殺死頭號惡意軟件Emotet的“疫苗”
責編:gltian |2020-08-20 13:55:54新冠疫情讓疫苗成了全球民眾望眼欲穿的救星,但現實中,近年來最強大的惡意軟件——Emotet,居然被一個小型安全公司開發的“疫苗”壓制了半年之久。這背后的故事,直到最近才被安全業界的大咖們揭秘。
在“2020年十大惡意軟件、漏洞榜單”一文中,我們曾報道:
“退隱江湖”近半年后,老牌惡意軟件Emotet僵尸網絡病毒重出江湖,并迅速奪回惡意軟件TOP10頭把交椅。
2020年2月—7月之間,春風得意、“生意紅火”的Emotet為什么會突然“撤攤”?要知道,Emotet背后的組織擁有匹敵頂級科技企業的一流“敏捷開發”能力,過去幾年Emotet始終是最具“創造性”、“顛覆性”、“影響力”和破壞力的惡意軟件,其產品迭代和技術創新的速度甚至讓很多網絡安全公司都自嘆弗如。
而且,惡意軟件的攻防本就是一場不對等的戰爭,安全公司辛辛苦苦開發出檢測和緩解方法,而攻擊者只需對軟件代碼稍作改動就可快速恢復其“毒性”、“活性”并繞過檢測方法。
那么,2020年上半年“惡意軟件之王”Emotet神秘退隱,難道僅僅是因為“封閉開發”新版本?
近日,密碼學大咖Schneier披露,過去半年“殺滅”Emotet的居然是一家小型網絡安全公司Binary Defense開發的“疫苗”。
網絡安全行業有一條大多數安全公司都遵守的道德紅線,那就是不能利用惡意軟件中的漏洞,因為這樣做會非常危險,可能會給受感染計算機造成意外損失。
但是,有時會出現罕見的漏洞,既可以安全利用,又能對惡意軟件本身造成毀滅性的破壞。
今年二月,Binary Defense公司的惡意軟件分析師James Quinn成功找到了Emotet的“命門”。
在調查2月份的Emotet每日更新時,Quinn發現了Emotet的“持久性機制”代碼被更新了,該機制允許惡意軟件在PC重新啟動后存活下來。Quinn注意到Emotet正在創建Windows注冊表項并將XOR密碼密鑰保存在其中。
通過反復試驗,Quinn開發出一小段PowerShell腳本,利用腳本密鑰機制使Emotet自身崩潰。
Binary Defense給這個腳本起了一個非常形象的名字:EmoCrash,可以掃描用戶的計算機并生成正確的但格式錯誤的Emotet注冊表項。
當Quinn在已經感染了Emotet的計算機上運行EmoCrash時,腳本將用格式錯誤的注冊表項替換正常的注冊表項,并且當Emotet重新檢查注冊表項時,惡意軟件也會崩潰,從而阻止受感染的主機與Emotet的C2服務器通信。
實際上,Quinn同時開發了Emotet的疫苗和停止開關(killswitch),其中疫苗是精華所在。
Binary Defense防御團隊很快意識到,“疫苗”被研發出來的消息必須高度保密,以防止Emotet團伙知道后修改代碼,但另一方面,EmoCrash這個疫苗也需要盡快傳播到全世界的公司手中。
與如今擁有數十年歷史的大型網絡安全公司相比,Binary Defense是一個成立于2014年的“年輕后生”,并沒有足夠的影響力和實力安全發送疫苗,消息很難不泄露,任何環節的疏漏或者妒火中燒的競爭對手都可能導致消息泄露。
為了做到這一點,Binary Defense與CYMRU團隊合作,該公司擁有數十年的組織和打擊僵尸網絡的歷史。
CYMRU團隊在幕后操作,確保EmoCrash被秘密發送到各國家計算機緊急響應團隊(CERT)的手中,然后將其傳播到各自轄區內的公司。
CYMRU團隊的首席架構師James Shank表示,該公司與125個以上的國家和地區CERT團隊保持聯系,并管理著一個郵件列表,該列表將敏感信息分發給6000多名成員。此外,CYMRU團隊還每兩個星期啟動一次小組行動,專門處理Emotet的最新攻擊。
在過去的六個月中,這種廣泛而精心安排的努力幫助EmoCrash傳遍全球,也直接導致Emotet在2020年上半年一蹶不振甚至偃旗息鼓。
但是,不清楚是因為偶爾的信息泄露或者Emotet的開發團隊發現了持久性機制的漏洞,在8月6日的更新中,Emotet更改了整個持久性機制,距離Quinn首次發現該機制的漏洞已經過去了六個月。
今天,雖然EmoCrash已經失去了效力,但是六個月以來,這一小段PowerShell腳本幫助全球企業和組織首次在惡意軟件攻防對抗中長時間碾壓了以技術研發實力著稱的惡意軟件之王——Emotet,在當今的網絡安全領域,這確實是罕見而值得銘記的一段歷史。