Défense en profondeur : Résurgence d’Emotet, constatée sur les couches e-mail et réseau

Max Heinemeyer, Director of Threat Hunting | Dan Fein, Directeur des produits de sécurité des systèmes de messagerie | mercredi 26 août 2020

Le malware bancaire Emotet est apparu en 2014 et a a connu depuis plusieurs itérations. Emotet cherche à profiter financièrement de diverses organisations en se propageant rapidement d’une machine à l’autre pour dérober des informations financières sensibles.

L’IA de Darktrace a détecté le retour de ce botnet après une absence de cinq mois. Cette nouvelle campagne de spamware a touché plusieurs secteurs d’activité en s’appuyant sur des e-mails de phishing extrêmement sophistiqués. Ces e-mails contenaient des URL pointant vers le téléchargement d’un document Microsoft Word utilisant des macros, ou étaient accompagnés dudit document en pièce jointe. Cette itération utilise de nouvelles variantes d’infrastructure et de malware inconnues des listes de renseignements sur les menaces, ce qui lui permet de contourner facilement les outils de défense statiques basés sur des règles.

Dans cet article, nous analysons cette attaque sous deux angles. Le premier article documente un cas où Emotet a réussi à infiltrer le réseau d’une entreprise, où il a été rapidement détecté et signalé par l’Enterprise Immune System. Nous parlerons ensuite de deux clients qui avaient étendu la couverture de la cyber IA de Darktrace à leur boîte de réception. Bien que ces entreprises aient été ciblées par cette nouvelle campagne Emotet, les e-mails malveillants renfermant la charge Emotet ont été identifiés et bloqués par Antigena Email.

Étude de cas n°1 : Détection d’Emotet sur le réseau

Figure 1 : Chronologie de l’attaque

Cette première étude de cas s’intéresse à une grande entreprise européenne présente sur plusieurs secteurs d’activité, dont le médical, le pharmaceutique, et l’industrie manufacturière. L’IA de Darktrace surveillait plus de 2 500 appareils lorsque l’entreprise fut prise pour cible par cette nouvelle vague d’Emotet.

L’attaque a pénétré l’entreprise par le biais d’un e-mail de phishing échappant au champ d’action de Darktrace dans ce déploiement spécifique, car le client n’avait pas encore activé Antigena Email. Un lien malveillant ou un document Word utilisant des macro joint à l’e-mail a renvoyé une machine vers la charge malveillante.

L’Enterprise Immune System de Darktrace a observé des connexions SSL vers une adresse IP externe rare à 100 %. La solution a également détecté un crash du noyau de la machine peu de temps après, indiquant une faille potentielle.

Suite à ces actions, l’ordinateur en question a commencé à établir des connexions vers plusieurs endpoints externes en utilisant des certificats SSL autosignés ou non valides. Les endpoints observés avaient auparavant été associés à des serveurs C2 Trickbot et au malware Emotet. La durée de temporisation globale probable (c’est-à-dire, la durée pendant laquelle un pirate dispose d’un accès libre à l’environnement avant d’être éradiqué) dans ce cas était d’environ 24 heures. La majeure partie de l’activité a eu lieu le 23 juillet.

La machine a ensuite tenté d’établir un grand nombre de connexions internes, nouvelles et inhabituelles, en utilisant le protocole SMB (port 445) vers 97 machines internes sur une période d’une heure. L’objectif vraisemblable était le déplacement latéral, peut-être dans le but d’infecter d’autres machines, de télécharger d’autres malwares ou d’envoyer d’autres e-mails de spam.

L’IA de Darktrace a rapidement alerté l’équipe de sécurité des premières connexions rares, mais lorsque la machine a tenté de se déplacer latéralement, la solution a relevé le niveau de gravité de l’alerte. L’équipe de sécurité a pu résoudre le problème et déconnecter la machine du réseau avant qu’elle ne provoque des dégâts.

Cette vue d’ensemble de la machine infectée montre l’étendue du comportement anormal, avec plus d’une douzaine de détections consécutives de Darktrace.

Figure 2 : Graphique illustrant l’activité inhabituelle combinée avec le grand nombre de violations de modèle le 23 juillet

Figure 3 : Liste de toutes les violations de modèles constatées sur une courte période sur la machine compromise

Étude de cas n°2 : Interception d’Emotet dans l’environnement de messagerie

Alors que l'Enterprise Immune System de Darktrace permet de visualiser l’attaque sur le réseau, Antigena Email a également identifié la campagne de phishing Emotet dans d’autres environnements clients et neutralisé l’attaque avant que la charge malveillante puisse être téléchargée.

