Anzeige

Anzeige

VERANSTALTUNGEN

DWX-Developer Week
24.06.19 - 27.06.19
In Nürnberg

4. Cyber Conference Week
01.07.19 - 05.07.19
In Online

IT kessel.19 – Der IT Fachkongress
04.07.19 - 04.07.19
In Messe Sindelfingen

ACMP Competence Days Berlin
11.09.19 - 11.09.19
In Stiftung Deutsches Technikmuseum Berlin, Berlin

MCC CyberRisks - for Critical Infrastructures
12.09.19 - 13.09.19
In Hotel Maritim, Bonn

Anzeige

Anzeige

Businessman Kämpfer

Die Schadsoftware Emotet hat einen langen Atem und sucht mit ständig neuen Updates besonders perfide nach Lücken im System. Michael Veit, IT-Security-Experte bei Sophos, sieht den Kampf dennoch nicht verloren und rät zu drei entscheidenden Präventionsmaßnahmen.

Der Trojaner Emotet ist darauf spezialisiert, Schutzbarrieren auszuweichen, immer wieder zuzuschlagen und sich zu vervielfältigen, um maximalen Schaden anzurichten. Dabei ist die Malware dank ständiger Updates, modularem Design und der Fähigkeit, verschiedenste Techniken zur Netzwerkunterwandung anzuwenden, für IT-Sicherheitsspezialisten besonders schwierig zu enttarnen.

Innerhalb seiner fünfjährigen Lebenszeit hat sich Emotet von einem „normalen“ Trojaner, der still und heimlich Bankdaten seiner Opfer entwendete, zu einer extrem raffinierten und breit gestreuten Plattform für die Verbreitung anderer Schadsoftware mit unterschiedlichsten Zielen entwickelt, die meist im Gepäck von Spam-Kampagnen anreist. In diesem Jahr waren das z.B. die beiden Banktrojaner TrickBot und Qbot, es gibt aber auch Verbindungen zu BitPaymer – eine hoch entwickelte Ransomware-Familie, die sechsstellige Summen erpresst.

Ende 2018 bewertete das BSI Emotet als „…ein Fall von Cyber-Kriminalität, bei der die Methoden hochprofessioneller APT-Angriffe adaptiert und automatisiert wurden. Schon im aktuellen Lagebericht des BSI haben wir von einer neuen Qualität der Gefährdung gesprochen und sehen uns durch Emotet darin bestätigt.“ (Quelle: BSI)

„Emotet ist weiterhin eine sehr gefährliche Bedrohung und die Auseinandersetzung mit dem Thema ist eine der größten Herausforderungen für Sys-Admins und Threat-Hunter“, ruft Michael Veit, Security Evangelist bei Sophos, ins Bewusstsein. „Vor diesem Hintergrund und angesichts der bisherigen Emotet-Schäden, die wir in unserer täglichen Arbeit erlebt haben, muss Prävention das erste Mittel der Abwehr sein. Und zwar konsequent umgesetzt.“

Sicherung ALLER Geräte

Vorsorge ist besser als Nachsorge. Sind Unternehmen oder Organisationen von Emotet betroffen, ist die Quelle der Infektion fast ausnahmslos ein ungesichertes Gerät im Netzwerk. Um das eigene Netzwerk zu überprüfen, bietet sich ein Netzwerk-Scan zur Auflistung jedes aktiven Geräts an. Taucht dort ein noch nicht erfasstes Gerät auf, muss es sofort mit den neuesten Updates versehen und in den Endpoint-Schutz aufgenommen werden.

Auch wenn Emotet zunächst einmal auf nicht gesicherte Geräte in einem Netzwerk begrenzt ist, wird die Schadsoftware ständig versuchen, auszubrechen und dabei ihre große Anpassungsfähigkeit nutzen. Je länger Emotet diese Versuche durchlaufen darf, desto höher ist die Wahrscheinlichkeit, dass es durch seine Modulation eine Lücke in der Abwehr findet, ausbricht und sich im gesamten Netzwerk verbreitet.

„Man kann unmöglich vorhersagen, worin letztendlich die entscheidende Lücke besteht“, so Veit, „es kann beispielsweise ein neuer Exploit oder eine Mutation sein, die Emotet vor Signatur-basiertem Anti-Virus temporär versteckt. Entsprechend sind moderne Abwehrtechnologien wie Deep Learning oder Exploit Prevention entscheidend.“

Patchen: so früh und oft wie möglich

Emotet ist das perfekte Einfallstor für andere Schadsoftware. Wer Emotet verhindert, stoppt auch seine Parasiten. Potentielle Sicherheitslücken sollte man deshalb mit Patches so schnell und oft wie möglich schließen.

Ein Negativbeispiel: Der SMB Exploit EternalBlue wurde 2017 durch WannaCry und NotPetya bekannt. Man kann fast nicht glauben, dass trotz dieser weltweiten Berichterstattung und fast zwei Jahre nachdem Microsoft sein Sicherheits-Bulletin MS17-010 ankündigte, das Patches zum Schutz davor beinhielt, die Schadsoftware immer noch profitablen Nutzer dieses Exploits macht. Einer dieser Malware-Parasiten, die Emotet sehr gern einschleppt, ist TrickBot. Lerneinheit aus diesem Beispiel: Patchen. Sofort, bitte.

PowerShell als Standardeinstellung blockieren

Emotet verschafft sich normalerweise Zugang via schädlicher Email-Anhänge. Das Ausbruchs-Szenario findet dann recht schnell in vier Akten statt:

  • Mitarbeiter erhält Email mit Word-Dokument im Anhang
  • Mitarbeiter öffnet Word-Dokument und wird in ein Makro hineingelockt
  • Makro löst die PowerShell aus, die Emotet herunterlädt

Emotet-Infektion beginnt

Ja, richtig. Der Mitarbeiter fällt etwas unglücklich auf. Aber: Der Hinweis zu Sensibilisierung und Schulung der Mitarbeiter gegenüber merkwürdigen Email-Anhängen greift hier zu kurz. Denn selbst bei bestgeschulter Aufmerksamkeit wird im unendlichen Email-Strom einmal der falsche Klick gemacht – und schon ist Emotet im Spiel. Deswegen sollten Administratoren den Nutzer-Zugang zur PowerShell blockieren – und das nicht nur via Richtlinie, sondern per Blacklisting. Das gilt zunächst einmal für alle Mitarbeiter, dann können individuell diejenigen Personen wieder Zugang bekommen, die PowerShell tatsächlich bei der täglichen Arbeit brauchen.

Weitere Informationen zur Abwehr von Emotet und TrickBot gibt Sophos hier.

www.sophos.de
 

GRID LIST
Bäume auf Münzstapeln

Nachhaltige Cyber Resilience für IKT-Anbieter

Unternehmen aus dem IT- und Telekommunikationssektor sind die Top-Angriffsziele für…
Adware

Social-Media-Suchmaschine spioniert Internetnutzer aus

Wajam wurde 2008 ursprünglich als Suchmaschine für soziale Netzwerke wie Facebook oder…
Baltimore road sign

Baltimore ist „Smart City ready“ – wirklich?

Der aktuelle Hackerangriff auf die Stadtverwaltung Baltimore schlägt hohe Wellen. Wieder…
Backdoor

Lautlos durch die Hintertür

Computer gehören zum Unternehmensalltag dazu. Das gilt für alle Branchen. Doch in dieser…
Tb W190 H80 Crop Int 90e25f6371557cf2c6640a3a91f3d38a

Spam-Trend: Jobsuchende im Visier von Cyberkriminellen

Im ersten Quartal 2019 griffen Cyberkriminelle Jobsuchende mittels ausgefeilter…
Hacker Bitcoin

Gefälschte Apps für Kryptowährungen in Google Play

Die Kryptowährung Bitcoin hat derzeit ihren höchsten Stand seit September 2018 erreicht.…