木馬病毒Emotet可“空氣傳播”:感染附近WiFi網絡
作者:星期二, 二月 11, 20200

木馬病毒Emotet由于其開發團隊的“敏捷性”和“產品”不斷進化,號稱打不死的小強。近日,研究者發現該木馬獲得了“空氣傳播”的可怕技能。

是時候使用強密碼保護Wi-Fi網絡和Windows用戶帳戶了:研究人員發現并分析了一個惡意軟件程序,該程序能夠將Emotet 木馬病毒傳播到附近的無線網絡并破壞其中的計算機。

Emotet:一個古老的威脅

Emotet是目前用途最廣泛的惡意軟件威脅之一。

具體來說,Emotet就像一個“搬運工”,侵入宿主系統后,具備下載其他惡意軟件的能力,由于其模塊化的性質,這只是其能力之一。

借助傳播組件,Emotet能夠將自身傳送到同一網絡上的其他計算機,該組件可以通過掛載共享或利用漏洞利用來傳播惡意軟件。

但是,據Binary Defense研究人員稱,Emotet現在get到了一個更加危險的技能——可以“跳入”其他Wi-Fi網絡并試圖破壞其中的計算機。

“空氣傳播”新技能

Binary Defense威脅搜尋和反情報高級主管Randy Pargman表示:

我們從用于研究的Emotet機器人中檢索了該惡意軟件樣本,并使用IDA Pro對惡意軟件代碼進行了逆向工程以確定其運行方式。

惡意軟件感染了連入Wi-Fi網絡的計算機后,它會使用wlanAPI接口發現該區域中的所有Wi-Fi網絡:鄰居的Wi-Fi網絡、咖啡館的免費Wi-Fi網絡或附近的商家的Wi-Fi網絡。

“即使這些網絡受到訪問密碼的保護,該惡意軟件也會嘗試字典攻擊破解密碼,一旦得手就可以連接到Wi-Fi網絡,開始掃描連接到同一網絡的所有其他計算機,以查找所有啟用了文件共享的Windows計算機。然后,它檢索這些計算機上所有用戶帳戶的列表,并嘗試猜測這些帳戶以及管理員帳戶的密碼。如果猜出的任何密碼正確,則惡意軟件會將其自身復制到該計算機,并通過在另一臺計算機上運行遠程命令來進行安裝。”

最后,是報告給命令和控制服務器以確認安裝。

一些“有趣”的細節

分析期間發現的一件有趣的事是,該惡意軟件用于無線傳播的主要可執行文件的時間戳記可追溯到2018年4月,并于一個月后首次提交給VirusTotal。

Binary Defense威脅研究人員James Quinn 指出:

帶有此時間戳的可執行文件包含Emotet使用的Command and Control(C2)服務器的硬編碼IP地址。這意味著這種Wi-Fi傳播行為已經運行了將近兩年了。

Emotet通過“空氣傳播”之所以未能引起業界注意,這可能部分是由于二進制文件在木馬中投放的頻率不高。根據記錄,從2019年8月下旬Emotet首次出現至今,Binary Defense直到2020年1月23日才首次觀察到Emotet投放此類文件。

此惡意軟件保持低調的另一個原因是能夠繞過安全檢查,如果研究人員在沒有Wi-Fi適配器的VM /自動沙箱中運行,則惡意軟件不會觸發對wlanAPI網絡掃描發現功能的利用。

相關閱讀

 

http://www.mqentq.live/threat-alert/62269.html

 


相關文章