Наша группа реагирования на инциденты отслеживает беспрецедентное количество заражений вредоносным ПО Emotet. Количество активных одновременных расследований Emotet в три раза превышает наш предыдущий рекорд. В этом посте будут рассмотрены индикаторы компрометации, меры по их устранению и то, как Varonis может помочь вам обнаружить и остановить Emotet на каждой фазе атаки.
Обзор Emotet
После долгого перерыва весной 2020 года злоумышленник TA542 (также известный как “Mummy Spider”) вернулся с новой масштабной спам-кампанией, использующей несколько ботнетов по всему миру, а также использующей улучшенный арсенал вредоносного ПО.
Emotet, первоначально известный как банковский троян, впервые был обнаружен в 2014 году. Его основная цель заключалась в перехвате банковских учетных данных с помощью атак типа «Man-in-the-browser». На сегодняшний день Emotet эволюционировал в самообновляемый универсальный набор вредоносных программ, который также действует как загрузчик для полезных нагрузок, таких как Qbot и Trickbot (которые, в свою очередь, загружают Ryuk и Mimikatz).
Поскольку Emotet является полиморфным, конкретные IOC (индикаторы компрометации), такие как URL-адреса загрузчика, комбинации С2 IP (Command and Control IP)/порт и шаблоны спама часто меняются. Эта особенность делает обнаружение на основе правил игрой в кошки-мышки, усугубляемой тем, что существует три разных ботнета Emotet, каждый со своей собственной инфраструктурой. Вы можете найти чудесно подробный ежедневный журнал Emotet IOC, который ведется командой Cryptolaemus.
Попав в сеть, Emotet использует различные методы для распространения, повышения привилегий, обеспечения устойчивости и вывода данных за пределы компании. К cлову, поведенческие модели угроз Varonis могут обнаруживать ранние признаки взлома Emotet, а также аномальное поведение после вторжения.
Первичная компрометация
Вектор заражения Emotet – фишинговая кампания, поддерживаемая тремя глобальными ботнетами: Epoch 1, Epoch 2 и Epoch 3 (для краткости – E1, E2, E3). Каждый Epoch имеет свою собственную инфраструктуру C2, расписание обновлений и шаблоны спама. Фишинговое письмо, как правило, содержит вложения с поддержкой макросов или вредоносные ссылки, предназначенные для заражения новых хостов и добавления их в свой кластер.
Во время последней волны заражений вредоносные письма Emotet содержали защищенные паролем вложения ZIP. Это делается с расчётом, что фильтры электронной почты пропустят запароленный архив без сканирования и не обнаружат вредоносные документы с поддержкой макросов. Такой подход получил название “Operation Zip Lock”.
Пароль обычно указывается в теле письма в виде простого текста, например:
Zip file attached to email: Very urgent information from 24-09-2020.zip
The password for the document is LQWMFXu
При фиксации всплеска количества писем с запароленными вложениями ZIP, рекомендуется помещать такие письма в карантин. Однако имейте в виду, что Emotet также использует документы Office, прикрепленные напрямую.
Кампании вредоносного спама были обнаружены на многих языках: английском, голландском, французском, немецком, итальянском, японском. Epoch-и, вероятно, имеют географическую привязку (например, в Японии распространен E3).
Развитие успеха
Emotet выводит украденные сообщения электронной почты и списки контактов жертв на сервер C2 с помощью запросов HTTP POST. Затем ботнет использует эти данные, чтобы выдать себя за отправителя и «ответить» на существующие разговоры. Сделать это можно, либо подменив отправителя, либо, если есть полный контроль над машиной жертвы, отправив электронное письмо непосредственно от имени жертвы.
Такая техника делает спам Emotet очень убедительным и увеличивает вероятность того, что новая жертва откроет вредоносное вложение.
Varonis отслеживает почтовые ящики Microsoft Exchange и Exchange Online и может обнаруживать вложения вредоносных файлов, которые соответствуют словарю известных шаблонов, используемых в шаблонах спама Emotet. С помощью модуля Edge, контролирующего прокси, возможно обнаружить, когда пользователь нажимает ссылку в теле письма, что приводит к загрузке вредоносного загрузчика Emotet.
Varonis анализирует все действия с почтовым ящиком (отправка/получение/открытие/удаление и т. д.) и это позволяет быстро идентифицировать учетные записи, которые были скомпрометированы и начали рассылать спам-кампании (внутренние или внешние). Профиль поведения пользователя создается с учетом всех наблюдаемых платформ: незначительные отклонения в поведении в почте в сочетании с подозрительными событиями входа в систему, сетевыми подключениями и доступом к данным позволяют получать точные оповещения с небольшим количеством ложных срабатываний.
Varonis Edge может обнаруживать кражу сообщений электронной почты и контактов Outlook. На практике мы наблюдали вывод этих данных благодаря покрытию прокси-серверов компании — Emotet использовал команды HTTP POST. Если в будущем будет создан скрытый канал DNS, то он будет покрыт моделями эксфильтрации на основе DNS.
Подключения к серверам C2 можно обнаружить несколькими способами. Во-первых, если соединение производится с доменом с плохой репутацией, Varonis предупредит и пометит эти соединения. Во-вторых, Varonis обнаруживает, когда злоумышленники скрывают свой трафик в большом количестве соединений («white smoke»), используя алгоритм генерации доменов (DGA). В-третьих, модели поведения Varonis обнаруживают, когда злоумышленники используют DNS в качестве скрытого канала, чтобы скрыть свои команды или передачу данных в виде DNS-запросов. Наконец, Varonis будет предупреждать о необычной веб-активности, такой как использование новых или необычных пользовательских агентов, нетипичный или первый доступ учетной записи к интернету или необычная загрузка данных на внешний ресурс.
Распространение
Emotet имеет множество модулей, которые можно динамически загружать с его C2 сервера для расширения функциональности вредоносного ПО. Есть модуль рассылки спама, модуль кражи электронной почты, банковский модуль и т. д.
Один из модулей, на который следует обратить особое внимание, это модуль для распространения, который позволяет делать это с помощью эксплойтов SMB, таких как EternalBlue (MS17-010) и путем доступа к скрытым административным шарам (ICP$, C$ и Admin$). Мы рекомендуем пропатчить все машины, которые все еще уязвимы для EternalBlue, и отключить административные шары.
Хотя основным методом распространения Emotet является SMB, исследователи из BitDefense обнаружили новую технику распространения, которая сканирует сети Wi-Fi с помощью функции WlanEnumInterfaces в wlanAPI.dll и пытается распространиться на подключенные устройства.
Вредоносное ПО попытается взломать защищенные паролем сети Wi-Fi с помощью встроенного списка паролей. В случае успеха оно пересылает комбинацию SSID и пароля сети обратно на C2 сервер и предпринимает еще одну попытку атаки методом перебора, на этот раз направленную на клиентов этой сети.
Повышение привилегий
Злоумышленники получают учетные данные от привилегированных учетных записей используя хорошо известные инструменты с открытым исходным кодом, ища пароли, хранящиеся в виде простого текста, и собирая учетные данные из Active Directory. Получив учетные данные администратора, злоумышленник может добавить одного или нескольких пользователей в группу администраторов домена.
Наблюдая за активностью файловой системы, Varonis быстро определяет, когда известные инструменты проникновения сохраняются на диск или, когда пользователь ищет в общих файловых ресурсах файлы с паролями или другими конфиденциальными данными. Любая учетная запись пользователя обычно имеет доступ к гораздо большему количеству данных, чем должна, поэтому такие поиски часто бывают плодотворными – подробнее об этом ниже.
Emotet хорошо известен тем, что загружает другие виды вредоносных программ таких как Ryuk, которые в свою очередь загружают инструменты взлома, такие как Mimikatz, для сбора учетных данных и повышения привилегий. Varonis анализирует активность в Active Directory для обнаружения сбора учетных данных (например, Kerberoasting) и других атак. Чтобы снизить вероятность того, что эти атаки будут успешными, Varonis выводит потенциально слабые места (например, административные учетные записи, имеющие SPN) на панель управления. Сокращение площади атаки в AD и на файловых ресурсах усложняет жизнь злоумышленникам. Varonis также уведомит, когда учетная запись будет добавлена в административную группу.
Последний рубеж
Если признаки проникновения, распространения и повышения привилегий не были замечены, важно обеспечить критический уровень защиты крупнейших хранилищ данных, защищая серверы Windows и UNIX, устройства NAS, SharePoint и Exchange (как локально, так и в Office 365).
Varonis анализирует активность файловой системы на платформах, которые обеспечивают аудит с помощью своих API, таких как Office 365 и устройства NAS от NetApp, EMC и других. На платформах, где включение родного аудита может вызывать проблемы с производительностью или аудит недостаточно полный, например, Windows, UNIX, Exchange и SharePoint, Varonis использует собственные проверенные в боях агенты для захвата операций.
Если пользователь начинает обращаться к необычному количеству или множеству данных по сравнению с его нормальным поведением, Varonis обнаружит это с помощью одной или нескольких поведенческих моделей. Если пользователь начинает шифрование файлов, это также будет обнаружено – многие наши заказчики автоматизируют обработку такого инцидента при помощи скриптов, отключая учетную запись и убивая активные сессии.
Varonis выявляет, где доступ к данным избыточен, т. е. пользователи имеют доступ, в котором они не нуждаются. Предусмотрена возможность автоматического изъятия избыточных прав доступа (как прямых, так и путем удаления учетной записи из групп безопасности). Ограничение доступа к важным данным уменьшит риски и затруднит работу любого злоумышленника.
Заключение
Ботнет Emotet – это самое крупное и изощренное оружие в мире для распространения вредоносных программ. Трудно предсказать, какое оружие TA542 будет использовать в следующий раз или какие APT поделятся своим оружием. Что мы действительно знаем, так это то, что кампании Emotet происходят всплесками и сильно различаются по своему характеру, поэтому чрезвычайно важно иметь многоуровневый подход к защите, включая управление обновлениями (patch management), обучение антифишингу, фильтрацию почты, защиту пользовательских устройств и подход, ориентированный на защиту данных (data-centric) наравне с инфраструктурой в целом.
Комплексное обнаружение может дать вашей организации преимущество, но и сокращение поверхности атаки (повышение уровня защищенности) вносит не меньший вклад. Технология Varonis, ориентированная на защиту данных, выстраивает кольца детективного контроля от данных до Active Directory, DNS, VPN и прокси. Varonis также подсвечивает потенциально уязвимые учетные записи и легкодоступные данные, чтобы вы могли исправить ситуацию до того, как злоумышленники ей воспользуются.
