4006-555-883

木马病毒Emotet可“空气传播”:感染附近WiFi网络

发布时间:2020-02-12 14:26:00

  木马病毒Emotet由于其开发团队的“敏捷性”和“产品”不断进化,号称打不死的小强。近日,研究者发现该木马获得了“空气传播”的可怕技能。

  是时候使用强密码保护Wi-Fi网络和Windows用户帐户了:研究人员发现并分析了一个恶意软件程序,该程序能够将Emotet 木马病毒传播到附近的无线网络并破坏其中的计算机。

  Emotet:一个古老的威胁

  Emotet是目前用途最广泛的恶意软件威胁之一。

  具体来说,Emotet就像一个“搬运工”,侵入宿主系统后,具备下载其他恶意软件的能力,由于其模块化的性质,这只是其能力之一。

  借助传播组件,Emotet能够将自身传送到同一网络上的其他计算机,该组件可以通过挂载共享或利用漏洞利用来传播恶意软件。

  但是,据Binary Defense研究人员称,Emotet现在get到了一个更加危险的技能——可以“跳入”其他Wi-Fi网络并试图破坏其中的计算机。

  “空气传播”新技能

  Binary Defense威胁搜寻和反情报高级主管Randy Pargman表示:

  我们从用于研究的Emotet机器人中检索了该恶意软件样本,并使用IDA Pro对恶意软件代码进行了逆向工程以确定其运行方式。

  恶意软件感染了连入Wi-Fi网络的计算机后,它会使用wlanAPI接口发现该区域中的所有Wi-Fi网络:邻居的Wi-Fi网络、咖啡馆的免费Wi-Fi网络或附近的商家的Wi-Fi网络。

  “即使这些网络受到访问密码的保护,该恶意软件也会尝试字典攻击破解密码,一旦得手就可以连接到Wi-Fi网络,开始扫描连接到同一网络的所有其他计算机,以查找所有启用了文件共享的Windows计算机。然后,它检索这些计算机上所有用户帐户的列表,并尝试猜测这些帐户以及管理员帐户的密码。如果猜出的任何密码正确,则恶意软件会将其自身复制到该计算机,并通过在另一台计算机上运行远程命令来进行安装。”

  最后,是报告给命令和控制服务器以确认安装。

  一些“有趣”的细节

  分析期间发现的一件有趣的事是,该恶意软件用于无线传播的主要可执行文件的时间戳记可追溯到2018年4月,并于一个月后首次提交给VirusTotal。

  Binary Defense威胁研究人员James Quinn 指出:

  带有此时间戳的可执行文件包含Emotet使用的Command and Control(C2)服务器的硬编码IP地址。这意味着这种Wi-Fi传播行为已经运行了将近两年了。

  Emotet通过“空气传播”之所以未能引起业界注意,这可能部分是由于二进制文件在木马中投放的频率不高。根据记录,从2019年8月下旬Emotet首次出现至今,Binary Defense直到2020年1月23日才首次观察到Emotet投放此类文件。

  此恶意软件保持低调的另一个原因是能够绕过安全检查,如果研究人员在没有Wi-Fi适配器的VM /自动沙箱中运行,则恶意软件不会触发对wlanAPI网络扫描发现功能的利用。

  (内容转载于安全牛)

最新发布
1
@所有网站运营者,SSL证书过期不要慌
2
88%企业遭受DNS攻击 SSL证书为您的DNS安全护航
3
短链接钓鱼再度肆虐 部署高等级SSL证书杜绝安全隐患
4
天威诚信小课堂 | 原来……http协议竟是这么的脆弱
5
DigiCert 年度峰会:全球网络攻击加剧,SSL证书服务护航国内企业数字化转型
6
网站信息安全成国际焦点,部署适配SSL证书时不我待
7
3分钟,我要知道SSL证书的全部信息!
8
令人震惊!1862起数据泄漏事件,如何确保你的数据安全?
9
敲黑板!SSL证书常见七大问题答疑来啦!
10
全球去年数据泄露已超过去15年总和!谁来捍卫我们的信息安全?
相关推荐
短链接钓鱼再度肆虐 部署高等级SSL证书杜绝安全隐患
网站信息安全成国际焦点,部署适配SSL证书时不我待
令人震惊!1862起数据泄漏事件,如何确保你的数据安全?
88%企业遭受DNS攻击 SSL证书为您的DNS安全护航
天威诚信小课堂 | 原来……http协议竟是这么的脆弱
@所有网站运营者,SSL证书过期不要慌
DigiCert 年度峰会:全球网络攻击加剧,SSL证书服务护航国内企业数字化转型
3分钟,我要知道SSL证书的全部信息!