Schließen
Schließen
Ihr Netzwerk von morgen
Ihr Netzwerk von morgen
Planen Sie Ihren Weg zu einem schnelleren, sichereren und widerstandsfähigeren Netzwerk, das auf die von Ihnen unterstützten Anwendungen und Benutzer zugeschnitten ist.
          Erleben Sie Netskope
          Get Hands-on With the Netskope Platform
          Here's your chance to experience the Netskope One single-cloud platform first-hand. Sign up for self-paced, hands-on labs, join us for monthly live product demos, take a free test drive of Netskope Private Access, or join us for a live, instructor-led workshops.
            Ein führendes Unternehmen im Bereich SSE. Jetzt ein führender Anbieter von SASE.
            Ein führendes Unternehmen im Bereich SSE. Jetzt ein führender Anbieter von SASE.
            Netskope debütiert als Leader im Gartner ® Magic Quadrant ™ für Single-Vendor SASE
              Generative KI für Dummies sichern
              Generative KI für Dummies sichern
              Learn how your organization can balance the innovative potential of generative AI with robust data security practices.
                Modern data loss prevention (DLP) for Dummies eBook
                Moderne Data Loss Prevention (DLP) für Dummies
                Get tips and tricks for transitioning to a cloud-delivered DLP.
                  Modernes SD-WAN für SASE Dummies-Buch
                  Modern SD-WAN for SASE Dummies
                  Hören Sie auf, mit Ihrer Netzwerkarchitektur Schritt zu halten
                    Verstehen, wo die Risiken liegen
                    Advanced Analytics transforms the way security operations teams apply data-driven insights to implement better policies. With Advanced Analytics, you can identify trends, zero in on areas of concern and use the data to take action.
                        Die 6 überzeugendsten Anwendungsfälle für den vollständigen Ersatz älterer VPNs
                        Die 6 überzeugendsten Anwendungsfälle für den vollständigen Ersatz älterer VPNs
                        Netskope One Private Access is the only solution that allows you to retire your VPN for good.
                          Colgate-Palmolive schützt sein "geistiges Eigentum" mit intelligentem und anpassungsfähigem Datenschutz
                          Colgate-Palmolive schützt sein "geistiges Eigentum" mit intelligentem und anpassungsfähigem Datenschutz
                            Netskope GovCloud
                            Netskope erhält die FedRAMP High Authorization
                            Wählen Sie Netskope GovCloud, um die Transformation Ihrer Agentur zu beschleunigen.
                              Let's Do Great Things Together
                              Die partnerorientierte Markteinführungsstrategie von Netskope ermöglicht es unseren Partnern, ihr Wachstum und ihre Rentabilität zu maximieren und gleichzeitig die Unternehmenssicherheit an neue Anforderungen anzupassen.
                                Netskope solutions
                                Netskope Cloud Exchange
                                Netskope Cloud Exchange (CE) provides customers with powerful integration tools to leverage investments across their security posture.
                                  Technischer Support von Netskope
                                  Technischer Support von Netskope
                                  Überall auf der Welt sorgen unsere qualifizierten Support-Ingenieure mit verschiedensten Erfahrungen in den Bereichen Cloud-Sicherheit, Netzwerke, Virtualisierung, Content Delivery und Software-Entwicklung für zeitnahen und qualitativ hochwertigen technischen Support.
                                    Netskope-Video
                                    Netskope-Schulung
                                    Netskope-Schulungen helfen Ihnen, ein Experte für Cloud-Sicherheit zu werden. Wir sind hier, um Ihnen zu helfen, Ihre digitale Transformation abzusichern und das Beste aus Ihrer Cloud, dem Web und Ihren privaten Anwendungen zu machen.

                                      Emotet: Still Abusing Microsoft Office Macros

                                      27. Juni 2022

                                      Zusammenfassung

                                      Im April 2022 analysierten die Netskope Threat Labs eine Emotet-Kampagne, die LNK-Dateien anstelle von Microsoft Office-Dokumenten verwendete , wahrscheinlich als Reaktion auf die von Microsoft im Jahr 2022 eingeführten Schutzmaßnahmen zur Abwehr von Angriffen über Excel 4.0 (XLM) und VBA-Makros.

                                      Kürzlich stießen wir jedoch auf Hunderte bösartiger Office-Dokumente, die zum Herunterladen und Ausführen von Emotet verwendet wurden. Dies deutet darauf hin, dass einige Angreifer noch immer alte Übermittlungsmethoden verwenden. Trotz des von Microsoft im Jahr 2022 veröffentlichten Schutzes zur Verhinderung der Ausführung von Excel 4.0 (XLM)-Makros ist dieser Angriff gegen Benutzer, die veraltete Office-Versionen verwenden, immer noch möglich. Dies ist auch gegen Benutzer möglich, die die Standardeinstellung geändert haben, um Makros explizit zu aktivieren. Die Tatsache, dass Angreifer immer noch Excel 4.0-Makros verwenden, deutet darauf hin, dass es sich immer noch häufig um veraltete Office-Versionen und Benutzer handelt, bei denen dieser Schutz deaktiviert ist.

                                      Screenshot der Option zum Aktivieren von Excel 4.0-Makros.
                                      Option zum Aktivieren von Excel 4.0-Makros.

                                      Bei der Suche nach ähnlichen Dateien auf VirusTotal haben wir zwischen dem 9. und 21. Juni 2022 776 bösartige Tabellen gefunden, die Excel 4.0 (XLM)-Makros missbrauchen, um die Nutzlast von Emotet herunterzuladen und auszuführen. Die meisten Dateien haben dieselben URLs und einige Metadaten. Wir haben 18 URLs aus den 776 Beispielen extrahiert , von denen vier online waren und Emotet lieferten.

                                      Diagramm mit der Übermittlungszeitleiste für Emotet-Tabellen auf VirusTotal.
                                      Zeitplan für die Übermittlung von Emotet-Tabellen auf VirusTotal.

                                      In diesem Blogbeitrag analysieren wir diese Emotet-Kampagne und zeigen den Übermittlungsmechanismus bis zur letzten Nutzlast.

                                      Stufe 01 – Schädliche Tabellenkalkulationen

                                      Die erste Phase ist eine bösartige Tabelle, die Excel 4.0 (XLM)-Makros missbraucht, um Emotet herunterzuladen und auszuführen. Diese Dateien werden als E-Mail-Anhänge zugestellt.

                                      Beispiele für Phishing-E-Mails mit schädlichen Tabellen im Anhang.
                                      Phishing-E-Mails mit schädlichen Tabellen im Anhang.

                                      Es gibt auch Fälle, in denen die Tabelle an eine kennwortgeschützte ZIP-Datei angehängt ist.

                                      Die Tabelle enthält eine Meldung, die den Benutzer dazu verleiten soll, die geschützte Ansicht durch Klicken auf die Schaltfläche „Bearbeitung aktivieren“ zu entfernen.

                                      Beispiel einer Tabellenkalkulationsmeldung mit der Aufforderung, auf „Bearbeitung aktivieren“ zu klicken.
                                      Tabellenkalkulationsmeldung mit der Aufforderung, auf „Bearbeitung aktivieren“ zu klicken.

                                      Der Schadcode wird verschleiert und über versteckte Tabellen und Zellen verbreitet.

                                      Screenshot eines Teils der Excel 4.0-Makros.
                                      Teil der Excel 4.0-Makros.

                                      Der Code lädt die Nutzlast von einer externen URL über die API „ URLDownloadToFileA“ herunter und führt sie mit „ regsvr32.exe“ aus. Dies ist ein häufig verwendeter Binärwert für die Living-off-the-Land- Technik.

                                      Screenshot des deobfuskierten Codes aus der Tabelle.
                                      Deobfuskierter Code aus der Tabelle.

                                      Darüber hinaus wurden die meisten der von uns analysierten Dateien von „ Dream“ erstellt und zuletzt entweder von „ RHRSDJTJDGHT“ oder „ TYHRETH“ gespeichert, was darauf hindeutet, dass die Dateien wahrscheinlich denselben Autor haben. 

                                      Screenshot der gemeinsamen Metadaten aller Tabellen.
                                      Gemeinsame Metadaten für alle Tabellen.

                                      Stufe 02 – Verpacktes Emotet

                                      Wir konnten Beispiele von vier der 18 verschiedenen URLs herunterladen, die aus den Tabellen extrahiert wurden. Zwei der heruntergeladenen Dateien entpackten dieselbe Emotet-Nutzlast.

                                      Beispiel für vier von den Tabellenkalkulations-URLs heruntergeladene Nutzdaten.
                                      Vier Payloads wurden von den Tabellenkalkulations-URLs heruntergeladen.

                                      Die Hauptnutzlast von Emotet ist verschlüsselt und in den PE-Ressourcen des Loaders gespeichert. Dies ist auch bei anderen mit Emotet gepackten Samples der Fall , die wir Anfang 2022 analysiert haben .

                                      Screenshot der Hauptnutzlast von Emotet, die in den PE-Ressourcen gespeichert ist.
                                      Die Hauptnutzlast von Emotet ist in den PE-Ressourcen gespeichert.

                                      Der Entpack-/Entschlüsselungsprozess ist auch den Beispielen sehr ähnlich, die wir früher im Jahr 2022 analysiert haben, wo ein Schlüssel in einem einfachen rollierenden XOR-Algorithmus verwendet wird.

                                      Beispiel für den Entschlüsselungsprozess von Emotet.
                                      Emotet-Entschlüsselungsprozess.

                                      Phase 03 – Emotet-Nutzlast

                                      Wir haben drei verschiedene Payloads (64-Bit-DLLs) aus den Samples extrahiert, die wir von den URLs heruntergeladen haben. 

                                      Screenshot der wichtigsten Emotet-Nutzdaten
                                      Wichtigste Emotet-Nutzdaten.

                                      Durch den Vergleich dieser Payloads mit denen, die wir im April 2022 analysiert haben, können wir einige Ähnlichkeiten feststellen, wie etwa das im DLL-Namen verwendete Muster.

                                      Screenshot des tatsächlichen Namens für alle drei Beispiele: „E.dll“.
                                      Der tatsächliche Name aller drei Beispiele lautet „E.dll“.

                                      Und auch der Persistenzmechanismus über den Windows-Dienst, der die Nutzlast über regsvr32.exe ausführt.

                                      Screenshot des Persistenzmechanismus von Emotet.
                                      Persistenzmechanismus von Emotet.

                                      Es gibt jedoch einige Unterschiede zwischen diesen Nutzlasten und denen, die wir im April 2022 analysiert haben. Die erste ist, wo und wie Emotet seine Zeichenfolgen entschlüsselt. In früheren Payloads speicherte Emotet seine Strings im PE .text Abschnitt.

                                      In diesen neuesten Payloads verwendet Emotet Funktionen zum Abrufen entschlüsselter Zeichenfolgen. Vereinfacht ausgedrückt nutzt der Angreifer das Konzept von Stackstrings, die per Parameter an die Funktion übergeben werden, die den Entschlüsselungsprozess durchführt.

                                      Screenshot der Emotet-Funktion zum Zurückgeben einer entschlüsselten Zeichenfolge.
                                      Emotet-Funktion zum Zurückgeben einer entschlüsselten Zeichenfolge.

                                      Die entschlüsselten Zeichenfolgen können einfach abgerufen werden, indem in der Rückgabe dieser Funktionen Haltepunkte platziert werden. Außerdem ist es möglich, ein Python-Skript zu verwenden, um diese Daten mit Dumpulator oder einem anderen Emulationsframework automatisch zu extrahieren.

                                      Screenshot der von Emotet entschlüsselten Zeichenfolgen.
                                      Emotet entschlüsselte Zeichenfolgen.

                                      Auch das Abrufen der C2-Adressen erfolgt bei diesen Payloads auf andere Art und Weise. Anstatt diese Daten in der PE .data-Datei zu speichern Abschnitt analysiert Emotet die C2-Adressen auch über Funktionen.

                                      Beispiel für die Analyse der C2-Serveradressen durch Emotet.
                                      Emotet analysiert die C2-Serveradressen.

                                      Außerdem ist es möglich, diese Informationen mithilfe eines Emulationsskripts, das dem für die Zeichenfolgen verwendeten ähnelt, statisch zu extrahieren.

                                      Screenshot eines Teils der Emotet C2-Serveradressen.
                                      Teil der Emotet C2-Serveradressen.

                                      Schlussfolgerungen

                                      Im April 2022 haben wir als mögliche Reaktion auf die Schutzmaßnahmen von Microsoft eine Emotet-Kampagne analysiert, bei der keine Microsoft Office-Dateien zur Verbreitung verwendet wurden. Allerdings beobachten wir immer noch, dass einige Angreifer Microsoft Office-Dateien missbrauchen, um Emotet herunterzuladen und auszuführen. Wir empfehlen Benutzern dringend, Microsoft Office auf die neueste Version zu aktualisieren. Darüber hinaus können IT-Administratoren Excel 4.0 (XLM)-Makros über die Gruppenrichtlinie auch vollständig blockieren.

                                      Schutz

                                      Netskope Threat Labs überwacht diese Kampagne aktiv und hat die Abdeckung aller bekannten Bedrohungsindikatoren und Nutzlasten sichergestellt. 

                                      • Netskope Threat Protection
                                        • Dokument-Excel.Trojan.Emotet
                                        • Win64.Trojan.Emotet
                                      • Netskope Advanced Threat Protection bietet proaktiven Schutz gegen diese Bedrohung.
                                        • Gen.Malware.Detect.By.StHeur zeigt eine Probe an, die mithilfe einer statischen Analyse erkannt wurde
                                        • Gen.Malware.Detect.By.Sandbox zeigt ein Sample an, das von unserer Cloud-Sandbox erkannt wurde.

                                      IOCs

                                      Alle mit dieser Kampagne verbundenen IOCs, Skripte und Yara-Regeln finden Sie in unserem GitHub-Repository.

                                      author image
                                      Gustavo Palazolo
                                      Gustavo Palazolo ist Experte für Malware-Analyse, Reverse Engineering und Sicherheitsforschung und arbeitet seit vielen Jahren in Projekten im Zusammenhang mit dem Schutz vor elektronischem Betrug.
                                      Gustavo Palazolo ist Experte für Malware-Analyse, Reverse Engineering und Sicherheitsforschung und arbeitet seit vielen Jahren in Projekten im Zusammenhang mit dem Schutz vor elektronischem Betrug.

                                      Bleiben Sie informiert!

                                      Abonnieren Sie den Netskope-Blog