压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

新冠疫情讓疫苗成了全球民眾望眼欲穿的救星，但現(xiàn)實(shí)中，近年來(lái)最強(qiáng)大的惡意軟件——Emotet，居然被一個(gè)小型安全公司開(kāi)發(fā)的“疫苗”壓制了半年之久。這背后的故事，直到最近才被安全業(yè)界的大咖們揭秘。

在“2020年十大惡意軟件、漏洞榜單”一文中，我們?cè)鴪?bào)道：

“退隱江湖”近半年后，老牌惡意軟件Emotet僵尸網(wǎng)絡(luò)病毒重出江湖，并迅速奪回惡意軟件TOP10頭把交椅。

2020年2月—7月之間，春風(fēng)得意、“生意紅火”的Emotet為什么會(huì)突然“撤攤”？要知道，Emotet背后的組織擁有匹敵頂級(jí)科技企業(yè)的一流“敏捷開(kāi)發(fā)”能力，過(guò)去幾年Emotet始終是最具“創(chuàng)造性”、“顛覆性”、“影響力”和破壞力的惡意軟件，其產(chǎn)品迭代和技術(shù)創(chuàng)新的速度甚至讓很多網(wǎng)絡(luò)安全公司都自嘆弗如。

而且，惡意軟件的攻防本就是一場(chǎng)不對(duì)等的戰(zhàn)爭(zhēng)，安全公司辛辛苦苦開(kāi)發(fā)出檢測(cè)和緩解方法，而攻擊者只需對(duì)軟件代碼稍作改動(dòng)就可快速恢復(fù)其“毒性”、“活性”并繞過(guò)檢測(cè)方法。

那么，2020年上半年“惡意軟件之王”Emotet神秘退隱，難道僅僅是因?yàn)椤胺忾]開(kāi)發(fā)”新版本？

近日，密碼學(xué)大咖Schneier披露，過(guò)去半年“殺滅”Emotet的居然是一家小型網(wǎng)絡(luò)安全公司Binary Defense開(kāi)發(fā)的“疫苗”。

網(wǎng)絡(luò)安全行業(yè)有一條大多數(shù)安全公司都遵守的道德紅線，那就是不能利用惡意軟件中的漏洞，因?yàn)檫@樣做會(huì)非常危險(xiǎn)，可能會(huì)給受感染計(jì)算機(jī)造成意外損失。

但是，有時(shí)會(huì)出現(xiàn)罕見(jiàn)的漏洞，既可以安全利用，又能對(duì)惡意軟件本身造成毀滅性的破壞。

今年二月，Binary Defense公司的惡意軟件分析師James Quinn成功找到了Emotet的“命門(mén)”。

在調(diào)查2月份的Emotet每日更新時(shí)，Quinn發(fā)現(xiàn)了Emotet的“持久性機(jī)制”代碼被更新了，該機(jī)制允許惡意軟件在PC重新啟動(dòng)后存活下來(lái)。Quinn注意到Emotet正在創(chuàng)建Windows注冊(cè)表項(xiàng)并將XOR密碼密鑰保存在其中。

通過(guò)反復(fù)試驗(yàn)，Quinn開(kāi)發(fā)出一小段PowerShell腳本，利用腳本密鑰機(jī)制使Emotet自身崩潰。

Binary Defense給這個(gè)腳本起了一個(gè)非常形象的名字：EmoCrash，可以掃描用戶的計(jì)算機(jī)并生成正確的但格式錯(cuò)誤的Emotet注冊(cè)表項(xiàng)。

當(dāng)Quinn在已經(jīng)感染了Emotet的計(jì)算機(jī)上運(yùn)行EmoCrash時(shí)，腳本將用格式錯(cuò)誤的注冊(cè)表項(xiàng)替換正常的注冊(cè)表項(xiàng)，并且當(dāng)Emotet重新檢查注冊(cè)表項(xiàng)時(shí)，惡意軟件也會(huì)崩潰，從而阻止受感染的主機(jī)與Emotet的C2服務(wù)器通信。

實(shí)際上，Quinn同時(shí)開(kāi)發(fā)了Emotet的疫苗和停止開(kāi)關(guān)（killswitch），其中疫苗是精華所在。

Binary Defense防御團(tuán)隊(duì)很快意識(shí)到，“疫苗”被研發(fā)出來(lái)的消息必須高度保密，以防止Emotet團(tuán)伙知道后修改代碼，但另一方面，EmoCrash這個(gè)疫苗也需要盡快傳播到全世界的公司手中。

與如今擁有數(shù)十年歷史的大型網(wǎng)絡(luò)安全公司相比，Binary Defense是一個(gè)成立于2014年的“年輕后生”，并沒(méi)有足夠的影響力和實(shí)力安全發(fā)送疫苗，消息很難不泄露，任何環(huán)節(jié)的疏漏或者妒火中燒的競(jìng)爭(zhēng)對(duì)手都可能導(dǎo)致消息泄露。

為了做到這一點(diǎn)，Binary Defense與CYMRU團(tuán)隊(duì)合作，該公司擁有數(shù)十年的組織和打擊僵尸網(wǎng)絡(luò)的歷史。

CYMRU團(tuán)隊(duì)在幕后操作，確保EmoCrash被秘密發(fā)送到各國(guó)家計(jì)算機(jī)緊急響應(yīng)團(tuán)隊(duì)（CERT）的手中，然后將其傳播到各自轄區(qū)內(nèi)的公司。

CYMRU團(tuán)隊(duì)的首席架構(gòu)師James Shank表示，該公司與125個(gè)以上的國(guó)家和地區(qū)CERT團(tuán)隊(duì)保持聯(lián)系，并管理著一個(gè)郵件列表，該列表將敏感信息分發(fā)給6000多名成員。此外，CYMRU團(tuán)隊(duì)還每?jī)蓚€(gè)星期啟動(dòng)一次小組行動(dòng)，專門(mén)處理Emotet的最新攻擊。

在過(guò)去的六個(gè)月中，這種廣泛而精心安排的努力幫助EmoCrash傳遍全球，也直接導(dǎo)致Emotet在2020年上半年一蹶不振甚至偃旗息鼓。

但是，不清楚是因?yàn)榕紶柕男畔⑿孤痘蛘逧motet的開(kāi)發(fā)團(tuán)隊(duì)發(fā)現(xiàn)了持久性機(jī)制的漏洞，在8月6日的更新中，Emotet更改了整個(gè)持久性機(jī)制，距離Quinn首次發(fā)現(xiàn)該機(jī)制的漏洞已經(jīng)過(guò)去了六個(gè)月。

今天，雖然EmoCrash已經(jīng)失去了效力，但是六個(gè)月以來(lái)，這一小段PowerShell腳本幫助全球企業(yè)和組織首次在惡意軟件攻防對(duì)抗中長(zhǎng)時(shí)間碾壓了以技術(shù)研發(fā)實(shí)力著稱的惡意軟件之王——Emotet，在當(dāng)今的網(wǎng)絡(luò)安全領(lǐng)域，這確實(shí)是罕見(jiàn)而值得銘記的一段歷史。