EmotetはWi-Fiネットワークをハッキングできるようになりました

Emotet Spreads by Hacking Wi-Fi Networks

多くの人はそれをあまり考えませんが、Wi-Fiネットワークの正しい構成は非常に重要です。それはすべての個人用デバイスへのゲートウェイを開く可能性があり、そのセキュリティは多くの異なる理由で最大限の敬意を持って扱われなければなりません。最近、Binary DefenseのマルウェアアナリストであるJames Quinnが別のマルウェアを発見しました

1月下旬に偶然見つけたEmotetマルウェアの新しいサンプルを分析していたときに、彼はそれを発見しました。 Emotetは、おそらくここ数年で最も一般的なマルウェアの脅威です。 2014年から存在し、スタンドアロンのバンキング型トロイの木馬として使用できますが、他のマルウェアのドロッパーとして頻繁に使用されています。これまでのところ、主に大規模なマルスパムキャンペーンの助けを借りて配信されており、その運営者は巧妙なソーシャルエンジニアリング技術を使用して、できるだけ多くの人々に感染しています。しかし、ジェームス・クインが新しいバージョンを詳しく調べたとき、彼はEmotetの作者がデバイスとネットワークに広がるための以前に報告されていないモジュールを含んでいたのを見ました。

EmotetはWi-Fiネットワークをジャンプして被害者の数を最大化します

調べたバージョンのEmotetの感染後操作は、自己解凍型RARアーカイブに配置されたいくつかの実行可能ファイルに依存しています。最初のservice.exeは、Emotetバイナリを抽出して実行します。その名前が示すように、2番目のworm.exeは、できるだけ多くのコンピューターにservice.exeを配置する役割を担っています。

ジェームスクインは、worm.exeをリバースエンジニアリングしたときに、ファイルがwlanAPI.dll(Windowsコンピューターがワイヤレスネットワークに接続できるようにするライブラリ)と頻繁に通信していることを確認しました。 Emotetのスプレッダーコンポーネントは、API呼び出しを使用して、利用可能なすべてのWi-Fiネットワークのリストを収集し、それらすべての詳細なプロファイルを作成します。ネットワークのSSID、信号強度、およびセキュリティプロトコルを確立した後、マルウェアはそれに接続しようとします。ワイヤレスネットワークがパスワードで保護されていない場合、Emotetはそのまま使用されます。ネットワークがロックされている場合、弱く推測しやすいパスワードのハードコードされたリストを使用してブルートフォースを試みます。

隣接するワイヤレスネットワークでの成功した攻撃はすべて、コマンドアンドコントロール(C&C)サーバーに報告され、その後、ワームは感染ルーチンを継続します。侵害されたネットワーク上の隠されていない共有はすべて列挙され、パスワードの2番目のハードコードされたリストを使用して、worm.exeはそれらすべてを侵害しようとします。これが機能しない場合、マルウェアはネットワークリソースの管理者アカウントを総当たり攻撃しようとします。

パスワードの推測に成功すると、Emotetはservice.exeの名前をmy.exeに変更し、侵入先のコンピューターのC:\ドライブに配置します。新しく作成されたサービスにより、ファイルが実行されます。

「新しい」ワームコンポーネントは2年前のことです

James Quinnは、ファイルのタイムスタンプによると、2018年4月にワームコンポーネントが作成されたことを見て少し驚いていました。本当に新しいものではありません。

どうやら、Emotetには2年近く前からワイヤレスネットワーク間を移動する機能がありましたが、何らかの理由でセキュリティの専門家が発見したばかりです。これは、マルウェアのオペレーターがこれまでこの機能を使用していなかったためである可能性がありますが、サンドボックスおよび仮想マシンの研究者がマルウェアの調査に使用するのは無線接続がほとんどないためである可能性もあります。

いずれにせよ、スプレッダーコンポーネントが強力であり、多くの損害を引き起こす可能性があることは誰の心にもほとんど疑いがありません。これにより、隣人の過失が個人データの盗難につながる可能性があるため、ホームネットワークが強力なパスワードで保護されていることを確認してください。

February 11, 2020

返信を残す