Een van de gevaarlijkste en beruchtste bedreigingen is weer terug. In januari 2021 haalden wereldwijde functionarissen het botnet uit de lucht. De politie heeft een vernietigende update naar de uitvoerbare bestanden van de Emotet gestuurd. En het leek het einde van het verhaal van de trojan.
Maar de malware bleef verrassen.
In november 2021 werd gemeld dat TrickBot niet langer alleen werkt en Emotet levert. En ANY.RUN met collega’s in de branche was een van de eersten die de opkomst van de kwaadaardige documenten van Emotet opmerkte.
 |
| Eerste Emotet kwaadaardige documenten |
En in februari zien we een zeer actieve golf met boeven die talloze aanvallen uitvoeren en de top van de ranglijst bereiken. Als u geïnteresseerd bent in dit onderwerp of onderzoek wilt doen naar malware, kunt u gebruik maken van de speciale hulp van ELKE.RUNde interactieve sandbox voor de detectie en analyse van cyberdreigingen.
Laten we eens kijken naar de wijzigingen in de nieuwe versie die deze verstorende malware deze keer met zich meebracht.
Emotet-geschiedenis
Emotet is een geavanceerd, constant veranderend modulair botnet. In 2014 was de malware slechts een triviale banktrojan. Sindsdien heeft het verschillende functies, modules en campagnes gekregen:
- 2014. Modules voor geldoverdracht, e-mailspam, DDoS en adresboekstelen.
- 2015. Ontwijkingsfunctionaliteit.
- 2016. Mail spam, RIG 4.0 exploit kit, levering van andere trojans.
- 2017. Een module voor het stelen van verspreiders en adresboeken
Dankzij de polymorfe aard en talrijke modules kan Emotet detectie vermijden. Het team achter de malware verandert voortdurend zijn tactieken, technieken en procedures om de bestaande detectieregels onbruikbaar te maken. Het downloadt extra payloads met behulp van talrijke stappen om in het geïnfecteerde systeem te blijven. Zijn gedrag maakt het bijna onmogelijk om malware te verwijderen. Het verspreidt zich snel, creëert foutieve indicatoren en past zich aan aan de behoeften van aanvallers.
En op 14 november 2021 werd Emotet herboren met een nieuwe versie.
Waarom werd Emotet herboren?
Gedurende De geschiedenis van Emotet, het kreeg verschillende pauzes. Maar na de wereldwijde politie-operaties in januari 2021 waren we er klaar voor dat het voorgoed voorbij zou zijn. Gezamenlijke handhaving arresteerde verschillende bendeleden, nam servers over en vernietigde back-ups.
Toch is het botnet nog robuuster teruggekomen. Het is bedreven in ontwijkingstechnieken en gebruikt verschillende manieren om netwerken te compromitteren, waardoor het net zo gevaarlijk is als het was.
Er werd bijgehouden dat Trickbot probeerde een dynamische linkbibliotheek (DLL) naar het systeem te downloaden. En de DLL’s bleken Emotet te zijn, en later bevestigden onderzoekers het feit.
In 2021, na de comeback, leidde Emotet de top 3 van uploads in de ANY.RUN-sandbox. Zelfs na zo’n lange pauze werd het nog steeds populair. Alle statistieken over Emotet-trends zijn beschikbaar in Malware Trends Tracker en de cijfers zijn gebaseerd op de openbare inzendingen.
 |
| Top malware-uploads van de afgelopen week |
Geen wonder dat nu zijn activiteiten weer op de rails staan, ELK. RUN’s database wordt bijna 3 duizend kwaadaardige monsters per week. En het wordt duidelijk dat je je op elk moment moet voorbereiden op dit soort aanvallen.
Welke nieuwe functies heeft Emotet gekregen?
De trojan is al een serieuze bedreiging voor elk bedrijf. Als u alle malware-updates kent, kunt u een dergelijke bedreiging voorkomen en voorzichtig zijn. Laten we eens kijken welke functies een nieuwe versie biedt en hoe deze verschilt van de vorige.
Sjablonen
De Emotet-campagnes beginnen met een malspam-e-mail die kwaadaardige Office-documenten (bewapende Microsoft Office-documenten) of hyperlinks bevat die zijn gekoppeld aan de phishing-e-mail, die op grote schaal wordt verspreid en slachtoffers verleidt om kwaadaardige bijlagen te openen. Het bewapende Microsoft Office-document heeft een VBA-code en AutoOpen-macro voor de uitvoering ervan. De Emotet-groep lokt zijn slachtoffers om de macro’s in te schakelen, en dit is de enige gebruikersinteractie die nodig is om de aanval te starten. Deze gebruikersinteractie maakt het mogelijk om sandboxtests en verificaties te omzeilen.
Emotet verspreidt met behulp van kwaadaardige e-mailcampagnes die meestal uit Office-documenten bestaan. En de malware wordt erg creatief met sjablonen van zijn maldocs. Het botnet verandert ze voortdurend: het imiteert de updates, berichten en bestanden van programma’s. En de inhoud sluit de versluierde VBA-macro in en maakt verschillende uitvoeringsketens. De auteurs achter de malware misleiden gebruikers om macro’s in te schakelen om de aanval te starten.
En een nieuwe versie heeft ook een twist. In de zomer van 2020 gebruikte Emotet een document met Office 365-bericht. Het beeld blijft ongewijzigd, maar is overgeschakeld naar het XLS-formaat. Ook werd in deze nieuwe versie de eerste keer gebruikt in hexadecimale en octale formaten om het IP-adres weer te geven waarvan de tweede trap werd gedownload. Een latere techniek werd opnieuw gewijzigd en oplichters gebruiken het HEX-gecodeerde IP-adres niet om de payload te downloaden.
Nieuwe technieken
Emotet legt de lat steeds hoger als een polymorf wezen door nieuwe technieken te ontwikkelen. De nieuwste malwareversie heeft enkele kleine wijzigingen in de tactiek aangebracht: het maakt opnieuw gebruik van MSHTA. In het algemeen maakt Macro 4.0 gebruik van Excel om CMD, Wscript of Powershell uit te voeren, waarmee een ander proces wordt gestart, zoals MSHTA of een hierboven genoemd proces dat de belangrijkste payload downloadt en uitvoert door rundll32.
Het botnet is erop gebrand om kwaadaardige tekenreeksen en inhoud zoals URL’s, IP’s, opdrachten of zelfs shellcodes te maskeren. Maar soms kunt u de lijst met URL’s en IP’s uit het script van het bestand halen. Je kunt het zeker zelf vinden in ELK. RUN’s Static Discovering – probeer het gewoon eens!
 |
| Lijst met URL’s uit het nep-PNG-bestand van de Emotet |
Metgezellen
We weten dat Emotet meestal andere malware laat vallen om de infectie te verergeren. In november werd vastgesteld dat het botnet de Trickbot banking-trojan op de gecompromitteerde hosts afleverde.
Momenteel kunnen we merken dat Emotet werkt met Cobalt Strike. Het is een C2-raamwerk dat ook door penetratietesters en criminelen wordt gebruikt. Met Cobalt Strike in het scenario wordt de tijd tussen de eerste infectie en een ransomware-aanval aanzienlijk korter.
proces boom
De uitvoeringsketen kreeg ook enkele wijzigingen. In de meeste gevallen kunnen we een CMD-onderliggend proces, een PowerShell en Rundll32 opmerken, en verschillende voorbeelden bewijzen dat auteurs de voorkeur geven aan het mixen van processen, waarbij ze constant hun volgorde veranderen. Het belangrijkste doel hierachter is om detectie te voorkomen door regelsets die een bedreiging identificeren door onderliggende processen van een toepassing.
 |
| Emotet-procesboom |
Opdrachtregel
Emotet is lang geleden overgestapt van EXE-bestanden naar DLL, dus de belangrijkste payload liep onder de Rundll32. Overvloedig gebruik van Powershell en CMD blijft ongewijzigd:
 |
| Emotet-opdrachtregel |
Hoe Emotet detecteren en beschermen?
Als je een snelle en gemakkelijke manier nodig hebt om volledige informatie over het Emotet-voorbeeld te krijgen, gebruik dan moderne tools. Met de interactieve sandbox ANY.RUN kunt u processen in realtime volgen en alle benodigde gegevens onmiddellijk ontvangen.
Suricata-regelsets identificeren met succes verschillende kwaadaardige programma’s, waaronder Emotet. Bovendien, met de Fake net-functie om C2-koppelingen van een kwaadaardig monster te onthullen. Deze functionaliteit helpt ook bij het verzamelen van de IOC’s van malware.
Emotet-samples komen en gaan, en het is moeilijk om ze bij te houden. We raden u dus aan om verse monsters te bekijken die dagelijks worden bijgewerkt in onze openbare inzendingen.
Emotet blijkt een beest te zijn tussen de gevaarlijkste cyberbedreigingen in het wild. De malware verbetert de functionaliteit en werkt aan het ontwijken van detectie. Daarom is het essentieel om te vertrouwen op effectieve tools zoals: ELKE.RUN.
Geniet van het jagen op malware!
