Vai al contenuto

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/mdr/help/it-it/index.html?contextId=TrickBot

Flusso di lavoro per la correzione di TrickBot o Emotet

Seguire questa procedura per correggere un’infezione da TrickBot o Emotet.

Introduzione

La suite di malware TrickBot o Emotet è attualmente una delle minacce più diffuse ed efficaci. Sfrutta tecniche e vettori di infezione diversi per diffondersi in un ambiente e per ottenere la persistenza nei dispositivi compromessi.

Per una protezione efficace, consigliamo di implementare Intercept X Advanced with EDR.

In caso di incidente attivo di TrickBot o Emotet, si consiglia di contattare Sophos e acquistare il servizio Managed Detection and Response. È un team composto da esperti altamente qualificati, in grado di fornire assistenza per la risoluzione dei problemi e l’analisi delle cause all’origine degli attacchi.

Controllo dei dispositivi

Assicurarsi che i dispositivi siano aggiornati e protetti. Per svolgere un controllo sui dispositivi, procedere segue:

  1. Assicurarsi che ogni dispositivo nella rete abbia una versione funzionante e aggiornata di Sophos Endpoint Protection.

    Non si consiglia di utilizzare Sophos Anti-Virus (on-premise) per cercare di correggere un’infezione da TrickBot o Emotet. Sophos Anti-Virus non include alcune delle funzionalità e degli strumenti specifici per proteggere i sistemi da TrickBot o Emotet e svolgere azioni di correzione

  2. Aggiornare o rimuovere i dispositivi che utilizzano sistemi operativi obsoleti, sui quali non è possibile installare Sophos Endpoint; in alternativa, scaricare gli aggiornamenti Windows pertinenti.

    1. Assicurarsi che ai dispositivi siano state applicate tutte le patch di protezione Windows disponibili. Un singolo sistema non protetto o senza patch può infettare altri dispositivi protetti e con le patch più recenti.

  3. Durante le operazioni di correzione, disattivare tutti i dispositivi che eseguono una versione di Windows 2008 che non sia Windows 2008 R2, Windows 2003 XP o rilasci precedenti. Rimuovere questi dispositivi dalla rete, perché presentano un grave rischio di essere utilizzati per dare inizio a una nuova epidemia.

    Questo elenco di sistemi operativi cambierà a seconda delle versioni di Windows che smetteranno di essere supportate. Per ulteriori informazioni sui requisiti di sistema attuali, vedere Requisiti di sistema di Sophos Central Windows Endpoint o Requisiti di sistema di Sophos Central Windows Server.

Definizione dell’estensione del problema

È importante non presumere che tutti i dispositivi della rete siano protetti e che si conoscano tutti i dispositivi presenti all’interno della rete. Esistono vari modi per identificare i dispositivi sulla rete e magari si stanno già utilizzando alcuni metodi per farlo. L’opzione più adatta per la propria infrastruttura dipende dalle dimensioni della rete e dalla segmentazione.

Uno dei metodi più comuni consiste nell’eseguire una scansione della rete per rilevare tutti i dispositivi connessi in un dato momento.

A tale scopo, è possibile utilizzare strumenti di terzi, ad esempio Advanced IP Scanner.

Se non si desidera utilizzare uno strumento di terzi, si può utilizzare Source of Infection, che è uno strumento gratuito di Sophos. Non è un prodotto antivirus e non rileva né rimuove alcun malware. Quando viene eseguito su un dispositivo, registra tutti i file scritti su quel dispositivo. Genera quindi un file di log contenente un elenco di tutti i file scritti. Per ogni file, il file di log indica il percorso completo del file, la data e l’ora di scrittura, e se è stato scritto da un processo locale o di rete. Per i processi locali, elenca il nome e il percorso del file che lo ha scritto. Per un processo di rete, elenca l’indirizzo IP remoto o il nome del dispositivo. Il file di log può poi essere utilizzato per identificare i dispositivi che contengono potenziali malware non rilevati. Ad esempio, è possibile utilizzare questo log per analizzare un dispositivo protetto che registra ripetutamente dei rilevamenti, anche dopo numerosi tentativi di correzione. I rilevamenti ripetuti indicano che un altro dispositivo nella rete è infetto e sta cercando di reinfettare il dispositivo protetto. Source of Infection può aiutare a identificare il dispositivo infetto.

Per maggiori informazioni su Source of Infection, consultare i seguenti articoli della knowledge base:

Per eseguire la scansione della rete, scegliere una delle seguenti opzioni:

  • Utilizzare Advanced IP Scanner. Vedere la pagina di Advanced IP Scanner.

    Questo strumento è semplice e gratuito.

    Schermata dello strumento Advanced IP Scanner.

    Genera un elenco di dispositivi attivi sulla rete che è possibile confrontare con i dispositivi elencati nel proprio software di gestione Sophos.