Une organisation européenne a été prise pour cible par plusieurs e-mails de phishing associés à Emotet. Ces e-mails utilisaient différentes tactiques : objets personnalisés, pièces jointes malveillantes ou URL malveillantes masquées. Néanmoins, l’IA de Darktrace a identifié tous ces e-mails comme étant hautement anormaux pour l’organisation et les a empêchés d’atteindre la boîte de réception des employés.

100%
Wed Jul 29 2020, 10:52:13
From:CaixaBank Informa <[email protected]>
Recipient:<[email protected]>
Avís de transferència
Email Tags
Suspicious Link
New Contact
Actions on Email
Lock Link
Move to Junk
Hold Message
Double Lock Link

Figure 4 : Aperçu interactif de l’interface utilisateur d’Antigena Email. La ligne d’objet est « Avis de transfert »

Alors que le message prétendait provenir de CaixaBank, une entreprise de services financiers espagnole, Antigena Email a révélé qu’il émanait en réalité d’un domaine situé au Brésil. Cet e-mail contenait en outre un lien dissimulé derrière du texte, laissant croire qu’il pointait vers un domaine CaixaBank mais Darktrace a identifié cette méthode comme une tentative délibérée de tromper le destinataire. Antigena Email offre la capacité unique de collecter des informations dans toute l’entreprise. Dans ce cas précis, la solution s’est appuyée sur cette capacité pour révéler que le lien conduisait en réalité vers un domaine WordPress que l’IA de Darktrace avait identifié comme étant 100 % rare pour l’entreprise. Cela n’aurait pas été possible sans une plateforme de sécurité unifiée qui analyse et compare les données provenant des différentes parties de l’organisation.

Figure 5 : Les liens malveillants contenus dans l’e-mail

Les trois liens ci-dessus, signalés par Darktrace, sont tous associés au malware Emotet, et invitent l’utilisateur à télécharger un fichier Word. Le document contient une macro qui renferme les instructions de téléchargement de la charge virale.

Un autre e-mail visant la même organisation contenait un en-tête suggérant qu’il provenait du Vietnam. L’expéditeur n’avait eu aucune correspondance préalable dans toute l’entreprise. Le lien unique et isolé contenu dans l’e-mail a été identifié comme renvoyant vers un domaine 100 % rare. Le site Web qui s’affichait en suivant le lien imitait celui d’un imprimeur légitime, mais semblait réalisé à la hâte et contenait une charge malveillante similaire.

Dans les deux cas, l’IA de Darktrace a identifié ces messages comme des tentatives de phishing, grâce à sa compréhension des modèles et des comportements normaux de communication pour l’entreprise. Elle a empêché les e-mails d’arriver dans la boîte de réception des destinataires et a ainsi évité qu’Emotet n’atteigne l’étape suivante du cycle de l’attaque.

Étude de cas n°3 : Une campagne véritablement mondiale

Darktrace a identifié Emotet dans des attaques ciblant des clients dans le monde entier. L’une des campagnes les plus récentes visait une entreprise de production et de distribution alimentaire au Japon. Ce client a reçu six e-mails Emotet entre le 29 et le 30 juillet. Les expéditeurs ont usurpé l’identité de personnes et d’entreprises japonaises, dont Mitsubishi. Antigena Email a détecté et neutralisé ces e-mails : la solution a reconnu les indicateurs d’une usurpation d’identité, a révélé la nature véritable des e-mails et a converti les pièces jointes.

57%
Thu Jul 30 2020, 19:31:57
From:藤沢 昭彦様 三菱食品(株) <[email protected]>
Recipient:<[email protected]>
請求書の件です。 0484111-2020_07_30
Email Tags
Suspicious Attachment
No Association
Spoofing Indicators
New Contact
Actions on Email
Convert Attachment
Unspoof

Figure 6 : Un second e-mail Emotet ciblant une entreprise au Japon

Identification d’une tentative de phishing

La ligne d’objet et le nom du fichier peuvent être traduits par « À propos de la facture », suivi d’un numéro et de la date. L’e-mail se faisait passer pour une entreprise japonaise bien connue (三菱食品(株)). « 藤沢 昭彦 » est un nom courant au Japon et le caractère « 様 » est un qualificatif du type « Monsieur » ou « Docteur ». Il s’agissait manifestement d’imiter un e-mail professionnel légitime.

