Nálunk is felbukkanhat az egyik leggyakoribb kártevő: harc az Emotet ellen

forrás: Prím Online, 2019. február 4. 12:40

Az Emotet káros spam kampányokban érkezik és bármilyen komponenst szállíthat, amivel csak pénzt lehet keresni. Ez idén eddig jellemzően a TrickBot és QBot banki trójai szoftvereket jelentette, de kapcsolták már a BitPaymerhez is - egy kifinomult zsarolóvírus típushoz, amely nyolcszámjegyű váltságdíjakat zsarol ki. 

2018 júliusában az US-CERT (United States Computer Emergency Readiness Team, azaz az Egyesült Államok informatikai vészhelyzetekre szakosodott készenléti csapata) kiadott egy figyelmeztetést, amely így mutatta be az Emotetet: “a legköltségesebb és legpusztítóbb vírusok között van, amelyek az SLTT [állami, helyi, törzsi és territoriális] kormányzattal kapcsolatba kerültek.)

 

Féregszerű tulajdonságai miatt gyorsan szét tud terjedni a lokális hálózaton, amely ellen nehéz védekezni, de a Sophos szerint nem lehetetlen:

 

1. Biztosítsa az összes számítógépét!

A megelőzés jobb, mint a kezelés; a legjobb preventív lépés pedig az, ha megbizonyosodik arról, hogy nincs biztonsági réseket tartalmazó számítógép a hálózatán. Amikor egy szervezetre csapást mér az Emotet, a fertőzés forrása továbbra is egy hálózaton lévő, nem biztonságos számítógép. Használhat ingyenes hálózati szkennelő eszközt, amellyel lekérdezheti a hálózaton lévő összes aktív készülék listáját, ezt pedig összehasonlíthatja a biztonsági menedzsment felületén található adatokkal. Ha bármilyen ismeretlen eszközt talál, patchelje és telepítsen naprakész végpontvédelmi szoftvert a lehető leggyorsabban!

 

Az ismeretlen, nem biztonságos gépek az Emotet számára rejtőzködésre és adaptálódásra alkalmas helyet biztosítanak, amely a súlyos helyzetet tovább rontja. Habár "bebörtönözhető" a nem biztonságos gépre a más gépeken futó biztonsági szoftverekkel, folyamatosan próbálkozik majd a kitöréssel. És mivel "alakváltó", rendkívüli ütemben kap frissítéseket (naponta akár többször is), payloadja pedig pillanatok alatt változhat, folyamatosan új kihívásokat ad majd. Minél tovább végezheti tevékenységeit, annál nagyobb a veszélye annak, hogy az Emotet egy frissítése vagy a payload/kód megváltozása miatt rést talál a pajzsán, kiszabadul és terjedni kezd hálózatán.

 

Lehetetlen előre látni, hogy mi fogja megtalálni ezt a rést - talán egy új exploit/program, vagy egy mutáció, amely ideiglenesen elrejti az Emotetet a szignatúra alapú antivírussal szemben. Ezért alapvető fontosságú a megfelelő végpontvédelmi rendszer telepítése, amely megállítja a fertőzést.

 

2. Patcheljen korán, patcheljen gyakran (patchelni: javítani)

Az Emotet egy átjáró más vírusok számára, így az Emotet fertőzés feltartóztatása nem csak az Emotet megállítását jelenti, hanem minden más fenyegetését, amelyet az magával hoz. Mivel nem tudhatja, hogy az milyen kártevő lesz, ezért a legjobb ár-érték arányú óvintézkedéseket kell választania. A lista legtetején (és ez egy bevallottan hosszú lista) az ismert sebezhetőségek patchelésének kell állnia. A sérülékeny szoftver az Emotet fertőzéseket tovább rontja, és nehezebben állíthatók meg. 

 

3. Alapértelmezésben blokkolja a PowerShellt! (Powershell: Microsoft univerzális rendszerkezelő, feladatautomatizáló platformja)

Az Emotat tipikusan ártalmas email mellékletként érkezik és egy fertőzés gyakran így kezdődik:

1. A felhasználó egy emailt kap, amelyben egy Word dokumentum a csatolmány.

2. A felhasználó megnyitja a Word dokumentumot, elkövetve azt a hibát, engedélyezi a benne levő makró program végrehajtását.

3. A makró elindítja a PowerShellt, hogy töltse le az Emotetet.

4. Az Emotet fertőzés elkezdődik.

 

Alapértelmezésben blokkoljuk a felhasználók hozzáférését a PowerShellhez. Ez alatt nem azt értjük, hogy mindenki számára kell blokkolni - néhány dolgozónak szükséges lesz a PowerShellre. Inkább csak azoknak engedélyezze a hozzáférést, akiknek valóban, bizonyíthatóan kell!

 

És amikor azt mondjuk, hogy blokkolja, úgy értjük, blokkolja és nem egyszerűen a házirendben beállítsa a kikapcsolását. A házirendek megkerülhetőek, így a PowerShellt a blokkolt elemek listájára kell tenni (a feladatot ellátó Sophos funkció neve Application Control). A Sophos News oldalán többet olvashat arról, hogy a Sophos termékek hogyan állítják meg az Emotetet