Emotet - один из самых опасных троянов, когда-либо созданных. За время своего существования он был усовершенствован и превратился в очень разрушительную вредоносную программу. Его жертвами становятся в основном корпоративные пользователи, но даже частные пользователи заражаются в ходе массовых спам-рассылок.
Что такое троян Emotet?
Emotet - это очень сложный и разрушительный троянец, используемый для загрузки и установки других вредоносных программ. Впервые зафиксированный в 2014 году, он был классифицирован как банковский троян, но за время своего существования Emotet обрел расширенные возможности и превратился в целый сервис по распространению вредоносного ПО.
ТПо результатам анализа, Emotet может действовать как червь и распространяться с помощью локальных сетей, что делает его чрезвычайно трудноочищаемым. Кроме того, троян обладает продвинутой механикой сохранения и защиты от вторжений, например, обнаруживает песочницы и виртуальные машины с возможностью генерировать ложные индикаторы, чтобы сбить с толку исследователей.
Кроме того, троян имеет полиморфный дизайн - это означает, что он может изменять свой код, чтобы обойти обнаружение на основе сигнатур, что делает эту стратегию киберзащиты бесполезной против его атак. Кроме того, Emotet получает обновления с управляющего сервера, выполняя эту операцию так, как будто устанавливается обновление операционной системы. Это позволяет трояну незаметно подбрасывать на зараженную машину дополнительные вредоносные программы.
Следует также отметить, что троян Emotet имеет модульную конструкцию, что позволяет адаптировать эту вредоносную программу к различным задачам и настраивать ее под каждую конкретную кампанию, предоставляя злоумышленникам максимальную гибкость. Основными целями Emotet являются правительства, корпорации, малые предприятия и частные лица, сфокусированные на Европе, Америке и Канаде.
Общее описание вируса Emotet
Первая версия вредоносной программы Emotet, обнаруженная в 2014 году, была предназначена для кражи банковских учетных данных путем перехвата интернет-трафика и была гораздо более простой, чем известный нам сегодня троянский зверь. Когда Emotet был впервые замечен в дикой природе, вредоносная программа была нацелена в основном на банки из Германии и Австрии, используя только свой собственный набор инструментов для кражи информации.
Вскоре последовала вторая версия, на этот раз с несколькими дополнительными модулями, такими как модули денежных переводов, почтового спама, DDoS и кражи адресной книги. Третья итерация Emotet была выпущена в 2015 году. На этот раз злоумышленники сосредоточились на усовершенствовании функции защиты от вторжений и включили в список потенциальных жертв банки из Швейцарии.
Следующая модернизация вредоносной программы Emotet последовала в декабре 2016 года, изменив вектор атаки вируса. В начале своего существования четвертая версия вируса в значительной степени полагалась на набор эксплойтов RIG 4.0 для проникновения на компьютеры жертв, а затем переключилась в основном на почтовый спам. Эта же итерация вредоносной программы ознаменовала момент, когда ее основной сценарий использования начал смещаться от использования собственного банковского модуля к подбрасыванию других троянских программ на зараженные компьютеры.
Говоря о модулях, следует отметить, что вредоносная программа Emotet может выполнять большое количество вредоносных действий, которые зависят от модулей, используемых в конкретной кампании. Большинство версий вируса включают модуль рассылки спама, который может использоваться для продолжения распространения вредоносной программы путем рассылки серии вредоносных писем с зараженного компьютера. Другой обычно включаемый модуль используется для кражи учетных данных, позволяя Emotet похищать конфиденциальную информацию из веб-браузеров и почтовых клиентов.
В 2017 году троян Emotet был оснащен модулем-распространителем, позволяющим вредоносной программе заражать все машины, подключенные через локальную сеть. Вирус также обзавелся модулем кражи адресной книги - этот модуль интересен. Он анализирует связь между отправителями и получателями электронной почты и использует собранную информацию для повышения эффективности последующих кампаний, исходящих с ПК пользователя, нацеливаясь на друзей, членов семьи и коллег жертвы с помощью персонализированных спам-писем.
Вредоносная программа Emotet не только обеспечивает гибкую функциональность за счет использования модулей и имеет несколько функций защиты от вторжений, но и уделяет большое внимание стойкости. Для того чтобы вредоносная программа оставалась на зараженной машине, она внедряется в запущенные процессы, загружает дополнительные полезные нагрузки, часто нацеливаясь на Explorer.exe. Кроме того, вредоносная программа использует запланированные задачи и вносит изменения в ключи реестра.
В январе 2021 года ботнет Emotet был уничтожен правоохранительными органами. В ходе глобальной операции, известной как "Операция Ladybird", была обнаружена инфраструктура вредоносного ПО по всему миру. Они арестовали по меньшей мере двух членов банды киберпреступников в Украине. Имена нападавших не были раскрыты.
Эксперты по безопасности объединились и одновременно захватили сотни командно-контрольных серверов Emotet, а также вывели из строя резервные копии. Исследователи разместили свои собственные машины на IP-адресах компьютеров мошенников и сделали полезную нагрузку неактивной, чтобы предотвратить связь с ботнетом.
Эти действия привели к тому, что C2-серверы Emotet не работали почти десять месяцев.
14 ноября 2021 года Emotet вернулся с новой версией. Ботнет начал распространять многочисленные maldoc. Более того, он изменил свою тактику. Раньше вирус Emotet сбрасывал Trickbot или Qbot. Но сейчас вредоносная программа также работает с Cobalt Strike. Это означает, что время между первоначальным заражением и атакой ransomware значительно сокращается.
Также исследователи заметили, что Emotet вызывает к жизни все больше и больше C2-серверов. В новой версии ботнета появилось ECC-шифрование, изменены протоколы связи - новая начальная регистрация и т.д.
Следует отметить, что упомянутые версии троянцев чрезвычайно разрушительны, и их атаки могут иметь несколько последствий. Например, вредоносное ПО может привести к потере приватных данных, невозможности эксплуатации зараженного ПК вплоть до его полной инвалидности, а также к финансовым потерям, связанным с восстановлением поврежденной инфраструктуры. Так, одна компания была вынуждена потратить более миллиона долларов на ликвидацию последствий атаки Emotet.
Процесс выполнения Emotet
Троян Emotet распространяется в основном через вредоносные спам-кампании по электронной почте. На первом этапе заражения потенциальную жертву обманом заставляют открыть прикрепленный файл Microsoft Office с помощью социальной инженерии. После открытия файла и включения макросов никаких дополнительных действий от пользователя не требуется.
Загруженные файлы содержат вредоносный код VBA, который запускается после открытия документа. Один из возможных вариантов процесса заражения - когда код VBA использует WMI для запуска кода Powershell, который загружает полезную нагрузку - вредоносный исполняемый файл с веб-сервера. Примечательно, что сценарий Powershell закодирован.
Emotet предпринимает шаги для поддержания своего присутствия в зараженной системе - копирует себя во вложенные папки %AppData% и изменяет значение автозапуска в реестре. Кроме того, вредоносная программа позволяет злоумышленникам загружать дополнительную полезную нагрузку. Вредоносная программа отправляет информацию на сервер и обратно через все процессы заражения. На последнем этапе выполнения Emotet ожидает команд от командно-контрольных серверов.
Предотвращение атак Emotet
Чтобы минимизировать риск заражения вирусом Emotet и потенциальные разрушения в случае заражения, пользователям рекомендуется соблюдать ряд стандартных правил, таких как отказ от загрузки файлов из подозрительных электронных писем и постоянное наличие на компьютере обновленной версии антивируса.
Организациям рекомендуется ограничить входящие SMB-коммуникации между клиентскими системами, чтобы предотвратить распространение Emotet с одной машины на другую в локальной сети, провести тренинг по безопасности для персонала и проинструктировать сотрудников об опасности почтового спама, а также принять все возможные меры предосторожности для фильтрации потенциально вредоносных писем на межсетевом экране.
Как распространяется Emotet
Основным методом распространения вредоносной программы Emotet являются вредоносные почтовые кампании. Троян использует модуль похищения адресной книги, чтобы извлечь контакты из учетной записи электронной почты своей жертвы и отправить свою полезную нагрузку контактам, найденным в перехваченной учетной записи.
Учитывая, что потенциальные жертвы получают электронное письмо от человека, которого они знают и которому доверяют, у Emotet очень высокие шансы на успешную атаку. Полученное письмо обычно содержит ссылку на вредоносный URL-адрес, который загружает вредоносное ПО и запускает полезную нагрузку при нажатии.
Однако почтовый спам - не единственный метод распространения этой вредоносной программы. Она также может использовать определенные уязвимости Windows, в результате чего вредоносная программа может проникнуть на машину совершенно "бесшумно", без ведома пользователя.
Заключение
Вредоносная программа Emotet - один из самых сложных и разрушительных троянов. С момента своего первого появления в 2014 году вредоносная программа прошла значительную эволюцию, получив множество функций защиты от вторжений, приобретя червеподобную функциональность и даже сменив основную направленность с кражи информации на установку других троянов на зараженные машины. Обладая способностью распространяться на соседние системы, Emotet может легко заразить все машины в одной сети, превращая ликвидацию последствий атаки в настоящий кошмар.
Ситуация усугубляется еще и тем, что вредоносная программа оснащена целым рядом уловок, которые делают ее анализ довольно сложным. В результате процесс разработки контрмер значительно усложняется по сравнению с более простыми троянами.