SophosLabs'teki güvenlik araştırmacıları, yeniden etkinleştirilen Emotet botnet'in mevcut faaliyetlerini araştırıyorlar. Emotet'in şu anda botnet'in kötü amaçlı yazılımı tarafından güvenlik önlemlerini kamufle etmek ve gizlemek için kullanılan bir kodlama tekniği olan CFF'yi nasıl kullandığını açıklıyorlar.
Emotet, tehdit ortamındaki en profesyonel ve uzun ömürlü siber suç hizmetlerinden ve kötü amaçlı yazılım bulaşmalarından biri olmuştur. Botnet, 2014'teki ilk çıkışından kısa bir süre sonra kötü bir üne kavuştu ve Ocak 2021'de faaliyetlerini neredeyse bir yıl süreyle askıya alan çok uluslu bir kanun uygulama operasyonu tarafından durduruldu. Nihayet Kasım 2021'de botnet yeniden ortaya çıktı ve Sophos'un radarında yeniden belirdi.
Emotet: Tekrar radarda
SophosLabs güvenlik araştırmacısı Andreas Klopsch, "Yasaların uygulanmasına neredeyse bir yıl ara verdikten sonra, kötü şöhretli Emotet botnet'i, SophosLabs'ın korumalı alanları ve izleme sistemlerinin kanıtladığı gibi, yeniden yükselişe geçti" dedi.
“Yukarıdaki çubuk grafik, 2022'nin ilk çeyreğinde Sophos sandbox sistemlerinde tespit edilen Emotet'in ortaya çıkışını gösteriyor. Grafikten de görülebileceği gibi, her gün birden fazla Emotet gönderimi alıyoruz; yinelenen büyük artışların büyük ölçekli kampanyalar olduğunu varsayıyoruz. Emotet, esas olarak e-posta spam'ı yoluyla dağıtılır ve daha fazla kötü amaçlı e-posta doğal olarak daha fazla sanal alan gönderimine yol açar.
Ayrıca araştırma ekibi, Emotet'in savunmaları yavaşlatmak için CFF'yi hızlandırıcı olarak sıklıkla kullandığını fark etti; 2020'den beri kullanılan bir teknik.
Bir taktik olarak şaşırtmaca
“CFF, kötü amaçlı yazılımın amacını gizlemek için kullanılan, savunucuların saldırıları anlamasını ve bunlara karşı koruma sağlamasını zorlaştıran, iyi bilinen bir şaşırtma tekniğidir. Bu karartma tekniğini kaldırma işlemine 'düzleştirme' denir. SophosLabs'teki araştırma ekibimiz, karartılmış işlevlerin çoğunu ortaya çıkarmayı başardı ve birkaç ek gizleme katmanını kırdı. Bu, Emotet'in dahili işleyişini daha derine inmemizi sağlar. Bu, şirketlerin bir Emotet saldırısı durumunda daha iyi algılama ve daha hızlı tepki süresine sahip olmalarını sağlıyor,” diyor Andreas Klopsch.
Sophos ayrıca, savunucuların bir Emotet saldırısında CFF katman yığınlarını çözmesine yardımcı olmak için GitHub'da bir araç yayınladı. ve ifşa etmek.
Daha fazlası Sophos.com'da
Sophos Hakkında Sophos, 100 ülkede 150 milyondan fazla kullanıcı tarafından güvenilmektedir. Karmaşık BT tehditlerine ve veri kaybına karşı en iyi korumayı sunuyoruz. Kapsamlı güvenlik çözümlerimizin kurulumu, kullanımı ve yönetimi kolaydır. Sektördeki en düşük toplam sahip olma maliyetini sunarlar. Sophos uç noktalar, ağlar, mobil cihazlar, e-posta ve web için ödüllü şifreleme çözümleri ve güvenlik çözümleri sunar. Tescilli analiz merkezlerinden oluşan küresel ağımız SophosLabs'tan da destek var. Sophos'un genel merkezi Boston, ABD ve Oxford, İngiltere'dedir.