{"id":16003,"date":"2020-04-28T11:54:00","date_gmt":"2020-04-28T09:54:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=16003"},"modified":"2020-04-22T10:04:14","modified_gmt":"2020-04-22T08:04:14","slug":"den-kriminellen-einen-schritt-voraus-kampfansage-an-koenig-emotet","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=16003","title":{"rendered":"Den Kriminellen einen Schritt voraus \u2013 Kampfansage an K\u00f6nig Emotet"},"content":{"rendered":"\n<p>Autor\/Redakteur: <a href=\"https:\/\/www.infoblox.com\/\">Felix Blank, Senior Manager, Pre-Sales Systems Engineer bei Infoblox<\/a>\/gg<\/p>\n\n\n\n<p>Ein Gespenst geht um in der Online-Welt \u2013 sein Name ist Emotet, seine Funktionen vielf\u00e4ltig. Zeitweise wirkt die Malware aus dem Jahr 2014 gar unaufhaltsam und \u00fcberm\u00e4chtig. Das Klinikum F\u00fcrstenfeldbruck, die Uni Gie\u00dfen, die Medizinische Hochschule Hannover und das Kammergericht Berlin sind die wohl bekanntesten F\u00e4lle \u2013 die Opfer von Emotet sind abwechslungsreich und, so sollte man meinen, oft auf Cyberangriffe vorbereitet. Das BSI warnt explizit vor dieser Schadsoftware, und immer wieder wird der Trojaner auch \u201eK\u00f6nig-Emotet\u201c genannt. Die Dominanz und Bedeutsamkeit von Emotet sind nicht von der Hand zu weisen \u2013 dabei steht die Malware exemplarisch f\u00fcr eine neue Generation von Schadsoftware. Aber was macht diese so gef\u00e4hrlich? Und wie kann man dieser Schadsoftware die Z\u00e4hne ziehen?<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"385\" src=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2020\/04\/Felix-Blank-1024x385.jpg\" alt=\"\" class=\"wp-image-16004\" srcset=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2020\/04\/Felix-Blank-1024x385.jpg 1024w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2020\/04\/Felix-Blank-300x113.jpg 300w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2020\/04\/Felix-Blank-768x289.jpg 768w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2020\/04\/Felix-Blank.jpg 1200w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption>Bild: Infoblox<\/figcaption><\/figure>\n\n\n\n<!--more-->\n\n\n\n<p><strong>Emotet \u2013 Eine traurige Erfolgsgeschichte<\/strong><\/p>\n\n\n\n<p>Juni 2014: Emotet wird zum ersten Mal identifiziert. Seitdem hat er sich sehr ver\u00e4ndert und bringt inzwischen sogar andere Malware mit sich. Den Anfang machte Emotet aber als klassischer Banking-Trojaner, der private Daten aussp\u00e4hen konnte. Inzwischen ist er in der Regel \u201enur\u201c die Vorhut f\u00fcr einen bunten Strau\u00df an Malware, die nachgeladen wird. Emotet verbreitet sich vor allem durch E-Mails \u2013 daf\u00fcr werden Nachrichten infizierter Rechner durch das sogenannte Outlook-Harvesting ausgelesen und t\u00e4uschend echt wirkende E-Mails generiert, die sich auf stattgefundene Konversationen beziehen. Selbst <a href=\"https:\/\/www.computerwoche.de\/a\/so-funktionieren-mirai-reaper-echobot-und-co,3547523\">Nutzer mit einem kritischen Blick fallen darauf rein<\/a>.<\/p>\n\n\n\n<p>Ist er erst im System, kann Emotet dann verschiedenste Software auf den Rechner laden, Daten aussp\u00e4hen, den Computer remote kontrollieren und an ein Botnet anschlie\u00dfen. Ein wesentliches Problem: Nicht jede Antiviren-Software erkennt den polymorphen Trojaner. Zudem registriert Emotet virtuelle Umgebungen und bleibt dort inaktiv, um einer Entdeckung im abgesicherten Umfeld zu entgehen.<\/p>\n\n\n\n<p>Im August 2019 gab es eine Sommerpause des Trojaners. Knapp vier Monate waren die Command and Control Server, die zur Kommunikation und Steuerung der Malware dienen, verwaist und wie ausgestorben. Seit September ist Emotet aber wieder aktiv \u2013 die n\u00e4chste \u201eVerbesserung\u201c l\u00e4sst nur auf sich warten. Zuletzt hat das nieders\u00e4chsische Finanzministerium die Kommunikation per E-Mail massiv eingeschr\u00e4nkt. Seit Mitte 2019 werden hier alle Mails mit Office Anh\u00e4ngen blockiert, seit neuestem auch Mails mit Links zu externen Webseiten \u2013 alles, um nicht Opfer des Outlook-Harvesting von Emotet zu werden.<\/p>\n\n\n\n<p><strong>Machine Learning \u2013 Schl\u00fcssel zum Erfolg<\/strong><\/p>\n\n\n\n<p>Je dynamischer Angreifer in ihren Methoden werden, um nicht entdeckt zu werden, desto erfolgreicher entkommen sie statischen Gegenma\u00dfnahmen. Blacklists, die beispielsweise nur sporadisch aktualisiert werden, sind perfekte Einfallstore f\u00fcr Malware aller Art. Automatisierung der Cybersecurity hilft, die n\u00f6tige Agilit\u00e4t beizusteuern. Domain Generation Algorithms (DGA) sind dabei ein gutes Beispiel, wie sich Schadsoftware statischen Sicherheitsvorkehrungen entzieht. Diese Algorithmen generieren neue Domains, um herk\u00f6mmliche Abwehrsysteme unter einer neuen Identit\u00e4t zu umgehen \u2013 auch, wenn alte Domains schon als sch\u00e4dlich gelistet werden. Dadurch wird die Kommunikation zwischen Malware und Command &amp; Control (C2) Server schwer erkennbar und noch schwerer zu bek\u00e4mpfen. Moderne Machine-Learning- und AI-Security-Systeme analysieren Domains auf verschiedenen Ebenen wie \u201eL\u00e4nge\u201c, \u201eUnsicherheitsgrad\u201c, \u201elexikalische Unstimmigkeiten\u201c, \u201eH\u00e4ufigkeit\u201c und \u201eN-gram\u201c (sequenzielle Wahrscheinlichkeit). Diese Auswertungen basieren darauf, dass DGA-generierte Domains in diesen Faktoren \u201eanders\u201c sind. Diese Andersartigkeit kann durch k\u00fcnstliche Intelligenz extrem schnell ausgewertet werden, wenn man dem System die zu analysierenden Faktoren zur Verf\u00fcgung stellt. Machine Learning hilft dabei, diese Faktoren so aktuell wie m\u00f6glich zu halten. An bisher bekannten Beispielen von \u201eguten\u201c und \u201eschlechten\u201c Domains lernen diese Systeme, neue Domains in den oben genannten Kategorien zu bewerten und als sch\u00e4dlich einzustufen, wenn ein Schwellenwert an \u201ePunkten\u201c \u00fcberschritten wird. Die Automatisierung kann dadurch sogar auf die neuesten Entwicklungen von Malware reagieren, ohne dass manuelle Dateneingaben zu potenziell gef\u00e4hrlichen Domains notwendig sind.<\/p>\n\n\n\n<!--nextpage-->\n\n\n\n<p>Diese Methode ist nat\u00fcrlich nicht eindeutig \u2013 das Scoringverfahren bietet die M\u00f6glichkeit, streng oder locker bewerten zu lassen. Hier sind die SecOps eines Unternehmens gefragt, das Machine Learning und die AI entsprechend zu \u201etrainieren\u201c, um effizient und ma\u00dfgeschneidert gegen starke Malware vorgehen zu k\u00f6nnen.<\/p>\n\n\n\n<p><strong>Die Waffen im Kampf gegen den Next-Level-Emotet<\/strong><\/p>\n\n\n\n<p>Die bekannten Ma\u00dfnahmen der IT-Sicherheit sind grunds\u00e4tzlich gut dazu geeignet, um sich gegen Emotet zu wappnen. So sch\u00fctzen regelm\u00e4\u00dfige Updates der Sicherheitssoftware davor, dass bekannte Einfallstore genutzt werden. Auch der Mensch ist f\u00fcr Schadsoftware wie Emotet ein wichtiger Faktor. Daher sollten Mitarbeiter regelm\u00e4\u00dfig kurze Schulungen zum sicheren Umgang mit den Programmen der Firma und aktuellen Bedrohungen bekommen \u2013 so bleiben die User f\u00fcr potenzielle Bedrohungen aufmerksam.