EMOTET - Retour d'expérience

mySOC & Security-as-a-Service
EMOTET - Retour d'expérience

Depuis quelques semaines le nom Emotet est sur toutes les lèvres ! On en compte plus les organisations victimes de ce programme. Preuve de son danger l'ANSSI a partagé un avis complet sur EmotetDans cet article on vous donne quelques clés pour comprendre le fonctionnement, mais surtout comment éviter d'en être victime !

EMOTET c'est quoi ?

Emotet fait partie de la famille des Dropper : C’est un programme dont la fonction première est de télécharger d’autres composants malveillants sur les systèmes infectés.Dans le cas d’Emotet, on observe principalement l’intégration de chevaux de Troie bancaires de type : Trickbot, QBot, Dridex, GootKit, etc. A terme, des ransomwares comme Ryuk ou Conti peuvent également être activés sur les systèmes infectés ce qui fait d’Emotet une menace à prendre au sérieux.
Historiquement, les premières observations du malware Emotet remontent à 2014 où il subtilisait des informations sensibles sur les machines infectées. C’est à partir de 2017, et après plusieurs mutations importantes, qu’Emotet a véritablement commencé à faire parler de lui.

Figure 1: Recherche du terme "Emotet" de Janvier 2013 à Septembre 2020 (source : Google)

En Septembre 2020, Emotet est devenu un problème mondial dont certaines sources, comme le département de la défense Américain, qualifie « Emotet comme étant un malware parmi les plus couteux et les plus destructeurs » (source : https://us-cert.cisa.gov/ncas/alerts/TA18-201A).

Figure 2: Intérêt du terme "Emotet" par région (source : Google)

A travers cette article, nous allons vous présenter pourquoi l’actualité autour d’Emotet s’intensifie, comment se protéger efficacement face à cette menace grandissante et enfin nous vous partagerons nos observations avec un retour d’expérience de notre SOC à Advens.

Autopsie d'Emotet 

Le mode opératoire d'Emotet

Commençons par le début : Comment peut-on être infecté par Emotet ?

Si on vous parle du principal vecteur d’infection des malwares, vous pensez au phishing n’est-ce pas ?

Bingo ! Il n’y a rien de surprenant à ce qu’Emotet s’appuie sur le vecteur d’infection le plus utilisé (et le plus efficace…).

Figure 3: Exemple d'email de phishing Emotet (source : MalwareBytes)

Une fois qu’un utilisateur victime du phishing va exécuter la macro malveillante, un processus cmd.exe suivi d’un processus PowerShell.exe ou WScript.exe est exécuté. Ce dernier processus va télécharger le loader Emotet sur Internet.

Deux actions sont ensuite opérées par le loader Emotet :

  • Établissement de persistance dans les registres Windows
  • Téléchargement d’autres malwares sur le poste infecté (TrickBot, Dridex, …)

Ce n’est malheureusement pas terminé.

Dans ses dernières versions, Emotet intègre plusieurs modules nativement comme :

  • Un module de vol d’emails Outlook
  • Un module de récupération de mots de passes enregistrés dans les navigateurs webs ou dans les emails
  • Un module pour bruteforcer les mots de passes d’administration
  • Un module pour initier des campagnes de spam et tenter d’infecter d’autres utilisateurs ou d’autres organisations
  • Un module de propagation tentant d’exploiter des vulnérabilités connues sur les machines du réseau comme EternalBlue/DoublePulsar.

Figure 4: Cycle de vie du malware Emotet (source : Cybereason)

Comment détecter Emotet

Maintenant que l’on a parcouru le mode opératoire d’Emotet, on peut se poser la question :
« Comment détecter Emotet et l’éradiquer suite à une infection ? »
Tout d’abord, nous avons volontairement omis un détail important jusqu’à présent : Emotet est un malware polymorphique. Cela veut simplement dire que le malware évolue constamment dans sa structure (= légère modification du code du malware à chaque réplication) et dans sa façon de communiquer (= les ressources contactées par Emotet sur Internet changent régulièrement et parfois d’heures en heures).Cela soulève donc un problème important sur la détection de ce type de malware :

« Est-ce que mon Antivirus peut détecter efficacement Emotet ? ».
Un Antivirus sans analyse comportementale, aura des difficultés à détecter efficacement Emotet sur une machine infectée du fait de la variabilité et du polymorphisme d’Emotet.Des solutions plus sophistiquées comme les EDR (Endpoint Detection Response) permettent de détecter plus efficacement des comportements suspects sans avoir recours à des signatures ou des indicateurs de compromission déjà référencées.

Figure 5: Détection et blocage d'Emotet avec l'EDR Cybereason (source : Advens / Cybereason)

Figure 6: Exemple de commande PowerShell obfusquée et exécutée par Emotet (source: Advens / Cybereason)
 

Pour l’éradication du malware suite à une infection, nous verrons dans la 3éme partie de cet article que ce n’est pas une mince affaire car les propriétés de réplication d’Emotet sont très efficaces et que le processus d’éradication complet d’Emotet peut prendre du temps.
Dans le cas d’Emotet, l’adage « Il est préférable de prévenir que de guérir » prend tout son sens.

Comment se protéger d'Emotet ? 
Il est tout à fait possible de se prémunir d’une infection d’Emotet en suivant quelques bonnes pratiques :

  • Sensibiliser les utilisateurs aux bonnes pratiques lors de la réception d’un email
  • Vérifier que tous les endpoints sont à jour et complément patchés
  • Vérifier que tous les endpoints disposent d’une solution active de surveillance et de défense
  • Désactiver l’exécution de Macros avec une politique de groupe
  • Désactiver l’exécution de programme dans le dossier TEMP avec une politique de groupe
  • Mettre en place une authentification multi-facteur pour tous les accès sensibles
  • Réaliser une coupure technologique des sauvegardes et vérifier l’intégrité de ces dernières

Que faire en cas d'infection ? 

En cas d’infection avérée d’une machine, nous vous recommandons de déconnecter ou isoler (EDR) le poste sans l’éteindre.
A des fins d’analyses, nous vous recommandons :

  • D’identifier et de récupérer l’email malveillant avec la pièce jointe afin d’alimenter les solutions de protection en indicateurs de compromission (ex : titre de l’email, émetteur de l’email, …)
  • Rechercher le même email dans les autres boîtes emails pour le supprimer
  • Par mesure de prévention, modifier le mot de passe des utilisateurs impactés

Pour aller plus loin dans les analyses, nous vous recommandons d’investiguer en priorité sur :

  • Les marquants réseaux Emotet sur les journaux des équipements périmétriques (pare-feu, IDS/IPS, …)
  • Les journaux système avec sysmon (analyse des empreintes sha1 ou 256) ou avec une solution EDR
  • Les journaux système utilisation de powershell avec une commande encodée / obfusquée 
  • Les journaux système utilisation de cmd/powershell/wmi par des documents office
  • Les journaux active directory concernant la modification ou l’ajout de comptes suspects
  • Les journaux d'accès au serveur de sauvegarde par des postes non standard

Retour d'expérience SOC Advens

Intervention sur un parc déjà infecté

Nous avons été contactés par une société infectée par Emotet. L’infection s’est passée de façon classique mais efficace (phishing / macro). Leur solution de sécurité (antivirus/proxy/pare-feu) a réussi à détecter la menace à certains endroits du parc mais n’était pas capable de désinfecter efficacement tous les postes.

Le malware étant polymorphique, sa signature change toutes les heures et les signatures de l’antivirus ne pouvaient pas suivre.
Emotet peut ensuite déployer d’autre outils comme des ransomwares. Il faut donc agir vite. Une première décision a été prise d’installer l’EDR Cybereason sur le parc. D’abords avec un mode de fonctionnement non invasif. Cela a permis de détecter et corréler les infections Emotet. Nous avons été capable de remonter efficacement une liste de postes infectés et des IOC spécifiques à l’attaque. Après avoir bloqué les domaines contactés par le malware l’entreprise a essayé de nettoyer ses postes via l’antivirus classique, mais cela n’a pas été suffisant.
Après un test sur une dizaine de poste infectés pour prouver l’efficacité du produit nous avons décidé avec l’entreprise de désinstaller leur antivirus au profit de l’edr. (L’infection était passé de 200 à 600 machines et la situation devenait critique). Cybereason déployé, il nous a été possible de bloquer les script powershell malicieux avant même qu’un poste soit réellement infecté ce qui a stoppé l’évolution de la menace. Nous avons pu scanner les postes infectés et éradiquer les malwares et leurs moyens de persistance sur les postes (sans avoir à réinstaller les machines). En quelques jours nous somme passer de 600 machines à une trentaine de postes qui ont nécessité une intervention manuelle pour avoir une éradication totale sur le parc.

Gestion de la vague de Septembre 2020

Nous supervisons plusieurs sociétés équipés d’edr dont la société citée précédemment.

Lors de la vague de septembre nous avons vite eu des alertes liées au mode opératoire d’Emotet. Grace à la capacité de l'EDR à intercepter le déploiement du malware au moment de l’ouverture des pièce jointes malicieuse nous avons pu bloquer rapidement l’infection des parcs supervisés.
Les IOC spécifique à la campagne de septembre ont été remontés à nos client EDR pour qu’ils puissent bloquer cette menace à différent endroits de leur réseau. Et une liste des postes qui ont reçu les documents suspects leur a été fournis. 
L’infection n’a jamais touché plus de quelques postes sur les différents établissements supervisé. L’efficacité de la gestion de cette menace est liée au fait d’avoir rapidement disposer d'une liste de poste infectés, d'avoir pu les isoler avec l’accord du client et d’être capable de vérifier si le poste est infecté et comment.
Dans le cas d’infection d’un parc la vitesse de réaction est importante pour limiter les dégâts. Avoir une vision précise du parc à un instant T permet de réagir aussi plus efficacement.

 

Anthony Dechy, Expert Sécurité - Equipe Vulture, Advens