Informationssikkerhedsforskere har skabt en udnyttelse og efterfølgende en dræbtewitch (kaldet EmoCrash) for at forhindre, at Emotet-malware spreder sig. Dette er en af de mest almindelige og farlige virusinfektioner, da de spredes via botnet-netværk af inficerede værter. Eksperterne har afsløret et sikkerhedsproblem, der har gjort det muligt for dette at ske.
EmoCrash: Eksperter fandt en udnyttet og stoppet emotet fra at inficere pc'er
Emotet-malware er en af de mest velfungerende og farlige vira, der primært distribueres ved hjælp af botnet-netværk fra inficerede værter. Botnet-netværkene konfigurerer til automatisk at sprede virussen ved at bruge SPAM-indhold i e-mail-beskeder eller direkte angreb ved hjælp af almindelige sikkerhedssårbarheder. Emotet-malware beskrives ofte som en alt-i-en virus som kan programmeres af hackerne til enten at downloade anden malware, stjæle filer eller rekruttere de forurenede værter til botnet-netværket. Det har været kendt siden 2014 og siden da er blevet brugt i utallige angreb mod både private mål og virksomheds- og regeringsnetværk.
For et par måneder siden tilføjede en ny opdatering en ny funktion, der gjorde det muligt for den ondsindede motor at inficere Wi-Fi-netværk i række af allerede hacket værter. En ny persistensinstallation er også implementeret, hvilket gør det sværere at fjerne de aktive infektioner.
Men, med denne opdatering rapporterede sikkerhedsingeniører, der sporer ændringerne i Emotet-koden, at der er udtænkt en killswitch til det. Det bruger en PowerShell-script som manipulerede malware-kontrollerne på det lokale system og fik det til at indlæse en tom eksekverbar fil. Som et resultat blev malware stoppet med at køre på målsystemet.
En anden sikkerhedssvaghed gjorde det muligt for hackerne at konstruere en anden, mere kompleks type virusmanipulation, der er kendt som EmoCrash. Det er kategoriseret som en bufferoverløb udnyttelse som styrter Emotet-motoren under installationen. Dette gøres for at forhindre brugerne i at blive inficeret helt.
Sikkerhedseksperterne har koordineret udnyttelseskoden fra at blive offentliggjort for at skjule denne teknik for hackerne. Dette gøres for at beskytte malware-koden mod at blive lappet mod fejlen. Dog i april 2020 hackerne opdaterede viruskoden og fjernede registerværdikoder, der blev misbrugt af EmoCrash.
I betragtning af det faktum, at computersikkerhedseksperter træffer foranstaltninger for at udtænke metoder til beskyttelse mod malware ved at misbruge fejl i koden, viser det, at en anden teknik muligvis snart vil blive udtænkt igen. Vi anbefaler alle computerbrugere om at være opmærksomme og altid tage sikkerhedsforholdsregler for at beskytte deres systemer mod malware-infektioner.
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: