Uma grande solução para a botnet Emotet foi distribuída por mais de seis meses. O ZDNet publicou a história da ferramenta EmoCrash, que funciona essencialmente como um killswitch, impedindo o malware de se propagar e monitorando se redes foram infectadas pelo Emotet. O malware foi visto pela primeira vez em 2014, e evoluiu de um trojan bancário para um canivete suíço que, uma vez que infecta as vítimas, se espalha lateralmente por toda a sua rede, rouba todos os dados confidenciais e aluga acesso aos hospedeiros infectados para outros grupos.
Mas o malware possui um bug que foi explorado e que veio à tona no início deste ano, descoberto por James Quinn, um analista de malware que trabalhava para a Binary Defense. Nos últimos anos, o trabalho principal de Quinn tem sido caçar o Emotet e ficar de olho em suas operações, e enquanto vasculhava as atualizações diárias do malware em fevereiro, ele percebeu uma mudança no código do Emotet – em uma das cargas úteis recentes, a rede de bots Emotet estava fazendo spam em massa pela Internet.
A mudança foi no "mecanismo de persistência" do Emotet, a parte do código que permite que o malware sobreviva às reinicializações do PC. Quinn percebeu que o Emotet estava criando uma chave de registro do Windows e salvando uma chave de criptografia XOR dentro dela. Mas essa chave de registro não foi usada apenas para persistência; ela também fazia parte de outras verificações de código Emotet, incluindo sua rotina de pré-infecção.
Quinn conseguiu montar um minúsculo script do PowerShell que explorou o mecanismo de chave do registro para travar o próprio Emotet. O script, denominado EmoCrash, efetivamente escaneia o computador de um usuário e gera uma chave de registro Emotet correta, mas mal formada. Quando Quinn tentou infectar propositalmente um computador limpo com o Emotet, a chave de registro mal formada disparou um estouro de buffer no código do Emotet, travando o malware, impedindo efetivamente que os usuários fossem infectados.
Quando o Quinn executou o EmoCrash em computadores já infectados, o script substituía a chave de registro boa por uma mal formada e, quando o Emotet verificava novamente a chave de registro, o malware também travava, evitando que hosts infectados se comunicassem com o servidor de comando e controle do Emotet. A equipe da Binary Defense manteve essa descoberta em sigilo total para evitar que a gangue Emotet corrigisse o bug, mas o EmoCrash também precisava chegar às mãos de empresas em todo o mundo.
Assim, a Binary Defense trabalhou com o Team CYMRU, uma empresa com experiência em organização e participação na remoção de botnets e que garantiu que o EmoCrash chegasse às mãos de Centros de Estudos para Resposta e Tratamento de Incidentes em Computadores (CERTs) nacionais, que então o espalharam para as empresas em suas respectivas jurisdições.
Seis meses depois da descoberta, a gangue Emotet mudou todo o seu mecanismo de persistência e o EmoCrash não é mais útil. Mas por seis meses, o script ajudou as organizações a se manterem à frente das operações de malware. ?
Comentários Recomendados
Não há comentários para mostrar.
Participe da conversa
Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.