Wybrany post: Emotet rozprzestrzenia się poprzez sieci Wi-Fi

Uwaga użytkownicy firmowych oraz prywatnych sieci Wi-fi! Właśnie odkryto najnowszą odmianę Emotet’a, który stosuje nową taktykę i typ ataku Brute Force do infekowania złośliwym oprogramowaniem komputerów w niezabezpieczonych sieciach Wi-Fi oraz urządzeń znajdujących się w ich pobliżu.

W ostatnim czasie dużo się dzieje wokół sławnego wirusa Emotet. W zeszłym tygodniu zamieściliśmy artykuł o tym, co ma wspólnego z koronawirusem, natomiast dzisiaj napiszemy o jego nowej odmianie, atakującej poprzez sieci Wi-Fi.

Nowy Emotet

Nowa odmiana Emotet’a jest ciekawa. Wcześniej uważano, że rozprzestrzenia się tylko poprzez złośliwy spam i zainfekowanie sieci. Nowa wersja Emotet’a może użyć specjalnego modułu, który pozwala mu na rozprzestrzenianie się przy użyciu innego interfejsu sieciowego i mechanizmu łamania haseł dla słabo zabezpieczonych sieci Wi-Fi, znajdujących się w zasięgu zainfekowanego komputera.
Sprawdźcie, ile okolicznych sieci Wi-Fi widzi Wasz komputer? W przypadku zarażenia komputera Emotet’em to one staną się wektorem ataku. Jeśli złośliwe oprogramowanie rozprzestrzeni się na pobliskie sieci Wi-Fi, wówczas będzie próbować zainfekować podłączone do nich urządzenia. Jest to taktyka, która znacząco i szybko zwiększa możliwości rozprzestrzeniania się wirusa.

23 stycznia badacze bezpieczeństwa zauważyli, że plik binarny, jaki jest rozpowszechniany przez Emotet kanałem Wi-Fi, posiada znacznik czasu datowany na 16.04.2018. Sugeruje to, że rozpowszechnianie przez Wi-Fi działa niezauważalnie od prawie dwóch lat! Pomimo śledzenia i analizy Emotet-a od czasu jego powrotu w 2019 r.

Jak wygląda proces infekcji malware Emotet?

Próbka Emotet najpierw infekuje system operacyjny użytkownika samorozpakowującym się plikiem o rozszerzeniu RAR. Archiwum zawiera w sobie dwa pliki binarne (worm.exe i service.exe), które są używane do rozprzestrzeniania się po sieci Wi-Fi.

Wektor ataku jest następujący:

1. Ofiara otwiera samorozpakowujący się plik RAR na komputerze.
2. Program „Worm.exe” uruchamia się automatycznie po rozpakowaniu pliku RAR.
3. W kolejnym kroku plik binarny „worm.exe” natychmiast rozpoczyna profilowanie sieci bezprzewodowych w celu próby rozprzestrzenienia się na inne sieci Wi-Fi. Emotet korzysta w tym celu z interfejsu wlanAPI.dll. WlanAPI to jedna z bibliotek używanych przez natywny interfejs programowania aplikacji Wi-Fi (API) do zarządzania profilami sieci bezprzewodowej i połączeniami sieci bezprzewodowej.
4. Malware podpina się pod interfejs Wi-Fi komputera i wywołuje funkcję WlanEnumInterfaces, która wyszukuje wszystkie sieci Wi-Fi aktualnie dostępne w systemie ofiary. Funkcja zwraca odnalezione sieci bezprzewodowe w formie listy zawierającej wszystkie powiązane z nimi informacje (w tym ich identyfikator SSID, sygnał, szyfrowanie i metodę uwierzytelniania sieci).
5. Po uzyskaniu danych dla każdej sieci złośliwe oprogramowanie przystępuje do łamania ich zabezpieczeń stosując atak Brute Force (łamanie haseł w celu zalogowania się). W celu próby nawiązania połączenia Emotet używa haseł uzyskanych z „wewnętrznych list haseł”. Jeśli połączenie nie powiedzie się, funkcja zapętla się i przechodzi do następnego hasła na liście haseł.
6. Jeśli hasło jest prawidłowe, a połączenie się powiodło, złośliwe oprogramowanie usypia swoje działanie na 14 sekund, aby następnie mogło wysłać żądanie HTTP POST na swój serwer dowodzenia i kontroli (Command & Control) na porcie 8080 oraz nawiązać połączenie z siecią Wi-Fi.
7. Następnie plik binarny zaczyna wyszukiwać hosty i dla nich próbować wymuszać na użytkowników hasła (w tym dla kont administratora) w nowo zainfekowanej sieci. Jeśli którakolwiek z tych ataków powiedzie się, „worm.exe” następnie instaluje drugi plik binarny „service.exe” na przejętych komputerach. W celu trwałego zaszycia się w systemie, tworzona jest na nim nowa usługa pod mylną nazwą „Windows Defender System Service” (WinDefService) uruchamiająca plik „serwice.exe”.
8. Po zainstalowaniu usługi „service.exe” i nawiązaniu komunikacji z serwerem C2, malware zaczyna upuszczać osadzony plik wykonywalny Emotet. W ten sposób szkodliwe oprogramowanie próbuje zainfekować jak najwięcej urządzeń.

Jak się chronić przed Emotet’em?

Emotet, to szkodliwe oprogramowanie (trojan bankowy), które rozpoczęło atakować komputery już w 2014r. Na przestrzeni ostatnich lat stale ewoluuje i stał się popularnym mechanizmem do dostarczania zagrożeń na komputery swoich ofiar. Może na nich instalować różne inne złośliwe oprogramowanie, w tym kradnące informacje, programy do zbierania wiadomości e-mail, stosować mechanizmy auto propagacji i instalować ransomware.

W celu wykrycia tego typu zagrożenia powinniśmy:

1. Należycie zabezpieczyć sieci bezprzewodowe.
2. Stosować silne hasła do uwierzytelniania do sieci WiFi.
3. Aktywnie monitorować punkty końcowe (stacje robocze) pod kątem instalowania nowych usług lub badania podejrzanych usług.
4. Monitorować uruchamianie procesów z tymczasowych folderów i folderów aplikacyjnych użytkownika (C:\ProgramData)
5. Monitorować sieć pod kątem pojawiania się nowych połączeń. Istnieją wzorce, które pozwalają wykryć komunikację Emoteta, ponieważ nie jest ona zaszyfrowana i można zidentyfikować jej treść.

Poniżej zamieszczamy wskaźniki IOC pozwalające wykryć Emoteta w specjalistycznym oprogramowaniu do bezpieczeństwa.

IOCs

9.file
865cf5724137fa74bd34dd1928459110385af65ffa63b3734e18d09065c0fb36

Worm.exe
077eadce8fa6fc925b3f9bdab5940c14c20d9ce50d8a2f0be08f3071ea493de8

Service.exe
64909f9f44b02b6a4620cdb177373abb229624f34f402335ecdb