Emotet-Aktivität erkennen: Berüchtigte Malware taucht wieder auf und zielt auf Systeme weltweit

[post-views]
März 16, 2022 · 4 min zu lesen
Emotet-Aktivität erkennen: Berüchtigte Malware taucht wieder auf und zielt auf Systeme weltweit

Der berüchtigte Emotet ist zurück und erlebt seine Wiederkehr der Epoche 5, nachdem alle Command-and-Control- (C&C) Server des Botnets bei einer gemeinsamen internationalen Strafverfolgungsoperation, der Operation Ladybird, Anfang 2021 gestört wurden. Laut Forschern war es nur eine Frage der Zeit, bis Emotets C&C-Infrastruktur wiederhergestellt und eine umfassende Cyber-Angriffskampagne erneut gestartet wird. Und während die Malware-Entwickler unbekannt bleiben, fällt diese Kampagne verdächtig mit der russischen Invasion in der Ukraine zusammen.

Bei SOC Prime erneuern wir weiterhin unsere Erkennungsinhalte, damit Sie die neuesten Aktivitäten von Emotet und ähnlichen Bedrohungen so früh wie möglich erfassen können. Nachfolgend finden Sie die neuesten Erkennungsregeln und eine eingehende Analyse.

Emotet-Angriffsdetektion

Um das neueste Verhalten von Emotetzu erkennen, sehen Sie sich die von unserem Threat Bounty-Entwickler Furkan Celik:

erstellt Regeln an. Emotet erneut entdeckt in MS Office-Dateien (März) (über Registrierungsevent)

Diese Erkennung hat Übersetzungen für die folgenden SIEM-, EDR- und XDR-Plattformen: Microsoft Sentinel, Elastic Stack, Splunk, LimaCharlie, Sumo Logic, ArcSight, QRadar, Humio

FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, AWS OpenSearch.

Die Regeln sind mit dem neuesten MITRE ATT&CK®-Framework v.10 abgestimmt und adressieren die Abwehr-Evasion-Taktik mit Ändern der Registrierung (T1112) als primäre Technik.

Erkennung neuer Emotet-Verhaltensweisen (März) (über Prozess-Erstellung)

Diese Erkennung hat Übersetzungen für die folgenden SIEM-, EDR- und XDR-Plattformen: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, LimaCharlie, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache, Kafka ksqlDB, Securonix, AWS OpenSearch.

Die Regeln sind mit dem neuesten MITRE ATT&CK®-Framework v.10 abgestimmt und adressieren die Abwehr-Evasion-Taktik mit der Ausführung signierter Binär-Proxy (T1218) als primäre Technik.

Organisationen sollten sich auch bewusst sein, dass, sobald dieses Botnet in das Netzwerk eindringt, es andere Arten von Malware-Angriffen wie Emotet herunterladen kann, die weitere Ausnutzung unterschiedlicher Verhaltensweisen hervorrufen. Deshalb ist es notwendig, auf Anzeichen von Kollateralschäden wie Ransomware zusammen mit der Verteilung des Emotet-Botzu achten. Um alle Inhalte zu finden, die das bösartige Verhalten von Emotet adressieren, können Sie die verfügbaren Erkennungsinhalte auf der SOC Prime-Plattform prüfen.

Cyber-Verteidiger sind herzlich eingeladen, unserem Threat Bounty-Programm beizutreten, um die Macht der Gemeinschaft zu nutzen und für ihre Bedrohungserkennungsinhalte belohnt zu werden.

Erkennungen ansehen Threat Bounty beitreten

Emotet-Infektionsprozess

Um die Bedeutung der Wiederbelebung von Emotet zu veranschaulichen, hat Proofpoint mehr als 2,73 Millionen Phishing-E-Mails gefunden, die bis zur ersten Märzwoche 2022 von Emotet gesendet wurden. Es waren mehr als die Gesamtzahl der gleichen E-Mails für den gesamten Monat Februar 2022 (2,07 Millionen). Zuvor wurde im November 2021 ein Netzwerk von 130.000 neuen Bots in 179 Ländern entdeckt.

Neue Beweise für Emotet-Aktivität zeigen, dass die Angreifer neue Features verwendet haben, um unbemerkt und unentdeckt von den Sicherheitssystemen ihrer Opfer zu agieren. Dafür haben die Gegner den Netzwerkverkehr über elliptische Kurven-Kryptografie (ECC) verschlüsselt und die Prozessliste in ein eigenes Modul aufgeteilt. Außerdem neigen neue Malware-Versionen dazu, mehr Informationen über die infizierten Hosts zu sammeln.

Die Forscher von Black Lotus Labs erwähnen dass die durchschnittliche Geschwindigkeit der neuen Emotet-Kampagne etwa 77 einzigartige Tier 1 C&Cs pro Tag von Ende Februar 2022 bis zum 4. März 2022 beträgt, wobei die meisten Emotet C2-Standorte in den USA und Deutschland sind. Unterdessen sind infizierte Bots hauptsächlich in Regionen wie Asien, Indien, Mexiko, Südafrika, China, Brasilien und Italien konzentriert. Angesichts der Anzahl veralteter Windows-Geräte ist es nachvollziehbar, warum diese Regionen so stark getroffen wurden.

Das Emotet-Botnet wächst mit beispielloser Geschwindigkeit, solange sie in der Lage sind, Millionen von Geräten ihrer Opfer zu infizieren und in bösartige Bots zu verwandeln. Sie zu stoppen ist möglich, indem man sich dem kollaborativen Verteidigungsansatz anschließt. Treten Sie bei SOC Prime Detection-as-Code-Plattform bei und erhalten Sie sofortigen Zugang zu den neuesten Inhalten, die Ihnen helfen, die neuesten und heimtückischsten Cyber-Bedrohungen zu erkennen. Und wenn Sie glauben, mit wertvollem Wissen beitragen zu können, reichen Sie Ihre Erkennungsinhalte bei unserem Crowdsourcing-Programm ein und erhalten Sie wiederkehrende Belohnungen für Ihre einzigartigen Inhalte.

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Zugriff auf die Uncoder AI-Funktionalität über die API 2 min zu lesen SOC Prime Plattform Zugriff auf die Uncoder AI-Funktionalität über die API by Steven Edwards Bedrohungserkennungs-Marktplatz von Uncoder AI durchsuchen 2 min zu lesen SOC Prime Plattform Bedrohungserkennungs-Marktplatz von Uncoder AI durchsuchen by Steven Edwards Übersetzung von Sigma in 48 Sprachen 2 min zu lesen SOC Prime Plattform Übersetzung von Sigma in 48 Sprachen by Steven Edwards
Alle Nachrichten