Emotet’in Evrimi: Banka Trojanından Kötü Amaçlı Yazılım Dağıtıcısına Uzanan Hikâye

Tespit edildiği 2014 yılında Emotet, standart bir kimlik bilgi hırsızlığı aracı ve bankacılık trojanı olarak belirmişti. Bugün gelinen noktada çeşitli bilgisayar virüslerinin yayılmasını sağlayan modüler, çok biçimli bir platforma dönüştü.

Sürekli geliştirilen bir tehdidi temsil eden Emotet, güvenlik sistemlerine yakalanmama ve direniş kabiliyetinin yanı sıra casusluk yeteneğini de artırıyor.

Kötü şöhretli trojan, siber suç dünyasında en çok rağbet edilen kötü amaçlı programlardan. Genel olarak bir oltamala saldırısı olarak kendini gösteriyor, PC donanımlarına sızan spam e-posta şeklinde faaliyete geçiyor, ardından da diğer bilgisayar ağlarında yayılmaya başlıyor…

Siber saldırılardaki başarı potansiyeli, Emotet’i en çok indirilen kötü amaçlı yazılım haline getirdi. İnteraktif kötü amaçlı yazılım takip platformu ANY.RUN hizmetinin 2019 verilerine göre 36.000’den fazla kişi Emotet çevrimiçi analizi çalıştırıyordu.

Zamanla fazlasıyla güncellenen Emotet, her geçen yıl kurbanları için çok daha can yakıcı hale gelmeye başladı. Peki bugünlere nasıl gelindi?

İlk zamanları…

Emotet, başlıca Almanya ve Avusturya’da standart bir bankacılık trojanı olarak belirdiği ilk günlerde ana hedef olarak şirketlerin hassas bilgilerine odaklanıyordu. Sahte faturalar ve diğer finansal belgeler aracılığıyla şirket çalışanlarının bağlantılara tıklanması sağlanıyor ve kötü amaçlı yazılım yüklenerek kötü emeller hayata geçiriliyordu.

Siber suç dünyasında belirdiği 2014’ün sonunda, Emotet ana işlevi kötü amaçlı bir yükü hedeflere taşımak olan karmaşık bir modüler mimari edindi. Böylelikle olabildiğince fazla sisteme yayılmaya ve şirketlere kötü amaçlı yazılım bağlantıları taşıyan e-postalar göndermeye başladı.

Kısa bir süre ortadan kaybolan Emotet, 2015’in başlarında yeniden kendini gösterdi. Trojanın yeni içerikleri arasında kamu güvenlik anahtarı RSA, yeni adres listeleri ve RC4 şifreleme bulunuyordu. Bu noktadan itibaren, hedeflerin coğrafyası da genişlemeye başlaması ve ilk olarak İsviçre’deki bankalara sıçradı. Aynı zamanda, güvenlik bariyerlerini aşmak için kullanılan yöntemler de fazlasıyla gelişmekteydi…

Değişen strateji

En yeni versiyonlarında, stratejinin belirgin biçimde değiştiği görüldü. Enfekte edilen bilgisayarlara farklı kötü amaçlı yazılımlar yüklemeyi başaran çok biçimli bir tehdide dönüşen Emotet, aynı zamanda taşıdığı yükü sızdığı bilgisayar ağlarının tümüne yayabiliyordu. Böylece veri çalmaya, çeşitli tespit sistemlerine adapte olmaya, enfekte olduğu makineleri kötü amaçlı yazılım hizmeti (malware-as-a-service) modeli altında kontrol etmeye başladı.

Belirlenen hedeflerin güvenini kazanmak için çalıntı e-postaları çıkış noktası olarak kullanan Emotet, spam e-postalarını zamanla daha ikna edici ve tehlikeli bir hale getirdi.

Yakın geçmişteki örneklerden biri, ABD’nin Pennsylvania eyaletindeki Allentown kentindeki bir hükümet kurumunda yaşandı. Emotet sızıntısını telafi etmek, kuruma 1 milyon dolara mal olacaktı.

Hatta Almanya’nın Frankfurt kenti tüm bilgisayar ağını Emotet nedeniyle 2019’da kapatmak zorunda kaldı. Farklı hükümet kurumlarından küçük işletmelere ve kamu hizmetlerine kadar tüm işletmeler bilişim teknolojileri (IT) üzerinde faaliyetlerini geçici olarak durdurmak zorunda kaldı.

