Diese Webseite verwendet Cookies. Mehr Infos

Suchmaschinenoptimierung
mit Content-Marketing - Ihre News
Sophos Technology GmbH |

Kampf gegen einen agilen Gegner: Erkenntnisse von der Emotet-Front

Bewerten Sie hier diesen Artikel:
0 Bewertungen (Durchschnitt: 0)


Die Schadsoftware Emotet hat einen langen Atem und sucht mit ständig neuen Updates besonders perfide nach Lücken im System. Michael Veit, IT-Security-Experte bei Sophos, sieht den Kampf dennoch nicht verloren und rät zu drei entscheidenden Präventionsmaßnahmen. Der...

Wiesbaden, 29.01.2019 (PresseBox) - Die Schadsoftware Emotet hat einen langen Atem und sucht mit ständig neuen Updates besonders perfide nach Lücken im System. Michael Veit, IT-Security-Experte bei Sophos, sieht den Kampf dennoch nicht verloren und rät zu drei entscheidenden Präventionsmaßnahmen.

Der Trojaner Emotet ist darauf spezialisiert, Schutzbarrieren auszuweichen, immer wieder zuzuschlagen und sich zu vervielfältigen, um maximalen Schaden anzurichten. Dabei ist die Malware dank ständiger Updates, modularem Design und der Fähigkeit, verschiedenste Techniken zur Netzwerkunterwandung anzuwenden, für IT-Sicherheitsspezialisten besonders schwierig zu enttarnen.

Innerhalb seiner fünfjährigen Lebenszeit hat sich Emotet von einem „normalen“ Trojaner, der still und heimlich Bankdaten seiner Opfer entwendete, zu einer extrem raffinierten und breit gestreuten Plattform für die Verbreitung anderer Schadsoftware mit unterschiedlichsten Zielen entwickelt, die meist im Gepäck von Spam-Kampagnen anreist. In diesem Jahr waren das z.B. die beiden Banktrojaner TrickBot und Qbot, es gibt aber auch Verbindungen zu BitPaymer – eine hoch entwickelte Ransomware-Familie, die sechsstellige Summen erpresst.

Ende 2018 bewertete das BSI Emotet als „…ein Fall von Cyber-Kriminalität, bei der die Methoden hochprofessioneller APT-Angriffe adaptiert und automatisiert wurden. Schon im aktuellen Lagebericht des BSI haben wir von einer neuen Qualität der Gefährdung gesprochen und sehen uns durch Emotet darin bestätigt.“ (Quelle: BSI)

„Emotet ist weiterhin eine sehr gefährliche Bedrohung und die Auseinandersetzung mit dem Thema ist eine der größten Herausforderungen für Sys-Admins und Threat-Hunter“, ruft Michael Veit, Security Evangelist bei Sophos, ins Bewusstsein. „Vor diesem Hintergrund und angesichts der bisherigen Emotet-Schäden, die wir in unserer täglichen Arbeit erlebt haben, muss Prävention das erste Mittel der Abwehr sein. Und zwar konsequent umgesetzt.“

Sicherung ALLER Geräte

Vorsorge ist besser als Nachsorge. Sind Unternehmen oder Organisationen von Emotet betroffen, ist die Quelle der Infektion fast ausnahmslos ein ungesichertes Gerät im Netzwerk. Um das eigene Netzwerk zu überprüfen, bietet sich ein Netzwerk-Scan zur Auflistung jedes aktiven Geräts an. Taucht dort ein noch nicht erfasstes Gerät auf, muss es sofort mit den neuesten Updates versehen und in den Endpoint-Schutz aufgenommen werden.

Auch wenn Emotet zunächst einmal auf nicht gesicherte Geräte in einem Netzwerk begrenzt ist, wird die Schadsoftware ständig versuchen, auszubrechen und dabei ihre große Anpassungsfähigkeit nutzen. Je länger Emotet diese Versuche durchlaufen darf, desto höher ist die Wahrscheinlichkeit, dass es durch seine Modulation eine Lücke in der Abwehr findet, ausbricht und sich im gesamten Netzwerk verbreitet.

„Man kann unmöglich vorhersagen, worin letztendlich die entscheidende Lücke besteht“, so Veit, „es kann beispielsweise ein neuer Exploit oder eine Mutation sein, die Emotet vor Signatur-basiertem Anti-Virus temporär versteckt. Entsprechend sind moderne Abwehrtechnologien wie Deep Learning oder Exploit Prevention entscheidend.“

Patchen: so früh und oft wie möglich

Emotet ist das perfekte Einfallstor für andere Schadsoftware. Wer Emotet verhindert, stoppt auch seine Parasiten. Potentielle Sicherheitslücken sollte man deshalb mit Patches so schnell und oft wie möglich schließen.

Ein Negativbeispiel: Der SMB Exploit EternalBlue wurde 2017 durch WannaCry und NotPetya bekannt. Man kann fast nicht glauben, dass trotz dieser weltweiten Berichterstattung und fast zwei Jahre nachdem Microsoft sein Sicherheits-Bulletin MS17-010 ankündigte, das Patches zum Schutz davor beinhielt, die Schadsoftware immer noch profitablen Nutzer dieses Exploits macht. Einer dieser Malware-Parasiten, die Emotet sehr gern einschleppt, ist TrickBot. Lerneinheit aus diesem Beispiel: Patchen. Sofort, bitte.

PowerShell als Standardeinstellung blockieren

Emotet verschafft sich normalerweise Zugang via schädlicher Email-Anhänge. Das Ausbruchs-Szenario findet dann recht schnell in vier Akten statt:

Mitarbeiter erhält Email mit Word-Dokument im Anhang

Mitarbeiter öffnet Word-Dokument und wird in ein Makro hineingelockt

Makro löst die PowerShell aus, die Emotet herunterlädt

Emotet-Infektion beginnt

Ja, richtig. Der Mitarbeiter fällt etwas unglücklich auf. Aber: Der Hinweis zu Sensibilisierung und Schulung der Mitarbeiter gegenüber merkwürdigen Email-Anhängen greift hier zu kurz. Denn selbst bei bestgeschulter Aufmerksamkeit wird im unendlichen Email-Strom einmal der falsche Klick gemacht – und schon ist Emotet im Spiel. Deswegen sollten Administratoren den Nutzer-Zugang zur PowerShell blockieren – und das nicht nur via Richtlinie, sondern per Blacklisting. Das gilt zunächst einmal für alle Mitarbeiter, dann können individuell diejenigen Personen wieder Zugang bekommen, die PowerShell tatsächlich bei der täglichen Arbeit brauchen.

Weitere Informationen zur Abwehr von Emotet und TrickBot gibt Sophos hier.


Für den Inhalt der Pressemitteilung ist der Einsteller, PresseBox.de, verantwortlich.

Pressemitteilungstext: 649 Wörter, 5346 Zeichen. Pressemitteilung reklamieren


Kommentare:

Es wurde noch kein Kommentar zu diesem Thema abgegeben.



Ihr Kommentar zum Thema





Weitere Pressemitteilungen von Sophos Technology GmbH lesen:

Sophos Technology GmbH | 10.07.2019

Sophos Studie "The Impossible Puzzle of Cybersecurity"


Wiesbaden, 10.07.2019 (PresseBox) -79 Prozent bewerten die Rekrutierung von Mitarbeitern mit den erforderlichen Cybersicherheitskompetenzen als schwierig66 Prozent halten das Budget für Cybersicherheit für nicht ausreichendE-Mails sind Top Einfallstor: 33 Prozent international, in Deutschland 48 ProzentDeutschland mit hoher Anzahl an Phishing AttackenSophos stellt heute die Ergebnisse seiner wel...
Sophos Technology GmbH | 25.04.2019

Perfider Angriff: Verschlüsselung durch Remote Ransomware


Wiesbaden, 25.04.2019 (PresseBox) - Gekidnappte Daten – per se bereits ein Alptraum-Szenario, aber es ist besonders perfide, wenn Dateien verschlüsselt werden, obwohl der eigene PC gar nicht von Schadsoftware befallen ist. Sophos Experte Michael Veit hat die Mutation der Remote Ransomware unter die Lupe genommen.Jeder kann Opfer eines Ransomware-Angriffs werden. Hat sich der erste Schock gelegt...
Sophos Technology GmbH | 16.04.2019

Sophos präsentiert mit Cloud Optix eine neue KI-Lösung für Public Cloud Security


Wiesbaden, 16.04.2019 (PresseBox) - Das Thema Security für Public-Cloud-Umgebungen adressiert Sophos jetzt mit seiner neuesten Lösung Sophos Cloud Optix. Die Anwendung ist unabhängig von anderen Security-Produkten einsetzbar und nutzt Künstliche Intelligenz (KI), um Sicherheitslücken in Cloud-Infrastrukturen aufzuzeigen und zu schließen. Cloud Optix basiert auf der Technologie, die Sophos im...