Erfahren Sie, warum Netskope im Gartner® Magic Quadrant™️ 2024 für Single-Vendor Secure Access Service Edge als Leader debütiert

Lesen Sie, wie innovative Kunden mithilfe der Netskope One-Plattform erfolgreich durch die sich verändernde Netzwerk- und Sicherheitslandschaft von heute navigieren.

Jetzt das E-Book lesen

Erfahren Sie mehr über Netskope-Partner

Gruppe junger, lächelnder Berufstätiger mit unterschiedlicher Herkunft

Security Service Edge (SSE), Cloud Access Security Broker (CASB), Cloud Firewall, Next Generation Secure Web Gateway (SWG) und Private Access for ZTNA sind nativ in einer einzigen Lösung integriert, um jedes Unternehmen auf seinem Weg zur Secure Access Service Edge (SASE)-Architektur zu unterstützen.

Netskope Produktübersicht

Netskope Next Gen SASE Branch vereint kontextsensitives SASE Fabric, Zero-Trust Hybrid Security und SkopeAI-Powered Cloud Orchestrator in einem einheitlichen Cloud-Angebot und führt so zu einem vollständig modernisierten Branch-Erlebnis für das grenzenlose Unternehmen.

Erfahren Sie mehr über Next Gen SASE Branch

Holen Sie sich Ihr kostenloses Exemplar des einzigen Leitfadens zum SASE-Design, den Sie jemals benötigen werden.

Jetzt das E-Book lesen

Mehr über NewEdge erfahren

Beleuchtete Schnellstraße mit Serpentinen durch die Berge

Erfahren Sie, wie wir den Einsatz generativer KI sichern

ChatGPT und Generative AI sicher aktivieren

Erfahren Sie mehr über Zero Trust

Wählen Sie Netskope GovCloud, um die Transformation Ihrer Agentur zu beschleunigen.

Erfahren Sie mehr über Netskope GovCloud

A Cyber & Physical Security Playbook
Emily Wearmouth und Ben Morris untersuchen die Herausforderungen beim Schutz internationaler Sportveranstaltungen, bei denen Cybersicherheit auf physische Sicherheit trifft.

Podcast abspielen Alle Podcasts durchsuchen

Ein Playbook für Cyber- und physische Sicherheit, mit Ben Morris von World Rugby

Lesen Sie, wie Netskope die Zero-Trust- und SASE-Reise durch SASE-Funktionen (Secure Access Service Edge) ermöglichen kann.

Den Blog lesen

Erfahren Sie, wie Sie sich in den neuesten Fortschritten bei SASE und Zero Trust zurechtfinden können, und erfahren Sie, wie sich diese Frameworks an die Herausforderungen der Cybersicherheit und Infrastruktur anpassen

Entdecken Sie Sitzungen

Erfahren Sie mehr über die zukünftige Konsolidierung von Netzwerk- und Sicherheitstools im heutigen Cloud-dominanten Geschäftsmodell.

Erfahre mehr zu SASE

Unternehmen
Wir helfen Ihnen, den Herausforderungen der Cloud-, Daten- und Netzwerksicherheit einen Schritt voraus zu sein.
Karriere
Schließen Sie sich den 3.000+ großartigen Teammitgliedern von Netskope an, die die branchenführende Cloud-native Sicherheitsplattform aufbauen.
Kundenlösungen
Wir sind für Sie da, stehen Ihnen bei jedem Schritt zur Seite und sorgen für Ihren Erfolg mit Netskope.
Schulungen und Akkreditierungen
Netskope-Schulungen helfen Ihnen ein Experte für Cloud-Sicherheit zu werden.

Netskope ist stolz darauf, an Vision 2045 teilzunehmen: einer Initiative, die darauf abzielt, das Bewusstsein für die Rolle der Privatwirtschaft bei der Nachhaltigkeit zu schärfen.

Finde mehr heraus

Unterstützung der Nachhaltigkeit durch Datensicherheit

Bei Netskope arbeiten Gründer und Führungskräfte Schulter an Schulter mit ihren Kollegen, selbst die renommiertesten Experten kontrollieren ihr Ego an der Tür, und die besten Ideen gewinnen.

Tritt dem Team bei

Gehen Sie zu Kundenlösungen

Erfahren Sie mehr über Schulungen und Zertifizierungen

Gruppe junger Berufstätiger bei der Arbeit

Emotet: Still Abusing Microsoft Office Macros

Demo anfordern

Zusammenfassung

Im April 2022 analysierten die Netskope Threat Labs eine Emotet-Kampagne, die LNK-Dateien anstelle von Microsoft Office-Dokumenten verwendete , wahrscheinlich als Reaktion auf die von Microsoft im Jahr 2022 eingeführten Schutzmaßnahmen zur Abwehr von Angriffen über Excel 4.0 (XLM) und VBA-Makros.

