Emotet是一个臭名昭著的基于电子邮件的恶意软件,它是由僵尸网络驱动的垃圾邮件活动和勒索软件攻-击的幕后黑手,它包含一个漏洞,允许网络安全研究人员激活一个杀戮开关,并在6个月内阻止恶意软件感染系统。
James Quinn说:“你读到的大多数漏洞和攻-击对攻-击者来说是好消息,对我们其他人来说是坏消息。”。
“然而,重要的是要记住,恶意软件是软件也可能有缺陷。正如攻-击者可以利用合法软件中的缺陷造成伤害一样,防御者也可以对恶意软件进行逆向工程,以发现其漏洞,然后利用这些漏洞来击败恶意软件。”
从2020年2月6日到2020年8月6日,在恶意软件作者修补他们的恶意软件并关闭漏洞之前,kill switch已经存在了182天。
自2014年首次确认以来,Emotet已从最初的银行恶意软件发展为“瑞士军刀”,根据部署方式,它可以充当下载器、信息窃取者和垃圾邮件发送器。
今年2月初,该公司开发了一项新功能,利用已经感染的设备识别和危害连接到附近Wi-Fi网络的新受害者。
根据Binary Defense的说法,与此功能更新一起出现的是一种新的持久性机制,“使用system32目录中随机选择的exe或dll系统文件名,生成一个文件名来保存每个受害者系统上的恶意软件。”
其本身的变化是直截了当的:它用一个XOR键加密文件名,然后保存到设置为受害者卷序列号的Windows注册表值中。
Binary Defense开发的kill switch的第一个版本在Emotet公布上述更改后大约37小时上线,它使用PowerShell脚本为每个受害者生成注册表项值,并将每个值的数据设置为null。
这样,当恶意软件检查注册表中的文件名时,它将加载一个空的exe“.exe”,从而阻止恶意软件在目标系统上运行。
Quinn指出:“当恶意软件试图执行’.exe’时,它将无法运行,因为’.'会转换为许多操作系统的当前工作目录。”。
还不止这些。Quinn在一个名为emoclash的临时版本的kill switch中说,他能够利用恶意软件安装例程中发现的缓冲区溢出漏洞,在安装过程中使Emotet崩溃,从而有效防止用户受到感染。
因此,该脚本没有重置注册表值,而是通过标识系统体系结构来为用户的卷序列号生成安装注册表值,使用它来保存832字节的缓冲区。
Quinn说:“这个小小的数据缓冲区是崩溃Emotet所需的全部,甚至可以在感染前(如疫苗)或感染中期(如killswitch)部署。”将出现两个带有事件ID 1000和1001的崩溃日志,在部署killswitch(和计算机重新启动)后,可以使用这两个崩溃日志来标识具有禁用和死机emote二进制文件的端点。”
为了对威胁参与者保密并修补他们的代码,二进制防御系统表示,他们与计算机应急小组(CERTs)和Cymru团队协调,将EmoCrash漏洞脚本分发给易受攻-击的组织。
虽然Emotet在4月中旬退出了基于注册表项的安装方法,但直到8月6日,恶意软件加载程序的更新才完全删除了易受攻-击的注册表值代码。
奎恩说:“在2020年7月17日,Emotet在经历了几个月的发展期之后,终于回到了垃圾信息时代。”由于EmoCrash在全面回归之初仍处于活动状态,直到8月6日,EmoCrash能够完全保护Emotet。”
参考来源:https://thehackernews.com/2020/08/emotet-botnet-malware.html
2144
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
