Logo C.F. Müller
YARA-Signatur zur Identifizierung der Emotet-Malware

Mit Pressemitteilung vom 27.1.2021 hatte das das Bundeskriminalamt über die international koordinierte Aktion gegen die Betreiber der Schadsoftware Emotet und die Zerschlagung der Emotet-Infrastruktur informiert (siehe auch Kriminalistik-News vom Februar).
Durch die durchgeführten Maßnahmen konnten bis dato mehr als 50.000 IT-Systeme auf die zur Beweissicherung eingerichtete Infrastruktur umgeleitet werden. Es ist davon auszugehen, dass diese Zahl einer gewissen Unschärfe unterliegt, da beispielsweise IT-Sicherheitsforscher mittels Analysesystemen fortlaufende Verbindungen als „neue Opfersysteme“ erzeugen und somit auch immer wieder neue „Bots“ zum Sinkhole kommunizieren lassen.
Die endgültige Bereinigung der Schadsoftware auf den infizierten IT-Systemen muss durch die Betroffenen selbst erfolgen. Hierfür werden die festgestellten IP-Adressen durch das Bundeskriminalamt täglich an das Bundesamt für die Sicherheit in der Informationstechnik (BSI) übermittelt, das die Maßnahmen zur Information der Betroffenen weiter vorantreibt. Ergänzend zur Information der Betroffenen veröffentlicht das Bundeskriminalamt hiermit ebenfalls die „YARA“-Signaturen der Emotet-Varianten. Beim Framework namens „YARA“ handelt es sich um ein von der Firma „Virustotal“ entwickeltes quelloffenes Framework zur Mustererkennung. Es soll insbesondere Systemadministratoren und Sicherheitsforschern ermöglichen, sowohl den quarantänisierten, täterseitigen Schadcode als auch das durch das BKA ausgelieferte Binary zu identifizieren. Mittels dieser YARA-Signaturen kann festgestellt werden, ob IT-Systeme von einer Infektion betroffen sind. Auch nach Informationen vom Provider und durchgeführten Bereinigungsmaßnahmen kann die Nutzung der YARA-Signatur eine weitere Prüfungsmaßnahme für Netzwerke darstellen. Das BKA übergibt die YARA-Signatur auch an Hersteller von Antiviren-Programmen.

Das BKA empfiehlt daher dringend:

  • Bitte prüfen Sie Ihre Systeme und Netzwerke, sollten Sie den Verdacht haben betroffen zu sein.
  • Wenn Sie von Ihrem Provider über eine Infektion informiert wurden, bitte reagieren Sie.
  • Die Hauptaufgabe der Malware Emotet war das Nachladen weiterer Schadsoftware, Sie müssen daher davon ausgehen, dass sich neben der Infektion mit Emotet auch weitere Schadsoftware auf mindestens einem Computersystem in Ihrem lokalen Netzwerk befindet. Sorgen Sie daher unbedingt für eine Desinfektion ihrer Systeme! Hinweise, wie Sie eine solche Bereinigung durchführen, finden Sie beispielsweise auf der Webseite des BSI.
  • Schützen Sie sich und damit auch andere! Das Framework „YARA“ steht über die Homepage des BKA zum Download bereit.

bf (Quelle: Pressemitteilung des BKA vom 16.4.2021)


Verlag C.F. Müller

zurück zur vorherigen Seite