木马病毒Emotet可“空气传播”:感染附近WiFi网络

发布时间:2020-02-12 14:26:00

  木马病毒Emotet由于其开发团队的“敏捷性”和“产品”不断进化,号称打不死的小强。近日,研究者发现该木马获得了“空气传播”的可怕技能。

  是时候使用强密码保护Wi-Fi网络和Windows用户帐户了:研究人员发现并分析了一个恶意软件程序,该程序能够将Emotet 木马病毒传播到附近的无线网络并破坏其中的计算机。

  Emotet:一个古老的威胁

  Emotet是目前用途最广泛的恶意软件威胁之一。

  具体来说,Emotet就像一个“搬运工”,侵入宿主系统后,具备下载其他恶意软件的能力,由于其模块化的性质,这只是其能力之一。

  借助传播组件,Emotet能够将自身传送到同一网络上的其他计算机,该组件可以通过挂载共享或利用漏洞利用来传播恶意软件。

  但是,据Binary Defense研究人员称,Emotet现在get到了一个更加危险的技能——可以“跳入”其他Wi-Fi网络并试图破坏其中的计算机。

  “空气传播”新技能

  Binary Defense威胁搜寻和反情报高级主管Randy Pargman表示:

  我们从用于研究的Emotet机器人中检索了该恶意软件样本,并使用IDA Pro对恶意软件代码进行了逆向工程以确定其运行方式。

  恶意软件感染了连入Wi-Fi网络的计算机后,它会使用wlanAPI接口发现该区域中的所有Wi-Fi网络:邻居的Wi-Fi网络、咖啡馆的免费Wi-Fi网络或附近的商家的Wi-Fi网络。

  “即使这些网络受到访问密码的保护,该恶意软件也会尝试字典攻击破解密码,一旦得手就可以连接到Wi-Fi网络,开始扫描连接到同一网络的所有其他计算机,以查找所有启用了文件共享的Windows计算机。然后,它检索这些计算机上所有用户帐户的列表,并尝试猜测这些帐户以及管理员帐户的密码。如果猜出的任何密码正确,则恶意软件会将其自身复制到该计算机,并通过在另一台计算机上运行远程命令来进行安装。”

  最后,是报告给命令和控制服务器以确认安装。

  一些“有趣”的细节

  分析期间发现的一件有趣的事是,该恶意软件用于无线传播的主要可执行文件的时间戳记可追溯到2018年4月,并于一个月后首次提交给VirusTotal。

  Binary Defense威胁研究人员James Quinn 指出:

  带有此时间戳的可执行文件包含Emotet使用的Command and Control(C2)服务器的硬编码IP地址。这意味着这种Wi-Fi传播行为已经运行了将近两年了。

  Emotet通过“空气传播”之所以未能引起业界注意,这可能部分是由于二进制文件在木马中投放的频率不高。根据记录,从2019年8月下旬Emotet首次出现至今,Binary Defense直到2020年1月23日才首次观察到Emotet投放此类文件。

  此恶意软件保持低调的另一个原因是能够绕过安全检查,如果研究人员在没有Wi-Fi适配器的VM /自动沙箱中运行,则恶意软件不会触发对wlanAPI网络扫描发现功能的利用。

  (内容转载于安全牛)

最新发布
1
天威21周年庆大促来袭|SSL证书限时特惠,给礼更给利!
2
SSL证书过期?后果很严重!
3
疫情防控常态化,企业信息安全将同步迎来“大考”
4
SM2算法对比RSA算法,到底强在哪?
5
免费or付费?人类高质量SSL证书怎么选!
6
国务院颁发信息安全条例 国密SM2算法势在必行
7
东京奥运会被钓鱼网站攻击,如何破局?
8
Google再次发声,浏览器安全措施再度升级
9
天威诚信小课堂:SSL 证书使用过程中的常见问题及解决方法
10
打开网站显示您与此网站建立的连接不安全怎么办?
相关推荐
自动化虽好,可不要“贪杯”哟~~
天威诚信提醒您注意防范互联网流量劫持!
“私钥”应该如何正确应用
SSL证书过期?后果很严重!
面试被问HTTPS结果卡壳?笑死,这你都不懂
互联网时代大数据云集,可是,你的数据安全吗?
打开网站显示您与此网站建立的连接不安全怎么办?
免费or付费?人类高质量SSL证书怎么选!
美国燃油管道竟被黑客封锁,吓!到底怎么才能确保数据安全?
新安全措施:微软为Edge浏览器引入自动HTTPS切换功能