Özet
Emotet şu anda en yaygın ve aynı zamanda en yıkıcı ve düzeltilmesi en maliyetli kötü amaçlı yazılım olarak kabul edilmektedir (1). Öncelikle kötü niyetli bir bağlantı veya virüslü bir belge içeren kimlik avı e-postaları yoluyla yayılır. Kurbanlar dosyayı indirdiklerinde veya bağlantıya tıkladıklarında, ek kötü amaçlı yazılımlar otomatik olarak cihazlarına indirilir ve ardından kurumsal ağ içinde çoğalır.
Ocak 2021'de uluslararası kolluk kuvvetleri ve adli makamlar sayesinde büyük ölçüde ortadan kaldırılmasına rağmen (1), Emotet gelişmeye ve daha sofistike hilelerle kötü amaçlı yazılım yaymaya devam ediyor. Bu taktiklerden biri, son blogumuzda analiz ettiğimiz Emotet yükünü kurbanların cihazına indirmek için PowerShell komutları içeren bir Windows kısayol dosyası (.LNK) kullanmaktadır. Tehdit yazarı bu uyarlamayı Microsoft tarafından başlatılan VBA korumasına yanıt olarak yaptı.
Nisan 2022'de, sıkıştırılmış .LNK dosyalarını kötüye kullanan yeni bir Emotet kampanyası vahşi doğada tespit edildi. Bu blogda, bu vektörü analiz ediyor ve OPSWAT MetaDefender ile bu tür kötü amaçlı yazılımları nasıl önleyebileceğinizi gösteriyoruz.
Emotet Enfeksiyon Zinciri
Emotet botnet operatörleri saldırıyı, gömülü bir kısayol bağlantı dosyası (.LNK) içeren parola korumalı kötü amaçlı bir zip dosyası içeren bir spam e-posta ile başlatır. Ayırt edilmesi zor olduğu için kısayol dosyasını kötüye kullanırlar. Dosya, simgeli bir belge dosyası olarak gizlenmiştir ve uzantısı Windows'ta varsayılan olarak görüntülenmez.
Kurbanlar zip dosyasını çıkardıktan ve .LNK dosyasını çalıştırdıktan hemen sonra, cihazlarındaki geçici klasöre zararlı bir Microsoft VBScript (Visual Basic Script) bırakır.
Bırakılan VBScript, Emotet yükünü uzak bir sunucudan çalıştırır ve indirir. İkili dosya indirildikten sonra, dosyayı Windows'un geçici dizinine kaydeder ve regsvr32.exe kullanarak çalıştırır. Emotet bir kez bulaştığında, ağdaki diğer bilgisayarlara yayılmak için kendini kopyalar.
Emotet ve benzeri gelişmiş saldırılar nasıl önlenir
Kullanıcıların sofistike Emotet kampanyalarını (2) fark etmelerine ve bunlara karşı savunma yapmalarına yardımcı olmak için dünya genelinde devlet kurumları ve siber güvenlik uzmanlarından gelen birçok öneri ve rehberlik bulunmaktadır:
- Şüpheli e-posta eklerini açmayın veya e-postanın gövdesindeki şüpheli bağlantılara tıklamayın.
- Çalışanlarınızın şüpheli e-posta bağlantılarını ve eklerini tespit etmek için yeterince eğitildiğinden emin olun
- İşletim sisteminizi, uygulamalarınızı ve güvenlik yazılımınızı güncel tutun.
OPSWAT ile kuruluşunuzu Emotet’in yanı sıra diğer gelişmiş, tespit edilmeye karşı dirençli tehditlere karşı kapsamlı bir şekilde korumak sizin için çok kolaydır OPSWAT Email Gateway Security ve OPSWAT MetaDefender Core. Pazar lideri Deep CDR™ Teknolojimiz (İçerik Etkisizleştirme ve Yeniden Oluşturma), dosyaların içinde gizlenmiş hem bilinen hem de bilinmeyen tehditleri etkisiz hale getirir. Sıfır güven felsefemiz gereği, ağınıza giren tüm dosyaların kötü amaçlı olduğunu varsayıyoruz; bu nedenle, her dosyayı kullanıcılarınıza ulaşmadan önce tarıyor, temizliyor ve yeniden oluşturuyoruz. Dosyalarda gizlenmiş tüm aktif içerik etkisiz hale getirilir veya kaldırılır, böylece kuruluşunuz için tehdit içermeyen bir ortam sağlanır.
Mevcut Emotet tehdidi aşağıdaki şekilde engellenmektedir:
1.OPSWAT Email Gateway Security parola korumalı ekleri karantinaya alır.
2. Eki indirmek için alıcıların karantinaya alınan sisteme dosyanın parolasını vermeleri gerekir.
3.MetaDefender Core Metascan adlı çoklu tarama çözümümüzle dosyayı bilinen kötü amaçlı yazılımlara karşı tarar. Aşağıda gösterildiği gibi, 11/16 motor tehdidi başarıyla tespit etti.
4. MetaDefender Core , ekiCore ve Deep CDR™ Teknolojisi motorunu kullanarak iç içe geçmiş her dosyayı özyinelemeli olarak temizler. Aşağıdaki sonuç, bir nesnenin tespit edilip kaldırıldığını göstermektedir.
Temizleme işlemi sırasında Deep CDR™ Teknolojisi, tehdidi etkisiz hale getirmek için .LNK dosyasındaki zararlı komutu dummy.txt dosyasıyla değiştirdi.
5.Email Gateway Security e-postayı tehdit içermeyen bir ek ile kullanıcılara gönderir. İşte sanitizasyondan sonra dosyanın tarama sonucu. Herhangi bir tehdit tespit edilmedi.
6. Kullanıcılar artık eklentiyi makinelerinde açabilir ve herhangi bir güvenlik sorunu hakkında endişelenmeden LNK dosyasını oluşturabilir. Kullanıcılar LNK dosyasını açsa bile, LNK dosyasının kötü amaçlı komutu değiştirildiği için hiçbir kötü amaçlı yazılım indirilmeyecektir.
Deep CDR™ Teknolojisi hakkında daha fazla bilgi edinin veya kurumsal ağınızı ve kullanıcılarınızı tehlikeli ve karmaşık siber saldırılardan korumak için en uygun güvenlik çözümlerini keşfetmek üzere bizimle iletişime geçin.
Referans
(1) CyberNews. 2022. 'World’s most dangerous malware' Emotet disrupted. [online] Available at: <https://cybernews.com/news/worlds-most-dangerous-malware-emotet-disrupted>; [Accessed 9 June 2022].
(2) Ipa.go.jp. 2022. 「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて:IPA 独立行政法人 情報処理推進機構. [online] Available at: <https://www.ipa.go.jp/security/announce/20191202.html#L20%3E>; [Accessed 8 June 2022].
- Deep CDR™Teknolojisi ,
- MetaDefender Core
