Security-experts distribueren al een half jaar Emotet-vaccin

Abonneer je gratis op Techzine!

Security-experts hebben een bug in Emotet gevonden, welke ze gebruiken om te zorgen dat de malware niet meer slachtoffers maakt.

Het komt niet heel vaak voor dat er zwaktes worden gevonden in malware, omdat hackers het meestal vrij snel ontdekken als er iets misgaat en hun code dan veranderen. Hackers die malware verspreiden kunnen zich overal bevinden en zijn soms moeilijk te pakken. Het beste is in dat geval om zelf te gaan terughacken, zo dachten beveiligingsexperts over Emotet.

Emotet

Emotet zou opereren vanuit het oostblok en wordt gezien als een grote dreiging, omdat de malware als geen ander toestellen infecteert. In 2014 werd de Emotet-malware voor het eerst ontdekt. Het kwam voort uit een bank-trojan en is inmiddels een soort manusje van alles. Zodra Emotet een slachtoffer maakt, infecteert de malware bijvoorbeeld het netwerk en gaat met gevoelige informatie aan de haal.

Het virus heeft grote invloed in de wereld van informatiebeveiliging, maar die vecht nu terug. In Emotet vonden de security-experts dan ook een bug die veilig is om te misbruiken. Eentje die grote invloed heeft op de malware zelf. James Quinn is de malware-analist van Binary Defense die deze zwakte op het spoor kwam. Hij is gespecialiseerd in het opsporen en onderzoeken van Emotet.

EmoCrash

In februari ontdekte hij dat er iets in de code was veranderd en dat was een fout die hij goed kon gebruiken. Het gedeelte van de code waardoor malware een reboot overleeft was aangetast. Emotet creëerde vervolgens zelf een Windows-key en sloeg er een XOR cipher-key in. Quinn plaatste er een PowerShell-script in en exploiteerde dat mechanisme. Hierdoor crashte Emotet. Deze exploit kreeg de naam EmoCrash. Helaas werkt EmoCrash niet meer: inmiddels is Emotet weer veranderd, waardoor EmoCrash geen bestaansrecht meer heeft.