【四维创智】-专研智能,智汇安全-网络攻防-渗透测试-web安全-无线安全-内网安全 木马病毒Emotet可以入侵附近的Wi-Fi网络,像蠕虫一样传播 – 【四维创智】

木马病毒Emotet可以入侵附近的Wi-Fi网络,像蠕虫一样传播

2月 12,2020by admin

新发现的Emotet恶意软件样本能够传播到位于受感染设备附近的不安全的Wi-Fi网络。
 
研究人员说,如果恶意软件可以传播到附近的这些Wi-Fi网络,它就会尝试感染与其连接的设备-这种策略可以迅速升级Emotet的传播。对于已经流行的Emotet恶意软件而言,新的发展尤其危险,自从9月份回归以来,Emotet恶意软件采取了新的规避和社会工程手段,以窃取凭据并将特洛伊木马传播给受害者。
 


 

研究人员和恶意软件分析师表示:“通过Emotet使用的这种新发现的装载机类型,Emotet的功能引入了新的威胁向量。” “以前被认为只能通过垃圾邮件和受感染的网络进行传播,如果网络使用的密码不安全,Emotet可以使用这种加载程序类型通过附近的无线网络进行传播。”
 
虽然研究人员注意到1月23日首次交付了Wi-Fi传播二进制文件,但他们说该可执行文件的时间戳为4/16/2018,这暗示着几乎有两个人注意到了Wi-Fi传播行为年份。研究人员说,这可能部分是由于二进制文件丢弃的频率不高,因为这是自从2019年Emotet回归以来,尽管有追踪Emotet的情况,这是他们第一次看到它。

 

情绪传播
 
Emotet样本首先使用一个自解压缩的RAR文件感染初始系统,该文件包含用于Wi-Fi传播的两个二进制文件(worm.exe和service.exe)。RAR文件自身解压缩后,Worm.exe自动执行。
 
worm.exe二进制文件立即开始分析无线网络,以尝试传播到其他Wi-Fi网络。Emotet利用wlanAPI接口执行此操作。wlanAPI是本机Wi-Fi应用程序编程接口(API)用来管理无线网络配置文件和无线网络连接的库之一。
 
一旦获得Wi-Fi句柄,恶意软件便调用WlanEnumInterfaces,该功能枚举了受害者系统上当前可用的所有Wi-Fi网络。该函数以一系列结构返回枚举的无线网络,这些结构包含与之有关的所有信息(包括其SSID,信号,加密和网络身份验证方法)。
 
一旦获得了每个网络的数据,恶意软件就会通过“强行循环”进入连接。攻击者使用从“内部密码列表”获得的密码(尚不清楚如何获得此内部密码列表)来尝试建立连接。如果连接不成功,该功能将循环并移至密码列表中的下一个密码。
 
如果密码正确且连接成功,则恶意软件会休眠14秒钟,然后将HTTP POST发送到端口8080上的命令和控制(C2)服务器,并建立与Wi-Fi网络的连接。
 
然后,二进制文件开始枚举并尝试为新感染的网络上的所有用户(包括任何管理员帐户)强行使用密码。如果这些暴力破解成功,则worm.exe然后将另一个二进制文件service.exe安装到受感染的设备上。为了获得对系统的持久性,二进制文件以“ Windows Defender系统服务”(WinDefService)的名义安装。
 
研究人员说:“有了包含成功暴力破解的所有用户名及其密码的列表或管理员帐户及其密码的缓冲区,worm.exe现在可以开始将service.exe传播到其他系统了。” “ Service.exe是由worm.exe安装在远程系统上的受感染有效负载。该二进制文件的PE时间戳记为01/23/2020,这是二进制防御程序首次发现它的日期。”
 
安装service.exe并与C2通信后,它将开始删除嵌入式Emotet可执行文件。以这种方式,恶意软件尝试感染尽可能多的设备。

 

防止情绪变化
 
Emotet于2014年以银行木马的身份开始发展,并逐渐发展成为提供全方位服务的威胁传递机制,可以在受害机器上安装一系列恶意软件,包括信息窃取者,电子邮件收集器,自我传播机制和勒索软件。
 
对于研究人员,他们建议使用强密码来保护无线网络,以阻止这种新的Emotet技术。
 
他们说:“针对这种威胁的检测策略包括:主动监视端点中正在安装的新服务,并调查可疑服务或从临时文件夹和用户配置文件应用程序数据文件夹运行的任何进程。” “网络监视也是一种有效的检测方法,因为通信未加密,并且存在识别恶意软件消息内容的可识别模式。”