Az Emotet évek óta az egyik legtöbb fertőzést okozó malware, amely elsősorban hitelesítési információk eltulajdonítására és további káros programok, például banki trójaiak telepítésére szakosodott.
A japán CERT (JPCERT/CC) az Emotet fertőzések megszaporodott száma miatt figyelmeztetést adott ki, amelyben instrukciókat fogalmaznak meg arra vonatkozóan, hogy hogyan lehet észlelni a káros kód jelenlétét és mit javasolt tenni fertőződés esetén. (A blogbejegyzésben káros e-mail minták is szerepelnek.)
Hogyan vegyük észre a káros kódot?
1) Amennyiben gyanús e-mailt észlelünk, javasolt felvenni a kapcsolatot az e-mailben megszemélyesített személlyel. Tudjuk meg például, hogy az Office-ban engedélyezte-e a makrókat, mert ha igen, könnyen lehet, hogy az ő munkaállomása is fertőzött.
2) Rendszeresen frissítsük vírusvédelmi szoftvereink definíciós adatbázisát, és futtassunk ellenőrzést.
3) Az Emotet többféle módszert alkalmaz a jelenléte fenntartásához, például auto-start registry kulcsokat
helyez el, a payload-ot pedig az Indítópult (Startup) könyvtárba helyezi.
Az Emotet legtöbbször az alábbi könyvtárakban található:
C:\Users(username)\AppData\Local\
C:\ProgramData\
C:\Windows\system32\
C:\
C:\Windows
C:\Windows\Syswow64
(Amennyiben egy gyanús futtatható fájl található a C:\ProgramData\ könyvtárban, ami a Windows Feladatütemezőben is szerepel, a Trickbottal történő fertőződés is vélelmezhető.)
4) Javasolt a mail szerver logok időközönkénti ellenőrzése. Gyanakvásra adhat okot, amennyiben
- nagy mennyiségű üzenetet találunk, amelyeknél a HeaderFrom és az EnvelopFrom nem egyezik,
- szokatlanul nagy számban látunk kimenő e-maileket,
- nagy mennyiségű olyan e-mailt találunk, amelyek Word fájlokat tartalmaznak a csatolmányként.
5) Ellenőrizzük a hálózati forgalomra vonatkozó naplóbejegyzéseket is. Az Emotet által leginkább használt portok: 20/TCP, 22/TCP, 80/TCP, 443/TCP, 446/TCP, 447/TCP, 449/TCP,465/TCP, 7080/TCP, 8080/TCP, 8090/TCP.
Mit tegyünk, ha Emotet fertőzést észlelünk?
1) Izoláljuk a fertőzött eszközt, őrizzük meg a bizonyítékokat és indítsuk meg az incidenskivizsgálást.
2) Változtassuk meg azon e-mail fiókok jelszavait, amelyeket a fertőzött eszközön használtunk.
3) Vizsgáljunk át minden eszközt a hálózaton.
4) Monitorozzuk a hálózati forgalmi logokat.
5) Ellenőrizzük, hogy más káros kód fertőzés történt-e.
