Kötü şöhretli Emotet botnet 6 ay boyunca neredeyse hiç etkinlik göstermedi ve şimdi kötü niyetli spam dağıtıyor. Ayrıntılara dalalım ve kötü şöhretli kötü amaçlı yazılımla mücadele etmek için bilmeniz gereken her şeyi tartışalım.
İfade şimdiye kadar yaratılmış en tehlikeli truva atlarından biridir. Kötü amaçlı yazılım, ölçeği ve karmaşıklığı arttıkça çok yıkıcı bir program haline geldi. Kurban, spam e-posta kampanyalarına maruz kalan kurumsal kullanıcılardan özel kullanıcılara kadar herkes olabilir.
Botnet, kötü amaçlı Excel veya Word belgeleri içeren kimlik avı yoluyla dağıtılır. Kullanıcılar bu belgeleri açıp makroları etkinleştirdiğinde, Emotet DLL indirilir ve ardından belleğe yüklenir.
E-posta adreslerini arar ve spam kampanyaları için onları çalar. Ayrıca botnet, Cobalt Strike veya fidye yazılımına yol açan diğer saldırılar gibi ek yükler düşürür.
Emotet’in polimorfik doğası ve içerdiği birçok modül, kötü amaçlı yazılımın tanımlanmasını zorlaştırır. Emotet ekibi, mevcut tespit kurallarının uygulanamayacağından emin olmak için taktiklerini, tekniklerini ve prosedürlerini sürekli olarak değiştirir. Kötü amaçlı yazılım, virüslü sistemde görünmez kalma stratejisinin bir parçası olarak, birden çok adım kullanarak fazladan yükler indirir.
Emotet davranışının sonuçları siber güvenlik uzmanları için yıkıcıdır: kötü amaçlı yazılımın kaldırılması neredeyse imkansızdır. Hızla yayılır, hatalı göstergeler üretir ve saldırganların ihtiyaçlarına göre uyum sağlar.
Emotet, gelişmiş ve sürekli değişen modüler bir botnet’tir. Kötü amaçlı yazılım, yolculuğuna 2014 yılında basit bir bankacılık truva atı olarak başladı. Ancak o zamandan beri bir dizi farklı özellik, modül ve kampanya edindi:
Bu eğilim, Emotet’in sık sık “tatillere” ve hatta resmi olarak kapanmasına rağmen hiçbir yere gitmediğini kanıtlıyor. Kötü amaçlı yazılım hızla gelişir ve her şeye uyum sağlar.
Neredeyse yarım yıllık bir aradan sonra Emotet botnet daha da güçlü bir şekilde geri döndü. İşte yeni bir 2022 sürümü hakkında bilmeniz gerekenler:
Rundll32.exe’yi rasgele adlı bir DLL ile çağırın ve PluginInit’i dışa aktarın
Emotet’in ana zorluğu, onu sistemde hızlı ve doğru bir şekilde tespit etmektir. Bunun yanı sıra, bir kötü amaçlı yazılım analisti, gelecekteki saldırıları önlemek ve olası kayıpları önlemek için botnet’in davranışını anlamalıdır.
Uzun geliştirme öyküsü ile Emotet, kaçırma önleme stratejisinde adım attı. Süreç yürütme zincirinin evrimi ve virüslü sistem içindeki kötü amaçlı yazılım etkinliği değişiklikleri sayesinde, kötü amaçlı yazılım algılama tekniklerini büyük ölçüde değiştirdi.
Örneğin, 2018’de, sürecin adına bakarak bu bankacıyı tespit etmek mümkündü – bu, aşağıdakilerden biriydi:
Daha sonra, 2020’nin ilk çeyreğinde, Emotet kayıt defterinde belirli bir anahtar oluşturmaya başladı – HKEY_CURRENT_USERSOFTWAREMICROSOFTWINDOWSCURRENTVERSIONEXPLORER anahtarına 8 sembol uzunluğunda (harfler ve karakterler) yazar.
Elbette, Suricata kuralları bu kötü amaçlı yazılımı her zaman tanımlar, ancak kuralların güncellenmesi gerektiğinden algılama sistemleri genellikle ilk dalganın ötesinde devam eder.
Bu bankacıyı tespit etmenin bir başka yolu da onun kötü amaçlı belgeleriydi – dolandırıcılar, içinde gramer hataları olsa bile belirli şablonlar ve yemler kullanır. Emotet’i tespit etmenin en güvenilir yollarından biri YARA kuralları gereğidir.
Kötü amaçlı yazılımların kaçırma önleme tekniklerinin üstesinden gelmek ve botnet’i ele geçirmek için bu amaç için en uygun araç olarak bir kötü amaçlı yazılım sanal alanını kullanın. İçinde HERHANGİ BİR ÇALIŞTIRyalnızca kötü amaçlı nesneleri algılayamaz, izleyemez ve analiz edemez, aynı zamanda örnekten önceden çıkarılmış yapılandırmaları da alabilirsiniz.
Yalnızca Emotet analizi için kullandığınız bazı özellikler vardır:
Araç, başarılı araştırmaların hızlı ve hassas bir şekilde gerçekleştirilmesine yardımcı olur, böylece kötü amaçlı yazılım analistleri değerli zamandan tasarruf edebilir.
ANY.RUN sandbox, inanılmaz fırsatlar hazırladı Kara Cuma 2022! Kötü amaçlı yazılım analizinizi hızlandırmak ve paradan tasarruf etmek için şimdi en iyi zaman! Ödeme özel teklifler premium planları için ancak sınırlı bir süre için – 22-29 Kasım 2022.
Emotet, tam işlevsellik ve tutarlı bir takip yükü teslimi göstermedi. Siber güvenliğinizi iyileştirmek ve bu botnet’i etkili bir şekilde tespit etmek için ANY.RUN çevrimiçi kötü amaçlı yazılım sanal alanı gibi modern araçları kullanın. Güvende kalın ve iyi bir tehdit avı yapın!