Emotet, một phần mềm độc hại dựa trên email khét tiếng đứng sau một số chiến dịch thư rác do botnet điều khiển và các cuộc tấn công bằng ransomware, chứa một lỗ hổng cho phép các nhà nghiên cứu an ninh mạng kích hoạt công tắc tiêu diệt và ngăn phần mềm độc hại lây nhiễm hệ thống trong sáu tháng.
“Hầu hết các lỗ hổng và cách khai thác mà bạn đã đọc là tin tốt cho những kẻ tấn công và tin xấu cho phần còn lại của chúng tôi”, Binary Defense’s James Quinn nói.
“Tuy nhiên, điều quan trọng cần lưu ý là phần mềm độc hại là phần mềm cũng có thể có lỗ hổng. Giống như những kẻ tấn công có thể khai thác lỗ hổng trong phần mềm hợp pháp để gây hại, những người bảo vệ cũng có thể thiết kế ngược phần mềm độc hại để phát hiện ra lỗ hổng của nó và sau đó khai thác chúng để đánh bại phần mềm độc hại. “
Kill-switch tồn tại trong khoảng thời gian từ ngày 6 tháng 2 năm 2020 đến ngày 6 tháng 8 năm 2020, trong 182 ngày, trước khi các tác giả phần mềm độc hại vá phần mềm độc hại của họ và đóng lỗ hổng.
Kể từ lần nhận dạng đầu tiên vào năm 2014, Emotet đã phát triển từ nguồn gốc ban đầu là phần mềm độc hại ngân hàng thành “con dao của Quân đội Thụy Sĩ” có thể hoạt động như một trình tải xuống, đánh cắp thông tin và spambot tùy thuộc vào cách nó được triển khai.
Đầu tháng 2 này, nó đã phát triển lông mớie tận dụng các thiết bị đã bị nhiễm virus để xác định và xâm phạm các nạn nhân mới kết nối với mạng Wi-Fi lân cận.
Cùng với bản cập nhật tính năng này, theo Binary Defense, một cơ chế bền bỉ mới đã “tạo ra một tên tệp để lưu phần mềm độc hại trên mỗi hệ thống nạn nhân, sử dụng tên tệp hệ thống exe hoặc dll được chọn ngẫu nhiên từ thư mục system32.”
Bản thân nó đã thay đổi ngay lập tức: nó mã hóa tên tệp bằng khóa XOR sau đó được lưu vào giá trị đăng ký Windows được đặt thành số sê-ri ổ đĩa của nạn nhân.
Phiên bản đầu tiên của kill-switch do Binary Defense phát triển, ra mắt khoảng 37 giờ sau khi Emotet tiết lộ những thay đổi ở trên, sử dụng tập lệnh PowerShell sẽ tạo giá trị khóa đăng ký cho mỗi nạn nhân và đặt dữ liệu cho mỗi giá trị thành null.
Bằng cách này, khi phần mềm độc hại kiểm tra sổ đăng ký cho tên tệp, nó sẽ kết thúc tải một tệp exe trống “.exe”, do đó ngăn phần mềm độc hại chạy trên hệ thống đích.
“Khi phần mềm độc hại cố gắng thực thi ‘.exe’, nó sẽ không thể chạy bởi vì ‘.’ dịch sang thư mục làm việc hiện tại cho nhiều hệ điều hành, “Quinn lưu ý.
EmoCrash to Thwart Emotet
Đó không phải là tất cả. Trong một phiên bản ngẫu hứng của kill-switch, được gọi là EmoCrash, Quinn cho biết anh đã có thể khai thác lỗ hổng tràn bộ đệm được phát hiện trong quy trình cài đặt của phần mềm độc hại để làm hỏng Emotet trong quá trình cài đặt, do đó ngăn chặn hiệu quả người dùng bị nhiễm.
Vì vậy, thay vì đặt lại giá trị đăng ký, tập lệnh hoạt động bằng cách xác định kiến trúc hệ thống để tạo giá trị đăng ký cài đặt cho số sê-ri ổ đĩa của người dùng, sử dụng nó để lưu bộ đệm 832 byte.
“Bộ đệm dữ liệu nhỏ bé này là tất cả những gì cần thiết để phá hủy Emotet, và thậm chí có thể được triển khai trước khi nhiễm trùng (như vắc-xin) hoặc giữa nhiễm trùng (như giết người),” Quinn nói. “Hai nhật ký sự cố sẽ xuất hiện với ID sự kiện 1000 và 1001, có thể được sử dụng để xác định các điểm cuối có các tệp nhị phân Emotet bị vô hiệu hóa và đã chết sau khi triển khai killswitch (và khởi động lại máy tính).”
Để giữ bí mật với các tác nhân đe dọa và vá mã của chúng, Binary Defense cho biết họ đã phối hợp với Nhóm Ứng cứu Khẩn cấp Máy tính (CERT) và Nhóm Cymru để phân phối tập lệnh khai thác EmoCrash cho các tổ chức nhạy cảm.
Mặc dù Emotet đã gỡ bỏ phương pháp cài đặt dựa trên khóa đăng ký vào giữa tháng 4, nhưng phải đến ngày 6 tháng 8 khi bản cập nhật cho trình tải phần mềm độc hại mới loại bỏ hoàn toàn mã giá trị đăng ký dễ bị tấn công.
“Vào ngày 17 tháng 7 năm 2020, Emotet cuối cùng đã quay trở lại hoạt động gửi thư rác sau thời gian phát triển kéo dài vài tháng của họ,” Quinn nói. “Với việc EmoCrash vẫn hoạt động khi bắt đầu hoạt động trở lại đầy đủ, cho đến ngày 6 tháng 8, EmoCrash đã có thể cung cấp sự bảo vệ toàn diện khỏi Emotet.”
“Không tồi đối với bộ đệm 832 byte!”, Ông nói thêm.
