Cloud Networks • Новости • Появилась возможность заблокировать Emotet на 6 месяцев
3553
19.08.2020

Появилась возможность заблокировать Emotet на 6 месяцев

Emotet впервые появился в 2014 году и с тех пор превратился в полноценный ботнет, предназначенный для кражи учетных данных и загрузки дополнительных вредоносных программ. В прошлом году Emotet возглавил ТОП-10 вредоносных программ.

И вот Джеймс Куинн из Binary Defense смог использовать уязвимость в Emonet, которая привела к сбою и не позволила ей заразить системы в течение шести месяцев.

Исследователь безопасности Джеймс Куинн разработал выключатель, получивший название EmoCrash, который использовал переполнение буфера в процессе установки Emotet. Специалист прокомментировал:

«Подобно тому, как злоумышленники могут использовать недостатки в законном программном обеспечении для нанесения вреда, защитники могут также перепроектировать вредоносное ПО, чтобы обнаружить его уязвимости, а затем использовать их для его уничтожения».

Как действовал новый Emonet?

В начале февраля Emotet выпустил новую версию для распространения в небезопасных сетях Wi-Fi, расположенных рядом с зараженным устройством. Разработчики вредоносного ПО удалили список слов и алгоритм генерации файлов, ранее использовавшийся Emotet, и заменили его новым алгоритмом с новым подходом к сохраняемости.

  • Этот новый алгоритм генерировал случайно выбранное системное имя файла .exe или .dll, а затем зашифровывал имя файла с помощью ключа, исключающего «ИЛИ», и сохранял его как ключ реестра.
  • Куинн обнаружил простое переполнение буфера в этой процедуре установки и создал переключатель для устранения этой проблемы с помощью сценария PowerShell.
  • Сценарий содержал буфер размером 0x340 (832) байта, который Emotet пытался сохранить в качестве ключа реестра, что в конечном итоге приводило к его сбою во время процесса установки (до его полной установки) и полностью предотвращало установку вредоносного ПО в системах.

Затем Куинн незаметно поделился выключателем с членами сообщества информационных систем, избегая общедоступных каналов, чтобы обеспечить максимальное время безотказной работы эксплойта, прежде чем злоумышленники, стоящие за Emotet, исправят уязвимость своего вредоносного ПО.

В заключение

2020-ый – это эпоха удаленной работы, и компании сталкиваются с новыми и более серьезными кибер-рисками. Будь то платформы для совместной работы, развивающиеся внутренние угрозы или проблемы с блокировкой гораздо более широкого круга.

Чтобы надежно защитить свой бизнес, обратитесь к нам.

Мы не передадим ваши данные третьим лицам и не будем донимать спамом
О нас
Решения
Блог
+7 (495) 255-06-30
info@cloudnetworks.ru
ООО «Облачные сети»
г. Москва, Сущевский вал, 18, этаж 15
Политика конфиденциальностиАнтикоррупционная политика
to-top