木马病毒Emotet由于其开发团队的“敏捷性”和“产品”不断进化,号称打不死的小强。近日,研究者发现该木马获得了“空气传播”的可怕技能。

  是时候使用强密码保护Wi-Fi网络和Windows用户帐户了:研究人员发现并分析了一个恶意软件程序,该程序能够将Emotet 木马病毒传播到附近的无线网络并破坏其中的计算机。

  Emotet:一个古老的威胁

  Emotet是目前用途最广泛的恶意软件威胁之一。

  具体来说,Emotet就像一个“搬运工”,侵入宿主系统后,具备下载其他恶意软件的能力,由于其模块化的性质,这只是其能力之一。

  借助传播组件,Emotet能够将自身传送到同一网络上的其他计算机,该组件可以通过挂载共享或利用漏洞利用来传播恶意软件。

  但是,据Binary Defense研究人员称,Emotet现在get到了一个更加危险的技能——可以“跳入”其他Wi-Fi网络并试图破坏其中的计算机。

  “空气传播”新技能

  Binary Defense威胁搜寻和反情报高级主管Randy Pargman表示:

  我们从用于研究的Emotet机器人中检索了该恶意软件样本,并使用IDA Pro对恶意软件代码进行了逆向工程以确定其运行方式。

  恶意软件感染了连入Wi-Fi网络的计算机后,它会使用wlanAPI接口发现该区域中的所有Wi-Fi网络:邻居的Wi-Fi网络、咖啡馆的免费Wi-Fi网络或附近的商家的Wi-Fi网络。

  “即使这些网络受到访问密码的保护,该恶意软件也会尝试字典攻击破解密码,一旦得手就可以连接到Wi-Fi网络,开始扫描连接到同一网络的所有其他计算机,以查找所有启用了文件共享的Windows计算机。然后,它检索这些计算机上所有用户帐户的列表,并尝试猜测这些帐户以及管理员帐户的密码。如果猜出的任何密码正确,则恶意软件会将其自身复制到该计算机,并通过在另一台计算机上运行远程命令来进行安装。”

  最后,是报告给命令和控制服务器以确认安装。

  一些“有趣”的细节

  分析期间发现的一件有趣的事是,该恶意软件用于无线传播的主要可执行文件的时间戳记可追溯到2018年4月,并于一个月后首次提交给VirusTotal。

  Binary Defense威胁研究人员James Quinn 指出:

  带有此时间戳的可执行文件包含Emotet使用的Command and Control(C2)服务器的硬编码IP地址。这意味着这种Wi-Fi传播行为已经运行了将近两年了。

  Emotet通过“空气传播”之所以未能引起业界注意,这可能部分是由于二进制文件在木马中投放的频率不高。根据记录,从2019年8月下旬Emotet首次出现至今,Binary Defense直到2020年1月23日才首次观察到Emotet投放此类文件。

  此恶意软件保持低调的另一个原因是能够绕过安全检查,如果研究人员在没有Wi-Fi适配器的VM /自动沙箱中运行,则恶意软件不会触发对wlanAPI网络扫描发现功能的利用。