La difesa in profondità: La rinascita di Emotet, come si vede nei livelli di posta elettronica e di rete

Max Heinemeyer, Director of Threat Hunting | Dan Fein, Director of Email Security Products | mercoledì 26 agosto 2020

Il malware bancario Emotet è emerso per la prima volta nel 2014 e da allora ha subito più iterazioni. Emotet cerca di trarre profitto finanziariamente da una serie di organizzazioni diffondendosi rapidamente da dispositivo a dispositivo e rubando informazioni finanziarie sensibili.

L’AI di Darktrace ha rilevato il ritorno di questa botnet dopo cinque mesi di assenza. La nuova campagna Spamware ha colpito più settori attraverso e-mail di phishing altamente sofisticate, contenenti URL che rimandano al download di un documento di Microsoft Word contenente macro o un allegato del documento stesso. Questa iterazione utilizza nuove varianti di infrastruttura e malware sconosciute agli elenchi di threat intelligence, aggirando così facilmente le difese statiche basate sulle regole.

In questo blog post, indaghiamo sull’attacco da due punti di vista. Il primo documenta un caso in cui Emotet si è infiltrato con successo nella rete di un’azienda, dove è stato prontamente rilevato e segnalato dall’Enterprise Immune System. Esaminiamo quindi due clienti che avevano esteso la copertura della Cyber ​​AI di Darktrace alla casella della posta in arrivo. Sebbene queste organizzazioni siano state prese di mira anche da quest’ultima campagna Emotet, l’e-mail dannosa contenente il payload di Emotet è stata identificata e bloccata da Antigena Email.

Caso d’uso uno: Rilevamento di Emotet nella rete

Figura 1: Sequenza dell’attacco

Questo primo caso d’uso esamina una grande organizzazione europea che copre più settori, tra cui sanità, prodotti farmaceutici e produzione. L’AI di Darktrace stava monitorando oltre 2500 dispositivi quando l’organizzazione è diventata vittima di questa nuova ondata di Emotet.

L’attacco è entrato nell’azienda tramite un’e-mail di phishing che non rientrava nell’ambito di Darktrace in questa particolare implementazione, poiché il cliente non aveva ancora attivato Antigena Email. Un collegamento dannoso o un documento di Word incorporato in una macro nell’e-mail indirizzava un dispositivo al payload dannoso.

L’Enterprise Immune System di Darktrace ha assistito a connessioni SSL a un indirizzo IP esterno raro al 100% e ha rilevato un arresto anomalo del kernel sul dispositivo poco dopo, indicando un potenziale sfruttamento.

A seguito di queste azioni, il desktop ha iniziato a trasmettere a più endpoint esterni utilizzando certificati SSL autofirmati o non validi. Gli endpoint osservati erano stati precedentemente associati ai server Trickbot C2 e al malware Emotet. Il tempo di permanenza complessivo probabile, ovvero il periodo di tempo in cui un pirata informatico ha libero sfogo all’interno di un ambiente prima di essere sradicato, in questo caso è stato di circa 24 ore, con la maggior parte dell’attività che si è svolta il 23 luglio.

Il dispositivo ha quindi effettuato numerosi tentativi nuovi e insoliti di connessione interna su SMB (porta 445) a 97 dispositivi interni durante un periodo di un’ora. L’obiettivo era probabilmente il movimento laterale, possibilmente con l’intenzione di infettare altri dispositivi, scaricare malware aggiuntivo e inviare più e-mail di spam.

L’AI di Darktrace aveva prontamente messo in allerta il team di sicurezza delle prime rare connessioni, ma quando il dispositivo ha tentato il movimento laterale ha aumentato la gravità dell’avviso. Il team di sicurezza è stato in grado di porre rimedio alla situazione prima che si verificassero ulteriori danni, mettendo il desktop offline.

Questa panoramica del dispositivo infetto mostra l’entità del comportamento anomalo, con oltre una dozzina di rilevamenti Darktrace che si attivano in rapida successione.

Figura 2: Grafico che mostra un’attività insolita in combinazione con il gran numero di violazioni del modello il 23 luglio

Figura 3: Elenco di tutte le violazioni del modello che si sono verificate in un breve periodo sul dispositivo compromesso

Caso d’uso due: Catturare Emotet nell’ambiente di posta elettronica

Mentre l’Enterprise Immune System di Darktrace ci consente di visualizzare l’attacco all’interno della rete, Antigena Email ha anche identificato la campagna di phishing Emotet in molti altri ambienti dei clienti e ha fermato l’attacco prima che il payload potesse essere scaricato.

