Seit Juli 2017 verbreitet sich in vielen Netzwerken eine neue Variante des bereits bekannten Emotet Banking Trojaners. Die letzte Mutation des Trojaners verbreitet sich ähnlich schnell wie ein Wurm in den Netzwerken der Unternehmen. Inspiriert wurden die Macher des aktuellen Emotet laut einem Blog Post auf Fidelis Cypersecurity durch WANNACRY und NOTPETYA. Eine Erkennung der bekannten Virenengines war zu Beginn der Infektion sehr spärlich und so konnte sich Emotet auf sehr vielen Clients einnisten. Die Frage wie sich der Wurm im Netzwerk verbreitet kann im Moment noch nicht sicher beantwortet werden. Hier verwendet der Wurm vermutlich die Administrative Freigabe IPC$.
Laut Fidelis verbreitet sich der Schädlung über ein selbst-entpackendes RAR Archiv welches 2 Dateien beinhaltet. Eine Datei davon versucht Netzwerkresourcen zu nutzen um eine passende Netzwerkfreigabe zu finden. Ist eine passende Freigabe gefunden, dann wird die Dienst-Komponente geschrieben und ein Dienst wird auf dem jetzt infizierten System erstellt.
Die neue Variante des Emotet missbraucht die infizierten Computer zum Versenden von Spam Mails. Einer der Emotet Dienste ist dazu da um Informationen des Outlooks Accounts zu stehlen in dem er die PST / OST Datei ausliest. In der PST Datei befinden sich Informationen zu den gespeicherten Mails, Kontakte, Kalender Infos und vieles mehr. Gesammelt werden Name und E-Mail Adresse jeder ungelesenen E-Mail. Die gestohlenen Informationen werden in eine temproräre Datei geschrieben und an den Command und Control Server (C&C) geschickt. Dieser steuert den Versand der Mails per SMTP über ebenfalls „gehackte“ Mailserver. In dieser Mail befindet sich wiederum ein Link zu einer Word-Datei um den Empfänger ebenfalls zu infizieren. Dazu aber etwas weiter unten mehr….
E-Mail Beispiele
Die Daten werden nicht nur aus Microsoft Outlook ausgelesen, sondern auch aus vielen anderen Accounts.
- Google accounts
- Office Outlook
- FTP accounts saved in IE
- MSN Messenger
- Google Talk
- IncrediMail
- Group Mail
- Mozilla Thunderbird
Betroffene Systeme: Windows Server 2003 – Windows Server 2016 / Windows XP – Windows 10
Wie kommt es zu einer Infektion?
Neben einem Makro befindet sich nur ein Screenshot in der DOC
Ausschnitt des Makros
Analyseergebnis des Word-Dokumentes auf reverse.it
Die Infektion
Bei einer Infektion werden bis zu mehreren 100 Diensten erstellt.
Die Exe Dateien für die Dienste werden unter C:\Windows abgelegt
Zusätzlich befindet sich unter C:\Windows\system32 oder C:\Windows\SysWOW64 eine weitere Datei, welche die Dienste immer wieder neu erstellt.
Hier die beispielhaften Ergebnisse einer EXE aus SysWOW64 (shedulelogon.exe)
Virustotal | Malwr | Reverse.it
HTTP/S Traffic
Die nachfolgenden Screenshots zeigen den Netzwerk Traffic von Emotet (Die Screenshots stammen von dieser Quelle)
Betroffene Domains
Links
- anduron.com – GET /XXGX911533/
- approxim.com – GET /RHKA318298/
- beckiyore.com – GET /ECPT315356/
- bluedevils.be – GET /joomla/language/MZQO136516/
- bildnah.de – GET /PVXM989517/
- boscoandzoe.com – GET /ICHY890603/
- bradnance.com – GET /ZRXE577815/
- bravasav.net – GET /ENOD612941/
- cohenbenefits.com – GET /office/custom/SIPQ546465/
- cpkapability.com – GET /UKSV614228/
- danielmerchen.com – GET /TZEX247131/
- denbar.com.au – GET /UOOP149434/
- driften.org – GET /MCGF919307/
- euphorianet.com – GET /YQCB092598/
- event-weekend.ch – GET /ICOT371647/
- falconbilgisayar.com – GET /RIOC718921/
- flexlogic.nl – GET /QBUP530634
- ftpgmbh.ch – GET /VYXG951483
- getoutofthecube.com – GET /JZST874751/
- goldencoyote.com – GET /ALLS580885/
- grigolla.net – GET /DIPV031830/
- hcsnet.com.br – GET /FDED220303/
- hobbycoinexchange.com – GET /ssfm/ESIF185658/
- homexxl.de – GET /images/articles/EYQD907375/
- huiwei19.com – GET /YJPW400437/
- intedyn.com – GET /PZFY613518/
- invitatii.kids-mania.com – GET /CPJV799737/
- interwatts.com – GET /jcgestio/report/XIND162748/
- katemadison.com – GET /PTXJ411100/
- kovalantie.fi – GET /XOON622261/
- lincolngroup.biz – GET /BCCC068652/
- livablecity.org – GET /DFKR972152/
- mariamartinezportfolio.com – GET /XLJF149270/
- merz.com.ar – GET /POXE116744/
- molodin.org – GET /YFUF766014
- phvfd221.org – GET /CVQP360485/
- pkfans.com – GET /KCOK937437/
- pieterdijkstra.nl – GET /MULR523923/
- procebe.com – GET /MPKL050560/
- prodevinc.com – GET /RPJI648495/
- rehaunion.de – GET /GDOG943694/
- rekonaudio.com – GET /TGVY210050/
- sentraweddingcar.com – GET /DFKC861710/
- succssatlas.com – GET /NHMH464376/
- tchypnotherapy.co.uk – GET /VSHM064019/
Andere Quelle mit teilweise den selben Domains (https://pastebin.com/Eje8q28p)
Download der Emotet Binaries per Macro
- ais-fo.fr – GET /kukajweln/
- blushphotoandfilm.com – GET /ckgawd/
- bugbbq.com – GET /awhwgra/
- dzynr.com – GET /ev/
- netoip.com – GET /rwibpm/
HTTP Infection Traffic:
- 74.208.17.10 port 8080 – 74.208.17.10:8080 – POST /
- 158.69.199.223 port 8080 – 158.69.199.223:8080 – POST /
- 178.62.175.211 port 443 – 178.62.175.211:443 – POST /
- 192.81.212.79
HTTP Infection Traffic – Timeout
- 93.180.157.92 port 443
- 164.132.50.32 port 8080
- 173.212.192.45 port 8080
- 178.79.132.214 port 443
- 192.81.212.79 port 443
Informationsquellen
https://isc.sans.edu/forums/diary/Malspam+pushing+Emotet+malware/22650
https://www.fidelissecurity.com/threatgeek/2017/07/emotet-takes-wing-spreader