Den Kriminellen einen Schritt voraus – Kampfansage an König Emotet

Autor/Redakteur: Felix Blank, Senior Manager, Pre-Sales Systems Engineer bei Infoblox/gg

Ein Gespenst geht um in der Online-Welt – sein Name ist Emotet, seine Funktionen vielfältig. Zeitweise wirkt die Malware aus dem Jahr 2014 gar unaufhaltsam und übermächtig. Das Klinikum Fürstenfeldbruck, die Uni Gießen, die Medizinische Hochschule Hannover und das Kammergericht Berlin sind die wohl bekanntesten Fälle – die Opfer von Emotet sind abwechslungsreich und, so sollte man meinen, oft auf Cyberangriffe vorbereitet. Das BSI warnt explizit vor dieser Schadsoftware, und immer wieder wird der Trojaner auch „König-Emotet“ genannt. Die Dominanz und Bedeutsamkeit von Emotet sind nicht von der Hand zu weisen – dabei steht die Malware exemplarisch für eine neue Generation von Schadsoftware. Aber was macht diese so gefährlich? Und wie kann man dieser Schadsoftware die Zähne ziehen?

Emotet – Eine traurige Erfolgsgeschichte

Juni 2014: Emotet wird zum ersten Mal identifiziert. Seitdem hat er sich sehr verändert und bringt inzwischen sogar andere Malware mit sich. Den Anfang machte Emotet aber als klassischer Banking-Trojaner, der private Daten ausspähen konnte. Inzwischen ist er in der Regel „nur“ die Vorhut für einen bunten Strauß an Malware, die nachgeladen wird. Emotet verbreitet sich vor allem durch E-Mails – dafür werden Nachrichten infizierter Rechner durch das sogenannte Outlook-Harvesting ausgelesen und täuschend echt wirkende E-Mails generiert, die sich auf stattgefundene Konversationen beziehen. Selbst Nutzer mit einem kritischen Blick fallen darauf rein.

Ist er erst im System, kann Emotet dann verschiedenste Software auf den Rechner laden, Daten ausspähen, den Computer remote kontrollieren und an ein Botnet anschließen. Ein wesentliches Problem: Nicht jede Antiviren-Software erkennt den polymorphen Trojaner. Zudem registriert Emotet virtuelle Umgebungen und bleibt dort inaktiv, um einer Entdeckung im abgesicherten Umfeld zu entgehen.

Im August 2019 gab es eine Sommerpause des Trojaners. Knapp vier Monate waren die Command and Control Server, die zur Kommunikation und Steuerung der Malware dienen, verwaist und wie ausgestorben. Seit September ist Emotet aber wieder aktiv – die nächste „Verbesserung“ lässt nur auf sich warten. Zuletzt hat das niedersächsische Finanzministerium die Kommunikation per E-Mail massiv eingeschränkt. Seit Mitte 2019 werden hier alle Mails mit Office Anhängen blockiert, seit neuestem auch Mails mit Links zu externen Webseiten – alles, um nicht Opfer des Outlook-Harvesting von Emotet zu werden.

Machine Learning – Schlüssel zum Erfolg

Je dynamischer Angreifer in ihren Methoden werden, um nicht entdeckt zu werden, desto erfolgreicher entkommen sie statischen Gegenmaßnahmen. Blacklists, die beispielsweise nur sporadisch aktualisiert werden, sind perfekte Einfallstore für Malware aller Art. Automatisierung der Cybersecurity hilft, die nötige Agilität beizusteuern. Domain Generation Algorithms (DGA) sind dabei ein gutes Beispiel, wie sich Schadsoftware statischen Sicherheitsvorkehrungen entzieht. Diese Algorithmen generieren neue Domains, um herkömmliche Abwehrsysteme unter einer neuen Identität zu umgehen – auch, wenn alte Domains schon als schädlich gelistet werden. Dadurch wird die Kommunikation zwischen Malware und Command & Control (C2) Server schwer erkennbar und noch schwerer zu bekämpfen. Moderne Machine-Learning- und AI-Security-Systeme analysieren Domains auf verschiedenen Ebenen wie „Länge“, „Unsicherheitsgrad“, „lexikalische Unstimmigkeiten“, „Häufigkeit“ und „N-gram“ (sequenzielle Wahrscheinlichkeit). Diese Auswertungen basieren darauf, dass DGA-generierte Domains in diesen Faktoren „anders“ sind. Diese Andersartigkeit kann durch künstliche Intelligenz extrem schnell ausgewertet werden, wenn man dem System die zu analysierenden Faktoren zur Verfügung stellt. Machine Learning hilft dabei, diese Faktoren so aktuell wie möglich zu halten. An bisher bekannten Beispielen von „guten“ und „schlechten“ Domains lernen diese Systeme, neue Domains in den oben genannten Kategorien zu bewerten und als schädlich einzustufen, wenn ein Schwellenwert an „Punkten“ überschritten wird. Die Automatisierung kann dadurch sogar auf die neuesten Entwicklungen von Malware reagieren, ohne dass manuelle Dateneingaben zu potenziell gefährlichen Domains notwendig sind.