Mit tegyünk Emotet fertőzés esetén?

Az Emotet évek óta az egyik legtöbb fertőzést okozó malware, amely elsősorban hitelesítési információk eltulajdonítására és további káros programok, például banki trójaiak telepítésére szakosodott.

A japán CERT (JPCERT/CC) az Emotet fertőzések megszaporodott száma miatt figyelmeztetést adott ki, amelyben instrukciókat fogalmaznak meg arra vonatkozóan, hogy hogyan lehet észlelni a káros kód jelenlétét és mit javasolt tenni fertőződés esetén. (A blogbejegyzésben káros e-mail minták is szerepelnek.)

Hogyan vegyük észre a káros kódot?

1) Amennyiben gyanús e-mailt észlelünk, javasolt felvenni a kapcsolatot az e-mailben megszemélyesített személlyel. Tudjuk meg például, hogy az Office-ban engedélyezte-e a makrókat, mert ha igen, könnyen lehet, hogy az ő munkaállomása is fertőzött.

2) Rendszeresen frissítsük vírusvédelmi szoftvereink definíciós adatbázisát, és futtassunk ellenőrzést.

3) Az Emotet többféle módszert alkalmaz a jelenléte fenntartásához, például auto-start registry kulcsokat
helyez el, a payload-ot pedig az Indítópult (Startup) könyvtárba helyezi.

Az Emotet legtöbbször az alábbi könyvtárakban található:

C:\Users(username)\AppData\Local\
C:\ProgramData\
C:\Windows\system32\
C:\
C:\Windows
C:\Windows\Syswow64

(Amennyiben egy gyanús futtatható fájl található a C:\ProgramData\ könyvtárban, ami a Windows Feladatütemezőben is szerepel, a Trickbottal történő fertőződés is vélelmezhető.)

4) Javasolt a mail szerver logok időközönkénti ellenőrzése. Gyanakvásra adhat okot, amennyiben

  • nagy mennyiségű üzenetet találunk, amelyeknél a HeaderFrom és az EnvelopFrom nem egyezik,
  • szokatlanul nagy számban látunk kimenő e-maileket,
  • nagy mennyiségű olyan e-mailt találunk, amelyek Word fájlokat tartalmaznak a csatolmányként.

5) Ellenőrizzük a hálózati forgalomra vonatkozó naplóbejegyzéseket is. Az Emotet által leginkább használt portok: 20/TCP, 22/TCP, 80/TCP, 443/TCP, 446/TCP, 447/TCP, 449/TCP,465/TCP, 7080/TCP, 8080/TCP, 8090/TCP.

Mit tegyünk, ha Emotet fertőzést észlelünk?

1) Izoláljuk a fertőzött eszközt, őrizzük meg a bizonyítékokat és indítsuk meg az incidenskivizsgálást.

2) Változtassuk meg azon e-mail fiókok jelszavait, amelyeket a fertőzött eszközön használtunk.

3) Vizsgáljunk át minden eszközt a hálózaton.

4) Monitorozzuk a hálózati forgalmi logokat.

5) Ellenőrizzük, hogy más káros kód fertőzés történt-e.