Fout in Emotet-malware maandenlang gebruikt om infecties te voorkomen
Een fout in het installatieproces van de beruchte Emotet-malware is maandenlang door securitybedrijven gebruikt om infecties te voorkomen. Dat hebben onderzoekers van security Binary Defense, die het probleem ontdekten, bekendgemaakt. Emotet is een "modulaire malwarefamilie" die allerlei aanvullende malware op systemen kan installeren, wachtwoorden steelt en zelf zeer lastig te verwijderen is.
Om zich te verspreiden maakt Emotet gebruik van e-mails die als bijlage doc-bestanden met kwaadaardige macro's bevatten. Zodra de ontvanger van de e-mail de macro's in het document inschakelt wordt Emotet geïnstalleerd en zal vervolgens proberen om andere machines in het netwerk te infecteren. Emotet kan aanvullende malware downloaden en was verantwoordelijk voor een aantal zeer ernstige ransomware-uitbraken bij grote organisaties.
Onder andere de Ryuk-ransomware zou via initiële Emotet-infecties binnen bedrijven worden verspreid. Het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, bestempelde Emotet eerder al tot de gevaarlijkste malware ter wereld.
In februari van dit jaar voerden de Emotet-ontwikkelaars grote aanpassingen door aan de code van de malware. Onder andere om analyse door onderzoekers te bemoeilijken. Ook de installatieprocedure was aangepast. Emotet gebruikte voor de installatie op het systeem een registersleutel die het in het Windows Register aanmaakte. Zo werd de malware ook na een herstart van de computer geladen.
De onderzoekers van Binary Defense ontdekten een fout in deze installatieprocedure. Emotet controleerde of de zogeheten "install marker" in het Windows Register voorkwam. Door de registersleutel op een schoon systeem aan te maken en van een bepaalde waarde te voorzien crashte de installatieprocedure, zonder dat de malware op het systeem kon worden geïnstalleerd.
De Emotet-ontwikkelaars kwamen in april met een update van de malware waardoor de installatiemethode via de registersleutel niet meer werd gebruikt. De functionaliteit werd echter niet volledig uit de code van de malware verwijderd. In plaats daarvan zocht Emotet naar de betreffende registersleutel om te kijken of er een oude versie van de malware op het systeem stond die moest worden vervangen. Wederom zorgde de registerwaarde voor een crash van de malware.
De onderzoekers deelden hun bevindingen met andere securitybedrijven, zodat die hun klanten konden beschermen. In totaal is "EmoCrash", zoals de oplossing werd genoemd, een half jaar actief geweest en heeft organisaties ook beschermd tegen Emotet-infecties, zo laat Binary Defense weten. Op 6 augustus verscheen er een nieuwe installatieprocedure van de malware, waarbij de kwetsbare code voor het lezen van de registersleutel was verwijderd.
Echter dit gaat natuurlijk binnenkort op de schop, als dit niet al is aangepast.
Stoppen met het delen van MSOffice bestanden in emails !!!
Echter dit gaat natuurlijk binnenkort op de schop, als dit niet al is aangepast.
Stoppen met het delen van MSOffice bestanden in emails !!!
Delen van MSOffice bestanden is niet nodig en ook geen oplossing. Plaats geen links en macro's in een document dat je deelt en zet op je pc de mogelijkheden van macro's zo beperkt mogelijk in. Open geen ongevraagde bestanden van een onbekende bron of die ongevraagd zijn toegestuurd. Zorg dat je weet dat de afzender klopt en vertrouwd is.
Dat moet je manier van doen zijn. Oplettendheid geldt altij, want alleen zo kun je b.v. ook WhatsApp fraude voorkomen.
Hele series komen daar voorbij samen met heodo, doc, en epoch2.op websites van malcreanten en geinfesteerde kwetsbare word press websites enz. Zie de payloads daar.
Inherent aan het gebruik van MS Office, maar niet Libre Officde, vreemd he?
luntrus
Delen van MSOffice bestanden is niet nodig en ook geen oplossing. Plaats geen links en macro's in een document dat je deelt en zet op je pc de mogelijkheden van macro's zo beperkt mogelijk in. Open geen ongevraagde bestanden van een onbekende bron of die ongevraagd zijn toegestuurd. Zorg dat je weet dat de afzender klopt en vertrouwd is.
Dat moet je manier van doen zijn. Oplettendheid geldt altij, want alleen zo kun je b.v. ook WhatsApp fraude voorkomen.
Hele series komen daar voorbij samen met heodo, doc, en epoch2.op websites van malcreanten en geinfesteerde kwetsbare word press websites enz. Zie de payloads daar.
Inherent aan het gebruik van MS Office, maar niet Libre Officde, vreemd he?
luntrus
Populariteit wint in dit geval. Er is wel malware bekend voor LibreOffice, gelukkig niet veel.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