Un’organizzazione europea è stata colpita da più e-mail di phishing associate a Emotet. Queste e-mail utilizzano una serie di tattiche, tra cui righe dell’oggetto personalizzate, allegati dannosi e URL dannosi nascosti. Tuttavia, l’AI di Darktrace ha riconosciuto le e-mail come altamente anomale per l’organizzazione e ha impedito loro di raggiungere le caselle di posta in arrivo dei dipendenti.

100%
Wed Jul 29 2020, 10:52:13
From:CaixaBank Informa <[email protected]>
Recipient:<[email protected]>
Avís de transferència
Email Tags
Suspicious Link
New Contact
Actions on Email
Lock Link
Move to Junk
Hold Message
Double Lock Link

Figura 4: Istantanea interattiva dell’interfaccia utente di Antigena Email. La riga dell’oggetto è “Avviso di trasferimento”.

Nonostante affermi che il mittente è CaixaBank, una società di servizi finanziari spagnola, Antigena Email ha rivelato che l’e-mail è stata effettivamente inviata da un dominio brasiliano. L’e-mail conteneva anche un collegamento nascosto dietro il testo che suggeriva che avrebbe portato a un dominio CaixaBank, ma Darktrace lo ha riconosciuto come un tentativo deliberato di fuorviare il destinatario. Antigena Email è unica nella sua capacità di raccogliere informazioni dall’azienda più ampia e ha sfruttato questa capacità per rivelare che il link in realtà portava a un dominio WordPress che l’AI di Darktrace ha identificato come raro al 100% per l’azienda. Ciò non sarebbe stato possibile senza una piattaforma di sicurezza unificata che analizza e confronta i dati tra le diverse parti dell’organizzazione.

Figura 5: I link dannosi contenuti nell’e-mail

I tre link sopra rilevati da Darktrace sono tutti associati al malware Emotet e richiedono all’utente di scaricare un file di Word. Questo documento contiene una macro con le istruzioni per scaricare il payload effettivo del virus.

Un’altra e-mail indirizzata alla stessa organizzazione conteneva un’intestazione che suggeriva che provenisse dal Vietnam. Il mittente non era mai stato in nessuna precedente corrispondenza in tutta l’azienda e anche il link singolo e isolato all’interno dell’e-mail si è rivelato un dominio raro al 100%. Il sito web visualizzato quando si visita il dominio imita un’attività di stampa legittima, ma sembra realizzato in fretta e sembra contenere un payload dannoso simile.

In entrambi i casi, l’AI di Darktrace li ha riconosciuti come tentativi di phishing a causa della sua comprensione dei normali modelli di comunicazione e comportamento per l’azienda e ha bloccato le e-mail impedendone l’ingresso nella posta in arrivo e impedendo a Emotet di passare alla fase successiva del ciclo di vita dell’attacco.

Caso d’uso tre: Una campagna davvero globale

Darktrace ha visto Emotet attaccare i clienti di tutto il mondo, con una delle più recenti campagne rivolte a un’azienda di produzione e distribuzione di generi alimentari in Giappone. Questo cliente ha ricevuto sei e-mail Emotet tra il 29 e il 30 luglio. I mittenti hanno effettuato lo spoofing dei nomi giapponesi e di alcune società giapponesi esistenti, inclusa Mitsubishi. Antigena Email ha rilevato e attivato correttamente queste email, riconoscendo gli indicatori di spoofing, “rimuovendo lo spoofing” delle e-mail e convertendo gli allegati.

57%
Thu Jul 30 2020, 19:31:57
From:藤沢 昭彦様 三菱食品(株) <[email protected]>
Recipient:<[email protected]>
請求書の件です。 0484111-2020_07_30
Email Tags
Suspicious Attachment
No Association
Spoofing Indicators
New Contact
Actions on Email
Convert Attachment
Unspoof

Figura 6: Una seconda e-mail Emotet indirizzata a un’organizzazione in Giappone

Rivelare un phishing

Sia la riga dell’oggetto che il nome del file si traducono in “Riguardo alla fattura”, seguito da un numero e dalla data. L’e-mail imitava una nota azienda giapponese (三菱食品(株)), con “藤沢 昭彦” come nome giapponese comune e l’aggiunta di “様” che ha una funzione analoga a “Sig.” o “Dr.” in un chiaro tentativo di imitare un indirizzo e-mail aziendale legittimo.

Un’indagine successiva ha rivelato che la posizione del mittente era in realtà il Portogallo e i valori hash degli allegati di Microsoft Word erano coerenti con Emotet. Fondamentalmente, al momento dell’attacco, questi hash di file non erano associati pubblicamente ad alcun comportamento dannoso e quindi non potevano essere utilizzati per il rilevamento iniziale.

Figura 7: Antigena Email mostra metriche critiche che rivelano la vera fonte dell’e-mail

Facendo emergere ulteriori metriche chiave dietro l’e-mail, Antigena Email ha rivelato che il vero mittente stava utilizzando un nome di dominio GMO. GMO è una società giapponese di Cloud hosting che offre servizi di e-mail web economici.

Figura 8: Antigena Email rivela estensioni e mime anomali

I dettagli dell’allegato mostrano che sia l’estensione che il tipo mime sono anomali rispetto ai documenti che questo cliente scambia comunemente tramite e-mail.

Figura 9: Antigena Email rileva il tentativo di persuasione

I modelli di Antigena Email sono in grado di riconoscere anomalie dell’argomento e tentativi di persuasione nelle e-mail, indipendentemente dalla lingua in cui sono scritte. Nonostante questa e-mail fosse scritta in giapponese, l’AI di Darktrace è stata comunque in grado di rivelare il tentativo di persuasione, assegnando all’e-mail un punteggio elevato di 85.

Figura 10: Le sei e-mail successive di Emotet

La stretta vicinanza con cui sono state inviate queste e-mail e il fatto che contenessero tutti URL coerenti con Emotet suggerisce che probabilmente fanno parte della stessa campagna. Diversi destinatari hanno ricevuto le e-mail da diversi mittenti nel tentativo di aggirare i tradizionali strumenti di sicurezza, addestrati a inserire nella blacklist un singolo mittente una volta riconosciuto come non valido.

Defense in depth

Questa nuova campagna e il ritorno del malware Emotet hanno dimostrato la necessità di una “defense in depth” o di avere più livelli di sicurezza nelle diverse aree di un’azienda, tra cui e-mail, rete, Cloud, SaaS e oltre.

Storicamente, la defense in depth ha portato le aziende ad adottare una miriade di soluzioni puntuali, che possono essere sia costose che difficili da gestire. I leader della sicurezza abbandonano sempre più le soluzioni puntuali a favore di un’unica piattaforma di sicurezza, che non solo rende la gestione dello stack di sicurezza più facile ed efficiente, ma crea sinergie tra le diverse parti della piattaforma. I dati possono essere analizzati da diverse fonti e approfondimenti tratti da diverse aree dell’organizzazione, aiutando a rilevare attacchi sofisticati che potrebbero tentare di sfruttare l’approccio alla sicurezza di un’azienda a compartimenti stagni.

Una singola piattaforma riduce in definitiva l’attrito per i team di sicurezza, consentendo allo stesso tempo un’indagine sugli incidenti efficace a livello aziendale. E quando un approccio basato sulla piattaforma sfrutta l’AI per comprendere il comportamento normale piuttosto che cercare il “male conosciuto”, può rilevare minacce sconosciute ed emergenti e aiutare a prevenire danni.

Grazie all’analista di Darktrace Beverly McCann per le sue intuizioni sulla scoperta della minaccia di cui sopra.

Enterprise Immune System di Darktrace: Leggi il White Paper.

Max Heinemeyer

Max is a cyber security expert with over nine years’ experience in the field, specializing in network monitoring and offensive security. At Darktrace, Max works with strategic customers to help them investigate and respond to threats, as well as overseeing the cyber security analyst team in the Cambridge UK headquarters. Prior to his current role, Max led the Threat and Vulnerability Management department for Hewlett-Packard in Central Europe. In this role he worked as a white hat hacker, leading penetration tests and red team engagements. He was also part of the German Chaos Computer Club when he was still living in Germany. Max holds a MSc from the University of Duisburg-Essen and a BSc from the Cooperative State University Stuttgart in International Business Information Systems.

Dan Fein

Based in New York, Dan is the Director of Email Security Products for the Americas. He joined Darktrace’s technical team in 2015, helping customers quickly achieve a complete and granular understanding of Darktrace’s world-leading Cyber AI Platform and products. Dan has a particular focus on Antigena Email, ensuring that it is effectively deployed in complex digital environments, and works closely with the development, marketing, sales, and technical teams. Dan holds a Bachelor’s degree in Computer Science from New York University.