tomolpi
Goto Top

Emotet bei Heise

Auch die Besten trifft es wohl mal: https://www.heise.de/ct/artikel/Emotet-bei-Heise-4437807.html

Was ist Emotet und was macht diese Schadsoftware so gefährlich?

Hinter Emotet verbergen sich Cyber-Kriminelle, die die Methoden hochprofessioneller APT-Angriffe adaptiert und automatisiert haben. Durch das sogenannte „Outlook-Harvesting“ ist Emotet in der Lage, authentisch aussehende Spam-Mails zu verschicken. Dazu liest die Schadsoftware Kontaktbeziehungen und seit einigen Wochen auch E-Mail-Inhalte aus den Postfächern bereits infizierter Systeme aus. Diese Informationen nutzt sie automatisiert zur Weiterverbreitung, so dass die Empfänger fingierte Mails von Absendern erhalten, mit denen sie erst kürzlich in Kontakt standen.

Emotet verfügt zudem über die Möglichkeit, weitere Schadsoftware nachzuladen, sobald es einen Computer infiziert hat. Diese Schadprogramme ermöglichen den Angreifern etwa das Auslesen von Zugangsdaten und vollständigen Remote-Zugriff auf das System. Zuletzt wurde insbesondere der Banking-Trojaner „Trickbot“ nachgeladen, der sich u.a. über das Auslesen von Zugangsdaten (Mimikatz) und SMB-Schwachstellen (Eternal Blue/Romance) selbstständig in einem Netzwerk ausbreiten kann. Je nach Netzwerkkonfiguration ist es dabei zu Ausfällen kompletter Unternehmensnetzwerke gekommen. Die Schadprogramme werden aufgrund ständiger Modifikationen zunächst meist nicht von gängigen Virenschutzprogrammen erkannt und nehmen tiefgreifende Änderungen an infizierten Systemen vor. Bereinigungsversuche bleiben in der Regel erfolglos und bergen die Gefahr, dass Teile der Schadsoftware auf dem System verbleiben.

Das BSI verteilte seit einiger Zeit auch Warnmeldung und Maßnahmen zum Schutz vor Emotet.

Quelle: BSI

Content-ID: 459114

Url: https://administrator.de/contentid/459114

Ausgedruckt am: 21.11.2024 um 19:11 Uhr

Lochkartenstanzer
Lochkartenstanzer 06.06.2019 aktualisiert um 09:51:12 Uhr
Goto Top
Zitat von @tomolpi:

Auch die Besten trifft es wohl mal:

Moin,

Wieso die Besten? Heise ist auch nur ein Betrieb wie tausende andere auch mit denselben Problemen mit "unbedarften" Anwendern und Admins. Sieht man, wenn die Story dazu liest.

Nur weil die mit der c't und der ix zwei Redaktionen haben, die einige Redakteure haben die etwas besser mit IT auskennen als der Rest der Mannschaft, heißt das nicht, daß die da bei der Sicherheit etwas mitzureden haben. Heise ist ein Riesenverlag bei den denen c't und ix nur ein Bruchteil dessen sind, was die machen.

Also nur ganz normaler Duchrschnitssbetrieb, was IT-Sicherheit angeht.

lks

PS: Bei meiner Zeit als in der Security-Truppe eines Providers war das auch so ähnlich: Wir waren diejenigen, die für die Sicherheit der Kunden verantwortlich waren und auch denen Lösungen erarbeitet haben. Für die Sicherheit dieses(internationalen) Providers war der Mutterkonzern verantwortlich und lies sich von uns auch nicht reinreden. Waren wir froh, daß die Security-Truppe Ihre eigene Infrastruktur hatte! face-smile
sofifreak
sofifreak 06.06.2019 um 09:36:09 Uhr
Goto Top
Hallo,

es gibt Ihn leider in jedem Betrieb.

button

Bei einem Test mit Phish Thread von sophos, hatten wir auch erschreckende Ergebnisse.

Gruß Daniel
sabines
sabines 06.06.2019 um 09:55:12 Uhr
Goto Top
Moin,

wenn man den Artikel genau liest (und mit den eigenen Sicherheitseinstellungen vergleicht) fällt auf:
Der erste Angriff erfolgte über eine Mail, deren Anhang geöffnet wurde und(!) der zusäztlich noch aktiviert wurde
Und es wurden Rechner infiziert bei denen Benutzer mit Admin Rechten angemeldet waren.

Beides, das sagt der Redakteur selber, sind no-gos.

Gruss
sabines
sabines 06.06.2019 um 09:57:21 Uhr
Goto Top
Zitat von @sofifreak:

Bei einem Test mit Phish Thread von sophos, hatten wir auch erschreckende Ergebnisse.


Dazu hatte ich gestern eine (grottenschlechte) Präsentation gesehen face-wink
Wie macht Ihr das, ohne den Mitarbeitern auf den Schlips zu treten, und wie sieht das die GL und BR?
max
max 06.06.2019 um 09:59:07 Uhr
Goto Top
Hi,

vom BSI gibt es auch ein paar Informationen und Warnungen zu Emotet:


Puh, da bin ich aber mal froh, dass ich hier nur MacOS und Linux Desktops habe. So weit ich weiß, sind die nicht von Emotet betroffen. Oder hat jemand andere Informationen dazu?

Gruß
max
Lochkartenstanzer
Lochkartenstanzer 06.06.2019 aktualisiert um 10:08:56 Uhr
Goto Top
Zitat von @max:

Puh, da bin ich aber mal froh, dass ich hier nur MacOS und Linux Desktops habe. So weit ich weiß, sind die nicht von Emotet betroffen. Oder hat jemand andere Informationen dazu?

Dafür gibt es genügend andere Malware.

Manches ist sogar Cross-Platform.

Und man sollte sich natürlich nicht in Sicherheit wägen, weil man Open- oder Libreoffice statt Microsoft office verwendet. Es gibt da diverse Schädlinge, die auch dafür ausgelegt sind.

lks
sofifreak
sofifreak 06.06.2019 um 10:07:16 Uhr
Goto Top
Dazu hatte ich gestern eine (grottenschlechte) Präsentation gesehen face-wink
Wie macht Ihr das, ohne den Mitarbeitern auf den Schlips zu treten, und wie sieht das die GL und BR?

BR und GF waren informiert. Es hatte keine arbeitsrechtlichen Konsequenzen.

Und in unserer Branche, tendiert die Affinität soweit gegen Null, das andere Massnahmen noch weniger helfen.
139920
139920 06.06.2019 aktualisiert um 10:11:01 Uhr
Goto Top
Puh, da bin ich aber mal froh, dass ich hier nur MacOS und Linux Desktops habe.
Gerade erst einen Linux-Host beim Kunden gereinigt, der hatte sich durch ein verseuchtes allseits bekanntes Git-Repo einen Schädling eingefangen. Auch dort bist du nicht 100% gefeit vor Malware.
goscho
goscho 06.06.2019 aktualisiert um 10:11:07 Uhr
Goto Top
Moin
Zitat von @Lochkartenstanzer:

Zitat von @tomolpi:
Nur weil die mit der c't und der ix zwei Redaktionen haben, die einige Redakteure haben die etwas besser mit IT auskennen als der Rest der Mannschaft, heißt das nicht, daß die da bei der Sicherheit etwas mitzureden haben. Heise ist ein Riesenverlag bei den denen c't und ix nur ein Bruchteil dessen sind, was die machen.

Also nur ganz normaler Duchrschnitssbetrieb, was IT-Sicherheit angeht.

Da kam aber alles zusammen, was nicht sein sollte:

  • Mails mit .doc Anhängen kommen beim normalen Mitarbeiter an
  • täglich werden solche Dinge bei heise online publiziert, 14 tägig in der c't und natürlich auch in der ix (weiß aber nicht, wie häufig die erscheint) - die Mitarbeiter lesen solche Sachen nicht und werden auch nicht von vorhandenen Kollegen mit Ahnung geschult
  • normale Mitarbeiter anscheinend ohne jegliche Ahnung von IT und ohne jegliches Sicherheitsbewusstsein haben das Recht, Makros zu aktivieren

Die hinzugezogenen Administratoren reinigten diese Systeme oberflächlich und waren zunächst der Überzeugung, das Problem damit im Griff zu haben.
ein befreundeter Kollege mit Domain-Admin-Rechten versuchte dann wohl, mal schnell mittels der Windows-Version von Avira und dem Defender den Virus zu beseitigen face-big-smile face-big-smile face-big-smile

Hatten die keine desinfec't zur Hand?
max
max 06.06.2019 um 10:18:28 Uhr
Goto Top
@Lochkartenstanzer,

alter Pessimist 😱

Ich weiß auch das es genug andere Malware gibt. Die kommen aber nicht so leicht auf MacOS oder Linux wie bei Windows durch ein Marko von Outlook.

Gruß
Max
Lochkartenstanzer
Lochkartenstanzer 06.06.2019 aktualisiert um 10:22:20 Uhr
Goto Top
Zitat von @goscho:

  • Mails mit .doc Anhängen kommen beim normalen Mitarbeiter an

Standard in vielen Betrieben - Auch wenn das nicht sein sollte. (ich predige den Leuten schon über ein Vierteljahrhundert.)

* täglich werden solche Dinge bei heise online publiziert, 14 tägig in der c't und natürlich auch in der ix (weiß aber nicht, wie häufig die erscheint) - die Mitarbeiter lesen solche Sachen nicht und werden auch nicht von vorhandenen Kollegen mit Ahnung geschult

Die Mitarbeiter im Verlag haben mit den Redaktionen der c't selten was zu tun. Kenn ich von anderen verlagen. Die verbringen Ihre Freizeit lieber mit anderen Sachen als die tausende veröffentlichungen zu lesen, die Ihr Verlag produziert.

* normale Mitarbeiter anscheinend ohne jegliche Ahnung von IT und ohne jegliches Sicherheitsbewusstsein haben das Recht, Makros zu aktivieren

Leider auch der übliche Standard in vielen Betrieben, weil die Admins nicht mit jedem "Pups" belästigt werden wollen. Bequenlichkeit geht halt meist vor Sicherheit, auch heute noch, wider besseres Wissen.

Die hinzugezogenen Administratoren reinigten diese Systeme oberflächlich und waren zunächst der Überzeugung, das Problem damit im Griff zu haben.

Standardfeherl von Admins, sich auf Schlangenöl zu verlassen, statt selbst die üblichen maßnahme "Backup erstellen, sauberes Restore von infektionsfreiem backup" zu wählen, das deutlich mehr zeit kostet und "unbequemer ist

ein befreundeter Kollege mit Domain-Admin-Rechten versuchte dann wohl, mal schnell mittels der Windows-Version von Avira und dem Defender den Virus zu beseitigen face-big-smile face-big-smile face-big-smile

Typisches Vorgehen bei vielen Firmen. man kann noch so oft predigen, was sinnvoll ist und welche Maßnahmen notwendig sind bei Infektionen (Quarantäne durch Netzwerlverbindung kappen, ggf. hartes ausschalten, u.a.), die Bequemlichkeit siegt meistens.

Hatten die keine desinfec't zur Hand?

Die neue (2019) ist noch noch zu frisch und bei der alten (2018) laufen die Scanner nciht mehr (oder so ähnlich). face-smile

Außerdem dauert ein desinfect-scan durchaus schon mal sehr viele Stunden, in denen der Mitabeiter doch weiterarbeiten muß. face-smile

lks
Lochkartenstanzer
Lochkartenstanzer 06.06.2019 aktualisiert um 10:25:07 Uhr
Goto Top
Zitat von @max:

@Lochkartenstanzer,

alter Pessimist 😱

Realist trifft es eher.

Ich weiß auch das es genug andere Malware gibt. Die kommen aber nicht so leicht auf MacOS oder Linux wie bei Windows durch ein Marko von Outlook.

es reicht, mit vim eine Textdatei zu bearbeiten.

lks
goscho
goscho 06.06.2019 um 10:24:24 Uhr
Goto Top
Zitat von @max:
Ich weiß auch das es genug andere Malware gibt. Die kommen aber nicht so leicht auf MacOS oder Linux wie bei Windows durch ein Marko von Outlook.
Das sind keine Makros für Outlook, sondern meist in präparierten Word- bzw. Excel-Dateien.
Die Anhänge bekommst du auch mit dem Webmailer bzw. Thunderbird auf dein Windows.

Das solche Anhänge überhaupt bei Mitarbeitern ankommen, ist schon nachlässig. Das diese dann auch noch Makros aktivieren dürfen, ist ein nogo.
rana-mp
rana-mp 06.06.2019 um 11:07:17 Uhr
Goto Top
Dazu sei gesagt, das der Heise Verlag zB. unser lokales Telefonbuch herausbringt. Jemand der daran arbeitet muss kaum IT-Affin sein. Und grade da ist sehr viel Kundenkontakt im Spiel, wenn ich mir mal anschaue wieviel Werbung da drin ist.
Da sind dann auch viele kleine Unternehmen dabei, wenn sich eines davon den Mailserver oder einzelne Mailkonten hat uebernehmen lassen erklaert das auch den passenden Kontext in der verseuchten Mail.

