Хроники Emotet. Часть 2

2018

Январь

Emotet начал распространять банковского троянца Panda (Zeus Panda, впервые был обнаружен в 2016 году, базировался на утекших исходных кода банкера Zbot; реализует атаки типа man-in-the-browser, перехватывает нажатия клавиш и содержимое форм ввода на сайтах).

Апрель

9 апреля

В начале апреля Emotet обзавелся модулем для распространения с помощью беспроводных сетей (MD5: 75d65cea0a33d11a2a74c703dbd2ad99), который с помощью словарного перебора пытается получить доступ к Wi-Fi. Его код схож с кодом модуля Network Spreader (bypass.exe), к возможностям которого добавились функции по подключению к Wi-Fi. В случае успешного подбора пароля модуль отправлял данные о сети на C&С.

Как и bypass.exe, модуль распространялся в виде отдельного файла (a.exe), находящегося внутри самораспаковывающегося архива (MD5: 5afdcffca43f8e7f848ba154ecf12539). В архиве присутствовал и описанный ранее service.exe (MD5: 5d6ff5cc8a429b17b5b5dfbf230b2ca4), который, как и в первой своей версии, не умел ничего, кроме отправки на C&C имени зараженного компьютера.

Самораспаковывающийся RAR-архив с компонентом для распространения по Wi-Fi

Злоумышленники довольно быстро обновили модуль, и уже в течение нескольких часов с момента обнаружения первой версии мы получили другой самораспаковывающийся архив (MD5: d7c5bf24904fc73b0481f6c7cde76e2a), содержащий новый service.exe с Emotet внутри (MD5: 26d21612b676d66b93c51c611fa46773).

Самораспаковывающийся RAR-архив с обновленным service.exe

Модуль был впервые публично описан только в январе 2020 года компанией Binary Defense. Возврат к старому механизму распространения и использованию кода старых модулей выглядит немного странно, так как еще в 2017 году файлы bypass.exe и service.exe были объединены в один DLL-модуль.

14 апреля

Emotet вновь начал использовать одновременно GET-запросы с передачей данных в поле Cookie HTTP-заголовка при размере передаваемых данных меньше 1 килобайта и POST-запросы для больших объемов данных (MD5: 38991b639b2407cbfa2e7c64bb4063c4). Изменился и шаблон для заполнения поля Cookie. Если раньше он был вида Cookie: %X=, то теперь стал применяться Cookie: %u =. Причем между цифрами и символом = появился пробел, что упростило идентификацию трафика Emotet.

30 апреля

Командные серверы приостановили свою активность и восстановили ее только 16 мая. Тогда же из GET-запроса исчез пробел.

Июнь

Emotet начал распространять очередного банковского троянца. На этот раз это Trickster (или Trickbot) — модульный банкер, известный с 2016 года и являющийся наследником банкера Dyreza (the successor to Dyreza).

Июль

Впервые получен так называемый UPnP-модуль (MD5: 0f1d4dd066c0277f82f74145a7d2c48e), базирующийся на пакете libminiupnpc. Модуль позволяет создать перенаправление портов на роутере по запросу хоста из локальной сети. Благодаря этому злоумышленники могут не просто получить доступ к компьютерам из локальной сети, находящимся за NAT, но и превратить зараженную машину в «промежуточный C&C» (C&C-прокси).

Август

В августе появились сообщения о заражениях новым шифровальщиком Ryuk — модификацией шифровальщика Hermes, известного с 2017 года. Как выяснится чуть позже, цепочка заражений начиналась с Emotet, который скачивал Trickster, а уже тот, в свою очередь, устанавливал Ryuk. И Emotet, и Trickster к этому времени имели на вооружении функции распространения по локальной сети, причем Trickster использовал известные уязвимости в SMB, что еще больше способствовало распространению зловреда в локальной сети. В совокупности с Ryuk получалась убойная комбинация.

В конце месяца обновился список паролей в модуле для распространения по сети (Network spreader). Их по-прежнему 1000, но около ста паролей изменились (MD5: 3f82c2a733698f501850fdf4f7c00eb7).

Октябрь

12 октября

Командные серверы приостановили свою активность, мы не регистрировали раздачи новых модулей и обновлений. Активность восстановилась только 26 октября.

30 октября

Обновился модуль кражи данных из Outlook (MD5:64C78044D2F6299873881F8B08D40995). Ключевое нововведение — возможность кражи содержимого самого письма. При этом объем похищаемых данных не может превышать 16 Кбайт (письмо большего объема будет обрезано).

Сравнение кода старой и новой версии модуля экcфильтрации данных из Outlook

Ноябрь

Командные серверы приостановили свою активность, мы не регистрировали раздач новых модулей и обновлений. Активность восстановилась только 6 декабря.

Декабрь

Снова простой, активность командных серверов возобновилась только 10 января 2019 г.

2019

Март

Emotet вновь изменил часть HTTP-протокола, переходя на POST-запросы и использование словаря для составления пути. Поле Referer теперь заполнено, появляется Content-Type: multipart/form-data (MD5: beaf5e523e8e3e3fb9dc2a361cda0573).

20 марта

Очередное изменение HTTP-части протокола. Emotet отказался от Content-Type: multipart/form-data. Сами данные закодированы с помощью Base64 и UrlEncode (MD5: 98fe402ef2b8aa2ca29c4ed133bbfe90).

Код обновленной функции формирования POST-запроса

Апрель

Появились первые сообщения о том, что информация, украденная новым модулем эксфильтрации данных из Outlook, начала использоваться в спам-рассылках Emotet: в письмах была замечена эксплуатация украденных тем, списков адресатов и содержимого.

Май

Командные серверы перестали работать на довольно долгий срок — 3 месяца. Активность восстановилась только 21 августа 2019 г. Однако несколько последующих недель серверы лишь раздавали обновления и модули, никакой спам-активности не наблюдалось. Скорее всего, это время было потрачено на восстановление связи с зараженными системами, сбор и обработку данных, распространение по локальным сетям.

Ноябрь

Незначительное изменение HTTP-части протокола. Emotet отказался от использования словаря для генерации пути и теперь использует просто случайно сгенерированную строку (MD5: dd33b9e4f928974c72539cd784ce9d20).

Февраль

6 февраля

Очередное изменение HTTP-части протокола. Путь теперь состоит не из одной строчки, а из нескольких случайно сгенерированных слов. Content-Type снова становится multipart/form-data.

Вместе с HTTP-частью обновилась и бинарная часть. Шифрование осталось тем же, но Emotet отказался от Google Protocol Buffer и перешел на свой формат. Изменился и алгоритм сжатия: zlib заменен на liblzf. Подробнее о новом протоколе можно ознакомиться в исследовании Threat Intel и CERT Polska.

7 февраля

Активность командных серверов начала снижаться, работа возобновилась лишь в июле 2020 года. В течение этого периода количество спама упало до нуля. В это же время компания Binary Defense, взаимодействуя с различными CERT и ИБ-сообществом, начала распространять EmoCrash, представляющий собой PowerShell-скрипт, создающий в системе некорректные значения ключей реестра, которые использует Emotet. Это приводит к ошибкам в работе зловреда и «падениям» во время его установки. Такой механизм «вакцинации» работал вплоть до 6 августа, когда в очередном обновлении Emotet перестал использовать уязвимые ключи.

Июль

Прошло всего несколько дней с момента восстановления спам-активности, когда в сети появились сообщения о том, что неизвестные заменяют вредоносную нагрузку Emotet, расположенную на скомпрометированных сайтах, на картинки и мемы. В результате при переходе по ссылкам из спам-писем вместо вредоносного документа открывалось обычное изображение. Это продлилось недолго — уже 28 июля вредоносные файлы перестали подменять картинками.

Итого

Несмотря на свой почтенный возраст, Emotet постоянно развивается и остается одной из наиболее актуальных угроз. Кроме взрывного роста распространения после 5 месяцев простоя, мы пока не наблюдаем ничего, чего не видели бы раньше, однако детальный анализ всегда занимает время, и мы непременно сообщим о его результатах позже. Кроме этого, в данный момент мы наблюдаем эволюцию стороннего зловреда, распространяющегося с помощью Emotet, и обязательно расскажем о нем в будущих публикациях.

Наши защитные решения могут блокировать Emotet на любой стадии атаки. Почтовый фильтр блокирует спам, эвристический компонент выявляет вредоносные макросы и удаляет их из офисных документов, а модуль поведенческого анализа делает нашу систему безопасности устойчивой не только к техникам обхода статического анализа, но и к новым модификациям поведения программы.

Чтобы снизить риски, необходимо своевременно получать точные и достоверные сведения по информационной безопасности. Проверка IP-адресов, хэшей файлов, доменов или веб-адресов на портале OpenTIP позволяет определить, представляет ли объект реальную угрозу, на основе уровней риска и вспомогательной контекстной информации. Анализ файла на OpenTIP может помочь обнаружить передовые массовые и скрытые угрозы с помощью наших запатентованных технологий, включая динамический, статический и поведенческий анализ, а также благодаря нашей глобальной системе репутации.

Отслеживать постоянно эволюционирующие киберугрозы, анализировать их, вовремя реагировать на атаки и сводить к минимуму их последствия помогут сервисы Kaspersky Threat Intelligence.