Conti und Emotet: Packer als Indiz für eine neue Verbindung

Wenn Ihnen jemand sagt „Da brauchst du gar nicht reinschauen, da kommt sowieso nichts bei rum“, und nach einem prüfenden Blick kommen Sie zu dem Entschluss, dass das stimmt – würden Sie noch ein zweites Mal schauen? Vermutlich nicht, und das ist auch vollkommen normal. Aber manchmal schaut trotzdem noch jemand hin, auch im vollen Bewusstsein, dass sich an der eigentlichen Sinnlosigkeit dieses Unterfangens nichts geändert hat.

G DATA Malware Analyst Luca Ebach hat dennoch einmal nachgeschaut, und zwar in einem Packer, der unter anderem dazu dient, Schadsoftware zu tarnen. Warum es eigentlich sinnlos ist, in den Packer hineinzuschauen, ist schnell erklärt: Um eine Schadsoftware zu tarnen, bläht ein Packer die Schadsoftware auf und fügt einen Haufen digitalen Unsinn ein, um die Schadsoftware zu verschleiern. Überflüssige Funktionsaufrufe, Daten, die keine Information enthalten – kurzum: Digitalen Müll. Und was in einem Packer drin steckt, hat in aller Regel nichts mit dem Packer selbst zu tun. Ein genauer Blick ist also müßig, und bei der Malware-Analyse eher unüblich, weil Zeitverschwendung. Doch manchmal kann sich auch vermeintliche Zeitverschwendung im Nachhinein als wertvoll entpuppen.

Um Malware zu analysieren, braucht es viel Automation. Alles, was nicht von Hand passieren muss wird in der Regel automatisiert. Um an den Kern einer Malware zu kommen, muss zunächst der Packer weg – und das lässt sich manchmal auch mit einem Stück Software automatisch erledigen. Man muss nur wissen, was zum Packer gehört und was nicht. Bereits im vergangenen Jahr wollte Ebach sich das Leben ein bisschen einfacher machen und versuchte, einen automatischen Entpacker für ein Emotet-Malwaresample zu schreiben. Damit ließe sich ein relativ aufwändiger Schritt umgehen, bei dem ein Sample erst mühsam auf eine virtuelle Maschine kopiert und dann manuell entpackt werden müsste. Doch das erforderte einen Blick in den Packer, der bei der Analyse einer Schadsoftware normalerweise nicht zielführend ist.
Monate später, in der vergangenen Woche, wollte ein weiterer Analyst wissen, welche Schadkomponente in einem aktuellen Sample heruntergeladen wird  und bat um ein zweites Augenpaar. Bei einem Blick in den Packer stellte sich heraus, dass es einige interessante Parallelen gab zwischen dem aktuellen Sample und dem, an dem Luca Ebach gearbeitet hatte.

Ebachs Reaktion: „Moment mal, das hab‘ ich doch schon mal gesehen!“ Und tatsächlich: Beide Samples verwendeten praktisch denselben Packer. Das, woran Ebach gearbeitet hatte, wurde von einem Trickbot-Sample nachgeladen, das im November 2021 aufgetaucht war. Was interessant war: Bei der von dem Sample heruntergeladenen Schadsoftware handelte es sich – wie sich später herausstellen sollte – mit Emotet um einen alten Bekannten. Die Macher hinter Trickbot halfen, wie sich nach weiteren Analysen zeigte, dem Anfang 2021 entthronten “König der Schadprogramme” dabei, wieder aus dem Zwangs-Exil zurückzukehren.  Und in der Zwischenzeit hatte sich einiges getan. Das Verhalten von Emotet war ein anderes als gewohnt: Statt einer breiten Palette verschiedener Schadroutinen lud Emotet nur noch CobaltStrike nach.  Das aktuell untersuchte Sample stammte ebenfalls von Emotet, und auch hier war dasselbe Verhalten und derselbe Packer zu sehen.
Die Conti-Gruppe verwendet also jetzt denselben Packer, den die altbekannte Cybercrime-Gruppierung hinter Emotet schon länger verwendet. Conti wiederum hat ihrerseits bereits gute Verbindungen zu den Hintermännern von Trickbot.

Das wirft ein ganz neues Licht auf einige Dinge. Denn Emotet war eigentlich dafür bekannt, alles an Schadroutinen nachzuladen, was zahlende Kunden – wie zum Beispiel Trickbot – wünschten. Das war in der Regel Ransomware, für die Emotet Tür und Tor öffnete. Die Conti-Gruppe hingegen ist eher dafür bekannt, direkt mit CobaltStrike so viele Informationen zu sammeln wie möglich – mit dem Ziel, Daten auszuleiten und hinterher mit einer Kombination aus Ransomware und Drohungen mit Leaks Geld zu machen. Dass nun auch Emotet nur noch CobaltStrike nachlädt, lässt die Vermutung zu, dass sich hier einige Geschäftsbeziehungen zwischen den Cybercrime-Gruppierungen neu formieren.  

Die technischen Details und Hintergründe, die zu diesem Schluss führen, sind im Blog unserer Kollegen von G DATA Advanced Analytics nachzulesen. (Artikel in englischer Sprache)