En son analizlere göre Emotet, küresel alanda her türlü sektörü etkileyen bir tehdit haline geldi. Emotet’in küresel saldırı haritasına bakıldığında, en çok hedef alınan ülkeler İtalya, İspanya ve Birleşik Arap Emirlikleri (BAE).

Yakın geçmişte ise Fransa, Japonya ve Yeni Zelanda’nın siber güvenlik şirketleri Emotet saldırılarının ciddi ölçüde arttığını belirtti.

ANY.RUN hizmetine yüklenen Emotet faaliyetlerine bakarak, kötü amaçlı yazılımın 2019 ve 2020’deki faaliyetleri görülebiliyor. Her iki yıldaki faaliyet oranlarında benzerlikler göze çarpıyor. Haziran ayında faaliyetler yavaşlarken, Ağustos ile Ekim arasında tekrar artışa geçiyor. Güvenlik uzmanları, 2019 sonunda Emotet saldırılarının arttığına dikkat çekerek aynısının 2020 için de geçerli olabileceği uyarısında bulunuyor.

Emotet’in işlevi ve amacı daha ilk versiyonun itibaren yapılan güncellemeler ile değişmeye başladı. Tehdit bir bankacılık trojanından kötü amaçlı yazılım taşıyıcısına dönüştü. Yüklerin taşınması ve kullanılan belgelerin şablonlarında son iki senede değişiklikler yaşansa da, Emotet’in ana işlevi (yük taşıma) değişmedi.

Dağıtım ve kullanıcı tarafından faaliyete geçirilme sürecinde, Emotet kötü amaçlı spam ve VBA (Visual Basic for Applications) macros (makrolar) kullanıyor (macros, uygulamaları çalıştırırken girilen kısayol komut girişlerini temsil ediyor). Hedefteki kişi spam e-postadaki zararlı yazılımı indirip yüklediği zaman, Office belgesi macro’yu etkin kılarak kullanıcıyı kandırıyor. Belgeye eklenmiş olan macro komutu işlemi başlatıyor ve sonrasında çeşitli senaryolar gerçekleşmeye başlıyor. Son yıllarda en çok gözlemlenen senaryo ise macro’ların Base64 eklentili Powershell (Microsoft tarafından geliştirilen çoklu platform görev otomasyonu ve düzenleme yöneticisi) dizinini tetiklemesi. Bu aşamada, Emotet birçok farklı yükleme ve uygulama senaryosunu kullanabiliyor.

Kötü amaçlı komut içeren belge açıldıktan Office belgesindeki VBA macro ile başlatılabilecek işlemler arasında cmd, Powershell, WScript (Microsoft Windows için geliştirilen bir otomasyon teknolojisi) ve yakın geçmişte ilk kez rastlanan Certutil (Sertifika Hizmetleri kapsamında kullanılan bir komut satırı programı) süreçleri yer alıyor.

Kötü amaçlı taşıyıcı içeren belgeler ile hedefe bırakıldıktan sonra yüklenen dosyaların işlenmesi sürecinde de Emotet evrim geçirmeyi ihmal etmedi.

Sadece uygulama süreci değil, aynı zamanda Emotet’in kendi uygulanabilir dosyasının kayıt anahtarları, içerikleri ve dosya sistemindeki işlem süreci de evrimden geçti. Örnek olarak, 2018-2019 yıllarında Emotet taşıdığı yükü dosya içine belli bir klasör yolu izleyerek bırakıyor ve bunu yaparken özel bir algoritma ile dosya adı ve klasör adı oluşturuyordu.

O tarihten bu yana dosya adı üreten algoritma, klasörlerde ilerleme süreci ve kumanda ve kontrol (C2) iletişiminde kullanılan algoritma da güncellendi.

Emotet kötü amaçlı yazılım grubunun karakterini en iyi tanımlayan özelliklerinden biri virüs taşıyan belge şablonları. Sürekli değişen şablonlar, genelde Emotet tarafından spesifik olarak geliştiriliyor. Dahası, bu şablonlar arasında geçmişte Valak ve Icedid gibi diğer kötü amaçlı yazılımları taşımak için kullanılmış farklı şablonlar da bulunuyor.

ANY.RUN bakış açısından Emotet

Emotet söz konusu olduğunda siber güvenlikçiler için en büyük sorun, saldırıyı ve davranışını tespit edebilmek, böylece güvenlik bariyerlerinde gerekli yerlere yama yapmak.

