Emotet – von einem Banking-Trojaner, der mehr wurde

Emotet ist die vielleicht erfolgreichste Malware in der Geschichte. Sie hat mittlerweile weltweit hohen Schaden angerichtet und insbesondere im deutschsprachigen Raum zahlreiche Unternehmen und andere Institutionen zeitweilig lahmgelegt und schwer geschädigt. Die Malware ist vielschichtig und wird bis heute weiterentwickelt. Dieser Beitrag beleuchtet die Wirkungsweise von Emotet und stellt ein Fallbeispiel aus der Praxis vor.

Es gab eine Zeit, da war es problemlos möglich, eine Malware in die gängigen Kategorien, wie Viren, Würmer oder Trojaner, einzuordnen. Mittlerweile ist die Entwicklung vorangegangen und die klassische Unterscheidung ist oft nicht mehr möglich, die Grenzen verwischen. Während jeden Tag tausende Schadprogramme das Licht der Welt erblicken und für eine gewisse Zeit ihr Unwesen im Internet treiben, gibt es einige wenige, die sich auch nach Jahren noch erfolgreich verbreiten, da sie zum einen Schwachstellen nutzen, die schwer zu beheben sind und zum anderen intelligent und mehrstufig vorgehen und zudem stetig weiterentwickelt werden.

Zu dieser Kategorie gehört Emotet. Ursprünglich als Banking-Trojaner in die Welt gesetzt wurde die Malware erstmals 2014 von Trend Micro erkannt. Seither hat er mehrere Evolutionsstufen durchlaufen und ist auch heute, im Jahr 2020, noch aktiv und brandgefährlich.

Die Geschichte von Emotet

Als Emotet erstmalig entdeckt wurde, versuchte die Schadsoftware im Rahmen eines Man-in-the-Browser-Angriffs Banking-Zugangsdaten abzufangen. Dies waren jedoch nur die vergleichsweise harmlosen Anfänge. Seitdem wurde der Schädling stark weiterentwickelt. Seit Ende 2018 ist er in der Lage, E-Mail-Kontakte und sogar die Inhalte von E-Mails auszulesen und daraus neue E-Mails mit glaubwürdigem Inhalt zu generieren. Das Perfide daran ist, dass Emotet die Kontakte von anderen verseuchten Systemen nutzt und von dort aus auf eine tatsächlich stattgefundene E-Mail-Konversation “antwortet”, z.B. in Form von gefälschten Rechnungen oder Mitteilungen von Banken. Das bedeutet, dass die Opfer eine E-Mail von einem ihrer echten Kontakte bekommen, auf dessen Antwort sie vielleicht sogar wirklich warten. Sogar Betreff, Anrede und die Signatur in der E-Mail passen zur bisherigen Kommunikation und machen die gefälschte Mail daher so glaubwürdig, dass auch sensible Anwender auf den in der Mail enthaltenen Link oder den Anhang klicken.

Inzwischen sind diverse namhafte Unternehmen und Organisationen (inklusive Behörden) Opfer von Emotet geworden. Dies hat in einigen Fällen zu einem weitgehenden Shutdown der IT-Infrastruktur geführt, die im Anschluss zu großen Teilen neu aufgebaut werden musste, um die Integrität sicherzustellen. Einige Beispiele hierzu werden später in diesem Artikel noch aufgegriffen.

APT – Grundlage für Emotet

Die beschriebene Technik wird als “Outlook-Harvesting” bezeichnet. Dahinter verbirgt sich im Grunde eine groß angelegte Spam-Kampagne, die jedoch nicht auf primitiv gestaltete, mit Fehlern übersäte und über Botnetze verteilte Spam-Mails basiert, sondern sogenannte “APT-Angriffe” adaptiert. APT steht für Advanced Persistent Threat (zu Deutsch: fortgeschrittene, andauernde Bedrohung) und bezeichnet einen sehr zielgerichteten und komplexen Angriff auf die IT-Infrastruktur besonders lohnenswerter Organisationen mit dem Ziel, umfassenden Zugriff auf sensible Daten und Systeme zu erlangen. Dabei gehen die Angreifer häufig mehrstufig und mit viel Geduld vor. Es geht bei APT oft nicht darum, nur eine beliebige Malware einzuschleusen oder einen “Quick-Win” durch ein paar gesammelte Kreditkarten-Daten zu erhalten, sondern schrittweise tiefer in das Zielnetzwerk einzudringen und an die wirklich interessanten Informationen zu gelangen. Die dazu eingesetzten Tools sind an das jeweilige Ziel angepasst und darauf abgestimmt.

Emotet bedient sich dieses Konzepts, indem die APT-Vorgehensweise adaptiert und automatisiert wird. Bereits infizierte Computer bzw. Mail User Agents (wie Outlook) werden nach E-Mail-Kontakten und -Inhalten durchsucht, um anschließend neue E-Mails mit glaubwürdigem Inhalt und manipulierten Links oder Anhänge zu erstellen und zu versenden. Werden die Links angeklickt oder die Anhänge geöffnet, wird Schadcode installiert – entweder via Drive-by-Download oder z.B. über bösartige Makros in Office-Dokumenten.

Die Payload von Emotet

Das Vorgehen von Emotet ist variabel. Die Malware unterstützt verschiedene Infektionstechniken lädt über einen Stager verschiedene Schadsoftware nach. So wurde 2018 z.B. laut BSI (1) häufig der Banking-Trojaner Trickbot nachgeladen. Dieser verschafft sich über das bekannte Tool Mimikatz Zugangsdaten zu anderen Systemen im (Windows-)Netzwerk oder gelangt über SMB-Schwachstellen wie Eternal Blue oder Romance auf andere Computer.

In dieser Phase kommt es zu weitreichenden Systemausfällen. Durch ständige Veränderung der nachgeladenen Malware, die sich zum Teil sehr tief in den kompromittierten Systemen festsetzt, wird diese von Virenschutzprogrammen häufig gar nicht erkannt und selbst dann ist eine komplette Bereinigung oft nicht möglich, so dass eine Infektion mit Emotet in vielen Fällen eine großflächige Neuinstallation der IT-Infrastruktur nach sich zieht.

Neben seiner ursprünglichen Funktion als Banking-Trojaner ist Emotet in der Lage, beliebige andere Schadsoftware nachzuladen. Dazu gehört neben Cryptominern insbesondere Ransomware wie Ryuk. Nachdem sich Emotet via Trickbot im Zielnetzwerk festgesetzt hat, wird Ryuk ausgerollt und ganze Serverlandschaften verschlüsselt, um über eine via Bitcoins zu zahlende Lösegeldforderung zu stellen.

Emotet-Infektionen in der Praxis

Die Schadsoftware ist flexibel, vielfältig und ständigen Änderungen und Erweiterungen unterworfen. Es ist kaum möglich, die eine Vorgehensweise von Emotet zu beschreiben. Daher folgen hier einige Beispiele bekannter Infektionen durch Emotet.

Der vielleicht populärste Fall ist die Infektion der IT-Infrastruktur der Heise-Gruppe. Sie begann am 13. Mai 2019 und wurde von Heise vorbildlich aufgearbeitet, dokumentiert und der Öffentlichkeit zugänglich gemacht, damit andere Organisationen daraus lernen und eine Infektion verhindern können (2). An besagtem Tag öffnete ein Mitarbeiter eine vertrauenswürdig erscheinende Mail und den darin enthaltenen Anhang. Der Emotet-Dropper konnte sich installieren und im Windows-System des Mitarbeiters etablieren. Anschließend wurde verschiedene Malware nachgeladen und das Heise-Netzwerk infiziert. Teilweise schlugen die AV-Programme auch Alarm, so dass eine oberflächliche Reinigung erfolgte.

Dass dies jedoch nicht die Ursache beseitigte wurde klar, als kurze Zeit später in den Firewall-Logfiles diverse Verbindungen zu Emotet-Servern über Port 449/tcp verzeichnet wurden. Zudem gab es verdächtige Zugriffe auf Domain Controller im Active Directory. Im Wesentlichen wurden Windows-10-Systeme kompromittiert, deren Benutzer Admin-Privilegien hatten, später dann die verbleibenden Windows-7-Systeme.

Der Versuch, die Verbindungen zu den Command & Control-Servern zu unterbinden, wurde bald aufgegeben, da immer wieder neue Verbindungen hinzukamen. Was blieb, war ein kompletter Lockdown und die vollständige Abschottung des Unternehmensnetzwerks vom Internet. Heise selbst beziffert die konkreten Kosten auf weit über 50.000 Euro (3).

Emotet infizierte in der Vergangenheit zahlreiche Unternehmen, aber auch Behörden, Universitäten, Krankenhäuser und andere öffentliche Einrichtungen. Teilweise waren Produktionsausfälle bis hin zu Lockdowns (siehe Heise) die Folge, so dass Dienstleistungen nicht erbracht und Mitarbeiter in Zwangsurlaub geschickt werden mussten.

Schutz vor Emotet

Zunächst gilt es, die allgemeinen Grundschutz-Maßnahmen zu treffen: Einspielen aktueller Sicherheits-Updates, regelmäßige Backups, nur signierte Makros in MS Office zulassen. Zu letzterem hat das BSI Empfehlungen veröffentlicht, wie Microsoft-Office-Produkte sicher konfiguriert werden können, damit die Angriffsfläche bei Unternehmen reduziert wird (4). Alternativ kann z.B. LibreOffice eingesetzt werden, da dort Makros nicht funktionieren.

Haupt-Einfallstor sind glaubwürdige Phishing-Mails, wie bereits eingangs beschrieben. Auch wenn es schwierig sein kann, derartige Mails als gefälscht zu identifizieren, ist es dennoch möglich, da oft Kleinigkeiten dann doch unstimmig sind und bei geschulten Anwendern Misstrauen erzeugen sollten. So ist es z.B. verdächtig, wenn die in der Antwort einer Angestellten der Hausverwaltung der Anwender plötzlich geduzt wird, wie in einem Beispiel der Verbraucherzentrale dargestellt (5). Grundsätzlich sollte nicht explizit angeforderten Anhängen ebenso misstraut werden, wie einem Hyperlink in der E-Mail.

Am Beispiel von Heise wurde deutlich, dass Benutzer nicht mit Administrator-Privilegien arbeiten sollten. Weiterhin ist es nicht empfehlenswert, Passwörter in Browsern zu speichern, sondern stattdessen einen Passwort-Manager zu nutzen. In diesem Zusammenhang sollten für privilegierte Accounts komplexe und starke Passwörter genutzt werden, da Emotet hier mit Brute-Force-Methoden versucht, die Passwörter zu ermitteln. Wo möglich, sollte eine Zwei-Faktor-Authentifizierung (2FA) implementiert werden.

Eine weitere, wichtige Schutzfunktion in Unternehmensnetzwerken ist die Kontrolle der Internet-Kommunikation. Diese kann durch Next-Generation-Firewalls, Application-Gatways und Proxies mit entsprechenden angeschlossenen Content-Filtering- und AV-Systemen effektiv implementiert werden und in Kombination mit gut konfigurierten und gepflegten IDS/IPS- bzw. SIEM-Systemen eine effektive Schutzmaßnahme darstellen.

Weiterführende Informationen zu Emotet: