Исследователь полгода тайно распространял вакцину от опасного трояна

Он использовал уязвимость в коде вредоноса
b52d3b47f3c2f556ef7ac3201ca593c2175b0988
Исследователь Binary Defense Джеймс Куинн (James Quinn) полгода тайно распространял вакцину от опасного трояна. Так он боролся с крупнейшим ботнетом Emotet.

В феврале 2020 года Куинн обнаружил в коде Emotet уязвимость. Изменение коснулось механизма сохранения персистентности на компьютере, части кода, которая ответственна за «выживание» вредоноса в системе после её перезагрузки. Куинн заметил, что Emotet создаёт ключ реестра Windows и сохраняет в нём ключ шифрования XOR. Однако этот ключ реестра использовался не только для сохранения вредоносного ПО в системе, но и был частью многих других проверок кода Emotet, в том числе процедуры предварительного заражения.

В итоге Куине, используя уязвимость, смог написать скрипт PowerShell, который использовал механизм ключей реестра для атак на сам Emotet. Исследователь проверил, что это работает: он пытался заразить «чистый» компьютер вредоносным ПО Emotet, но заражение предотвращалось. То есть получилась своего рода вакцина.

На уже заражённых компьютерах скрипт смог «выключить» работу Emotet. К сожалению, операторы ботнета уже устранили уязвимость, но в течение полугода она спасала компьютеры от заражений.

©  Ferra.ru