Опасный троян Emotet: технологии и инструменты обнаружения

В течение всего 2019 года наблюдалась высокая активность трояна Emotet, который рассылал вредоносные электронные письма, а также распространял программы-вымогатели, в частности Ryuk.

В одной из последних кампаний операторы Emotet создавали фишинговые письма с просьбой внести свои пожелания в меню будущей рождественской вечеринки. В другой известной фишинговой кампании операторы трояна попытались воспользоваться популярностью Греты Тунберг, человека года 2019 по версии журнала «Time», призывая получателей вредоносных писем присоединиться к демонстрации против бездеятельности относительно изменений климата.

Программа троян Emotet рассылает электронные письма, а также распространяет программы-вымогатели. ESET.

Стоит отметить, что технологии обнаружения ESET блокируют троян Emotet и его модификации. Однако использование методов социальной инженерии, а также недостаточная осведомленность сотрудников некоторых компаний позволяет данному трояну незаметно проникать в корпоративные сети. Кроме этого, по данным тестирований независимой лаборатории Virus Bulletin, троян Emotet обнаруживают не все решения для защиты электронной почты. «Электронные письма, содержащие зараженные трояном вложения, наиболее сложно заблокировать», — прокомментировали специалисты лаборатории.

По результатам тестирования VBSpam, решение для защиты почтовых серверов ESET Mail Security для Microsoft Exchange Server имеет самые высокие показатели обнаружения спама, фишинга и вредоносного программного обеспечения, а также наиболее низкий показатель ложных срабатываний среди конкурентов.

С помощью анализа в песочнице и запроса в репутационную систему ESET LiveGrid® вредоносное вложение можно обнаружить даже до того, как его откроют (в зависимости от уровня запутывания кода). С целью обеспечения защиты пользователей репутационная система собирает подозрительные образцы, полученные от миллионов пользователей ESET для облачного анализа с помощью машинного обучения.

Многоуровневая защита от трояна

Для получения доступа к устройству жертвы операторы Emotet чаще всего используют вложения электронной почты. По умолчанию параметр безопасности для открытия вложений предусматривает использование «Защищенного просмотра» с выключенными макросами. Этот параметр позволяет снизить риск инфицирования.

В случае с трояном Emotet, если пользователь откроет вредоносное приложение и ошибочно включит макросы, набор команд PowerShell запустит попытку связаться с зараженными доменами, чтобы загрузить другой вредоносный файл. Вредоносное поведение такого макрокода можно обнаружить и отслеживать благодаря наличию нескольких уровней безопасности в решениях ESET, в частности системы предотвращения вторжений (HIPS) и родовых выявлений.

Технология HIPS — это система поведенческого обнаружения, которая встроена в большинство продуктов ESET. Она отслеживает деятельность системы и использует заранее определенный набор правил для распознавания действий подозрительных объектов. В сочетании с родовым выявлением, которое находит признаки, характерные для вредоносного поведения, технология HIPS эффективно блокирует троян Emotet.

Антивирусные решения ESET способны распознавать троян Emotet и блокировать его действия.

Кроме этого, избежать инфицирования трояном Emotet можно с помощью решения для анализа в облачной песочнице ESET Dynamic Threat Defense, которое позволяет проверить наличие вредоносных файлов во вложениях всего за несколько минут и предотвратить попадание угрозы в корпоративную сеть. Получить самые актуальные идентификаторы инфицирования, в частности зараженные домены и адреса командных серверов (C&C), можно с помощью решения ESET Threat Intelligence.