Startseite > Artikel > Emotet-IoCs

Emotet-IoCs (Kompromittierungs­indikatoren)

Autor: Felix Bauer ()
Letzte Aktualisierung: 07.06.2020

Emotet IoCs

Schnell zu den Emotet-IoCs (Kompromittierungs­indikatoren) ↓

Seit einigen Tagen gibt es wieder vermehrt Infektionen durch die Schadsoftware Emotet. Der Trojaner zählt zu den gefährlichsten Schadprogrammen weltweit. Aktuell werden täglich Millionen von E-Mails mit bösartigen URLs oder Anhängen versandt. Bei den verlinkten oder angehängten Dateien handelt es sich meist um Microsoft Word-Dokumente, in denen sich der Emotet-Downloader befindet.

Aktuelle Versionen der Emotet-Schadsoftware sind in der Lage, zahlreiche Module mit Schadfunktionen nachzuladen. Diese können zum Beispiel authentisch wirkende Spam-Mails verschicken. Dazu liest das Schadprogramm Kontaktdaten und E-Mail-Inhalte aus den Mail-Postfächern bereits infizierter Computer-Systeme aus.

Ablauf einer Emotet-Infizierung
Grafik 1: Die aktuelle Emotet-Generation

Viele kleinere und mittelständische Firmen glauben, dass sie mit dem Einsatz einer hardwarebasierten Firewall und einem professionellen Virenscanner aus dem Schneider seien. Das ist allerdings mitnichten der Fall. Eine Firewall schützt zwar generell gegen bestimmte Angriffstechniken von außen, aber sie muss, ebenso wie der Virenscanner, up-to-date gehalten bzw. richtig konfiguriert sein. Jede Lücke im System kann sonst zu verheerenden Schäden führen. Jeder Mitarbeiter, der sich, was seine Internetgewohnheiten betrifft, blind auf die zentral implementierten Sicherheitsmechanismen seiner IT-Abteilung verlässt, kann mehr oder minder unfreiwillig selbst zum Malwareversender werden.

Während Privatpersonen einen Totalausfall ihres Rechners zur Not verkraften können, sieht das für Firmen oder öffentliche Einrichtungen meist anders aus. Hier können Schadprogramme wie Emotet schnell katastrophale Folgen haben, von denen die Imageschäden nicht unbedingt die harmlosesten sind. In den vergangenen Monaten ist es bereits zu Ausfällen kompletter Unternehmensnetzwerke gekommen. Unter anderem legte Emotet das komplette Universitäts-Netzwerk der Uni Gießen lahm.

Emotet-IoCs (Kompromittierungs­indikatoren)

Nachfolgend finden Sie aktuelle Kompromittierungs­indikatoren (sogenannte IoCs) rund um Emotet. IoCs helfen Administratoren einer IT-Infrastruktur dabei, schädliche Aktivitäten im System zu erkennen und entsprechenden Maßnahmen zu ergreifen. Zum Beispiel per Web-Proxy, Router, Firewall, oder sonstigen Intrusion Detection Systemen.

Die Emotet-IoC-Listen aktualisieren sich automatisch, sobald neue Kompromittierungs­indikatoren entdeckt werden*.

Letzte Aktualisierung: 07.06.2020

*Quellen: Abuse.ch, Any.run, @JRoosen, @Cryptolaemus1

Emotet: IP-Adressen der Kontrollserver (C&C-Server)

Aktuell 378 IP-Adressen

Es werden nur IP-Adressen aufgenommen, die aktuell aktiv sind oder in den letzten 14 Tagen aktiv waren. Die False-Positive-Rate sollte daher gering sein.

Emotet kommt selten allein: Die meisten Varianten laden den Banking-Trojaner TrickBot nach. Diese Liste enthält daher auch aktuelle C&C IP-Adressen des TrickBot-Trojaners.

Download

.txt-Datei (6,7 KB)

Emotet: Distribution-, Downloader-URLs

Aktuell 5431 Links

Download

.txt-Datei (383,9 KB)

Emotet: Hash-Werte der Payloads (SHA256)

Aktuell 29244 Hashes

Download

.txt-Datei (1,8 MB)

Wichtige Maßnahmen zur Gefahrenminimierung

Permanenter Link zu dieser Seite:
https://www.felix-bauer-it.de/artikel/emotet-iocs/

07.06.2020 | Felix Bauer | kontakt@felix-bauer-it.de