Emotet bei Heise
Auch die Besten trifft es wohl mal: https://www.heise.de/ct/artikel/Emotet-bei-Heise-4437807.html
Was ist Emotet und was macht diese Schadsoftware so gefährlich?
Hinter Emotet verbergen sich Cyber-Kriminelle, die die Methoden hochprofessioneller APT-Angriffe adaptiert und automatisiert haben. Durch das sogenannte „Outlook-Harvesting“ ist Emotet in der Lage, authentisch aussehende Spam-Mails zu verschicken. Dazu liest die Schadsoftware Kontaktbeziehungen und seit einigen Wochen auch E-Mail-Inhalte aus den Postfächern bereits infizierter Systeme aus. Diese Informationen nutzt sie automatisiert zur Weiterverbreitung, so dass die Empfänger fingierte Mails von Absendern erhalten, mit denen sie erst kürzlich in Kontakt standen.
Emotet verfügt zudem über die Möglichkeit, weitere Schadsoftware nachzuladen, sobald es einen Computer infiziert hat. Diese Schadprogramme ermöglichen den Angreifern etwa das Auslesen von Zugangsdaten und vollständigen Remote-Zugriff auf das System. Zuletzt wurde insbesondere der Banking-Trojaner „Trickbot“ nachgeladen, der sich u.a. über das Auslesen von Zugangsdaten (Mimikatz) und SMB-Schwachstellen (Eternal Blue/Romance) selbstständig in einem Netzwerk ausbreiten kann. Je nach Netzwerkkonfiguration ist es dabei zu Ausfällen kompletter Unternehmensnetzwerke gekommen. Die Schadprogramme werden aufgrund ständiger Modifikationen zunächst meist nicht von gängigen Virenschutzprogrammen erkannt und nehmen tiefgreifende Änderungen an infizierten Systemen vor. Bereinigungsversuche bleiben in der Regel erfolglos und bergen die Gefahr, dass Teile der Schadsoftware auf dem System verbleiben.
Das BSI verteilte seit einiger Zeit auch Warnmeldung und Maßnahmen zum Schutz vor Emotet.
Quelle: BSI
Was ist Emotet und was macht diese Schadsoftware so gefährlich?
Hinter Emotet verbergen sich Cyber-Kriminelle, die die Methoden hochprofessioneller APT-Angriffe adaptiert und automatisiert haben. Durch das sogenannte „Outlook-Harvesting“ ist Emotet in der Lage, authentisch aussehende Spam-Mails zu verschicken. Dazu liest die Schadsoftware Kontaktbeziehungen und seit einigen Wochen auch E-Mail-Inhalte aus den Postfächern bereits infizierter Systeme aus. Diese Informationen nutzt sie automatisiert zur Weiterverbreitung, so dass die Empfänger fingierte Mails von Absendern erhalten, mit denen sie erst kürzlich in Kontakt standen.
Emotet verfügt zudem über die Möglichkeit, weitere Schadsoftware nachzuladen, sobald es einen Computer infiziert hat. Diese Schadprogramme ermöglichen den Angreifern etwa das Auslesen von Zugangsdaten und vollständigen Remote-Zugriff auf das System. Zuletzt wurde insbesondere der Banking-Trojaner „Trickbot“ nachgeladen, der sich u.a. über das Auslesen von Zugangsdaten (Mimikatz) und SMB-Schwachstellen (Eternal Blue/Romance) selbstständig in einem Netzwerk ausbreiten kann. Je nach Netzwerkkonfiguration ist es dabei zu Ausfällen kompletter Unternehmensnetzwerke gekommen. Die Schadprogramme werden aufgrund ständiger Modifikationen zunächst meist nicht von gängigen Virenschutzprogrammen erkannt und nehmen tiefgreifende Änderungen an infizierten Systemen vor. Bereinigungsversuche bleiben in der Regel erfolglos und bergen die Gefahr, dass Teile der Schadsoftware auf dem System verbleiben.
Das BSI verteilte seit einiger Zeit auch Warnmeldung und Maßnahmen zum Schutz vor Emotet.
