Любопытно, что действия добровольцев-одиночек оказываются куда эффективнее, чем работа крупных компаний по инфобезопасности, и уж точно эффективнее, чем защита служб инфобезопасности многих других компаний.
Ранее этим летом стало известно, что неизвестный хакер объявил войну нашумевшему ботнету Emotet и подменял полeзную нагрузку Emotet анимированными GIF-файлами.
Оказывается, у него был предшественник. В течение полугода специалисту ИБ-компании Binary Defense Джеймсу Куинну удавалось эффективно сдерживать Emotet. В феврале нынешнего года исследователь выявил изменения в механизме сохранения персистентности на компьютере, элементе кода, ответственном за присутствие вредоноса на системе после ее перезагрузки.
Emotet создавал ключ реестра Windows и сохранял в нем ключ шифрования XOR. Ключ реестра при этом использовался не только для сохранения вредоноса на системе после перезагрузки, но также был и частью многих других проверок кода Emotet, в том числе частью рутинной операции перед заражением.
Путем проб и ошибок, Куинн смог написать небольшой скрипт PowerShell под названием EmoCrash, который использовал механизм ключей реестра для атак на сам Emotet.
Когда Куинн запускал EmoCrash на компьютерах, уже зараженных Emotet, скрипт заменял исправный ключ реестра видоизмененным, и при следующей проверке ключа реестра Emotet аварийно завершал работу, то есть работал как kill-switch.
6 августа операторы Emotet с очередным обновлением исправили обнаруженную Куинном уязвимость, и EmoCrash больше не работает. Однако в течение целого полугода инструментом пользовались компании и ИБ-специалисты..
Мы ранее рассказывали про другого благородного хакера, который подхватил знамя Куинна и заменяет вредоносную нагрузку Emotet анимированными GIF’ками комического характера.
Саботаж системы начался 21 июля, а через несколько дней превратился из простой шутки в серьезную проблему, которая затронула значительную часть операций ботнета. Об этом сообщила отслеживающая активность Emotet группа из более 20 добропорядочных хакеров Cryptolaemus. По их словам, некий «народный мститель» теперь подменяет около 25% полезных нагрузок Emotet.
Читайте также на АКБ:
Ботнет Emotet взломали добрые хакеры и заменили вирусы мемами