Kürzlich stießen wir jedoch auf Hunderte bösartiger Office-Dokumente, die zum Herunterladen und Ausführen von Emotet verwendet wurden. Dies deutet darauf hin, dass einige Angreifer noch immer alte Übermittlungsmethoden verwenden. Trotz des von Microsoft im Jahr 2022 veröffentlichten Schutzes zur Verhinderung der Ausführung von Excel 4.0 (XLM)-Makros ist dieser Angriff gegen Benutzer, die veraltete Office-Versionen verwenden, immer noch möglich. Dies ist auch gegen Benutzer möglich, die die Standardeinstellung geändert haben, um Makros explizit zu aktivieren. Die Tatsache, dass Angreifer immer noch Excel 4.0-Makros verwenden, deutet darauf hin, dass es sich immer noch häufig um veraltete Office-Versionen und Benutzer handelt, bei denen dieser Schutz deaktiviert ist.

Screenshot der Option zum Aktivieren von Excel 4.0-Makros. — *Option zum Aktivieren von Excel 4.0-Makros.*

Bei der Suche nach ähnlichen Dateien auf VirusTotal haben wir zwischen dem 9. und 21. Juni 2022 776 bösartige Tabellen gefunden, die Excel 4.0 (XLM)-Makros missbrauchen, um die Nutzlast von Emotet herunterzuladen und auszuführen. Die meisten Dateien haben dieselben URLs und einige Metadaten. Wir haben 18 URLs aus den 776 Beispielen extrahiert , von denen vier online waren und Emotet lieferten.

Diagramm mit der Übermittlungszeitleiste für Emotet-Tabellen auf VirusTotal. — Zeitplan für die Übermittlung von Emotet-Tabellen auf VirusTotal.

In diesem Blogbeitrag analysieren wir diese Emotet-Kampagne und zeigen den Übermittlungsmechanismus bis zur letzten Nutzlast.

Stufe 01 – Schädliche Tabellenkalkulationen

Die erste Phase ist eine bösartige Tabelle, die Excel 4.0 (XLM)-Makros missbraucht, um Emotet herunterzuladen und auszuführen. Diese Dateien werden als E-Mail-Anhänge zugestellt.

Beispiele für Phishing-E-Mails mit schädlichen Tabellen im Anhang. — Phishing-E-Mails mit schädlichen Tabellen im Anhang.

Es gibt auch Fälle, in denen die Tabelle an eine kennwortgeschützte ZIP-Datei angehängt ist.

Die Tabelle enthält eine Meldung, die den Benutzer dazu verleiten soll, die geschützte Ansicht durch Klicken auf die Schaltfläche „Bearbeitung aktivieren“ zu entfernen.

Beispiel einer Tabellenkalkulationsmeldung mit der Aufforderung, auf „Bearbeitung aktivieren“ zu klicken. — Tabellenkalkulationsmeldung mit der Aufforderung, auf „Bearbeitung aktivieren“ zu klicken.

Der Schadcode wird verschleiert und über versteckte Tabellen und Zellen verbreitet.

Screenshot eines Teils der Excel 4.0-Makros. — Teil der Excel 4.0-Makros.

Der Code lädt die Nutzlast von einer externen URL über die API „ URLDownloadToFileA“ herunter und führt sie mit „ regsvr32.exe“ aus. Dies ist ein häufig verwendeter Binärwert für die Living-off-the-Land- Technik.

Screenshot des deobfuskierten Codes aus der Tabelle. — Deobfuskierter Code aus der Tabelle.

Darüber hinaus wurden die meisten der von uns analysierten Dateien von „ Dream“ erstellt und zuletzt entweder von „ RHRSDJTJDGHT“ oder „ TYHRETH“ gespeichert, was darauf hindeutet, dass die Dateien wahrscheinlich denselben Autor haben.

Screenshot der gemeinsamen Metadaten aller Tabellen. — Gemeinsame Metadaten für alle Tabellen.

Stufe 02 – Verpacktes Emotet

Wir konnten Beispiele von vier der 18 verschiedenen URLs herunterladen, die aus den Tabellen extrahiert wurden. Zwei der heruntergeladenen Dateien entpackten dieselbe Emotet-Nutzlast.

Beispiel für vier von den Tabellenkalkulations-URLs heruntergeladene Nutzdaten. — Vier Payloads wurden von den Tabellenkalkulations-URLs heruntergeladen.

Die Hauptnutzlast von Emotet ist verschlüsselt und in den PE-Ressourcen des Loaders gespeichert. Dies ist auch bei anderen mit Emotet gepackten Samples der Fall , die wir Anfang 2022 analysiert haben .

Screenshot der Hauptnutzlast von Emotet, die in den PE-Ressourcen gespeichert ist. — Die Hauptnutzlast von Emotet ist in den PE-Ressourcen gespeichert.

