Con l’alert AL01/200925 il Computer Security Incident Response Team – Italia ha ufficializzato ciò di cui si mormorava già da alcuni giorni: il trojan Emotet è tornato a colpire anche nel nostro Paese.
Lo CSIRT ha individuato due campagne di phishing tramite le quali il malware viene distribuito.
La prima è caratterizzata da una e-mail scritta in italiano in cui oggetto è “ENEL ENERGIA: FATTURE” e sfrutta il senso di urgenza e curiosità dell’utente che dovesse riceverla per spingerlo ad aprire il file in formato DOC in allegato.
La seconda comprende un messaggio meno elaborato che contiene solo la password necessaria per scompattare l’archivio ZIP allegato. L’apertura dell’archivio da parte dell’utente non fa altro che avviare la catena di infezione del trojan Emotet.
Indice degli argomenti
Trojan Emotet: cos’è e dettagli tecnici
Emotet, lo ricordiamo, è uno fra i trojan più pericolosi mai creati e nel corso della propria esistenza si è evoluto sino a diventare estremamente distruttivo.
Ad oggi lo si può considerare un avanzato framework di distribuzione di altri trojan come TrickBot o QBot, nonché di pericolosi ransomware. Prende di mira generalmente le aziende, ma anche utenti privati possono essere coinvolti nelle massive campagne di spam utilizzate per distribuirlo.
Gli obiettivi principali del trojan Emotet sono:
- diffondersi sul maggior numero possibile di elaboratori;
- inviare e-mail maligne per ampliare ulteriormente la superficie di infezione;
- scaricare ed eseguire altro malware.
Il trojan Emotet è particolarmente insidioso in quanto è in grado di agire come un worm e diffondersi in maniera incontrollata all’interno delle reti locali, grazie alle complesse caratteristiche di anti-evasione e persistenza di cui è dotato.
Ad esempio, è in grado di individuare sandbox e virtual machine, con la possibilità di generare falsi indicatori per confondere gli analisti e ritardare il rilevamento.
Il design di Emotet è polimorfico e modulare, il che lo rende in grado di bypassare completamente la detection signature based e garantisce una completa flessibilità di utilizzo da parte dell’attaccante. Il trojan Emotet può inoltre ricevere update dal C&C server (il server di comando e controllo), permettendo la modifica delle caratteristiche operative e la distribuzione di altro malware in maniera difficilmente rilevabile.
Il veicolo primario tramite cui viene diffuso Emotet sono, come detto in precedenza, le campagne di spam. La conseguenza di ciò è che il primo step nella catena di infezione comporta l’interazione di un utente che, tramite tecniche di social engineering, viene spinto ad aprire un allegato in Microsoft Office.
In seguito all’apertura del file, il processo diviene completamente automatizzato. I file che vengono scaricati contengono codice VBA malevolo che viene eseguito.
Una fra le più comuni azioni del malware è quella di utilizzare WMI (Windows Management Instrumentation), tramite il codice VBA, per lanciare uno script PowerShell codificato che scarica il payload da un Web server gestito dai cyber criminali.
Il trojan Emotet, per permanere nel sistema, si copia all’interno della cartella %AppData% e cambia il valore autorun nel registro. Durante tutto il processo, il malware invia informazioni al server C&C ed infine resta in ascolto di istruzioni.
Le e-mail di spam utilizzate per diffondere il malware sono generalmente molto credibili e con informazioni che possano spingere l’utente a ritenerle reali.
Da sottolineare, inoltre, come, in seguito alla compromissione di un elaboratore, il trojan Emotet sia in grado di diffondersi autonomamente, sfruttando le vulnerabilità dei client che sono raggiungibili sulla rete. Fondamentale, quindi, tra le misure preventive, avere in essere un programma maturo di vulnerability management e patching.
Trojan Emotet: analisi di un attacco
Secondo any.run, al 5 ottobre 2020, il trojan Emotet, rilevato per la prima volta il primo luglio 2014 e originato dall’area ex sovietica, è il malware più diffuso a livello globale.
Si è simulata, nella sandbox any.run, l’interazione di una e-mail di spam contenente un link per il download di Emotet. Si è aperto il messaggio in Outlook, cliccato sul link in esso contenuto, scaricato il documento raggiungibile al link e quindi aperto il documento stesso.
Nell’immagine è possibile visionare i processi coinvolti:
Mitre Att&ck Matrix è in grado di fornire una visione d’insieme di quanto appena accaduto:
- esecuzione, sfruttando WMI, di script PowerShell;
- modifica di chiavi di registro e cartella di avvio per garantire la persistenza;
- evasione dei meccanismi di difesa, tramite installazione di certificato e modifiche al registro;
- discovery, con raccolta di informazioni sul sistema;
- movimenti laterali e comunicazioni col server C&C, tramite il download di file eseguibili da Internet.
