Gracias EMOTET

EMOTET es un virus que afecta el correo electrónico, de forma singular. Viene enmascarado en forma de documento, con los posibles nombres de: “Factura”, “Recibo de Factura”, o “Factura TM-591.doc”, el cual, si es abierto por un usuario que no conoce este virus, compromete su libreta de direcciones, donde el propio virus se auto-envía a cada uno de sus contactos, haciéndose pasar por el usuario como remitente válido, repitiéndose este proceso por cada usuario que lo abra.

Para más descripción ver su página de Wikipedia.

El correo en cuestión indica que una persona dada envió el documento anexo que aparece y que solicita respuesta, o que lo abra, o que es el pago correspondiente, o es una factura. Cualquiera de estas variantes es posible.

Analizándolo un poco, el EMOTET, como ha sido clasificado por las grandes casas antivirus, es un documento word, manipulado, con macros de malware embebido, cuyo encabezado es un encabezado xml válido, pero cuyo cuerpo es el malware encriptado en Base64, haciéndolo difícil de analizar más a fondo, el cual es activado cuando se abre el documento y se permite la ejecución de macros. Al abrirlo verás una imágen como esta:

Curiosamente este virus se envía por correo automáticamente después de ser activado, cumpliendo las normas estandares de envío de emails, pero tiene una ligera característica, se envia con un patron de doble arroba, es decir, veamos un ejemplo:

pepe.perez@dominio.valido.tld@dominio.no.valido.com

Todos los chequeos clásicos que se hacen a los correos implican que una dirección de correo debe llevar una arroba, un emisor [parte delantera de la arroba], un dominio válido [después de la arroba] y un identificador de país [tld, com, o cualquier otro], cosa la cual es aprovechada con EMOTET, que te añade un @ detrás de la dirección válida y sale normalmente al saltarse las restricciones.

Ahora bien, cómo detener a este compañero… Basándonos en el chequeo de envío, recepción, análisis de encabezado y cuerpo de mensaje podemos hacerle algún que otro truquito a Postfix, para evitar la propagación. Hay variantes de propagación del EMOTET que usan una sola arroba en el destinatario de correo, por lo cual tener también los antivirus actualizados, ayuda, así como no ejecutar el documento adjunto, y de ser ejecutado, no permitirle hacer uso de los macros internos.

Primero veamos como bloquear/detener en Spamassassin a este muchachito. Editar y poner en /etc/spamassassin/local.cf:

header LOCAL_RULE From =~ /@.*@/
score LOCAL_RULE 7.0
describe LOCAL_RULE EMOTET

Y para chequear que todo ha ido bien y no tenemos errores en la sintáxis debemos ejecutar:

spamassassin --lint

Y por supuesto, reiniciar el daemon:

/etc/init.d/spamassassin restart

Ahora veamos la solución implementada en Postfix. En el main.cf poner/editar/adaptar:

header_checks = pcre:/etc/postfix/rules/header_checks, pcre:/etc/postfix/rules/emotet_checks
body_checks = pcre:/etc/postfix/rules/body_checks, regexp:/etc/postfix/rules/avchk, pcre:/etc/postfix/rules/avchkre
mime_header_checks = pcre:/etc/postfix/rules/mime_header_checks
smtp_body_checks = ${body_checks}

Cuyo contenido adjunto al post, para no hacerlo extenso.

Y en la sección smtpd_client_restrictions:

smtpd_client_restrictions = check_client_access pcre:/etc/postfix/rules/emotet_checks

Y en el archivo emotet_checks:

/^((Envelope\-)?From|Return\-Path):.*@.*@/is REJECT Forged sender address

Y en las directivas que van en smtpd_sender_restrictions:

smtpd_sender_restrictions =
...
check_sender_access pcre:/etc/postfix/rules/emotet_checks
...

Reiniciamos Postfix y todo queda listo!

/etc/init.d/postfix restart

Entonces…

NOTA: Necesitamos recalcar, avisar, advertir que, todo aquel que deja la dirección el email como descripción del nombre de la cuenta de correo, le saldrán dobles @s a su mensaje y quedará atrapado por el filtro.

Por lo demás…

Gracias EMOTET. Por haber puesto nuestras neuronas en función tuya, pensando una forma cabal y sana de bloquearte, mitigar tu ataque y evitar que llegues a nuestros escritorios a fastidiar nuestro trabajo.

Agradecer quiero también a nuestros colegas de la lista de GUTL, algunos infestados buscando soluciones, otros planteando interrogantes y aportando su granito de arena, a nuestro grupo de Telegram de SysAdminsdeCuba que entre todos nos ayudamos como hermanos ante cualquier problemática que se presenta a diario, a Héctor Suárez[@nihilanthlnxa], a Arian Molina [@linuxcuba] y a Hugo Florentino[@geekmidget], con sus aclaraciones e ideas, y por último a mí que escribo estas líneas, asesino cruel de un servidor de correo de pruebas y tres máquinas virtuales que rogaban y pedían a gritos que las apagaran.

Aquí adjunto la plaga, por si desean probarla en máquinas virtuales.

Por ahora me despido. Espero les sirva y actualicen las reglas del correo!!!

2 comentarios de “Gracias EMOTET

  1. Seria bueno ver como se configura en zimbra esta opcion pues estan en diferentes ubicaciones y forma de configurar, agradeceria su colaboracion ya que muchos en cuba usamos zimbra, muy buenos tus post, saludos.

    • Zimbra tiene sus comandos para editar y actualizar esos ficheros, los cuales desconozco. Llégate por la Wiki de Zimbra, hermano. Gracias por el comentario, espero hayas resuelto algún que otro problema con lo que he escrito acá… Saludos.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *