Z mednarodno akcijo onemogočen najnevarnejši botnet na svetu

Foto: Telekomov Tehnik

O kakšni vrsti zlonamernega programa govorimo?

Emotet predstavlja eno izmed najbolj profesionalnih in dolgotrajnih oblik groženj kibernetske kriminalitete. Prvič so ga odkrili leta 2014 v Nemčiji in Avstriji, ko se je pojavil v obliki bančnega trojanskega virusa s ciljem, da pridobi dostop do prijavnih podatkov strank spletnega bančništva. Z leti se je razširil v zlonamerni virus, ki spletnim kriminalcem odpira vrata v računalniške sisteme. Kot tak, se je tudi uveljavil. Infrastruktura Emotet je omogočala dostope do računalniških sistemov, ti dostopi pa so se nato prodajali drugim skupinam kibernetskih kriminalcev, da so lahko izvajali svoje kriminalne aktivnosti (najpogosteje je šlo za krajo podatkov in za izsiljevalske programske viruse – angl. Ransomware).

Glavna značilnost poznejših različic Emoteta je, da uporablja črvu podobne zmogljivosti, za pomoč pri repliciranju na druge, povezane računalnike. Ščiti se s funkcijo zakrivanja pred protivirusnimi programi, izkoristi pa se ga lahko tudi za nameščanje drugih zlonamernih programov. Zaradi tega je ameriški Urad za domovinsko varnost (angl. Department of Homeland Security) označil Emotet-a za enega najdražjih in najbolj uničujočih zlonamernih programov, ki prizadene državni in zasebni sektor, posameznike in organizacije. Odstranjevanje tega virusa pa lahko stane več kot milijon dolarjev na posamezni incident.

Emotet se je najpogosteje uporabljal za namestitev nekaterih, bolj znanih zlonamernih programov:

• Trickster: bančni trojanski program (poznan tudi po imenu TrickLoader ali Trickbot), katerega cilj je, pridobiti dostop do podatkov za prijavo v bančne račune;
• Ryuk: izsiljevalski virus, ki šifrira podatke in tako uporabniku prepreči dostop do posameznih podatkov ali celotnega sistema.

Cilj kibernetskih kriminalcev, ki so bili odgovorni za Emotet, je bil najpogosteje koristoljubje, saj so žrtve denarno izsiljevali v zameno za ne-objavo šifriranih podatkov. Prva različica Emotet-a z leta 2014, je bila zasnovana za krajo podatkov o bančnih računih, s pomočjo prestrezanja internetnega prometa. Kmalu za tem, je bila zaznana nova različica (verzija dva), ki je bila opremljena z več moduli, vključno s sistemom denarnih nakazil, z modulom za zlonamerno neželeno elektronsko pošto (angl. malspam) in bančnim modulom, namenjenim nemškim in avstrijskim bankam. Januarja 2015 se je pojavila nova oblika virusa. Verzija tri je vsebovala prikrite spremembe, ki pomagajo pri zakrivanju virusa pred obrambnimi sistemi, dodala pa je nove cilje – švicarske banke. Leta 2018 se je virus razvil tako, da s svojim delovanjem omogočal nameščanje druge programske opreme na okužene računalnike. Tako so leta 2019 izvedli napad na mesto Lake City (Florida) in zahtevali 460.000 dolarjev odkupnine. Pri tem napadu je Emotet služil kot začetni vektor okužbe, s pomočjo katerega, sta bila nameščena zgoraj omenjena Trickster in Ryuk. Septembra 2019 so z laboratorijev Malwarebytes poročali o neželeni spam kampanji, ki se je izvajala s pomočjo botnetov in je ciljala na nemške, poljske, italijanske in britanske žrtve, z domiselnimi zadevami v e-poštnem sporočilu, kot so »potrdilo o nakazilu« ali pa »zapadli račun«. Odprtje okuženega Microsoft dokumenta sproži makro, ki na računalniški sistem prenese Emotet. Tak model povečanega sodelovanja in medsebojne odvisnosti med kriminalnimi akterji, kot predstavlja Emotet, se imenuje »Malware-as-a-service« (zlonamerna programska oprema kot storitev op. p.).

O pojavu Emotet-a v Sloveniji, so poročali tudi s strani SI-CERT-a. Spodaj prikazujemo graf, ki so ga objavili na svoji spletni strani in prikazuje obravnavane primere Emotet-a med leti 2017 in 2020.

Delovanje zlonamerne programske opreme Emotet

Trojanski virus Emotet, se je najpogosteje širil preko e-pošte s pomočjo okuženih priponk in vdelanih URL naslovov. Pri analizi pošiljatelja se je zdelo, da gre za zaupanje vredni vir, saj Emotet prevzame e-poštne račune svojih žrtev. Na ta način so privabljali nove uporabnike k prenosu tega zlonamernega programa na svoj računalnik.

Ko si je Emotet zagotovil dostop do svojega omrežja, se je pričel širiti. V tej fazi je poizkušal razbiti uporabniška gesla (napad z grobo silo), ali pa je izkoriščal EternalBlue ter DoublePulsar ranljivosti v sistemu Windows, ki omogočata namestitev škodljive programske opreme, brez vednosti uporabnika. Tako je na primer izsiljevalski virus WannaCry izkoristil EternalBlue ranljivost za izvedbo kibernetskega napada, ki je po svetu povzročil uničujočo škodo.

V spodnjem seznamu so navedene datoteke, ki so indicirale na okužbo:

• HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\1A345B7
• HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\12C4567D
• (Gornyk) C:\Windows\SysWOW64\servicedcom.exe
• C:\WINDOWS\12345678.EXE
• C:\WINDOWS\SYSWOW64\SERVERNV.EXE
• C:\WINDOWS\SYSWOW64\NUMB3R2ANDL3373RS.EXE
• C:\WINDOWS\TEMP\1A2B.TMP

Sumljivi ključi registra:

• HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services{naključne heksadecimalne številke}
• HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run{naključna imena} z vrednostjo c:\users\admin\appdata\roaming\{naključno ime}{legitimno ime}.exe
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run{naključna imena} z vrednostjo c:\users\admin\appdata\roaming\{naključno ime}{legitimno ime}.exe
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
• HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

Operacijski sistem Windows omogoča namestitev skritih map za skupno rabo, ki so namenjene skrbniškemu dostopu do drugih naprav. Emotet je z napadom z grobo silo poizkušal ugotoviti administratorsko geslo. Ko mu je to uspelo, je poizkušal pridobiti seznam vseh končnih točk, na katere bi lahko razširil okužbo. Zato so bile ponavljajoče okužbe lahko znak, da je Emotet uspešno ugotovil skrbniško geslo. V tem primeru je priporočljivo spremeniti vsa lokalna gesla in domenska administratorska gesla.

Obramba pred tovrstnimi napadi

Če se želimo zavarovati pred škodljivo programsko opremo, kot je Emotet, uporaba zgolj protivirusne zaščite ne zadostuje. Kot smo pisali v prispevku o grožnji ADrozek, gre tudi pri Emotet-u za polimorfni virus, kar pomeni da se programska koda virusa nenehno spreminja in se na ta način izogiba zaznavi. Zato moramo redno posodabljati programske različice opreme, ter paziti pri odpiranju sumljivih spletnih povezav in priponk. Pri prejemu e-poštnih sporočil, pa moramo vedno preveriti tudi naslov spletne pošte pošiljatelja, saj grožnje kot so Emotet, uporabljajo legitimna imena pošiljateljev (vaših znancev), sporočila pa se od legitimnih razlikujejo po e-poštnem naslovu, ki je izmišljen.

Več o grožnji:

• https://www.europol.europa.eu/newsroom/news/world%E2%80%99s-most-dangerous-malware-emotet-disrupted-through-global-action
• https://www.malwarebytes.com/emotet/
• https://blog.malwarebytes.com/detections/trojan-emotet/
• https://www.cert.si/sirjenje-okuzb-s-trojancem-emotet/
• https://www.cert.si/okuzena-sporocila-s-preteklo-korespondenco
• https://www.kaspersky.com/resource-center/threats/emotet
• https://adrinanthony.wordpress.com/2020/09/23/emotet-malware/
• https://www.bromium.com/wp-content/uploads/2019/07/Bromium-Emotet-Technical-Analysis-Report.pdf

Članek je bil prvotno objavljen na Telekomovem Tehniku.