Blackberry stellt Anstieg der Emotet-Angriffe fest

Tom Bonner, Distinguished Threat Researcher bei BlackBerry, kommentiert das Emotet-Phänomen:  „Für das Threat- and Intelligence Team von BlackBerry kommt der jüngste Anstieg der Emotet-Malware-Angriffe nicht überraschend. Wir haben die Emotet-Botnets namens Epoche 1, Epoche 2 und Epoche 3 beobachtet und analysiert. Die Botnets fungieren als hochentwickelte Malware-Bereitstellungsplattform. Durch häufiges Aktualisieren entwickeln sich die Angriffe stetig weiter, um neuen Sicherheitsmaßnahmen und Blockern, die zur Bekämpfung der Malware entwickelt wurden, einen Schritt voraus zu sein.

In letzter Zeit wurden die Botnets bei der Verbreitung von Banking-Trojanern namens Qbot und Trickbot sowie von zusätzlichen Tools beobachtet, darunter Credential Stealers, WiFi-Brute-Force-Malware und Spam. Außerdem wurden Module zur Netzwerkverbreitung eingesetzt, die Cyber-Angreifer nutzen können, um sich auszubreiten, sobald sie sich in das Netzwerk einer Organisation einhacken und Zugriff darauf haben.

Diese Art von Malware ist erfolgreich, weil Emotet über eine gute Infrastruktur für schädliche Angriffe verfügt. Es gibt zwei Dinge, die Emotet so stabil machen: Es ist modularisiert, um seine Funktion zu verbessern, so dass es in der Folge eine breite Palette von bösartigen Aktivitäten auf Befehl des Angreifers ausführen kann. Zweitens: Der Entwickler von Emotet pflegt den Code sorgfältig und aktualisiert ihn kontinuierlich.“

Zur Bekämpfung von Emotet und anderer Malware rät Bonner zum Einsatz eines neuen Open Source Tools. PE Tree macht das Reverse-Engineering von Malware für Software-Ingenieure schneller und einfacher.

Das Reverse-Engineering von Malware ist ein extrem zeit- und arbeitsintensiver Prozess, der stundenlanges Disassemblieren und manchmal auch das Dekonstruieren eines Softwareprogramms erfordern kann. Das BlackBerry Research and Intelligence-Team hat dieses Open-Source-Tool zunächst für den internen Gebrauch entwickelt und stellt es nun der Malware-Reverse-Engineering-Community zur Verfügung.

PE Tree ist in Python entwickelt und unterstützt die Betriebssysteme Windows, Linux und Mac. Es kann entweder als eigenständige Anwendung installiert und ausgeführt werden. PE Tree richtet sich an die Reverse-Engineering-Community und lässt sich auch in den IDA Pro-Decompiler von HexRays integrieren, um eine einfache Navigation durch PE-Strukturen zu ermöglichen, PE-Dateien im Speicher zu dumpen und Import-Rekonstruktionen durchzuführen.

„Die Bedrohungslandschaft im Bereich der Cybersicherheit entwickelt sich weiter, und Cyberangriffe werden immer raffinierter und können größeren Schaden anrichten“, sagte Eric Milam, Vice President of Research Operations, BlackBerry. „Da die Cyberkriminellen immer besser werden, braucht die Cyber-Sicherheitsgemeinschaft neue Werkzeuge in ihrem Arsenal, um Organisationen und Menschen zu verteidigen und zu schützen. Wir haben diese Lösung geschaffen, um der Cyber-Sicherheitsgemeinschaft in diesem Kampf zu helfen, in dem es inzwischen mehr als eine Milliarde Malware-Varianten gibt, und diese Zahl wächst jedes Jahr um über 100 Millionen.“

PE Tree ermöglicht es Reverse-Engineers, mit Hilfe von pefile und PyQt5 Portable Executable (PE)-Dateien in einer Baumansicht zu betrachten. Dadurch wird die Messlatte für das Dumping und die Rekonstruktion von Malware aus dem Speicher gesenkt und gleichzeitig eine Open-Source-Codebasis für den PE-Viewer bereitgestellt, auf der die Gemeinschaft aufbauen kann. Das Tool lässt sich auch in den IDA Pro-Decompiler von Hex-Rays integrieren, um eine einfache Navigation durch die PE-Strukturen zu ermöglichen, PE-Dateien im Speicher zu dumpen und Import-Rekonstruktionen durchzuführen, die im Kampf gegen verschiedene Arten von Malware von entscheidender Bedeutung sind.