Uma grande solução para a botnet Emotet foi distribuída por mais de seis meses. O ZDNet publicou a história da ferramenta EmoCrash, que funciona essencialmente como um killswitch, impedindo o malware de se propagar e monitorando se redes foram infectadas pelo Emotet. O malware foi visto pela primeira vez em 2014, e evoluiu de um trojan bancário para um canivete suíço que, uma vez que infecta as vítimas, se espalha lateralmente por toda a sua rede, rouba todos os dados confidenciais e aluga acesso aos hospedeiros infectados para outros grupos.
Mas o malware possui um bug que foi explorado e que veio à tona no início deste ano, descoberto por James Quinn, um analista de malware que trabalhava para a Binary Defense. Nos últimos anos, o trabalho principal de Quinn tem sido caçar o Emotet e ficar de olho em suas operações, e enquanto vasculhava as atualizações diárias do malware em fevereiro, ele percebeu uma mudança no código do Emotet – em uma das cargas úteis recentes, a rede de bots Emotet estava fazendo spam em massa pela Internet.
A mudança foi no "mecanismo de persistência" do Emotet, a parte do código que permite que o malware sobreviva às reinicializações do PC. Quinn percebeu que o Emotet estava criando uma chave de registro do Windows e salvando uma chave de criptografia XOR dentro dela. Mas essa chave de registro não foi usada apenas para persistência; ela também fazia parte de outras verificações de código Emotet, incluindo sua rotina de pré-infecção.
Quinn conseguiu montar um minúsculo script do PowerShell que explorou o mecanismo de chave do registro para travar o próprio Emotet. O script, denominado EmoCrash, efetivamente escaneia o computador de um usuário e gera uma chave de registro Emotet correta, mas mal formada. Quando Quinn tentou infectar propositalmente um computador limpo com o Emotet, a chave de registro mal formada disparou um estouro de buffer no código do Emotet, travando o malware, impedindo efetivamente que os usuários fossem infectados.
Quando o Quinn executou o EmoCrash em computadores já infectados, o script substituía a chave de registro boa por uma mal formada e, quando o Emotet verificava novamente a chave de registro, o malware também travava, evitando que hosts infectados se comunicassem com o servidor de comando e controle do Emotet. A equipe da Binary Defense manteve essa descoberta em sigilo total para evitar que a gangue Emotet corrigisse o bug, mas o EmoCrash também precisava chegar às mãos de empresas em todo o mundo.
Assim, a Binary Defense trabalhou com o Team CYMRU, uma empresa com experiência em organização e participação na remoção de botnets e que garantiu que o EmoCrash chegasse às mãos de Centros de Estudos para Resposta e Tratamento de Incidentes em Computadores (CERTs) nacionais, que então o espalharam para as empresas em suas respectivas jurisdições.
Seis meses depois da descoberta, a gangue Emotet mudou todo o seu mecanismo de persistência e o EmoCrash não é mais útil. Mas por seis meses, o script ajudou as organizações a se manterem à frente das operações de malware. ?
Recommended Comments
There are no comments to display.
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.