Quelle: BSI
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 459114
Url: https://administrator.de/contentid/459114
Ausgedruckt am: 21.11.2024 um 19:11 Uhr
27 Kommentare
Neuester Kommentar
Moin,
Wieso die Besten? Heise ist auch nur ein Betrieb wie tausende andere auch mit denselben Problemen mit "unbedarften" Anwendern und Admins. Sieht man, wenn die Story dazu liest.
Nur weil die mit der c't und der ix zwei Redaktionen haben, die einige Redakteure haben die etwas besser mit IT auskennen als der Rest der Mannschaft, heißt das nicht, daß die da bei der Sicherheit etwas mitzureden haben. Heise ist ein Riesenverlag bei den denen c't und ix nur ein Bruchteil dessen sind, was die machen.
Also nur ganz normaler Duchrschnitssbetrieb, was IT-Sicherheit angeht.
lks
PS: Bei meiner Zeit als in der Security-Truppe eines Providers war das auch so ähnlich: Wir waren diejenigen, die für die Sicherheit der Kunden verantwortlich waren und auch denen Lösungen erarbeitet haben. Für die Sicherheit dieses(internationalen) Providers war der Mutterkonzern verantwortlich und lies sich von uns auch nicht reinreden. Waren wir froh, daß die Security-Truppe Ihre eigene Infrastruktur hatte!
Moin,
wenn man den Artikel genau liest (und mit den eigenen Sicherheitseinstellungen vergleicht) fällt auf:
Der erste Angriff erfolgte über eine Mail, deren Anhang geöffnet wurde und(!) der zusäztlich noch aktiviert wurde
Und es wurden Rechner infiziert bei denen Benutzer mit Admin Rechten angemeldet waren.
Beides, das sagt der Redakteur selber, sind no-gos.
Gruss
wenn man den Artikel genau liest (und mit den eigenen Sicherheitseinstellungen vergleicht) fällt auf:
Der erste Angriff erfolgte über eine Mail, deren Anhang geöffnet wurde und(!) der zusäztlich noch aktiviert wurde
Und es wurden Rechner infiziert bei denen Benutzer mit Admin Rechten angemeldet waren.
Beides, das sagt der Redakteur selber, sind no-gos.
Gruss
Zitat von @sofifreak:
Bei einem Test mit Phish Thread von sophos, hatten wir auch erschreckende Ergebnisse.
Bei einem Test mit Phish Thread von sophos, hatten wir auch erschreckende Ergebnisse.
Dazu hatte ich gestern eine (grottenschlechte) Präsentation gesehen
Wie macht Ihr das, ohne den Mitarbeitern auf den Schlips zu treten, und wie sieht das die GL und BR?
Hi,
vom BSI gibt es auch ein paar Informationen und Warnungen zu Emotet:
Puh, da bin ich aber mal froh, dass ich hier nur MacOS und Linux Desktops habe. So weit ich weiß, sind die nicht von Emotet betroffen. Oder hat jemand andere Informationen dazu?
Gruß
max
vom BSI gibt es auch ein paar Informationen und Warnungen zu Emotet:
- Aktuelle Information zur Schadsoftware Emotet
- warnt vor gezielten Ransomware-Angriffen auf Unternehmen
- zum Schutz vor Emotet und gefährlichen E-Mails im Allgemeinen
Puh, da bin ich aber mal froh, dass ich hier nur MacOS und Linux Desktops habe. So weit ich weiß, sind die nicht von Emotet betroffen. Oder hat jemand andere Informationen dazu?
Gruß
max
Zitat von @max:
Puh, da bin ich aber mal froh, dass ich hier nur MacOS und Linux Desktops habe. So weit ich weiß, sind die nicht von Emotet betroffen. Oder hat jemand andere Informationen dazu?
Puh, da bin ich aber mal froh, dass ich hier nur MacOS und Linux Desktops habe. So weit ich weiß, sind die nicht von Emotet betroffen. Oder hat jemand andere Informationen dazu?
Dafür gibt es genügend andere Malware.
Manches ist sogar Cross-Platform.
