Троян Emotet набирает обороты

Как мы писали ранее, одним из наиболее активных троянов 2020 года является вредоносное ПО Emotet. Так, уже Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) и Межгосударственный центр обмена информацией и анализа (MS-ISAC) предупредили об увеличении количества фишинговых рассылок, направленных на распространение данного вредоносного ПО.
Коварство ПО Emotet заключается в его модульной архитектуре с динамическими ссылками, позволяющей постоянно обновлять и развивать свой функционал. Кроме того, троян легко распространяется горизонтально внутри сетевого окружения, используя легитимные порты 80, 8080, 443, 445 и др.
При попадании на компьютер жертвы троян пытается подобрать учетную запись, записать данные на сетевые диски (протокол SMB), соединиться с командным центром и источниками обновлений (порты 80, 8080, 443, 445). Троян Emotet часто используется для доставки жертве вирусов вымогателей и инфостиллеров.
Еще одним из вредоносных действий является использование легитимного домена компании для рассылки с него фишинговых сообщений. Что, в свою очередь, вызывает блокирование легитимного домена. Проверить, не задействован ли ваш домен или электронная почта в кампаниях вредоноса можно на сервисе итальянской компании TG Soft «Have I Been Emotet»: https://www.haveibeenemotet.com/ .
Рекомендации
Эксперты Angara Professional Assistance предлагают следующие действия по защите:

• Фильтрация почтовых сообщений: блокировать .dll, .exe и другое активное содержимое, .zip и другие архивы, не доступные для сканирования антивирусным движком.
• Применять механизмы анализа e-mail вложений в Sandbox решениях.
• Применять политики минимизации привилегий для пользователей.
• Сегментировать внутреннюю сеть и применять фильтрацию сетевых соединений, включая сигнатурную аналитику (IPS) и поведенческие механизмы.
• Применять двухфакторную аутентификацию в домене.
• Использовать фильтрацию Web-активности пользователей, сканировать скачиваемое содержимое.
• Производить качественный мониторинг событий и обработку инцидентов ИБ.
  

Компания Angara Professional Assistance предлагает MSSP-сервисы по всем указанным направлениям защиты:

• Фильтрация доступа в Интернет (WEB ACCESS SECURITY AS A SERVICE).
• Защита от сложных угроз и реагирование на сложные угрозы (EDR и ANTIAPT), включая защиту почтового трафика.
• Центр киберустойчивости ACRC (Angara Cyber Resilience Center), включая:
  

Инновационную платформу мониторинга и аналитики киберугроз.
Применение алгоритмов User and Entity Behavior Analytics.
Взаимосвязанный комплекс людей, процессов и программно-аппаратных средств.
Применение лучших мировых практик в построении процессов управления инцидентами: SANS, MITRE, ITIL, ISO.
Своевременное и эффективное выявление и нейтрализацию внешних и внутренних угроз информационной безопасности.

Сигнатуры
Сигнатуры для детектирования активности Emotet:

• Snort сигнатуры:
  
  • alert tcp $HOME_NET any -> $EXTERNAL_NET 443 (msg:"[CIS] Emotet C2 Traffic Using Form Data to Send Passwords"; content:"POST"; http_method; content:"Content-Type|3a 20|multipart/form-data|3b 20|boundary="; http_header; fast_pattern; content:"Content-Disposition|3a 20|form-data|3b 20|name=|22|"; http_client_body; content:!"------WebKitFormBoundary"; http_client_body; content:!"Cookie|3a|"; pcre:"/:?(chrome|firefox|safari|opera|ie|edge) passwords/i"; reference:url,cofense.com/flash-bulletin-emotet-epoch-1-changes-c2-communication/; sid:1; rev:2;)
  • alert tcp any any -> any $HTTP_PORTS (msg:"EMOTET:HTTP URI GET contains '/wp-content/###/'"; sid:00000000; rev:1; flow:established,to_server; content:"/wp-content/"; http_uri; content:"/"; http_uri; distance:0; within:4; content:"GET"; nocase; http_method; urilen:<17; classtype:http-uri; content:"Connection|3a 20|Keep-Alive|0d 0a|"; http_header; metadata:service http;)
  • alert tcp any any -> any $HTTP_PORTS (msg:"EMOTET:HTTP URI GET contains '/wp-admin/###/'"; sid:00000000; rev:1; flow:established,to_server; content:"/wp-admin/"; http_uri; content:"/"; http_uri; distance:0; within:4; content:"GET"; nocase; http_method; urilen:<15; content:"Connection|3a 20|Keep-Alive|0d 0a|"; http_header; classtype:http-uri; metadata:service http;)
    
• Ключ реестра для выведения Emotet из строя – так называемая вакцина от Emotet:
  

PowerShell-скрипт EmoCrash, его задача – сканировать компьютер пользователя и генерировать специальный ключ реестра, который не даст Emotet спокойно работать: