• blank

Heimdall berichtet: Emotet nutzt verschlüsselte Archivformate

Die aktuelle Bedrohungslage ist durch den Trojaner Emotet geprägt. Auffällig bei den Cyberangriffen ist die Tatsache, dass die Angriffsmuster sehr schnell variieren. Dies erschwert die gezielte Erkennung von Emotet-Bedrohungen auf allen Ebenen.

Sehr häufig werden zur Verbreitung von Emotet E-Mails eingesetzt, die entweder ein verseuchtes Word-Dokument mit Makros enthalten oder einen Link auf ein ebensolches. Eine weitere Strategie der Angreifer ist das Verstecken solcher verseuchter Word-Dateien in verschlüsselten Archivformaten. Hierbei ist ein zentrales Problem, dass klassische Malware-Scanner das Archiv nicht entschlüsseln und automatisch untersuchen können. Um es dem Opfer der Malware-Attacke möglichst “einfach” zu machen, wird das benötigte Passwort zur Entschlüsselung im Text der E-Mail mitgeliefert (siehe Beispiele). Als Nebeneffekt bietet sich für die Malware-Autoren hier die Möglichkeit, die selbe Schadsoftware einfach nur immer wieder neu zu verschlüsseln. Durch die sich ständig ändernden Hash-Werte werden hier einfache Schutzmechanismen ausgehebelt.

  • Emotet nutzt verschlüsselte Archivformate 1
  • Emotet nutzt verschlüsselte Archivformate 2
  • Emotet nutzt verschlüsselte Archivformate 3
  • Emotet nutzt verschlüsselte Archivformate 4
1234

Heimdall’s wachsames Auge

Anhand der im Zuge des Heimdall-Projektes gesammelten Daten können die NoSpamProxy-Experten die Bedrohungslage laufend beobachten und Kunden, die schon an der Heimdall-Beta teilnehmen, aktiv schützen. Ein Blick auf die Sichtungen von verschlüsselten Zip-Archiven liefert erste Verdachtsmomente:

Emotet nutzt verschlüsselte Archivformate Grafik

Diese Grafik zeigt den zeitlichen Verlauf von Sichtungen verschlüsselter Zip-Archive. Hier zeigt sich ab dem 15.9.2020 ein deutlich erhöhtes Aufkommen. Noch deutlicher wird dieser Trend, wenn man sich ausschließlich die Anhänge eingehender E-Mails ohne Level of Trust anschaut. Grundsätzlich ist zu beobachten, dass ein großer Teil der Schadsoftware von unbekannten Kommunikationspartnern kommt. Der dazugehörige Zeitverlauf spricht eine noch deutlichere Sprache:

Emotet nutzt verschlüsselte Archivformate Grafik 2

Hier ist klar zu erkennen, dass sich die Lage in den letzten zwei Wochen deutlich geändert hat. Mit einem genauen Blick auf die entsprechenden Metadaten erweist sich ein Großteil dieser zusätzlich eingegangenen Anhänge als verdächtig. Es finden sich beispielsweise eine große Anzahl verdächtiger Dateinamen mit häufig bei Malware-Angriffen verwendeten Worten wie “IBAN”, “Rechnung” oder “Order”. Auch Cryptolaemus warnt auf Twitter vor verschlüsselten Archiven im Zusammenhand mit Emotet.

Über Wollläuse und Marienkäfer

Die US-Firma Symantec hat die Bezeichnung “Mealybug” für die Akteure hinter dem Trojaner Emotet etabliert, was dann übersetzt die Wolllaus wäre. Die natürlichen Fressfeinde der Wolllaus sind unter anderem Marienkäfer, und in Australien wird speziell eine Marienkäferart (lateinisch: Cryptolaemus montrouzieri) dafür gezüchtet und vermarktet. Somit war der Name der inoffiziellen “Emotet Working Group” aus einem weltweiten Kollektiv aus IT-Security-Expert*innen geboren, welche gemeinsam das Emotet-Botnetz bekämpfen und sich über Twitter vernetzen. Die gesammelten IoCs (Indicators of Compromise: tagesaktuelle Indikatoren zur Erkennung von Emotet) vom Cryptolaemus-Team werden von Heimdall konsumiert und stehen in der Heimdall-Beta zur Verfügung.

Den bestehenden Schutz durch optimale Konfiguration optimieren

Alle NoSpamProxy-Kunden, die momentan an der Heimdall-Beta teilnehmen, werden im Moment durch die Warnungen von Heimdall in vielen Fällen geschützt. Dennoch ist es ratsam, das System auch lokal bestmöglich zu konfigurieren, um der aktuellen Lage gerecht zu werden.

Passwortgeschützte Dateien genau prüfen

Generell ist die Best-Practice-Empfehlung bei verschlüsselten Inhalten, diese nicht ohne eine Prüfung auf Spam, Malware oder Policy-Verstöße auszuliefern. Wie im Text beschrieben, ist die Gefahr bei verschlüsselten ZIP-Archiven aktuell durch die Emotet-Operation “Zip Lock” sehr hoch. Wer sich also noch keine Gedanken über das Thema “passwortgeschützte Dateien” gemacht hat, ist gut beraten, dies zeitnah für sein Unternehmen zu definieren und in NoSpamProxy entsprechend umzusetzen.

Seit 2018 empfehlen wir dringend, bei der Inhaltsfilterung auf einen Whitelisting-Ansatz zu setzen (Stichwort: E-Mail Firewall). Kunden, welche dies bereits umgesetzt haben, müssen also eventuell gar nicht aktiv werden; dies wurde bisher in den jeweiligen Unternehmen nicht im Workflow gebraucht, beispielsweise wenn Dateien sicher über die Cloud oder NoSpamProxy Larges Files geteilt werden.

Inhaltsfilter richtig konfigurieren

Seit NoSpamProxy Version 13.1 steht im Inhaltsfilter explizit der Dateityp “Verschlüsselte ZIP-komprimierte Datei” zur Verfügung. So ist es möglich, diese Dateien zunächst zu sperren und in das Web Portal hochzuladen. Erst durch die manuelle Freigabe durch den Administrator wird der betreffende Anhang dann für den Endnutzer verfügbar. Selbstverständlich lassen sich auch Inhaltsfilter-Einträge erstellen, die zwischen E-Mails ohne Vertrauen (wie die aktuelle Spamwelle) und solchen von regelmäßigen Kommunikationspartnern (welche durch das Level-of-Trust-System entsprechend identifiziert wurden) unterscheiden können.

Heimdall jetzt einsetzen

Die Heimdall-Aktion in NoSpamProxy sorgt dafür, dass Metadaten zu E-Mails und Anhängen gesammelt und analysiert werden. Das Ziel: der Aufbau einer noch leistungsfähigeren Anti-Malware-Intelligenz, die Angriffe durch Spam und Malware noch schneller und zielsicherer erkennen und abwehren kann. Sollten Sie Interesse daran haben, die Beta-Version von Projekt Heimdall zu nutzen, senden Sie eine E-Mail mit dem Betreff „Heimdall-Freischaltung“ an den NoSpamProxy-Support und fügen Sie einen Screenshot Ihrer Lizenzdetails an.

Heimdall einsetzen