Kaum ist die Sommerpause vorbei, wütet der Emotet Trojaner erneut durch Deutschland. Das BSI warnte vergangene Woche, dass es in der jüngsten Vergangenheit wieder erneut zum massenhaften Versand des Trojaners an tausende E-Mail-Konten von Unternehmen gekommen ist. Aber auch Privatanwender sind mittlerweile betroffen.
Das Schema einer Emotet-Infizierung
In der Regel läuft ein Angriff des Emotet Trojaners immer nach demselben Muster ab. Leittragende werden über sogenannte Mime-Mails infiziert; E-Mails die bestimmten Merkmale bereits versendeter E-Mails nachahmen.
Imitation
Der Trojaner verbreitet sich, indem er sich hinter dem Absender und Betreff einer in der Vergangenheit tatsächlich versandten E-Mail versteckt. Dadurch, dass der Absender und Betreff dem Empfänger bekannt sind ist es schwierig für Betroffene diese Art von E-Mails als schädlichen Angriff zu identifizieren. Die Daten, um E-Mails in dieser Form imitieren zu können, stammen meist aus früheren Infektionen mit dem Emotet Trojaner.
Anhang
Die von Emotet versendeten Mime-Mails verfügen allesamt über einen einen Mail-Anhang. Dabei verwendet Emotet keine bahnbrechend neue Methoden um sich zu verbreiten, sondern infiziert Systeme über Makros in Office Dokumenten, ein Klassiker der IT-Infektion. Nutzer, die versuchen den Anhang zu öffnen, werden aufgefordert den Inhalt zu aktivieren. Wird dem zugestimmt, wird der Rechner infiziert!
Infizierung
Nach einer Emotet-Infizierung wird die eigentliche Schadsoftware nachgeladen, welche dann die Systeme lahmlegt. Besonders häufig wird ein Trickbot-Schädling nachgeladen oder die Ransomware Ryuk. Ryuk ist ein bekannter Verschlüsselungs-Trojaner der nach einer Infektion die betroffenen Rechner geißelt und eine Lösegeldforderung ausspielt.
Emotet in Action: Ein Ernstfall aus der Praxis
Anhand eines Beispiels aus unserem IT-Security Alltag möchten wir versuchen die zerstörerische Kraft des Emotet Trojaners zu veranschaulichen:
Der Trojaner war in das Netzwerk eines Kunden eingedrungen und hat dort systematisch Schaden angerichtet indem er zuerst den Virenschutz auf den Clients deinstallierte und anschließend alle Server verschlüsselte. Im Nachgang präsentierte er dann eine entsprechende Lösegeld Forderung.
Die Bandsicherung als verlässliches Backup
Glücklicherweise waren Sicherungsbänder und einen Bandwechsler im Einsatz, wodurch das Schlimmste erspart blieb. Da die Backup-Bänder vom Bandwechsler physisch getrennt gelagert wurden, konnte diese durch den Trojaner nicht beeinträchtigt werden und eine Wiederherstellung der Systeme war möglich. Viele Unternehmen haben allerdings keine Bänder mehr im Einsatz und verwenden stattdessen NAS-Geräte zur Speicherung ihrer Sicherungen.
Der Ernstfall
Im Ernstfall können alle Windows Administrationskonten durch Emotet kompromittiert werden. Ein Angreifer könnte über die administrativen Konten versuchen auf die NAS-Geräte zuzugreifen und die Sicherungen dort zu löschen.
Inkrementaler Schutz: Die Multifaktor Authentifizierung
Um das Backup vor Attacken zu schützen wird eine Möglichkeit benötigt, neben Benutzernamen und Kennwort noch einen weiteren Faktor abzufragen, also Multifaktor Authentifizierung zu verwenden. NAS-Speichersysteme von Synology und QNAP bieten entsprechende Möglichkeiten. Dort kann Multifaktor Authentifizierung für lokale Konten aktiviert werden. Die dort verwendete Art der Multifaktor Authentifizierung nennt sich Time-based One-time Password (TOTP) und ist die mit Abstand am häufigsten eingesetzte Multifaktor Authentifizierungs-Variante.
Das TOTP-Verfahren
Beim TOTP-Verfahren werden in zeitlichen Abständen (häufig im 30 Sekunden Takt) 6-stellige Zahlen erzeugt. Nach diesem Zeitintervall wird eine neue Zahlenfolge erzeugt, die wiederum nur 30 Sekunden gültig ist, und so weiter. Damit beide Geräte den korrekten Zahlencode berechnen können ist es notwendig das die Uhrzeit auf beiden Geräten übereinstimmt, da die aktuelle Uhrzeit in die Berechnung des Zahlencodes mit einbezogen wird. Zudem müssen die beteiligten Geräte einmal zu Beginn synchronisiert werden, das geschieht häufig über den Scan eines QR-Codes.
TOTP & Passwort-Manager
Diese Art der Authentifizierung ist ein deutlicher Sicherheitsgewinn! Es stellt sich damit aber die Herausforderung, den aktuellen TOTP-Zahlencode in einem Passwort-Manager wie z.B. KeePass zu speichern. Glücklicherweise gibt es genau für diesen Passwort-Manager ein kostenloses Plugin, dass genau diese Aufgabe übernimmt: KeeTrayTOTP.
KeyTrayTOTP Installations-Anleitung für KeePass
Das KeyTray TOTP Projekt wird auf Github gehostet, dort steht auf der Seite Release die aktuellste Version des Plugins zum Download bereit. Zur Installation muss die aktuellste Version des Plugins heruntergeladen werden (.plgx-Endung). Zum Zeitpunkt der Erstellung dieses Beitrags war das die Version 0.98 Beta. Trotz des Namenszusatzes „Beta“ läuft das Plugin ohne Probleme.
Nach dem Download muss das Plugin in das KeePass Verzeichnis im Unterverzeichnis „Plugins“ abgelegt werden. Eine Schritt-für-Schritt Anleitung, wie Sie die Zwei Faktor Authentifizierung in KeePass integrieren können haben wir, an Hand eines QNAP NAS-Speichersystems, in diesem kurzen PDF illustriert und zusammengestellt:
Vorbeugende Maßnahmen
Neben der Multifaktor Authentifizierung gibt eine weitere Anzahl vorbeugender Maßnahmen, die umgesetzt werden sollten um sich vor Emot zu schützen.
Als Dienstleister im Bereich IT-Security kann die iT Total AG Sie proaktiv unterstützen und Ihre IT-Infrastruktur vor Angriffen des Emotet Trojaners härten:
- Prüfung der Security- und Backup-Komponenten, Installationen, Prozesse, ggf. Upgrade, Überarbeitung, Erweiterung
- Managed Security
- Managed Backup
- Patch-Management
- Härtung von Netzwerken und Systemen
- Mitarbeiterschulungen (Kaspersky Awareness Training)
- Regelmäßige Kennwortänderungen auch bei administrativen und Dienstkonten
- Multifaktor Authentifizierung
Kommentieren
Die Kommentarfunktion ist für diesen Artikel deaktiviert.