Technologie
Produkte
Branchen
Aktuelles
Infomaterial
Unternehmen
Deutsch
Technologie
Produkte
Branchen
Aktuelles
Blog
Infomaterial
Unternehmen

Tiefgehende Cyberabwehr: Wie Emotet wieder E-Mail-Systeme und Netzwerke bedroht

Max Heinemeyer, Director of Threat Hunting | Dan Fein, Director of Email Security Products | Mittwoch, 26. August 2020

Die Banking-Malware Emotet trat zum ersten Mal 2014 in Erscheinung und ist seitdem in mehreren Evolutionsstufen wieder aufgetaucht. Ziel und Zweck von Emotet ist die finanzielle Bereicherung. Dazu breitet sich die Malware blitzschnell von einem Gerät zum nächsten aus und entwendet sensible Finanzinformationen.

Die KI von Darktrace erkannte die Rückkehr dieses Botnets, das fünf Monate nicht aktiv gewesen war. Die neue Spamware-Kampagne richtete sich mit ausgeklügelten Phishing-E-Mails an unterschiedliche Branchen. Die E-Mails enthielten entweder URLs, die zum Download eines Microsoft Word-Dokuments mit Makro verlinkten, oder das Dokument selbst als Anhang. Bei dieser Kampagne werden neue Varianten von Infrastruktur und Malware genutzt, die noch nicht auf Bedrohungslisten stehen und daher leicht von statischen, regelbasierten Abwehrmechanismen übersehen werden.

In diesem Blogbeitrag beleuchten wir den Angriff aus zwei Blickwinkeln. Zunächst schauen wir uns einen Fall an, bei dem Emotet erfolgreich das Netzwerk eines Unternehmens infiltrierte, aber sofort vom Enterprise Immune System erkannt und gemeldet wurde. Danach beschäftigen wir uns mit zwei Kunden, die den Schutz durch die Darktrace Cyber-KI auf die Posteingänge erweitert hatten. Auch diese Unternehmen waren Ziel der jüngsten Emotet-Kampagne, aber die schädliche E-Mail mit der Emotet-Payload wurde von Antigena Email erkannt und blockiert.

Fallbeispiel 1: Emotet im Netzwerk aufgespürt

Abbildung 1: Zeitlicher Ablauf des Angriffs

Bei diesem ersten Fallbeispiel geht es um ein großes europäisches Unternehmen, das in verschiedenen Branchen tätig ist, unter anderem Gesundheit, Pharma und Fertigung. Die KI von Darktrace überwachte mehr als 2500 Geräte, als das Unternehmen Opfer dieser neuen Emotet-Welle wurde.

Der Angreifer gelangte über eine Phishing-E-Mail in das Unternehmen. Da der Kunde Antigena Email noch nicht aktiviert hatte, war kein E-Mail-Schutz durch Darktrace gegeben. So leitete ein Schad-Link oder ein Word-Dokument mit eingebettetem Makro in der E-Mail ein Gerät zu der schädlichen Payload.

Das Darktrace Enterprise Immune System stellte SSL-Verbindungen zu einer zu 100% ungewöhnlichen externen IP-Adresse fest und beobachtete kurz danach einen Kernel-Absturz auf dem Gerät, der auf einen möglichen Exploit hindeutete.

Anschließend fing der Arbeitsplatzrechner an, mit selbstsignierten oder ungültigen SSL-Zertifikaten mit verschiedenen externen Endgeräten zu kommunizieren (Beaconing). Die beobachteten Endgeräte waren vorher schon mit Trickbot-C2-Servern und der Emotet-Malware in Verbindung gebracht worden. Die wahrscheinliche Verweildauer – das heißt, wie lange ein Angreifer in einer Umgebung freie Hand hat, bevor er erwischt wird – betrug in diesem Fall ca. 24 Stunden. Der Großteil der Aktivität fand am 23. Juli statt.

Das Gerät unternahm dann in einem Zeitfenster von einer Stunde eine Vielzahl neuer und ungewöhnlicher interner Verbindungsversuche über SMB (Port 445) zu 97 internen Geräten. Das Ziel war vermutlich die laterale Ausbreitung, möglicherweise mit der Absicht, andere Geräte zu infizieren, weitere Malware herunterzuladen und weitere Spam-E-Mails zu verschicken.

Die KI von Darktrace hatte das Sicherheitsteam sofort gewarnt und auf die ersten ungewöhnlichen Verbindungen aufmerksam gemacht. Als das Gerät dann versuchte, eine laterale Bewegung einzuleiten, wurde die Warnstufe hochgesetzt. Das Sicherheitsteam trennte den Arbeitsplatzrechner vom Netzwerk und konnte die Situation rechtzeitig entschärfen.

Dieser kurze Überblick zum infizierten Gerät macht das Ausmaß des anormalen Verhaltens deutlich. Darktrace erkannte in kurzen Abständen über ein Dutzend Abweichungen.

Abbildung 2: Diagramm, das die ungewöhnliche Aktivität in Kombination mit der hohen Anzahl von Modellabweichungen am 23. Juli zeigt

Abbildung 3: Liste aller Modellabweichungen, die in einer kurzen Zeitspanne auf dem kompromittierten Gerät zu beobachten waren

Fallbeispiel 2: Emotet in der E-Mail-Umgebung abgefangen

Mithilfe des Darktrace Enterprise Immune System konnten wir den Angriff im Netzwerk visualisieren. Darüber hinaus erkannte Antigena Email die Emotet-Phishing-Kampagne in vielen anderen Kundenumgebungen und stoppte den Angriff, bevor die Payload heruntergeladen werden konnte.

Ein europäisches Unternehmen wurde mit mehreren Phishing-E-Mails angegriffen, die mit Emotet in Zusammenhang standen. Bei diesen E-Mails kamen verschiedene Taktiken zum Einsatz, darunter personalisierte Betreffzeilen, schädliche Anhänge und versteckte Schad-URLs. Die KI von Darktrace stufte die E-Mails jedoch als höchst anormal für das Unternehmen ein und verhinderte, dass sie in die Posteingänge der Mitarbeiter gelangten.

100%
Wed Jul 29 2020, 10:52:13
From:CaixaBank Informa <[email protected]>
Recipient:<[email protected]>
Avís de transferència
Email Tags
Suspicious Link
New Contact
Actions on Email
Lock Link
Move to Junk
Hold Message
Double Lock Link

Abbildung 4: Interaktiver Snapshot der Benutzeroberfläche von Antigena Email. Der Betreff lautet „Zahlungsavis“.

Antigena Email erkannte, dass die angeblich von der CaixaBank, einem spanischen Finanzdienstleister, stammende E-Mail in Wirklichkeit von einer brasilianischen Domain gesendet wurde. Die E-Mail enthielt auch einen Link, der sich hinter Text verbarg, welcher suggerierte, er würde zu einer Domain der CaixaBank führen. Darktrace erkannte aber, dass der Empfänger getäuscht werden sollte. Antigena Email ist in einzigartiger Weise in der Lage, Informationen aus dem breiteren Unternehmen zu sammeln und zusammenzuführen. Dank dieser Fähigkeit erkannte die Technologie, dass der Link in Wahrheit zu einer WordPress-Domain führte, die die Darktrace KI als zu 100% ungewöhnlich für das Unternehmen identifizierte. Ohne eine ganzheitliche Sicherheitsplattform, die Daten aus unterschiedlichen Bereichen des Unternehmens analysiert und vergleicht, wäre das nicht möglich gewesen.

Abbildung 5: Die in der E-Mail enthaltenen schädlichen Links

Die drei Links oben, die von Darktrace aufgespürt wurden, hängen alle mit der Emotet-Malware zusammen und fordern den Benutzer auf, eine Word-Datei herunterzuladen. Dieses Dokument enthält ein Makro mit Anweisungen zum Download der Virus-Payload.

Eine weitere E-Mail an dasselbe Unternehmen enthielt einen Header, der suggerierte, die Nachricht käme aus Vietnam. Der Absender hatte vorher noch nie mit dem Unternehmen kommuniziert und der einzelne, isolierte Link in der E-Mail wurde als zu 100% ungewöhnliche Domain identifiziert. Die bei Aufruf der Domain angezeigte Website scheint zu einer Druckerei zu gehören, wirkt aber hastig erstellt und enthielt eine ähnliche schädliche Payload.

In beiden Fällen hatte die KI von Darktrace die normalen Kommunikationsmuster und Verhaltensweisen im Unternehmen verstanden und konnte daher die Phishing-Versuche als solche erkennen. Die E-Mails gelangten nicht in die Posteingänge und Emotet wurde daran gehindert, in die nächste Phase des Angriffslebenszyklus überzugehen.

Fallbeispiel 3: Eine weltumspannende Kampagne

Darktrace stellte fest, dass Kunden auf der ganzen Welt von Emotet angegriffen wurden. Eine der jüngsten Kampagnen richtete sich gegen ein japanisches Unternehmen im Bereich Lebensmittelproduktion und -vertrieb. Dieser Kunde erhielt am 29. und 30. Juli sechs Emotet-E-Mails. Die Absender gaben sich als Japaner und japanische Unternehmen aus, darunter Mitsubishi. Antigena Email erkannte diese E-Mails als Spoofing-Versuch, klärte die Täuschung durch „Unspoofing“ auf und konvertierte die Anhänge.

57%
Thu Jul 30 2020, 19:31:57
From:藤沢 昭彦様 三菱食品(株) <[email protected]>
Recipient:<[email protected]>
請求書の件です。 0484111-2020_07_30
Email Tags
Suspicious Attachment
No Association
Spoofing Indicators
New Contact
Actions on Email
Convert Attachment
Unspoof

Abbildung 6: Zweite Emotet-E-Mail an ein Unternehmen in Japan

Phishing erkannt

Sowohl der Betreff als auch der Dateiname bedeuten übersetzt „Betreffend die Rechnung“, gefolgt von einer Nummer und dem Datum. Die E-Mail gab vor, von einem bekannten japanischen Unternehmen zu stammen (三菱食品(株)), mit „藤沢 昭彦“ als gängigem japanischem Namen und mit „様“, das eine ähnliche Funktion wie „Herr“ oder „Dr.“ hat. Damit wurde versucht, eine legitime Geschäfts-E-Mail vorzutäuschen.

Die anschließende Untersuchung ergab, dass der Standort des Absenders Portugal war, und die Hash-Werte der Microsoft Word-Anhänge konnten eindeutig Emotet zugeordnet werden. Zum Zeitpunkt des Angriffs waren diese Datei-Hashes noch nicht öffentlich mit schädlichem Verhalten in Verbindung gebracht worden und spielten daher bei der erstmaligen Erkennung keine Rolle.

Abbildung 7: Antigena Email zeigt kritische Indikatoren, die die tatsächliche Herkunft der E-Mail entlarven.

Antigena Email identifizierte weitere Indikatoren und stellte fest, dass der tatsächliche Absender einen Domainnamen von GMO verwendete. GMO ist ein japanischer Cloudhosting-Anbieter, der günstige Web-E-Mail-Dienste anbietet.

Abbildung 8: Antigena Email erkennt die anormalen Dateiendungen und Mimes.

Die Details zum Anhang lassen erkennen, dass sowohl die Dateiendung als auch der Mime-Typ von den Dokumenten abweichen, die dieser Kunde normalerweise per E-Mail versendet.

Abbildung 9: Antigena Email erkennt den Versuch, den Empfänger zum Handeln zu verleiten.

Die Modelle von Antigena Email sind in der Lage, Themen-Anomalien und Verleitungsversuche in E-Mails zu erkennen, unabhängig davon, in welcher Sprache sie verfasst sind. Obwohl diese E-Mail auf Japanisch verfasst war, erkannte die KI von Darktrace den Verleitungsversuch und wies der E-Mail einen hohen Wert von 85 zu.

Abbildung 10: Die sechs nacheinander verschickten Emotet-E-Mails

Der geringe zeitliche Abstand zwischen den E-Mails und der Umstand, dass alle URLs mit Emotet in Zusammenhang standen, deuteten darauf hin, dass sie alle Teil derselben Kampagne waren. Unterschiedliche Empfänger erhielten die E-Mails von unterschiedlichen Absendern. Damit wurde versucht, traditionelle Sicherheitstools zu umgehen, die darauf trainiert sind, einen einzelnen Absender auf die Blacklist zu setzen, sobald er als schädlich erkannt wurde.

Eine tiefgehende Abwehr

Diese neue Kampagne und die Rückkehr der Emotet-Malware hat gezeigt, dass eine tiefgehende Abwehr nötig ist – bzw. mehrere Sicherheitsebenen in den verschiedenen Bereichen eines Unternehmens wie E-Mail, Netzwerk, Cloud, SaaS usw.

In der Vergangenheit mussten Unternehmen für eine tiefgehende Abwehr auf unzählige Punktlösungen zurückgreifen, was jedoch teuer und kompliziert ist. Sicherheitsexperten setzen daher zunehmend auf eine zentrale Sicherheitsplattform, die nicht nur das Management der Sicherheitsinfrastruktur erleichtert und effizienter macht, sondern auch Synergien zwischen den verschiedenen Bereichen der Plattform schafft. Es können Daten aus verschiedenen Quellen analysiert und Erkenntnisse aus unterschiedlichen Bereichen des Unternehmens genutzt werden. So lassen sich ausgeklügelte Angriffe aufspüren, die versuchen, Silo-Ansätze bei der Cybersicherheit auszunutzen.

Eine zentrale Plattform optimiert Abläufe und gibt den Sicherheitsteams die Möglichkeit, effiziente, unternehmensweite Untersuchungen durchzuführen. Und wenn ein Plattform-Ansatz dann auch noch auf KI zurückgreift, um die normalen Verhaltensweisen zu verstehen, anstatt sich nur auf Erkenntnisse zu „bekannten Schädlingen“ zu verlassen, können auch unbekannte und neuartige Bedrohungen erkannt werden – damit dem Unternehmen erst gar kein Schaden entsteht.

Vielen Dank an unsere Darktrace Analystin Beverly McCann für die Einblicke in diesen Bedrohungsvorfall.

Darktrace Immune System: Lesen Sie das Whitepaper.

Max Heinemeyer

Max is a cyber security expert with over a decade of experience in the field, specializing in a wide range of areas such as Penetration Testing, Red-Teaming, SIEM and SOC consulting and hunting Advanced Persistent Threat (APT) groups. At Darktrace, Max oversees global threat hunting efforts, working with strategic customers to investigate and respond to cyber-threats. He works closely with the R&D team at Darktrace’s Cambridge UK headquarters, leading research into new AI innovations and their various defensive and offensive applications. Max’s insights are regularly featured in international media outlets such as the BBC, Forbes and WIRED. When living in Germany, he was an active member of the Chaos Computer Club. Max holds an MSc from the University of Duisburg-Essen and a BSc from the Cooperative State University Stuttgart in International Business Information Systems.

Dan Fein

Based in New York, Dan is the Director of Product. He joined Darktrace’s technical team in 2015, helping customers quickly achieve a complete and granular understanding of Darktrace’s product suite. Dan has a particular focus on Darktrace for Email, ensuring that it is effectively deployed in complex digital environments, and works closely with the development, marketing, sales, and technical teams. Dan holds a Bachelor’s degree in Computer Science from New York University.