Leichte Beute
Wie sich Emotet durch Windows frisst
Eine typische Emotet-Infektion beginnt mit einem einzelnen PC. Der Nutzer spielt eine entscheidende Rolle: Er aktiviert unvorsichtigerweise Makros in Microsoft Office. Das stößt eine Kettenreaktion an, die sich durch ein Netzwerk frisst und nicht selten mit Forderungen der Erpresser in Millionenhöhe endet, aber auch einzelnen PC-Nutzern schadet.
Viele gewiefte Forensiker arbeiten sich an Schädlingen wie Emotet ab: Sie analysieren und dokumentieren im Detail die einzelnen Schritte, mit denen sich deren Macher Zutritt zum Innersten von Windows und somit den Computern anderer Leute verschaffen. Kaum ist der Bericht fertig, erscheint schon die nächste Generation, die neue Wege verwendet. Der folgende Blick auf die Wirkweisen kann deshalb nur ein Schnappschuss sein. Er ist dennoch lehrreich, weil er zeigt, wie gängige Schutzmechanismen ins Leere laufen.
Aller Anfang ist Office
Die überlieferten Emotet-Infektionen fangen mit einem Office-Dokument an. Es enthält massiv verschleierten VBA-Makro-Code. Die einzige Gegenmaßnahme, nämlich das Verbot, Makros auszuführen, hebelt der Benutzer in dem Moment selbst aus – der sichtbare Teil des Office-Dokuments animiert ihn mit einem Hinweis zu einer vermeintlich technischen Einschränkung dazu. Der VBA-Code bringt es fertig, eine PowerShell zu öffnen. Die ruft er nicht direkt auf, sondern spannt die Windows Management Instrumentation (WMI) dazu ein. VBA-Code hat in Windows weitgehende Rechte. Er darf andere Programme starten, ohne dass irgendeine Instanz einschreitet.