毫无疑问,就数量(由于其庞大的垃圾邮件活动)和风险(由于其已知的允许勒索软件团伙购买自身感染网络的历史)而言,Emotet木马是当今最主要的恶意软件威胁。
从历史上看,Emotet的工作方式是在粗心的员工打开他们通过电子邮件收到的诱人的Office文档之后,在公司内部立足。
一旦感染,Emotet木马会下载各种模块,以在网络内部横向传播。
在过去的几年中,这种“横向移动”受到限制,Emotet仅限于在同一网络中找到的计算机和服务器。
实施适当网络分段的公司通常可以将Emotet攻击的范围限制在几个部门或仅几个计算机上。
EMOTET获得WIFI扩展器
但是,在上周发布的博客文章中,BinaryDefense的安全研究人员有了一个非常重要的发现,这肯定会使许多系统管理员在可预见的将来头疼—即Emotet模块,该模块在某些情况下可以将攻击传染跳到附近的网络。
新的Emotet“ WiFi传播器”模块不能保证100%的感染率,因为它依赖用户为WiFi网络使用弱密码,但是,它在Emotet的受感染公司内部开启了新的攻击媒介帮派可以利用它们来扩大影响范围。
这意味着感染了Emotet的计算机现在不仅对受感染公司自己的内部网络构成威胁,而且还威胁到原始受害人身体附近的任何附近公司的网络。
如果您附近的某个人感染了Emotet,并且您为WiFi使用的是弱密码,那么您很有可能会以Emotet感染的形式从邻居那里收到不需要的礼物。
在继续就此模块的重要性及其对公司的意义进行一些有趣的观察之前,我们将总结一下WiFi扩展器的工作方式:
- Emotet感染宿主
- Emotet下载并运行WiFi扩展器模块
- WiFi扩展器模块列出了主机上启用的所有Wi-Fi设备(通常是WLAN NIC)
- 模块提取所有本地可访问WiFi网络的列表
- WiFi扩展器通过使用两个易于猜测的内部密码列表,在每个WiFi网络上执行暴力攻击。
- 如果暴力攻击成功,Emotet WiFi扩展器现在可以直接访问另一个网络,但是在该网络上的任何服务器或工作站上都没有立足之地。
- WiFi传播器进入第二次暴力攻击,试图猜测连接到此WiFi网络的服务器和计算机的用户名和密码。
- 如果第二次强力攻击成功,Emotet将在第二个网络上站稳脚跟,Emotet的感染周期将从头开始,Emotet通过WiFi连接成功地跳过了两个网络之间的鸿沟。
根据BinaryDefense的说法,WiFi扩展器在Windows XP SP2和Windows XP SP3上不起作用,主要是由于该模块使用了一些较新的功能。
BinaryDefense说,WiFi传播器的时间戳为2018年4月16日,表明它是在大约两年前开发的,但是直到最近他们首次使用时才被广泛部署或检测到。
公司注意事项
这个新的Emotet模块的发现在许多层面上都是重大新闻,例如WiFi安全性,共享工作空间和事件响应(IR)调查。
WiFi安全性:
系统管理员通常使用WiFi网络将其网络的各个部分划分为不同的部分,但仍使所有员工都可以使用Internet连接。
这个新的Emotet模块意味着公司不再可以在其总部内部使用简单密码运行WiFi网络。如果Emotet帮派决定部署其WiFi扩展器模块,那么如果这些网络不使用复杂的密码,他们可以跳到附近的网络。
共享工作空间:
并非所有公司都能负担得起自己的总部空间。现在,在大型办公大楼中工作的公司(处于其他WiFi网络可以到达的地方)正处于危险之中。
如果公司A感染了Emotet,并且受感染的计算机在公司B的WiFi网络范围内,则即使公司的员工从未直接感染过Emotet,B公司现在也有被Emotet感染的风险。
投资者关系调查:
通过WiFi将Emotet丢入网络很可能会使许多事件响应调查变得复杂。WiFi既不是Emotet的传统攻击手段,也不是许多其他恶意软件的攻击手段。
在许多情况下,公司会使用内部WiFi网络的简单密码,因为他们知道只有员工才能访问它们。公司可能并不知道他们需要使用更复杂的WiFi热点密码来防止将来的Emotet入侵。
尽管没有BinaryDefense研究人员发表评论,但安全供应商在上周的报告中非常清楚地表示,Emotet的攻击能力得到了极大提高。
BinaryDefense警告公司采取安全措施,使用强密码保护WiFi网络,因为这是抵御Emotet的新WiFi模块的最简单方法。
*编译:Domino
*来自:ZDNET