Ich kann mir das gut vorstellen: Ein uebernommenes Kontro einer Firma, idealerweise vom GF oder einem Prokuristen, wird ueber einen laengeren Zeitraum einfach nur Ueberwacht. Das bekommt dann oft auch keiner mit. Da ergeben sich dann schnell Kontakte mit denen der Spammer in Kontakt treten kann.
bloodstix
bloodstix 06.06.2019 um 12:16:08 Uhr
Goto Top
Deswegen schau ich z.B. in fremde Skripts/Textdateien immer erst mit less. Und wenn auf einem System irgendwas aus einem "allseits bekannten verseuchten Repository" läuft: Selbst schuld? ... Das ist ja wohl keine "Sicherheitslücke".
Lochkartenstanzer
Lochkartenstanzer 06.06.2019 um 12:35:54 Uhr
Goto Top
Zitat von @bloodstix:

Deswegen schau ich z.B. in fremde Skripts/Textdateien immer erst mit less.

https://www.google.com/amp/s/www.computerworld.com/article/2851504/less- ...

face-smile
bloodstix
bloodstix 06.06.2019 um 13:02:43 Uhr
Goto Top
Solche Lücken wird man wohl in so ziemlich jedem Programm finden. "Einfach so" wird man eigentlich so gut wie nie Opfer von sowas. Außerdem gibts, wenn man wirklich paranoid ist auch noch "file" und andere Hilfen um Dateien zu identifizieren bevor man sie öffnet.
Lochkartenstanzer
Lochkartenstanzer 06.06.2019 aktualisiert um 13:09:36 Uhr
Goto Top
Zitat von @bloodstix:

Außerdem gibts, wenn man wirklich paranoid ist auch noch "file" und andere Hilfen um Dateien zu identifizieren bevor man sie öffnet.

Auch dafür gibt es exploits face-smile

Ich komme selber aus der Unix-Ecke und nutze natürlich die tools auch. Ich wollte nur darauf hinweisen, daß man mit offenen Sinnen durch die Welt gehen sollte, damit sich nicht heimlich jemand anschleicht.

lks
1st1
1st1 06.06.2019 um 13:18:51 Uhr
Goto Top
Na super, hier geht es um ein Security Thema und zu verlinkst zu computerworld über Google...
NetzwerkDude
NetzwerkDude 06.06.2019 um 13:58:10 Uhr
Goto Top
139920
139920 06.06.2019 aktualisiert um 14:44:10 Uhr
Goto Top
Zitat von @bloodstix:

Deswegen schau ich z.B. in fremde Skripts/Textdateien immer erst mit less. Und wenn auf einem System irgendwas aus einem "allseits bekannten verseuchten Repository" läuft: Selbst schuld? ... Das ist ja wohl keine "Sicherheitslücke".
Du liest also bei jedem noch so riesigen Code jede Zeile erneut bei jeder Version durch? Das Repo wurde durch einen Hacker gekapert und Code sehr unauffällig eingeschleust und verschlüsselt eingefügt. Sicher lässt sich alles absichern aber nicht jeder macht es, so ist das Leben. In dem Fall war das git repo die Sicherheitslücke da dieses eine Schwachstelle aufwies., Kennwörter etc waren lang und komplex genug.

Ich kann mich auch mit der Schreibmaschine an einen See setzen und trotzdem in den See fallen und ersaufen, that's life.
NetzwerkDude
NetzwerkDude 06.06.2019 um 15:17:13 Uhr
Goto Top
Die Log-Dateien dokumentieren zwar übermäßig viele fehlgeschlagene Anmeldeversuche durch eine Brute-Force-Attacke auf das Passwort. Angesichts dessen Stärke erscheint es jedoch wahrscheinlicher, dass Emotet die Domain-Admin-Credentials etwa aus dem RAM eines infizierten Systems abgezogen hat. Unter anderem ist nicht auszuschließen, dass sich jemand zur Reinigung eines infizierten Systems als Domain Admin angemeldet hat. Das wäre einer der Kardinalfehler, die man unbedingt vermeiden sollte.

