Наша группа реагирования на инциденты отслеживает беспрецедентное количество заражений вредоносным ПО Emotet. Количество активных одновременных расследований Emotet в три раза превышает наш предыдущий рекорд. В этом посте будут рассмотрены индикаторы компрометации, меры по их устранению и то, как Varonis может помочь вам обнаружить и остановить Emotet на каждой фазе атаки.
Обзор Emotet
После долгого перерыва весной 2020 года злоумышленник TA542 (также известный как Mummy Spider) вернулся с новой масштабной спам-кампанией, использующей несколько ботнетов по всему миру, а также использующей улучшенный арсенал вредоносного ПО.
Emotet, первоначально известный как банковский троян, впервые был обнаружен в 2014 году. Его основная цель заключалась в перехвате банковских учетных данных с помощью атак типа Man-in-the-browser. На сегодняшний день Emotet эволюционировал в самообновляемый универсальный набор вредоносных программ, который также действует как загрузчик для полезных нагрузок, таких как Qbot и Trickbot (которые, в свою очередь, загружают Ryuk и Mimikatz).
Поскольку Emotet является полиморфным, конкретные IOC (индикаторы компрометации), такие как URL-адреса загрузчика, комбинации С2 IP (Command and Control IP)/порт и шаблоны спама часто меняются. Эта особенность делает обнаружение на основе правил игрой в кошки-мышки, усугубляемой тем, что существует три разных ботнета Emotet, каждый со своей собственной инфраструктурой. Вы можете найти чудесно подробный ежедневный журнал Emotet IOC, который ведется командой Cryptolaemus.
Попав в сеть, Emotet использует различные методы для распространения, повышения привилегий, обеспечения устойчивости и вывода данных за пределы компании. К cлову, поведенческие модели угроз Varonis могут обнаруживать ранние признаки взлома Emotet, а также аномальное поведение после вторжения.
Первичная компрометация
Вектор заражения Emotet фишинговая кампания, поддерживаемая тремя глобальными ботнетами: Epoch 1, Epoch 2 и Epoch 3 (для краткости E1, E2, E3). Каждый Epoch имеет свою собственную инфраструктуру C2, расписание обновлений и шаблоны спама. Фишинговое письмо, как правило, содержит вложения с поддержкой макросов или вредоносные ссылки, предназначенные для заражения новых хостов и добавления их в свой кластер.
Во время последней волны заражений вредоносные письма Emotet содержали защищенные паролем вложения ZIP. Это делается с расчётом, что фильтры электронной почты пропустят запароленный архив без сканирования и не обнаружат вредоносные документы с поддержкой макросов. Такой подход получил название Operation Zip Lock.
Пароль обычно указывается в теле письма в виде простого текста, например:
Zip file attached to email: Very urgent information from 24-09-2020.zip
The password for the document is LQWMFXu
При фиксации всплеска количества писем с запароленными вложениями ZIP, рекомендуется помещать такие письма в карантин. Однако имейте в виду, что Emotet также использует документы Office, прикрепленные напрямую.
Кампании вредоносного спама были обнаружены на многих языках: английском, голландском, французском, немецком, итальянском, японском. Epoch-и, вероятно, имеют географическую привязку (например, в Японии распространен E3).
Развитие успеха
Emotet выводит украденные сообщения электронной почты и списки контактов жертв на сервер C2 с помощью запросов HTTP POST. Затем ботнет использует эти данные, чтобы выдать себя за отправителя и ответить на существующие разговоры. Сделать это можно, либо подменив отправителя, либо, если есть полный контроль над машиной жертвы, отправив электронное письмо непосредственно от имени жертвы.
Такая техника делает спам Emotet очень убедительным и увеличивает вероятность того, что новая жертва откроет вредоносное вложение.
Varonis отслеживает почтовые ящики Microsoft Exchange и Exchange Online и может обнаруживать вложения вредоносных файлов, которые соответствуют словарю известных шаблонов, используемых в шаблонах спама Emotet. С помощью модуля Edge, контролирующего прокси, возможно обнаружить, когда пользователь нажимает ссылку в теле письма, что приводит к загрузке вредоносного загрузчика Emotet.
Varonis анализирует все действия с почтовым ящиком (отправка/получение/открытие/удаление и т. д.) и это позволяет быстро идентифицировать учетные записи, которые были скомпрометированы и начали рассылать спам-кампании (внутренние или внешние). Профиль поведения пользователя создается с учетом всех наблюдаемых платформ: незначительные отклонения в поведении в почте в сочетании с подозрительными событиями входа в систему, сетевыми подключениями и доступом к данным позволяют получать точные оповещения с небольшим количеством ложных срабатываний.
Varonis Edge может обнаруживать кражу сообщений электронной почты и контактов Outlook. На практике мы наблюдали вывод этих данных благодаря покрытию прокси-серверов компании Emotet использовал команды HTTP POST. Если в будущем будет создан скрытый канал DNS, то он будет покрыт моделями эксфильтрации на основе DNS.
Подключения к серверам C2 можно обнаружить несколькими способами. Во-первых, если соединение производится с доменом с плохой репутацией, Varonis предупредит и пометит эти соединения. Во-вторых, Varonis обнаруживает, когда злоумышленники скрывают свой трафик в большом количестве соединений (white smoke), используя алгоритм генерации доменов (DGA). В-третьих, модели поведения Varonis обнаруживают, когда злоумышленники используют DNS в качестве скрытого канала, чтобы скрыть свои команды или передачу данных в виде DNS-запросов. Наконец, Varonis будет предупреждать о необычной веб-активности, такой как использование новых или необычных пользовательских агентов, нетипичный или первый доступ учетной записи к интернету или необычная загрузка данных на внешний ресурс.
Распространение
Emotet имеет множество модулей, которые можно динамически загружать с его C2 сервера для расширения функциональности вредоносного ПО. Есть модуль рассылки спама, модуль кражи электронной почты, банковский модуль и т. д.
Один из модулей, на который следует обратить особое внимание, это модуль для распространения, который позволяет делать это с помощью эксплойтов SMB, таких как EternalBlue (MS17-010) и путем доступа к скрытым административным шарам (ICP$, C$ и Admin$). Мы рекомендуем пропатчить все машины, которые все еще уязвимы для EternalBlue, и отключить административные шары.
Хотя основным методом распространения Emotet является SMB, исследователи из BitDefense обнаружили новую технику распространения, которая сканирует сети Wi-Fi с помощью функции WlanEnumInterfaces в wlanAPI.dll и пытается распространиться на подключенные устройства.
Вредоносное ПО попытается взломать защищенные паролем сети Wi-Fi с помощью встроенного списка паролей. В случае успеха оно пересылает комбинацию SSID и пароля сети обратно на C2 сервер и предпринимает еще одну попытку атаки методом перебора, на этот раз направленную на клиентов этой сети.
Повышение привилегий
Злоумышленники получают учетные данные от привилегированных учетных записей используя хорошо известные инструменты с открытым исходным кодом, ища пароли, хранящиеся в виде простого текста, и собирая учетные данные из Active Directory. Получив учетные данные администратора, злоумышленник может добавить одного или нескольких пользователей в группу администраторов домена.
Наблюдая за активностью файловой системы, Varonis быстро определяет, когда известные инструменты проникновения сохраняются на диск или, когда пользователь ищет в общих файловых ресурсах файлы с паролями или другими конфиденциальными данными. Любая учетная запись пользователя обычно имеет доступ к гораздо большему количеству данных, чем должна, поэтому такие поиски часто бывают плодотворными подробнее об этом ниже.
Emotet хорошо известен тем, что загружает другие виды вредоносных программ таких как Ryuk, которые в свою очередь загружают инструменты взлома, такие как Mimikatz, для сбора учетных данных и повышения привилегий. Varonis анализирует активность в Active Directory для обнаружения сбора учетных данных (например, Kerberoasting) и других атак. Чтобы снизить вероятность того, что эти атаки будут успешными, Varonis выводит потенциально слабые места (например, административные учетные записи, имеющие SPN) на панель управления. Сокращение площади атаки в AD и на файловых ресурсах усложняет жизнь злоумышленникам. Varonis также уведомит, когда учетная запись будет добавлена в административную группу.
Последний рубеж
Если признаки проникновения, распространения и повышения привилегий не были замечены, важно обеспечить критический уровень защиты крупнейших хранилищ данных, защищая серверы Windows и UNIX, устройства NAS, SharePoint и Exchange (как локально, так и в Office 365).
Varonis анализирует активность файловой системы на платформах, которые обеспечивают аудит с помощью своих API, таких как Office 365 и устройства NAS от NetApp, EMC и других. На платформах, где включение родного аудита может вызывать проблемы с производительностью или аудит недостаточно полный, например, Windows, UNIX, Exchange и SharePoint, Varonis использует собственные проверенные в боях агенты для захвата операций.
Если пользователь начинает обращаться к необычному количеству или множеству данных по сравнению с его нормальным поведением, Varonis обнаружит это с помощью одной или нескольких поведенческих моделей. Если пользователь начинает шифрование файлов, это также будет обнаружено многие наши заказчики автоматизируют обработку такого инцидента при помощи скриптов, отключая учетную запись и убивая активные сессии.
Varonis выявляет, где доступ к данным избыточен, т. е. пользователи имеют доступ, в котором они не нуждаются. Предусмотрена возможность автоматического изъятия избыточных прав доступа (как прямых, так и путем удаления учетной записи из групп безопасности). Ограничение доступа к важным данным уменьшит риски и затруднит работу любого злоумышленника.
Заключение
Ботнет Emotet это самое крупное и изощренное оружие в мире для распространения вредоносных программ. Трудно предсказать, какое оружие TA542 будет использовать в следующий раз или какие APT поделятся своим оружием. Что мы действительно знаем, так это то, что кампании Emotet происходят всплесками и сильно различаются по своему характеру, поэтому чрезвычайно важно иметь многоуровневый подход к защите, включая управление обновлениями (patch management), обучение антифишингу, фильтрацию почты, защиту пользовательских устройств и подход, ориентированный на защиту данных (data-centric) наравне с инфраструктурой в целом.
Комплексное обнаружение может дать вашей организации преимущество, но и сокращение поверхности атаки (повышение уровня защищенности) вносит не меньший вклад. Технология Varonis, ориентированная на защиту данных, выстраивает кольца детективного контроля от данных до Active Directory, DNS, VPN и прокси. Varonis также подсвечивает потенциально уязвимые учетные записи и легкодоступные данные, чтобы вы могли исправить ситуацию до того, как злоумышленники ей воспользуются.
