{"id":234572,"date":"2020-08-17T15:57:36","date_gmt":"2020-08-17T13:57:36","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=234572"},"modified":"2023-04-24T00:26:20","modified_gmt":"2023-04-23T22:26:20","slug":"emocrash-impfschutz-vor-emotet-infektionen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/08\/17\/emocrash-impfschutz-vor-emotet-infektionen\/","title":{"rendered":"EmoCrash: Impfschutz vor Emotet-Infektionen hielt 6 Monate"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2020\/08\/17\/emocrash-impfschutz-vor-emotet-infektionen\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Sechs Monate lang haben Sicherheitsspezialisten eine Art 'Schutzsoftware' (EmoCrash) gegen die Ransomware Emotet f\u00fcr Beh\u00f6rden und Betreiber kritischer Infrastrukturen ausgerollt. EmoCrash macht sich einen Bug in Emotet zunutze, um die Systeme vor einer Infektion zu sch\u00fctzen. Erst Anfang August 2020 gelang es der Emotet-Gang, EmoCrash auszuschalten.<\/p>\n<p><!--more--><\/p>\n<h2>Emotet auf einen Blick<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg08.met.vgwort.de\/na\/8d2bf79dfe0148079c9fb94fbed8c526\" alt=\"\" width=\"1\" height=\"1\" \/>Emotet ist ein Erpressungs-Trojaner (Ransomware), der per E-Mail verteilt wird, dann Systeme bef\u00e4llt und die Opfer erpresst. Die Malware taucht urspr\u00fcnglich erstmals als unbedeutender Banking-Trojaner in 2014 auf. Seitdem entwickelte sich die Schadsoftware von einem unbedeutenden Banking-Trojaner zu einer Art Schweizer-Messer der Ransomware-Szene. Die Malware kann sich nach einer Infektion der Opfer \u00fcber ihr gesamtes Netzwerk verbreiten, sensible Daten stehlen und Dateien verschl\u00fcsseln.<\/p>\n<p>Die Hinterm\u00e4nner, die in der ehemaligen Sowjetunion vermutet werden, vermieten inzwischen den Zugang zu den infizierten Hosts an andere Gruppen. Seit Monaten laufen Botnet-gesteuerte Spam-Kampagnen, um Emotet zu verbreiten und L\u00f6segeld zu erpressen. Die Gang ist recht erfolgreich und konnte Millionen an L\u00f6segeld einheimsen.<\/p>\n<h2>Ein Fehler in der Malware<\/h2>\n<p>Aber jede Software enth\u00e4lt Fehler &#8211; Emotet enthielt eine Schwachstelle, die es Cyber-Sicherheitsforschern erlaubte, einen Kill-Switch zu aktivieren. Ich hatte bereits vor einigen Tagen mitbekommen, dass Sicherheitsforscher einen Bug in der Emotet-Ransomware gefunden hatten, mit dem sich der Sch\u00e4dling aushebeln l\u00e4sst. Aber der Ansatz, der in den letzten sechs Monaten in Sachen 'Impfung gegen Emotet' lief, war unter meinem Radar geblieben. Vor einigen Stunden habe ich dann folgenden Tweet gesehen.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"de\">Wir bedanken uns bei allen Nutzern f\u00fcr die vertrauliche Behandlung der Information, die ein \u00f6ffentliches Bekanntwerden und somit eine schnelle Reaktion der T\u00e4ter verhindert hat.<a href=\"https:\/\/twitter.com\/hashtag\/DeutschlandDigitalSicherBSI?src=hash&amp;ref_src=twsrc%5Etfw\">#DeutschlandDigitalSicherBSI<\/a><\/p>\n<p>\u2014 CERT-Bund (@certbund) <a href=\"https:\/\/twitter.com\/certbund\/status\/1295296643005390848?ref_src=twsrc%5Etfw\">August 17, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Dieser gefundene Kill-Switch erm\u00f6glichte es, die Malware sechs Monate lang daran zu hindern, Systeme zu infizieren. Entsprechende Abwehrsoftware wurde laut CERT-Bund auch in Deutschland allen Beh\u00f6rden der Bundes- und Landesverwaltung sowie KRITIS-Unternehmen nach IT-SiG zur Verf\u00fcgung gestellt. Der Kill-Switch war zwischen dem 6. Februar 2020 und dem 6. August 2020 182 Tage lang aktiv, bevor die Malware-Autoren ihre Malware gepatcht und die Schwachstelle geschlossen haben.<\/p>\n<h2>Einige Details<\/h2>\n<p><a href=\"https:\/\/twitter.com\/lazyactivist192\" target=\"_blank\" rel=\"noopener noreferrer\">James Quinn<\/a> von <a href=\"https:\/\/www.binarydefense.com\/\" target=\"_blank\" rel=\"noopener noreferrer\">Binary Defense<\/a> stie\u00df bei der Analyse im Februar 2020 auf einen Bug im Emotet-Trojaner. Quinn verfolgt die Aktivit\u00e4ten von Emotet seit Jahren und bemerkte im Februar 2020 eine \u00c4nderung in Teilen des Codes. The Hacker News <a href=\"https:\/\/thehackernews.com\/2020\/02\/emotet-malware-wifi-hacking.html\" target=\"_blank\" rel=\"noopener noreferrer\">berichtete im Februar hier<\/a> \u00fcber diese \u00c4nderung, mit der sich nahegelegene Wi-Fi-Netzwerke infizieren lie\u00dfen. Diese \u00c4nderung betraf den \"Persistenzmechanismus\" von Emotet, den Teil des Codes, der es der Malware erm\u00f6glicht, einen Neustart des Systems zu \u00fcberleben.