Denke das ist die wichtigste Lehre aus der Story
1st1
1st1 07.06.2019 aktualisiert um 10:53:14 Uhr
Goto Top
Das ist nur einer von vielen Kardinalfehlern. Der Zweite wäre, dass scheinbar alle Systeme ungehindert ins Internet funken dürfen. Wäre das nur über Proxy möglich, wären die Zugriffe auf Port 449 der Emotet-Server da draußen nicht möglich gewesen, weiterer Code wäre nicht nachgeladen worden. Offensichtlich gab es auch kein Mailgateway was eingehende Mails vor Ankunft auf dem Mailserver auf akive Makros geprüft könnte, das selbe kann man auch bei Download aus dem Browser über entsprechende Appliances machen (die zur Not auch HTTPS aufbrechen können). Eine Applocker-Policy, die verhindert hätte, dass Programme aus vom Benutzer beschreibbaren Verzeichnissen ausgeführt werden können, ist noch nicht ganz die Krone, aber dass die Benutzer dort mit lokalen Adminrechten arbeiten, ist sicher mindestens das Krönchen, die Krone ist natürlich, dass jeder Workstation-Admin Domain-Rechte hat. Office-Makros waren erlaubt. Für all das gibts bekannte Abwehrmaßnahmen, entsprechende Security Appliances für den Internet-Zugang, Applocker/Software Restriction/Safer, Tier-Modell, Red Forest, ... Muss man halt machen.
Lochkartenstanzer
Lochkartenstanzer 07.06.2019 um 10:58:19 Uhr
Goto Top
Moin,

bei all dem darf man nicht vergessen, daß es auch Mitarbeiter gibt, die explizit auf sie einen Button klicken, nur um den Admins zu zeigen, daß sie geschlampt haben. Habe ich schon einmal erlebt, weil jemand dem "Mutterkonzern" zeigen wollte, daß deren Admins Ihr Handwerk nicht verstehen.

lks
NetzwerkDude
NetzwerkDude 07.06.2019 um 11:30:52 Uhr
Goto Top
Naja, ob ein Proxy geholfen hätte? Wenn eine Malware über 443 Https verbindung zu einer "noch unverdächtigen" Domain aufbaut, wie willst man feststellen das es Malware ist die Code nachlädt? Selbst wenn man in die Payload reinschaut, mit obfuskierung kommt man auch an einer Inspektion vorbei.

Und Applocker hilft nicht gegen eingeschleusten Code - ist z.B. Notepad.exe erlaubt, kann diese eine cmd.exe launchen usw.

Warum hackt man eigentlich immer uf den Anwendern und Admins rum? Was ist mit der Software die all die Malware reinlässt? Warum nicht mal den Hersteller vom Officeprogramm und OS nicht mal in die Haftung nehmen?
Ein Sachbearbeiter macht halt den ganzen Tag ihm zugeschickte Dokumente auf und bearbeitet diese, wäre doch schön wenn er einfach nur seinen Job machen könnte.
Man bildet ja auch nicht jede sekritärin aus um Briefbomben zu erkennen, im Digitalej erwartem man es.

Fazit: Die Software ist ###e - der security voodoo drumherum kaschiert es nur.

MFG N-Dude
1st1
1st1 07.06.2019 um 14:44:13 Uhr
Goto Top
Emotet macht seinen Erstkontakt mit seinen Controlservern über Port 449. Die Ausführung von cmd.exe, powershell.exe und powershell_ise.exe lässt sich per GPO leicht verhindern, nicht nur per Applocker, sondern auch z.B. per User Config - Admin Temp - System - Policy - List of disallowed applications.

Was deine Anklage gegen die Hersteller angeht: Es gibt keine fehlerfreie Software. Es wird immer Lücken geben. Aber es gibt Methoden, um die Anwender und Systeme vom Schlimmsten fernzuhalten.

Wenn du absolute Sicherheit willst, nimm eine mechanische Schreibmaschine mit Nylonfarbband. Und selbst da kann man noch das Papier ablesen.
Lochkartenstanzer
Lochkartenstanzer 07.06.2019 um 15:01:36 Uhr
Goto Top
Zitat von @1st1:

Was deine Anklage gegen die Hersteller angeht: Es gibt keine fehlerfreie Software. Es wird immer Lücken geben.

Im Prinzip ja. Aber die Lücken, über die die jetzige Malware reinkommt sind Konzeptionsfehler und schlecht designte Software und schludrige Programmierung. Es wird kaum unter dem Security-Aspekt entwickelt und und die Time-To-Market ist wichtiger als die Anwendersicherheit.

Aber es gibt Methoden, um die Anwender und Systeme vom Schlimmsten fernzuhalten.

Das ist bisher nur Symptom und nicht Ursachenbehebung.

lks