Según uno de los investigadores, casi siempre las vulnerabilidades y exploits que solemos leer son buenas noticias para los atacantes y malas noticias para el resto de nosotros. Sin embargo, es importante recordar que los malware son software, eso significa que pueden contener fallas también, los defensores en ciberseguridad pueden también aplicar ingeniería inversa al malware para descubrir sus vulnerabilidades, con el fin de explotarlas para derrotar al malware.
El interruptor de seguridad fue diseñado por los investigadores y nombrado como “kill-switch”, estaba activo desde el 6 de febrero del 2020 hasta el 6 de Agosto del 2020, 182 días antes de que los autores de malware parchearan el malware Emotet y eliminaran la vulnerabilidad.
A inicios de febrero, los actores detrás de Emotet agregaron una nueva característica para aprovecharse de dispositivos ya infectados y comprometer a otros dispositivos conectados a la red Wi-Fi en la que están conectados. Según los expertos, esta característica vino con un nuevo mecanismo de persistencia, el cual consistió en generar un archivo nombrado para almacenar el malware en cada sistema comprometido, utilizando una selección aleatoria de un nombre de archivo de sistema “exe” o “dll” desde el directorio system32.
La primera versión de “kill-switch” desarrollada por el grupo de expertos, el cual fue lanzado a las 37 horas después que fue revelada la nueva característica de Emotet, empleando un script en PowerShell que permita generar el valor de la key registrada para cada víctima y establezca cada valor en nulo. De esta manera, cuando el malware verificaba el registro en busca del archivo nombrado, este terminaría cargando un archivo vacío “.exe”, impidiendo que el malware se ejecutara en el sistema objetivo.
En la versión improvisada por los expertos de “kill-switch” llamada “EmoCrash”, uno de los investigadores destacó que él pudo aprovechar una vulnerabilidad de desbordamiento de búfer descubierta en la rutina de instalación del malware, utilizando para bloquear Emotet durante el proceso de instalación y evitar que los usuarios se infecten. Esta versión en lugar de restablecer el valor del registro, el script funciona identificado la arquitectura del sistema para generar el valor del registro de instalación para el número de serie del volumen del usuario, usándolo para guardar un búfer de 832 bytes. Según el investigador este pequeño dato en el buffer fue todo lo que se necesitó para inhabilitar a Emotet.
Para mantener la vulnerabilidad de Emotet en secreto para que los actores malicioso no parchearan su código, los investigadores coordinaron con el equipo de respuesta de emergencia de computadoras (CERTs) y el equipo Cymru para distribuir el script exploit EmoCrash a las organizaciones susceptibles. Logrando que los actores maliciosos detrás de Emotet retiraran el método de instalación basado en key de registro a mediados del mes de Abril, pero no fue hasta el 6 de Agosto cuando Emotet actualizo, eliminando por completo el código de valor de registro que estaba vulnerable.
Fuente:
COMENTARIOS