В течение шести месяцев исследователи безопасности тайно распространяли вакцину Emotet по всему миру

В большинстве случаев борьба с вредоносным ПО является проигрышной игрой. Авторы вредоносных программ создают свой код, распределяют полезную нагрузку среди жертв различными методами, и к тому времени, когда охранные фирмы догонят, злоумышленники вносят небольшие изменения в свой код, чтобы быстро вернуть себе преимущество секретности.

Так было с тех пор. конец 80-х, когда впервые появилось вредоносное ПО, и, несмотря на заявления большинства охранных фирм, оно останется таким в обозримом будущем.

Время от времени мы действительно получаем хорошие новости от исследователей безопасности или правоохранительные органы. Авторы вредоносных программ могут ошибиться и быть арестованы, или же в результате масштабных скоординированных усилий удастся вывести из строя более крупные бот-сети.

Однако не все операции вредоносного ПО могут быть повреждены таким образом. Некоторые киберпреступники либо проживают в странах, которые не выдают своих граждан, либо хорошо осведомлены о том, что они делают.

Emotet — одна из группировок, которые ставят галочки в обоих полях. Предполагается, что Emotet действует с территории бывших советских республик, и на сегодняшний день Emotet также является одной из самых опытных групп вредоносных программ, которые усовершенствовали схему заражения и аренды доступа, как никакая другая группа.

Вредоносное ПО, которое было впервые появившийся в 2014 году, превратился из неважного банковского трояна в швейцарский армейский вредоносный программный продукт, который после заражения жертв распространяется по всей их сети, похищает любые конфиденциальные данные, разворачивается и предоставляет доступ к зараженным хостам другим

Сегодня Emotet пугает ИТ-отделы компаний по всему миру и причиняет огромную головную боль всей индустрии кибербезопасности.

Секретная ошибка Emotet

Но под капотом Emotet — это всего лишь часть программного обеспечения, как и все остальное (вредоносное ПО = вредоносное ПО). Таким образом, в Emotet также есть ошибки.

В индустрии кибербезопасности существует очень опасная моральная линия, когда дело доходит до использования ошибок во вредоносных программах, которую многие охранные компании не пересекают, опасаясь, что они могут закончиться до случайного нанесения вреда зараженным компьютерам.

Однако иногда может появиться редкая ошибка, которая безопасна для использования и имеет разрушительные последствия для самого вредоносного ПО.

Одна такая ошибка была обнаружена ранее в этом году обнаружена Джеймсом Куинном, аналитиком вредоносных программ, работающим в Binary Defense.

Тот факт, что Куинн обнаружил ошибку, не был случайностью. В последние годы основной задачей Куинна была охота на Emotet и наблюдение за его деятельностью, а также, в качестве личного хобби, повышение осведомленности об этой части группы Cryptolaemus, представляющей угрозу. ( Читайте об увлекательной истории охоты Cryptolaemus на Emotet здесь . )

Просматривая ежедневные обновления Emotet в феврале, Куинн заметил изменение в коде Emotet — в одной из недавних полезных нагрузок ботнет Emotet массово рассылал спам через Интернет.

Изменение коснулось «механизма постоянства» Emotet, части кода, которая позволяет вредоносному ПО пережить перезагрузку ПК. Куинн заметил, что Emotet создает раздел реестра Windows и сохраняет в нем ключ шифрования XOR.

Но этот ключ реестра использовался не только для сохранения, — объяснил Куинн в отчете, который будет опубликован после этой статьи. Ключ также был частью многих других проверок кода Emotet, в том числе процедуры предварительного заражения.

Знакомство с EmoCrash

Путем проб и ошибок, а также благодаря последующим обновлениям Emotet, которые уточнили, как новый механизм сохраняемости работал, Куинн смог собрать крошечный сценарий PowerShell, который использовал ключевой механизм реестра для сбоя самого Emotet.

Сценарий, хитро названный EmoCrash, эффективно сканировал компьютер пользователя и генерировал правильный — но искаженный — — Ключ реестра Emotet.

Когда Куинн намеренно пытался заразить чистый компьютер с помощью Emotet, неверно сформированный ключ реестра вызвал переполнение буфера в коде Emotet и разрушил вредоносное ПО, эффективно предотвращая заражение пользователей.

