A equipe de resposta a incidentes da Varonis está rastreando um número sem precedentes de infecções por malware Emotet. O número de investigações simultâneas ativas da Emotet é três vezes maior que o limite anterior. Este post cobrirá indicadores de comprometimento, mitigações e como a Varonis pode ajudá-lo a detectar e interromper o Emotet em cada fase de um ataque.
Visão geral do Emotet
O Emotet, originalmente conhecido como um cavalo de Troia bancário, foi visto pela primeira vez em 2014. Seu objetivo principal era interceptar credenciais bancárias por meio de ataques man-in-the-browser. O Emotet evoluiu para um pacote de malware de uso geral e autoatualizado que também atua como carregador de cargas úteis como Qbot e Trickbot (que por sua vez carrega Ryuk e Mimikatz para um belo efeito de boneca russa).
Como o Emotet é polimórfico, isso torna a detecção baseada em regras um jogo de gato e rato composto pelo fato de que existem três botnets Emotet diferentes, cada um com sua própria infraestrutura de suporte.
Uma vez dentro da rede, o Emotet possui vários métodos para mover lateralmente, escalar privilégios, estabelecer persistência e exfiltrar dados. Felizmente, os modelos de ameaças com base no comportamento da Varonis podem detectar os primeiros sinais de comprometimento da Emotet, bem como o comportamento pós-intrusão.
Sequestro de linha
O Emotet rouba mensagens de e-mail e listas de contato das vítimas por meio de solicitações HTTP POST de volta ao servidor C2. O botnet então usa dados de e-mail roubados para se passar pelo remetente e “responder” às conversas existentes. Eles podem fazer isso falsificando o remetente ou, se tiverem controle total sobre a máquina da vítima, enviando o e-mail diretamente da parte confiável. Essa técnica faz com que o Emotet spam pareça legítimo e aumenta a probabilidade de uma nova vítima abrir um anexo malicioso.
A Varonis monitora as caixas de correio do Microsoft Exchange e do Exchange Online e pode detectar anexos de arquivos maliciosos que correspondem a um dicionário de padrões conhecidos usados em modelos de spam Emotet. Com as detecções baseadas em proxy do Edge, os clientes também podem detectar quando um usuário clica em um link dentro do corpo de um e-mail que resulta em um download malicioso do carregador Emotet. O perfil de comportamento de um usuário é construído em várias plataformas – desvios sutis no comportamento de e-mail combinados com eventos de logon suspeitos, conexões de rede e acesso a dados produzem alertas de alta fidelidade com poucos falsos positivos.
Movimento lateral
O Emotet possui uma variedade de módulos, ou plug-ins, que podem ser carregados dinamicamente de seu servidor C2 para estender a funcionalidade do malware. Há um módulo de envio de spam, um módulo de roubo de e-mail, um módulo bancário, etc. Você pode pensar nisso como adicionar um novo aplicativo ao seu telefone.
Um módulo para dedicar atenção especial é o módulo de movimento lateral, que permite a disseminação por meio de exploits SMB como EternalBlue ( MS17-010 ) e acessando compartilhamentos administrativos ocultos (ICP $, C $ e Admin $).
Embora o principal método de propagação do Emotet seja via SMB, foi descoberta uma nova técnica de movimento lateral que enumera as redes Wi-Fi próximas (usando a função WlanEnumInterfaces em wlanAPI.dll) e tenta se espalhar para clientes conectados.
Escalonamento de privilégios
Os invasores obtêm credenciais para contas privilegiadas usando ferramentas de código aberto bem conhecidas, procurando senhas armazenadas em texto simples e coletando credenciais do Active Directory. Depois que as credenciais administrativas são obtidas, o invasor pode adicionar um ou mais usuários a um grupo de administradores de domínio e carregar credenciais para serviços de armazenamento em nuvem.
Observando a atividade do sistema de arquivos, a Varonis detecta rapidamente quando as ferramentas de penetração conhecidas são salvas no disco ou quando um usuário procura arquivos com senhas ou outros dados confidenciais em compartilhamentos de arquivos.
Para reduzir as chances de que esses ataques sejam bem-sucedidos, Varonis destaca os alvos em potencial (por exemplo, contas administrativas associadas a um nome de entidade de serviço [SPN]) em um painel – reduzir a superfície de ataque no AD e em sistemas de arquivos ajuda a criar grupos de ransomware ‘ trabalhos mais difíceis. A Varonis também alertará quando uma conta for adicionada a um grupo administrativo.
Conclusão
O botnet da Emotet é a maior e mais sofisticada arma do mundo para espalhar malware, por isso é extremamente importante ter uma abordagem em várias camadas para a defesa, incluindo gerenciamento de patch, treinamento anti-phishing, filtragem de e-mail, detecção de endpoint e segurança centrada em dados.
A detecção sofisticada pode dar à sua organização uma vantagem – o mesmo pode ser feito com a redução da superfície geral de ataque. A tecnologia centrada em dados da Varonis começa de dentro para fora, construindo anéis de controles de detecção dos dados, para Active Directory e DNS, VPNs e proxies. A Varonis também destaca contas e dados vulneráveis para que você possa bloqueá-los antes que invasores os explorem. Esses controles podem ajudar a proteger sua organização de qualquer agente de ameaça – desde o insider casual até os tipos avançados e persistentes com os quais lidamos com muita frequência atualmente.
Saiba mais em: https://clm.com.br/fabricantes/varonis/