Yazar Itay Bochner
Özet
Emotet'in adı, özellikle yaygın fidye yazılımı saldırıları ve gelişmiş kimlik avı kampanyaları bağlamında, uzun bir süre radarın altında kaldıktan sonra son zamanlarda haberlerde oldukça sık yer aldı. Genellikle e-posta ekleri ve tıklandığında yükü başlatan bağlantılar kullanılarak dağıtılan gelişmiş bir Truva atıdır. Emotet diğer kötü amaçlı yazılımlar için bir damlalık işlevi görmektedir.
Emotet'i tehdit aktörleri tarafından kullanılan en büyük botnet haline getirecek kadar özel kılan nedir?
Bunu anlamak için en baştan başlayacağız...
Emotet Açıklaması
Emotet ilk olarak 2014 yılında Alman ve Avusturya bankalarının müşterilerinin Truva Atı'ndan etkilenmesiyle tespit edilmiştir. Hassas ve özel bilgileri çalabilen basit bir Truva atı olarak geliştirilmiştir. Geliştikçe, bir PC'ye bulaştıktan sonra diğer kötü amaçlı yazılımları yükleyen spam gönderme ve kötü amaçlı yazılım dağıtım hizmetleri (bir Damlalık) gibi daha fazla işlevsellik kazandı. Genellikle aşağıdaki programlar bırakılır:
- TrickBot - Banka hesaplarının giriş verilerine erişim sağlamaya çalışan bir Bankacılık Truva Atı.
- Ryuk : Verileri şifreleyen ve bilgisayar kullanıcısının bu verilere veya tüm sisteme erişmesini engelleyen bir Fidye Yazılımı.
Emotet, kimlik avı e-posta ekleri veya kimlik avı ekini yükleyen bağlantılar aracılığıyla solucan benzeri özelliklerle yayılır. Emotet açıldıktan sonra, yönetici kimlik bilgilerini tahmin ederek ve bunları SMB dosya paylaşım protokolünü kullanarak paylaşılan sürücülere uzaktan yazmak için kullanarak bir ağ boyunca yayılmaya çalışır, bu da saldırgana bir ağda yanal olarak hareket etme yeteneği verir.
US-CISA'ya göre :
Emotet, öncelikle kimlik avı e-posta ekleri ve tıklandığında yükü başlatan bağlantılar yoluyla yayılan gelişmiş bir Truva atıdır(Kimlik Avı: Kimlik Avı Eki[T1566.001], Kimlik Avı: Kimlik Avı Bağlantısı[T1566.002]). Kötü amaçlı yazılım daha sonra kullanıcı kimlik bilgilerini zorlayarak ve paylaşılan sürücülere yazarak bir ağ içinde çoğalmaya çalışır(Kaba Kuvvet: Parola Tahmin Etme[T1110.001], Geçerli Hesaplar: Yerel Hesap lar[T1078.003], Uzak Hizmetler: SMB/Windows Yönetici Paylaşımları[T1021.002]).
Yukarıdakiler, Emotet'in özel kaçınma teknikleri ve ağ içinde otonom olarak yanlara doğru yayılmasını sağlayan "solucan benzeri" özellikleri nedeniyle önlenmesinin neden zor olduğunu vurgulamaktadır.
Bir diğer önemli özellik ise Emotet'in yeteneklerini sürekli olarak geliştirmek ve güncellemek için modüler DLL'ler (Dinamik Bağlantı Kütüphaneleri) kullanmasıdır.
Son Faaliyetler
Emotet kullanımında büyük bir artış olduğunu gösteren çok sayıda rapor bulunmaktadır
- HP Inc. tarafından sağlanan en son verilere göre, Emotet Truva Atı kullanılarak tespit edilen saldırılar bu yılın ikinci çeyreğinden üçüncü çeyreğine kadar %1200'den fazla artarak fidye yazılımı kampanyalarındaki artışı destekledi.
(https://www.infosecurity-magazine.com/news/ransomware-alert-as-emotet/) - Temmuz 2020'den bu yana CISA, Emotet ile ilişkili göstergeleri içeren artan bir faaliyet görmüştür. Bu süre zarfında, federal, sivil ve yürütme organı ağlarını koruyan CISA'nın EINSTEIN İzinsiz Giriş Tespit Sistemi, Emotet faaliyetiyle ilgili yaklaşık 16.000 uyarı tespit etti.
(https://us-cert.cisa.gov/ncas/alerts/aa20-280a) - Microsoft, İtalya ve Hollanda geçen ay Emotet kötü amaçlı spam faaliyetlerindeki artış konusunda uyarıda bulunmuş, bu uyarı Fransa, Japonya ve Yeni Zelanda'nın Emotet ile ilgili uyarılarını yayınlamasından birkaç hafta sonra gelmiştir.
(https://www.zdnet.com/article/us-warns-big-surge-in-emotet-malware-campaigns-makes-it-one-of-todays-top-threats/) - Son haftalarda çok daha fazla Emotet Malspam
(https://unit42.paloaltonetworks.com/emotet-thread-hijacking/) gördük.
Bu yeni dalga sırasında Emotet'in davranışında oldukça benzersiz olan şey, artık Office belgeleri yerine parola korumalı ZIP dosyalarını da kullanan Emotet'in spam kampanyalarının değişmesidir.
Buradaki fikir, parola korumalı dosyalar kullanarak, e-posta güvenlik ağ geçitlerinin içeriğini taramak için arşivi açamayacağı ve içindeki Emotet kötü amaçlı yazılımının izlerini göremeyeceğidir.
Palo Alto Networks ayrıca Emotet tarafından kullanılan Thread Hijacking adlı yeni bir teknik yayınladı. Bu, virüslü bilgisayarların e-posta istemcilerinden çalınan meşru mesajları kullanan bir e-posta saldırı tekniğidir. Bu Malspam meşru bir kullanıcıyı taklit eder ve çalınan e-postaya bir yanıt gibi davranır. Konu kaçırılmış Malspam orijinal mesajdaki adreslere gönderilir.
OPSWAT kuruluşunuzu Emotet saldırısına karşı koruyabilecek önleyici çözümler sunar. Çözümlerimiz, kuruluşların Emotet'in ağlara girmesini önlemesine yardımcı olur.
Email Gateway Security oltalama saldırılarını durdurur
Secure Erişim, uyumluluk doğrulamasına yardımcı olur
MetaDefender CoreDeep CDR (Content Disarm and Reconstruction) ile dosya yükleme güvenlik koruması sağlar.
Daha fazla bilgi için bugün bizimle iletişime geçin.
