BERICHT ZU PHISHING-BEDROHUNGEN UND MALWARE - 2019 COFENSE.COM - quorum
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
BERICHT ZU
PHISHING-
BEDROHUNGEN
UND MALWARE
2019
COFENSE.COM
© Cofense 2019. Alle Rechte vorbehalten.
COFENSE MALWARE-BERICHT 2
INHALTSVERZEICHNIS
Zusammenfassung 3
E-Mail-Gateway-Versagen 6
Am häufigsten durchkommende Bedrohungen 8
Credential-Phishing
Gefälschte geschäftliche E-Mails
Sextortion und Bombendrohungen
Sich entwickelnde Bedrohungstaktiken 11
Malware-Zustellungsmethoden
Erkennungs-Umgehungstechniken
Entwicklung der wichtigsten Malware-Typen 22
Emotet
Trickbot
Chanitor
Ransomware
Tipps zum Schutz vor Phishing und Malware 31
Quellen 32
Weitere Lektüre 33
BERICHT ZU PHISHING-BEDROHUNGEN UND MALWARE: 2019
COFENSE MALWARE-BERICHT 3
ZUSAMMENFASSUNG
Sie haben neue E-Mails. Seien Sie auf der Hut. In diesem Bericht geht
es um Entwicklung – wie sich Phishing-E-Mails und Malware im ständigen
Wandel befinden. Eines hat sich jedoch nicht geändert: Phishing ist nach wie
vor der Cyber-Angriffsvektor Nummer eins. Die überwiegende Mehrheit der
!
Sicherheitsverletzungen beginnen mit bösartigen E-Mails oder anderen Social-
Engineering-Varianten1 und die meiste Malware wird per E-Mail zugestellt.2
Auf den folgenden Seiten geht es um Bedrohungen, die das E-Mail-Gateway
überwunden haben, schnelle Änderungen bei Emotet (auch Geodo genannt),
die Vorherrschaft von Credential-Phishing (Diebstahl von Zugangsdaten) in
einer Welt von E-Mail-Betrug und vieles mehr – all das aus zwei Perspektiven
betrachtet: Im Hinblick auf Bedrohungen, von denen wir wissen, dass sie die
Posteingänge von Unternehmensbenutzern erreicht haben, auf der einen Seite
und im Hinblick auf Bedrohungen „in freier Wildbahn“ auf der anderen Seite
in den letzten 12 Monaten.
WICHTIGSTE ERKENNTNISSE
Die Innovationskraft der Bedrohungsakteure ist beharrlich. Sie verfeinern ständig ihre Taktiken, Techniken und
Verfahren (Tactics, Techniques and Procedures, TTPs), während sie gleichzeitig neue Zustellungsmechanismen,
Phishing-Techniken und Methoden zur Umgehung von Netzwerkschutztechnologien entwickeln. Genau aus diesem
Grund landen so viele Phishing-E-Mails im Posteingang.
Beispiel: In den letzten 12 Monaten hat die Verwendung von Kurz-URL-Diensten, insbesondere Bitly, durch Angreifer
zugenommen. Verkürzte URLs sind sowohl mit der Technologie als auch durch die Benutzer selbst schwer zu
überprüfen. Es wird schwierig, das endgültige Ziel einer Verbindung zu bestimmen.
BERICHT ZU PHISHING-BEDROHUNGEN UND MALWARE: 2019
COFENSE MALWARE-BERICHT 4
Technologien wie E-Mail-Gateways können nicht Schritt halten. In vielen Fällen hinken die Netzwerkschutz
technologien der „Produktentwicklung“ von Bedrohungsakteuren im Tempo ein oder zwei Schritte hinterher.
Insbesondere haben Taktiken, die die automatisierte Erkennung erschweren, an Popularität zugenommen.
Sichere E-Mail-Gateways (SEGs) spielen eine Schlüsselrolle beim Phishing-Schutz – sie sind aber nicht
unfehlbar. Jeden Tag findet CofenseTM Beispiele für Bedrohungen, die durchkommen.
Beispiel: Von Oktober 2018 bis März 2019 überprüfte das Cofense Phishing Defense CenterTM 31.000
bösartige E-Mails. Weitere Analysen ergaben, dass 90 % davon in Umgebungen mit sicheren E-Mail-Gateways
gefunden wurden.
Für den Phishing-Schutz ist menschliche Intelligenz unerlässlich. Sobald Phishing-E-Mails, die Malware
oder einen Social-Engineering-Betrug enthalten, in den Posteingängen der Nutzer landen, ist der menschliche
Faktor entscheidend. Es ist unerlässlich, Benutzer durch ein Phishing-Awareness-Programm zu informieren,
das sich auf Bedrohungen konzentriert, bei denen die neuesten TTPs eingesetzt werden. Und außerdem
wäre es klug, Ihr Security Operations Center (SOC) mit den speziell für diesen Zweck entwickelten Systemen
und dem menschlichen Know-how zu stärken, um Phishing schnell und effektiv zu bekämpfen. Sowohl die
Benutzerschulung als auch die Reaktionsfähigkeit auf Vorfälle profitieren von Einsichten in neu entstehende
TTPs, die bei Bedrohungen eingesetzt werden.
Beispiel: Ein großes Gesundheitsunternehmen konnte einen Phishing-Angriff in nur 19 Minuten stoppen, als
Benutzer verdächtige E-Mails meldeten und das SOC dadurch in der Lage war, schnell zu handeln. Ein globales
Finanzunternehmen tat dasselbe, als es menschliche Intelligenz einsetzte, um einen Angriff in nur 10 Minuten
zu stoppen.
BERICHT ZU PHISHING-BEDROHUNGEN UND MALWARE: 2019
COFENSE MALWARE-BERICHT 5
EINE EINZIGARTIGE PERSPEKTIVE AUF PHISHING- UND MALWARE-BEDROHUNGEN
Der diesjährige Bericht hat sich – wie die Bedrohungen, die darin beschrieben werden – weiterentwickelt. In den
vergangenen Jahren hat sich das Cofense IntelligenceTM-Team fast ausschließlich mit Malware-Trends befasst. Bei der
Ausgabe für das Jahr 2019 liegt der Fokus weiterhin zu einem großen Teil auf Malware. Es haben sich aber auch andere
Cofense-Teams, Cofense ResearchTM und das Cofense Phishing Defense Center der Diskussion angeschlossen, um
ihre Einblicke in Emotet, Credential-Phishing und eine Reihe anderer Themen zu teilen. Diese Einblicke spiegeln unsere
umfassendere Mission wider, Phishing-Bedrohungen möglichst schnell dort zu stoppen, wo sie erkannt werden.
Gemeinsam bieten unsere Teams einen einzigartigen Überblick über Phishing- und Malware-Bedrohungen. Cofense
Intelligence verarbeitet und analysiert täglich Millionen von E-Mails und Malware-Beispielen und bietet eine Makroansicht
von Bedrohungen „in freier Wildbahn“. Das Cofense Phishing Defense Center bietet einen fokussierteren Blick: Umfang,
Art und Funktionsweise von Phishing-Bedrohungen, mit denen echte Unternehmen (unsere Kunden) konfrontiert sind. Dieses
Team identifiziert die Angriffe und die zugehörigen TTPs, die es Bedrohungsakteuren ermöglichen, Perimeterkontrollen zu
umgehen. Cofense Research ist verantwortlich für eine erkenntnisgestützte Forschung und Entwicklung. Zum Beispiel war
das Team im März 2019 das erste Team, das über signifikante Veränderungen im Emotet-Botnet und in der Emotet-Malware
berichtete.
Best Practices zum Schutz vor Phishing- und Malware-Bedrohungen finden Sie in einer Liste bewährter Tipps auf
Seite 31.
