Emotet je malware navržený tak, aby se vyhnul detekci, opevnil se a dále se šířil.
Díky častým a nepravidelným aktualizacím, modulárnímu i polymorfnímu designu a schopnosti využívat řadu různorodých technik pro procházení sítí, představuje tento software pro administrátory a bezpečnostní nástroje pohyblivý cíl, který se navíc neustále mění. Během své pětileté existence se Emotet vyvinul z trójského koně, který tiše kradl přístupy k bankovním účtům, do podoby velmi důmyslné a široce využívané platformy pro distribuci dalších typů malware. Často pak opět bankovních „Trojanů“.
Emotet se šíří na pozadí rozličných spamových kampaní a může s sebou přinést jakýkoli malware. V letošním roce se to zatím týkalo bankovních trojských koní TrickBot a QBot, nicméně Emotet byl spojen i se sofistikovaným ransomwarem BitPaymer, který na výkupném získal šestimístnou dolarovou částku. V červenci 2018 vydal americký úřad US-CERT (United States Computer Emergency Readiness Team) varování, ve kterém Emotet popsal jako “…jeden z nejdestruktivnějších a nejnákladnějších malwarů, které útočí na veřejnou správu. Jeho vlastnosti podobné červům umožňují rychlé šíření napříč sítí, což znesnadňuje boj s touto infekcí. V americkém veřejném sektoru dosahovaly náklady spojené s řešením jednoho bezpečnostního incidentu způsobeného tímto malwarem výše až milionu dolarů.” Emotet zůstává extrémně vážnou hrozbou a představuje jednu z nejnáročnějších výzev, kterým musí čelit systémoví administrátoři a lovci škodlivého software. Z tohoto důvodu jsme se ve spolupráci s Peterem Mackenzie, specialistou společnosti Sophos na problematiku malware, rozhodli připravit přehled tipů, které jsou účinnou pomocí v boji s touto hrozbou.
*Zabezpečte všechny své stroje *
Prevence je lepší než léčba. A jedním z nejúčinnějších preventivních kroků, které můžete udělat, je zajistit, aby se v rámci vaší podnikové informační architektury nenacházely žádné nezabezpečené počítače. Potvrzují to ostatně i slova Petera Mackenzieho – vždy, když dojde k napadení organizace Emotetem, je zdrojem infekce nějaké nechráněné zařízení připojené do sítě. Firmy často o těchto strojích ani nevědí, natož o tom, že by byly napadeny malwarem. Pomocí zdarma dostupného nástroje pro skenování síťové infrastruktury můžete získat seznam všech aktivních zařízení na síti a porovnat jej s výstupy z vaší bezpečnostní konzole. Pokud naleznete jakákoli neznámá zařízení, tak je co nejrychleji aktualizujte a vybavte je nejnovějším řešením pro ochranu koncových bodů.
Neznámé a nezabezpečené stroje představují také prostor, ve kterém se může Emotet ukrývat a přizpůsobovat – což celou situaci ještě zhoršuje. Ačkoli se zpočátku nachází pouze na nezabezpečených počítačích, bude se pokoušet rozšířit se do okolí. A protože jde o polymorfní malware, často se aktualizuje – někdy i několikrát za den – a velmi rychle se mění. Emotet tak neustále přináší nové výzvy. Čím delší dobu mu dovolíte toto dělat, tím větší bude riziko, že nějaká nová verze najde mezeru ve vaší ochraně a rozšíří se po síti.
Je nemožné předpovídat, co mu takovou mezeru umožní objevit – může to být nový exploit nebo třeba mutace, která Emotet dočasně skryje před antiviry využívajícími detekci pomocí signatur. Zásadním faktorem úspěchu v boji s touto hrozbou je proto skutečně důkladná ochrana. S nalezením zdroje nákazy i s její likvidací vám pomohou zejména pokročilé anti-malwarové techniky, jako je Deep Learning, prevence před zneužíváním exploitů nebo technologie pro detekci a reakci na útoky na koncové body (Endpoint Detection and Response, EDR).
Záplatujte často a co nejdříve
Emotet je bránou pro další malware, takže jeho zablokování znamená současně ochranu i před ostatními hrozbami, které přicházejí spolu s ním. Vzhledem k tomu, že nevíte, o jakou hrozbu přesně půjde, musíte přijmout ta nejlepší možná opatření. A v popředí seznamu těch nejvhodnějších – a seznam to může být poměrně dlouhý – by mělo být záplatování používaných systémů tak, aby byly odolné proti známým zranitelnostem.
Možná se tato rada jeví jako nejstarší bezpečnostní doporučení pod sluncem, nicméně má své opodstatnění. Realitou je, že právě v důsledku zanedbaných aktualizací se ohniska nákazy malwarem Emotet rozrůstají a je stále obtížnější jej zastavit. Příkladem toho, jak to celé funguje, může být EternalBlue – SMB exploit, který v roce 2017 proslavily ransomwary WannaCry a NotPetya. A ačkoli se to zdá neuvěřitelné, navzdory všem zprávám a takřka dva roky od vydání aktualizace zabezpečení společností Microsoft (MS17-010), která zajistila dostatečnou ochranu, přináší zneužívání tohoto exploitu stále ještě nějaký zisk. Příkladem takového malware je TrickBot, který je nejčastěji šířený právě prostřednictvím Emoteta. Nezapomínejte proto na záplaty a aktualizace.
Výchozí nastavení pro PowerShell? Zablokováno!
Emotet zahájí svoji cestu do podnikové informační architektury obvykle jako příloha elektronické pošty a scénář vzniku ohniska nákazy pak často vypadá následovně:
Uživatel obdrží e-mail s přiloženým dokumentem ve Wordu
Uživatel tento dokument otevře a pošetile povolí spuštění makra
Makro vyvolá skript v PowerShellu, který Emoteta stáhne do napadnutého počítače
A infekce začíná.
Je tedy jasné, že aby Emotet uspěl, musí uživatelé udělat špatně hned několik věcí. Finální rada by tak mohla znít „vysvětlete zaměstnancům, aby neotevírali podezřelé e-maily a nespouštěli makra“. Nezapomínejte ale, že jde o nikdy nekončící proces – stačí selhat jedinkrát. Přímočařejší a ze strany administrátorů snadněji zajistitelné opatření je zablokování přístupu k PowerShellu. Což neznamená zablokovat přístup naprosto všem uživatelům, protože někteří jej opravdu potřebují. Důležité je ale povolovat přístup k tomuto shellu pouze v prokazatelně oprávněných případech.
Blokováním v tomto případě znamená opravdové znemožnění přístupu, nejen pouhé nastavení politik, které by PowerShell zakázaly. Bezpečnostní politiky mohou být deaktivovány, a proto by měl být PowerShell zařazený na seznam blokovaných aplikací (v případě technologií společnosti Sophos jde o funkci s názvem Application Control).
Michal Hebeda, Sales Engineer ve společnosti SOPHOS