复杂的Emotet恶意软件加载器在不复杂的密码上蓬勃发展

Emotet已经发展。那不好。该蠕虫作为对Wi-Fi网络的一种利用,在本月赢得了安全观察家的关注。跳。它传播。它的触发器是路由器和Windows PC上的不安全密码。

具体来说,根据其发现者,这是“一种新型的加载程序类型,它利用wlanAPI接口枚举该区域中的所有Wi-Fi网络,然后尝试传播到这些网络,从而感染了它可以访问的所有设备。处理。”

Paul Wagenseil,高级编辑,负责安全 汤姆指南,是遵循“这种新发现的Emotet Trojan变种”的几位作家之一。

Wagenseil为什么将其形容为恐惧?他写道:“ Emotet是一种千篇一律的恶意软件,于2014年以银行木马的形式诞生,但后来又增加了窃取个人信息,安装勒索软件,形成僵尸网络以及下载其他恶意软件的功能。 。”

一家安全公司 二进制防御 确定了变体。根据Binary Defense的说法,“随着Emotet使用的这种新发现的加载程序类型,Emotet的功能引入了新的威胁向量。以前认为它只能通过垃圾邮件和受感染的网络传播,Emotet可以使用此加载程序类型通过附近的无线网络进行传播。网络使用不安全的密码。”

尽管Wagenseil对此表示恐惧,但Binary Defense的恶意软件分析师James Quinn给出了更多了解Emotet强大功能的理由:

“ Emotet是一种高度复杂的特洛伊木马,通常还充当其他恶意软件的加载程序。Emotet的一项关键功能是其能够交付适用于特定任务(包括窃取Outlook联系人或在LAN上传播)的自定义模块或插件的能力。 ”

和Sergiu Gatlan于2月7日在BleepingComputer中 思想 更多的提醒。他写道:“ Emotet Trojan在互动恶意软件分析平台Any.Run于12月下旬制定的’十大最流行威胁中排名第一。”他们的特长,特斯拉特工信息窃贼。”

Gatlan还报告说,网络安全和基础架构安全局(CISA)已发出警告“有关与定向Emotet攻击有关的活动增加……建议管理员和用户查看Emotet恶意软件警报以寻求指导。”

Binary Defense发现Wi-Fi传播行为已经持续了将近两年的时间。

怎么可能

TechRadar的Anthony Spadafora 提到 有两个原因,这是由于(1)丢弃二进制文件的次数很少。他写道:“根据Binary Defense,2020年1月23日标志着该公司首次观察到Emotet交付的文件,尽管该文件自2018年以来就已包含在恶意软件中。” (2)它能够继续运行而未被发现的能力可能是“该模块在没有Wi-Fi卡供研究人员用来剖析新型恶意软件的虚拟机和自动沙箱上无法显示传播行为”。

《汤姆指南》详细介绍了Emotet的运作方式。

将Emotet安装在PC上后,“ worm.exe”将检查以查看有多少Wi-Fi网络。该步骤在Windows XP上失败,但在Windows的更高版本上失败。 Emotet试图破解每个附近Wi-Fi网络的访问密码,“将它们从可能的密码的预编译列表中依次拉出,直到一个起作用为止”。

然后开始传播:

“一旦授予网络访问权限,Emotet就会将新破解的网络的网络名称和密码发送到其命令和控制服务器,显然是将信息添加到被黑Wi-Fi网络的主列表中。

“然后,恶意软件断开其主机PC的现有Wi-Fi连接并将其连接到新链接的网络,然后Emotet扫描连接的Windows计算机。然后,它试图在每台新感染的计算机上强行使用Windows用户名和用户密码,从另一个可能的文本字符串的预编译列表中提取。”

Wagenseil说,除了弱的Wi-Fi密码外,它还显示在受感染的电子邮件附件中。

奎因在他的Binary Defence讨论中的闭幕评论包括使用强密码保护无线网络安全的建议,这样,诸如Emotet之类的恶意软件就无法获得对网络的未经授权的访问。

奎因还强调了针对这种威胁的检测策略,其中包括“对正在安装的新服务的端点进行主动监视,并调查可疑服务或从临时文件夹和用户配置文件应用程序数据文件夹运行的任何进程”。他还说,网络监控是一种有效的检测手段,“因为通信未加密,并且存在识别恶意软件消息内容的可识别模式”。