Saiba como a Varonis ajuda a parar o Emotet
A equipe de resposta a incidentes da Varonis está rastreando um número sem precedentes de infecções por malware Emotet.
O número de investigações simultâneas ativas da Emotet é três vezes maior que nosso limite anterior. Esta postagem cobrirá indicadores de comprometimento, mitigações e como a Varonis pode ajudá-lo a detectar e interromper o Emotet em cada fase de um ataque.
Visão geral do Emotet
Depois de uma longa pausa durante a primavera de 2020, o ator de ameaças TA542 (conhecido como “Mummy Spider”) está de volta com uma nova campanha massiva de malspam alimentada por vários botnets mundiais e uma nova funcionalidade de malware poderosa. O Emotet, originalmente conhecido como um cavalo de Troia bancário, foi visto pela primeira vez em 2014. Seu objetivo principal era interceptar credenciais bancárias por meio de ataques man-in-the-browser. O Emotet evoluiu para um pacote de malware de uso geral e autoatualizado que também atua como carregador de cargas úteis como Qbot e Trickbot (que por sua vez carrega Ryuk e Mimikatz para um belo efeito de boneca russa).
Como o Emotet é polimórfico, os IOCs específicos – como URLs de carregadores, combinações de IP / portas C2 e modelos de spam – mudam com frequência. Isso torna a detecção baseada em regras um jogo de gato e rato composto pelo fato de que existem três botnets Emotet diferentes, cada um com sua própria infraestrutura de suporte. Você pode encontrar um registro diário maravilhosamente detalhado dos IOCs da Emotet mantidos pela equipe do Cryptolaemus.
Uma vez dentro da rede, o Emotet possui vários métodos para mover lateralmente,
escalar privilégios, estabelecer persistência e exfiltrar dados. Felizmente, os modelos de ameaças com base no comportamento da Varonis podem detectar os primeiros sinais de comprometimento da Emotet, bem como o comportamento pós-intrusão.
Compromisso inicial
O vetor de infecção escolhido pela Emotet é o e-mail de phishing alimentado por três botnets globais chamados Epoch 1, Epoch 2 e Epoch 3 (ou E1, E2, E3 para abreviar). As épocas têm sua própria infraestrutura C2, cronogramas de atualização e modelos de malspam. O spam de uma determinada época conterá anexos habilitados para macro ou links maliciosos projetados para infectar novos hosts e adicionar novos spammers ao seu cluster.
Na última onda de infecções, o e-mail malspam do Emotet contém anexos ZIP protegidos por senha. A esperança é que os filtros de e-mail não consigam verificar e detectar os documentos habilitados para macro maliciosos dentro do arquivo. Isso foi apelidado de “Operação Zip Lock”.
Arquivo zip anexado ao e-mail: informações muito urgentes de 24-09-2020.zip
A senha do documento é LQWMFXu
Dado o aumento nos anexos ZIP, é uma boa ideia colocar e-mails em quarentena com arquivos protegidos por senha. Lembre-se, entretanto, de que o Emotet também usa documentos do Office diretamente anexados.Campanhas de malspam foram detectadas em muitos idiomas: inglês, holandês, francês, alemão, italiano, japonês e as épocas parecem estar geograficamente atribuídas (por exemplo, o E3 tem martelado o Japão).
Sequestro de linha
O Emotet rouba mensagens de e-mail e listas de contato das vítimas por meio de solicitações HTTP POST de volta ao servidor C2. O botnet então usa dados de e-mail roubados para se passar pelo remetente e “responder” às conversas existentes. Eles podem fazer isso falsificando o remetente ou, se tiverem controle total sobre a máquina da vítima, enviando o e-mail diretamente da parte confiável.
Essa técnica faz com que o Emotet spam pareça legítimo e aumenta a probabilidade de uma nova vítima abrir um anexo malicioso.
A Varonis monitora as caixas de correio do Microsoft Exchange e do Exchange Online e pode detectar anexos de arquivos maliciosos que correspondem a um dicionário de padrões conhecidos usados em modelos de spam Emotet. Com as detecções baseadas em proxy do Edge, os clientes também podem detectar quando um usuário clica em um link dentro do corpo de um e-mail que resulta em um download malicioso do carregador Emotet.
A Varonis analisa todas as ações da caixa de correio (enviar / receber / abrir / excluir, etc.) para identificar rapidamente as contas que estão comprometidas e começaram a enviar campanhas de spam (interna ou externamente). O perfil de comportamento de um usuário é construído em várias plataformas – desvios sutis no comportamento de e-mail combinados com eventos de logon suspeitos, conexões de rede e acesso a dados produzem alertas de alta fidelidade com poucos falsos positivos.
Movimento lateral
Emotet tem uma variedade de módulos, ou plug-ins, que podem ser carregados dinamicamente de seu servidor C2 para estender a funcionalidade do malware. Há um módulo de envio de spam, um módulo de roubo de e-mail, um módulo bancário, etc. Você pode pensar nisso como adicionar um novo aplicativo ao seu telefone. Um módulo para prestar atenção especial é o módulo de movimento lateral, que permite a disseminação por meio de exploits SMB como EternalBlue (MS17-010) e acessando compartilhamentos administrativos ocultos (ICP $, C $ e Admin $). Recomendamos corrigir qualquer máquina que ainda esteja vulnerável ao EternalBlue e desabilitar compartilhamentos de administrador.
Embora o principal método de propagação do Emotet seja via SMB, os pesquisadores da BitDefense descobriram uma nova técnica de movimento lateral que enumera as redes Wi-Fi próximas (usando a função WlanEnumInterfaces em wlanAPI.dll) e tenta se espalhar para clientes conectados.
O malware tentará usar a força bruta em redes Wi-Fi protegidas por senha usando uma lista de senhas internas. Se tiver êxito, ele encaminhará o SSID da rede e a combinação de senha de volta para o servidor C2 e tentará outro ataque de força bruta, desta vez contra outros clientes.
Como a Varonis rastreia as associações entre os usuários e os dispositivos e recursos que eles acessam, os modelos de ameaças detectam um número incomum de conexões feitas por uma conta, conexões feitas a sistemas normalmente não acessados, bem como tentativas de força bruta como sprays de senha e credencial estofamento.
Escalonamento de privilégios
Os invasores obtêm credenciais para contas privilegiadas usando ferramentas de código aberto bem conhecidas, procurando senhas armazenadas em texto simples e coletando credenciais do Active Directory. Depois que as credenciais administrativas são obtidas, o invasor pode adicionar um ou mais usuários a um grupo de administradores de domínio e carregar credenciais para serviços de armazenamento em nuvem.
Observando a atividade do sistema de arquivos, a Varonis detecta rapidamente quando as ferramentas de penetração conhecidas são salvas no disco ou quando um usuário procura arquivos com senhas ou outros dados confidenciais em compartilhamentos de arquivos. Qualquer conta de usuário normalmente tem acesso a muito mais dados do que deveria, então essas pesquisas são frequentemente frutíferas – mais sobre como mitigar isso a seguir.
O Emotet é conhecido por carregar outros tipos de malware, como o Ryuk, que então carrega ferramentas de hacking como o Mimikatz para coletar credenciais e escalar privilégios. A Varonis analisa a atividade do Active Directory para detectar a coleta de credenciais (por exemplo, Kerberoasting) e outros ataques. Para reduzir as chances de que esses ataques sejam bem-sucedidos, Varonis destaca os alvos em potencial (por exemplo, contas administrativas associadas a um nome de entidade de serviço [SPN]) em um painel – reduzir a superfície de ataque no AD e em sistemas de arquivos ajuda a criar grupos de ransomware ‘ trabalhos mais difíceis. A Varonis também alertará quando uma conta for adicionada a um grupo administrativo.
Como acima, caso alguma dessas contas se conecte à Internet pela primeira vez, se conecte a domínios de baixa reputação ou gere atividade de upload incomum, a Varonis alertará sobre esses sinais.
Endgame
Se os sinais de comprometimento inicial, movimento lateral e escalonamento de privilégios forem perdidos, a Varonis fornece uma camada crítica de defesa em torno de seus maiores armazenamentos de dados, protegendo servidores Windows e UNIX, dispositivos NAS, SharePoint e Exchange (tanto no local quanto no Microsoft 365).
A Varonis captura mais informações sobre como os usuários interagem com os dados do que qualquer outra tecnologia – ela analisa a atividade do sistema de arquivos em plataformas que fornecem auditoria adequada por meio de suas APIs, como dispositivos Microsoft 365 e NAS da NetApp e EMC. Onde a auditoria nativa está faltando, como Windows, UNIX, Exchange e SharePoint, a Varonis usa filtros de sistema de arquivos testados em batalha para capturar operações de arquivo.
Se um usuário começar a acessar uma quantidade incomum de dados em comparação com seu comportamento normal, o Varonis detectará isso com um ou mais de seus muitos modelos comportamentais (bem como detectará uploads incomuns, como mencionado acima). Se um usuário começar a criptografar arquivos, isso também será detectado – muitos clientes automatizam respostas a esse tipo de comportamento, desativando a conta e eliminando as conexões ativas.
Varonis também revela onde os dados estão excessivamente acessíveis e onde usuários ou grupos têm acesso de que não precisam e automatiza processos para bloqueá-los. Restringir o acesso a dados importantes reduzirá a área de superfície de risco geral e tornará o trabalho de qualquer ator de ameaça mais difícil.
Com um registro detalhado e pesquisável de todos os acessos ao sistema de arquivos, é muito mais rápido avaliar e se recuperar de danos. Em vez de pesquisar em diretórios por notas de resgate, você pode executar uma consulta para todos os acessos e modificações de arquivos feitas por qualquer usuário em qualquer período de tempo para localizar os arquivos afetados e, em seguida, restaurar as versões corretas.