Троян Emotet развивается, чтобы распространяться через соединения WiFi

Без сомнения, троян Emotet является сегодня самой большой угрозой, как с точки зрения количества (из-за его огромных спам-кампаний), так и риска (из-за его известной истории разрешений бандам-вымогателей получать доступ к зараженным сетям).

Исторически сложилось так, что Emotet работал, закрепившись в компании после того, как неосторожные сотрудники открыли заминированные документы Office, полученные по электронной почте.

После заражения троянец Emotet загружает различные модули, чтобы распространяться  внутри сети.

В последние годы это «боковое движение» было ограниченным, поскольку Emotet ограничивался только компьютерами и серверами, которые находятся в одной сети.

Компании, которые внедрили правильную сегментацию сети, часто могли бы ограничить охват атаки Emotet несколькими отделами или несколькими компьютерами.

EMOTET ПОЛУЧАЕТ WIFI SPREADER

Тем не менее, в сообщении, опубликованном на прошлой неделе, исследователи безопасности в BinaryDefense сделали довольно важное открытие, которое наверняка вызовет головную боль у многих системных администраторов в обозримом будущем, а именно - модуль Emotet, который при определенных обстоятельствах может перепрыгнуть через разрыв WiFi в соседних сетях.

Новый модуль Emotet «WiFi spreader» (как он назывался) не гарантирует 100% -ную степень заражения, поскольку полагается на пользователей, использующих слабые пароли для своих сетей WiFi, однако он открывает новый вектор атаки внутри зараженных компаний, который Emotet «Банды» могут использовать, чтобы максимизировать их досягаемость.

Это означает, что компьютеры, зараженные Emotet, теперь представляют опасность не только для собственной внутренней сети зараженной компании, но и для сетей любых соседних компаний, которые находятся в физической близости от первоначальной жертвы.

Если кто-то из ваших близких заразился Emotet и вы используете тупой пароль для своего Wi-Fi, есть вероятность, что вы можете получить нежелательный подарок от соседа в виде инфекции Emotet.

Прежде чем перейти к некоторым интересным наблюдениям относительно важности этого модуля и того, что он означает для компаний, мы кратко расскажем о modus operandi WiFi-распространителя:

Emotet заражает хозяина.

Emotet загружает и запускает модуль распространения WiFi.

Модуль WiFi Spreader отображает список всех Wi-Fi-устройств, включенных на хосте (обычно это WLAN NIC).

Модуль извлекает список всех локально доступных сетей WiFi.

WiFi Spreader выполняет грубую атаку на каждую сеть WiFi, используя два внутренних списка легко угадываемых паролей.

Если атака методом "грубой силы" успешна, то средство распространения Emotet WiFi теперь имеет прямой доступ к другой сети, но не имеет опоры на каких-либо серверах или рабочих станциях в этой сети.

Распространитель WiFi начинает вторую атаку грубой силой, пытаясь угадать имена пользователей и пароли серверов и компьютеров, подключенных к этой сети WiFi.

Если эта вторая атака грубой силой завершится успешно, Emotet закрепится во второй сети, и цикл заражения Emotet начинается с нуля, и Emotet успешно преодолевает разрыв между двумя сетями через соединение WiFi.

Рис.1

Согласно BinaryDefense, распространитель WiFi не работает в Windows XP SP2 и Windows XP SP3, в основном из-за того, что модуль использует некоторые новые функции.

BinaryDefense сообщает, что у WiFi-разбрасывателя есть временная метка 16 апреля 2018 года, предполагая, что он был разработан почти два года назад, но никогда не был широко развернут или обнаружен до недавнего времени, когда они впервые подняли его.

СООБРАЖЕНИЯ ДЛЯ КОМПАНИЙ

Обнаружение этого нового модуля Emotet стало важной новостью на нескольких уровнях, таких как безопасность WiFi, совместное использование рабочих мест и расследование инцидентов (IR).

Безопасность WiFi:

Системные администраторы часто используют сети Wi-Fi для сегментирования частей своих сетей на разные разделы, но при этом поддерживают подключение к Интернету для всех сотрудников.

Этот новый модуль Emotet означает, что компании больше не могут запускать сети WiFi с упрощенными паролями внутри своей штаб-квартиры. Если банда Emotet решит развернуть свой модуль распространения WiFi, они могут перейти к ближайшим сетям, если эти сети не используют сложный пароль.

Общие рабочие места:

Не все компании могут позволить себе собственную штаб-квартиру. Компании, работающие в крупных офисных зданиях, где они находятся в пределах досягаемости других сетей Wi-Fi, теперь подвергаются риску.

Если компания A заражается Emotet, а зараженный компьютер находится в зоне действия беспроводной сети компании B, компания B теперь рискует заразиться Emotet, даже если их сотрудники никогда не заражались Emotet напрямую.

ИК исследования:

Удаление Emotet в вашей сети через WiFi, скорее всего, усложнит многие расследования инцидентов. Wi-Fi не является традиционным вектором атаки для Emotet и многих других вредоносных программ.

Во многих случаях компании используют упрощенные пароли для внутренних сетей WiFi, потому что они знают, что только сотрудники будут иметь доступ к ним. Компании могут не знать, что им нужно использовать более сложные пароли точек доступа WiFi, чтобы предотвратить будущие вторжения Emotet.

Хотя Resercher BinaryDefense не был доступен для комментариев, поставщик безопасности  довольно ясно в своем отчете на прошлой неделе сказал, что Emotet получил значительное увеличение возможностей атаки.

BinaryDefense предупреждает компании о необходимости принимать меры предосторожности, защищая сети Wi-Fi с помощью надежных паролей, поскольку это самый простой способ защиты от нового модуля Wi-Fi Emotet.