Free Traffic Exchange

Conseiller : Emotet Malware

Systèmes affectés

Systèmes de réseau

Vue d’ensemble

Emotet est un cheval de Troie bancaire évolué et modulaire qui sert principalement de téléchargeur ou de compte-gouttes d’autres chevaux de Troie bancaires. Emotet continue de faire partie des programmes malveillants les plus coûteux et les plus destructeurs pour les gouvernements d’État, locaux, tribaux et territoriaux (SLTT), ainsi que pour les secteurs privé et public.

Cette alerte technique commune résulte du partage et de l’analyse d’informations multi-États. Efforts analytiques du Centre (MS-ISAC), en coordination avec le Centre national d’intégration de la cybersécurité et des communications (NCCIC) du Département de la sécurité intérieure (DHS).

La description

Emotet continue de faire partie des programmes malveillants les plus coûteux et les plus destructeurs pour les gouvernements SLTT. Ses caractéristiques ressemblant à celles d’un ver se traduisent par une propagation rapide de l’infection à l’échelle du réseau, difficile à combattre.

Les infections à Emotet ont coûté jusqu’à 1 million de dollars par incident aux gouvernements SLTT. Emotet est un cheval de Troie bancaire évolué et modulaire qui sert principalement de téléchargeur ou de compte-gouttes à d’autres chevaux de Troie bancaires. En outre, Emotet est un cheval de Troie bancaire polymorphe qui peut échapper à la détection typique basée sur la signature. Il existe plusieurs méthodes pour maintenir la persistance, y compris les clés et les services de registre à démarrage automatique. Il utilise des bibliothèques de liens dynamiques (DLL) modulaires pour évoluer et mettre à jour en permanence ses fonctionnalités. En outre, Emotet est sensible à la machine virtuelle et peut générer de faux indicateurs s’il est exécuté dans un environnement virtuel.

Emotet est diffusé via malspam (courriers électroniques contenant des pièces jointes ou des liens malveillants) utilisant une marque familière pour le destinataire; il s’est même propagé sous le nom MS-ISAC. Depuis juillet 2018, les campagnes les plus récentes imitent les récépissés PayPal, les notifications d’expédition ou les factures «en retard» prétendument de MS-ISAC. L’infection initiale se produit lorsqu’un utilisateur ouvre ou clique sur le lien de téléchargement malveillant, le PDF ou le document Microsoft Word prenant en charge les macros inclus dans malspam. Une fois téléchargé, Emotet établit la persistance et tente de propager les réseaux locaux via des modules d’épandage incorporés.

Figure 1: courrier électronique malveillant distribuant Emotet

Actuellement, Emotet utilise cinq modules d’épandage connus: NetPass.exe, WebBrowserPassView, Mail PassView, Outlook scraper et un identifiant énumérateur

  • NetPass.exe est un utilitaire légitime développé par NirSoft qui permet de récupérer tous les mots de passe réseau stockés sur un système pour le système actuel. sur l’utilisateur. Cet outil peut également récupérer les mots de passe stockés dans le fichier d’informations d’identification des lecteurs externes.

 

  • Outlook Gratter est un outil qui extrait les noms et les adresses électroniques des comptes Outlook de la victime et utilise ces informations pour envoyer des e-mails de phishing supplémentaires à partir des comptes compromis.

 

  • WebBrowserPassView est un mot de passe. outil de récupération qui capture les mots de passe stockés par Internet Explorer, Mozilla Firefox, Google Chrome, Safari et Opera et les transmet au module énumérateur de données d’identification.

 

  • Mail PassView est un outil de récupération de mot de passe qui révèle les mots de passe et les détails du compte de divers clients de messagerie tels que Microsoft Outlook. , Windows Mail, Mozilla Thunderbird, Hotmail, Yahoo! Mail, puis Gmail et les transmet au module énumérateur de données d’identification.

 

  • L’énumérateur de données d’identité est un fichier RAR à extraction automatique contenant deux composants: un composant de contournement et un composant de service. Le composant de contournement est utilisé pour l’énumération des ressources réseau et recherche les lecteurs de partage inscriptibles à l’aide de SMB (Server Message Block) ou tente de forcer brutalement les comptes d’utilisateurs, y compris le compte d’administrateur. Une fois qu’un système disponible est trouvé, Emotet écrit le composant de service sur le système, qui écrit Emotet sur le disque. L’accès d’EMOTET à SMB peut entraîner l’infection de domaines entiers (serveurs et clients).
Figure 2: Processus d’infection par Emotet

Pour maintenir la persistance, Emotet injecte du code dans explorer.exe et d’autres processus en cours d’exécution. Il peut également collecter des informations sensibles, notamment le nom du système, son emplacement et la version du système d’exploitation, et se connecter à un serveur de commande et de contrôle distant (C2), généralement via un nom de domaine de 16 lettres généré se terminant par «.eu». Once Emotet établit une connexion avec le C2, il signale une nouvelle infection, reçoit les données de configuration, télécharge et exécute des fichiers, reçoit des instructions et télécharge des données sur le serveur C2.

Les artefacts Emotet se trouvent généralement dans des chemins arbitraires situés entre AppData \ Local et AppData \ Répertoires itinérants. Les artefacts imitent généralement les noms d’exécutables connus. La persistance est généralement gérée via des tâches planifiées ou via des clés de registre. En outre, Emotet crée des fichiers nommés de manière aléatoire dans les répertoires racine du système exécutés en tant que services Windows. Une fois exécutés, ces services tentent de propager le logiciel malveillant vers des systèmes adjacents via des partages administratifs accessibles.

Remarque: il est essentiel que les comptes privilégiés ne soient pas utilisés pour se connecter à des systèmes compromis lors de la correction, car cela pourrait accélérer la propagation du malware.

Exemple de noms de fichiers et de chemins:

C:\Users\<username>\AppData \Local\Microsoft\Windows\shedaudio.exe

C:\Users\<username>\AppData\Roaming\Macromedia\Flash Player\macromedia\bin\flashplayer.exe

Clés de registre typiques:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Répertoires racines du système:

C:\Windows\11987416.exe

C:\Windows\System32\46615275.exe

C:\Windows\System32\shedaudio.exe

C:\Windows\SysWOW64\f9jwqSbS.exe

Impact

Les conséquences négatives de l’infection par Emotet sont notamment la perte temporaire ou permanente d’informations confidentielles ou confidentielles, la perturbation des activités courantes, les pertes financières occasionnées par la restauration des systèmes et des fichiers, ainsi que le préjudice potentiel pour la réputation de l’entreprise.

Solution

NCCIC et MS-ISAC recommandent que les organisations adhèrent aux meilleures pratiques générales suivantes pour limiter les effets d’Emotet et de la malspam similaire:

  • Utilisez l’objet de stratégie de groupe pour définir une règle de pare-feu Windows afin de limiter les communications SMB entrantes entre les systèmes client. Si vous utilisez un autre système de prévention des intrusions basé sur l’hôte (HIPS), envisagez d’implémenter des modifications personnalisées pour le contrôle de la communication SMB de client à client. Au minimum, créez un objet de stratégie de groupe qui limite les connexions SMB entrantes aux clients provenant de clients.

 

  • Utilisez des programmes antivirus, avec mises à jour automatiques des signatures et des logiciels, sur les clients et les serveurs.

 

  • Appliquez immédiatement les correctifs et les mises à jour appropriés (après les tests appropriés)

 

  • Implémentation filtres au niveau de la passerelle de messagerie pour filtrer les e-mails avec des indicateurs connus de Mailspam, tels que des lignes d’objet malveillants connues, et bloquer les adresses IP suspectes au niveau du pare-feu.

 

  • Si votre organisation n’a pas de stratégie concernant les e-mails suspects, envisagez de la créer et de spécifier Les courriels doivent être signalés au service de sécurité ou au service informatique.

 

  • Marquez les courriels externes avec une bannière indiquant qu’ils proviennent d’une source externe. Cela aidera les utilisateurs à détecter les courriels usurpés.

 

  • Donnez aux employés une formation en ingénierie sociale et en phishing. Invitez instamment les employés à ne pas ouvrir d’e-mails suspects, à cliquer sur les liens contenus dans ces e-mails ou à publier des informations sensibles en ligne, et à ne jamais fournir de noms d’utilisateur, mots de passe ou informations personnelles en réponse à des demandes non sollicitées. Demandez aux utilisateurs de survoler un lien avec leur souris pour vérifier la destination avant de cliquer sur le lien.

 

  • Pensez à bloquer les pièces jointes généralement associées aux programmes malveillants, tels que .dll et .exe, ainsi que les pièces jointes qui ne peuvent pas être analysées par un logiciel antivirus, tels que les fichiers .zip.

 

  • Adhérez au principe de privilège minimal en vous assurant que les utilisateurs disposent du niveau minimum d’accès requis pour accomplir leurs tâches. Limitez les informations d’identification administratives aux administrateurs désignés.

 

  • Implémentez le système DMARC (Authentication, Reporting & Conformance), un système de validation qui minimise les spams en détectant leur usurpation à l’aide d’enregistrements DNS et de signatures numériques.

Si un utilisateur ou une organisation pense être infecté, NCCIC et MS-ISAC recommandent de lancer une analyse antivirus sur le système et de prendre des mesures pour isoler le poste de travail infecté en fonction des résultats. Si plusieurs postes de travail sont infectés, les actions suivantes sont recommandées:

  • Identifiez, arrêtez et retirez les machines infectées du réseau;
  • envisagez de mettre temporairement le réseau hors ligne pour identifier, empêcher les réinfections et arrêter la propagation du malware;
  • ne vous connectez pas à des systèmes infectés à l’aide de comptes d’administrateur local ou partagés;
  • Reimage la ou les machines infectées;
  • après avoir examiné les indicateurs Emotet sur les systèmes, déplacez les systèmes propres vers un réseau local virtuel de confinement séparé du réseau infecté; émettez des réinitialisations de mot de passe pour les informations d’identification de domaine et locales;
  • Emotet supprimant des informations d’identification supplémentaires, considérez le mot de passe réinitialisations pour d’autres applications pouvant avoir des informations d’identification stockées sur la ou les machines compromises; identifier la source de l’infection (patient zéro);
  • etExaminez les fichiers journaux et les règles de boîte aux lettres Outlook associées au compte d’utilisateur infecté pour vous assurer que de nouvelles compromissions ne se sont pas produites. Il est possible que le compte Outlook dispose désormais de règles pour transférer automatiquement tous les courriers électroniques vers une adresse électronique externe, ce qui pourrait entraîner une violation des données.
One Comment

Add a Comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *