Le malware Emotet bloqué pendant 6 mois par l’exploit EmoCrash

Un chercheur a pu exploiter une vulnérabilité dans Emotet, provoquant le crash du tristement célèbre malware et l’empêchant d’infecter de nouveaux systèmes pendant 6 mois.

Emotet, qui est apparu pour la première fois en 2014 et a depuis évolué pour devenir un botnet à part entière conçu pour dérober les informations d’identification de compte et télécharger d’autres logiciels malveillants. Il a mystérieusement disparu au mois de Février jusqu’à sa récente ré-émergence au début du mois d’Août.

James Quinn de Binary Defense a révélé pourquoi: il avait développé un Killswitch plus tôt cette année, surnommé «EmoCrash», qui exploitait une vulnérabilité de débordement de tampon trouvée dans le processus d’installation d’Emotet.

Il n’est pas le seul à chercher à contrecarrer Emotet: la nouvelle survient peu de temps après que les chercheurs ont découvert qu’un mystérieux justicier combattait les cybercriminels responsables du retour du malware en remplaçant les payloads (charges utiles) malveillants d’Emotet par des GIF et des mèmes fantaisistes.

Un killswitch est souvent utilisé par les défenseurs pour déconnecter les réseaux d’Internet lors de cyberattaques mais peut également être utilisé contre des familles de logiciels malveillants afin de les supprimer des systèmes et d’arrêter les processus en cours d’exécution.

«Tout comme les attaquants peuvent exploiter les failles des logiciels légitimes pour causer des dégâts, les défenseurs peuvent également procéder à une rétro-ingénierie des logiciels malveillants pour découvrir leurs vulnérabilités, puis les exploiter pour les vaincre», a déclaré Quinn dans un récent article.

malware

Début Février, Emotet a publié une refonte de la base de son code, qui a fait la une des journaux et permet à l’échantillon de malware Emotet de se propager sur les réseaux Wi-Fi non sécurisés situés à proximité d’un appareil infecté.

Une partie de cette refonte a été la modification des différentes méthodes d’installation et de persistance d’Emotet. Les développeurs de logiciels malveillants ont supprimé une liste de mots et un algorithme de génération de fichiers précédemment utilisés par Emotet, et les ont remplacés par un nouvel algorithme avec une nouvelle technique de persistance.

Ce nouvel algorithme générait un nom de fichier système .exe ou .dll choisi au hasard, puis chiffrait le nom de fichier avec une clé OU (XOR) exclusive et l’a enregistré en tant que clé de registre.

Quinn a découvert un simple débordement de tampon dans cette routine d’installation et a créé un killswitch pour ce problème avec un script PowerShell. Le script contenait une mémoire tampon de 0x340 (832) octets, qu’Emotet tenterait de sauvegarder en tant que clé de registre, ce qui le ferait finalement planter pendant son processus d’installation (avant qu’il ne soit complètement installé) et empêchait complètement le logiciel malveillant de s’installer sur les systèmes.

«Ce minuscule tampon de données était tout ce qu’il fallait pour faire planter Emotet, et pouvait même être déployé avant l’infection (comme un vaccin) ou au milieu de l’infection (comme un killwitch)», a déclaré Quinn.

emotet

Quinn a ensuite partagé le killswitch discrètement avec les membres de la communauté infosec, évitant les canaux publics pour assurer une disponibilité maximale de l’exploit avant que les cybercriminels derrière Emotet ne corrigent leur malware pour se débarrasser de la vulnérabilité.

«Avec une coordination incroyable entre les communautés infosec et CERT, en particulier celles de l’équipe Cymru qui ont énormément contribué à cela, Binary Defense a commencé à distribuer le script d’exploitation EmoCrash aux défenseurs du monde entier le 12 février 2020, avec des instructions strictes de ne pas en parler publiquement », a-t-il dit.

Emotet a disparu pendant 6 mois

Le killswitch était actif entre le 6 février et le 5 août – moment auquel les développeurs d’Emotet ont envoyé une mise à jour du loader principal pour supprimer le code de valeur de registre vulnérable, tuant ainsi le killswitch. C’est alors qu’Emotet a refait surface après une disparition de 6 mois, avec plus de 250 000 spams malveillants envoyés à des destinataires par courrier électronique dans le monde entier.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x