研究人员利用Emotet中的一个漏洞来阻止恶意软件的传播

Emotet是一个臭名昭著的基于电子邮件的恶意软件，在几次僵尸网络驱动的垃圾邮件活动和勒索软件攻击背后，它包含一个漏洞，允许网络安全研究人员激活一个杀戮开关，并在六个月内防止恶意软件感染系统。

“你读到的大多数漏洞和漏洞对攻击者来说是好消息，对我们其他人来说是坏消息，”Binary Defense的James Quinn说。

“然而，重要的是要记住，恶意软件是也可能有缺陷的软件。正如攻击者可以利用合法软件中的缺陷造成伤害一样，防御者也可以对恶意软件进行反向工程，以发现其漏洞，然后利用这些漏洞击败恶意软件。”

该杀戮开关在2020年2月6日至2020年8月6日期间处于活动状态，持续了182天，之后恶意软件作者修补了他们的恶意软件并关闭了该漏洞。

自2014年首次识别以来，Emotet已从最初的银行恶意软件演变为“瑞士军刀”，根据其部署方式，它可以充当下载程序、信息窃取程序和spambot。

今年2月初，它开发了一项新功能，可以利用已经感染的设备来识别和危害连接到附近Wi-Fi网络的新受害者。

根据Binary Defense的说法，与此功能更新一起出现的是一种新的持久性机制，它“使用从system32目录中随机选择的exe或dll系统文件名，生成一个文件名，将恶意软件保存在每个受害系统上。”

更改本身是直接的：它用一个XOR键对文件名进行了加密，然后将其保存到设置为受害者卷序列号的Windows注册表值中。

Binary Defense开发的kill switch的第一个版本在Emotet发布上述更改约37小时后上线，它使用了一个PowerShell脚本，为每个受害者生成注册表键值，并将每个值的数据设置为null。


这样，当恶意软件检查注册表中的文件名时，它将加载一个空的exe“.exe”，从而阻止恶意软件在目标系统上运行。

奎因指出：“当恶意软件试图执行“.exe”时，它将无法运行，因为“.”转换为许多操作系统的当前工作目录。

EmoCrash阻止Emotet

还不止这些。Quinn说，在一个名为EmoCrash的kill开关的临时版本中，他能够利用恶意软件安装例程中发现的缓冲区溢出漏洞，在安装过程中使Emotet崩溃，从而有效地防止用户感染。

因此，该脚本的工作方式不是重置注册表值，而是识别系统体系结构，为用户的卷序列号生成安装注册表值，并使用它保存832字节的缓冲区。

Quinn说：“这个小小的数据缓冲区就是使Emotet崩溃所需的一切，甚至可以在感染之前（如疫苗）或感染中期（如killswitch）部署。”。“将出现两个事件ID为1000和1001的崩溃日志，可用于在部署killswitch（以及计算机重新启动）后识别具有禁用和失效的Emotet二进制文件的端点。”

为了对威胁参与者保密并修补他们的代码，Binary Defense表示，它与计算机应急响应团队（CERT）和Cymru团队协调，将EmoCrash漏洞脚本分发给易受影响的组织。

虽然Emotet在4月中旬退出了基于注册表项的安装方法，但直到8月6日，恶意软件加载程序的更新才完全删除了易受攻击的注册表值代码。

奎因说：“2020年7月17日，经过几个月的发展，Emotet终于回到了垃圾邮件领域。”。“由于EmoCrash在全面回归之初仍处于活动状态，直到8月6日，EmoCrash能够提供全面的保护，免受Emotet的攻击。”

“对于832字节的缓冲区来说还不错！”他补充道。