Kako je tokom prethodnih šest meseci krišom distribuirana ''vakcina'' protiv jednog malvera

Vesti, 19.08.2020, 11:30 AM

Kako je tokom prethodnih šest meseci krišom distribuirana ''vakcina'' protiv jednog malvera

U većini slučajeva, borba sa malverom je gubitnička igra. Dovoljno je da autori malvera naprave male izmene u svom kodu da bi brzo stekli prednost u borbi koju stručnjaci za malvere vode sa njima.

Ovako je od kasnih osamdesetih godina prošlog veka, kada se na sceni prvi put pojavio neki malver, i po svemu sudeći tako će i ostati u doglednoj budućnosti.

S vremena na vreme dolaze i dobre vesti od bezbednosnih istraživača ili institucija koje se bore protiv sajber-kriminala. To su obično vesti o hapšenju autora malvera, ili gašenju velikih bot mreža.

Međutim, borba protiv malvera ne može uvek imati takav epilog. Neki sajber-kriminalci žive u zemljama koje ne izručuju svoje građane ili ne znaju šta oni rade.

Emotet je jedna od grupa sa kojom se upravo ovo dešava. Veruje se da deluje sa teritorija država nekadašnjih članica SSSR-a. Emotet je jedna od najveštijih grupa koje se trenutno bave širenjem malvera, koja je usavršila šemu za infekciju i iznajmljivanje pristupa kao nijedna druga grupa.

Malver, koji je prvi put viđen 2014. godine, evoluirao je od nevažnog bankarskog trojanca u malver koji se, nakon što zarazi žrtve, raširi po celoj njihovoj mreži, krade sve osetljive podatke, da bi grupa zatim drugim kriminalnim grupama rentirala pristup zaraženim računarima.

Danas je Emotet strah i trepet za IT osoblje u kompanijama širom sveta i ogroman problem cele industrije sajber-bezbednosti.

Ipak, Emotet je malver kao i svaki drugi. Kao takav, i on nije bez greške.

U industriji kibernetičke sigurnosti postoji problem sa iskorišćavanjem grešaka u malveru - to je granica koju mnoge kompanije neće preći, strahujući da bi mogle slučajno naštetiti zaraženim računarima.

Međutim, ponekad se može pojaviti greška koja je sigurna za eksploataciju i ima pogubne posledice za sam malver.

Jedna takva greška otkrivena je početkom ove godine, a otkrio ju je Džejms Kvin, analitičar malvera koji radi za Binary Defense.

Činjenica da je Kvin otkrio bag nije slučajna. Proteklih godina njegov primarni posao bio je lov na Emotet i praćenje svega što se sa njim dešava. Ali i privatno, on je deo grupe Cryptolaemus, koju čine dvadesetak istraživača koji prate Emotet.

Dok je analizirao ažuriranja Emoteta u februaru, Kvin je uočio promenu koda malvera. Promena je bila u Emotetovom „mehanizmu istrajnosti“, delu koda koji omogućava malveru da preživi ponovno pokretanje računara. Zahvaljujući tome što je uspeo da shvati kako funkcioniše ovaj mehanizam, Kvin je napravio PowerShell skriptu, koju je nazvao EmoCrash, koja je mogla da “sruši” sam Emotet.

EmoCrash skenira računar i generiše neispravni registrarski ključ Emoteta kojim zamenjuje onaj pravi. Kada je Kvin pokušao da zarazi “čist” računar Emotetom, njegov registarski ključ je srušio malver, sprečavajući infekciju. Na već zaraženom računaru EmoCrash radi istu stvar, sprečavajući komunikaciju zaraženog računara sa serverom Emoteta.

U suštini, Kvin je napravio i vakcinu i lek za malver.

Kvin je shvatio da ovo otkriće treba držati u tajnosti kako grupa koja stoji iza Emoteta ne bi popravila kod malvera. Problem je bio to što bi u isto vreme EmoCrash dostaviti kompanijama širom sveta kako bi se iskoristilo to što skripta može da omogući sistem administatorima da odmah otkriju kada Emotet inficira njihove mreže.

