新冠疫情让疫苗成了全球民众望眼欲穿的救星,但现实中,近年来最强大的恶意软件——Emotet,居然被一个小型安全公司开发的“疫苗”压制了半年之久。这背后的故事,直到最近才被安全业界的大咖们揭秘。
在“2020年十大恶意软件、漏洞榜单”一文中,我们曾报道:
“退隐江湖”近半年后,老牌恶意软件Emotet僵尸网络病毒重出江湖,并迅速夺回恶意软件TOP10头把交椅。
2020年2月—7月之间,春风得意、“生意红火”的Emotet为什么会突然“撤摊”?要知道,Emotet背后的组织拥有匹敌顶级科技企业的一流“敏捷开发”能力,过去几年Emotet始终是最具“创造性”、“颠覆性”、“影响力”和破坏力的恶意软件,其产品迭代和技术创新的速度甚至让很多网络安全公司都自叹弗如。
而且,恶意软件的攻防本就是一场不对等的战争,安全公司辛辛苦苦开发出检测和缓解方法,而攻击者只需对软件代码稍作改动就可快速恢复其“毒性”、“活性”并绕过检测方法。
那么,2020年上半年“恶意软件之王”Emotet神秘退隐,难道仅仅是因为“封闭开发”新版本?
近日,密码学大咖Schneier披露,过去半年“杀灭”Emotet的居然是一家小型网络安全公司Binary Defense开发的“疫苗”。
网络安全行业有一条大多数安全公司都遵守的道德红线,那就是不能利用恶意软件中的漏洞,因为这样做会非常危险,可能会给受感染计算机造成意外损失。
但是,有时会出现罕见的漏洞,既可以安全利用,又能对恶意软件本身造成毁灭性的破坏。
今年二月,Binary Defense公司的恶意软件分析师James Quinn成功找到了Emotet的“命门”。
在调查2月份的Emotet每日更新时,Quinn发现了Emotet的“持久性机制”代码被更新了,该机制允许恶意软件在PC重新启动后存活下来。Quinn注意到Emotet正在创建Windows注册表项并将XOR密码密钥保存在其中。
通过反复试验,Quinn开发出一小段PowerShell脚本,利用脚本密钥机制使Emotet自身崩溃。
Binary Defense给这个脚本起了一个非常形象的名字:EmoCrash,可以扫描用户的计算机并生成正确的但格式错误的Emotet注册表项。
当Quinn在已经感染了Emotet的计算机上运行EmoCrash时,脚本将用格式错误的注册表项替换正常的注册表项,并且当Emotet重新检查注册表项时,恶意软件也会崩溃,从而阻止受感染的主机与Emotet的C2服务器通信。
实际上,Quinn同时开发了Emotet的疫苗和停止开关(killswitch),其中疫苗是精华所在。
Binary Defense防御团队很快意识到,“疫苗”被研发出来的消息必须高度保密,以防止Emotet团伙知道后修改代码,但另一方面,EmoCrash这个疫苗也需要尽快传播到全世界的公司手中。
与如今拥有数十年历史的大型网络安全公司相比,Binary Defense是一个成立于2014年的“年轻后生”,并没有足够的影响力和实力安全发送疫苗,消息很难不泄露,任何环节的疏漏或者妒火中烧的竞争对手都可能导致消息泄露。
为了做到这一点,Binary Defense与CYMRU团队合作,该公司拥有数十年的组织和打击僵尸网络的历史。
CYMRU团队在幕后操作,确保EmoCrash被秘密发送到各国家计算机紧急响应团队(CERT)的手中,然后将其传播到各自辖区内的公司。
CYMRU团队的首席架构师James Shank表示,该公司与125个以上的国家和地区CERT团队保持联系,并管理着一个邮件列表,该列表将敏感信息分发给6000多名成员。此外,CYMRU团队还每两个星期启动一次小组行动,专门处理Emotet的最新攻击。
在过去的六个月中,这种广泛而精心安排的努力帮助EmoCrash传遍全球,也直接导致Emotet在2020年上半年一蹶不振甚至偃旗息鼓。
但是,不清楚是因为偶尔的信息泄露或者Emotet的开发团队发现了持久性机制的漏洞,在8月6日的更新中,Emotet更改了整个持久性机制,距离Quinn首次发现该机制的漏洞已经过去了六个月。
今天,虽然EmoCrash已经失去了效力,但是六个月以来,这一小段PowerShell脚本帮助全球企业和组织首次在恶意软件攻防对抗中长时间碾压了以技术研发实力著称的恶意软件之王——Emotet,在当今的网络安全领域,这确实是罕见而值得铭记的一段历史。