木马病毒Emotet可“空气传播”:感染附近WiFi网络

云栖号资讯小编 2020-02-12

安全 木马 沙箱

云栖号:https://yqh.aliyun.com
第一手的上云资讯,不同行业精选的上云企业案例库,基于众多成功案例萃取而成的最佳实践,助力您上云决策!

木马病毒Emotet由于其开发团队的“敏捷性”和“产品”不断进化,号称打不死的小强。近日,研究者发现该木马获得了“空气传播”的可怕技能。

是时候使用强密码保护Wi-Fi网络和Windows用户帐户了:研究人员发现并分析了一个恶意软件程序,该程序能够将Emotet 木马病毒传播到附近的无线网络并破坏其中的计算机。

image

Emotet:一个古老的威胁

Emotet是目前用途最广泛的恶意软件威胁之一。

具体来说,Emotet就像一个“搬运工”,侵入宿主系统后,具备下载其他恶意软件的能力,由于其模块化的性质,这只是其能力之一。

借助传播组件,Emotet能够将自身传送到同一网络上的其他计算机,该组件可以通过挂载共享或利用漏洞利用来传播恶意软件。

但是,据Binary Defense研究人员称,Emotet现在get到了一个更加危险的技能——可以“跳入”其他Wi-Fi网络并试图破坏其中的计算机。

“空气传播”新技能

Binary Defense威胁搜寻和反情报高级主管Randy Pargman表示:

我们从用于研究的Emotet机器人中检索了该恶意软件样本,并使用IDA Pro对恶意软件代码进行了逆向工程以确定其运行方式。

恶意软件感染了连入Wi-Fi网络的计算机后,它会使用wlanAPI接口发现该区域中的所有Wi-Fi网络:邻居的Wi-Fi网络、咖啡馆的免费Wi-Fi网络或附近的商家的Wi-Fi网络。

“即使这些网络受到访问密码的保护,该恶意软件也会尝试字典攻击破解密码,一旦得手就可以连接到Wi-Fi网络,开始扫描连接到同一网络的所有其他计算机,以查找所有启用了文件共享的Windows计算机。然后,它检索这些计算机上所有用户帐户的列表,并尝试猜测这些帐户以及管理员帐户的密码。如果猜出的任何密码正确,则恶意软件会将其自身复制到该计算机,并通过在另一台计算机上运行远程命令来进行安装。”

最后,是报告给命令和控制服务器以确认安装。

一些“有趣”的细节

分析期间发现的一件有趣的事是,该恶意软件用于无线传播的主要可执行文件的时间戳记可追溯到2018年4月,并于一个月后首次提交给VirusTotal。

Binary Defense威胁研究人员James Quinn 指出:

带有此时间戳的可执行文件包含Emotet使用的Command and Control(C2)服务器的硬编码IP地址。这意味着这种Wi-Fi传播行为已经运行了将近两年了。

Emotet通过“空气传播”之所以未能引起业界注意,这可能部分是由于二进制文件在木马中投放的频率不高。根据记录,从2019年8月下旬Emotet首次出现至今,Binary Defense直到2020年1月23日才首次观察到Emotet投放此类文件。

此恶意软件保持低调的另一个原因是能够绕过安全检查,如果研究人员在没有Wi-Fi适配器的VM /自动沙箱中运行,则恶意软件不会触发对wlanAPI网络扫描发现功能的利用。

云栖号:https://yqh.aliyun.com
第一手的上云资讯,不同行业精选的上云企业案例库,基于众多成功案例萃取而成的最佳实践,助力您上云决策!

原文发布时间:2020-02-11
本文作者:aqniu
本文来自:“安全牛”,了解相关信息可以关注“安全牛

登录 后评论
下一篇
弹性计算秉林
44人浏览
2020-07-08
相关推荐
基于Linux系统的病毒
1663人浏览
2014-06-18 17:48:00
计算机病毒
1407人浏览
2016-03-28 11:04:00
0
0
0
455