信息化觀察網(wǎng)

木馬病毒Emotet由于其開發(fā)團(tuán)隊(duì)的“敏捷性”和“產(chǎn)品”不斷進(jìn)化，號稱打不死的小強(qiáng)。近日，研究者發(fā)現(xiàn)該木馬獲得了“空氣傳播”的可怕技能。

是時(shí)候使用強(qiáng)密碼保護(hù)Wi-Fi網(wǎng)絡(luò)和Windows用戶帳戶了：研究人員發(fā)現(xiàn)并分析了一個(gè)惡意軟件程序，該程序能夠?qū)motet 木馬病毒傳播到附近的無線網(wǎng)絡(luò)并破壞其中的計(jì)算機(jī)。

Emotet：一個(gè)古老的威脅

Emotet是目前用途最廣泛的惡意軟件威脅之一。

具體來說，Emotet就像一個(gè)“搬運(yùn)工”，侵入宿主系統(tǒng)后，具備下載其他惡意軟件的能力，由于其模塊化的性質(zhì)，這只是其能力之一。

借助傳播組件，Emotet能夠?qū)⒆陨韨魉偷酵痪W(wǎng)絡(luò)上的其他計(jì)算機(jī)，該組件可以通過掛載共享或利用漏洞利用來傳播惡意軟件。

但是，據(jù)Binary Defense研究人員稱，Emotet現(xiàn)在get到了一個(gè)更加危險(xiǎn)的技能——可以“跳入”其他Wi-Fi網(wǎng)絡(luò)并試圖破壞其中的計(jì)算機(jī)。

“空氣傳播”新技能

Binary Defense威脅搜尋和反情報(bào)高級主管Randy Pargman表示：

我們從用于研究的Emotet機(jī)器人中檢索了該惡意軟件樣本，并使用IDA Pro對惡意軟件代碼進(jìn)行了逆向工程以確定其運(yùn)行方式。

惡意軟件感染了連入Wi-Fi網(wǎng)絡(luò)的計(jì)算機(jī)后，它會使用wlanAPI接口發(fā)現(xiàn)該區(qū)域中的所有Wi-Fi網(wǎng)絡(luò)：鄰居的Wi-Fi網(wǎng)絡(luò)、咖啡館的免費(fèi)Wi-Fi網(wǎng)絡(luò)或附近的商家的Wi-Fi網(wǎng)絡(luò)。

即使這些網(wǎng)絡(luò)受到訪問密碼的保護(hù)，該惡意軟件也會嘗試字典攻擊破解密碼，一旦得手就可以連接到Wi-Fi網(wǎng)絡(luò)，開始掃描連接到同一網(wǎng)絡(luò)的所有其他計(jì)算機(jī)，以查找所有啟用了文件共享的Windows計(jì)算機(jī)。然后，它檢索這些計(jì)算機(jī)上所有用戶帳戶的列表，并嘗試猜測這些帳戶以及管理員帳戶的密碼。如果猜出的任何密碼正確，則惡意軟件會將其自身復(fù)制到該計(jì)算機(jī)，并通過在另一臺計(jì)算機(jī)上運(yùn)行遠(yuǎn)程命令來進(jìn)行安裝。

最后，是報(bào)告給命令和控制服務(wù)器以確認(rèn)安裝。

一些“有趣”的細(xì)節(jié)

分析期間發(fā)現(xiàn)的一件有趣的事是，該惡意軟件用于無線傳播的主要可執(zhí)行文件的時(shí)間戳記可追溯到2018年4月，并于一個(gè)月后首次提交給VirusTotal。

Binary Defense威脅研究人員James Quinn 指出：

帶有此時(shí)間戳的可執(zhí)行文件包含Emotet使用的Command and Control（C2）服務(wù)器的硬編碼IP地址。這意味著這種Wi-Fi傳播行為已經(jīng)運(yùn)行了將近兩年了。

Emotet通過“空氣傳播”之所以未能引起業(yè)界注意，這可能部分是由于二進(jìn)制文件在木馬中投放的頻率不高。根據(jù)記錄，從2019年8月下旬Emotet首次出現(xiàn)至今，Binary Defense直到2020年1月23日才首次觀察到Emotet投放此類文件。

此惡意軟件保持低調(diào)的另一個(gè)原因是能夠繞過安全檢查，如果研究人員在沒有Wi-Fi適配器的VM /自動(dòng)沙箱中運(yùn)行，則惡意軟件不會觸發(fā)對wlanAPI網(wǎng)絡(luò)掃描發(fā)現(xiàn)功能的利用。