Und man sollte sich natürlich nicht in Sicherheit wägen, weil man Open- oder Libreoffice statt Microsoft office verwendet. Es gibt da diverse Schädlinge, die auch dafür ausgelegt sind.
lks
Dazu hatte ich gestern eine (grottenschlechte) Präsentation gesehen
Wie macht Ihr das, ohne den Mitarbeitern auf den Schlips zu treten, und wie sieht das die GL und BR?
Wie macht Ihr das, ohne den Mitarbeitern auf den Schlips zu treten, und wie sieht das die GL und BR?
BR und GF waren informiert. Es hatte keine arbeitsrechtlichen Konsequenzen.
Und in unserer Branche, tendiert die Affinität soweit gegen Null, das andere Massnahmen noch weniger helfen.
Puh, da bin ich aber mal froh, dass ich hier nur MacOS und Linux Desktops habe.
Gerade erst einen Linux-Host beim Kunden gereinigt, der hatte sich durch ein verseuchtes allseits bekanntes Git-Repo einen Schädling eingefangen. Auch dort bist du nicht 100% gefeit vor Malware.
Moin
Da kam aber alles zusammen, was nicht sein sollte:
Hatten die keine desinfec't zur Hand?
Zitat von @Lochkartenstanzer:
Nur weil die mit der c't und der ix zwei Redaktionen haben, die einige Redakteure haben die etwas besser mit IT auskennen als der Rest der Mannschaft, heißt das nicht, daß die da bei der Sicherheit etwas mitzureden haben. Heise ist ein Riesenverlag bei den denen c't und ix nur ein Bruchteil dessen sind, was die machen.
Also nur ganz normaler Duchrschnitssbetrieb, was IT-Sicherheit angeht.
Nur weil die mit der c't und der ix zwei Redaktionen haben, die einige Redakteure haben die etwas besser mit IT auskennen als der Rest der Mannschaft, heißt das nicht, daß die da bei der Sicherheit etwas mitzureden haben. Heise ist ein Riesenverlag bei den denen c't und ix nur ein Bruchteil dessen sind, was die machen.
Also nur ganz normaler Duchrschnitssbetrieb, was IT-Sicherheit angeht.
Da kam aber alles zusammen, was nicht sein sollte:
- Mails mit .doc Anhängen kommen beim normalen Mitarbeiter an
- täglich werden solche Dinge bei heise online publiziert, 14 tägig in der c't und natürlich auch in der ix (weiß aber nicht, wie häufig die erscheint) - die Mitarbeiter lesen solche Sachen nicht und werden auch nicht von vorhandenen Kollegen mit Ahnung geschult
- normale Mitarbeiter anscheinend ohne jegliche Ahnung von IT und ohne jegliches Sicherheitsbewusstsein haben das Recht, Makros zu aktivieren
Die hinzugezogenen Administratoren reinigten diese Systeme oberflächlich und waren zunächst der Überzeugung, das Problem damit im Griff zu haben.
ein befreundeter Kollege mit Domain-Admin-Rechten versuchte dann wohl, mal schnell mittels der Windows-Version von Avira und dem Defender den Virus zu beseitigen Hatten die keine desinfec't zur Hand?
@Lochkartenstanzer,
alter Pessimist 😱
Ich weiß auch das es genug andere Malware gibt. Die kommen aber nicht so leicht auf MacOS oder Linux wie bei Windows durch ein Marko von Outlook.
Gruß
Max
alter Pessimist 😱
Ich weiß auch das es genug andere Malware gibt. Die kommen aber nicht so leicht auf MacOS oder Linux wie bei Windows durch ein Marko von Outlook.
Gruß
Max
Standard in vielen Betrieben - Auch wenn das nicht sein sollte. (ich predige den Leuten schon über ein Vierteljahrhundert.)
* täglich werden solche Dinge bei heise online publiziert, 14 tägig in der c't und natürlich auch in der ix (weiß aber nicht, wie häufig die erscheint) - die Mitarbeiter lesen solche Sachen nicht und werden auch nicht von vorhandenen Kollegen mit Ahnung geschult
Die Mitarbeiter im Verlag haben mit den Redaktionen der c't selten was zu tun. Kenn ich von anderen verlagen. Die verbringen Ihre Freizeit lieber mit anderen Sachen als die tausende veröffentlichungen zu lesen, die Ihr Verlag produziert.
* normale Mitarbeiter anscheinend ohne jegliche Ahnung von IT und ohne jegliches Sicherheitsbewusstsein haben das Recht, Makros zu aktivieren
Leider auch der übliche Standard in vielen Betrieben, weil die Admins nicht mit jedem "Pups" belästigt werden wollen. Bequenlichkeit geht halt meist vor Sicherheit, auch heute noch, wider besseres Wissen.
Die hinzugezogenen Administratoren reinigten diese Systeme oberflächlich und waren zunächst der Überzeugung, das Problem damit im Griff zu haben.
Standardfeherl von Admins, sich auf Schlangenöl zu verlassen, statt selbst die üblichen maßnahme "Backup erstellen, sauberes Restore von infektionsfreiem backup" zu wählen, das deutlich mehr zeit kostet und "unbequemer ist
ein befreundeter Kollege mit Domain-Admin-Rechten versuchte dann wohl, mal schnell mittels der Windows-Version von Avira und dem Defender den Virus zu beseitigen
Typisches Vorgehen bei vielen Firmen. man kann noch so oft predigen, was sinnvoll ist und welche Maßnahmen notwendig sind bei Infektionen (Quarantäne durch Netzwerlverbindung kappen, ggf. hartes ausschalten, u.a.), die Bequemlichkeit siegt meistens.
Hatten die keine desinfec't zur Hand?
Die neue (2019) ist noch noch zu frisch und bei der alten (2018) laufen die Scanner nciht mehr (oder so ähnlich).
Außerdem dauert ein desinfect-scan durchaus schon mal sehr viele Stunden, in denen der Mitabeiter doch weiterarbeiten muß.
lks
Realist trifft es eher.
Ich weiß auch das es genug andere Malware gibt. Die kommen aber nicht so leicht auf MacOS oder Linux wie bei Windows durch ein Marko von Outlook.
es reicht, mit vim eine Textdatei zu bearbeiten.
lks
Zitat von @max:
Ich weiß auch das es genug andere Malware gibt. Die kommen aber nicht so leicht auf MacOS oder Linux wie bei Windows durch ein Marko von Outlook.
Das sind keine Makros für Outlook, sondern meist in präparierten Word- bzw. Excel-Dateien.Ich weiß auch das es genug andere Malware gibt. Die kommen aber nicht so leicht auf MacOS oder Linux wie bei Windows durch ein Marko von Outlook.
Die Anhänge bekommst du auch mit dem Webmailer bzw. Thunderbird auf dein Windows.
Das solche Anhänge überhaupt bei Mitarbeitern ankommen, ist schon nachlässig. Das diese dann auch noch Makros aktivieren dürfen, ist ein nogo.
Dazu sei gesagt, das der Heise Verlag zB. unser lokales Telefonbuch herausbringt. Jemand der daran arbeitet muss kaum IT-Affin sein. Und grade da ist sehr viel Kundenkontakt im Spiel, wenn ich mir mal anschaue wieviel Werbung da drin ist.
Da sind dann auch viele kleine Unternehmen dabei, wenn sich eines davon den Mailserver oder einzelne Mailkonten hat uebernehmen lassen erklaert das auch den passenden Kontext in der verseuchten Mail.
Ich kann mir das gut vorstellen: Ein uebernommenes Kontro einer Firma, idealerweise vom GF oder einem Prokuristen, wird ueber einen laengeren Zeitraum einfach nur Ueberwacht. Das bekommt dann oft auch keiner mit. Da ergeben sich dann schnell Kontakte mit denen der Spammer in Kontakt treten kann.
Da sind dann auch viele kleine Unternehmen dabei, wenn sich eines davon den Mailserver oder einzelne Mailkonten hat uebernehmen lassen erklaert das auch den passenden Kontext in der verseuchten Mail.
Ich kann mir das gut vorstellen: Ein uebernommenes Kontro einer Firma, idealerweise vom GF oder einem Prokuristen, wird ueber einen laengeren Zeitraum einfach nur Ueberwacht. Das bekommt dann oft auch keiner mit. Da ergeben sich dann schnell Kontakte mit denen der Spammer in Kontakt treten kann.
Zitat von @bloodstix:
Außerdem gibts, wenn man wirklich paranoid ist auch noch "file" und andere Hilfen um Dateien zu identifizieren bevor man sie öffnet.
Außerdem gibts, wenn man wirklich paranoid ist auch noch "file" und andere Hilfen um Dateien zu identifizieren bevor man sie öffnet.
Auch dafür gibt es exploits
Ich komme selber aus der Unix-Ecke und nutze natürlich die tools auch. Ich wollte nur darauf hinweisen, daß man mit offenen Sinnen durch die Welt gehen sollte, damit sich nicht heimlich jemand anschleicht.
lks
Gerade gibts ja auch was bei vim
https://github.com/numirias/security/blob/master/doc/2019-06-04_ace-vim- ...
https://github.com/numirias/security/blob/master/doc/2019-06-04_ace-vim- ...
Zitat von @bloodstix:
Deswegen schau ich z.B. in fremde Skripts/Textdateien immer erst mit less. Und wenn auf einem System irgendwas aus einem "allseits bekannten verseuchten Repository" läuft: Selbst schuld? ... Das ist ja wohl keine "Sicherheitslücke".
Du liest also bei jedem noch so riesigen Code jede Zeile erneut bei jeder Version durch? Das Repo wurde durch einen Hacker gekapert und Code sehr unauffällig eingeschleust und verschlüsselt eingefügt. Sicher lässt sich alles absichern aber nicht jeder macht es, so ist das Leben. In dem Fall war das git repo die Sicherheitslücke da dieses eine Schwachstelle aufwies., Kennwörter etc waren lang und komplex genug.Deswegen schau ich z.B. in fremde Skripts/Textdateien immer erst mit less. Und wenn auf einem System irgendwas aus einem "allseits bekannten verseuchten Repository" läuft: Selbst schuld? ... Das ist ja wohl keine "Sicherheitslücke".
Ich kann mich auch mit der Schreibmaschine an einen See setzen und trotzdem in den See fallen und ersaufen, that's life.
Die Log-Dateien dokumentieren zwar übermäßig viele fehlgeschlagene Anmeldeversuche durch eine Brute-Force-Attacke auf das Passwort. Angesichts dessen Stärke erscheint es jedoch wahrscheinlicher, dass Emotet die Domain-Admin-Credentials etwa aus dem RAM eines infizierten Systems abgezogen hat. Unter anderem ist nicht auszuschließen, dass sich jemand zur Reinigung eines infizierten Systems als Domain Admin angemeldet hat. Das wäre einer der Kardinalfehler, die man unbedingt vermeiden sollte.
Denke das ist die wichtigste Lehre aus der Story
Denke das ist die wichtigste Lehre aus der Story
Das ist nur einer von vielen Kardinalfehlern. Der Zweite wäre, dass scheinbar alle Systeme ungehindert ins Internet funken dürfen. Wäre das nur über Proxy möglich, wären die Zugriffe auf Port 449 der Emotet-Server da draußen nicht möglich gewesen, weiterer Code wäre nicht nachgeladen worden. Offensichtlich gab es auch kein Mailgateway was eingehende Mails vor Ankunft auf dem Mailserver auf akive Makros geprüft könnte, das selbe kann man auch bei Download aus dem Browser über entsprechende Appliances machen (die zur Not auch HTTPS aufbrechen können). Eine Applocker-Policy, die verhindert hätte, dass Programme aus vom Benutzer beschreibbaren Verzeichnissen ausgeführt werden können, ist noch nicht ganz die Krone, aber dass die Benutzer dort mit lokalen Adminrechten arbeiten, ist sicher mindestens das Krönchen, die Krone ist natürlich, dass jeder Workstation-Admin Domain-Rechte hat. Office-Makros waren erlaubt. Für all das gibts bekannte Abwehrmaßnahmen, entsprechende Security Appliances für den Internet-Zugang, Applocker/Software Restriction/Safer, Tier-Modell, Red Forest, ... Muss man halt machen.
Naja, ob ein Proxy geholfen hätte? Wenn eine Malware über 443 Https verbindung zu einer "noch unverdächtigen" Domain aufbaut, wie willst man feststellen das es Malware ist die Code nachlädt? Selbst wenn man in die Payload reinschaut, mit obfuskierung kommt man auch an einer Inspektion vorbei.
Und Applocker hilft nicht gegen eingeschleusten Code - ist z.B. Notepad.exe erlaubt, kann diese eine cmd.exe launchen usw.
Warum hackt man eigentlich immer uf den Anwendern und Admins rum? Was ist mit der Software die all die Malware reinlässt? Warum nicht mal den Hersteller vom Officeprogramm und OS nicht mal in die Haftung nehmen?
Ein Sachbearbeiter macht halt den ganzen Tag ihm zugeschickte Dokumente auf und bearbeitet diese, wäre doch schön wenn er einfach nur seinen Job machen könnte.
Man bildet ja auch nicht jede sekritärin aus um Briefbomben zu erkennen, im Digitalej erwartem man es.
Fazit: Die Software ist ###e - der security voodoo drumherum kaschiert es nur.
MFG N-Dude
Und Applocker hilft nicht gegen eingeschleusten Code - ist z.B. Notepad.exe erlaubt, kann diese eine cmd.exe launchen usw.
Warum hackt man eigentlich immer uf den Anwendern und Admins rum? Was ist mit der Software die all die Malware reinlässt? Warum nicht mal den Hersteller vom Officeprogramm und OS nicht mal in die Haftung nehmen?
Ein Sachbearbeiter macht halt den ganzen Tag ihm zugeschickte Dokumente auf und bearbeitet diese, wäre doch schön wenn er einfach nur seinen Job machen könnte.
Man bildet ja auch nicht jede sekritärin aus um Briefbomben zu erkennen, im Digitalej erwartem man es.
Fazit: Die Software ist ###e - der security voodoo drumherum kaschiert es nur.
MFG N-Dude
Emotet macht seinen Erstkontakt mit seinen Controlservern über Port 449. Die Ausführung von cmd.exe, powershell.exe und powershell_ise.exe lässt sich per GPO leicht verhindern, nicht nur per Applocker, sondern auch z.B. per User Config - Admin Temp - System - Policy - List of disallowed applications.
Was deine Anklage gegen die Hersteller angeht: Es gibt keine fehlerfreie Software. Es wird immer Lücken geben. Aber es gibt Methoden, um die Anwender und Systeme vom Schlimmsten fernzuhalten.
Wenn du absolute Sicherheit willst, nimm eine mechanische Schreibmaschine mit Nylonfarbband. Und selbst da kann man noch das Papier ablesen.
Was deine Anklage gegen die Hersteller angeht: Es gibt keine fehlerfreie Software. Es wird immer Lücken geben. Aber es gibt Methoden, um die Anwender und Systeme vom Schlimmsten fernzuhalten.
Wenn du absolute Sicherheit willst, nimm eine mechanische Schreibmaschine mit Nylonfarbband. Und selbst da kann man noch das Papier ablesen.
Zitat von @1st1:
Was deine Anklage gegen die Hersteller angeht: Es gibt keine fehlerfreie Software. Es wird immer Lücken geben.
Was deine Anklage gegen die Hersteller angeht: Es gibt keine fehlerfreie Software. Es wird immer Lücken geben.
Im Prinzip ja. Aber die Lücken, über die die jetzige Malware reinkommt sind Konzeptionsfehler und schlecht designte Software und schludrige Programmierung. Es wird kaum unter dem Security-Aspekt entwickelt und und die Time-To-Market ist wichtiger als die Anwendersicherheit.
Aber es gibt Methoden, um die Anwender und Systeme vom Schlimmsten fernzuhalten.
Das ist bisher nur Symptom und nicht Ursachenbehebung.
lks