Emotet现在能够入侵Wi-Fi网络

Emotet Spreads by Hacking Wi-Fi Networks

许多人对此并不怎么想,但是正确配置Wi-Fi网络非常重要。它可能会打开通向您所有个人设备的网关,并且出于多种原因,必须高度重视其安全性。最近,Binary Defense的恶意软件分析师James Quinn 找到了另一个

他在分析Emotet恶意软件的新样本时发现了它,他在1月下旬偶然发现了该样本。 Emotet可以说是过去几年中最流行的恶意软件威胁。自2014年以来就已经存在,尽管它可以用作独立的银行木马,但它经常被用作其他恶意软件菌株的植入程序。到目前为止,它主要是在大规模的垃圾邮件运动的帮助下进行分发的,其运营商已经使用了聪明的社会工程技术来感染尽可能多的人。但是,当詹姆斯·奎因(James Quinn)仔细研究新版本时,他发现Emotet的作者包括了一个以前未报道的模块,用于在设备和网络之间传播。

Emotet跳上Wi-Fi网络以最大化受害者数量

Emotet在检查过的Quinn版本中的感染后操作取决于放置在自解压RAR存档中的几个可执行文件。第一个service.exe负责提取Emotet二进制文件并执行它。顾名思义,第二个文件worm.exe的任务是将service.exe放置在尽可能多的计算机上。

在对worm.exe进行反向工程时,詹姆斯·奎因(James Quinn)看到该文件正在与wlanAPI.dll进行大量通信。通过使用API调用,Emotet的扩展器组件收集了所有可用Wi-Fi网络的列表,并对每个网络进行了详细的描述。建立网络的SSID,信号强度和安全协议后,恶意软件会尝试连接到该网络。如果无线网络不受密码保护,则Emotet会直接进入。如果网络已锁定,它将尝试使用硬编码的弱密码和易猜密码列表强行使用。

所有对相邻无线网络的成功攻击都将报告给命令与控制(C&C)服务器,此后蠕虫继续执行感染程序。枚举了受感染网络上的所有非隐藏共享,然后使用第二个硬编码的密码列表,worm.exe尝试破坏所有这些。如果这不起作用,则该恶意软件会尝试强行使用网络资源的管理员帐户。

成功猜出密码后,Emotet将service.exe重命名为my.exe并将其放置在受感染计算机的C:\驱动器上。新创建的服务可确保文件被执行。

据称,“新”蠕虫组件已经存在两年了

James Quinn惊讶地发现,根据文件的时间戳,蠕虫组件是在2018年4月创建的。经过更多研究后,他意识到worm.exe的副本是在2018年5月首次提交给VirusTotal的,它表明这不是真正的新事物。

显然,Emotet能够在无线网络之间切换已经有将近两年的历史了,但是由于某种原因,安全专家才刚刚发现它。这可能是因为该恶意软件的操作员到目前为止尚未使用该功能,但也可能是由于研究人员用来检查恶意软件的沙箱和虚拟机很少带有无线连接。

无论如何,毫无疑问,吊具部件功能强大,会造成很大的损坏。有了它,邻居的疏忽可能导致您的个人数据被盗,因此请确保您的家庭网络受到安全密码的保护。

February 11, 2020

发表评论