Exploit ‘EmoCrash’ parou malware Emotet por 6 meses

Um pesquisador desenvolveu um killswitch que explora um estouro de buffer no Emotet – evitando que o malware infecte os sistemas por seis meses.

Um pesquisador foi capaz de explorar uma vulnerabilidade no Emotet – efetivamente causando a falha do infame malware e evitando que infecte os sistemas por seis meses.

O Emotet, que surgiu pela primeira vez em 2014 e desde então evoluiu para um botnet completo, projetado para roubar credenciais de contas e baixar outros malwares, desapareceu misteriosamente de fevereiro até seu recente ressurgimento no início de agosto .

Na sexta-feira, James Quinn da Binary Defense revelou o porquê: ele desenvolveu um killswitch no início deste ano, apelidado de “EmoCrash”, que explorava uma vulnerabilidade de buffer overflow encontrada no processo de instalação do Emotet.

Ele não é o único que quer frustrar o Emotet: a notícia chega logo depois que os pesquisadores descobrem que  um misterioso  vigilante estava lutando contra os agentes de ameaça por trás do retorno do malware, substituindo cargas úteis do Emotet por GIFs e memes caprichosos.

Um killswitch é frequentemente utilizado pelos defensores para desconectar redes da Internet durante ataques cibernéticos – mas também pode ser usado contra famílias de malware como uma forma de removê-los dos sistemas e interromper quaisquer processos em execução.

“Assim como os invasores podem explorar falhas em softwares legítimos para causar danos, os defensores também podem fazer a engenharia reversa do malware para descobrir suas vulnerabilidades e explorá-las para derrotar o malware”, disse Quinn em uma postagem recente .

No início de fevereiro, a Emotet lançou uma revisão da base de código, que virou manchete por permitir que a amostra de malware Emotet se propagasse   para redes Wi-Fi inseguras que estão localizadas nas proximidades de um dispositivo infectado.

Parte dessa revisão foi a modificação dos vários métodos de instalação e persistência do Emotet. Os desenvolvedores de malware removeram uma lista de palavras e um algoritmo de geração de arquivos anteriormente utilizados pelo Emotet e os substituíram por um novo algoritmo com um novo toque de persistência.

Esse novo algoritmo gerou um nome de arquivo de sistema .exe ou .dll escolhido aleatoriamente e, em seguida, criptografou o nome do arquivo com uma chave OR (XOR) exclusiva e o salvou como uma chave de registro.

Quinn descobriu um estouro de buffer simples nesta rotina de instalação e criou um killswitch para esse problema com um script do PowerShell. O script continha um buffer de 0x340 (832) bytes, que o Emotet tentaria salvar como a chave de registro – fazendo com que travasse durante o processo de instalação (antes de ser totalmente instalado) e evitando completamente a instalação do malware nos sistemas.

“Esse pequeno buffer de dados era tudo o que era necessário para travar o Emotet e poderia até mesmo ser implantado antes da infecção (como uma vacina) ou no meio da infecção (como um killswitch)”, disse Quinn.

Quinn então compartilhou o killswitch discretamente com membros da comunidade infosec, evitando canais públicos para garantir o máximo de tempo de atividade do exploit antes que os agentes de ameaça por trás do Emotet corrigissem seu malware para fechar a vulnerabilidade.

“Com uma quantidade incrível de coordenação entre as comunidades infosec e CERT, especialmente do time Cymru que ajudaram imensamente com isso, a Binary Defense começou a distribuir o script de exploit EmoCrash para defensores em todo o mundo em 12 de fevereiro de 2020, com instruções estritas para não postar publicamente ”, disse ele.

O killswitch esteve ativo entre 6 de fevereiro e 5 de agosto – momento em que os desenvolvedores do Emotet enviaram uma atualização do carregador de núcleo para remover o código de valor de registro vulnerável, eliminando o killswitch. Foi então que o Emotet reapareceu após um desaparecimento de cinco meses , com mais de 250.000 mensagens mal-spam enviadas para destinatários de e-mail em todo o mundo.

Fonte: https://threatpost.com/emocrash-exploit-emotet-6-months/158414/