一名义务警员黑客一直在破坏Emotet恶意软件僵尸网络,将每天四分之一的有效负载替换为动画GIF,防止受害者受到感染

2020-07-26 13:34:14

一名不明身份的义务警员黑客一直在破坏最近复兴的Emotet僵尸网络的运营,将Emotet的有效负载替换为动画GIF,有效地防止了受害者受到感染。

这场始于三天前,也就是7月21日的破坏活动,已经从一个简单的笑话发展成一个严重的问题,影响了Emotet行动的很大一部分。

根据追踪Emotet僵尸网络的白帽安全研究人员Cryptolaemus的说法,义务警员现在毒害了Emotet所有有效下载的大约四分之一。

Emotet是一种复杂的、多部件的机械。为了让读者了解这里到底发生了什么,需要快速介绍一下Emotet的内部结构和分发机制。

僵尸网络的工作方式是向目标发送垃圾邮件,声称是与商业相关的通信。这些电子邮件要么包含恶意Office文档,要么包含指向恶意Office文件的链接,用户被告知要在其PC上下载该文件。

当用户打开其中一个文件并按下文件内的链接或启用启用编辑功能以允许执行宏(自动脚本)时,自动脚本将从Internet下载Emotet恶意软件及其各种组件。

我们所说的互联网,实际上是指被黑客入侵的WordPress网站,Emotet团伙在那里临时存储了他们的恶意软件组件(用信息安全术语来说,就是有效负载)。

Emotet团伙通过网络外壳(一种安装在被黑客服务器上的恶意软件,让入侵者操纵服务器)控制这些被黑客攻击的网站。

但是Emotet帮派并没有使用市场上最好的web shell。正如去年所指出的那样,Emotet帮派使用开源脚本,并对其所有web shell使用相同的密码,如果有人能猜到web shell的密码,其基础设施很容易被劫持。

Emotet的有效负载分发方法非常不安全,他们在Github上部署一个开源的webshell到他们入侵的Wordpress站点,所有人都使用相同的密码,所以任何人都可以更改受感染的PC接收的有效负载。

--凯文·博蒙特(@GossiTheDog)2019年12月27日。

Emotet被认为是当今最危险的恶意软件菌株/僵尸网络,最近它沉寂了五个多月,上周又恢复了活力。

自周二以来,一个不知名的义务警员似乎已经发现了这个常见的密码,并一直在滥用这个漏洞僵尸网络来破坏Emotet的卷土重来。

不明身份的入侵者一直在用动画GIF替换一些被黑客攻击的WordPress网站上的Emotet有效载荷--这意味着当Emotet受害者打开恶意Office文件时,他们不会受到感染,因为Emotet恶意软件不会下载并在他们的系统上执行。

在过去的三天里,入侵者用多个流行的GIF替换了Emotet的有效载荷。

#Emotetの跡地でこのおじさんに遭遇する機会が増えました.。Pic.twitter.com/pozYFpPoiv

-tike(@tiketiketikeke)2020年7月22日。

似乎有人正在用James Franco https://t.co/YCCSFwfTZb pic.twitter.com/oSPGka9l6g的GIF替换emotet有效载荷。

-凯文·博蒙特(@GossiTheDog)2020年7月22日。

国内の#emotet設置サイトの傾向に変化はありません。[.com 133.130.109.0(网址:v133-130-109-0[.]a038[.]g[.]tyo1[.]static[.]cnode[.]io.))。Linhgiangcorp[.]com 133.130.97.61(网址:v133-130-97-61[.]a026[.]g[.]tyo1[.]static[.]cnode[.io.))。黑客のgifに置き換わっています。Pic.twitter.com/efxnbfaGfc。

-tike(@tiketiketikeke)2020年7月24日。

GIF通常是从Imgur或Giphy随机获得的,这两个GIF托管服务是随机的。

目前的毁损开始缓慢,但目前,每天大约四分之一的Emotet有效载荷链接正在被GIF取代,这给Emotet团伙造成了严重的运营损失。

根据Cryptolaemus成员约瑟夫·鲁森(Joseph Roosen)的说法,Emotet帮派非常了解这个问题。在昨天的一次谈话中,Roosen告诉ZDNet,Emotet僵尸网络周四已经关闭,因为Emotet团伙显然试图从他们的web shell网络中铲除攻击者。

尽管Emotet做出了努力,Roosen说今天义务警员仍然存在,并用GIF文件替换了Emotet的有效载荷,尽管Emotet团伙比以前更快地发现了替换的载荷并恢复了原来的有效载荷。

总体而言,污损似乎导致本周Emotet的活动严重下降。

罗森在每日的Emotet更新中写道,由于Ivan[Emotet管理员]今天遇到了技术问题,散列数据大幅下降,我们几乎看不到任何东西。

这位安全研究人员估计,Emotet现在的工作能力约为其正常能力的四分之一,因为Ivan和Emotet的其他工作人员仍在争夺对他们的网络外壳的控制权。

目前,这名义务警员的身份尚不清楚。根据网上表达的各种理论,主要嫌疑人要么是敌对的恶意软件团伙,要么是网络安全行业的成员。