Une analyse a révélé que l’expéditeur se trouvait en réalité au Portugal, et les valeurs de hachage des pièces jointes Microsoft Word concordaient avec Emotet. Un point crucial : au moment de l’attaque, ces hachages de fichiers n’avaient pas été publiquement associés à un comportement malveillant et n’auraient pas pu être utilisés pour une détection initiale.

Figure 7 : Antigena Email affiche des métriques révélant la véritable source de l’e-mail

En rapprochant d’autres métriques clés à partir de l’e-mail, Antigena Email a révélé que le véritable expéditeur utilisait un nom de domaine GMO. GMO est un fournisseur japonais d’hébergement dans le Cloud qui propose des services de webmail peu coûteux.

Figure 8 : Antigena Email révèle les anomalies des extensions et des types MIME

Les détails de la pièce jointe montrent que l’extension et le type MIME des fichiers étaient anormaux par rapport aux documents généralement échangés avec ce client par e-mail.

Figure 9 : Antigena Email détecte la tentative d’incitation

Les modèles d’Antigena Email sont capables de reconnaître les anomalies de sujet et les tentatives d’incitation dans les e-mails, quelle que soit la langue dans laquelle ils sont rédigés. Alors que cet e-mail était rédigé en japonais, l’IA de Darktrace a quand même réussi à révéler la tentative d’incitation et a attribué à cet e-mail un score élevé de 85.

Figure 10 : Les six e-mails Emotet successifs

La concentration dans le temps de ces e-mails et le fait qu’ils contenaient tous des URL associées à Emotet suggèrent qu’ils appartenaient vraisemblablement à la même campagne. Les e-mails reçus par les destinataires provenaient d’expéditeurs différents, pour essayer de contourner les outils de sécurité traditionnels, qui mettent généralement les expéditeurs identifiés comme malveillants sur liste noire.

Une défense en profondeur

Cette nouvelle campagne et le retour du malware Emotet montrent qu’il est nécessaire d’adopter une défense en profondeur, présente sur plusieurs couches de sécurité dans les différentes parties de l’entreprise, dont les e-mails, le réseau, le cloud et les SaaS, et même au-delà.

Traditionnellement, les entreprises qui cherchent à mettre en place une défense en profondeur adoptent une myriade de solutions ponctuelles, qui sont à la fois coûteuses et difficiles à gérer. Aujourd’hui, les leaders de la sécurité délaissent progressivement les solutions ponctuelles en faveur d’une plateforme de sécurité unique. Cette approche facilite la gestion de la pile de sécurité en la rendant plus efficace, mais elle crée également des synergies entre les différents outils de la plateforme. Les données provenant de différentes sources peuvent être analysées et les renseignements de sécurité peuvent être corrélés entre les différentes parties de l’entreprise. Ces rapprochements permettent de détecter des attaques sophistiquées qui pourraient tenter d’exploiter une faille dans une approche de la sécurité compartimentée.

En fin de compte, le recours à une plateforme unique réduit les frictions pour les équipes de sécurité, tout en permettant de mener des analyses d’incident efficaces à l’échelle de toute l’entreprise. Et lorsqu’une approche de type plateforme s’appuie sur l’IA pour comprendre ce qui constitue un comportement normal plutôt que de rechercher les éléments malveillants connus, elle est en mesure de détecter les menaces inconnues et émergentes et contribue à éviter les dommages potentiels.

Nous remercions l’analyste Darktrace Beverly McCann pour les informations qu’elle nous a fournies sur la menace ci-dessus.

Max Heinemeyer

Max is a cyber security expert with over nine years’ experience in the field, specializing in network monitoring and offensive security. At Darktrace, Max works with strategic customers to help them investigate and respond to threats, as well as overseeing the cyber security analyst team in the Cambridge UK headquarters. Prior to his current role, Max led the Threat and Vulnerability Management department for Hewlett-Packard in Central Europe. In this role he worked as a white hat hacker, leading penetration tests and red team engagements. He was also part of the German Chaos Computer Club when he was still living in Germany. Max holds a MSc from the University of Duisburg-Essen and a BSc from the Cooperative State University Stuttgart in International Business Information Systems.

Dan Fein

Based in New York, Dan is the Director of Email Security Products for the Americas. He joined Darktrace’s technical team in 2015, helping customers quickly achieve a complete and granular understanding of Darktrace’s world-leading Cyber AI Platform and products. Dan has a particular focus on Antigena Email, ensuring that it is effectively deployed in complex digital environments, and works closely with the development, marketing, sales, and technical teams. Dan holds a Bachelor’s degree in Computer Science from New York University.