Баг в коде трояна Emotet помог создать вакцину от вредоноса

Баг в коде трояна Emotet помог создать вакцину от вредоноса

На протяжении долгого времени исследователи наблюдали за атаками сложной вредоносной программы Emotet. В итоге экспертам посчастливилось выявить баг, позволивший создать «вакцину» от этого зловреда.

Несмотря на профессиональный подход к созданию Emotet, «под капотом» это всего лишь код, имеющий свои слабые стороны.

Один из таких изъянов в этом году обнаружил исследователь вредоносных программ Джеймс Куин, работающий в компании Binary Defense.

Наблюдая каждый день за обновлениями Emotet (авторы стараются регулярно совершенствовать своё детище), Куин обратил внимание на изменение в коде одного из новых образцов вредоноса.

Маленький нюанс, за который зацепился глаз исследователя, затрагивал механизм Emotet, помогающий трояну функционировать даже после неоднократных перезагрузок компьютера.

В частности, Куин отметил создание ключа в системном реестре Windows, где вредонос сохранял ключ шифрования XOR.

 

Позже стало понятно, что этот ключ использовался не только для укрепления в системе, но также принимал участие во многих проверках кода Emotet (включая предшествующие заражению процедуры).

Благодаря обнаруженной особенности специалист смог написать небольшой PowerShell-скрипт, использующий ключ реестра для выведения Emotet из строя.

Скрипт получил имя EmoCrash, его задача — сканировать компьютер пользователя и генерировать специальный ключ реестра, который не даст Emotet спокойно работать. Причём разработка Куина отлично работает как с «чистыми» устройствами, так и с уже заражёнными трояном компьютерами.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Корпорации [taxonomy_vocabulary_2] SearchInform
На Road Show SearchInform рассказали о современном подходе к ИБ

«СёрчИнформ» завершила серию ИБ-конференций Road Show SearchInform, посвященную проблемам защиты от инсайдерских рисков. Несмотря на сложную эпидемиологическую ситуацию, к мероприятию в традиционном офлайн-, а также онлайн-формате присоединились почти 4000 человек в 23 городах России и СНГ.

В этом году ИБ-практики обсуждали тему «Три времени защиты информации», которая отражает современный подход к информационной безопасности: предотвращение инцидента, поиск его причин в прошлом и разработка мер профилактики.

Эксперты «СёрчИнформ» рассказали о том, какие ИБ-средства позволяют обеспечить такой комплексный подход. А заказчики – как реализуют эту концепцию на практике. В частности, один из докладчиков поделился кейсом, в котором шла речь о срыве как минимум 120 сделок в результате слива данных о клиентах. Ключом в расследовании стала всего одна зацепка в DLP, она позволила выявить круг реальных виновников и уязвимый бизнес-процесс, который стоил пострадавшей компании больше 12 млн рублей.

Серия конференций Road Show SearchInform в 2020 году прошла уже в 10-й раз. Главная ее задача – диалог между заказчиком и разработчиком о том, как должны развиваться и применяться решения, чтобы отвечать актуальным потребностям.

«Мы работаем в закрытой сфере. В нашем сообществе для повышения квалификации очень важен обмен опытом, разбор лучших практик. Всегда полезно услышать, как другие используют защитные программы, как выявляют и расследуют инциденты. Поэтому я ценю возможность поделиться опытом, выступить на Road Show SearchInform и пообщаться с коллегами в кулуарах», – комментирует Алексей Кашаев, руководитель группы информационной безопасности отдела экономической безопасности АО «Авиакомпания «Россия».

«Конференция Road Show SearchInform с момента основания не изменила формат, ежегодно мы собираемся с потенциальными и действующими заказчиками для открытого разговора. Обсуждаем практику применения и то, как меняется функционал программ. Это одно из самых крупных образовательных ИБ-мероприятий в России, и мы видим, что интерес к нему не снижается, а только растет год от года. Тема информационной безопасности становится актуальнее – и в 2020-ом году ни у кого точно не осталось в этом сомнений», – говорит Лев Матвеев, председатель совета директоров «СёрчИнформ».

В ходе конференции Road Show SearchInform участники прошли традиционный опрос, на основе которого в новом году «СёрчИнформ» выпустит большое исследования уровня ИБ в российских компаниях. Результаты прошлых лет, а также «белые книги», чек-листы и другие полезные материалы можно скачать на сайте вендора. Посмотреть видеозапись конференции можно по ссылке.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru