EMOTET, UNO DEI TROJAN PIU’ PERICOLOSI.
DAL 2014 CONTINUA A MIETERE VITTIME IN RETE
GRAZIE ALL’ANELLO PIU’ DEBOLE DELLA SICUREZZA, L’UOMO
Un Alert del “Computer Emergency Readiness Team” degli Stati Uniti di qualche giorno fa mette in guardia i Governi, le Aziende pubbliche e private e ovviamente ogni utente della rete, da quello che è ritenuto uno dei più aggressivi e distruttivi trojan bancari tuttora in circolazione, Emotet, rivelatasi tra le più diffuse minacce del 2017. Trattandosi di un malware polimorfo riesce ad eludere il rilevamento delle soluzioni anti-malware basate sulle firme e anche se è classificato come trojan bancario gli effetti negativi che comporta sono molteplici.
Perdita di informazioni sensibili (credenziali, brevetti, disegni, …), interruzione delle funzionalità regolari dei computer, esborsi economici per il ripristino dei sistemi e danni alla reputazione delle vittime sono infatti gli aspetti negativi più tipici in questo tipo di infezione.
Emotet risulta attivo, ad oggi, per lo più negli Stati Uniti, le infezioni sono infatti costate alle amministrazioni pubbliche americane migliaia di dollari ad incidente, ma la possibilità che tale minaccia si propaghi anche negli altri paesi, data la capillarità e velocità di internet, non è da escludersi. Inoltre ha vari sistemi per mantenere la persistenza nei sistemi compromessi senza essere individuato, come l’utilizzo delle chiavi di registro, l’utilizzo di DLL modulari, l’injection nel codice dei processi legittimi in esecuzione (es. explorer.exe). Inoltre sa riconoscere di essere eseguito su una macchina virtuale e in tal caso genererebbe false evidenze.
Questa minaccia viene veicolata con il classico sistema della posta elettronica, a dimostrazione che la sensibilità degli utenti e delle aziende verso i rischi di questo mezzo è ancora troppo bassa. Proprio mentre scriviamo questo Alert Trend Micro pubblica un Tweet che recita “While employees are a company’s biggest asset, they can also be its weakest link when it comes to security” e poi “BEC (Business email compromise) has characteristics that make it hard to detect”. L’FBI ha segnalato che su oltre oltre 40.000 incidenti tra il 2013 e il 2016 le perdite economiche dovute a infezioni veicolate tramite email sono state di circa 5,3 miliardi di dollari e nel secondo trimestre del 2017 hanno avuto un incremento del 106 percento rispetto al primo semestre.
L’infezione con il trojan Emotet avviene, di norma, attraverso queste fasi:
1. Una mail di Phishing arriva all’utente e contiene un link che scarica un documento word (es “fattura”, “pagamento in ritardo”, …);
2. Una macro nel documento Word (che di solito l’utente non istruito abiliterà) tenta di eseguire la PowerShell;
3. Un comando della PowerShell scarica il payload (codice malevolo) di Emotet;
4. Il malware si insidia nel sistema compromettendolo. Quindi comunica al C&C la nuova compromissione;
5. Raccoglie quindi le credenziali di rete e tenta attacchi brute-force verso le altre macchine della rete;
6. Il malware cattura nomi e indirizzi email dal programma di posta del computer della vittima, quindi invia a questi altre mail di phishing;
7. L’infezione si diffonde. Il malware agisce sul sistema che ha infettato seguendo le istruzioni che gli verranno impartite da un C&C.
Per fare quanto descritto Emotet utilizza anche i codici e le funzioni derivate dalle seguenti cinque utility:
• NetPass (recupera le password di rete trovate sul computer della vittima)
• Outlook scraper (utilizza le informazioni che trova in Outlook e invia le email di phishing)
• WebBrowserPassView (recupera le password memorizzate nei browser)
• Mail PassView (recupera le password degli account di posta elettronica)
• Credential enumerator (trova le risorse condivise e tramite SMB tenta di forzare gli account degli utenti, compreso quello dell’amminisratore). Attraverso SMB Emotet può infettare interi domini di rete.
POSSIBILI SEGNI DI COMPROMISSIONE
Esempi di percorsi e nomi dei files
C:\Windows\11987416.exe
C:\Windows\System32\46615275.exe
C:\Windows\System32\shedaudio.exe
C:\Windows\SysWOW64\f9jwqSbS.exe
C:\windows\[Random Name].exe
C:\windows\syswow64\[Random Name].exe
C:\Users\<username>\AppData \Local\Microsoft\Windows\shedaudio.exe
C:\Users\<username>\AppData\Roaming\Macromedia\Flash Player\macromedia\bin\flashplayer.exe
Chiavi di Registro
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\[Random Name]
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\[Random Name]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\[Random Name]
MITIGATION
Come regola generale va ricordato che non è consigliabile che account con privilegi alti vengano utilizzati per accedere ai sistemi compromessi durante la riparazione perché ciò potrebbe velocizzare la diffusione del malware.
E’ invece consigliabile disabilitare le comunicazioni SMB in entrata tra i sistemi della rete oppure creare delle regole personalizzate per limitarne l’uso.
Utilizzare moderne soluzioni anti-malware che non si basino solo sul riconoscimento delle firme, anche per la posta elettronica, tenere inoltre tutti i sistemi sempre aggiornati e disattivare quelli che non possono più essere aggiornati.
E’ assolutamente fondamentale formare il personale dipendente nel riconoscere le email sospette ed allertare immediatamente il reparto IT. Importante è una formazione sulle regole base di sicurezza nell’utilizzo di internet e della posta elettronica e il comportamento da tenere contro il Social Engineering e il Phishing, quando individuati.
Attuare periodiche attività di riconoscimento delle email di phishing attraverso esercitazioni a sorpresa nei confronti dei dipendenti e reparti più vulnerabili dell’azienda.
Attuare sempre il principio del minimo privilegio, ovvero ogni utente deve disporre dei privilegi minimi per riuscire a compiere i propri compiti.
Utilizzare l’autenticazione della posta elettronica basata sulla tecnologia DMARC (Domain-Based Message Authentication, Reporting & Conformance), un meccanismo che si basa sui record DNS e le firme digitali per ridurre al minimo lo spam e rilevare l’eventuale “spoofing” degli indirizzi email.
In caso di infezione staccare immediatamente il sistema infetto dal resto della rete, cambiare tutte le password di rete e quelle di tutte le applicazioni a cui accedeva il pc infetto. Controllare le regole dell’account di posta e verificare che non disponga di regole per l’inoltro automatico delle email ad un indirizzo di posta esterno, ciò invierebbe dati aziendali al criminale e gli permetterebbe di utilizzare quell’account di posta e i messaggi carpiti per inviare email di phishing camuffate da mail legittime in quanto in risposta/inoltro di mail legittime.
Ricordiamo comunque che questo malware, come gran parte ormai delle minacce odierne, costituiscono sì il pericolo proprio, ma possono rappresentare un veicolo per altri malware, aumentando così la potenza dell’attacco. Dietro un’infezione moderna si nascondono spesso anche backdoor e rootkit che rendono il sistema infetto parte di Botnet, e quindi, sotto il totale controllo dell’attaccante che diventa spesso vittima ignara di ulteriori attacchi ad altri sistemi.