အဓိကအကြောင်းအရာသို့ သွားမည်
x

Emotet Malware အကြောင်း သိမှတ်ဖွယ်ရာများ

အကျဉ်း

          Emotetသည် အဆင့်မြင့် banking Trojan ၏ အစိတ်အပိုင်းတစ်ခုဖြစ်ပြီး အခြား banking Trojan များ၏ downloader သို့မဟုတ် dropper အနေဖြင့် အဓိကလုပ်ဆောင်သည်။ Emotet သည် State, Local, Tribal and Territorial (SLTT) အစိုးရများ၊ ပုဂ္ဂလိက နှင့်အများပြည်သူကဏ္ဍများအကြားတွင် အကုန်အကျအများဆုံးနှင့် ဖျက်ဆီးနိုင်စွမ်းအရှိဆုံး Malware များထဲတွင်တစ်ခုအပါအဝင် ဖြစ်နေဆဲပင် ဖြစ်သည်။

          အထက်ပါ Technical Alert (TA18-201A)  သည် အမေရိကန်နိုင်ငံ၏ Multi-State Information Sharing & Analysis Center (MS-ISAC)Department of Homeland Security (DHS) နှင့် National Cybersecurity and Communications Integration Center (NCCIC) တို့ပေါင်းစပ်ကာ analysis ပြုလုပ်ခြင်းမှရရှိလာသော ရလဒ်ဖြစ်ပါသည်။

ရှင်းလင်းချက်

          Emotet သည် SLTT အစိုးရများအကုန်အကျအများဆုံးနှင့် ဖျက်ဆီးနိုင်စွမ်းအရှိဆုံး Malware များထဲတွင် တစ်ခုအပါအဝင် ဖြစ်နေဆဲပင်ဖြစ်ပါသည်။ ၎င်း၏ worm ကဲ့သို့ feature များသည် တိုက်ခိုက်ရန်ခက်ခဲပြီး network အတွင်း လျင်မြန်စွာပြန့်ပွားမှုကို ဖြစ်စေသည်။ ထို Emotet malware ကူးစက်ခံရမှုတစ်ခုကို အရေးယူဆောင်ရွက်လျှင် ဒေါ်လာ ၁သန်းအထိ SLTT အစိုးရမှ များစွာ ကုန်ကျနေရပါသည်။

          ၎င်းသည် အဆင့်မြင့် banking Trojan ၏ အစိတ်အပိုင်း တစ်ခု၏ဖြစ်ပြီး အခြား banking Trojan များ၏ downloader သို့မဟုတ် dropper အနေဖြင့် အဓိကလုပ်ဆောင်သည်။ ထို့အပြင် Emotet သည် signature-based detection စနစ်ကို ရှောင်လွှဲနိုင်သော polymorphic banking Trojan ဖြစ်ပါသည်။ Auto-start registry key and service ကဲ့သို့ ၎င်းဆက်လက်တည်ရှိနိုင်မှု ထိန်းသိမ်းနိုင်သည့် နည်းလမ်းများစွာရှိပါသည်။ ထို့အပြင် ရှေ့ဆက်တိုးတက်ပြောင်းလဲရန်နှင့် ၎င်း၏လုပ်ဆောင်ရည်ကို update ဖြစ်စေရန် modular Dynamic Link Libraries (DLLs) ကို အသုံးပြုပါသည်။ Eomtet သည်Virtual Machine-aware ဖြစ်ပြီး virtual environment တွင် run လျှင် false indicators များကို ဖော်ပြစေနိုင်သည်။

          ၎င်းသည် malspam (အန္တရာယ်ရှိသော attachment များ သို့မဟုတ် link များပါဝင်နေသော email) မှတဆင့် လက်ခံသူဆီသို့ ကူးစက်စေရန် MS-ISAC အမည်ကို အသုံးပြု၍ ဖြန့်ချိလျက်ရှိပါသည်။ ဇူလိုင် ၂၀၁၈ တွင် လတ်တလော လှုပ်ရှားမှုများအရ MS-ISAC မှ PayPal receipt များ၊ ရေကြောင်းအသိပေးချက်များ သို့မဟုတ် past-due invoice များကို လိုက်လံတုပနေခြင်းဖြစ်ပါသည်။ ကနဦးကူးစက်မှုများအရ  user တစ်ယောက်သည် အန္တရာယ်ရှိသော download link PDF သို့မဟုတ် malspam ပါဝင်နေသော macro-enabled Microsoft Word ကို click သို့မဟုတ် open နှိပ်သည့်အခါ ကူးစက်ပျံ့နှံ့ကြောင်း တွေ့ရပါသည်။ တစ်ကြိမ်  Download လုပ်ပြီးသည့်အခါ local network များသို့ spreader module များမှတဆင့် ထည့်သွင်းဖြန့်ဖြူးစေပြီး ဆက်လက်တည်ရှိစေရန်နှင့် ကူးစက် စေရန်ကြိုးစားပါသည်။

          ယခုလတ်တလောတွင် Emotet သည် လူသိများသော spreader module ၅ခု ဖြစ်သည့် NetPass.exe, WebBrowserPassView, Mail PassView, Outlook scraper နှင့် credential enumerator တို့ကို အသုံးပြုပါသည်။

  1. NetPass.exe သည် NirSoft မှ develop ပြုလုပ်သည့် လက်ရှိ Logged-on user များအတွက် system ပေါ်တွင် network အားလုံး၏ password များကို recover ပြန်ဆယ်စေသော တရားဝင် utility တစ်ခုဖြစ်ပါသည်။ ဤ Tool သည် external drive များရှိ credentials file ထဲတွင် သိမ်းထားသော password များကို လည်းပြန်လည်ရယူနိုင်ပါသည်။
  2. Outlook scraper သည် victim”s Outlook account များမှ အမည်နှင့် email address များကို ရယူပြီး ထိန်းချုပ်ထားခြင်းခံရ သော  account များမှတဆင့် phishing email များကိုပေးပို့စေသော Tool တစ်ခု ဖြစ်ပါသည်။
  3. WebBrowserPassView သည် Internet Explorer, Mozilla Firefox, Google Chrome, Safari နှင့် Opera တို့တွင် သိမ်းဆည်းထားသော password များကိုဖမ်းယူ၍ credential enumerator module သို့ pass လုပ်ကာ password များကို recovery ပြုလုပ်သော Tool တစ်ခုဖြစ်ပါသည်။
  4. Mail PassView သည် Microsoft Outlook, Windows Mail, Mozilla Thunderbird, Hotmail, Yahoo! Mail နှင့် Gmail ကဲ့သို့သော email client များအတွက် password များနှင့် account details များကို ထုတ်ဖော်၍ credential enumerator module သို့ pass လုပ်ကာ passwordများကို recovery ပြုလုပ်သော Tool တစ်ခုဖြစ်ပါသည်။
  5. Credential enumerator သည် bypass component နှင့် service component ပါဝင်သော self-extracting RAR file တစ်ခု ဖြစ်ပါသည်။ အဆိုပါ bypass component သည် administrator account အပါဝင် network resource များစာရင်းကိုကောက်ယူခြင်းနှင့် Server Message lock (SMB) ကိုသုံး၍ writable share drive များ ရှာဖွေခြင်း သို့မဟုတ် user account များကို brute force လုပ်ရန် ကြိုးစားခြင်းတို့အတွက် အသုံးပြုပါသည်။ တိုက်ခိုက်၍ရနိုင်သော system တစ်ခုကို တွေ့ရှိသည်နှင့်တပြိုင်နက် Emotet သည် system ပေါ်တွင် service component ကို write လုပ်ပါသည်။SMB သို့ Emotet မှ access လုပ်ခြင်းသည် domain (servers and clients) တစ်ခုလုံးကို ကူးစက် ပျံ့နှံ့စေပါသည်။

          Emotet သည် ၎င်းဆက်လက်တည်ရှိနိုင်စေရန် code များကို explorer.exe နှင့် တစ်ခြား running process များဆီသို့ ထည့်သွင်းပါသည်။ ၎င်းသည် system name, location နှင့် operation system version ကဲ့သို့သော အရေးကြီး သတင်းအချက်များကိုလည်း စုဆောင်းနိုင်ပြီး စာလုံးရေ ၁၆လုံးပါ “.eu”ဖြင့်အဆုံးသတ်သည့် domain name မှတဆင့် remote command နှင့် control server (C2) ဆီသို့ ဆက်သွယ်ပါသည်။ Emotet မှ C2 server နှင့် connection တည်ဆောက်ပြီးနောက် အသစ်သစ်သော ကူးစက်မှုမှန်သမျှကို report ပြုလုပ်ခြင်း၊ configuration data များကိုလက်ခံရယူခြင်း၊ file များကို download ပြုလုပ်ခြင်းနှင့် run ခြင်း၊ server ဆီမှ instruction များကိုလက်ခံရယူခြင်း၊ C2 server ဆီသို့ data များကို upload ပြုလုပ်ခြင်းများ လုပ်ဆောင်ပါသည်။

          Emotet artifacts များကို AppData\Local နှင့် AppData\Roaming directories များရှိ path လမ်းကြောင်းများတွင် များသောအားဖြင့် တွေ့ရှိနိုင်သည်။ ၎င်း artifacts များသည် ထင်ရှားသည့် executable file များ၏ အမည်များကို တုပလေ့ရှိပြီး ၎င်းတို့ဆက်လက်တည်ရှိနိုင်မှုကို Scheduled Tasks သို့မဟုတ် registry keys များမှတဆင့် ထိန်းသိမ်းထားသည်။ ထို့အပြင် Emotet သည် Window services များအဖြစ် run နေသော system root directories များထဲတွင် randomly-named ပေးထားသော file များကို ဖန်တီးပြီး ယင်းfile များကို executed ပြုလုပ်လိုက်သောအခါ window service များမှတဆင့် malware ကိုကပ်လျက် system များဆီသို့ administrative access ဖြင့်ပျံနှံ့စေပါသည်။

Note: ပြန်လည်ပြင်ဆင်နေစဉ် compromised လုပ်ခြင်းခံထားရသော system များကို login ပြုလုပ်ရာ၌ malware speed ကို တိုးမြှင့်စေနိုင်သည့် အတွက် privileged account များဖြင့် ဝင်ရောက်ခြင်းမပြုရန် အရေးကြီးပေသည်။

အကျိုးဆက်များ  

          Emotet malware ကူးစက်ခံရခြင်း၏ အကျိုးဆက်များတွင် အောက်ပါတို့ ပါဝင်ကြသည်။

  • အထိခိုက်မခံနိုင်သော အရေးကြီးသည့် သတင်းအချက်အလက်များယာယီ (သို့) အမြဲတမ်းပျောက်ဆုံးသွားခြင်း
  • ပုံမှန်လည်ပတ်နေမှုများကို အနှောက်အယှက်ဖြစ်စေခြင်း
  • System နှင့် files များကို ပြန်လည် restore ပြုလုပ်ရသည့်အတွက် ငွေကြေးဆိုင်ရာ ဆုံးရှုံးမှုများဖြစ်စေခြင်း
  • အဖွဲ့အစည်း၏ ဂုဏ်သိက္ခာကို ထိခိုက်စေနိုင်ခြင်း

ဖြေရှင်းနည်း

          NCCIC နှင့် MS-ISAC တို့မှ အဖွဲ့အစည်းတိုင်းကို Emotet နှင့် အခြား malspam များ ၏ အစွမ်းသက်ရောက်မှုကို ထိန်းချုပ်နိုင်ရန် အောက်ပါအချက်များကို အကြုံပြုလမ်းညွှန်ထားပါသည်။

  • Client system များအချင်းချင်း ချိတ်ဆက်ရာ၌ inbound SMB ကို ကန့်သတ်နိုင်စေရန် group policy object ကို အသုံးပြု၍ window firewall rule ကို ချမှတ်ပါ။အကယ်၍ host-based intrusion prevention system(HIPS) ကို အသုံးပြုနေလျှင် client-to-client SMB ချိတ်ဆက်မှုကို ထိန်းချုပ်နိုင်ရန် custom modification လုပ်ဆောင်ထားရန် စဉ်းစားထားသင့်ပါသည်။ အနည်းဆုံး group policy object ကို ဖန်တီးကာ client များအကြား အစပြုချိတ်ဆက်သည့်  inbound SMB connection များကို ကန့်သတ်ထားသင့်ပါသည်။Client နှင့် server များတွင် signatures နှင့် software များကို  automatic update ပြုလုပ်ပေးသည့် antivirus program များကို အသုံးပြုပါ။
  • သင့်လျော်သည့် patch များနှင့် updateများကို ( testing ပြုလုပ်ပြီးတိုင်း) ချက်ချင်းပြုလုပ်ပါ။
  • Email တွင် သိသာထင်ရှားသည့် malicious ဆန်ဆန်“subject”lines ကဲ့သို့သော malspam indicators များကို filter ပြုလုပ်နိုင်ရန်  email gateway တွင်  filters များကို အသုံးပြုပါ။ ထို့ပြင် သံသယရှိဖွယ် IP address များကို  firewall ၌ ပိတ်ဆို့ထားပါ။
  • သင့် အဖွဲ့အစည်းအတွင်း၌ သံသယဖြစ်ဖွယ် email များနှင့် သက်ဆိုင်သည့် policy မရှိလျှင် email filter  တစ်ခုကို ဖန်တီးပြီး သံသယရှိဖွယ် emails များကို စစ်ဆေးကာ  security (သို့) IT department သို့ တင်ပြသင့်ပါသည်။
  • External source မှလာသည့်  banner ပါရှိသော  emails များကို မှတ်သားထားပါ။ ထို့သို့ပြုလုပ်ထားခြင်းသည် spoofed email များကို ရှာဖွေရာ၌ ကူညီနိုင်ပါလိမ့်မည်။
  • ဝန်ထမ်းများကို social engineering နှင့် phishing နှင့်ပတ်သက်သော  training များပေးထားသင့်ပါသည်။ဝန်ထမ်းများကို သံသယရှိဖွယ် email များကို ဖွင့်ခြင်းမပြုလုပ်ရန်၊ ၎င်း email များတွင် ပါဝင်သည့် link များကို မနှိပ်ရန်၊ အရေးကြီးအချက်အလက်များကို  online သို့ မတင်ရန်၊ သံသယရှိဖွယ်ရာ request များကို ဖြည့်စွက်ရာ၌  username password နှင့် အခြား ကိုယ်ရေးကိုယ်တာအချက်အလက်များကို ဖြည့်သွင်းခြင်းမပြုရန် တိုက်တွန်းနှိုးဆော်ထားသင့်ပါသည်။ user များကိုလည်း link မနှိပ်မီ၎င်း၏ destination ကို သိနိုင်ရန် link ပေါ်သို့ mouse ဖြင့် hover လုပ်၍ ကြိုတင် စစ်ဆေးကြရန် နှိုးဆော်ထားသင့်ပါသည်။
  • Antivirus software များနှင့် scan မပြုလုပ်နိုင်သော  “.zip” file attachment များနှင့်  malware  များနှင့် အများဆုံး ဆက်စပ်နေလေ့ ရှိသည့် “.dll”နှင့် “.exe” file attachment များကို block ပြုလုပ်ထားသင့်ပါသည်။
  • User များကို ၎င်းတို့တာဝန်များပြီးမြောက်အောင် လုပ်ဆောင်နိုင်မည့် access အပြင် အခြားလုပ်ပိုင်ခွင့်များ ပိုမို ပေးအပ် ထားခြင်းမပြုသည့်  least privilege စည်းမျဉ်းကို လိုက်နာပါ။  သက်ဆိုင်ရာ administrator များ၏ administrative credentials များကို ကန့်သတ်ထားပါ။
  • Domain Name System (DNS) records များနှင့် digital signatures များကို အသုံးပြု၍ email spoofing များကို ရှာဖွေနိုင်သည့် system ဖြစ်သည့် Domain-Based Message Authentication , Reporting & Conformance (DMARC) ကို လုပ်ဆောင်ထားပါ။

