Vacuna contra Emotet Malware – Schneier on Stability


A través de prueba y mistake y gracias a las actualizaciones posteriores de Emotet que refinaron cómo funcionaba el nuevo mecanismo de persistencia, Quinn pudo armar un pequeño script de PowerShell que explotó el mecanismo de la clave de registro para bloquear el propio Emotet.

El script, ingeniosamente llamado EmoCrash, escaneó de manera efectiva la computadora de un usuario y generó una clave de registro Emotet correcta, pero mal formada.

Cuando Quinn intentó infectar intencionalmente una computadora limpia con Emotet, la clave de registro mal formada provocó un desbordamiento del búfer en el código de Emotet y bloqueó el malware, evitando efectivamente que los usuarios se infectaran.

Cuando Quinn ejecutó EmoCrash en computadoras que ya estaban infectadas con Emotet, el script reemplazaría la clave de registro buena por la mal formada, y cuando Emotet volviera a verificar la clave de registro, el malware también se bloqueaba, evitando que los hosts infectados se comunicaran con Emotet. servidor de comando y manage.

(…)

El equipo de Binary Protection se dio cuenta rápidamente de que las noticias sobre este descubrimiento debían mantenerse en completo secreto para evitar que la banda Emotet arreglara su código, pero entendieron que EmoCrash también necesitaba llegar a manos de empresas de todo el mundo.

En comparación con muchas de las principales empresas de ciberseguridad de la actualidad, todas las cuales tienen décadas de historia a sus espaldas, Binary Defense se fundó en 2014 y, a pesar de ser una de las empresas emergentes de la industria, aún no tiene la influencia ni las conexiones con hacer esto sin que se filtre la noticia de su descubrimiento, ya sea por accidente o debido a un rival celoso.

Para hacer esto, Binary Protection trabajó con Equipo CYMRU, una empresa que lleva décadas organizando y participando en eliminaciones de botnets.

Trabajando entre bastidores, el Equipo CYMRU se aseguró de que EmoCrash llegara a manos de los Equipos de Respuesta a Emergencias Informáticas (CERT) nacionales, que luego lo difundieron a las empresas en sus respectivas jurisdicciones.

Según James Shank, arquitecto jefe del equipo CYMRU, la empresa tiene contactos con más de 125 equipos CERT nacionales y regionales, y también gestiona una lista de correo a través de la cual distribuye información confidencial a más de 6.000 miembros. Además, el equipo CYMRU también dirige un grupo quincenal dedicado a lidiar con las últimas travesuras de Emotet.

Este esfuerzo amplio y bien orquestado ha ayudado a EmoCrash a abrirse camino en todo el mundo en el transcurso de los últimos seis meses.

(…)

Ya sea por accidente o al darse cuenta de que había algo mal en su mecanismo de persistencia, la pandilla Emotet, finalmente, cambió todo su mecanismo de persistencia el 6 de agosto, exactamente seis meses después de que Quinn hiciera su descubrimiento inicial.

Es posible que EmoCrash ya no sea útil para nadie, pero durante seis meses, este pequeño script de PowerShell ayudó a las organizaciones a adelantarse a las operaciones de malware, algo realmente poco común en el campo de la ciberseguridad real.



Enlace a la noticia first