Networkforensic
Threat hunting
Emotet
31 - Oktober 2019 - Blog Post # 742
Emotet malware
Emotet startede som en Banking Trojan men er i dag mere et
framework, der spreder andre former for Trojans deriblandt kan
agerer downloader for Trickbot, Formbook, Qakbot, IcedID og Gootkit
mm. Det er i dag en infection hvor den inficeret host meget ofte
bliver oprettet som en SPAM bot der bruges til at sprede flere
malware kampanger, men hvor den også ligeså godt kan blive inficeret
med en af omtale infections.
For at kunne spotte en inficeret host der bruges som SPAM bot i en
infrastruktur skal man have 100% styr på sit mail-flow. Det betyder
at ingen hosts (klienter) må sende mail direkte ud på internettet.
Det må kun være den indterne mailserver de forbinder sig til. Mail
exchangeren (mailserveren) skal herfra håndtere mail ind og ud. Jeg
anbefaler at man opretter outbound firewall rules der forhindre at
klienter kan sende mail til noget man ikke har styr på.
Jeg har set følgende porte benyttet til at sende mail hen over TCP,
25,26,587,465 fra Emotet inficeret hosts.
Meget ofte ser jeg også at Emotet logger ind i mail systemer, som er
enten opsat som videre SPAM bots eller det kan være systemer hvor
brugere har mistet deres password til systemet på anden vis. Men det
er ALTID systemer uden 2FA og med meget dårlige passwords.
Hver gang Emotet benytter krypteret forbindelser er det muligt at
finde den samme JA3 fingerprint. Igennem de sidste 5 år er JA3 kun
skiftet 2 gange. Så denne er ret unik for at identificere Emotet
hver gang uden brug af AV eller IDS systemer alene på JA3
fingerprintet.
IDS Rules frigivet
Jeg har frigivet 2 IDS rules der kan se hver gang en klient
forsøger at oprette outbound mail commands. Denne rule vil sikkert
give mange falkse positiver såfremt man ikke tilretter den så den
passer med ens infrastruktur. Udskift $HOME_NET med ![<DIN MAIL
SERVER IP>] udskift imellem [ ]
NF IDS Rules
5 Latest Updates
Outbound mail commands
CSIS Policy rules
Seized by the danish state
Hancitor
IPSec from outside
Download