En tehlikeli ve kötü şöhretli tehditlerden biri tekrar geri döndü. Ocak 2021’de küresel yetkililer botnet’i kaldırdı. Kolluk kuvvetleri, Emotet’in yürütülebilir dosyalarına yıkıcı bir güncelleme gönderdi. Ve truva atının hikayesinin sonu gibi görünüyordu.
Ancak kötü amaçlı yazılım hiçbir zaman şaşırtmayı bırakmadı.
Kasım 2021’de TrickBot’un artık tek başına çalışmadığı ve Emotet sunduğu bildirildi. Ve sektördeki meslektaşlarıyla birlikte ANY.RUN, Emotet’in kötü niyetli belgelerinin ortaya çıktığını ilk fark edenler arasındaydı.
 |
| İlk Emotet kötü amaçlı belgeler |
Ve bu Şubat ayında, çok sayıda saldırı gerçekleştiren ve sıralamada en üst sıralara çıkan dolandırıcıların olduğu çok aktif bir dalga görebiliriz. Bu konuyla ilgileniyorsanız veya kötü amaçlı yazılımları araştırıyorsanız, aşağıdaki özel yardımdan yararlanabilirsiniz. HERHANGİ BİR.ÇALIŞTIRsiber tehditlerin tespiti ve analizi için etkileşimli sanal alan.
Bu yıkıcı kötü amaçlı yazılımın bu sefer getirdiği yeni sürümdeki değişikliklere bakalım.
İfade geçmişi
Emotet, sofistike, sürekli değişen modüler bir botnettir. 2014’te kötü amaçlı yazılım sadece önemsiz bir bankacılık truva atıydı. O zamandan beri farklı özellikler, modüller ve kampanyalar edindi:
- 2014. Para transferi, istenmeyen posta, DDoS ve adres defteri çalma modülleri.
- 2015. Kaçınma işlevi.
- 2016. Posta spamı, RIG 4.0 istismar kiti, diğer truva atlarının teslimi.
- 2017. Bir yayıcı ve adres defteri hırsızı modülü.
Polimorfik yapı ve çok sayıda modül, Emotet’in algılamadan kaçınmasını sağlar. Kötü amaçlı yazılımın arkasındaki ekip, mevcut algılama kurallarını işe yaramaz hale getirmek için taktiklerini, tekniklerini ve prosedürlerini sürekli olarak değiştirir. Virüs bulaşmış sistemde kalmak için çok sayıda adımı kullanarak ekstra yükleri indirir. Davranışı, kötü amaçlı yazılımdan kurtulmayı neredeyse imkansız hale getirir. Hızlı yayılır, hatalı göstergeler oluşturur ve saldırganların ihtiyaçlarına uyum sağlar.
Ve 14 Kasım 2021’de Emotet yeni bir versiyonla yeniden doğdu.
Emotet neden yeniden doğdu?
Boyunca Emotet’in geçmişi, birkaç mola aldı. Ancak Ocak 2021’deki küresel polis operasyonlarından sonra, bunun tamamen ortadan kalkacağına hazırdık. Ortak uygulama birkaç çete üyesini tutukladı, sunucuları ele geçirdi ve yedekleri yok etti.
Bununla birlikte, botnet daha da sağlam bir şekilde geri döndü. Kaçınma tekniklerinde beceriklidir ve ağları tehlikeye atmak için çeşitli yollar kullanır ve onu eskisi kadar tehlikeli hale getirir.
Trickbot’un sisteme dinamik bağlantı kitaplığı (DLL) indirmeye çalıştığı izlendi. DLL’lerin Emotet olduğu ortaya çıktı ve daha sonra araştırmacılar gerçeği doğruladı.
2021’de geri dönüşün ardından Emotet, ANY.RUN korumalı alanında ilk 3 yüklemeye liderlik etti. Bu kadar uzun bir aradan sonra bile, hala popüler oldu. Tüm istatistikler İfade trendleri Kötü Amaçlı Yazılım Eğilimleri İzleyici’de mevcuttur ve sayılar genel gönderilere dayanmaktadır.
 |
| Geçen haftanın en çok yüklenen kötü amaçlı yazılımları |
HİÇBİR ŞEKİLDE, operasyonlarının tekrar rayına oturmasına şaşmamalı. RUN’un veritabanı neredeyse 3 bin haftada kötü niyetli örnekler. Ve her an bu tür bir saldırıya hazırlanmanız gerektiği ortaya çıkıyor.
Emotet hangi yeni özellikleri kazandı?
Truva atı zaten herhangi bir şirket için ciddi bir tehdittir. Tüm kötü amaçlı yazılım güncellemelerini bilmek, böyle bir tehditten kaçınmanıza ve dikkatli olmanıza yardımcı olabilir. Yeni bir sürümün getirdiği özellikleri ve öncekilerden nasıl farklılaştığını inceleyelim.
şablonlar
Emotet kampanyaları, Kötü Amaçlı Ofis Belgeleri (silahlaştırılmış Microsoft Office belgeleri) veya geniş çapta dağıtılan ve kurbanları kötü niyetli ekleri açmaya çeken kimlik avı e-postasına eklenen köprüler içeren bir kötü amaçlı spam e-postasıyla başlar. Silahlaştırılmış Microsoft Office belgesi, yürütülmesi için bir VBA koduna ve AutoOpen makrosuna sahiptir. Emotet grubu, kurbanlarını makroları etkinleştirmeleri için cezbeder ve bu, saldırıyı başlatmak için gereken tek kullanıcı etkileşimidir. Bu kullanıcı etkileşimi, korumalı alan testlerini ve doğrulamalarını atlamaya izin verir.
Emotet, genellikle Office Belgelerinden oluşan kötü amaçlı e-posta kampanyaları kullanarak dağıtır. Ve kötü amaçlı yazılım, kötü amaçlı belgelerinin şablonlarıyla çok yaratıcı oluyor. Botnet bunları sürekli olarak değiştirir: programların güncellemelerini, mesajlarını, dosyalarını taklit eder. Ve içerik, gizlenmiş VBA makrosunu gömer ve farklı yürütme zincirleri oluşturur. Kötü amaçlı yazılımın arkasındaki yazarlar, kullanıcıları kandırarak makroların saldırıyı başlatmasını sağlar.
Ve yeni bir sürümde de bir bükülme var. 2020 yazında Emotet, Office 365 mesajı içeren bir doküman kullandı. Görüntü değişmeden kalır, ancak XLS formatına geçilir. Ayrıca, bu yeni sürümde, ikinci aşamanın indirildiği IP adresini temsil etmek için ilk kez onaltılık ve sekizli biçimlerde kullanılmıştır. Daha sonraki bir teknik yeniden değiştirildi ve dolandırıcılar yükü indirmek için HEX kodlu IP’yi kullanmaz.
 |
| Şubat ayında emotet şablonları |
Yeni teknikler
Emotet, yeni teknikler edinerek polimorfik bir yaratık olarak çıtayı yükseltmeye devam ediyor. En son kötü amaçlı yazılım sürümü, taktiklerde bazı küçük değişikliklerle geldi: MSHTA’yı yeniden kullanıyor. Genel olarak Macro 4.0, CMD, Wscript veya Powershell’i çalıştırmak için Excel’den yararlanır; bu, MSHTA veya yukarıda belirtilen, ana yükü indiren ve rundll32 tarafından çalıştırılan başka bir işlemi başlatır.
Botnet, URL’ler, IP’ler, komutlar ve hatta kabuk kodları gibi kötü amaçlı dizeleri ve içeriği maskelemeye heveslidir. Ancak bazen, dosyanın komut dosyasından URL’lerin ve IP’lerin listesini alabilirsiniz. HERHANGİ BİR’de kesinlikle kendiniz bulabilirsiniz. RUN’un Statik Keşfi – sadece bir deneyin!
 |
| Emotet’in sahte PNG dosyasındaki URL listesi |
yoldaşlar
Emotet’in genellikle enfeksiyonu kötüleştirmek için diğer kötü amaçlı yazılımları bıraktığını biliyoruz. Kasım ayında, botnet’in güvenliği ihlal edilmiş ana bilgisayarlara Trickbot bankacılık truva atı gönderdiği tespit edildi.
Şu anda Emotet’in Cobalt Strike ile çalıştığını görebiliyoruz. Sızma testi yapanlar ve suçlular tarafından da kullanılan bir C2 çerçevesidir. Senaryoda Cobalt Strike olması, ilk enfeksiyon ile fidye yazılımı saldırısı arasındaki sürenin önemli ölçüde kısaldığı anlamına gelir.
 |
| Emotet enfeksiyonundan kaynaklanan Kobalt Strike IOC’lerinin listesi |
süreç ağacı
Yürütme zincirinde de bazı değişiklikler yapıldı. Çoğu durumda, bir CMD alt işlemi, bir PowerShell ve Rundll32 görebiliriz ve çeşitli örnekler, yazarların işlemleri karıştırmayı tercih ettiklerini ve sıralarını sürekli olarak değiştirmeyi tercih ettiklerini kanıtlar. Bunun arkasındaki temel amaç, bir uygulamanın alt süreçleri tarafından bir tehdidi tanımlayan kural kümeleri tarafından tespit edilmekten kaçınmaktır.
 |
| İfade işlem ağacı |
Komut satırı
Emotet uzun zaman önce EXE dosyalarından DLL’ye geçti, bu yüzden ana yük Rundll32 altında çalıştı. Powershell ve CMD’nin bol kullanımı değişmeden kalır:
 |
| Emotet komut satırı |
Emotet nasıl tespit edilir ve nasıl korunur?
Emotet örneği hakkında eksiksiz bilgi almanın hızlı ve kolay bir yoluna ihtiyacınız varsa, modern araçları kullanın. ANY.RUN etkileşimli sanal alan, süreçlerin gerçek zamanlı olarak izlenmesine ve gerekli tüm verilerin anında alınmasına olanak tanır.
Suricata kural kümeleri, Emotet dahil olmak üzere farklı kötü amaçlı programları başarıyla tanımlar. Üstelik Fake net özelliği ile kötü niyetli bir örneğin C2 bağlantılarını ortaya çıkarır. Bu işlevsellik, kötü amaçlı yazılımların IOC’lerinin toplanmasına da yardımcı olur.
İfade örnekleri gelir ve gider ve onlara ayak uydurmak zordur. Bu nedenle, günlük olarak güncellenen taze örnekleri kontrol etmenizi öneririz. genel başvurular.
Emotet, vahşi doğadaki en tehlikeli siber tehditler arasında bir canavar olduğunu kanıtlıyor. Kötü amaçlı yazılım, işlevselliğini geliştirir ve tespitten kaçınma üzerinde çalışır. Bu nedenle, aşağıdakiler gibi etkili araçlara güvenmek çok önemlidir. HERHANGİ BİR.ÇALIŞTIR.
Kötü amaçlı yazılım avcılığının tadını çıkarın!