<\/p>\n\n\n\n<p>Wer sich aber auch proaktiv gegen agile Malware sch\u00fctzen will, sollte seinen Blick auf die DNS-Ebene seines Netzwerks werfen. Denn die erschreckende Evolution von Emotet zeigt, dass eines klar ist: er wird mit gro\u00dfer Wahrscheinlichkeit weiterentwickelt: Die Nutzung der DNS-Ebene scheint nur eine Frage der Zeit. Denn eine Emotet Version, die f\u00e4hig ist DNS-Spoofing und DNS-Hijacking zu betreiben, ist noch viel erschreckender als der Outlook abgrasende Trojaner von heute, weil auf dieser Ebene Verbindungsanfragen problemlos an definierte Ziele der Kriminellen weiterleiten werden k\u00f6nnten \u2013 so entscheidet nicht mehr der Nutzer, welche Seiten er besucht, sondern die in der Malware hinterlegten Daten.<\/p>\n\n\n\n<p>W\u00e4hrend nat\u00fcrlich nicht jede potenzielle Entwicklung der Malware abgesch\u00e4tzt werden kann, wirkt der DNS-Angriffsvektor wie ein gut vorhersehbarer Weg von Emotet. Der Schutz vor der Malware muss also aktiv angegangen werden, wenn man sich nicht \u00e4hnlichen Einschr\u00e4nkungen wie das nieders\u00e4chsische Finanzministerium unterwerfen m\u00f6chte.<\/p>\n\n\n\n<p>Der Blick auf Machine Learning und die DNS-Ebene lohnt sich also, wenn man den Kriminellen einen Schritt voraus sein m\u00f6chte. Das Entwicklungspotenzial von Emotet zeigt, dass nur ein Ansatz nicht reicht \u2013 die beste Security-Software steht mit unvorsichtigen Mitarbeitern vor einer nicht zu bew\u00e4ltigenden Aufgabe und vice versa. Doch mit einer gut durchdachten Kombination der M\u00f6glichkeiten k\u00f6nnen selbst K\u00f6nige wie Emotet gest\u00fcrzt werden.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Ein Gespenst geht um in der Online-Welt \u2013 sein Name ist Emotet, seine Funktionen vielf\u00e4ltig. Zeitweise wirkt die Malware aus dem Jahr 2014 gar unaufhaltsam und \u00fcberm\u00e4chtig. Das Klinikum F\u00fcrstenfeldbruck, die Uni Gie\u00dfen, die Medizinische Hochschule Hannover und das Kammergericht Berlin sind die wohl bekanntesten F\u00e4lle \u2013 die Opfer von Emotet sind abwechslungsreich und, so sollte man meinen, oft auf Cyberangriffe vorbereitet. Das BSI warnt explizit vor dieser Schadsoftware, und immer wieder wird der Trojaner auch \u201eK\u00f6nig-Emotet\u201c genannt. Die Dominanz und Bedeutsamkeit von Emotet sind nicht von der Hand zu weisen \u2013 dabei steht die Malware exemplarisch f\u00fcr eine neue Generation von Schadsoftware. Aber was macht diese so gef\u00e4hrlich? Und wie kann man dieser Schadsoftware die Z\u00e4hne ziehen?<\/p>\n","protected":false},"author":3,"featured_media":16004,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[490,13509,11311,8220,1458,10986,552],"class_list":["post-16003","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-bsi","tag-emotet","tag-infoblox","tag-ki","tag-malware","tag-ml","tag-trojaner"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/16003","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=16003"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/16003\/revisions"}],"predecessor-version":[{"id":16005,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/16003\/revisions\/16005"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/16004"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=16003"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=16003"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=16003"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}