Nachdem ich die Nachricht über EmoCheck bei Heise gelesen hatte, kam mir die Idee gleich in den Sinn. Doch es hat noch etwas gedauert bis ich die „freie“ Zeit für die Umsetzung gefunden habe. EmoCheck ist ein vom Japan CERT veröffentlichtes Prüfwerkzeug hinsichtlich einer Emotet Infektion, die vielleicht auch noch nicht „aktiv“ geworden ist. Das Japan CERT hat ein Schema bei der Generierung der Prozessnamen erkannt und macht sich das zu nutze. Wie zuverlässig das Werkzeug ist und wie lange es genutzt werden kann, muss jeder für sich entscheiden. Ich selbst fand es eine spannende Aufgabe zur Implementierung in eine Softwareverteilung. Deswegen ist das nachfolgende Empirum Paket entstanden …
EmoCheck
Das Japan CERT stellt das Werkzeug EmoCheck auf GitHub zum Download bereit. Die Datei(en) müssen von dort heruntergeladen werden, ggf. auf Virustotal geprüft und in das unten stehende Paket eingebunden werden.
wpm-blog EmoCheck Paket
Nachfolgend gib es das wpm-blog EmoCheck Paket zum Download. In der ZIP Datei sind wiederum zwei ZIP Archive. Eines was man für den Import nutzen kann, oder alternativ das Paket zum Entpacken für den Packages Ordner und selbst hinzufügen in das SoftwareDepot. Welche Methode ihr auch immer präferiert, die zuvor genannten EmoCheck*.exe Dateien müssen im „pTools“ Unterordner des Paketes abgelegt werden.
EmoCheck Empirum Package (304 Downloads )
MD5 Hash der Downloaddatei: FEB7522A6A138EED59D779828E784D55
Wie läuft es ab, was kann konfiguriert werden?
Das Paket kopiert das Tool nach „C:\ProgramData\EmoCheck\Exe“ und generiert eine Ausgabe nach „C:\ProgramData\EmoCheck\Log“. Findet es im aktuellen Log einen definierten Text, so wird „Alarm“ geschlagen, indem das Paket auf einen Fehler läuft und je nach gesetzter Variable im Paket auch die Ausgabe auf den EmpirumServer nach „Empirum\Configurator\Log\EmoCheck\<Computername>“ überträgt (Voreinstellung). Die Log Dateien werden auf dem Client in „C:\ProgramData\EmoCheck\Log\Archive“ archiviert. Das Paket kann somit gerne komplett „silent“, mit der Verteilungsoption „Nicht anzeigen“ mittels Zeitplaner regelmäßig ausgeführt werden. Die Deinstallation räumt alles wieder weg.
Nur Überprüfung!
Das EmoCheck Tool, und somit auch dieses Softwarepaket, überprüft nur auf verdächtige Dateien! Falls eine verdächtige Datei gefunden wurde, muss noch Hand angelegt werden. Das Paket erstellt bereits einen Registry-Eintrag mittels dem man, ähnlich der Patch-Management Scan und Fix Kombination, mit einem Aufräumpaket hinterhergehen könnte. Aufgrund der Log/Rollout-Koordinations-Rückmeldungen sollte man die betroffenen Computer jedoch besser vom Netz nehmen bzw. per OS Installation komplett überschreiben.
Letzter Hinweis
Das Paket muss keine verlässliche Prüfung sein, da die Malware Schreiber und Jäger natürlich ein stetes Katz und Maus Spiel betreiben. Einen besseren Schutz bieten hier eher sogenannte NextGen AntiVirus Lösungen, die ausgefeiltere Mechanismen zur Malware Erkennung und Behandlung beinhalten.