BERICHT ZU PHISHING-BEDROHUNGEN UND MALWARE: 2019
COFENSE MALWARE-BERICHT 6
E-MAIL-GATEWAY-VERSAGEN
Das sichere E-mail-Gateway (SEG) stellt eine wichtige Ebene des Phishing-Schutzes dar. Aber es ist keine Wunderwaffe. Mit den
schnellen Veränderungen in der Phishing-Landschaft können SEGs schlichtweg nicht Schritt halten. Keine technische Kontrolle ist zu
100 % effektiv. Die Gründe sind vielfältig, fallen aber in eine dieser großen Kategorien:
1. Konfigurationsfehler
2. Ausgleich zwischen Schutz und Produktivität
3. Bisher unbekannte oder nicht berücksichtigte Bedrohungsarten
4. Ungepatchte bekannte Schwachstellen oder Möglichkeiten für Missbrauch der Funktionalität
Im Zusammenhang mit Phishing-Bedrohungen stellen die Kategorien 2 und 3 das größte Risiko für Kontrollen wie SEGs dar.
Phishing-Bedrohungsakteure tun alles Mögliche, um die gängigen Geschäftsprozesse und Kommunikationsgewohnheiten zu
verstehen und sie dann durch neuartige Taktiken und Techniken auszunutzen.
Cofense profitiert von einer einzigartigen Perspektive auf
PHISHING-BEDROHUNGEN NACH TYP
die tatsächliche Performance marktführender SEGs. Jede Oktober 2018–März 2019
E-Mail, die von Kunden des Cofense Phishing Defense
Center gemeldet wurde, hat in der Regel mehrere Gefälschte geschäftliche E-Mails 2.681
Ebenen von Perimeterkontrollen durchlaufen – und ist Credential-Phishing 23.195
dennoch im Posteingang des Zielempfängers gelandet. Malware-Zustellung 4.835
Unser Team hat für die häufigsten Bedrohungstypen die Betrug 718
folgenden Volumen identifiziert, wie in Abbildung 1 zu INSGESAMT 31.429
sehen ist.
Abbildung 1: Vom Cofense Phishing Defense Center identifiziert.
BERICHT ZU PHISHING-BEDROHUNGEN UND MALWARE: 2019
COFENSE MALWARE-BERICHT 7
Abbildung 2 zeigt den Prozentsatz dieser Bedrohungen, die in Umgebungen mit einer oder mehreren SEG-Lösungen beobachtet
wurden, wenn das Scannen durch ein SEG oder einen anderen E-Mail-Schutzmechanismus durch das Vorhandensein von
X-Headern zuverlässig identifiziert werden könnte.
BEDROHUNGEN, DIE IN UMGEBUNGEN
MIT PERIMETERTECHNOLOGIEN Vorhandensein eines
Kein SEG in E-Mail- oder mehrerer SEGs
BEOBACHTET WURDEN Headern identifiziert in E-Mail-Headern
identifiziert
Gefälschte geschäftliche E-Mails 11,9 % 88,1 %
Credential-Phishing 8,8 % 91,2 %
Malware-Zustellung 10,4 % 89,6 %
Betrug 58,9 % 41,1 %
Abbildung 2: Erkannte Bedrohungen in Umgebungen mit sicheren E-Mail-Gateways3.
Anhand der Gesamtzahlen in Abbildung 1, die 31.429 verifizierte bösartige E-Mails anzeigen, haben wir folgende Erkenntnisse gewonnen:
90 % DER DURCH COFENSE BESTÄTIGTEN PHISHING-E-MAILS WURDEN IN UMGEBUNGEN GEFUNDEN,
DIE SICHERE E-MAIL-GATEWAYS (SEG) VERWENDEN.
Die Zahlen bestätigen, dass es „kein Netz ohne Löcher“ gibt – und dass Endbenutzer, die in der Lage sind, verdächtige E-Mails
zu erkennen und zu melden, eine zentrale Ebene eines umfassenden Schutzes darstellen. Laut Gartner werden die SEG-Ausgaben
für Jahr 2019 voraussichtlich 1.785 Mio. USD4 betragen. Trotz erheblicher Investitionen in Technologie landen immer noch große
Mengen an Phishing-Bedrohungen im Posteingang.
BERICHT ZU PHISHING-BEDROHUNGEN UND MALWARE: 2019
COFENSE MALWARE-BERICHT 8
AM HÄUFIGSTEN DURCHKOMMENDE BEDROHUNGEN
CREDENTIAL-PHISHING
Credential-Phishing am Gateway zu stoppen, kann sich als schwierig erweisen. Häufig enthält die zugehörige Infrastruktur keine
eindeutig schädlichen Inhalte. Um ihre Absichten weiter zu verschleiern, senden diese Kampagnen manchmal E-Mails von
echten Office365-Mandanten aus, indem sie zuvor gestohlene Anmeldeinformationen oder legitime Konten verwenden. Wenn
die gefälschte Anmeldeseite darüber hinaus auf der Microsoft-Infrastruktur gehostet wird (zum Beispiel windows.net), wird es fast
unmöglich, eine bösartige Quelle von einer guten zu unterscheiden.
Abbildung 3: Ein Versuch, beim Credential-Phishing einen Abbildung 4: Eine gefälschte Anmeldeseite zum Stehlen
Filesharing-Dienst zu missbrauchen. von Anmeldeinformationen.
Darüber hinaus wird von vielen Gateways nicht jede eingehende URL gescannt. Stattdessen schränken sie ihren Umfang ein, indem
sie nur eine Stichprobe von URLs scannen, auf die die Benutzer tatsächlich klicken. Da immer mehr Phishing-Kampagnen Einweg-URLs
nutzen, wächst das Risiko für Unternehmen. Benutzernamen und Kennwörter sind die Schlüssel zum Reich eines jeden Unternehmens,
was erklärt, warum Credential-Phishing ein so florierendes Geschäft ist.
BERICHT ZU PHISHING-BEDROHUNGEN UND MALWARE: 2019
COFENSE MALWARE-BERICHT 9
Wenn Unternehmen ihre Infrastruktur und Anwendungen in die Cloud
VERSCHIEDENE CREDENTIAL-PHISHING-
verlagern, verschieben sie auch die Anmeldeseiten und damit den Zugriff
auf Netzwerkanmeldeinformationen. Wenn ein Angreifer das Konto eines URLS, DIE VON COFENSE „IN FREIER
einzelnen Benutzers kompromittiert, bedeutet dies einen Erfolg für ihn! Andere WILDBAHN“ IDENTIFIZIERT WURDEN
Konten, die dasselbe Kennwort verwenden, werden sofort zu Schwachstellen.
Und wenn die Konten beispielsweise Nutzern aus dem Personal- oder 1. Quartal 2018 73.846
Finanzwesen gehören, werden sie zu hochwertigen Zielen, die Angreifern 2. Quartal 2018 59.016
mehr Freiheit geben, sich ungesehen im Netzwerk zu bewegen.
3. Quartal 2018 49.902
Ein Beispiel für das Risiko: Sekunden nach dem Ausführen eines 4. Quartal 2018 53.211
Credential-Phishing-Angriffs hat sich ein Bedrohungsakteur bei der
Lohnabrechnungsanwendung des Hosts angemeldet, um Informationen INSGESAMT 2018 235.975
zur direkten Einzahlung zu ändern. Bei einem Angriff auf ein anderes 1. Quartal 2019 63.575
Unternehmen lauerte ein anderer Angreifer im Postfach des IT-Supports und
verschickte „legitime“ E-Mails an Mitarbeiter. Dieser Angreifer blieb ganze zwei
Wochen unbemerkt, bis ein Mitarbeiter in einer E-Mail misstrauisch gegenüber Abbildung 5: Cofense hat seit dem 1. Quartal 2018
bestimmten Anfragen wurde und das Sicherheitsteam alarmierte. fast 300.000 verschiedene Phishing-URLs identifiziert.
GEFÄLSCHTE GESCHÄFTLICHE E-MAILS
Herkömmliche gefälschte geschäftliche E-Mails zielen in der
Regel auf Kreditorenteams ab und täuschen die Identitäten von
Unternehmensführungskräften vor. Da sich viele dieser Betrügereien
als äußerst erfolgreich erwiesen haben, haben Unternehmen
hart daran gearbeitet, das Bewusstsein dafür zu schärfen, und
Technologieanbieter haben neue Schutzfunktionalitäten eingeführt.
Als Ergebnis konnte das Cofense Phishing Defense Center gegen
Ende 2018 eine Änderung der Taktik beobachten. Bedrohungsakteure
gaben sich als normale Mitarbeiter aus, um die Verwalter der Lohn-
und Gehaltsabrechnung mit einer einfachen Bitte anzusprechen:
die Kontodaten für die Lohn- und Gehaltsabrechnung zu ändern,
damit Angreifer die Gehälter sich selbst überweisen können.
Abbildung 6: Das Ziel von gefälschten Geschäfts-E-Mails ist ein
Verwalter der Lohn- und Gehaltsabrechnung.
BERICHT ZU PHISHING-BEDROHUNGEN UND MALWARE: 2019
COFENSE MALWARE-BERICHT 10
SEXTORTION
Bei Sextortion werden zwei Knöpfe – Angst und Dringlichkeit – gedrückt, die Menschen dazu bringen, zu handeln, bevor sie
nachdenken. Und wer kann es ihnen verdenken? Sextortion-E-Mails enthalten häufig Benutzernamen, Passwörter und andere
persönliche Informationen, die auf legitimen Websites oder im Dark Web aufgesammelt wurden, um die E-Mails glaubwürdig
erscheinen zu lassen.
Das narrative Grundgerüst ist wie folgt: „Ihr Gerät wurde durch Malware kompromittiert. Wir haben Passwörter oder andere
persönliche Daten gestohlen. Wir haben Sie beobachtet und haben Webcam-Aufnahmen von Besuchen auf dubiosen Seiten.
Bezahlen Sie in Bitcoin oder einer anderen Kryptowährung und Ihr Geheimnis ist sicher.“ Nichts davon ist in der Regel wahr –
ungeachtet dessen, was ein schlechtes Gewissen den Empfänger einer solchen Nachricht zu denken veranlassen könnte.
Obwohl Sextortion-E-Mails von der Filterung abgefangen werden, kommen viele dennoch durch. Sextortion-Betrüger optimieren
ihre Taktiken, indem sie nicht mehr einfach nur textbasierte E-Mails senden. Eine Kampagne beinhaltete Folgendes:
• Base64-codierten HTML-Nachrichteninhalt
• Textkörper in Form von eingebetteten Bildern und nicht als reinen Text, um das Risiko von Content-
Scanning zu minimieren
• Weitgehend einzigartige, aber falsch formatierte URLs in jeder E-Mail, die Scanning-Tools verwirren
können
• Einzigartige Bitcoin-Adresse in jeder E-Mail, aufgeteilt in mehrere Teile innerhalb des HTML-Codes
(ähnlich der auf Seite 21 beschriebenen „base href“-Split-Methode), um wiederum die Risiken des
Musterabgleichs zu minimieren
• Verwendung eines eingebetteten QR-Code-Bildes für die Bitcoin-Adresse
Diese Elemente tauchten konsequent in einer großen Anzahl von E-Mails auf, was darauf
hindeutet, dass bei der Vorbereitung und Durchführung der Kampagne eine Automatisierung
NSFW verwendet wurde. Es zeigt auch, wie einfach es ist, gestohlene Daten zu monetarisieren. Bei
der Überprüfung der Bitcoin-Wallet im Zusammenhang mit einem kürzlich erfolgten Sextortion-
Betrug fand das Cofense Research-Team heraus, dass deren Wert etwa 26.000 US-Dollar
betrug. Laut Bitcoin Who‘s Who (Stand vom 22. Januar 2019) hatten die Top 50 der im
Zusammenhang mit Sextortion-Betrug gemeldeten Bitcoin-Wallets fast 93 Bitcoin erhalten –
zum Zeitpunkt der Verfassung dieses Berichts etwas mehr als 481.000 US-Dollar5.
BERICHT ZU PHISHING-BEDROHUNGEN UND MALWARE: 2019COFENSE MALWARE-BERICHT 11
BOMBENDROHUNGEN
Natürlich machen nicht alle Erpressungskampagnen von jugendfreien Inhalten
Gebrauch. Bombendrohungs-E-Mails machten im Dezember 2018 Schlagzeilen, als
eine massive Kampagne Evakuierungen auslöste und zur tagelangen Auslastung der
Gefahrenabwehr und Polizeikräfte führte. Glücklicherweise handelte es sich um leere
Drohungen. Aber mit Phrasen wie „Sie sollten jetzt aufmerksam zuhören“ und „Bewahren
Sie Ruhe“ als Betreff erregten die E-Mails große Aufmerksamkeit. Cofense sammelte
und untersuchte einige dieser E-Mails. Wir stellten fest, dass sie sich in den wichtigsten
Details voneinander unterschieden, um die Erkennung zu erschweren, und von
Junk-E-Mail-Konten auf Domains stammen, die wahrscheinlich kompromittiert wurden.
SICH ENTWICKELNDE BEDROHUNGSTAKTIKEN
Jedes Jahr identifiziert unser Intelligence-Team neue bzw. wiederauflebende TTPs und das Cofense Phishing Defense Center analysiert
Millionen von E-Mails, die von Kunden gemeldet wurden. Zwischen März 2018 und März 2019 wurde 1 von 7 gemeldeten E-Mails, die
dem Phishing Defense Center gemeldet wurden, als bösartig bestätigt. Jede von ihnen hatte technische Kontrollen umgangen. Einige
der Taktiken und Techniken, die verwendet wurden, um Malware zuzustellen und die Erkennung durch Schutztechnologien zu umgehen,
waren simpel und kombinierten ein solides Verständnis der Technologie mit einem kreativen Ansatz. Andere spielten die Technologie
gegen sich selbst aus und machten böswillige Absichten für die meist automatisierte Analyse undurchschaubar.
MALWARE-ZUSTELLUNGSMETHODEN
Bei sämtlicher über bösartige Anhänge zugestellter Malware beobachtete Cofense in den letzten 12 Monaten eine starke
Präferenz für die Ausnutzung der Sicherheitslücke CVE-2017-11882. Während in den vergangenen Jahren bösartige Makros
die vorherrschende Zustellungsmethode darstellten, nutzten 45 % aller bösartigen Anhänge, die von Cofense Intelligence im
vergangenen Jahr analysiert wurden, diese CVE-Schwachstelle aus, um Malware zuzustellen. Während dieses Zeitraums machten
bösartige Makros 22 % der Malware-Zustellungsmethoden aus.
Wir bewerten dies als ein weiteres Beispiel für Schwachstellen-Trends, die sich periodisch abwechseln. Angreifer haben diese
CVE-Schwachstelle massenhaft ausgenutzt. Je mehr Betroffene diese Schwachstelle patchen und auf ältere Versionen von
Microsoft Office verzichten, umso mehr ist zu erwarten, dass die Popularität dieser Taktik nachlassen wird.
BERICHT ZU PHISHING-BEDROHUNGEN UND MALWARE: 2019COFENSE MALWARE-BERICHT 12
CVE-2017-11882 ermöglicht es einem Bedrohungsakteur, eine Schwachstelle im Microsoft Equation Editor auszunutzen und beliebigen
Code auszuführen. Microsoft Equation Editor ist eine ältere Anwendung, in der im Gegensatz zu den neuesten Microsoft-Programmen
viele Einschränkungen und Schutzfunktionen fehlen. Bedrohungsakteure können mehrere OLE-Objekte verketten, um einen Pufferüberlauf
zu erzeugen. Dieser Pufferüberlauf kann anschließend dazu genutzt werden, beliebige Befehle auszuführen, die meistens den Download
und die Ausführung einer bösartigen Datei beinhalten. Diese Schwachstelle kann bei fast jeder Version von Microsoft Office ausgenutzt
werden, die derzeit von Unternehmen verwendet wird, und ist nicht auf RTF-Dokumente beschränkt. Sie wird jedoch am häufigsten bei
RTF-Dokumenten verwendet, da das Dateiformat automatische OLE-Objektaktualisierungen ermöglicht, sobald die Datei geöffnet wird.
Auf diese Weise muss das Opfer lediglich einen Mausklick ausführen, damit der Bedrohungsakteur den Angriff starten kann.
Threadkit ist eine RTF-Datei, die von einem Builder erstellt wird, der denselben Namen trägt. Dokumente werden instrumentalisiert,
um drei verschiedene CVE-Schwachstellen auszunutzen, darunter CVE-2017-11882. Threadkit testet die Schwachstellen abwechselnd
aus, bis sich eine erfolgreich gegen Microsoft Office ausnutzen lässt. Die anderen CVEs, die es standardmäßig ausnutzt, sind
CVE-2017-8570 und CVE-2018-0802.
FRAGWÜRDIGE
Verwendete Anhangserweiterung Anhangsarchiverweiterung
DATEIERWEITERUNGEN
Obwohl bei Phishing-Kampagnen reguläre
Dokumente am häufigsten als Anhang
vorkamen, machten Archivdateien fast 25 %
der bösartigen Anhänge aus. Eine Aufteilung
der häufig verwendeten Archivtypen wird
rechts angezeigt und gibt einen Überblick Dokumente (45,6%)
über die Dateitypen, die am E-Mail-Gateway Archiv (24,6%)
in jeder Netzwerkumgebung blockiert werden Ausführbare Dateien (14,2%) zip (75,5%) ace (2%)
sollten. Einige dieser Archivtypen haben im Java-basiert (14%) iso (9,2%) z/7z (1,8%)
üblichen Geschäftsbetrieb wahrscheinlich keine Skripte (0,9%) tar/gz (5%) rar (1,5%)
wirkliche Verwendung. Durch das Blockieren Abkürzungen (0,5%)
arj (4,8%)
von Archivtypen, die keinem legitimen Zweck
dienen, können Unternehmen Risiken verringern.
Abbildung 7: Erweiterung der angehängten Abbildung 8: Erweiterung der angehängten
Datei, die für die Malware-Zustellung zwischen Archivdateien, die mittels Phishing zwischen
April 2018 und März 2019 verwendet wurde. April 2018 und März 2019 zugestellt wurden.
BERICHT ZU PHISHING-BEDROHUNGEN UND MALWARE: 2019COFENSE MALWARE-BERICHT 13
UNGEWÖHNLICHE ANHANGSTYPEN
Um die Anhangstypenkontrollen sicherer E-Mail-
Gateways zu umgehen, verwenden Bedrohungsakteure
häufig neuartige Dateitypen, um Nutzlasten zu verteilen.
Als in Windows 10 die Dateiverarbeitung für ISO-
Dateien geändert wurde, bot dies eine Gelegenheit
für Bedrohungsakteure, ihren Fokus weg von ZIP- oder
RAR-Dateien zu verlagern, die von Gateway-Lösungen
routinemäßig überprüft werden. Zwischen August 2018
und Februar 2019 beobachtete Cofense böswillige
ISO-Dateien, die Gateways umgehen konnten,
einschließlich Proofpoint – etwa 3 Jahre, nachdem die
ISO-Dateiverarbeitung geändert wurde. Im April 2019
beobachtete Cofense, wie Angreifer ISO-Dateien in IMG-
Dateien umbenannten, wodurch Malware erfolgreich
über ein Proofpoint-Gateway übertragen werden konnte.
Abbildung 9: Ein ISO-Dateianhang, der die Sicherheitskontrollen umgehen soll.
INSTALLATION-AS-A-SERVICE
Warum sollte man sich mit der Vorbereitung einer Spam-Kampagne oder der Manipulation von Websites mithilfe von Exploit-Kits
die Mühe machen? Jetzt können Sie einfach bezahlen und Ihre Malware auf einem oder mehreren Computern überall auf der
Welt installieren lassen. Niemand hat sich 2018 das Geschäftsmodell „Installation-as-a-Service“ (IaaS) mehr zu eigen gemacht als
Emotet. Trotz seiner Heredität als modularer Banking-Trojaner wurde Emotet selten als solcher eingesetzt. Vielmehr wurde dessen
Verwendung als eine Zwischeninstanz verbreitet, mit der andere Malware nachgeladen wurde. Im letzten Jahr gab es nicht nur
einen Anstieg von Emotet-Kampagnen, sondern auch von solchen Kampagnen, die zur Installation von speziell dafür vorgesehenen
Banking-Trojanern wie TrickBot, IcedID und QakBot führten.
BERICHT ZU PHISHING-BEDROHUNGEN UND MALWARE: 2019COFENSE MALWARE-BERICHT 14
Diese Art von Infrastruktur bietet Angreifern viele Vorteile, darunter folgende:
• Eine scharfer Fokus auf ein einzelnes Fachgebiet, der es Angreifern ermöglicht, ihr Geschick zu verfeinern, ohne sich zu verzetteln
• Gezielte Installationen
• Garantierte Zustellung für den Käufer
• Garantierte Einnahmen für den Verkäufer
Die Emotet-Bande scheint lieber als Zwischeninstanz bzw. Nachlader denn als Banking-Trojaner zu agieren. Emotets Entwicklung in
den letzten 12 Monaten wird ausführlich im Abschnitt „Entwicklung der wichtigsten Malware-Typen“ dieses Berichts beschrieben.
BRUTE-FORCING
Dieser neuartige Angriffsvektor gewann Ende 2018 und bis ins Jahr 2019 an Popularität. Brute-Forcing umfasst anhaltende
Angriffe auf RDP-Dienste (Remote Desktop Protocol), die Zugang zum Internet haben. Das Konzept besteht darin, immer wieder
den Benutzernamen und das Kennwort eines RDP-Dienstes zu erraten, bis die Skripts nichts mehr zum Raten haben, der Host ihre
Verbindungsversuche blockiert oder die Anmeldung erfolgreich ist. Durch Brute-Force-Angriffe wurden verschiedene Malware-Typen
zugestellt, jedoch war Ransomware der überwältigende Favorit, darunter SamSam, GlobeImposter, GandCrab und CrySiS.
ERKENNUNGS-UMGEHUNGSTECHNIKEN
23. Autor: Derivat von Leo Davidson
Jedes Jahr wird eine Flut an neuen Spielzeugen für Akteure mit kriminellen • Typ: DII Hijack
Neigungen verzeichnet: kostenlose Tutorials, Malware-Builder und Malware- • Methode: IFileOperation
Zustellungskits. Dabei werden häufig alte Fehler und Schwachstellen • Ziel(e): \system32\pkgmgr.exe
ausgenutzt. Allein die Menge dieser Spielzeuge kann neue Patches und • Komponente(n): DismCore.dll
Korrekturen überwältigen. Im Laufe des letzten Jahres erlebte Cofense • Implementierung: ucmDismMethod
Intelligence das Wiederaufleben älterer Malware, die frei verfügbare, gut • Funktioniert ab: Windows 7 (7600)
dokumentierte Techniken und Tools einsetzte, um die Erkennung zu umgehen • Behoben in: nicht behoben
und ihre Aktivitäten zu verschleiern. Häufig waren auch Änderungen in
C2, angepasste URLs und solche mit begrenzter Verwendung und die
Verwendung von stets populären, stark verschleierten Makros. Abbildung 10: Beschreibung der Schwachstelle
auf GitHub, die von der neuen Ave_Maria-Malware
missbraucht wird.
BERICHT ZU PHISHING-BEDROHUNGEN UND MALWARE: 2019COFENSE MALWARE-BERICHT 15
Die Verwendung von Open-Source-Tools und -Informationen spiegelt sich in der starken Abhängigkeit von PowerShell-Skripten
wider, für die es zahlreiche Verschleierungs-Tutorials und Skriptgeneratoren gibt. Zuvor nutzten Phishing-Kampagnen, die
PowerShell-Skripte verwenden, minimale Verschleierung als Teil von Kampagnen mit hohem Volumen, um Malware wie Ammyy
Admin, Banload, Client Maximus, Ursnif oder URLZone herunterzuladen. Kürzlich haben Angreifer PowerShell in einer Vielzahl
von Kampagnen mit geringem Volumen verwendet. Diese Vielfalt ist keine Überraschung – öffentlich verfügbare Tools und
Taktiken werden häufig in Kampagnen mit geringem Volumen verwendet, da sie so leicht beschaffen und vervielfältigt werden
können. Durch das Herunterladen eines PowerShell-Skripts mit einer verschleierten eingebetteten Datei können Angreifer
Netzwerkschutzmechanismen umgehen, die normale ausführbare Dateien erkennen würden.
Ausführbare Dateien, die das .NET-Framework verwenden, sind ebenfalls häufiger Malware-Familien, die in
geworden. Auch sie können die automatische Erkennung erschweren. Diese Kampagnen mit geringem
ausführbaren Dateien dienen oft als Nachlader, die in der Lage sind, mehrere Volumen eingesetzt werden.
andere Malware-Binärprogramme zu enthalten oder herunterzuladen. Im 7 %
letzten Jahr war in über 70 % der Fälle, in denen ausführbare .NET-Dateien ein 14 % 23 %
Binärprogramm heruntergeladen haben, das heruntergeladene Binärprogramm ein
Image, das eine eingebettete ausführbare Datei enthielt. Da es sich bei der Datei 14 % 15 %
um ein legitimes Image handelt, untersuchen die meisten Antiviren-Systeme (AV)
die Datei anders und der Download umgeht erfolgreich das AV-System. Auf diese 7 % 7 %
Weise kann die ausführbare .NET-Datei die eingebettete Malware extrahieren, in 7 % 7 %
den Arbeitsspeicher laden und ausführen, ohne dass das AV-System dies bemerkt.
LokiBot Dark Comet RAT
Cofense konnte darüber hinaus einen Anstieg bei der Manipulation von Dateien
Pony NanoCore RAT
beobachten, mit dem Ziel, deren Inhalt in PowerShell-Skripten mit eingebetteten
ausführbaren Dateien und in den Image-Dateien, die von ausführbaren .NET- AZORult Remcos RAT
Dateien heruntergeladen wurden, zu verbergen. Einige Bedrohungsakteure nutzten FormGrabber Hawkeye Keylogger
eine andere Form der Dateimanipulation aus, bei der sie Dateien erstellten, die XRAT
defekt zu sein schienen, sodass sie einige Schutzmechanismen umgehen konnten. Abbildung 11: Der Prozentsatz der
Malware-Familien, die über PowerShell in
Diese Manipulation wird verwendet, um Erkennung zu vermeiden, wenn Dateien
einzigartigen Kampagnen mit geringem
heruntergeladen, geöffnet oder sogar als Anhänge versendet werden. Volumen zugestellt werden.
BERICHT ZU PHISHING-BEDROHUNGEN UND MALWARE: 2019COFENSE MALWARE-BERICHT 16
Ein weiteres Beispiel für Innovation: Cofense Intelligence hat eine Zunahme von Phishing-Kampagnen beobachtet, bei denen
bösartige Nutzlaststandorte mit Kurz-URL-Diensten wie Bitly verschleiert wurden. Die Kampagnen verwenden häufig ein Microsoft
Word-Dokument, das CVE-2017-11882 ausnutzt, um eine Nutzlast von einer Website herunterzuladen, die über eine verkürzte URL
verschleiert und aufgerufen wird. Bedrohungsakteure machen sich die Tatsache zunutze, dass Kurz-URL-Dienste selten blockiert
werden und den wahren Standort einer bösartigen Nutzlast verschleiern. Dadurch kann der wahre Standort die URL-Inhaltsfilterung
sowie andere Sicherheitsmaßnahmen umgehen. Bitly selbst ist nicht grundsätzlich bösartig und wird verwendet, um Links für viele
legitime Websites zu hosten –, das macht den Gedanken, es zu missbrauchen, für Bedrohungsakteure umso attraktiver.
Bösartige Bitly-Links, die pro Tag im Durchschnitt verwendet werden.
April 2018 Dezember 2018 März 2019
Abbildung 12: Die Verwendung bösartiger Bitly-Links ging im Dezember 2018 schlagartig hoch und ist seitdem weiterhin weit verbreitet.
BERICHT ZU PHISHING-BEDROHUNGEN UND MALWARE: 2019COFENSE MALWARE-BERICHT 17
ECHTE PHISHING-ANGRIFFE, DIE DURCHKAMEN
In diesem Jahr wurden die TrickBot- und Emotet-Botnets anspruchsvoller und gefährlicher. Cofense hat beobachtet, wie mehrere
Emotet-Kampagnen in den Posteingängen der Nutzer gelandet sind. Durch den Wechsel von einfachen Textblock-E-Mail-Ködern
zu gut gestalteten Fälschungen, wobei häufig echte E-Mails von kompromittierten Benutzern verwendet und Vorlagen auf der
Grundlage legitimer E-Mails generiert werden, sind sie viel effektiver geworden. Kürzlich nutzte TrickBot Social-Engineering,
um Opfer dazu zu bringen, Malware herunterzuladen, die sich als ein „Plugin“ ausgab, das zum Anzeigen eines im Web
gehosteten Dokuments erforderlich sei.
Wenn wir einen Gewinner für die geschickteste
Erkennungs-Umgehungstechnik nennen müssten, wäre
es der Zombie-Phishing-Angriff. Cofense beobachtete
einen neuen Ansatz bei dieser bekannten Technik:
eine Zombie-Phishing-Kampagne, bei der Betrüger
kompromittierte E-Mail-Konten stahlen und die
Posteingänge dieser Konten dazu nutzen, um auf
längst vergessene E-Mail-Konversationen mit einem
Phishing-Link zu antworten. Da der E-Mail-Betreff für
das Opfer eine Relevanz besitzt, wird er bzw. sie
wahrscheinlich auf den Link klicken. Und wer würde
jemals auf den Gedanken kommen, dass ein legitimer
E-Mail-Verkehr unter Menschen, die sich kennen, zur Abbildung 13: Ein Zombie-Phishing-Angriff, der einen inaktive E-Mail-Konversation
Malware-Zustellung missbraucht werden könnte? wieder aufleben lässt.
In Kombination mit anderen Techniken – beispielsweise bösartigen Inhalten, die in Cloud-Sharing-Diensten wie Dropbox,
OneDrive oder Sharepoint.com gehostet werden – kann der Zombie-Phish Inline-Technologiekontrollen neutralisieren.
BERICHT ZU PHISHING-BEDROHUNGEN UND MALWARE: 2019COFENSE MALWARE-BERICHT 18
MISSBRAUCH VON CLOUD FILESHARING-DIENSTEN
Auch hier wird die Cloud zum Angriffsvektor. Bedrohungsakteure wissen, dass Unternehmen in technische Kontrollen investieren,
um Malware zu identifizieren, zu analysieren und zu entfernen, die an E-Mails angehängt ist. Sie wissen auch, dass Unternehmen auf
File-Sharing-Plattformen wie Dropbox und Google angewiesen sind, die nicht routinemäßig von vielen Unternehmen blockiert werden.
Benutzer sind oft mit dem Herunterladen von Inhalten von diesen „vertrauenswürdigen“ Speicherorten vertraut. Viele von uns verlassen
sich beispielsweise für unseren täglichen Geschäftsbetrieb auf Office365. Es sollte keine Überraschung sein, dass es sich mittlerweile
um einen der am häufigsten missbrauchten Cloud-Services handelt.
Infolgedessen sehen die Teams von Cofense Phishing Defense Center und Cofense Intelligence häufig den Missbrauch dieser
Filesharing-Plattformen, um bösartige Inhalte zu hosten und zu verbreiten, einschließlich „legitimer“ Links zu den in die Phishing-
E-Mail eingebetteten Inhalten. Dies macht es für automatisierte URL-Analysetools schwierig, festzustellen, ob der Link bösartig ist,
insbesondere wenn Benutzer Anmeldeinformationen eingeben müssen. Da die Akzeptanz von Dropbox, OneDrive oder SharePoint
für gutartige Geschäftszwecke zunimmt, fällt es Technologien immer schwerer, Gutes von Schlechtem zu unterscheiden. Automatisierte
Steuerelemente kennzeichnen diese Dienste in der Regel nicht als bösartig. Schlimmer noch, die Filesharing-Plattformen scheinen nicht
in der Lage oder nicht willens zu sein, das Problem zu lösen.
PHISHING-E-MAILS, DIE CLOUD FILESHARING
Unter anderem sind Cloud Filesharing und sein Missbrauch oft kostenlos
SERVICES NUTZEN
und automatisierbar und erfordern keine technischen Fähigkeiten. Melden in % des Cloud-Dienstes
Anzahl
Sie sich einfach für ein Konto an – oder laden Sie eine PDF-Datei mit Phish (9.445)
einem Phishing-Link hoch. Für diejenigen, die über ausreichende technische 5.211 55 %
Sharepoint
Kenntnisse verfügen, bieten viele dieser Dienste APIs an, um die Freigabe
OneDrive 1.965 21 %
und das Hochladen von Dateien zu automatisieren. Sobald ein Angreifer
seine Pipeline eingerichtet hat, kann er Phishing-E-Mails en masse erstellen Sharefile 912 10 %
und senden. Wenn das Sicherheitsteam den Angriff entdeckt, ist es für den WeTransfer 514 5%
Angreifer ein Leichtes, ein anderes Konto zu erstellen, ein paar Parameter 408 4%
Dropbox
zu optimieren und wieder mitzumischen.
Egnyte 238 3%
Zwischen März 2018 und März 2019 analysierte das Cofense Phishing
Google Docs 197 2%
Defense Center 9.445 Phishing-E-Mails, die Cloud-Filesharing-Dienste nutzten,
um eine Schadsoftware zu liefern. Sharepoint.com belegt den ersten Platz
unter den Schwerstmissbrauchten, dicht gefolgt von OneDrive. Abbildung 14: Sharepoint war der am häufigsten missbrauchte
Cloud-Filesharing-Dienst, den Cofense beobachtete.
BERICHT ZU PHISHING-BEDROHUNGEN UND MALWARE: 2019COFENSE MALWARE-BERICHT 19
GEOLOKALISIERUNGSFÄHIGE SOFTWARE
Es ist heute üblich, dass Bedrohungsakteure Phishing-E-Mails zustellen, deren Software sich je nach Aufenthaltsort des Empfängers
unterschiedlich verhalten. So könnte beispielsweise einem Benutzer in einem Land gutartige und einem Benutzer in einem anderen
Land bösartige Inhalte zugestellt werden. Oder es werden je nach Standort des Ziels unterschiedliche Malware abgerufen und
bereitgestellt. Wir sprechen von der Nutzung von IP/Geolokalisierung.
Diese Taktik hilft auch, Analysen durch Sicherheitstools oder menschliche Forscher zu verhindern. Wenn ein Bedrohungsakteur
beispielsweise weiß oder vermutet, dass bestimmte Cloud-basierte Sicherheitstools verwendet werden, werden gutartige Inhalte an
die IP-Adressen des bekannten Sicherheitsherstellers – oder allgemeiner an die IP-Bereiche bestimmter Cloud-Hosting-Provider –
übermittelt. Sobald die E-Mail als sicher gilt, wird sie durchgelassen und die bösartige Software wird zugestellt.
Beispiel: Brasilianische Ziele. Von den US-
Wahlen als Phishing-Ziel inspiriert wurden
bei den brasilianischen Wahlen 2018 E-Mails
versendet, die das IBOPE (Brasilianisches Institut für
öffentliche Meinung und Statistik) imitierten. Diese
Kampagne nutzte mehrere Phishing-Narrativen und
Geolokalisierungstechniken zum Thema Wahlen,
um brasilianische Nutzer anzusprechen. Sobald
der Benutzer eine bösartige Archivdatei über den
eingebetteten Link oder Anhang heruntergeladen
hat, würden die Remote-Hosts, die Dateien für
eine weitere Infektion geliefert haben, nur noch
an Benutzer liefern, die sich in Brasilien befinden.
Andere Benutzer wurden zu Google.com umgeleitet.
Durch die enge Ausrichtung auf nur beabsichtigte
Opfer erschwerte die Kampagne internationalen Abbildung 15: Bild des E-Mail-Inhalts, der für brasilianische Benutzer IBOPE imitiert.
Forschern die Identifizierung und Verteidigung.
BERICHT ZU PHISHING-BEDROHUNGEN UND MALWARE: 2019COFENSE MALWARE-BERICHT 20
In einer anderen Kampagne – diesmal ein Credential-Phishing – erhielt ein
Cofense-Kunde in Brasilien E-Mail-Anhänge, die gutartig schienen, aber ein
wenig nach Phish rochen. Tiefere von Menschen durchgeführte Analysen
ergaben, warum. Wenn ein Analyst seiner Workstation eine brasilianische
IP-Adresse gab, verhielt sich der Anhang anders, stellte eine Verbindung
zur Software-Infrastruktur her und lud ein bösartiges Skript herunter. Obwohl
das Skript nicht ausgeführt wurde, ergaben weitere Analysen weitere
„Standortvalidierungsprüfungen“. Nach etwas genaueren Untersuchungen
fanden wird die Gefahrenindikatoren.
Angreifer wenden diese Technik nicht nur auf die Malware-Bereitstellung
an. Die Verwendung von Traffic-Fehlleitungen, IP-Bereichsfiltern und
Geolokalisierung wurde beim Credential Phishing beobachtet. Im folgenden Abbildung 16: Credential-Phishing-E-Mail mit Verlinkung zu
einer geolokalisierungsfähigen gefälschten Anmeldeseite.
Beispiel analysierte Cofense eine E-Mail mit einem HTML-Anhang.
Nach dem Klicken auf den Link „Dokument anzeigen“ wird der Empfänger zu einer gefälschten Microsoft-Anmeldeseite geleitet, auf der
der Benutzername des Opfers automatisch eingebettet ist (in diesem Fall test.victim@customerdomain.com). Obwohl diese E-Mail alle
Merkmale eines einfachen Credential Harvesting Phish aufweist, zeigt sie ein ungewöhnliches Verhalten, wenn Zeichen in das Passwortfeld
eingegeben und übermittelt werden.
Bei genauerer Betrachtung des Quellcodes konnte der Analyst feststellen, dass der Phish nur
dann eingereicht wird, wenn der Benutzer versucht, von einem bestimmten Ort, in diesem Fall
Mexiko, auf das Dokument zuzugreifen. Dies wurde mit einer Geolokalisierungssuche erreicht:
Abbildung 18: Verwendung der Geolokalisierungssuche im Anmeldeseitencode.
Abbildung 17: Fehlermeldung wird
angezeigt, wenn nicht von der
Zielgeolokalisierung gesendet.
BERICHT ZU PHISHING-BEDROHUNGEN UND MALWARE: 2019COFENSE MALWARE-BERICHT 21
DER CAPTCHA PHISH
Phishing-E-Mails haben damit begonnen,
CAPTCHA-Technologie zu nutzen, die ironischerweise
entwickelt wurde, um Bots zu blockieren. In diesem
Beispiel wird der einfache CAPTCHA-Mechanismus
gegen Computer mit legitimer Inhaltsanalyse
eingesetzt. Es ist ein weiterer Weg, um technische
Kontrollen zu umgehen.
Ungeachtet der schlechten Grammatik
erfordert dieser Phish, dass der Benutzer den
CAPTCHA-Ausdruck eingibt und übermittelt.
Die Benutzer werden dann zur Phishing-Site für
Anmeldeinformationen weitergeleitet.
Abbildung 19: Verwendung von CAPTCHA zur Überprüfung der
menschlichen Interaktion.
AUSNUTZEN DER HTML-STRUKTUR
Bedrohungsakteure nutzen ihr Wissen über
HTML seit langem, um die E-Mail-Abwehr zu
täuschen. Techniken wie zerofont und Unicode
bidirektional gibt es schon seit einiger Zeit und
Bedrohungsakteure lernen dazu. In einer sich
abzeichnenden Ausweichtaktik verwenden die
Akteure das Base-Href-Splitting, um Inhaltsscanner
zu verwirren. Hier ist ein Beispiel, das wie ein
einfacher Credential Phish aussieht.
Abbildung 20: E-Mail mit verschiedenen Techniken,
einschließlich Textauffüllung und Base href Split-Methode –
Inhalt wird im Client entsprechend angezeigt.
BERICHT ZU PHISHING-BEDROHUNGEN UND MALWARE: 2019COFENSE MALWARE-BERICHT 22
Weitere Analysen ergaben eine Reihe von Techniken, um die Bereitstellung von bösartigen Inhalten sicherzustellen. Darunter:
• Stark auffüllen von HTML mit verstecktem Garbage Text „wd6w3df1w2wfv“ zwischen jedem Buchstaben, um die Keyword-Erkennung
zu unterbrechen.
• Mit der Split-Methode „base href“ werden die URL-Parameter (ap@victim.com) von der Basisdomain (helloo-4.azurewebsites.net)
getrennt, um die Standardabwehr weiter zu verwirren. E-Mail-Scanner analysieren oft nur die Base href-Domain, die die vertrauenswürdige
Microsoft-Hostingsite „azurewebsites.net“ ist.
• Ein weiterer hinterhältiger Trick ist die Umkehrung des zweiten Schrägstrichs im Standard-https:// durch „https:/\“. Dies kann dazu führen, dass
ein E-Mail-Scanner den Link ignoriert, aber moderne Browser sind in der Lage, den „Tippfehler“ zu erkennen und automatisch zu beheben.
ENTWICKLUNG DER WICHTIGSTEN MALWARE-TYPEN
EMOTET IST DOMINANT
Der Emotet-Trojaner erschien erstmals im Jahr 2014 als Banken-Malware, hat sich aber seitdem zu einem komplexen Botnetz entwickelt,
das mehrere Funktionen ausführt. Heute gilt er als eine der größten Bedrohungen in der Malware-Landschaft. Die dahinter stehenden
Bedrohungsakteure arbeiten bewusst daran, ihren Betrieb zu erweitern und zu monetarisieren. Im Laufe des letzten Jahres beobachtete
Cofense bemerkenswerte Veränderungen an der Emotet-Malware und ihrem Botnetz.
Typische Bedrohungszeitleiste
Die vorherrschenden Übermittlungsmechanismen für Emotet ist eine E-Mail mit einem Office-Dokument mit Makros, einem Nachrichtentext,
der einen Link enthält, oder einer PDF-Datei mit einem Link. Für Nachrichten, die einen Link im Textkörper oder Anhang enthalten, führt die
URL in der Regel zum Herunterladen eines makroaktivierten Dokuments. Die endgültige Emotet-Binärdatei wird über die Makros im Dokument
abgerufen.
Emotet installiert sich dann auf dem Computer, mit einem eindeutigen Namen, der aus einer eingebetteten Wortliste generiert wird, basierend
auf den Attributen des infizierten Computers. Anschließend werden Daten vom Host gesammelt, z. B. E-Mail-Anmeldeinformationen, E-Mail-
Kontaktlisten und E-Mail-Signaturblöcke. In der zweiten Hälfte des Jahres 2018 begann Emotet auch, E-Mails zu exfiltrieren und abzugreifen, um
sie als Vorlagen für zukünftige Kampagnen zu verwenden. Da diese Daten weitergegeben werden, verwenden die Akteure das Konto eines
kompromittierten Benutzers, um schädliche E-Mails an die Kontaktliste dieses Benutzers zu senden.
BERICHT ZU PHISHING-BEDROHUNGEN UND MALWARE: 2019COFENSE MALWARE-BERICHT 23
Emotet ist modular aufgebaut und zieht bei Bedarf zusätzliche Dienstprogramme ab. Es ist bekannt, dass die Anmeldeinformationen
von Computern innerhalb desselben Netzwerks durchbrochen wurden und sich seitlich verbreiten. Dies erschwert die Bemühungen,
die Infektion zu beseitigen, sobald eine einzelne Person innerhalb einer Organisation getroffen wird. Neben der Fähigkeit von Emotet,
Hosts zu kompromittieren, scheinen die Akteure im Hintergrund viele hochwertige Infektionen an andere Gruppen zu verkaufen. Im
vergangenen Jahr haben wir festgestellt, dass Emotet unter anderem als Lader für TrickBot, QakBot und BokBot fungierte. Häufig fällt
bei diesen Sekundärinfektionen Ransomware ab, um zusätzliche Einnahmen zu generieren.
Emotet-Infrastruktur
Das Emotet-Botnetz besteht aus zwei unterschiedlichen Gruppen. Diese sind als Epoche 1 und Epoche 2 bekannt. Während die
zugrunde liegende Malware identisch ist, nutzt jede Epoche einen eigenen RSA-Schlüssel sowie C2-Infrastruktur. Bei der Überprüfung
der C2-Interaktionen von zwei Clients in jeder Epoche wird schnell klar, dass es eindeutige Gruppen innerhalb des Botnets gibt.
Abbildung 21: Emotet-Botnet-Infrastruktur aus zwei unterschiedlichen „Epochen“.
BERICHT ZU PHISHING-BEDROHUNGEN UND MALWARE: 2019COFENSE MALWARE-BERICHT 24
Frühere Versionen des Botnets würden mit ihrem C2 über eine GET-Anforderung mit einem
codierten Cookie-Wert mit einer IP ohne Pfad kommunizieren. Dies wurde vor kurzem in einen
POST mit Formulardaten geändert und kann aus 1 bis 4 variablen Wörter in einem Pfad bestehen.
Der offensichtliche Grund für diese Änderung ist, die Erkennung und die Bemühungen der Forscher,
die den Botnet-Code emulieren, zu beeinträchtigen.
Stufe 1 C2 für das Botnet kann sich täglich in der Regel bis zu 60 Mal ändern. Diese verteilte und
sich ständig weiterentwickelnde Architektur erschwert die Koordination von Takedowns. Es gibt eine
große Anzahl von Tier-1-Hosts, mit viel mehr Ebenen, was das Tracking viel schwieriger macht. Die
Anzahl der täglich genutzten C2-Werte ist im vergangenen Jahr gestiegen, wahrscheinlich aufgrund
der schnellen Expansion des Botnetzes selbst. Obwohl es nicht möglich ist, eine genaue Anzahl
aktiver Bots anzugeben, kann Cofense definitiv feststellen, dass wir seit Anfang 2018 mindestens
678.000 einzigartige Infektionen gesehen haben.
Emotet setzt bei der Bereitstellung seiner Software auf kompromittierte Seiten. Einige hosten das bösartige Dokument, das von
Klick-Links oder eingebetteten Makros heruntergeladen wird. Andere hosten die eigentliche Emotet-Binärdatei. Es gab Tage,
an denen über 500 einzigartige Domains auf einmal registriert wurden, was darauf hindeutet, dass die Akteure die Zeit oder
das Geld haben, diese Gefährdungsrate für neue Hosts aufrechtzuerhalten, die täglich um viele weitere erweitert wird.
Entwicklung der E-Mail
Für den größten Teil des Jahres 2018 blieben die E-Mail-Vorlagen, die Emotet liefern, ziemlich generisch und lieferten immer die
endgültige Software über eine der oben beschriebenen Standardmethoden. In den letzten sechs Monaten hat sich ein rascher
Wandel vollzogen, möglicherweise als Reaktion auf die wachsende Anzahl von Sicherheitsanbietern, die sich gegen Emotet
verteidigen. Zu den jüngsten Änderungen gehören:
• Entfernen des automatisch generierten Nachrichten-ID-Feldes innerhalb des Vorlagencodes. Verteidiger nutzten das
Nachrichten-ID-Feld als einfache Möglichkeit, Emotet-Nachrichten herauszufiltern. Das Entfernen dieses generierten Feldes
bewirkt, dass das Relay ein weiteres hinzufügt, wodurch Verteidigungstechnologien nicht erkennen können, dass eine Nachricht
an eine Emotet-Kampagne gebunden ist.
• Als Waffe eingesetzte JS-Anhänge. Dies ist für Emotet nicht standardmäßig und scheint ein Test für die Zustellbarkeit zu sein.
• Zip-Anhänge. Durch das Zippen der Anhänge können Software einige Gateways umgehen.
• Passwortgeschützte Zip-Archive. Die Verwendung der AES-Verschlüsselung ist neu, da Standard-Windows-Bibliotheken sie
nicht dekomprimieren können. Dies bedeutet jedoch, dass sie wahrscheinlich auch die meisten Gateway-Technologien umgeht,
sodass der Endbenutzer ein Programm wie 7zip verwenden muss, um den Anhang zu öffnen.
BERICHT ZU PHISHING-BEDROHUNGEN UND MALWARE: 2019COFENSE MALWARE-BERICHT 25
Die Akteure hinter dem Emotet Botnet sind geschickt und extrem geschäftstüchtig. Sie bevorzugen langsame, bemessene
Änderungen an ihrer Produktionsumgebung sowie die kontinuierliche Erprobung von Gateway-Bypass-Techniken. Emotet ist
eine ernsthafte Bedrohung für jede Organisation. Der Diebstahl von Anmeldeinformationen ist schlimm genug, aber es ist
nichts im Vergleich zu kompromittierten Computern, die an den Meistbietenden verkauft werden.
Während Emotet in der Bedrohungslandschaft dominierte, waren auch andere Malware-Familien sehr aktiv. Die folgenden
Vergleiche enthalten Emotet nicht – da es in den letzten Monaten so aktiv war, dass wir noch immer seine Größe und
Auswirkungen berechnen. Es genügt zu sagen, dass seine Ausbreitung und Verbreitung massiv sind.
Top-Malware-Familien, die über bösartige Anhänge außerhalb von Emotet bereitgestellt wurden.
2018–2019 2017–2018
LokiBot 35 % Andere 50 %
Andere 33 % Generischer remoter Trojaner 16 %
Pony 13 % Pony 15 %
Hawkeye Keylogger 6,5 % LokiBot 11 %
NanoCore 6,5 % Generischer Keylogger 4%
jRAT 6% Locky Ransomware 4%
Abbildung 22: Außerhalb von Emotet war Abbildung 23: In den Jahren 2017–2018 dominierte
LokiBot die führende Malware-Familie, die keine einzige Malware-Familie die Landschaft bei der
in den letzten 12 Monaten über bösartige Bereitstellung über bösartige Anhänge.
Anhänge bereitgestellt wurde.
BERICHT ZU PHISHING-BEDROHUNGEN UND MALWARE: 2019COFENSE MALWARE-BERICHT 26
TRICKBOT: EIN ONE-STOP-SHOP
TrickBot ist ein modularer Bank-Trojaner, ein Vorfahre von Dyer und vielleicht der mächtigste Banker, der die Welt heute
bedroht. Mit Modulen zur Steuerung von Seitenbewegungen, Rückverbindungen und Datendiebstahl bietet TrickBot allein
eine Anlaufstelle für kriminelle Aktivitäten. TrickBot hat zwei primäre Methoden, um Opfercomputer zu infiltrieren: Phishing und
Installation-as-a-Service.
TrickBot und früher Dyre wurden von mehreren Botnetzen, darunter Cutwail, Trik/Phorpiex und Necurs, mit der Verbreitung von
Phishing-Mitteilungen an bestimmte Länder oder Regionen zu senden und legitime, gehackte E-Mail-Konten zu missbrauchen.
Die Kampagnen weisen ein sehr ausgeprägtes Merkmalspaar auf:
• Sie verwenden unglaublich gut gemachte Imitationen von großen Finanzunternehmen oder Online-Diensten.
• Sie verwenden imitierte (oder Cybersquatting) Domains, um Legitimität zu vermitteln.
In von Cofense analysierten Beispielen waren die in der Phishing-Mitteilung enthaltenen URLs oft legitim und führten zu
Webseiten von Marken, die gefälscht wurden. Nur das Dokument wurde als Waffe eingesetzt. Als modularer Trojaner verfügt
Trickbot über ein diskretes Modul für die meisten schändlichen Aktivitäten. Die Module werden in einem fest programmierten
Ordner im Verzeichnis %appdata% der Opfer gespeichert.
Jedes Modul ist eine verschlüsselte ausführbare Datei, die entschlüsselt und anschließend in einen eigenen svchost.exe
Prozess injiziert wird.
Abbildung 24: Ein typischer Prozessbaum für eine TrickBot-Infektion.
BERICHT ZU PHISHING-BEDROHUNGEN UND MALWARE: 2019COFENSE MALWARE-BERICHT 27
Module
Anstatt die Funktionalität in eine Binärdatei zu kodieren, verwendet TrickBot
Module – im Wesentlichen eigenständige ausführbare Dateien, die in legitime
Windows-Prozesse eingefügt werden –, um seine lukrative Aktivität auszuführen.
Die meisten Module verfügen über eine separate Konfigurationsdatei, die in
%installdir%\data\_configs\ gespeichert ist, in der Regel mit einer
oder allen der folgenden: dpost, dinj und sinj.
• InjectDll32. Dies ist das Bank-Modul, das für die Injektion von DLLs in Chrome,
Firefox und andere unterstützte Browser verantwortlich ist, um Finanzdiebstahl zu erleichtern (z. B. Bankwesen).
• networkDll32. Verantwortlich für das Abrufen von Informationen über die lokale Netzwerktopologie.
Dies geschieht durch Ausführen systemeigener Befehle wie ipconfig und net.
• psfin32. Versucht zu identifizieren, ob PoS-Computer (Point of Sale) in der lokalen Domain vorhanden sind.
• pwgrab32. Die große Datendiebstahl-Engine. Dieses Modul stiehlt Informationen wie Logins, Verlauf und
Cookies von Browsern. Anfang 2019 erhielt dieses Modul ein Update, das den Diebstahl von Remote-
Anwendungsanmeldeinformationen wie Putty und RDP beinhaltete.
• shareDll32. Versucht, TrickBot zu verbreiten, indem er sich in die Admin$-Freigabe der entdeckten Remote-
Computer einloggt und eine frisch heruntergeladene Kopie von sich selbst in das Wurzelverzeichnis von
%systemdrive% (normalerweise C:) legt.
• systeminfo32. Stellt grundlegende Informationen über den Computer wieder her, z. B. Betriebssystemversion
und Bitness, Konten und GUIDs.
• tabDll32. Verwendet durchgesickerte NSA-Exploits, um sich zu verbreiten. Verwendet darüber hinaus eine
Bildschirmschließkomponente, um Windows-Sicherheitsfeatures zu deaktivieren und die Verwendung von
Mimikatz zu erleichtern.
• wormDll32. Versucht, sich über SMB zu verbreiten.
BERICHT ZU PHISHING-BEDROHUNGEN UND MALWARE: 2019COFENSE MALWARE-BERICHT 28
CHANITOR: VERWENDUNG VON ZEUS PANDA ANSTELLE VON URSNIF
Chanitor, auch bekannt als Hancitor, ist ein Downloader, der über Phishing-Kampagnen verbreitet wird. Einzigartig ist,
dass die Malware in der Regel makrobasiert ist. Anstatt ein Office-Makro herunterzuladen und eine zwischengeschaltete
Software auszuführen, verwenden die Akteure hinter Chanitor das Makro, um Code direkt in einen ausgehöhlten Prozess
einzuschleusen. Diese Art von dateiloser Infektion macht die Erkennung von Chanitor schwieriger.
Verbreitung
Chanitor gelangt über gut gestaltete Phishing-E-Mails mit URLs
auf einen Zielcomputer, die auf als Waffe einsetzbare Office-
Dokumente verweisen. Chanitor fälscht eine breite Palette von
Entitäten und Vertikalen.
Die abgerufenen Office-Dokumente enthalten feindliche Makros,
die entweder ein Beispiel von Chanitor dekodieren und direkt in
einen legitimen Windows-Prozess einschleusen oder ein Beispiel
von einem Remote-Host herunterladen und ausführen. Ersteres tritt
deutlich häufiger auf.
Aktivität
Chanitor ist ein Downloader – nicht einzigartig in Art oder
Ziel, aber die Art und Weise, wie er funktioniert, verdient eine
Diskussion. Seine Vorgehensweise ist es, zwei Instanzen von Pony
herunterzuladen, zusammen mit mindestens einer zusätzlichen
Software, meist einem Banker. Ursprünglich zugunsten von
Zeus Panda, hat Chanitor in jüngster Zeit eine Vorliebe für
Ursnif entwickelt und bedient ihn 2019 exklusiv. Abbildung 25: Ein Beispiel: eFax-Spoofing-E-Mail,
die Chanitor liefert.
BERICHT ZU PHISHING-BEDROHUNGEN UND MALWARE: 2019Sie können auch lesen
