# Emotet mit Rspamd und Oletools bekämpfen – die vielen kleinen Tricks (Teil 4)

Wir nähern uns dem entscheidenden Teil, aber es gibt noch mehr zu berichten ;)

Bisher sahen wir stupide Emotet-Mails, deren Text bei genauerem Lesen und ein wenig Nachdenken eigentlich niemanden dazu animieren sollte, auf den Anhang zu klicken und dann auch noch die Makros darin zu aktivieren. Wir erinnern uns: es passiert trotzdem. Daneben gab es aber auch immer wieder gut aufgemachte Phishing-Mail-Wellen, die sogar auf einzelne Universitäten oder Unternehmen angepasst wurden oder im Privat-Bereich natürlich Paypal oder Amazon betrafen. Neu war dieses Jahr, dass beides kombiniert wurde. Texte von Emotet-Mails wurden an Unternehmen, Branchen, Marken oder auch betreffende Hobbies angepasst.

Dazu wurde auch Bezug auf alte versendete Mails genommen, die wahrscheinlich von
geknackten E-Mail-Konten oder verseuchten Computern abgezogen wurden.

Für Outlook gibt es sogar eine schädliche VBS-Erweiterung, die dauerhaft Daten
direkt aus dem Mail-Programm abzieht.
(https://www.bleepingcomputer.com/news/security/gamaredon-hackers-use-outlook-macros-to-spread-malware-to-contacts/)

Die Tricks der Malware-Autoren: Verschleierung und Täuschung

Ein Beispiel für diese Mails wäre, dass Studenten von ihrem scheinbaren Dozenten ein aktualisiertes Formular zur Prüfungsanmeldung bekamen, welches natürlich ein Word-Dokument mit Emotet war versehen mit einer Ausrede, warum Makros unbedingt aktiviert werden müssten. Natürlich wäre die manipulierte Mail für das Anti-Spam-System erkennbar gewesen. Leider gibt es aus Sicht des Mail-Admins häufig nicht genau spezifizierbare Ausnahmen, die einer strengeren Prüfung solcher Mails zuwider laufen. Wir hätten viel gewonnen, könnten wir hier restriktiver agieren.

Ein Seiteneffekt dieser Kampagnen wurden auch Emotets, die in Zip-Dateien mit Passwort verpackt wurden. Das Passwort wurde für jeden Anhang frisch generiert, ja sogar die Word-Datei mit Makro Virus wurde erst Sekunden vor dem Mail-Versand erstellt. Die Zip-Datei kam in einer Variation, die Python mit seiner Zip Library nicht entpacken konnte, Windows aber schon. Komisch: Oletools, in Python implementiert, unterstützt ja auch die Analyse von Office-Dokumenten in Zip-Archiven mit angegebenem Passwort.

Dieses Mal konnten uns einige Rspamd-Funktionen helfen, die verschlüsselten Zip- Dateien und das Passwort zu erkennen. Aber ich glaube, wir brauchen für die Zukunft bessere Tools. Wir arbeiten daran.

Office Dateien sind aber auch in der Lage externe Dateien einzubinden. So z.B. als Theme Template oder via DDE. Es muss also nicht einmal der Dropper im angehängten File wirklich enthalten sein. Office und VBA bieten scheinbar eine unüberschaubare Bandbreite an Möglichkeiten, schädlichen Code auf ein System zu bringen, wenn der Benutzer nur einen kleinen Moment nicht aufpasst und zu gutgläubig ist. Das Prinzip von Emotet und Co. wird uns wohl noch lange erhalten bleiben, denn auch das PDF-Format hat mit seiner JavaScript Unterstützung ähnliche Möglichkeiten.

Autor: Carsten Rosenberg, Linux-Consultant, Heinlein Support

Hier nochmal alle bisher erschienen Artikel aus unserer Reihe „Emotet mit Rspamd und Oletools bekämpfen“ zum Nachlesen:

Emotet mit Rspamd und Oletools bekämpfen (Teil 1)

Emotet mit Rspamd und Oletools bekämpfen (Teil 2)

Emotet mit Rspamd und Oletools bekämpfen – Emotet 2020 (Teil 3)

Dieser Beitrag wurde unter News veröffentlicht. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.