Небезпечний троян Emotet: технології та інструменти виявлення

Протягом усього 2019 року спостерігалась висока активність трояна Emotet, який розсилав шкідливі електронні листи, а також розповсюджував програми-вимагачі, зокрема Ryuk.

В одній з останніх кампаній оператори Emotet створювали фішингові листи з проханням внести свої побажання у меню майбутньої різдвяної вечірки. В іншій відомій фішинговій кампанії оператори трояна спробували скористатися популярністю Грети Тунберг, людини року 2019 за версією журналу «Time», закликаючи отримувачів шкідливих листів приєднатися до демонстрації проти бездіяльності щодо змін клімату.

Програма троян Emotet розсилає електронні листи, а також поширює програми-вимагачі. ESET.

Варто зазначити, що технології виявлення ESET блокують троян Emotet та його модифікації. Однак використання методів соціальної інженерії, а також недостатня поінформованість співробітників деяких компаній дозволяє даному трояну непомітно проникати в корпоративні мережі. Крім цього, за даними тестувань незалежної лабораторії Virus Bulletin, троян Emotet виявляють не всі рішення для захисту електронної пошти. «Електронні листи, які містять інфіковані трояном вкладення, заблокувати найскладніше», — прокоментували спеціалісти лабораторії.

За результатами тестувань VBSpam, рішення для захисту поштових серверів ESET Mail Security для Microsoft Exchange Server має найвищі показники виявлення спаму, фішингу та шкідливого програмного забезпечення, а також найнижчий показник помилкових спрацювань серед конкурентів.

За допомогою аналізу у пісочниці та запиту до репутаційної системи ESET LiveGrid® шкідливе вкладення можна виявити навіть до того, як його відкриють (залежно від рівня заплутування коду). З метою забезпечення захисту користувачів репутаційна система збирає підозрілі зразки, отримані від мільйонів користувачів ESET, для хмарного аналізу за допомогою машинного навчання.

Багаторівневий захист від трояна

Для отримання доступу до пристрою жертви оператори Emotet найчастіше використовують вкладення електронної пошти. За замовчуванням параметр безпеки для відкриття вкладень передбачає використання «Захищеного перегляду» з вимкненими макросами. Це налаштування дозволяє знизити ризик інфікування.

У випадку з трояном Emotet, якщо користувач відкриє шкідливий додаток і помилково увімкне макроси, набір команд PowerShell запустить спробу зв’язатися з інфікованими доменами, щоб завантажити інший шкідливий файл. Небезпечну поведінку такого макрокоду можна виявити та відслідковувати завдяки наявності декількох рівнів безпеки у рішеннях ESET, зокрема системи запобігання вторгненням (HIPS) та родових виявлень.

Технологія HIPS — це система поведінкового виявлення, яка вбудована у більшість продуктів ESET. Вона відстежує діяльність системи та використовує заздалегідь визначений набір правил для розпізнавання дій підозрілих об’єктів. У поєднанні з родовим виявленням, яке знаходить ознаки, характерні для шкідливої поведінки, технологія HIPS ефективно блокує троян Emotet.

Антивірусні рішення ESET здатні розпізнавати троян Emotet і блокувати його дії.

Крім цього, уникнути інфікування трояном  Emotet  можна за допомогою рішення для аналізу хмарній пісочниці ESET Dynamic Threat Defense, яке дозволяє перевірити наявність шкідливих файлів у вкладеннях лише за декілька хвилин та запобігти потраплянню загрози в корпоративну мережу. Отримати найактуальніші ідентифікатори інфікування, зокрема інфіковані домени та адреси командних серверів (C&C), можна за допомогою рішення ESET Threat Intelligence.