IT業界社群及資訊平台

【名氣如浮雲】專家發現 Emotet 自爆漏洞 選擇沉默救世贏掌聲

惡意木馬軟件 Emotet 係近年 IT 部門最怕聽到嘅名,特別係佢同 Trickbot、Ryuk 兩隻惡意軟件發動組合攻擊後,仲有埋勒索軟件功能,破壞力就更加大。不過,原來有網絡安全專家喺過去半年內已發現咗佢嘅漏洞,但為免公開後黑客組織即刻修補,於是選擇靜靜將破解程式輸出國際,救返唔少受害機構。

成件事要由 6 個月前講起,Binary Defense 嘅安全專家 James Quinn 經過一年嘅追蹤研究後,發現 Emotet 喺今年二月突然修改咗程式碼,原來係黑客組織幫佢升級,等佢可以喺電腦 Reboot 後持續運作,更難被殺死。而 James 就喺新嘅 Emotet 入面,發現一個 Windows registry key 及儲存位置,呢組 key 嘅作用除咗用喺持續運作功能之外,仲會用嚟啟動感染前置作業。不過,James 就發現新嘅 Emotet 存在漏洞,只要寫幾句 PowerShell script,就可以令 Emotet 自爆。呢個名為 EmoCrash 嘅程式碼,無論係預防中毒,或用嚟治療被感染電腦都一樣有效。James 首先嘗試感染一部「乾淨」嘅電腦,EmoCrash 會喺過程中衍生一條假 key 取代真 key,令 Emotet 發生記憶溢位問題而無法運作;即使部電腦已中招,假 key 亦能癱瘓 Emotet 繼續執行,阻止佢喺內部網絡繼續播毒。

有咁大發現,本來應該即時公開,James 亦理想當然會出名,不過 James 考慮到一旦公開自己嘅發現,可能會導致黑客組織修補呢個漏洞,令全球各地中招人士無辦法自救,再者 Binary Defense 只係成立咗五、六年,人脈亦唔足夠,所以佢哋決定靜靜地同成立咗幾十年嘅 Team CYMRU 合作,透過佢哋連繫世界各地嘅保安事故協調中心拯救萬民。

雖然 Binary Defense 最終可能都唔會知道 EmoCrash 究竟幫咗幾多人,但 James 就認為一定對 Emotet 有一定打擊,因為喺過去呢六個月內,黑客組織應該發現咗有問題發生,所以不停推出更新版,只不過未有堵塞 James 所發現嘅漏洞,直至八月黑客組織索性換晒成個持續攻擊基制嘅程式碼,先至令 EmoCrash 再無成效,而 James 亦選擇嚟到呢一刻先發表研究報告,成為網絡安全界嘅焦點。所以話,有時做到成績出嚟,唔係每次都要即刻攞光環,James 今次嘅表現可以話係完全示範。

資料來源:https://bit.ly/323KoBA

唔想錯過熱門網絡保安消息,請即訂閱 wepro180 電子周報:https://bit.ly/2ZcCi9J