EmoCrash: Impfschutz vor Emotet-Infektionen hielt 6 Monate

[English]Sechs Monate lang haben Sicherheitsspezialisten eine Art 'Schutzsoftware' (EmoCrash) gegen die Ransomware Emotet für Behörden und Betreiber kritischer Infrastrukturen ausgerollt. EmoCrash macht sich einen Bug in Emotet zunutze, um die Systeme vor einer Infektion zu schützen. Erst Anfang August 2020 gelang es der Emotet-Gang, EmoCrash auszuschalten.

Emotet auf einen Blick

Emotet ist ein Erpressungs-Trojaner (Ransomware), der per E-Mail verteilt wird, dann Systeme befällt und die Opfer erpresst. Die Malware taucht ursprünglich erstmals als unbedeutender Banking-Trojaner in 2014 auf. Seitdem entwickelte sich die Schadsoftware von einem unbedeutenden Banking-Trojaner zu einer Art Schweizer-Messer der Ransomware-Szene. Die Malware kann sich nach einer Infektion der Opfer über ihr gesamtes Netzwerk verbreiten, sensible Daten stehlen und Dateien verschlüsseln.

Die Hintermänner, die in der ehemaligen Sowjetunion vermutet werden, vermieten inzwischen den Zugang zu den infizierten Hosts an andere Gruppen. Seit Monaten laufen Botnet-gesteuerte Spam-Kampagnen, um Emotet zu verbreiten und Lösegeld zu erpressen. Die Gang ist recht erfolgreich und konnte Millionen an Lösegeld einheimsen.

Ein Fehler in der Malware

Aber jede Software enthält Fehler – Emotet enthielt eine Schwachstelle, die es Cyber-Sicherheitsforschern erlaubte, einen Kill-Switch zu aktivieren. Ich hatte bereits vor einigen Tagen mitbekommen, dass Sicherheitsforscher einen Bug in der Emotet-Ransomware gefunden hatten, mit dem sich der Schädling aushebeln lässt. Aber der Ansatz, der in den letzten sechs Monaten in Sachen 'Impfung gegen Emotet' lief, war unter meinem Radar geblieben. Vor einigen Stunden habe ich dann folgenden Tweet gesehen.

Wir bedanken uns bei allen Nutzern für die vertrauliche Behandlung der Information, die ein öffentliches Bekanntwerden und somit eine schnelle Reaktion der Täter verhindert hat.#DeutschlandDigitalSicherBSI

— CERT-Bund (@certbund) August 17, 2020

Dieser gefundene Kill-Switch ermöglichte es, die Malware sechs Monate lang daran zu hindern, Systeme zu infizieren. Entsprechende Abwehrsoftware wurde laut CERT-Bund auch in Deutschland allen Behörden der Bundes- und Landesverwaltung sowie KRITIS-Unternehmen nach IT-SiG zur Verfügung gestellt. Der Kill-Switch war zwischen dem 6. Februar 2020 und dem 6. August 2020 182 Tage lang aktiv, bevor die Malware-Autoren ihre Malware gepatcht und die Schwachstelle geschlossen haben.

Einige Details

James Quinn von Binary Defense stieß bei der Analyse im Februar 2020 auf einen Bug im Emotet-Trojaner. Quinn verfolgt die Aktivitäten von Emotet seit Jahren und bemerkte im Februar 2020 eine Änderung in Teilen des Codes. The Hacker News berichtete im Februar hier über diese Änderung, mit der sich nahegelegene Wi-Fi-Netzwerke infizieren ließen. Diese Änderung betraf den "Persistenzmechanismus" von Emotet, den Teil des Codes, der es der Malware ermöglicht, einen Neustart des Systems zu überleben.

(Emotet-Registry-Key, Quelle: Binary Defense)

Quinn bemerkte, dass Emotet dazu einen Windows-Registrierungsschlüssel erstellte und darin einen XOR-Chiffrierschlüssel speicherte, wie er hier schreibt. Zusammen mit dieser Funktionsaktualisierung wurde "ein Dateiname zum Speichern der Malware auf jedem Opfersystem generierte, wobei ein zufällig gewählter exe- oder dll-Systemdateiname aus dem Verzeichnis system32 verwendet wurde".

Killswitch v1

Etwa 37 Stunden, nach dieser Entdeckung im Emotet-code, hatte Quinn bereits die erste Version des Killswitch fertig (aus der später EmoCrash entwickelt wurde). In der Urversion generierte das PowerShell-Skript zum Schutz vor Emotet den Registrierungsschlüsselwert für jedes Opfer und setzte die Daten für jeden Wert auf null.

Überprüfte Emotet die Registrierung auf diese Installationsmarkierung, fand es den neu generierten Nullwert und generierte daraus den Exe-Namen ".exe". Dann durchsuchte die Malware dann Pfad zum normalen Installationsort (%AppdataLocal%, C:\Windows\System32,C:\Windows\Syswow64, basierend auf der Umgebung) nach dieser exe. Da die Datei '.exe' nicht existierte, wurde lediglich eine Datei mit dem Namen ".exe" am normalen Emotet-Installationsort abgelegt. Der Versuch der Malware, diese ".exe" auszuführen, scheiterte jedoch, da "." bei vielen Betriebssystemen das aktuelle Arbeitsverzeichnis bezeichnete.

Obwohl dieser Mechanismus funktionierte, war er sehr unübersichtlich und erlaubte Emotet trotzdem die Installation – er verhinderte nur, dass Emotet erfolgreich ausgeführt werden konnte und sich über das Netzwerk ausbreitete.

Killswitch v2

Etwa 48 Stunden nachdem Emotet die neueste Loader-Version veröffentlichte, stellte Binary Defense die zweite Version des Killswitch fertig. Diese Version machte sich einen einfachen Pufferüberlauf zunutze, der in der Installationsroutine von Emotet entdeckt wurde. Der Killswitch brachte Emotet während der Malware-Installation zum Absturz, bevor die Malware sich auf dem Zielsystem installieren konnte. Dadurch wurde die Installation der Malware vollständig verhindert.

Zusätzlich wurden zwei Ereigniseinträge mit den Ereignis-IDs 1000 und 1001 in der Ereignisprotokollierung erzeugt. Diese dienten zur Identifizierung von Endpunkten mit deaktivierten und toten Emotet-Binärdateien, verursacht durch den Einsatz des Killswitch (und einem Neustart des Computers).

Verteilung der Schutzroutine

In einer koordinierten Aktion zwischen der Infosec- und der CERT-Gemeinschaft, begann Binary Defense am 12. Februar 2020 mit der weltweiten Verteilung des EmoCrash-Angriffsskripts an Stellen auf der ganzen Welt, mit der strikten Anweisung, es nicht öffentlich zu veröffentlichen. Denn es das Ziel, den Nutzen dieses Exploits zu maximieren und gleichzeitig zu verhindern, dass die Bedrohungsakteure einen Tipp erhalten und ihren Code patchen können.

Alles in allem konnte Emotet so für die letzten sechs Monate auf den geimpften Systemen an einer Installation gehindert werden. Und die Sicherheitsforscher erhielten hilfreiches Feedback, unter anderem zu Kompatibilitätsprobleme unter Windows 7, die vom CERT der Universität Frankfurt in Deutschland beigesteuert wurden.

Die Emotet-Gang riecht den Braten

So um den 7. Februar 2020 ging die Emotet-Gang wohl in eine Art Entwicklermodus über, da man vermutlich den Braten gerochen hatte. Die Emotet-Gang war  in der Zeit vom 7. Februar bis zum 17. Juli 2020 inaktiv und stellte das Spamming ein – um an der Entwicklung ihrer Malware zu arbeiteten. Während die Spam-Verbreitung vollständig gestoppt wurde, lieferte die Gruppe weiterhin einige wenige Kern-Updates von Binärdateien und Protokoll-Updates aus. Zusätzlich wurde beobachtet, dass Emotet bereits am 2. April 2020 Trickbot für die Verteilung verwendete.

Mitte April veröffentlichte Emotet eine neue Protokolländerung, zusammen mit Änderungen an der Kernbinärdatei. Eine der wichtigsten Änderungen war die Einführung einer neuen Installationsmethode, mit der die Explorer-Registrierungsschlüsselmethode abgeschafft wurde. Außerdem entfernte dieses neue Update die Verwendung von Gleichzeitigkeits-Mutexen, möglicherweise in dem Bestreben, andere, öffentlichere Killswitches zu umgehen.

Die Installationsmethode für Explorer-Registrierungsschlüssel wurde zwar zurückgezogen, aber nicht vollständig aus dem Code entfernt. Stattdessen griff die Malware auf den Explorer-Registrierungsschlüssel zu, als sie prüfte, ob es alte Installationen gab, die entfernt werden mussten.

Wurde auf diesen Schlüssel zugegriffen, brachte EmoCrash die Malware trotzdem zum Absturz ,und zwar, bevor sie nach außen kommunizieren konnte. Unglücklicherweise wurde dieser Absturz ausgelöst, nachdem Emotet sich selbst installiert hatte (einschließlich der Erstellung von Diensten und dem Löschen von Dateien). Die Malware konnte jedoch keine Verbindung zu den Controll-Servern herstellen und der Dienst konnte nicht ausgeführt werden. Da der Absturz außerdem immer noch die Ereignis-ID 1000 und 1001 auslöste, konnten die Responder diese Dateien leicht lokalisieren und entfernen.

Während Emotet erst am 17. Juli 2020 wieder aktiv wurde, erhielt Binary Defense Benachrichtigungen von verschiedenen Organisationen, die EmoCrash eingesetzt und eine anhaltende Emotet-Infektion festgestellt und eingedämmt hatten. Da Emotet während dieser Zeit nicht spammte, musste sich der Verlust ganzer Opferorganisationen negativ auf den Betrieb des Botnets auswirken. Ab dem 17. Juli 2020, nach einer mehrmonatigen Entwicklungsphase, konnten die infizierten Systeme wieder zum Spamming zurück. Da EmoCrash zu dieser Zeit noch aktiv war, konnte die Software bis zum 6. August einen vollständigen Schutz vor Emotet bieten.  Jetzt haben die Malware-Autoren diese Schwachstelle aber geschlossen, der EmoCrash wirkt also nicht mehr. Details sind hier nachlesbar.