  • Per utilizzare Source of Infection, procedere come segue:

    1. Scaricare Source of Infection, vedere SourceOfInfection.zip.
    2. Salvare lo strumento sul dispositivo che si desidera analizzare.
    3. Estrarre SourceOfInfection.exe nella directory radice dell’unità C.
    4. Aprire il Prompt dei comandi come amministratore.
    5. Trovare ed eseguire SourceOfInfection.exe.
    6. Premere Invio per eseguire il comando.

    7. Lasciare in esecuzione Source of Infection. Per farlo, occorre lasciare aperta la finestra del prompt dei comandi.

      Nota

      È possibile che ci siano più dispositivi infetti che cercano di infettare altri dispositivi all’interno della rete. Lasciando in esecuzione Source of Infection più a lungo, si avranno maggiori probabilità di acquisire queste informazioni e registrarle nel log.

    8. Quando viene rilevato nuovo malware sul dispositivo, arrestare Source of Infection chiudendo la finestra del prompt dei comandi.

      Il rilevamento di nuovo malware può richiedere pochi secondi o diversi giorni, a seconda della situazione.

    9. Controllare il file di log per individuare l’origine dell’infezione. I file di log si trovano in %temp%\Source of Infection Log.csv.

      Il file di log è un file CSV, che può essere aperto in Microsoft Excel o in qualsiasi editor di testo.

      L’esempio riportato di seguito mostra due file sospetti scritti sul dispositivo da un percorso di rete remoto. Con molta probabilità, questi due indirizzi IP sono dispositivi infetti.

      Esempio di file di log di Source of Infection, che mostra due host infetti.

    10. Ripetere il processo per tutti i dispositivi su cui si desidera indagare.

    11. Individuare, isolare e proteggere i dispositivi infetti per impedire la diffusione di file dannosi.

Verifica della protezione

Sophos ha impostazioni consigliate per la protezione dalle minacce, che si basano su livelli multipli di protezione. Queste impostazioni offrono protezione contro le infezioni e aiutano a rimuovere le infezioni. Per verificare la protezione, procedere come indicato di seguito:

  1. Verificare se nei criteri di protezione dalle minacce si stanno utilizzando le impostazioni consigliate.

    Per maggiori informazioni su queste impostazioni, visitare queste pagine:

  2. Se non si utilizzano le impostazioni consigliate, attivarle nei criteri di protezione dalle minacce.

  3. Se non si desidera utilizzare tutte le impostazioni consigliate, attivare, sia per i computer che per i server, l’opzione che prevede l’invio a Sophos Central dei dati su file sospetti ed eventi di rete. Saranno necessari in una fase successiva del processo di correzione. Per farlo, procedere come segue:

    1. Accedere a Sophos Central Admin.
    2. Cliccare su Endpoint Protection > Criteri e attivare Consenti ai computer di inviare a Sophos Central i dati relativi a file sospetti ed eventi di rete.
    3. Cliccare su Server Protection > Criteri e attivare Consenti ai server di inviare a Sophos Central i dati relativi a file sospetti ed eventi di rete.

Applicazione di patch ai dispositivi

Assicurarsi che a tutti i dispositivi siano state applicate le più recenti patch di protezione Windows disponibili, inclusa la patch per l’exploit EternalBlue. TrickBot o Emotet utilizza questo exploit come uno dei possibili metodi di infezione.

EternalBlue è un exploit che sfrutta una vulnerabilità in Microsoft SMB, e che veniva utilizzato anche per la diffusione del ransomware WannaCry. L’applicazione di patch ai dispositivi e la rimozione di questo vettore di infezione diminuiscono le probabilità di infezione da TrickBot o Emotet e proteggono i sistemi da altri malware che utilizzano EternalBlue.

Microsoft ha rilasciato la patch per EternalBlue nel seguente aggiornamento Microsoft: MS17-010. L’articolo ufficiale di Microsoft spiega come verificare se un dispositivo ha questa patch. Vedere Come verificare se la patch MS17-010 è installata.

Sophos ha uno script PowerShell molto semplice, che può essere eseguito sui singoli computer per verificare se hanno questa patch. Per maggiori informazioni, vedere Come verificare se un computer è vulnerabile a EternalBlue - MS17-010.

Per applicare le patch ai dispositivi, procedere come segue:

  1. Verificare se i dispositivi sono vulnerabili a EternalBlue.
  2. Aggiornare i dispositivi con le più recenti patch di protezione Windows.

Scansione e disinfezione dei dispositivi

Eseguire la scansione dei dispositivi per scoprire quante infezioni da TrickBot o da Emotet sono presenti nei sistemi. Successivamente, occorre disinfettare i dispositivi per prevenire le reinfezioni.

Per farlo, procedere come segue:

  1. Assicurarsi di avere applicato le patch e installato Intercept X Advanced su tutti i dispositivi.

  2. Eseguire una scansione completa su tutti i dispositivi. Per eseguire la scansione di un dispositivo, procedere come segue:

    1. Accedere a Sophos Central Admin.
    2. Cliccare su Endpoint Protection > Criteri o Server Protection > Criteri.
    3. In Protezione dalle minacce, cliccare sul criterio assegnato agli utenti, ai computer o ai server che si desidera analizzare.
    4. Cliccare su Impostazioni e scorrere verso il basso fino a Scansione pianificata.
    5. Attivare Abilita scansione pianificata.

    6. Impostare l’ora a cui eseguire la scansione.

      Per eseguire una scansione, i dispositivi devono essere accesi e attivi.

    7. Disattivare Abilita scansione profonda (scansione interna ai file di archiviazione con estensione .zip, .cab, ecc.).

      Per indicizzare tutti i file, occorre eseguire una scansione completa. Queste impostazioni aggiuntive rallentano il processo di indicizzazione o possono impedire il completamento della scansione su alcuni dispositivi.

  3. Dopo la scansione completa, è necessario rimuovere l’infezione da Sophos Central Admin. Per farlo, procedere come segue:

    1. Accedere a Sophos Central Admin e cliccare su Centro di analisi delle minacce > Ricerche sulle minacce.

    2. Cercare nei percorsi dove il malware viene rilasciato più sovente.

      • C:\
      • C:\Windows
      • C:\Windows\System32
      • C:\Windows\Syswow64
      • C:\ProgramData
      • C:\Users\*<Username\>*\AppData\Roaming\*<random name\>*.

    3. Accedere a uno di questi percorsi e cliccare su Connessioni di rete.

      Procedendo in questo modo, l’elenco verrà limitato ai soli file eseguibili che utilizzano connessioni di rete. TrickBot o Emotet cercherà di diffondersi e per farlo ha bisogno delle connessioni di rete.

    4. Cercare file eseguibili che sembrano insoliti o di cui non si è sicuri.

    5. Per ciascuno di questi file, cliccare su Genera un nuovo caso di minaccia e su Richiedi i dati di intelligence più recenti dall’interno del Caso di minaccia, per ottenere maggiori informazioni.
    6. Controllare i dati e, se necessario, cliccare su Disinfezione e blocco.

    Per ottenere maggiori informazioni su un file, inviare un campione; vedere Come inviare campioni di file sospetti a Sophos.

  4. Controllare i Casi di minacce e gli Avvisi per scoprire se sono presenti rilevamenti nuovi e recenti. Cercare eventuali segnali di rilevamento di TrickBot o Emotet.

    • CXmal/Emotet-C
    • HPmal/Emotet-D
    • HPmal/TrikBot-G
    • Mal/EncPk-AN
    • HPmal/Crushr-AU
    • Troj/Inject-DTW
    • Troj/LnkRun-T
    • AMSI/Exec-P
    • Troj/Emotet-CJW

  5. Verificare se ci sono i seguenti rilevamenti:

    • Mal/Generic-R
    • Mal/Generic-S
    • ML/PE-A
    • Code Cave
    • APC Violation
    • Safe Browsing
    • LoadLib

  6. Ripetere questa procedura per ciascun file in Ricerche sulle minacce.

  7. Rimuovere tutti i file infetti.
  8. Riavviare tutti i dispositivi per rimuovere eventuali infezioni nella memoria.
  9. Ripetere questi passaggi finché non rimane alcuna traccia di TrickBot o Emotet.

Correzione finale

Se si continuano a registrare rilevamenti, è in corso un’infezione su un dispositivo della rete.

Le infezioni da TrickBot o Emotet persistono sia in modalità basata sui file che indipendente dai file. Per correggere il problema, occorre ridurne la capacità di replicazione in entrambe le modalità. Per maggiori informazioni sul funzionamento di questo malware, vedere Risoluzione delle epidemie di malware Emotet e TrickBot.

Per individuare gli altri dispositivi infetti, procedere come segue:

  1. Ripetere la procedura descritta in questo flusso di lavoro.

  2. Se non si riesce a identificare l’origine del rilevamento, cliccare su Centro di analisi delle minacce > Ricerche sulle minacce e controllare i percorsi in cui è stato individuato TrickBot o Emotet.

    • C:\Windows\<A Randomly Named EXE>
    • C:\windows\system32\<A Randomly Named EXE>
    • C:\Windows\Syswow64\<A Randomly Named EXE>
    • C:\stsvc.exe
    • C:\Users\<username>\AppData\Roaming\*<A Randomly Named EXE\>*
    • C:\Users\<username>\AppData\Roaming\<Six-Letter-Folder>
    • C:\ProgramData\<Randomly Named EXEs>

  3. Quando si trova il file eseguibile che elude il rilevamento, inviare un campione.

  4. Se non si riesce a trovare il file eseguibile, contattare Sophos MDR Rapid Response.

Video sulla correzione di TrickBot o Emotet

Il video descrive questo flusso di lavoro.