion der Opfersysteme mit Emotet erfolgt über in den Dokumenten enthaltene Makros, welche das Schadprogramm aus dem Internet nachladen und ausführen.

Das frühere Emotet-eigene Banking-Modul wurde in der vierten Generation entfernt. Stattdessen lädt Emotet im Auftrag anderer Tätergruppen (Affiliates) je nach Kampagne und Standort des Opfers (Geolokalisierung der IP-Adresse) andere Banking-Trojaner wie Trickbot, Ursnif, Panda ZeuS oder IcedID nach. Damit hat sich Emotet von einem eigenständigen Banking-Trojaner zu einem Dropper für andere Schadprogramme gewandelt.

Im September 2017 wurde außerdem ein neues Spreader-Modul zur Verbreitung von Emotet im lokalen Netzwerk der Opfer hinzugefügt. Dieses Modul versucht, das Schadprogramm über administrative Netzwerkfreigaben auf andere Systeme zu kopieren und dort auszuführen. Dabei kommt eine mitgelieferte Kopie von Nirsofts Tool NetPass zum Einsatz, das Passwörter des angemeldeten Benutzers ausliest. Anschließend versucht Emotet, sich mit diesen als Administrator an den Netzwerkfreigaben der anderen Systeme anzumelden. Führt dies nicht zum Erfolg, probiert es bis zu 10.000 mitgelieferte Passwörter durch.

Darüber hinaus wurde das Outlook Harvesting erweitert, um nicht nur das Adressbuch, sondern konkrete Kontaktbeziehungen zwischen Absendern und Empfängern aus den Outlook-Postfächern auf den Opfersystemen auszuspähen. Diese Kontaktbeziehungen verwendeten die Kriminellen anschließend, um den Empfängern der Spam-Mails einen ihnen bekannten Kommunikationspartner im Absender und der Signatur der E-Mail vorzutäuschen. Die teilweise in den Signaturen angegebenen Telefon- und Faxnummern wurden dabei zufällig generiert.

Viele Empfänger haben sich vermutlich zunächst gewundert, warum ihnen die Schwiegertochter oder der Nachbar plötzlich eine Rechnung sendet, aber die Neugier und der vermeintlich bekannte Absender haben sie dann doch zum Öffnen des schädlichen Anhangs veranlasst. Im geschäftlichen Umfeld ist es vielleicht sogar üblich, dass der im vermeintlichen Absender genannte Kollege eine Rechnung weiterleitet.

Im Oktober 2018 wurde das Harvesting-Modul erneut erweitert, um nicht nur Kontaktbeziehungen, sondern die ersten 16 KByte jeder E-Mail der letzten 180 Tage aus den Postfächern abzugreifen. Die so ausgespähten E-Mail-Inhalte nutzten die Täter zunächst, um aus darin befindlichen tatsächlichen Mitteilungen von bekannten Telekommunikationsanbietern, Paket-Dienstleistern, Hotelketten, Banken, Versandhändlern, Software-Herstellern und anderen Unternehmen neue Vorlagen für Spam-Mails zu erstellen, welche in verschiedenen Sprachen auf die Empfänger in unterschiedlichen Ländern zugeschnitten waren.

Bild 1 von 6

Emotet: Spam-Mails (6 Bilder)

08/15-Spam mit gefälschter Rechnung

Diese Vorlagen wurden von Ende 2018 bis Anfang 2019 für massive weltweite Spam-Kampagnen eingesetzt. Die Screenshots der Bilderstrecke zeigen typische Beispiele von Spam-Mails, die in dieser Zeit auf deutsche Nutzer einprasselten. Auf diesem Weg kaperten die Täter eine Vielzahl weiterer E-Mail-Konten für den Spam-Versand und sammelten zigtausende weitere E-Mails aus den Outlook-Postfächern neuer Opfer ein.

Das Social Engineering – also die gezielte Täuschung der Opfer, um diese zu bestimmten Aktionen zu verleiten – wurde immer weiter professionalisiert. Seit April 2019 gehen die Täter mit der Personalisierung noch einen Schritt weiter, indem sie die Spam-Mails als vermeintliche Antworten auf zuvor ausgespähte, tatsächliche E-Mails versenden. Die bekannten Betreffzeilen und Zitate einer vorhergehenden Kommunikation lassen die gefälschten E-Mails für die Empfänger noch authentischer erscheinen. In Anlehnung an das zielgerichtetete Spear Phishing hat Heise für dieses ausgefeilte Social Engineering den Begriff Dynamit Phishing geprägt.

Trickbot und Ryuk

In den Nachrichten zu den größeren IT-Ausfällen in Unternehmen und anderen Organisationen ist häufig nur von Emotet die Rede. Doch die eigentlichen Schäden verursacht üblicherweise das von Emotet nachgeladene Schadprogramm Trickbot sowie die in besonderen Fällen später ausgerollte Ransomware Ryuk.

Bei Trickbot handelt es sich wie bei Emotet um ein modulares Schadprogramm. Ursprünglich primär als Online-Banking-Trojaner eingesetzt, wurde es im Lauf der Jahre zu einem universellen Angriffswerkszeug weiterentwickelt. Neben einer Komponente für den Online-Banking-Betrug gehören unter anderem Module zum Ausspähen von Zugangsdaten aus Webbrowsern, E-Mail-Programmen und weiteren Anwendungen zur Werkzeugkiste von Trickbot. Die ergänzen ein VNC-Server, ein SOCKS5-Proxy sowie Funktionen zur automatisierten Weiterverbreitung (Lateral Movement) und Verankerung des Schadprogramms im Netzwerk der Opfer (Persistence). Dabei nutzt Trickbot neben Windows-Bordmitteln auch verschiedene Tools wie das Framework Powershell Empire, PowerSploit und Mimikatz, die früher hauptsächlich bei gezielten Angriffen mit nachrichtendienstlichem Hintergrund gegen Unternehmen und andere Organisationen zum Einsatz kamen.

Die Kernkomponente von Trickbot – der Loader – deaktiviert zunächst die Windows-Dienste und laufende Prozesse von Windows Defender und verschiedener anderer Antivirus-Programme. Er nutzt mehrere (öffentlich bekannte) Methoden zur Privilegienerweiterung wie UAC-Bypass, um administrative Rechte zu erlangen. So kann er alle nachfolgend geladenen Trickbot-Module mit hohen Rechten ausführen und damit zum Beispiel in der Local Security Authority (LSA) gespeicherte Zugangsdaten auslesen. Durch Setzen eines Schlüssels in der Windows-Registry sorgt Trickbot sogar dafür, dass die bei der Benutzeranmeldung eingegebenen Zugangsdaten im Klartext in der LSA gespeichert werden. Dadurch erhalten die Angreifer nicht nur die Hashes, sondern die Klartext-Passwörter aller Benutzer, die sich nachfolgend am System anmelden. Um die Klartext-Zugangsdaten für das aktuelle Benutzerkonto sofort zu erhalten, sperrt Trickbot den Bildschirm, sodass sich der Nutzer erneut anmelden muss.

Anschließend späht Trickbot Informationen über das System (unter anderem zu Hardware, Benutzer­konten und installierten Anwendungen) und das Netzwerk aus (IP-Konfiguration, verfügbare Server, Domänencontroller und so weiter). Alle gesammelten Daten übermittelt die Malware danach an einen Kontroll­server der Täter im Internet. Anhand dieser Informationen können die Täter später bewerten, ob es sich bei einem Opfer um ein "lohnendes" Ziel handelt, welches eine weiter­gehende "manuelle Bearbeitung" verdient.

Zur automatisierten Ausbreitung im Netzwerk versucht Trickbot, sich mit aus der LSA ausgespähten Zugangsdaten für lokale Administratorkonten auf administrative Netzwerkfreigaben (Admin$, C$) anderer Systeme zu verbinden, um diese ebenfalls zu infizieren. Erlangt Trickbot die Anmeldedaten für ein Benutzerkonto mit Domänen­administrator-Rechten und ist im Netzwerk keine strikte Rechte-Trennung im Rahmen eines 3-Tier-Modells implementiert, kann der Schädling das Windows-Netz einschließlich des Domänen-Controllers komplett übernehmen. Das Active Directory muss dann als komplett gefallen betrachtet und im Zuge der Bereinigung vollständig neu aufgebaut werden.

Neben der Ausbreitung über ausgespähte Anmeldedaten versucht Trickbot, mittels des Eternal-Blue-Exploits eine Schwachstelle in der Implementierung des SMB-Protokolls von Windows-Betriebssystemen (MS17-010) auszunutzen. Dieser Exploit wurde unter anderem auch von der Schadsoftware WannyCry verwendet, die sich im Mai 2017 rasant weltweit ausbreitete und ebenfalls für enorme wirtschaftliche Schäden sorgte. Zwar stehen bereits seit März 2017 Sicherheitsupdates zur Verfügung, welche die kritische Schwachstelle schließen – die Erfahrung aus der Analyse von Vorfällen der letzten Monate hat jedoch gezeigt, dass viele Organisationen diese Updates bis heute nicht auf allen Systemen eingespielt haben.

Zusätzlich zu Passwörtern für RDP- und VNC-Verbindungen späht Trickbot auf infizierten Systemen auch in Anwendungen wie PuTTY, FileZilla oder WinSCP gespeicherte Anmeldedaten für SSH- oder FTP-Zugänge aus. Auf diesem Weg können die Täter auch Zugriff auf weitere Systeme wie zum Beispiel Linux-basierte Datei- oder Backup-Server im Netzwerk erlangen.

Ungeladener Besuch

Erachten die Täter ein Opfer als ausreichend interessant, verbinden sie sich über die von Trickbot bereitgestellte Hintertür auf dessen Systeme und schauen sich manuell im Netzwerk um. Dabei ziehen sie weitere interne Informationen der betroffenen Organisation ab. Dies erfolgt häufig erst zwei bis drei Wochen nach der Erstinfektion, da die Täter aufgrund der Vielzahl weltweiter Opfer ein großes "Angebot" abzuarbeiten haben.

Nach ihrer Kapertour entscheiden die Täter, ob sie sich den Zugang zum Netzwerk unauffällig offen halten, um das Opfer später weiter auszuspionieren. Alternativ verschlüsseln sie wichtige Daten und schreiten zur Erpressung. Das geschieht vor allem dann, wenn die Täter feststellen, dass sie große Teile der Organisation lahmlegen könnten und es sich um ein zahlungskräftiges Opfer handelt, das potenziell bereit ist, ein hohes Lösegeld im sechsstelligen Euro-Bereich für die Entschlüsselung zu bezahlen. Entscheiden sich die Täter für eine Verschlüsselung, rollen sie die Ransomware Ryuk aus.

Dazu legen sie die Verschlüsselungssoftware üblicherweise auf einem Datei-Server im Netzwerk des Opfers ab und aktivieren anschließend eine Gruppenrichtlinie, welche die Software von dort gleichzeitig auf alle Server-Systeme kopiert und ausführt. Auf verschlüsselten Systemen wird eine Erpresserbotschaft angezeigt, welche die Opfer zu einer Kontaktaufnahme per E-Mail mit den Tätern auffordert. Typischerweise kommt es dabei zu Lösegeldforderungen, deren Höhe von Firmengröße und vermutetem Wert der Daten abhängt. Derzeit ist keine Schwachstelle in der Implementierung der Verschlüsselung bei Ryuk bekannt, um verschlüsselte Daten ohne Kenntnis des passenden Schlüssels wieder zu entschlüsseln.