Wie die Schadsoftware Emotet Windows befällt

Eine typische Emotet-Infektion beginnt mit einem PC: Der Nutzer aktiviert Makros in Office. Das stößt eine Kettenreaktion an, die sich durchs Netzwerk frisst.

Lesezeit: 5 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 2 Beiträge
Wie sich Emotet durch Windows frisst
Von
  • Peter Siering
Inhaltsverzeichnis

Viele gewiefte Forensiker arbeiten sich an Schädlingen wie Emotet ab: Sie analysieren und dokumentieren im Detail die einzelnen Schritte, mit denen sich deren Entwickler Zutritt zum Innersten von Windows und somit den Computern anderer Leute verschaffen. Kaum ist der Bericht fertig, erscheint schon die nächste Generation, die neue Wege verwendet. Der folgende Blick auf die Wirkweisen kann deshalb nur ein Schnappschuss sein. Er ist dennoch lehrreich, weil er zeigt, wie gängige Schutzmechanismen ins Leere laufen.

Mehr zum Thema Emotet

Die überlieferten Emotet-Infektionen fangen mit einem Office-Dokument an. Es enthält massiv verschleierten VBA-Makro-Code. Die einzige Gegenmaßnahme, nämlich das Verbot, Makros auszuführen, hebelt der Benutzer in dem Moment selbst aus – der sichtbare Teil des Office-Dokuments animiert ihn mit einem Hinweis zu einer vermeintlich technischen Einschränkung dazu. Der VBA-Code bringt es fertig, eine PowerShell zu öffnen. Die ruft er nicht direkt auf, sondern spannt die Windows Management Instrumentation (WMI) dazu ein. VBA-Code hat in Windows weitgehende Rechte. Er darf andere Programme starten, ohne dass irgendeine Instanz einschreitet.

Aus dem VBA-Code heraus wird letztlich ein "legales" Windows-Programm gestartet, die zum Betriebssystem gehörige PowerShell. Ebenso wie der VBA-Code ist der PowerShell-Code hochgradig verschleiert. Wenn man ihn genauer studiert, sieht man, dass er eine Liste von Servern durchgeht und versucht, von dort eine Datei herunterzuladen. Die angesprochenen Server sind häufig WordPress-Instanzen, weil die sich wegen fehlender Aktualisierung leicht übernehmen und dann als Ablageort für Malware-Komponenten missbrauchen lassen. Auf GitHub gibt es ein Projekt, das zeigt, was ein für Emotet übernommenes WordPress ausmacht.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

  • Zugriff auf alle Inhalte von heise+
  • exklusive Tests, Ratgeber & Hintergründe: unabhängig, kritisch fundiert
  • c't, iX, Technology Review, Mac & i, Make, c't Fotografie direkt im Browser lesen
  • einmal anmelden – auf allen Geräten lesen - monatlich kündbar
  • erster Monat gratis, danach monatlich 12,95 €
  • Wöchentlicher Newsletter mit persönlichen Leseempfehlungen des Chefredakteurs
GRATIS-Monat beginnen Jetzt GRATIS-Monat beginnen Mehr Informationen zu heise+