IT Biztonsági hírek

A hét IT biztonsági tanácsa

Az Emotet évek óta az egyik legtöbb fertőzést okozó malware, amely elsősorban hitelesítési információk eltulajdonítására és további káros programok, például banki trójaiak telepítésére szakosodott.

A japán CERT (JPCERT/CC) az Emotet fertőzések megszaporodott száma miatt figyelmeztetést adott ki, amelyben instrukciókat fogalmaznak meg arra vonatkozóan, hogy hogyan lehet észlelni a káros kód jelenlétét és mit javasolt tenni fertőződés esetén. (A blogbejegyzésben káros e-mail minták is szerepelnek.)

Hogyan vegyük észre a káros kódot?

1) Amennyiben gyanús e-mailt észlelünk, javasolt felvenni a kapcsolatot az e-mailben megszemélyesített személlyel. Tudjuk meg például, hogy az Office-ban engedélyezte-e a makrókat, mert ha igen, könnyen lehet, hogy az ő munkaállomása is fertőzött.

2) Rendszeresen frissítsük vírusvédelmi szoftvereink definíciós adatbázisát, és futtassunk ellenőrzést.

3) Az Emotet többféle módszert alkalmaz a jelenléte fenntartásához, például auto-start registry kulcsokat
helyez el, a payload-ot pedig az Indítópult (Startup) könyvtárba helyezi.

Az Emotet legtöbbször az alábbi könyvtárakban található:

C:\Users(username)\AppData\Local\
C:\ProgramData\
C:\Windows\system32\
C:\
C:\Windows
C:\Windows\Syswow64

(Amennyiben egy gyanús futtatható fájl található a C:\ProgramData\ könyvtárban, ami a Windows Feladatütemezőben is szerepel, a Trickbottal történő fertőződés is vélelmezhető.)

4) Javasolt a mail szerver logok időközönkénti ellenőrzése. Gyanakvásra adhat okot, amennyiben

  • nagy mennyiségű üzenetet találunk, amelyeknél a HeaderFrom és az EnvelopFrom nem egyezik,
  • szokatlanul nagy számban látunk kimenő e-maileket,
  • nagy mennyiségű olyan e-mailt találunk, amelyek Word fájlokat tartalmaznak a csatolmányként.

5) Ellenőrizzük a hálózati forgalomra vonatkozó naplóbejegyzéseket is. Az Emotet által leginkább használt portok: 20/TCP, 22/TCP, 80/TCP, 443/TCP, 446/TCP, 447/TCP, 449/TCP,465/TCP, 7080/TCP, 8080/TCP, 8090/TCP.

Mit tegyünk, ha Emotet fertőzést észlelünk?

1) Izoláljuk a fertőzött eszközt, őrizzük meg a bizonyítékokat és indítsuk meg az incidenskivizsgálást.

2) Változtassuk meg azon e-mail fiókok jelszavait, amelyeket a fertőzött eszközön használtunk.

3) Vizsgáljunk át minden eszközt a hálózaton.

4) Monitorozzuk a hálózati forgalmi logokat.

5) Ellenőrizzük, hogy más káros kód fertőzés történt-e.

Segíthetünk? Lépjen kapcsolatba velünk!

Hatósági bejelentés

Nemzeti Elektronikus Információbiztonsági Hatóság
Székhely: 1022 Budapest, Törökvész út 32-34.
Levelezési cím: 1399 Budapest 62. Pf. 710/37.
Telefon: +36 (1) 206-9320
Fax: +36 (1) 206-9329
E-mail: info@neih.gov.hu
Hivatali kapu rövid neve: NEIH (KRID: 313910359)
Intézetvezető: dr. Bencsik Balázs

Incidens bejelentés

Incidens bejelentéshez kattintson a következő gombra:

Incidens bejelentés

Incidens bejelentés anonim módon

Anonim incidens bejelentéshez kattintson a következő gombra:

Anonim incidens bejelentés

NKI által kezelt incidensekre vonatkozó statisztikai adatok

Támadástípusok eloszlása 2019.11.22. - 2019.11.28.

Incidensek eloszlása kockázati besorolás szerint 2019.11.22. - 2019.11.28.