Kasım 2021'deki geri dönüşünden bu yana Emotet'te yaşananların kısa bir özeti
Emotet, Mealybug veya TA2014 olarak bilinen bir siber suç grubu tarafından işletilen, 542'ten beri aktif olan bir kötü amaçlı yazılım ailesidir. Bir bankacılık truva atı olarak başlamasına rağmen, daha sonra dünya çapında en yaygın tehditlerden biri haline gelen bir botnet'e dönüştü. Emotet spam e-postalar aracılığıyla yayılır; güvenliği ihlal edilmiş bilgisayarlardan bilgi sızdırabilir ve üçüncü taraf kötü amaçlı yazılımları bu bilgisayarlara iletebilir. Emotet operatörleri hedefleri konusunda çok seçici değiller, kötü amaçlı yazılımlarını bireylere, şirketlere ve daha büyük kuruluşlara ait sistemlere yüklüyorlar.
Ocak 2021'de Emotet, bir sökme Eurojust ve Europol tarafından koordine edilen sekiz ülkenin uluslararası, ortak çabasının bir sonucu olarak. Ancak bu operasyona rağmen Emotet, Kasım 2021'de yeniden hayata döndü.
- Emotet, yayından kaldırıldıktan sonra yeniden ortaya çıktığı için birden çok spam kampanyası başlattı.
- O zamandan beri, Mealybug birden çok yeni modül oluşturdu ve mevcut tüm modülleri birçok kez güncelleyip geliştirdi.
- Emotet operatörleri daha sonra botnet'in geri gelmesinden bu yana izlenmesinden ve izlenmesinden kaçınmak için çok çaba sarf etti.
- Şu anda Emotet, büyük olasılıkla etkili, yeni bir saldırı vektörü bulamadığı için sessiz ve etkin değil.
Şekil 1. Geri dönüşünden bu yana ilginç Emotet olaylarının zaman çizelgesi
Spam kampanyaları
2021'in sonunda birden fazla spam kampanyasının takip ettiği geri dönüşün ardından 2022'nin başı bu trendlerle devam etti ve kayıt olduk Emotet operatörleri tarafından başlatılan çoklu spam kampanyaları. Bu süre zarfında Emotet, esas olarak gömülü VBA makroları içeren kötü amaçlı Microsoft Word ve Microsoft Excel belgeleri aracılığıyla yayılıyordu.
Temmuz 2022'de Microsoft, yayma yöntemi olarak kötü amaçlı belgeler içeren kimlik avı e-postalarını kullanan Emotet ve Qbot gibi tüm kötü amaçlı yazılım aileleri için, internetten alınan belgelerde VBA makrolarını devre dışı bırakarak oyunu değiştirdi. Bu değişiklik açıkladı Microsoft tarafından yılın başında ve ilk olarak Nisan başında dağıtıldı, ancak güncelleme kullanıcı geri bildirimleri nedeniyle geri alındı. Nihai sunum, Temmuz 2022'nin sonunda geldi ve Şekil 2'de görülebileceği gibi, güncelleme Emotet tavizlerinde önemli bir düşüşle sonuçlandı; 2022 yazında kayda değer bir hareketlilik gözlemlemedik.
Şekil 2. Duygu algılama eğilimi, yedi günlük hareketli ortalama
Emotet'in ana saldırı vektörünün devre dışı bırakılması, operatörlerinin hedeflerini tehlikeye atmak için yeni yollar aramasına neden oldu. unlu böceği denemeye başladı ancak 2022 yılı sona ererken Emotet operatörleri, VBA makroları kadar etkili olacak yeni bir saldırı vektörü bulmakta zorlandı. 2023'te, her biri biraz farklı bir izinsiz giriş yolunu ve sosyal mühendislik tekniğini test eden üç farklı kötü amaçlı spam kampanyası yürüttüler. Bununla birlikte, saldırıların küçülen boyutu ve yaklaşımdaki sürekli değişiklikler, sonuçlardan memnuniyetsizlik anlamına gelebilir.
Bu üç kampanyadan ilki 8 Mart civarında gerçekleşti.th2023, Emotet botnet, gömülü kötü amaçlı VBA makroları içeren, fatura olarak maskelenmiş Word belgelerini dağıtmaya başladığında. Bu oldukça garipti, çünkü VBA makroları Microsoft tarafından varsayılan olarak devre dışı bırakıldı, bu nedenle kurbanlar gömülü kötü amaçlı kod çalıştıramadı.
13 Mart arasındaki ikinci kampanyalarındath ve 18 Martth, saldırganlar görünüşe göre bu kusurları kabul ettiler ve yanıt zinciri yaklaşımını kullanmanın yanı sıra, VBA makrolarından gömülü VBScripts içeren OneNote dosyalarına (ONE) geçtiler. Kurbanlar dosyayı açarsa, korumalı bir OneNote sayfası gibi görünen bir şey tarafından karşılandılar ve içeriği görmek için bir Görüntüle düğmesini tıklamalarını istediler. Bu grafik öğesinin arkasında, Emotet DLL'yi indirmek için ayarlanmış gizli bir VBScript vardı.
Bu eylemin kötü amaçlı içeriğe yol açabileceğine dair bir OneNote uyarısına rağmen, insanlar alışkanlıkla benzer istemlere tıklama eğilimindedir ve bu nedenle potansiyel olarak saldırganların cihazlarının güvenliğini aşmasına izin verebilir.
ESET telemetrisinde gözlemlenen son kampanya 20 Mart'ta başlatıldıth, Amerika Birleşik Devletleri'nde yaklaşan gelir vergisi son ödeme tarihinden yararlanarak. Botnet tarafından gönderilen kötü amaçlı e-postalar, ABD vergi dairesi Internal Revenue Service'ten (IRS) geliyormuş gibi görünüyordu ve ekte W-9 form.zip adlı bir arşiv dosyası taşıyordu. Dahil edilen ZIP dosyası, amaçlanan kurbanın muhtemelen yapmak zorunda kaldığı gömülü kötü amaçlı bir VBA makrosu içeren bir Word belgesi içeriyordu. etkinleştirmek. ABD'ye özel bu kampanya dışında, gömülü VBScripts ve OneNote yaklaşımını kullanan ve aynı zamanda devam eden bir kampanya daha gözlemledik.
Şekil 3'te görülebileceği gibi, ESET tarafından tespit edilen saldırıların çoğu Japonya'yı (%43) ve İtalya'yı (%13) hedef alsa da, bu rakamlar bu bölgelerdeki güçlü ESET kullanıcı tabanı tarafından önyargılı olabilir. Bu ilk iki ülkeyi çıkardıktan sonra (dünyanın geri kalanına odaklanmak için), Şekil 4'te dünyanın geri kalanının da etkilendiği görülebilir, üçüncü sırada İspanya (%5) ve ardından Meksika (%5) gelir. %) ve Güney Afrika (%4).
Şekil 3. İfade algılamaları Ocak 2022 – Haziran 2023
Şekil 4. Emotet tespitleri Ocak 2022 – Haziran 2023 (JP ve IT hariç)
Gelişmiş koruma ve karartmalar
Emotet yeniden ortaya çıktıktan sonra birden çok yükseltme aldı. İlk dikkate değer özellik, botnet'in kriptografik düzenini değiştirmesidir. Yayından kaldırmadan önce Emotet, birincil asimetrik şeması olarak RSA'yı kullandı ve yeniden ortaya çıktıktan sonra botnet, Eliptik eğri kriptografisini kullanmaya başladı. Şu anda her İndirici modülü (Ana modül olarak da adlandırılır) iki katıştırılmış ortak anahtarla birlikte gelir. Biri Eliptik eğri Diffie Hellman anahtar değişim protokolü için, diğeri ise imza doğrulaması için kullanılır - Dijital imza algoritması.
Emotet kötü amaçlı yazılımını 64 bit mimariye güncellemenin yanı sıra Mealybug, modüllerini korumak için çok sayıda yeni gizleme uyguladı. İlk dikkate değer karartma, Emotet'in modüllerinde kodun ilginç kısımlarını bulmayı ve analizi önemli ölçüde yavaşlatabilen kontrol akışı düzleştirmesidir.
Mealybug ayrıca birçok rastgeleleştirme tekniğini uyguladı ve uygulamasını geliştirdi; bunlardan en dikkate değer olanı, yapı üyelerinin sırasının rastgeleleştirilmesi ve sabitleri (sabitler maskelenir) hesaplayan talimatların rastgeleleştirilmesidir.
Modüllerin zamanlayıcı kuyruklarını kullanmaya başladığı 2022'nin son çeyreğinde, bahsetmeye değer bir güncelleme daha gerçekleşti. Bunlarla, modüllerin ana işlevi ve modüllerin iletişim kısmı, birden çok iş parçacığı tarafından çağrılan bir geri arama işlevi olarak ayarlandı ve tüm bunlar, hangi kod bloğunu yöneten durum değerinin olduğu kontrol akışı düzleştirme ile birleştirildi. çağrılacak olan iş parçacığı arasında paylaşılır. Bu şaşırtma, analizde başka bir engel oluşturur ve yürütme akışının izlenmesini daha da zorlaştırır.
Yeni modüller
Mealybug, kârlı ve yaygın kötü amaçlı yazılım olarak kalmak için, Şekil 5'te sarı ile gösterilen birden çok yeni modül uyguladı. Bunlardan bazıları botnet için bir savunma mekanizması, diğerleri kötü amaçlı yazılımın daha verimli yayılması için ve son olarak bir modül kurbanın parasını çalmak için kullanılabilecek bilgileri çalan.
Şekil 5. Emotet'in en sık kullanılan modülleri. Kırmızı, yayından kaldırmadan önce de vardı; geri dönüşten sonra sarı çıktı
Thunderbird E-posta Hırsızı ve Thunderbird İletişim Hırsızı
Emotet, istenmeyen e-postalar aracılığıyla yayılır ve insanlar genellikle bu e-postalara güvenir, çünkü Emotet bir e-posta dizisini ele geçirme tekniğini başarıyla kullanır. Kaldırılmadan önce Emotet, Outlook'tan e-postaları ve iletişim bilgilerini çalabilen Outlook Contact Stealer ve Outlook Email Stealer adını verdiğimiz modüller kullanıyordu. Ancak herkes Outlook kullanmadığından, Emotet kaldırıldıktan sonra ücretsiz bir alternatif e-posta uygulaması olan Thunderbird'e de odaklandı.
Emotet, tehlikeye atılan bilgisayara (adından da anlaşılacağı gibi) e-postaları çalabilen bir Thunderbird E-posta Hırsızı modülü yerleştirebilir. Modül, alınan mesajları (MBOX formatında) içeren Thunderbird dosyalarını arar ve gönderen, alıcılar, konu, tarih ve mesajın içeriği dahil olmak üzere birden çok alandan veri çalar. Çalınan tüm bilgiler daha sonra daha fazla işlenmek üzere bir C&C sunucusuna gönderilir.
Emotet, Thunderbird Email Stealer ile birlikte Thunderbird'den iletişim bilgilerini çalabilen bir Thunderbird Contact Stealer'ı da kullanır. Bu modül aynı zamanda Thunderbird dosyalarını da arar, bu sefer hem alınan hem de gönderilen mesajları arar. Aradaki fark, bu modülün yalnızca bilgileri Tarih aralığı:, için:, CC: ve cc: alanları ve kimin kiminle iletişim kurduğunu, düğümlerin nerede insanlar olduğunu ve birbirleriyle iletişim kuran iki kişi arasında bir kenar olduğunu gösteren dahili bir grafik oluşturur. Bir sonraki adımda, modül, birbirine en çok bağlı olan kişilerden başlayarak çalınan kişileri sıralar ve bu bilgileri bir C&C sunucusuna gönderir.
Tüm bu çaba, iki ek modülle (kaldırmadan önce zaten var olan) tamamlanıyor: MailPassView Stealer modülü ve Spammer modülü. MailPassView Stealer, şifre kurtarma için meşru bir NirSoft aracını kötüye kullanır ve e-posta uygulamalarından kimlik bilgilerini çalar. Çalınan e-postalar, kimlik bilgileri ve kimin kiminle iletişim halinde olduğuyla ilgili bilgiler işlendiğinde, Mealybug daha önce çalınan konuşmalara yanıt gibi görünen kötü amaçlı e-postalar oluşturur ve bu e-postaları çalınan kimlik bilgileriyle birlikte, bu kimlik bilgilerini göndermek için kullanan bir Spammer modülüne gönderir. önceki e-posta konuşmalarına SMTP yoluyla kötü niyetli yanıtlar.
Google Chrome Kredi Kartı Hırsızı
Adından da anlaşılacağı gibi, Google Chrome Credit Card Stealer, Google Chrome tarayıcısında saklanan kredi kartlarıyla ilgili bilgileri çalar. Bunu başarmak için modül, genellikle şu adreste bulunan Web Veri veritabanı dosyasına erişmek için statik olarak bağlantılı bir SQLite3 kitaplığı kullanır: %LOCALAPPDATA%GoogleChromeUser DataDefaultWeb Verileri. Modül tabloyu sorgular kredi kartları için kart_of_ad, son kullanma_ayı, son kullanma_yılı, ve kart_numarası_şifreli, varsayılan Google Chrome profiline kaydedilen kredi kartlarıyla ilgili bilgileri içerir. Son adımda, card_number_encrypted değerinin şifresi, içinde depolanan anahtar kullanılarak çözülür. %LOCALAPPDATA%GoogleChromeUser DataLocal State dosyası ve tüm bilgiler bir C&C sunucusuna gönderilir.
Systeminfo ve Hardwareinfo modülleri
Emotet'in dönüşünden kısa bir süre sonra Kasım 2021'de Systeminfo dediğimiz yeni bir modül karşımıza çıktı. Bu modül, güvenliği ihlal edilmiş bir sistem hakkında bilgi toplar ve bunu C&C sunucusuna gönderir. Toplanan bilgiler şunlardan oluşur:
- çıktısı systeminfo komuta
- çıktısı ipconfig / all komuta
- çıktısı en çok /dlist: komut (Ekim 2022'de kaldırıldı)
- İşlem listesi
- Çalışma süresi (üzerinden elde edilen GetTickCount) saniye cinsinden (Ekim 2022'de kaldırıldı)
In Ekim 2022 Emotet'in operatörleri, Hardwareinfo adını verdiğimiz yeni bir modül daha yayınladı. Güvenliği ihlal edilmiş bir makinenin donanımı hakkında özel olarak bilgi çalmasa da, Systeminfo modülü için tamamlayıcı bir bilgi kaynağı olarak hizmet eder. Bu modül, güvenliği ihlal edilmiş makineden aşağıdaki verileri toplar:
- bilgisayar adı
- Kullanıcı Adı
- Ana ve alt sürüm numaraları dahil olmak üzere işletim sistemi sürüm bilgileri
- Oturum kimliği
- CPU marka dizisi
- RAM boyutu ve kullanımı hakkında bilgi
Her iki modülün de tek bir birincil amacı vardır - iletişimin yasal olarak güvenliği ihlal edilmiş bir kurbandan gelip gelmediğini doğrulamak. Emotet, özellikle geri dönüşünden sonra, bilgisayar güvenliği endüstrisinde ve araştırmacılar arasında gerçekten sıcak bir konuydu, bu yüzden Mealybug, faaliyetlerini izlemekten ve izlemekten kendilerini korumak için büyük çaba sarf etti. Yalnızca veri toplamakla kalmayan, aynı zamanda izleme önleme ve analiz önleme hileleri de içeren bu iki modül tarafından toplanan bilgiler sayesinde, Mealybug'ın gerçek kurbanları kötü amaçlı yazılım araştırmacılarının faaliyetlerinden veya sanal alanlardan ayırt etme yetenekleri önemli ölçüde iyileştirildi.
Sıradaki ne?
ESET araştırmasına ve telemetriye göre, botnet'in her iki Epoch'u da Nisan 2023'ün başından beri sessiz. botnet'i çalıştıran yeni biri var.
Botnet'in Epoch'larından birinin veya her ikisinin Ocak 2023'te birine satıldığına dair söylentileri doğrulayamasak da, Epoch'lardan birinde olağandışı bir aktivite fark ettik. İndirme modülünün en yeni güncellemesi, modülün iç durumlarını günlüğe kaydeden ve yürütülmesini bir dosyaya kadar izleyen yeni bir işlevsellik içeriyordu. C:JSmithYükleyici (Şekil 6, Şekil 7). Bir şeyi gerçekten günlüğe kaydetmek için bu dosyanın mevcut olması gerektiğinden, bu işlevsellik, modülün ne yaptığını ve nasıl çalıştığını tam olarak anlamayan biri için bir hata ayıklama çıktısı gibi görünür. Ayrıca, o zamanlar botnet, Mealybug için daha değerli olduğu düşünülen Spammer modüllerini de yaygın bir şekilde yaydı çünkü tarihsel olarak bu modülleri yalnızca kendileri tarafından güvenli kabul edilen makinelerde kullanıyorlardı.
Şekil 6. İndirici modülünün davranışının günlüğe kaydedilmesi
Şekil 7. İndirici modülünün davranışının günlüğe kaydedilmesi
Botnet'in şu anda neden sessiz olduğuna dair hangi açıklama doğru olursa olsun, Emotet etkinliğiyle biliniyor ve operatörleri botnet'i yeniden inşa etmek ve sürdürmek ve hatta bazı iyileştirmeler eklemek için çaba sarf etti, bu nedenle geleceğin neler getireceğini görmek için blogumuzu takip edin. biz.
ESET Research, özel APT istihbarat raporları ve veri akışları sunar. Bu hizmetle ilgili tüm sorularınız için şu adresi ziyaret edin: ESET Tehdit İstihbaratı gidin.
IOCs
dosyalar
| SHA-1 | Dosya adı | ESET algılama adı | Açıklama |
|---|---|---|---|
| D5FDE4A0DF9E416DE02AE51D07EFA8D7B99B11F2 | N / A | Win64/Emotet.AL | Emotet Systeminfo modülü. |
| 1B6CFE35EF42EB9C6E19BCBD5A3829458C856DBC | N / A | Win64/Emotet.AL | Emotet Hardwareinfo modülü. |
| D938849F4C9D7892CD1558C8EDA634DADFAD2F5A | N / A | Win64/Emotet.AO | Emotet Google Chrome Kredi Kartı Hırsızı modülü. |
| 1DF4561C73BD35E30B31EEE62554DD7157AA26F2 | N / A | Win64/Emotet.AL | Emotet Thunderbird Email Stealer modülü. |
| 05EEB597B3A0F0C7A9E2E24867A797DF053AD860 | N / A | Win64/Emotet.AL | Emotet Thunderbird Contact Stealer modülü. |
| 0CEB10940CE40D1C26FC117BC2D599C491657AEB | N / A | Win64/Emotet.AQ | Emotet Downloader modülü, zamanlayıcı sırası gizlemeli sürüm. |
| 8852B81566E8331ED43AB3C5648F8D13012C8A3B | N / A | Win64/Emotet.AL | Emotet İndirici modülü, x64 sürümü. |
| F2E79EC201160912AB48849A5B5558343000042E | N / A | Win64/Emotet.AQ | Emotet Downloader modülü, hata ayıklama dizili sürüm. |
| CECC5BBA6193D744837E689E68BC25C43EDA7235 | N / A | Win32/Emotet.DG | Emotet İndirici modülü, x86 sürümü. |
ağ
| IP | domain | Hosting sağlayıcısı | İlk görüş | - Detaylar |
|---|---|---|---|---|
| 1.234.2[.]232 | N / A | SK Geniş Bant Co Ltd | N / A | N / A |
| 1.234.21[.]73 | N / A | SK Geniş Bant Co Ltd | N / A | N / A |
| 5.9.116[.]246 | N / A | Hetzner Çevrimiçi GmbH | N / A | N / A |
| 5.135.159[.]50 | N / A | OVH SAS | N / A | N / A |
| 27.254.65[.]114 | N / A | CS LOXINFO Halka Açık Şirket Limited Şirketi. | N / A | N / A |
| 37.44.244[.]177 | N / A | Hostinger Uluslararası Sınırlı | N / A | N / A |
| 37.59.209[.]141 | N / A | Kötüye Kullanım-C Rolü | N / A | N / A |
| 37.187.115[.]122 | N / A | OVH SAS | N / A | N / A |
| 45.71.195[.]104 | N / A | NET ALTERNATİVA PROVEDOR DE İNTERNET LTDA – ME | N / A | N / A |
| 45.79.80[.]198 | N / A | Linode | N / A | N / A |
| 45.118.115[.]99 | N / A | Asep Bambang Gunawan | N / A | N / A |
| 45.176.232[.]124 | N / A | CABLE Y TELECOMUNICACIONES DE COLOMBIA SAS (CABLETELCO) | N / A | N / A |
| 45.235.8[.]30 | N / A | WIKINET TELEKOMÜNİK A.Ş. | N / A | N / A |
| 46.55.222[.]11 | N / A | DCC | N / A | N / A |
| 51.91.76[.]89 | N / A | OVH SAS | N / A | N / A |
| 51.161.73[.]194 | N / A | OVH SAS | N / A | N / A |
| 51.254.140[.]238 | N / A | Kötüye Kullanım-C Rolü | N / A | N / A |
| 54.37.106[.]167 | N / A | OVH SAS | N / A | N / A |
| 54.37.228[.]122 | N / A | OVH SAS | N / A | N / A |
| 54.38.242[.]185 | N / A | OVH SAS | N / A | N / A |
| 59.148.253[.]194 | N / A | CTINES HOSTMASTER | N / A | N / A |
| 61.7.231[.]226 | N / A | IP ağı CAT Telekom | N / A | N / A |
| 61.7.231[.]229 | N / A | Tayland İletişim Kurumu, CAT | N / A | N / A |
| 62.171.178[.]147 | N / A | Contabo GmbH | N / A | N / A |
| 66.42.57[.]149 | N / A | Sabit Şirket, LLC | N / A | N / A |
| 66.228.32[.]31 | N / A | Linode | N / A | N / A |
| 68.183.93[.]250 | N / A | DigitalOcean, LLC | N / A | N / A |
| 72.15.201[.]15 | N / A | Esnek Colorado Corp. | N / A | N / A |
| 78.46.73[.]125 | N / A | Hetzner Online GmbH – İletişim Rolü, ORG-HOA1-RIPE | N / A | N / A |
| 78.47.204[.]80 | N / A | Hetzner Çevrimiçi GmbH | N / A | N / A |
| 79.137.35[.]198 | N / A | OVH SAS | N / A | N / A |
| 82.165.152[.]127 | N / A | 1 & 1 IONOS SE | N / A | N / A |
| 82.223.21[.]224 | N / A | IONOS SE | N / A | N / A |
| 85.214.67[.]203 | N / A | Strato AG | N / A | N / A |
| 87.106.97[.]83 | N / A | IONOS SE | N / A | N / A |
| 91.121.146[.]47 | N / A | OVH SAS | N / A | N / A |
| 91.207.28[.]33 | N / A | Optima Telekom Ltd. | N / A | N / A |
| 93.104.209[.]107 | N / A | MNET | N / A | N / A |
| 94.23.45[.]86 | N / A | OVH SAS | N / A | N / A |
| 95.217.221[.]146 | N / A | Hetzner Çevrimiçi GmbH | N / A | N / A |
| 101.50.0[.]91 | N / A | PT. beon medya | N / A | N / A |
| 103.41.204[.]169 | N / A | PT Infinys Sistemi Endonezya | N / A | N / A |
| 103.43.75[.]120 | N / A | Choopa LLC yöneticisi | N / A | N / A |
| 103.63.109[.]9 | N / A | Nguyen Nhu Thanh | N / A | N / A |
| 103.70.28[.]102 | N / A | Nguyen Thi Oanh | N / A | N / A |
| 103.75.201[.]2 | N / A | IRT-CDNPPLUSCOLTD-TH | N / A | N / A |
| 103.132.242[.]26 | N / A | İşhan'ın Ağı | N / A | N / A |
| 104.131.62[.]48 | N / A | DigitalOcean, LLC | N / A | N / A |
| 104.168.155[.]143 | N / A | Hostwinds LLC. | N / A | N / A |
| 104.248.155[.]133 | N / A | DigitalOcean, LLC | N / A | N / A |
| 107.170.39[.]149 | N / A | DigitalOcean, LLC | N / A | N / A |
| 110.232.117[.]186 | N / A | RackCorp | N / A | N / A |
| 115.68.227[.]76 | N / A | GÜLÜMSEMESERV | N / A | N / A |
| 116.124.128[.]206 | N / A | IRT-KRNIC-KR | N / A | N / A |
| 116.125.120[.]88 | N / A | IRT-KRNIC-KR | N / A | N / A |
| 118.98.72[.]86 | N / A | PT Telkom Endonezya APNIC Kaynak Yönetimi | N / A | N / A |
| 119.59.103[.]152 | N / A | ŞEHİR 453 | N / A | N / A |
| 119.193.124[.]41 | N / A | IP Yöneticisi | N / A | N / A |
| 128.199.24[.]148 | N / A | DigitalOcean, LLC | N / A | N / A |
| 128.199.93[.]156 | N / A | DigitalOcean, LLC | N / A | N / A |
| 128.199.192[.]135 | N / A | DigitalOcean, LLC | N / A | N / A |
| 129.232.188[.]93 | N / A | Xneelo (Mal) Ltd. | N / A | N / A |
| 131.100.24[.]231 | N / A | EVEO SA | N / A | N / A |
| 134.122.66[.]193 | N / A | DigitalOcean, LLC | N / A | N / A |
| 139.59.56[.]73 | N / A | DigitalOcean, LLC | N / A | N / A |
| 139.59.126[.]41 | N / A | Digital Ocean Inc yöneticisi | N / A | N / A |
| 139.196.72[.]155 | N / A | Hangzhou Alibaba Reklamcılık A.Ş. | N / A | N / A |
| 142.93.76[.]76 | N / A | DigitalOcean, LLC | N / A | N / A |
| 146.59.151[.]250 | N / A | OVH SAS | N / A | N / A |
| 146.59.226[.]45 | N / A | OVH SAS | N / A | N / A |
| 147.139.166[.]154 | N / A | Alibaba (ABD) Technology Co., Ltd. | N / A | N / A |
| 149.56.131[.]28 | N / A | OVH SAS | N / A | N / A |
| 150.95.66[.]124 | N / A | GMO Internet Inc yöneticisi | N / A | N / A |
| 151.106.112[.]196 | N / A | Hostinger Uluslararası Sınırlı | N / A | N / A |
| 153.92.5[.]27 | N / A | Hostinger Uluslararası Sınırlı | N / A | N / A |
| 153.126.146[.]25 | N / A | IRT-JPNIC-JP | N / A | N / A |
| 159.65.3[.]147 | N / A | DigitalOcean, LLC | N / A | N / A |
| 159.65.88[.]10 | N / A | DigitalOcean, LLC | N / A | N / A |
| 159.65.140[.]115 | N / A | DigitalOcean, LLC | N / A | N / A |
| 159.69.237[.]188 | N / A | Hetzner Online GmbH – İletişim Rolü, ORG-HOA1-RIPE | N / A | N / A |
| 159.89.202[.]34 | N / A | DigitalOcean, LLC | N / A | N / A |
| 160.16.142[.]56 | N / A | IRT-JPNIC-JP | N / A | N / A |
| 162.243.103[.]246 | N / A | DigitalOcean, LLC | N / A | N / A |
| 163.44.196[.]120 | N / A | GDO-Z com NetDesign Holdings Co., Ltd. | N / A | N / A |
| 164.68.99[.]3 | N / A | Contabo GmbH | N / A | N / A |
| 164.90.222[.]65 | N / A | DigitalOcean, LLC | N / A | N / A |
| 165.22.230[.]183 | N / A | DigitalOcean, LLC | N / A | N / A |
| 165.22.246[.]219 | N / A | DigitalOcean, LLC | N / A | N / A |
| 165.227.153[.]100 | N / A | DigitalOcean, LLC | N / A | N / A |
| 165.227.166[.]238 | N / A | DigitalOcean, LLC | N / A | N / A |
| 165.227.211[.]222 | N / A | DigitalOcean, LLC | N / A | N / A |
| 167.172.199[.]165 | N / A | DigitalOcean, LLC | N / A | N / A |
| 167.172.248[.]70 | N / A | DigitalOcean, LLC | N / A | N / A |
| 167.172.253[.]162 | N / A | DigitalOcean, LLC | N / A | N / A |
| 168.197.250[.]14 | N / A | Ömer Anselmo Ripoll (TDC NET) | N / A | N / A |
| 169.57.156[.]166 | N / A | Yumuşak Katman | N / A | N / A |
| 172.104.251[.]154 | N / A | Akamai Bağlantılı Bulut | N / A | N / A |
| 172.105.226[.]75 | N / A | Akamai Bağlantılı Bulut | N / A | N / A |
| 173.212.193[.]249 | N / A | Contabo GmbH | N / A | N / A |
| 182.162.143[.]56 | N / A | IRT-KRNIC-KR | N / A | N / A |
| 183.111.227[.]137 | N / A | Kore Telekom | N / A | N / A |
| 185.4.135[.]165 | N / A | ENARTIA Tek Üye SA | N / A | N / A |
| 185.148.168[.]15 | N / A | Kötüye Kullanım-C Rolü | N / A | N / A |
| 185.148.168[.]220 | N / A | Kötüye Kullanım-C Rolü | N / A | N / A |
| 185.168.130[.]138 | N / A | GigaCloud NOC | N / A | N / A |
| 185.184.25[.]78 | N / A | MUV Bilişim ve Telekomünikasyon Hizmetleri Ltd. Şti. | N / A | N / A |
| 185.244.166[.]137 | N / A | Jan Philipp Waldecker, LUMASERV Systems olarak ticaret yapıyor | N / A | N / A |
| 186.194.240[.]217 | N / A | SEMPER TELEKOMÜNİKACOES LTD.ŞTİ. | N / A | N / A |
| 187.63.160[.]88 | N / A | BITCOM PROVEDOR DE İNTERNET HİZMETLERİ LTDA | N / A | N / A |
| 188.44.20[.]25 | N / A | İletişim hizmetleri şirketi A1 Makedonija DOOEL Üsküp | N / A | N / A |
| 190.90.233[.]66 | N / A | INTERNEXA Brasil Operadora de Telecomunicações SA | N / A | N / A |
| 191.252.103[.]16 | N / A | Locaweb Servisleri de Internet S/A | N / A | N / A |
| 194.9.172[.]107 | N / A | Kötüye Kullanım-C Rolü | N / A | N / A |
| 195.77.239[.]39 | N / A | TELEFONICA DE ESPANA SAU | N / A | N / A |
| 195.154.146[.]35 | N / A | Scaleway Kötüye Kullanımı, ORG-ONLI1-RIPE | N / A | N / A |
| 196.218.30[.]83 | N / A | TE Veri İletişim Rolü | N / A | N / A |
| 197.242.150[.]244 | N / A | Afrihost (Pty) Ltd | N / A | N / A |
| 198.199.65[.]189 | N / A | DigitalOcean, LLC | N / A | N / A |
| 198.199.98[.]78 | N / A | DigitalOcean, LLC | N / A | N / A |
| 201.94.166[.]162 | N / A | Claro NXT Telekomünikasyon Ltda | N / A | N / A |
| 202.129.205[.]3 | N / A | NIPA TEKNOLOJİ CO., LTD | N / A | N / A |
| 203.114.109[.]124 | N / A | IRT-TOT-TH | N / A | N / A |
| 203.153.216[.]46 | N / A | İsvadi İsvadi | N / A | N / A |
| 206.189.28[.]199 | N / A | DigitalOcean, LLC | N / A | N / A |
| 207.148.81[.]119 | N / A | Sabit Şirket, LLC | N / A | N / A |
| 207.180.241[.]186 | N / A | Contabo GmbH | N / A | N / A |
| 209.97.163[.]214 | N / A | DigitalOcean, LLC | N / A | N / A |
| 209.126.98[.]206 | N / A | GoDaddy.com, LLC | N / A | N / A |
| 210.57.209[.]142 | N / A | Andri Tamtrijanto | N / A | N / A |
| 212.24.98[.]99 | N / A | Interneto ziyareti | N / A | N / A |
| 213.239.212[.]5 | N / A | Hetzner Çevrimiçi GmbH | N / A | N / A |
| 213.241.20[.]155 | N / A | Netia Telekom SA İlgili Kişi Rolü | N / A | N / A |
| 217.182.143[.]207 | N / A | OVH SAS | N / A | N / A |
MITRE ATT&CK teknikleri
Bu tablo kullanılarak yapılmıştır sürümü 12 MITRE ATT&CK kurumsal teknikleri.
| taktik | ID | Name | Açıklama |
|---|---|---|---|
| Keşif | T1592.001 | Mağdur Ana Bilgisayar Bilgilerini Toplayın: Donanım | Emotet, tehlikeye atılan makinenin donanımı hakkında CPU marka dizisi gibi bilgiler toplar. |
| T1592.004 | Kurban Ana Bilgisayar Bilgilerini Toplayın: İstemci Yapılandırmaları | Emotet, aşağıdakiler gibi sistem yapılandırması hakkında bilgi toplar: ipconfig / all ve systeminfo emreder. | |
| T1592.002 | Mağdur Ana Bilgisayar Bilgilerini Toplayın: Yazılım | Emotet, çalışan işlemlerin bir listesini çıkarır. | |
| T1589.001 | Kurban Kimlik Bilgilerini Toplayın: Kimlik Bilgileri | Emotet, tarayıcılardan ve e-posta uygulamalarından kimlik bilgilerini çalabilen modüller kullanır. | |
| T1589.002 | Kurban Kimlik Bilgilerini Toplayın: E-posta Adresleri | Emotet, e-posta uygulamalarından e-posta adreslerini çıkarabilen modüller kullanır. | |
| Kaynak geliştirme | T1586.002 | Ele Geçirilmiş Hesaplar: E-posta Hesapları | Emotet, e-posta hesaplarını ele geçirir ve bunları kötü amaçlı e-postaları yaymak için kullanır. |
| T1584.005 | Altyapıyı Ele Geçirin: Botnet | Emotet, bir botnet oluşturmak için çok sayıda üçüncü taraf sisteminden ödün verir. | |
| T1587.001 | Yetenek Geliştirme: Kötü Amaçlı Yazılım | Emotet, birden çok benzersiz kötü amaçlı yazılım modülü ve bileşeninden oluşur. | |
| T1588.002 | Yetenekleri Elde Edin: Araç | Emotet, virüslü makinelerden kimlik bilgilerini çalmak için NirSoft araçlarını kullanır. | |
| İlk Erişim | T1566 | Phishing | Emotet, kötü amaçlı ekler içeren kimlik avı e-postaları gönderir. |
| T1566.001 | Kimlik Avı: Hedefe Yönelik Kimlik Avı Eki | Emotet, kötü amaçlı ekler içeren spearphishing e-postaları gönderir. | |
| infaz | T1059.005 | Komut ve Komut Dosyası Yorumlayıcısı: Visual Basic | Emotet, kötü amaçlı VBA makroları içeren Microsoft Word belgelerini kullanırken görülmüştür. |
| T1204.002 | Kullanıcı Yürütme: Kötü Amaçlı Dosya | Emotet, kullanıcıların kötü amaçlı e-posta eklerini açmasına ve gömülü komut dosyalarını yürütmesine güveniyor. | |
| Savunmadan Kaçınma | T1140 | Dosyaları veya Bilgileri Gizleme/Kod Çözme | İfade modülleri, API işlev adlarının şifrelenmiş dizelerini ve maskelenmiş sağlama toplamlarını kullanır. |
| T1027.002 | Gizlenmiş Dosyalar veya Bilgiler: Yazılım Paketleme | Emotet, yüklerini korumak için özel paketleyiciler kullanır. | |
| T1027.007 | Gizlenmiş Dosyalar veya Bilgiler: Dinamik API Çözünürlüğü | Emotet, çalışma zamanında API çağrılarını çözer. | |
| Kimlik Bilgileri Erişimi | T1555.003 | Parola Depolarından Kimlik Bilgileri: Web Tarayıcılarından Kimlik Bilgileri | Emotet, NirSoft'un WebBrowserPassView uygulamasını kötüye kullanarak web tarayıcılarında kayıtlı kimlik bilgilerini alır. |
| T1555 | Parola Depolarından Kimlik Bilgileri | Emotet, NirSoft'un MailPassView uygulamasını kötüye kullanarak e-posta uygulamalarından şifreleri çalabilir. | |
| Koleksiyon | T1114.001 | E-posta Koleksiyonu: Yerel E-posta Koleksiyonu | Emotet, Outlook ve Thunderbird uygulamalarından e-postaları çalar. |
| Komuta ve kontrol | T1071.003 | Uygulama Katmanı Protokolü: Posta Protokolleri | Emotet, SMTP aracılığıyla kötü amaçlı e-postalar gönderebilir. |
| T1573.002 | Şifreli Kanal: Asimetrik Şifreleme | Emotet, C&C trafiğini şifrelemek için ECDH anahtarlarını kullanıyor. | |
| T1573.001 | Şifreli Kanal: Simetrik Şifreleme | Emotet, C&C trafiğini şifrelemek için AES kullanıyor. | |
| T1571 | Standart Olmayan Bağlantı Noktası | Emotet'in 7080 gibi standart olmayan bağlantı noktalarında iletişim kurduğu bilinmektedir. |
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. Otomotiv / EV'ler, karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- Blok Ofsetleri. Çevre Dengeleme Sahipliğini Modernleştirme. Buradan Erişin.
- Kaynak: https://www.welivesecurity.com/2023/07/06/whats-up-with-emotet/
