Networkforensic

Threat hunting

Emotet

31 - Oktober 2019  - Blog Post # 742

Emotet malware
Emotet startede som en Banking Trojan men er i dag mere et framework, der spreder andre former for Trojans deriblandt kan agerer downloader for Trickbot, Formbook, Qakbot, IcedID og Gootkit mm. Det er i dag en infection hvor den inficeret host meget ofte bliver oprettet som en SPAM bot der bruges til at sprede flere malware kampanger, men hvor den også ligeså godt kan blive inficeret med en af omtale infections.

For at kunne spotte en inficeret host der bruges som SPAM bot i en infrastruktur skal man have 100% styr på sit mail-flow. Det betyder at ingen hosts (klienter) må sende mail direkte ud på internettet. Det må kun være den indterne mailserver de forbinder sig til. Mail exchangeren (mailserveren) skal herfra håndtere mail ind og ud. Jeg anbefaler at man opretter outbound firewall rules der forhindre at klienter kan sende mail til noget man ikke har styr på.

Jeg har set følgende porte benyttet til at sende mail hen over TCP, 25,26,587,465 fra Emotet inficeret hosts.
Meget ofte ser jeg også at Emotet logger ind i mail systemer, som er enten opsat som videre SPAM bots eller det kan være systemer hvor brugere har mistet deres password til systemet på anden vis. Men det er ALTID systemer uden 2FA og med meget dårlige passwords.

Hver gang Emotet benytter krypteret forbindelser er det muligt at finde den samme JA3 fingerprint. Igennem de sidste 5 år er JA3 kun skiftet 2 gange. Så denne er ret unik for at identificere Emotet hver gang uden brug af AV eller IDS systemer alene på JA3 fingerprintet.

IDS Rules frigivet
Jeg har frigivet 2 IDS rules der kan se hver gang en klient forsøger at oprette outbound mail commands. Denne rule vil sikkert give mange falkse positiver såfremt man ikke tilretter den så den passer med ens infrastruktur. Udskift $HOME_NET med ![<DIN MAIL SERVER IP>]  udskift imellem [ ]

 

 NF IDS Rules
5 Latest Updates   

Outbound mail commands

CSIS Policy rules

Seized by the danish state

Hancitor

IPSec from outside

Download