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" title=\"Emotet-Registry-Key\" src=\"https:\/\/web.archive.org\/web\/20220119171831\/https:\/\/www.binarydefense.com\/wp-content\/uploads\/2020\/08\/Picture1-1024x122.png\" alt=\"Emotet-Registry-Key\" width=\"577\" height=\"69\" \/><br \/>\n(Emotet-Registry-Key, Quelle: Binary Defense)<\/p>\n<p>Quinn bemerkte, dass Emotet dazu einen Windows-Registrierungsschl\u00fcssel erstellte und darin einen XOR-Chiffrierschl\u00fcssel speicherte, wie er <a href=\"https:\/\/www.binarydefense.com\/emocrash-exploiting-a-vulnerability-in-emotet-malware-for-defense\/\" target=\"_blank\" rel=\"noopener noreferrer\">hier schreibt<\/a>. Zusammen mit dieser Funktionsaktualisierung wurde \"ein Dateiname zum Speichern der Malware auf jedem Opfersystem generierte, wobei ein zuf\u00e4llig gew\u00e4hlter exe- oder dll-Systemdateiname aus dem Verzeichnis system32 verwendet wurde\".<\/p>\n<h3>Killswitch v1<\/h3>\n<p>Etwa 37 Stunden, nach dieser Entdeckung im Emotet-code, hatte Quinn bereits die erste Version des Killswitch fertig (aus der sp\u00e4ter EmoCrash entwickelt wurde). In der Urversion generierte das PowerShell-Skript zum Schutz vor Emotet den Registrierungsschl\u00fcsselwert f\u00fcr jedes Opfer und setzte die Daten f\u00fcr jeden Wert auf null.<\/p>\n<p>\u00dcberpr\u00fcfte Emotet die Registrierung auf diese Installationsmarkierung, fand es den neu generierten Nullwert und generierte daraus den Exe-Namen \".exe\". Dann durchsuchte die Malware dann Pfad zum normalen Installationsort (%AppdataLocal%, C:\\Windows\\System32,C:\\Windows\\Syswow64, basierend auf der Umgebung) nach dieser exe. Da die Datei '.exe' nicht existierte, wurde lediglich eine Datei mit dem Namen \".exe\" am normalen Emotet-Installationsort abgelegt. Der Versuch der Malware, diese \".exe\" auszuf\u00fchren, scheiterte jedoch, da \".\" bei vielen Betriebssystemen das aktuelle Arbeitsverzeichnis bezeichnete.<\/p>\n<p>Obwohl dieser Mechanismus funktionierte, war er sehr un\u00fcbersichtlich und erlaubte Emotet trotzdem die Installation &#8211; er verhinderte nur, dass Emotet erfolgreich ausgef\u00fchrt werden konnte und sich \u00fcber das Netzwerk ausbreitete.<\/p>\n<h3>Killswitch v2<\/h3>\n<p>Etwa 48 Stunden nachdem Emotet die neueste Loader-Version ver\u00f6ffentlichte, stellte Binary Defense die zweite Version des Killswitch fertig. Diese Version machte sich einen einfachen Puffer\u00fcberlauf zunutze, der in der Installationsroutine von Emotet entdeckt wurde. Der Killswitch brachte Emotet w\u00e4hrend der Malware-Installation zum Absturz, bevor die Malware sich auf dem Zielsystem installieren konnte. Dadurch wurde die Installation der Malware vollst\u00e4ndig verhindert.<\/p>\n<p>Zus\u00e4tzlich wurden zwei Ereigniseintr\u00e4ge mit den Ereignis-IDs 1000 und 1001 in der Ereignisprotokollierung erzeugt. Diese dienten zur Identifizierung von Endpunkten mit deaktivierten und toten Emotet-Bin\u00e4rdateien, verursacht durch den Einsatz des Killswitch (und einem Neustart des Computers).<\/p>\n<h3>Verteilung der Schutzroutine<\/h3>\n<p>In einer koordinierten Aktion zwischen der Infosec- und der CERT-Gemeinschaft, begann Binary Defense am 12. Februar 2020 mit der weltweiten Verteilung des EmoCrash-Angriffsskripts an Stellen auf der ganzen Welt, mit der strikten Anweisung, es nicht \u00f6ffentlich zu ver\u00f6ffentlichen. Denn es das Ziel, den Nutzen dieses Exploits zu maximieren und gleichzeitig zu verhindern, dass die Bedrohungsakteure einen Tipp erhalten und ihren Code patchen k\u00f6nnen.<\/p>\n<p>Alles in allem konnte Emotet so f\u00fcr die letzten sechs Monate auf den geimpften Systemen an einer Installation gehindert werden. Und die Sicherheitsforscher erhielten hilfreiches Feedback, unter anderem zu Kompatibilit\u00e4tsprobleme unter Windows 7, die vom CERT der Universit\u00e4t Frankfurt in Deutschland beigesteuert wurden.<\/p>\n<h2>Die Emotet-Gang riecht den Braten<\/h2>\n<p>So um den 7. Februar 2020 ging die Emotet-Gang wohl in eine Art Entwicklermodus \u00fcber, da man vermutlich den Braten gerochen hatte. Die Emotet-Gang war\u00a0 in der Zeit vom 7. Februar bis zum 17. Juli 2020 inaktiv und stellte das Spamming ein &#8211; um an der Entwicklung ihrer Malware zu arbeiteten. W\u00e4hrend die Spam-Verbreitung vollst\u00e4ndig gestoppt wurde, lieferte die Gruppe weiterhin einige wenige Kern-Updates von Bin\u00e4rdateien und Protokoll-Updates aus. Zus\u00e4tzlich wurde beobachtet, dass Emotet bereits am 2. April 2020 Trickbot f\u00fcr die Verteilung verwendete.<\/p>\n<p>Mitte April ver\u00f6ffentlichte Emotet eine neue Protokoll\u00e4nderung, zusammen mit \u00c4nderungen an der Kernbin\u00e4rdatei. Eine der wichtigsten \u00c4nderungen war die Einf\u00fchrung einer neuen Installationsmethode, mit der die Explorer-Registrierungsschl\u00fcsselmethode abgeschafft wurde. Au\u00dferdem entfernte dieses neue Update die Verwendung von Gleichzeitigkeits-Mutexen, m\u00f6glicherweise in dem Bestreben, andere, \u00f6ffentlichere Killswitches zu umgehen.<\/p>\n<p>Die Installationsmethode f\u00fcr Explorer-Registrierungsschl\u00fcssel wurde zwar zur\u00fcckgezogen, aber nicht vollst\u00e4ndig aus dem Code entfernt. Stattdessen griff die Malware auf den Explorer-Registrierungsschl\u00fcssel zu, als sie pr\u00fcfte, ob es alte Installationen gab, die entfernt werden mussten.<\/p>\n<p>Wurde auf diesen Schl\u00fcssel zugegriffen, brachte EmoCrash die Malware trotzdem zum Absturz ,und zwar, bevor sie nach au\u00dfen kommunizieren konnte. Ungl\u00fccklicherweise wurde dieser Absturz ausgel\u00f6st, nachdem Emotet sich selbst installiert hatte (einschlie\u00dflich der Erstellung von Diensten und dem L\u00f6schen von Dateien). Die Malware konnte jedoch keine Verbindung zu den Controll-Servern herstellen und der Dienst konnte nicht ausgef\u00fchrt werden. Da der Absturz au\u00dferdem immer noch die Ereignis-ID 1000 und 1001 ausl\u00f6ste, konnten die Responder diese Dateien leicht lokalisieren und entfernen.<\/p>\n<p>W\u00e4hrend Emotet erst am 17. Juli 2020 wieder aktiv wurde, erhielt Binary Defense Benachrichtigungen von verschiedenen Organisationen, die EmoCrash eingesetzt und eine anhaltende Emotet-Infektion festgestellt und einged\u00e4mmt hatten. Da Emotet w\u00e4hrend dieser Zeit nicht spammte, musste sich der Verlust ganzer Opferorganisationen negativ auf den Betrieb des Botnets auswirken. Ab dem 17. Juli 2020, nach einer mehrmonatigen Entwicklungsphase, konnten die infizierten Systeme wieder zum Spamming zur\u00fcck. Da EmoCrash zu dieser Zeit noch aktiv war, konnte die Software bis zum 6. August einen vollst\u00e4ndigen Schutz vor Emotet bieten.\u00a0 Jetzt haben die Malware-Autoren diese Schwachstelle aber geschlossen, der EmoCrash wirkt also nicht mehr. Details sind <a href=\"https:\/\/www.binarydefense.com\/emocrash-exploiting-a-vulnerability-in-emotet-malware-for-defense\/\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a> nachlesbar.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Sechs Monate lang haben Sicherheitsspezialisten eine Art 'Schutzsoftware' (EmoCrash) gegen die Ransomware Emotet f\u00fcr Beh\u00f6rden und Betreiber kritischer Infrastrukturen ausgerollt. EmoCrash macht sich einen Bug in Emotet zunutze, um die Systeme vor einer Infektion zu sch\u00fctzen. Erst Anfang August 2020 &hellip; <a href=\"https:\/\/borncity.com\/blog\/2020\/08\/17\/emocrash-impfschutz-vor-emotet-infektionen\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[7931,4328],"class_list":["post-234572","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-emotet","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/234572","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=234572"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/234572\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=234572"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=234572"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=234572"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}