Uma falha no código de um dos piores malwares da história possibilitou que pesquisadores criassem uma solução para o problema. No entanto, assim como os vírus do mundo real, eles conseguem sofrer mutações (forçadas pelos cibercriminosos, claro) para continuar infectando máquinas ao longo do tempo. Isso tem sido assim desde o final dos anos 80, quando o malware apareceu pela primeira vez em cena, e apesar das alegações da maioria das empresas de segurança, ele permanecerá assim no futuro. Entretanto, agora, os pesquisadores descobrem falha no malware Emotet e criam vacina para neutralizá-lo. Por quanto tempo ela será eficaz é outra questão.
Emotet é uma das pragas que mais fizeram e ainda fazem vítimas no mundo todo. Acredita-se que opere nos territórios dos ex-Estados soviéticos. Além disso, o Emotet também é um dos grupos de malware mais habilidosos da atualidade, tendo aperfeiçoado o esquema de infectar como nenhum outro grupo.
O malware, que foi visto pela primeira vez em 2014, evoluiu de um trojan bancário sem importância para um canivete suíço de malware que, uma vez que infecta as vítimas, se espalha lateralmente por toda a sua rede, furta todos os dados confidenciais e dá meia-volta e aluga acesso aos hospedeiros infectados para outros grupos.
Hoje, a Emotet assusta os departamentos de TI de empresas em todo o mundo e tem causado enormes dores de cabeça a todo o setor de segurança cibernética.
Pesquisadores descobrem falha no malware Emotet e criam vacina para neutralizá-lo
Contudo, em suas entranhas, o Emotet é apenas um pedaço de software. Afinal, como o próprio nome diz, malware nada mais é que um software malicioso. Então, como tal, o Emotet também tem bugs.
No setor de segurança cibernética, algumas empresas e pesquisadores correm alto risco ao explorar bugs em malware. O temor é de que possam acabar danificando os computadores infectados por acidente. No entanto, às vezes pode aparecer um bug raro que é seguro de explorar e tem consequências devastadoras para o próprio malware.
Um bug desse tipo veio à tona no início deste ano, descoberto por James Quinn, um analista de malware que trabalhava para a Binary Defense.
O fato de Quinn descobrir o bug não foi por acaso. Nos últimos anos, o trabalho principal de Quinn tem sido caçar Emotet e ficar de olho em suas operações, mas também, como hobby pessoal, aumentar a conscientização sobre essa parte ameaçadora do grupo Cryptolaemus.
Enquanto vasculhava as atualizações diárias do Emotet em fevereiro, Quinn percebeu uma mudança no código do Emotet – em uma das cargas úteis recentes, a rede de bots Emotet estava fazendo spam em massa pela Internet.
A mudança foi no “mecanismo de persistência” do Emotet, a parte do código que permite que o malware sobreviva às reinicializações do PC. Quinn percebeu que o Emotet estava criando uma chave de registro do Windows e salvando uma chave de criptografia XOR dentro dela.
No entanto, essa chave de registro não foi usada apenas para persistência, explicou Quinn em um relatório. A chave também fazia parte de muitas outras verificações de código Emotet, incluindo sua rotina de pré-infecção.
O que é o EMOCRASH
Por meio de tentativa e erro e graças às atualizações subsequentes do Emotet que refinaram o funcionamento do novo mecanismo de persistência, Quinn foi capaz de montar um minúsculo script do PowerShell que explorou o mecanismo de chave do registro para travar o próprio Emotet.
O script, habilmente denominado EmoCrash, efetivamente escaneou o computador de um usuário e gerou uma chave de registro Emotet correta – mas malfeita.
Quando Quinn tentou infectar propositalmente um computador limpo com Emotet, a chave de registro disparou um estouro de buffer no código do Emotet e travou o malware, impedindo efetivamente que os usuários fossem infectados.
Quando o Quinn executava o EmoCrash em computadores já infectados com o Emotet, o script substituía a chave de registro boa por uma malformada e, quando o Emotet verificava novamente a chave de registro, o malware também travava, evitando que hosts infectados se comuniquem com o Emotet servidor de comando e controle.
Efetivamente, Quinn criou uma vacina Emotet e um killswitch ao mesmo tempo. Mas o pesquisador disse que a melhor parte aconteceu depois.
“Dois logs de travamento apareceriam com ID de evento 1000 e 1001, que poderiam ser usados para identificar endpoints com binários Emotet desativados e mortos”, disse Quinn.
Em outras palavras, se o EmoCrash fosse implantado em uma rede, poderia permitir que os administradores do sistema varressem ou configurassem alertas para essas duas IDs de eventos de log e descobrissem imediatamente quando e se o Emotet infectou suas redes.
EMOCRASH a serviço do bem
A equipe de Defesa Binária percebeu rapidamente que as notícias sobre essa descoberta precisavam ser mantidas em sigilo total, para evitar que a gangue Emotet consertasse seu código, mas eles entenderam que o EmoCrash também precisava chegar às mãos de empresas em todo o mundo.
Em comparação com muitas das principais empresas de segurança cibernética de hoje, todas com décadas de história, a Binary Defense foi fundada em 2014 e, apesar de ser uma das empresas em ascensão da indústria, ainda não tem influência e conexões com faça isso sem que haja vazamento de notícias de sua descoberta, seja por acidente ou por causa de um rival ciumento.
Para fazer isso, a Binary Defense trabalhou com a Equipe CYMRU, uma empresa que tem uma história de décadas de organização e participação na remoção de botnet.
Trabalhando nos bastidores, a Equipe CYMRU garantiu que o EmoCrash chegasse às mãos das Equipes de Resposta a Emergências Computacionais (CERTs) nacionais, que então o espalharam para as empresas em suas respectivas jurisdições.
De acordo com James Shank, arquiteto-chefe da equipe CYMRU, a empresa tem contatos com mais de 125 equipes CERT nacionais e regionais e também gerencia uma lista de mala direta por meio da qual distribui informações confidenciais a mais de 6.000 membros. Além disso, a Equipe CYMRU também dirige um grupo quinzenal dedicado a lidar com as últimas travessuras da Emotet.
Este esforço amplo e bem orquestrado ajudou o EmoCrash a fazer seu caminho ao redor do mundo ao longo dos últimos seis meses.
Malware EMOTET já corrigiu o código e anulou a vacina
O diretor sênior da Binary Defense, Randy Pargman, disse que a ferramenta propositalmente não incluía um módulo de telemetria.
A Binary Defense pode nunca saber quantas empresas instalaram o EmoCrash, mas Pargman disse que recebeu muitas mensagens de empresas que evitaram ataques ou descobriram incidentes em andamento.
No entanto, tanto Pargman quanto Quinn acreditam que a ferramenta teve pelo menos algum impacto nas operações do Emotet. A ferramenta ajudou a diminuir o número de bots infectados disponíveis para os operadores do Emotet.
A Binary Defense não acredita que a gangue Emotet soubesse do problema na ferramenta, mas a provavelmente percebeu que algo estava errado. Desde fevereiro e pelos meses subsequentes, o Emotet lançou várias novas versões e alterações em seu código. Nenhum corrigiu o problema.
Por acidente ou por descobrir que havia algo errado em seu mecanismo de persistência, a gangue Emotet mudou esse mecanismo em 6 de agosto. Isso foi exatamente seis meses após Quinn fazer sua descoberta inicial.
O EmoCrash pode não ser mais útil para ninguém. Entretanto, por seis meses, esse minúsculo script do PowerShell ajudou as organizações a se manterem à frente das operações de malware. Isso é algo considerado extremamente raro no setor de cibersegurança atual.
Quinn também tentou classificar um bug de estouro de buffer CVE para Emotet. Porém, a MITER, a organização que rastreia falhas de segurança em programas de software se recusou. Esta seria a primeira cepa de malware com seu próprio identificador CVE. Mesmo asism, pela primeira vez se tem registro de uma vacina para o malware Emotet.