Nel caso specifico, è possibile anche estrarre una serie di Indicators of Compromise (IoC) catalogabili in:
- drop di un file eseguibile:
- C:UsersadminI6oyxo0Uzbjt6qHn_ui_s.exe
- richieste DNS verso domini sospetti:
- riandutra.com
- bismarjeparamebel.com
- amyemitchell.com
- connessioni verso indirizzi IP sospetti o già segnalati come maligni:
- 191.6.196.95 (sospetto)
- 35.209.84.178 (sospetto)
- 12.163.208.58 (maligno)
- richieste HTTP/HTTPS verso FQDN sospetti o maligni:
- amyemitchell.com/themes/d3i/ (sospetto)
- bismarjeparamebel.com/u/XLP79IOXYBH/DyltoF9iMFazzncu/ (sospetto)
- riandutra.com/img/o9o/ (sospetto)
- 12.163.208.58/zdewx9KFZ/eZcJbikULNJALKKfnC/OpLA1FOR92hzs8/8WfQU0SDWs37WRwbi/ (maligno)
Come rimuovere il trojan Emotet dalla rete
A causa delle caratteristiche avanzate del trojan Emotet ed al suo design polimorfico, quando si tenta di rimuovere l’infezione è necessario procedere prendendo in considerazione tutta la rete e gli host raggiungibili dall’elaboratore oggetto dell’attacco, verificando che gli strumenti di protezione di base siano attivi e aggiornati (come ad esempio EDR, sistema antispam, sistema di protezione della navigazione web e via dicendo).
In seconda battuta, è opportuno distinguere gli elaboratori che sono stati infettati tramite l’interazione dell’utente con il malware, o che eseguono il malware stesso, e gli elaboratori sui quali è stato tentato successivamente senza successo il drop di Emotet. Il primo elaboratore compromesso eseguirà infatti il malware, che cercherà di diffondersi in maniera autonoma sulla rete, infettando altri computer.
Le conseguenze di questi tentativi di diffusione sono generalmente tre:
- i sistemi di protezione della rete identificano il primo computer infetto e lo isolano;
- il sistema di protezione dell’elaboratore verso cui il malware cerca di diffondersi lo rileva e procede alla cancellazione o alla messa in quarantena del file che viene droppato;
- l’azione di infezione di un altro elaboratore ha successo.
Per eliminare l’infezione alla radice è chiaramente necessario focalizzarsi sugli elaboratori che eseguono il trojan Emotet e non su quelli in cui il prodotto di endpoint protection rileva il file droppato e lo elimina.
Questi i più comuni step da seguire:
- identificare le macchine infette;
- disconnettere gli elaboratori infetti dalla rete;
- applicare le patch mancanti agli elaboratori presenti sulla rete;
- disabilitare le share amministrative;
- cambiare le credenziali di tutti gli account coinvolti nell’attacco;
- mettere in atto un serio piano di gestione di cyber security.
Fra gli strumenti che possono aiutare nell’identificazione degli elaboratori infetti, nel caso in cui si tema che la propria soluzione di endpoint protection non sia affidabile, è possibile fare riferimento a prodotti come Farbar Recovery Scan Tool o Sophos Source of Infection.
Software di tale fattura permettono di analizzare e monitorare i registri, i processi e i servizi dei computer presi in considerazione, alla ricerca di indicatori di compromissione.
Come prevenire un’eventuale infezione del malware
Prevenire e gestire minacce avanzate come Emotet non è certamente impresa facile. Si possono comunque individuare alcune best practice e linee guida:
- mantenere il software ed i sistemi operativi aggiornati alle ultime patch di sicurezza. I threat avanzati sfruttano exploit per diffondersi ed una rete che presenta vulnerabilità è sicuramente un target esposto a rischio elevato;
- educare e formare gli utenti, in modo che possano riconoscere le minacce e gli attacchi di social engineering;
- usare sistemi di autenticazione a due fattori, per rendere più difficile l’accesso ad account ed informazioni sensibili ad eventuali attaccanti;
- bloccare la ricezione via e-mail di allegati che sono comunemente associati con malware, come ad esempio ZIP, EXE, DLL, nonché di file cifrati;
- configurare e mantenere policy di web surfing stringenti, specialmente nei confronti di siti web recentemente registrati o non categorizzati;
- utilizzare dei sistemi di protezione degli endpoint e di monitoraggio di rete efficaci.