Binary Defense, firma u kojoj radi Kvin, je osnovana tek 2014. godine, i uprkos dobroj reputaciji u industriji, još uvek nema uticaja tolikog da uradi prethodno rečeno a da vesti o otkriću ne procure, slučajno ili zbog konkurencije.

Da bi se to postiglo, Binary Defense je sarađivao sa kompanijom Team CYMRU, koja ima višedecenijsku istoriju borbe protiv bot mreža.

Team CYMRU se pobrinuo da bez mnogo buke, EmoCrash dođe u ruke nacionalnih CERT timova, koji su ga potom dostavili kompanijama. Ovakva organizacija pomogla je da se EmoCrash tokom poslednjih šest mesec proširi po celom svetu. Pošto EmoCrash nema telemetrijski modul, da ne bi odvratio kompanije od instaliranja, u Binary Defense ne znaju koliko je kompanija instaliralo EmoCrash, ali kažu da su dobili mnogo poruka od kompanija koje su sprečile napade, ili otkrile infekciju zahvaljujući njihovom alatu.

Alat je bar donekle uticao na operacije Emoteta, jer je pomogao smanjenju broja zaraženih botova koji su dostupni operaterima Emoteta.

U firmi ne veruju da je kriminalna grupa Emotet saznala za njihov alat, ali je najverovatnije znala da nešto nije u redu. Od februara je bilo nekoliko promena u kodu i novih verzija malvera, ali to nije rešilo problem. Na kraju, slučajno, ili shvativši gde je problem u kodu malvera, grupa je promenila ceo sporni mehanizam koji je iskorišćen protiv malvera, tačno 6 meseci pošto je Kvin otkrio grešku u Emotetu.

EmoCrash sada možda više nikome nije od koristi, ali je ovaj alat pomogao kompanijama da mesecima budu korak ispred kriminalaca, što se retko dešava.

Na kraju, zanimljiv detalj - Kvin je pokušao da se našali sa autorima Emoteta, i zatražio je od MITRE, organizacije koja prati bezbednosne propuste u softveru, da dodeli CVE (Common Vulnerabilities and Exposures) za bag u malveru koji je otkrio. MITRE je nažalost odbio da uradi to, čime je propuštena prilika da Emotet bude prvi malver sa sopstvenim CVE identifikatorom.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Američke bolnice blokirane posle napada ransomwarea

Američke bolnice blokirane posle napada ransomwarea

Universal Health Services (UHS), kompanija u čijem je vlasnišvu više od 400 zdravstvenih ustanova, bolnica i centara za negu bolesnika u SAD i Veli... Dalje

Procurio izvorni kod Windowsa XP

Procurio izvorni kod Windowsa XP

Izvorni kod za Windows XP je procurio i sada ga sa torrent sajtova može preuzeti svako ko zna gde da traži. Kod se pojavio kao torrent fajl na veb s... Dalje

Najveći svetski proizvođač naočara pretrpeo napad ransomwarea

Najveći svetski proizvođač naočara pretrpeo napad ransomwarea

Najveći svetski proizvođač naočara Luxottica navodno je pretrpeo sajber napad koji je blokirao rad kompanije u Italiji i Kini. Luxottica zapošlja... Dalje

Za fatalni napad na nemačku bolnicu odgovorni ruski hakeri

Za fatalni napad na nemačku bolnicu odgovorni ruski hakeri

Za sajber napad zbog kojeg je jedna nemačka bolnica odbila lečenje žene koja je nakon toga umrla najverovatnije je odgovorna ruska kriminalna grupa... Dalje

Napadi ransomwarea postaju sve češći i opasniji, ali nije nemoguće sprečiti katastrofu

Napadi ransomwarea postaju sve češći i opasniji, ali nije nemoguće sprečiti katastrofu

Napadi ransomwarea postaju sve agresivniji, ali postoje jednostavne mere koje pojedinci, kompanije i organizacije mogu preduzeti da se zaštite. &bdqu... Dalje