Когда Куинн запускал EmoCrash на компьютерах, уже зараженных Emotet, сценарий заменял исправный раздел реестра на неверно сформированный, а когда Emotet повторно проверял раздел реестра, вредоносная программа не работала. uld также не позволял зараженным хостам связываться с командно-контрольным сервером Emotet.

Фактически, Куинн одновременно создал и вакцину Emotet, и killswitch. Но исследователь сказал, что лучшая часть произошла после сбоев.

«Появятся два журнала сбоев с идентификаторами событий 1000 и 1001, которые можно использовать для идентификации конечных точек с отключенными и мертвыми двоичными файлами Emotet», — сказал Куинн.

Другими словами, если EmoCrash будет развернут в сети, он может позволить системным администраторам сканировать или настраивать предупреждения для этих двух идентификаторов событий журнала и немедленно обнаруживать, когда и если Emotet заразил их сети.

Получение EmoCrash в руках защитников

Команда Binary Defense быстро поняла, что новости об этом открытии необходимо держать в полной секретности, чтобы не дать банде Emotet исправить свой код, но они понимали, что EmoCrash также нужен чтобы попасть в руки компаний по всему миру.

По сравнению со многими сегодняшними крупными фирмами в области кибербезопасности, каждая из которых имеет многолетнюю историю, Binary Defense была основана в 2014 году, и несмотря на Будучи одним из новичков в отрасли, он пока не имеет влияния и связей, чтобы сделать это, если только новости о его открытии не просочились случайно или из-за ревнивого соперника.

Чтобы получить После этого Binary Defense работала с Team CYMRU, компанией, которая имеет многолетнюю историю организации и участия в уничтожении ботнетов.

Работая за кулисами, Team CYMRU позаботилась о том, чтобы EmoCrash попал в руки национальных групп реагирования на компьютерные чрезвычайные ситуации (CERT), которые затем распространяют информацию на компании в их соответствующих юрисдикциях.

По словам Джеймса Шэнка, главного архитектора группы CYMRU, компания поддерживает контакты более чем со 125 национальными и региональными организациями. CERT группы, а также управляет списком рассылки, через который он распространяет конфиденциальную информацию среди более чем 6000 участников. Кроме того, Team CYMRU также каждые две недели проводит группу, посвященную последним махинациям Emotet.

Эти обширные и хорошо спланированные усилия помогли EmoCrash распространиться по всему миру в течение последних шести месяцев.

Emotet исправляет свой код

В телефонном интервью 14 августа старший директор Binary Defense Рэнди Паргман сказал, что инструмент намеренно не включает модуль телеметрии, чтобы не отговорить компании от установки его на свои

Binary Defense может никогда не узнать, сколько компаний установили EmoCrash, но Паргман сказал, что они получили много сообщений от компаний, которые предотвратили атаки или обнаружили текущие инциденты.

Однако и Паргман, и Куинн считают, что инструмент оказал, по крайней мере, некоторое влияние на операции Emotet, поскольку инструмент помог снизить количество зараженных ботов, доступных операторам Emotet.

Binary Defense не верит, что банда Emotet когда-либо узнал об их инструменте, но банда, скорее всего, знала, что что-то не так. С февраля и в последующие месяцы Emotet прошел через несколько новых версий и изменений в своем коде. Ни один из них не устранил проблему.

Либо случайно, либо выяснив, что что-то не так в ее механизме устойчивости, банда Emotet в конечном итоге полностью изменила свой механизм устойчивости 6 августа — ровно через шесть месяцев после Куинна. сделал свое первое открытие.

Возможно, EmoCrash больше никому не будет полезен, но в течение шести месяцев этот крошечный сценарий PowerShell помогал организациям опережать операции с вредоносными программами — действительно редкое явление в сегодняшней области кибербезопасности.

И поскольку всегда забавно, когда исследователи безопасности троллируют операторов вредоносных программ, Куинн также попытался получить CVE для ошибки переполнения буфера Emotet от MITER, организации, которая отслеживает недостатки безопасности во всех программах.

К сожалению, MITER отказался назначить CVE для Emotet, что сделало бы его первым штаммом вредоносного ПО с собственным идентификатором CVE.