Emotet現在能夠入侵Wi-Fi網絡
許多人對此並不怎麼想,但是正確配置Wi-Fi網絡非常重要。它可能會打開通向您所有個人設備的網關,並且出於多種原因,必須高度重視其安全性。最近,Binary Defense的惡意軟件分析師James Quinn 找到了另一個。
他在分析Emotet惡意軟件的新樣本時發現了它,他在1月下旬偶然發現了該樣本。 Emotet可以說是過去幾年中最流行的惡意軟件威脅。自2014年以來就已經存在,儘管它可以用作獨立的銀行木馬,但它經常被用作其他惡意軟件菌株的植入程序。到目前為止,它主要是在大規模的垃圾郵件運動的幫助下進行分發的,其運營商已使用巧妙的社交工程技術來感染盡可能多的人。但是,當詹姆斯·奎因(James Quinn)仔細研究新版本時,他發現Emotet的作者包括了一個以前未報導的模塊,用於在設備和網絡之間傳播。
Emotet跳上Wi-Fi網絡以最大化受害者數量
Emotet在檢查過的Quinn版本中的感染後操作取決於放置在自解壓RAR存檔中的幾個可執行文件。第一個service.exe負責提取Emotet二進製文件並執行它。顧名思義,第二個文件worm.exe的任務是將service.exe放置在盡可能多的計算機上。
在對worm.exe進行反向工程時,詹姆斯·奎因(James Quinn)看到該文件正在與wlanAPI.dll進行大量通信。通過使用API調用,Emotet的擴展器組件收集了所有可用Wi-Fi網絡的列表,並對每個網絡進行了詳細的描述。建立網絡的SSID,信號強度和安全協議後,惡意軟件會嘗試連接到該網絡。如果無線網絡不受密碼保護,則Emotet會直接進入。如果網絡已鎖定,它將嘗試使用硬編碼的弱密碼和易猜密碼列表強行使用。
所有對相鄰無線網絡的成功攻擊都將報告給命令與控制(C&C)服務器,此後蠕蟲繼續執行感染程序。枚舉了受感染網絡上的所有非隱藏共享,然後使用第二個硬編碼的密碼列表,worm.exe嘗試破壞所有這些。如果這不起作用,則該惡意軟件會嘗試強行使用網絡資源的管理員帳戶。
成功猜出密碼後,Emotet將service.exe重命名為my.exe並將其放置在受感染計算機的C:\驅動器上。新創建的服務可確保文件被執行。
據稱,“新”蠕蟲組件已經存在兩年了
James Quinn驚訝地發現,根據文件的時間戳,蠕蟲組件是在2018年4月創建的。經過更多研究,他意識到worm.exe的副本是在2018年5月首次提交給VirusTotal的,它表明這不是真正的新事物。
顯然,Emotet能夠在無線網絡之間切換已經有將近兩年的歷史了,但是由於某種原因,安全專家才剛剛發現它。這可能是因為該惡意軟件的操作員到目前為止尚未使用該功能,但也可能是由於研究人員用來檢查惡意軟件的沙箱和虛擬機很少帶有無線連接。
無論如何,毫無疑問,吊具部件功能強大且會造成很大的損壞。有了它,鄰居的疏忽可能導致您的個人數據被盜,因此請確保您的家庭網絡受到安全密碼的保護。