IBM X-Force'a göre Emotet adlı kötü amaçlı yazılım son zamanlarda Almanya ve Japonya'da yayılmaya başladı ve bölgedeki şirketleri giderek daha agresif bir şekilde hedef alıyor.
Emotet, kötü amaçlı sitelere bağlantılar içeren makro etkinleştirilmiş e-posta ekleriyle yayılan bir bankacılık Truva atıdır. Esas olarak TrickBot Truva Atı ve Ryuk fidye yazılımı gibi diğer kötü amaçlı yazılımlar için bir indirici olarak işlev görür. Polimorfik yapısı nedeniyle, geleneksel imza tabanlı tespit yöntemlerinden kaçınabilir ve bu da onunla mücadele etmeyi özellikle zorlaştırır. Bir sisteme sızdıktan sonra, çalışan süreçleri enfekte eder ve talimatlar almak, indirmeleri çalıştırmak ve çalınan verileri yüklemek için uzak bir C&C sunucusuna bağlanır (us-cert.gov).
Geleneksel olarak, Emotet kurumsal faturalandırma bildirimlerini gizlemek için kullanıyordu, genellikle meşru görünmek için saygın kurumların markalarını taklit ediyordu. Bu strateji, ABD'deki (tüm saldırıların %52'si), Japonya'daki (%22) ve AB ülkelerindeki (japonya.zdnet.comAralık 2019'da yaşanan bir olay, Avrupa Merkez Bankası'nın merkezi olan Frankfurt şehrinin kapanmasına neden oldu. network (zdnet.com).
Ancak Japonya'da kötü amaçlı yazılım, geçmiş yıllara kıyasla çok daha büyük bir saldırganlıkla hareket ediyor. 2019'un sonlarında artan bir etkinlik bildirildi ve yakın zamanda Çin'deki koronavirüs salgınının ardından Emotet taktik değiştirdi ve şimdi Gifu, Osaka ve Tottori vilayetlerinde koronavirüs vakalarına ilişkin rahatsız edici raporlarla sahte halk sağlığı uyarıları biçiminde Japonya'nın her yerine yayılıyor (IBM X-Force Exchange).
Bu, bu tür kötü amaçlı yazılımları bu kadar tehlikeli kılan şeyin iyi bir örneğidir; yalnızca imza tabanlı yöntemlerle tespit edilmeye karşı dirençli olmakla kalmaz, aynı zamanda kendini yaymak için temel insan duygularını da manipüle eder.
Bu nedenle Emotet'e karşı koruma daha karmaşık önlemler gerektirir. İyi bilgilendirilmiş önlemenin yanı sıra, bununla başa çıkmanın etkili bir yolu, uzlaşma göstergelerini (IoC) arayan davranış analizine güvenmektir. Flowmon'un durumunda, bu, standart bir tespit yöntemi olarak var olan InformationStealers davranış kalıbı (BPattern) biçimini alır. Flowmon Reklamları ve Emotet'in varlığının belirtilerini tanımlar. network.
BPattern'ler, farklı kötü niyetli aktörlerin kendilerini nasıl gösterdiklerinin bir tür açıklaması olarak düşünülebilir. networkBu sayede sistem, trafiği izlerken ve kritik bir şekilde değerlendirirken tehditleri diğer faaliyetlerden ayırt edebilir. Geleneksel imzalardan farklı olarak, BPattern'ler belirli bir kod parçası aramaz ve bu nedenle yaşam döngüleri boyunca dönüşüme uğrayıp ilerlerken bile tehditleri tanımlama yeteneklerini korurlar.
Fortinet tarafından yayınlanan bir analize göre Emotet, yükü indirmek için 5 URL ve 61 sabit kodlu C&C sunucusu kullanıyor (fortinet.com/blog). Bu bilgi BPattern'e dahildir ve sistem tarafından enfeksiyonu tanımak ve yayılmadan önce onu kontrol altına almak için kullanılır. Ek bir koruma katmanı olarak, TrickBot için de bir BPattern vardır (TOR_Malware). Her iki desen de Truva atlarının nasıl geliştiğine bağlı olarak periyodik olarak güncellenir ve düzenli güncellemelerin bir parçası olarak kullanıcılara iletilir. Emotet kötü amaçlı yazılımının artan sıklığı konusunda bizi uyaran ve en son güncellemeyi başlatan Flowmon'un ortağı Orizon Systems'dı.
Ancak hiçbir koruma kusursuz değildir ve herkesin antivirüs, güvenlik duvarlarında IoC tespiti, izinsiz giriş tespit sistemleri (IDS) ve davranışsal analiz de dahil olmak üzere çeşitli siber koruma katmanlarını yerinde ve güncel tutması önerilir. networkEmotet sahte e-postalar yoluyla yayıldığı için, kullanıcılar özellikle dış kaynaklardan gelen faturalar ve belgelerle günlük olarak temas halinde olanların ekleri açarken dikkatli olmaları ve şüpheli veya olağandışı herhangi bir e-postayı güvenlik ekibine bildirmeleri gerekmektedir.
Flowmon ADS kullanarak tehdit algılama hakkında daha fazla bilgi edinmek için iletişime geçin daha fazla bilgi için veya deneyin gösteri.
Bu blogu paylaşın:
Timur, Kurucusu ve CEO'sudur. NEOX Networks, Konusunda lider bir sağlayıcı network Görünürlük ve güvenlik çözümleri. Alanında 25 yılı aşkın deneyime sahip olan Timur, günümüzün BT ve OT ekiplerinin karşılaştığı zorlukları derinlemesine anlamaktadır. network ve güvenlik alanlarında uzmanlaşmıştır. Karmaşık sorunları çözmek için teknolojiden yararlanmaya tutkuyla bağlıdır ve etkili çözümlerin mümkün olduğuna inanmaktadır. network İş uygulamalarının kullanılabilirliği ve güvenliği söz konusu olduğunda, görünürlük herhangi bir kuruluşun başarısı için kritik öneme sahiptir. Timur, NEOX müşterilerinin değişen ihtiyaçlarını karşılayan yenilikçi çözümler sunmaya kendini adamıştır.