Emotet: Phishing-E-Mails auf Basis echter E-Mail-Kommunikation

Aktuell verbreitet sich eine Phishing-Welle ungeahnter Qualität durch die E-Mail-Postfächer der Welt, auch und besonders in den deutschsprachigen Konten. Das besondere Merkmal ist, dass die Phishing-E-Mail eine bestehende Konversation kapert, und einen gefälschten Link zu einer Malware einbindet.

Viele aufmerksame Anwender stellen aktuell fest, dass sie E-Mails mit gefälschten Links in ihren Postfächern finden. Vermeintlich schickt der bekannte Kommunikationspartner einen Link zu einem Dokument mit einer Rechnung. Vorgeblich mit einer Domain, die der Absender-Domain entspricht. Im Hintergrund via HTML verweist dieser Link allerdings auf einen gekaperten Server mit schlecht gepflegter Software, über den die Malware weiterverbreitet wird. Verantwortlich für diese E-Mails ist mutmaßlich eine Malware namens Emotet.

Aus diesem Angriffs-Szenario ergeben sich einige Fragen, die ich versuchen will, zu beantworten.

Wie geht Emotet vor?

Die Absender sind in den meisten Fällen gefälscht, die E-Mails werden auch nicht über die Infrastruktur einer an der Kommunikation beteiligten Partei verschickt, sondern über Server im Internet. In den meisten Fällen ist darum der Absender auch gefälscht, einem bekannten Namen der Konversation wurde eine technische Absender-Adresse vergeben. Je nach Einstellung des E-Mail-Clients werden unbekannte E-Mail-Adressen oder Ansprechpartner nicht angezeigt.
Der E-Mail-Verlauf der aktuellen Kampagne entspricht einem realen E-Mail-Verlauf in der Vergangenheit.

Woher hat die Malware diese alten Mails?

Aktuell sieht es so aus, als wären bei Infektionen im letzten halben Jahr die E-Mails der Postfächer kopiert wurden. Diese vorherige Kampagne wurde noch mit Hilfe gefälschter Rechnungen großer Anbieter wie Amazon, O2, DHL oder Telekom durchgeführt. Am Anfang wurden aus den gestohlenen E-Mails nur Adressen zur weiteren Verbreitung gewonnen, mittlerweile werden diese vollständigen E-Mail-Verläufe zur Erhöhung der Vertrauenswürdigkeit der Phishing-Mail verwendet. Durch die internen IDs in den Kopfzeilen der E-Mails, können je nach E-Mail-Client diese auch sofort der alten Kommunikation zugeordnet werden. Hier liegt ein möglicher Schwachpunkt der Angriffswelle: die bisherige Konversation kann schon verhältnismäßig lange her sein. Heute eine Rechnung oder ein Dokument zu einem Vorgang aus dem letzten Jahr zu bekommen mag dem einen oder anderen Empfänger komisch vorkommen.

Ob die E-Mails auf Seiten des Senders oder Empfängers gekapert wurden, ist nicht final geklärt. Aktuell ist davon auszugehen, dass die Malware sowohl empfangene als auch gesendete E-Mails entwendet und korrekt weiter verwendet hat.

Warum ist Emotet so gefährlich?

Für die Virenscanner ist Emotet ein großes Problem, weil er viele Techniken zur Tarnung und Selbst-Modifikation verwendet. Er hat ein sogenanntes polymorphes Design, das heißt er kann sich verändern, um signaturbasierten Virenscannern ein Schnippchen zu schlagen. Zusätzlich verfügt er über eine wirksame Erkennung darüber, ob er in einer virtuellen Umgebung läuft. Wenn er glaubt in einer Sandbox zu laufen, verhält er sich vollständig unauffällig.

Abgesehen von der aktuellen Kampagne verbreitet sich Emotet nicht nur über E-Mails sondern hat auch die Fähigkeit, ein internes Netzwerk zu scannen und versucht sich mit Netzwerk-Sniffing und Brute-Force-Attacken weiter zu verbreitet. Eine weitere Möglichkeit ist die Verbreitung über die EternalBlue-Schwachstelle, die durch WannaCry bekannt geworden ist. Durch diese kombinierten Methoden verbreitet er sich wurmartig auch innerhalb von Netzwerken. Durch die BruteForce-Attacken kann er weitere interne Konten übernehmen und dort auch weitere E-Mails kopieren, die dann wieder für die Phishing-Kampange missbraucht werden können. Der Web-Download im PowerShell-Skript verwendet automatisch den systemweit konfigurierten Proxy des Systems.
In den E-Mails verwendet Emotet aktuell ein PowerShell-Skript, dass auf den verschiedenen Windows-Versionen funktioniert und dort zur Infektion führt. Wenn ein System infiziert wurde, werden initial die ersten Schritte durchgeführt:

  • Die Malware wird auf die aktuelle Version upgedatet.
  • Danach versucht sich die Malware permanent im System zu verankern.
  • Im dritten Schritt werden dann die verschiedenen Module nachgeladen und ausgeführt. Diese stellen die eigentlichen Schad- oder Angriffs-Komponenten dar.

In Unternehmensnetzwerken ist das der erste Fuß hinter die Tür, um nicht nur einen einzelnen PC sondern um das ganze Netzwerk zu übernehmen. Die Schäden können entsprechend hoch sein, denn der Trojaner ermöglicht den Angreifern vollen Zugriff auf die gesamte Netzwerkinfrastruktur des Unternehmens. Schon im Dezember 2018 hat das BSI eine entsprechende Warnung vor den möglichen Schäden durch Emotet herausgegeben. Emotet kann beispielsweise Banking-Trojaner nachladen oder einfach nur interne Daten löschen oder verschlüsseln. Bei lahmgelegter Netzwerkinfrastruktur kann es zu Produktionsausfällen in großem Maßstab kommen.

Wie kann ich mich vor Emotet schützen?

Der Versuch die Malware vom System zu löschen und sie zu bereinigen ist nicht zielführend. Durch die modulare Bauweise und den nachgeladenen Code werden mutmaßlich nicht alle Komponenten von der AV-Software erkannt und gelöscht. Die Empfehlung ist, ein befallenes System vollständig und komplett neu aufzusetzen. Weiterhin ist davon auszugehen, dass alle auf dem System gespeicherten Passworte, beispielsweise im Browser, als kompromittiert anzusehen sind und geändert werden müssen.

Wer ein SIEM- oder Logmanagement-System betreibt, sollte prüfen, ob er die Möglichkeit hat die Command-and-Control-Server von Emotet identifizieren zu lassen. Diese rotieren regelmäßig, so dass auch bei gehäuften Treffern in den Logs von einer Infektion auszugehen ist, da diese IPs möglicherweise zuvor und danach von einem legitimen Service genutzt wurden.

Alles in allem ist Emotet schon seit einer Weile ein gefährliches Werkzeug im Waffenarsenal der Hacker. Durch die aktuelle Kampagne mit gestohlenen E-Mail-Verläufen haben die Angreifer jetzt allerdings eine neue Ebene des Phishings betreten. Diese Kampagne führt durch die entwendeten Mails zu Unsicherheit auf der eigenen Seite und stellt den Kommunikationspartner in ein schlechtes Licht. Aktuell ist unklar auf welcher Seite die E-Mails gestohlen wurden. Alle an der Kommunikation beteiligten Unternehmen müssen ihre Infrastukturen überprüfen.

Neben der Kontrolle der Aktualität der Antivirus-Software sind auch Einstellungen im E-Mail-Client hilfreich, die sowohl wirkliche URLs in HTML-Mails anzeigen, als auch die vollständige Absender-Adresse inklusive der technischen Absender. Die üblichen Empfehlungen, alle Sicherheitsupdates für Betriebssysteme und Anwendungen wie Browser, E-Mail-Client und Office zeitnah zu installieren, verringern auch hier die Angriffsoberfläche. Gegen eine Ausbreitung im eigenen Netzwerk hilft eine Netzwerk-Segmentierung, die beispielsweise nur erwünschte SMB- oder RDP-Verbindungen ermöglicht und eine Ausbreitung auf andere Clients erschwert.

Und gegen die neuesten Tricks der Angreifer hilft nur die Rückfrage beim vermeintlichem Kommunikationspartner, ob er dieses Dokument oder den Link tatsächlich verschickt hat.

1 Kommentar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA *