Emotet — пожалуй, самое успешное вредоносное ПО в истории. В настоящее время он нанес огромный ущерб во всем мире и временно парализовал и серьезно повредил многочисленные компании и другие учреждения, особенно в немецкоязычных странах. Вредоносная программа сложна и до сих пор находится в стадии разработки. В этой статье рассказывается, как работает Emotet, и представлен практический пример.

Было время, когда вредоносное ПО можно было легко разделить на общие категории, такие как вирусы, черви или трояны. В настоящее время развитие продвинулось вперед, и классическое различие зачастую уже невозможно, а границы размываются. Хотя тысячи вредоносных программ появляются каждый день и сеют хаос в Интернете в течение определенного периода времени, некоторые из них продолжают успешно распространяться даже спустя годы, поскольку, с одной стороны, они используют уязвимости, которые трудно исправить, а с другой стороны, они действуют разумно, в несколько этапов и постоянно совершенствуются.

Emotet относится к этой категории. Первоначально выпущенное как банковский троян, вредоносное ПО было впервые обнаружено в 2014 году. С тех пор он прошел несколько этапов эволюции и по-прежнему активен и чрезвычайно опасен сегодня.

Когда Emotet был впервые обнаружен, вредоносное ПО попыталось перехватить банковские учетные данные в рамках атаки «человек в браузере». Однако это было лишь относительно безобидное начало. С тех пор вредитель претерпел значительное развитие.

С конца 2018 года он может читать контакты электронной почты и даже содержимое электронных писем и использовать их для создания новых электронных писем с достоверным содержанием. Коварство заключается в том, что Emotet использует контакты из других зараженных систем и оттуда «отвечает» на действительно имевший место разговор по электронной почте, например, в виде поддельных счетов или сообщений от банков.

Это означает, что жертвы получат электронное письмо от одного из своих реальных контактов, ответа которого они, возможно, действительно ждут. Даже тема, приветствие и подпись в электронном письме соответствуют предыдущему сообщению и, следовательно, делают поддельное электронное письмо настолько достоверным, что даже осторожные пользователи нажимают на ссылку или вложение, содержащееся в электронном письме.

Жертвами Emotet стали различные известные компании и организации (в том числе органы власти). В некоторых случаях это приводило к массовому отключению ИТ-инфраструктуры, которую впоследствии пришлось существенно перестраивать для обеспечения целостности. Некоторые примеры этого будут рассмотрены далее в этой статье.

Описанный метод называется «Сбор урожая Outlook». По сути, это масштабная спам-кампания, которая не основана на примитивно оформленных спам-сообщениях, пронизанных ошибками и распространяемых через ботнеты, а скорее адаптирует так называемые «APT-атаки». APT расшифровывается как Advanced Persistent Threat и описывает очень целенаправленную и сложную атаку на ИТ-инфраструктуру особо ценных организаций с целью получения полного доступа к конфиденциальным данным и системам.

Злоумышленники часто действуют в несколько этапов и проявляют большое терпение. APT часто заключается не в простом внедрении случайного вредоносного ПО или получении «быстрого выигрыша», собрав несколько данных кредитной карты, а в постепенном проникновении глубже в целевую сеть и получении действительно интересной информации. Используемые инструменты адаптированы к соответствующей цели.

Emotet использует эту концепцию, адаптируя и автоматизируя подход APT. Уже зараженные компьютеры или почтовые агенты пользователей (например, Outlook) ищут контакты и содержимое электронной почты, чтобы затем создавать и отправлять новые электронные письма с достоверным содержанием и манипулируемыми ссылками или вложениями. При переходе по ссылкам или открытии вложений устанавливается вредоносный код — либо через попутную загрузку, либо, например, через вредоносные макросы в документах Office.

Подход Emotet разнообразен. Вредоносная программа поддерживает различные методы заражения и загружает различные вредоносные программы через промежуточный этап. В 2018 году, например, по данным экспертов, банковский троян Trickbot часто перезагружался. При этом используется известный инструмент Mimikatz для получения данных доступа к другим системам в сети (Windows) или доступа к другим компьютерам через уязвимости SMB, такие как Eternal Blue или Romance.

На этом этапе происходят широко распространенные системные сбои. Из-за постоянных изменений в загружаемом вредоносном ПО, некоторые из которых глубоко внедряются в скомпрометированные системы, оно часто не распознается программами защиты от вирусов, и даже тогда полная очистка часто невозможна, поэтому после заражения Emotet часто требуется масштабная переустановка ИТ-инфраструктуры.

Помимо своей первоначальной функции банковского трояна, Emotet способен перезагружать любое другое вредоносное ПО. Помимо криптомайнеров, сюда, в частности, входят программы-вымогатели, такие как Ryuk. После того, как Emotet утвердился в целевой сети через Trickbot, разворачивается Ryuk, и все серверные ландшафты шифруются, чтобы выдать требование выкупа, который будет выплачен в биткойнах.

Вредоносное ПО гибко, разнообразно и подвержено постоянным изменениям и расширениям. Вряд ли можно описать один подход Emotet. Поэтому вот несколько примеров известных инфекций, вызываемых Emotet.

Пожалуй, самый популярный случай — заражение ИТ-инфраструктуры компании. Оно началось 13 мая 2019 года и было образцово обработано, задокументировано и представлено общественности компанией, чтобы другие организации могли извлечь из этого уроки и предотвратить заражение.

В тот день сотрудник открыл электронное письмо, которое выглядело заслуживающим доверия, и содержащееся в нем вложение. Дроппер Emotet смог установиться и утвердиться в системе Windows сотрудника. Затем были перезагружены различные вредоносные программы, и сеть компании была заражена. В некоторых случаях AV-программы также били тревогу, поэтому проводилась поверхностная чистка.

Однако стало ясно, что это не устранило причину, когда спустя некоторое время в файлах журналов брандмауэра были зафиксированы различные подключения к серверам Emotet через порт 449/tcp. Также были подозрительные обращения к контроллерам домена в Active Directory. По сути, были скомпрометированы системы Windows 10, пользователи которых имели права администратора, а затем и остальные системы Windows 7.

Попытка остановить соединения с серверами управления и контроля вскоре была прекращена, поскольку новые соединения продолжали добавляться. Остался полный карантин и полная изоляция сети компании от Интернета. Сама компания оценивает фактические затраты в более чем 50000 евро.

В прошлом Emotet заразил множество компаний, а также органы власти, университеты, больницы и другие государственные учреждения. В некоторых случаях это приводило к простоям производства и даже карантину, в результате чего услуги не оказывались, а сотрудников приходилось отправлять в принудительные отпуска.

Прежде всего, важно принять общие базовые меры защиты: установка текущих обновлений безопасности, регулярное резервное копирование и разрешение только подписанных макросов в MS Office. Что касается последнего, Microsoft опубликовало рекомендации о том, как можно безопасно настроить продукты Microsoft Office, чтобы уменьшить поверхность атаки в компаниях. Альтернативно вы можете использовать, например, LibreOffice, поскольку макросы там не работают.

Основным шлюзом являются заслуживающие доверия фишинговые письма, как уже было описано в начале. Хотя идентифицировать такие электронные письма как фальшивые может быть сложно, это все же возможно, поскольку мелкие детали часто противоречивы и должны вызывать подозрения у обученных пользователей. Например, подозрительно, если в ответе сотрудника управления недвижимостью вдруг используется тот же никнейм, что и у пользователя. В принципе, вложениям, которые явно не запрошены, следует не доверять, как и гиперссылкам в электронном письме.

Пример атаки компании выше дал понять, что пользователям не следует работать с правами администратора. Кроме того, не рекомендуется сохранять пароли в браузерах, а использовать вместо них менеджер паролей. В этом контексте для привилегированных учетных записей следует использовать сложные и надежные пароли, поскольку Emotet пытается определить пароли, используя методы грубой силы. Там, где это возможно, должна быть реализована двухфакторная аутентификация (2FA).

Еще одной важной защитной функцией в корпоративных сетях является контроль Интернет-коммуникаций. Это может быть эффективно реализовано с помощью межсетевых экранов нового поколения, шлюзов приложений и прокси-серверов с соответствующими подключенными системами фильтрации контента и AV-системами. Эти решения в сочетании с хорошо настроенными и обслуживаемыми системами IDS/IPS или SIEM представляют собой эффективную меру защиты.

Компания Mainton - разработка и тестирование программного обеспечения под заказ, SEO и реклама в интернете с 2004 года.