Kampf gegen Trojanerwelle: Emotet lauert in gefälschten Mails

Foto: pixabay, Gerd Altmann

Die Schadsoftware Emotet hat einen langen Atem und sucht mit ständig neuen Updates besonders perfide nach Lücken im System. Michael Veit, IT-Security-Experte bei Sophos, sieht den Kampf dennoch nicht verloren und rät zu drei entscheidenden Präventionsmaßnahmen.

Trojaner Emotet ist darauf spezialisiert, Schutzbarrieren auszuweichen, immer wieder zuzuschlagen und sich zu vervielfältigen, um maximalen Schaden anzurichten. Dabei ist die Malware dank ständiger Updates, modularem Design und der Fähigkeit, verschiedenste Techniken zur Netzwerkunterwandung anzuwenden, für IT-Sicherheitsspezialisten besonders schwierig zu enttarnen.

Innerhalb seiner fünfjährigen Lebenszeit hat sich Emotet von einem „normalen“ Trojaner, still und heimlich Bankdaten seiner Opfer entwendete, zu einer extrem raffinierten und breit gestreuten für die Verbreitung anderer Schadsoftware mit unterschiedlichsten Zielen entwickelt, die meist im Gepäck von Spam-Kampagnen anreist. In diesem Jahr waren das z.B. die beiden Banktrojaner TrickBot und Qbot, es gibt aber auch Verbindungen zu BitPaymer – eine hoch entwickelte -Familie, die sechsstellige Summen erpresst.

Ende bewertete das BSI Emotet als „…ein Fall von Cyber-Kriminalität, bei die Methoden hochprofessioneller APT-Angriffe adaptiert und wurden. Schon im aktuellen Lagebericht des BSI haben wir von einer neuen Qualität der Gefährdung gesprochen und sehen uns durch Emotet darin bestätigt.“ (Quelle: BSI)

„Emotet ist weiterhin eine sehr gefährliche Bedrohung und die Auseinandersetzung mit dem Thema ist eine größten Herausforderungen für Sys-Admins und Threat-Hunter“, ruft Michael Veit, Security Evangelist bei Sophos, ins Bewusstsein. „Vor diesem Hintergrund und angesichts der bisherigen Emotet-Schäden, die wir in unserer täglichen Arbeit erlebt haben, muss Prävention das erste Mittel der Abwehr sein. Und zwar konsequent umgesetzt.“

  1. Sicherung ALLER

Vorsorge ist besser als Nachsorge. Sind Unternehmen oder Organisationen von Emotet betroffen, ist die Quelle Infektion fast ausnahmslos ein ungesichertes Gerät im Netzwerk. Um das eigene Netzwerk zu überprüfen, bietet sich ein Netzwerk-Scan zur Auflistung jedes aktiven Geräts an. Taucht dort ein noch nicht erfasstes Gerät auf, muss es sofort mit den neuesten Updates versehen und in den Endpoint-Schutz aufgenommen werden.

Auch wenn Emotet zunächst einmal auf nicht gesicherte in einem Netzwerk begrenzt ist, wird die Schadsoftware ständig versuchen, auszubrechen und dabei ihre große Anpassungsfähigkeit nutzen. Je länger Emotet diese Versuche durchlaufen darf, desto höher ist die Wahrscheinlichkeit, dass es durch seine Modulation eine Lücke in Abwehr findet, ausbricht und sich im gesamten Netzwerk verbreitet.

„Man kann unmöglich vorhersagen, worin letztendlich die entscheidende Lücke besteht“, so Veit, „es kann beispielsweise ein neuer Exploit oder eine Mutation sein, die Emotet vor Signatur-basiertem Anti- temporär versteckt. Entsprechend sind moderne Abwehrtechnologien wie Deep Learning oder Exploit Prevention entscheidend.“

  1. Patchen: so früh und oft wie möglich

Emotet ist das perfekte Einfallstor für andere Schadsoftware. Wer Emotet verhindert, stoppt auch seine Parasiten. Potentielle Sicherheitslücken sollte man deshalb mit Patches so schnell und oft wie möglich schließen.

Ein Negativbeispiel: SMB Exploit EternalBlue wurde 2017 durch WannaCry und NotPetya bekannt. Man kann fast nicht glauben, dass trotz dieser weltweiten Berichterstattung und fast zwei Jahre nachdem Microsoft sein Sicherheits-Bulletin MS17-010 ankündigte, das Patches zum Schutz davor beinhielt, die Schadsoftware immer noch profitablen Nutzer dieses Exploits macht. Einer dieser Malware-Parasiten, die Emotet sehr gern einschleppt, ist TrickBot. Lerneinheit aus diesem Beispiel: Patchen. Sofort, bitte.

  1. PowerShell als Standardeinstellung blockieren

Emotet verschafft sich normalerweise Zugang via schädlicher Email-Anhänge. Das Ausbruchs-Szenario findet dann recht schnell in vier Akten statt:

  1. erhält Email mit Word-Dokument im Anhang
  2. öffnet Word-Dokument und wird in ein Makro hineingelockt
  3. Makro löst die PowerShell aus, die Emotet herunterlädt
  4. Emotet-Infektion beginnt

Ja, richtig. fällt etwas unglücklich auf. Aber: Der Hinweis zu Sensibilisierung und Schulung der Mitarbeiter gegenüber merkwürdigen Email-Anhängen greift hier zu kurz. Denn selbst bei bestgeschulter Aufmerksamkeit wird im unendlichen Email- einmal falsche Klick gemacht – und schon ist Emotet im Spiel. Deswegen sollten Administratoren den Nutzer-Zugang zur PowerShell blockieren – und das nicht nur via Richtlinie, sondern per Blacklisting. Das gilt zunächst einmal für alle Mitarbeiter, dann können individuell diejenigen Personen wieder Zugang bekommen, die PowerShell tatsächlich bei der täglichen Arbeit brauchen.

Weitere Informationen zur Abwehr von Emotet und TrickBot gibt Sophos hier.

Quelle: Sophos

Verwandte Artikel

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


Ich bestätige, dass die hier von mir eingegebenen persönlichen Daten in der von mobile zeitgeist genutzten Datenbank bis auf Widerruf gespeichert werden dürfen.