Der Entpack-/Entschlüsselungsprozess ist auch den Beispielen sehr ähnlich, die wir früher im Jahr 2022 analysiert haben, wo ein Schlüssel in einem einfachen rollierenden XOR-Algorithmus verwendet wird.

Beispiel für den Entschlüsselungsprozess von Emotet. — Emotet-Entschlüsselungsprozess.

Phase 03 – Emotet-Nutzlast

Wir haben drei verschiedene Payloads (64-Bit-DLLs) aus den Samples extrahiert, die wir von den URLs heruntergeladen haben.

Screenshot der wichtigsten Emotet-Nutzdaten — Wichtigste Emotet-Nutzdaten.

Durch den Vergleich dieser Payloads mit denen, die wir im April 2022 analysiert haben, können wir einige Ähnlichkeiten feststellen, wie etwa das im DLL-Namen verwendete Muster.

Screenshot des tatsächlichen Namens für alle drei Beispiele: „E.dll“. — Der tatsächliche Name aller drei Beispiele lautet „E.dll“.

Und auch der Persistenzmechanismus über den Windows-Dienst, der die Nutzlast über regsvr32.exe ausführt.

Screenshot des Persistenzmechanismus von Emotet. — Persistenzmechanismus von Emotet.

Es gibt jedoch einige Unterschiede zwischen diesen Nutzlasten und denen, die wir im April 2022 analysiert haben. Die erste ist, wo und wie Emotet seine Zeichenfolgen entschlüsselt. In früheren Payloads speicherte Emotet seine Strings im PE .text Abschnitt.

In diesen neuesten Payloads verwendet Emotet Funktionen zum Abrufen entschlüsselter Zeichenfolgen. Vereinfacht ausgedrückt nutzt der Angreifer das Konzept von Stackstrings, die per Parameter an die Funktion übergeben werden, die den Entschlüsselungsprozess durchführt.

Screenshot der Emotet-Funktion zum Zurückgeben einer entschlüsselten Zeichenfolge. — Emotet-Funktion zum Zurückgeben einer entschlüsselten Zeichenfolge.

Die entschlüsselten Zeichenfolgen können einfach abgerufen werden, indem in der Rückgabe dieser Funktionen Haltepunkte platziert werden. Außerdem ist es möglich, ein Python-Skript zu verwenden, um diese Daten mit Dumpulator oder einem anderen Emulationsframework automatisch zu extrahieren.

Screenshot der von Emotet entschlüsselten Zeichenfolgen. — Emotet entschlüsselte Zeichenfolgen.

Auch das Abrufen der C2-Adressen erfolgt bei diesen Payloads auf andere Art und Weise. Anstatt diese Daten in der PE .data-Datei zu speichern Abschnitt analysiert Emotet die C2-Adressen auch über Funktionen.

Beispiel für die Analyse der C2-Serveradressen durch Emotet. — Emotet analysiert die C2-Serveradressen.

Außerdem ist es möglich, diese Informationen mithilfe eines Emulationsskripts, das dem für die Zeichenfolgen verwendeten ähnelt, statisch zu extrahieren.

Screenshot eines Teils der Emotet C2-Serveradressen. — Teil der Emotet C2-Serveradressen.

Schlussfolgerungen

Im April 2022 haben wir als mögliche Reaktion auf die Schutzmaßnahmen von Microsoft eine Emotet-Kampagne analysiert, bei der keine Microsoft Office-Dateien zur Verbreitung verwendet wurden. Allerdings beobachten wir immer noch, dass einige Angreifer Microsoft Office-Dateien missbrauchen, um Emotet herunterzuladen und auszuführen. Wir empfehlen Benutzern dringend, Microsoft Office auf die neueste Version zu aktualisieren. Darüber hinaus können IT-Administratoren Excel 4.0 (XLM)-Makros über die Gruppenrichtlinie auch vollständig blockieren.

Schutz

Netskope Threat Labs überwacht diese Kampagne aktiv und hat die Abdeckung aller bekannten Bedrohungsindikatoren und Nutzlasten sichergestellt.

Netskope Threat Protection
- Dokument-Excel.Trojan.Emotet
- Win64.Trojan.Emotet
Netskope Advanced Threat Protection bietet proaktiven Schutz gegen diese Bedrohung.
- Gen.Malware.Detect.By.StHeur zeigt eine Probe an, die mithilfe einer statischen Analyse erkannt wurde
- Gen.Malware.Detect.By.Sandbox zeigt ein Sample an, das von unserer Cloud-Sandbox erkannt wurde.

IOCs

Alle mit dieser Kampagne verbundenen IOCs, Skripte und Yara-Regeln finden Sie in unserem GitHub-Repository.

Gustavo Palazolo

Gustavo Palazolo ist Experte für Malware-Analyse, Reverse Engineering und Sicherheitsforschung und arbeitet seit vielen Jahren in Projekten im Zusammenhang mit dem Schutz vor elektronischem Betrug.