          အကယ်၍ user တစ်ဦး သို့မဟုတ် organization တစ်ခုသည် ၎င်းကူးစက်ခံနေရပြီဟု ယူဆပါက NCCIC နှင့် MS-ISAC မှ system တွင် antivirus scan ကို run စေကာ ရရှိလာသည့် result များအပေါ်အခြေခံ၍ ကူးစက်ခံထားရသည့် workstation နှင့် အဆက်အသွယ်ပြတ်တောက်စေမည့်  action များကို လုပ်ဆောင်ရန် အကြံပြုညွှန်ကြားထားပါသည်။ အကယ်၍ workstation အများအပြား ကူးစက်ခံရပါက အောက်ပါ action များကို လုပ်ဆောင်ရန် အကြံပြုလမ်းညွှန်ထားပါသည်။

  • ကူးစက်ခံထားရသော စက်များကို အတည်ပြုပြီးနောက် shutdown ပြုလုပ်ခြင်း၊ network နှင့် အဆက်အသွယ် ဖြတ်တောက်ခြင်းများ လုပ်ဆောင်ပါ။
  • Malware ပျံ့နှံ့ခြင်းကို ရပ်တန့်ရန်နှင့် ထပ်ခါထပ်ခါ ကူးစက်ခံရခြင်းများကို ကာကွယ်ရန်နှင့် စစ်ဆေးခြင်းများကို လုပ်ဆောင် နိုင်ရန် network ကို offline အဖြစ်သို့ ယာယီပြုလုပ်ထားပါ။
  • ကူးစက်ခံထားရသော system များကို shared ပြုလုပ်ထားသည့် local administrator account များနှင့် log in ဝင်ရောက်ခြင်း မပြုလုပ်ပါနှင့်။
  • ကူးစက်ခံထားရသောစက်များကို reimage ပြုလုပ်ပါ။
  • Emotet indicator များနှင့် system များကို စစ်ဆေးပြီးနောက် ကင်းရှင်းသော system များကို ကူးစက်ခံထားရသော network နှင့် ချိတ်ဆက်ထားမှုမရှိသည့် virtual local area network သို့ ရွေ့ပြောင်းထားပါ။
  • local နှင့် domain administrator များ၏ password များကို reset ချခြင်းများလုပ်ဆောင်ပါ။
  • ထိန်းချုပ်ထားခြင်းခံရသည့် စက်များရှိ  credential အသီးသီး၌ သိမ်းဆည်းထားသော အခြား application များကိုလည်း password reset ချခြင်းများလုပ်ဆောင်ပါ။
  • ပထမဆုံးကူးစက်ခံရသည့် source (patient zero) ကိုစစ်ဆေးအတည်ပြုပါ။
  • ကူးစက်ခံထားရသည့် user account နှင့်ဆက်စပ်နေသည့် log fileများနှင့် outlook mailbox ၏ rules များကိုစစ်ဆေးပါ။၎င်းမှာ data breach ဟုခေါ်သည့် confidential data များကို အခွင့်မရှိသူတစ်စုံတစ်ယောက်မှ အသုံးပြုသွားနိုင်သည့် ဖြစ်စဉ် ပေါ်ပေါက်လာနိုင်​သော ပြင်ပ email address များဆီသို့ email များကို  auto-forward ပြုလုပ်ပေးသည့် rule များ outlook account တွင်ပါဝင်နိုင်သောကြောင့်ဖြစ်သည်။

Reference: https://www.us-cert.gov/ncas/alerts/TA18-201A