Bu kapsamda siber güvenlik uzmanlarına yardım eden bir araç olarak beliren ANY.RUN, Emotet ve diğer siber tehditleri tespit ve analiz eden, aynı zamanda denetleyen bir sandbox (kum havuzu).

ANY.RUN’ın sahip olduğu özel araç, kamu tarafından yapılan girdilerin araştırılmasını sağlıyor. Bu sayede oluşturulan dev arşiv, siber güvenlik uzmanları ile paylaşılıyor. Birçok siber tehdide yönelik örneklerin girildiği ANY.RUN, günümüzde siber saldırılar üzerinde yürütülen soruşturmalarda önemli bir rol oynuyor.

Bugüne dek elde edilen tecrübeler, Emotet’e karşı bilgisayar ağınızı koruyabilmenin ilk yolunun ilk olarak kötü amaçlı trojanı tespit etmekten geçtiğini gösteriyor. ANY.RUN sandbox, Eemotet tespit ve analizi için benzersiz araçlar sunuyor. Sunulan örnekleri inceleyen IT uzmanları, Emotet’i nasıl tespit edebilecekleri hakkında önemli ipuçları ediniyor.

Şüpheli bir e-postada yer alan kötü amaçlı yazılım içeriği ANY.RUN’a yüklendiğinde, analizler saldırının nasıl çalıştığına dair bilgiler sunmaya başlıyor. Analizlerde beliren ilk basamak, kullanıcı dizini altında uygulanabilir dosyalar oluşturmaktan geçiyor. En son dosyayı temsil eden winhttp.exe, kayıt defterindeki autorun (otomatik çalıştırma) değerini değiştiriyor ve kumanda ve kontrol (C2) sunucusuna bağlanıyor. Böylece kötü amaçlı yazılımdan komutlar alınmaya başlanıyor, diğer yandan veri hırsızlığı devreye giriyor.

ANY.RUN, fayda sağlayan bir diğer araç olarak “Fake Net” içeriği sunuyor. Çalıştırıldığı zaman, kötü amaçlı yazılım C2 bağlantılarını ifşa etmek zorunda kalıyor ve Emotet’in müdahelesine ait işaretler (Indicators of Compromise) tespit ediliyor. Bu sayede, siber güvenlik uzmanları Emotet saldırısına karşı nasıl müdahalede bulunmaları gerektiğini anlayacak vakti kazanıyor.

Emotet, VBA macro içine eklenen aynı şablon ile çeşitli kötü amaçlı belgeleri farklı saldırı süreçlerini hayata geçirmek için kullanıyor. Farklı şablonların her biri, kullanıcıları belgeye açmaya ikna etmeye odaklanıyor. Böylece kötü amaçlı yazılımı aktif eden VBA macro işlemeye başlıyor.

Emotet şablonlarıan göz atmak için ANY.RUN arşivlerine girilen örnekler arasında “emotet-doc” araştırması yapmak yeterli.

Emotet ile mücadele uzun yıllar sürecek

Emotet’in saldırı yeteneklerine bakıldığında yakın gelecekte kullanıcı tabanını kaybetmesi pek olası görünmüyor. Evrim sürecine bakıldığında, kötü amaçlı trojanın çok hızlı geliştiği ve her türlü saldırıya adapte olabildiği anlaşılıyor.

Eğer şirketiniz internete bağlı ise karşınızdaki riskler fark ettiğinizin çok daha ötesinde ve daha karmaşık olabilir. Bu yüzden, Emotet gibi gelişmiş bir tehditle mücadele ederken hem siber güvenlik uzmanları hem de organizasyonlardan gelecek yardımlara başvurmakta fayda olabilir.

ANY.RUN gibi hizmetler de şirketlere Emotet tehdidini önceden fark edip enfeksiyonları büyük zararlara yol açmalarından önce engelleme imkânı veriyor.

ANY.RUN ile tehditleri tespit etmek kolay olduğu gibi her gün hizmetin arşivine yüklenen örnekler üzerinden analizler gerçekleştirilebilir. Hizmetin bedava olması ve yüklenen örneklerin indirilebilmesi, şirketlere güvenlik kabiliyetlerini geliştirmelerinde büyük fayda sunuyor. Bu yüzden internete bağlı tüm şirketlerin Emotet tehdidine karşı koymak için ders çalışmaya başlaması son derece önemli.