Seorang analis malware yang bekerja untuk Binary Defense, James Quinn, telah menemukan bug pada malware Emotet.
Fakta bahwa Quinn menemukan bug itu bukanlah kebetulan. Selama beberapa tahun terakhir, pekerjaan utama Quinn adalah berburu Emotet dan mengawasi operasinya.
Saat menelusuri pembaruan Emotet harian di bulan Februari, Quinn melihat perubahan dalam kode Emotet.
Melalui trial and error dan berkat pembaruan Emotet berikutnya yang menyempurnakan cara kerja mekanisme persistence baru, Quinn dapat menyusun skrip PowerShell kecil yang mengeksploitasi mekanisme kunci registri untuk merusak Emotet itu sendiri.
Skrip tersebut bernama EmoCrash, secara efektif memindai komputer pengguna dan menghasilkan kunci registri Emotet yang benar – namun cacat.
“Dua log crash akan muncul dengan event ID 1000 dan 1001, yang dapat digunakan untuk mengidentifikasi endpoint dengan binari Emotet yang dinonaktifkan dan mati,” kata Quinn.
Dengan kata lain, jika EmoCrash akan diterapkan di seluruh jaringan, itu dapat memungkinkan administrator sistem untuk memindai atau mengatur peringatan untuk kedua Event ID log ini dan dapat menemukan kapan dan apakah Emotet menginfeksi jaringan mereka.
Binary Defense bekerja sama dengan Tim CYMRU, sebuah perusahaan yang memiliki sejarah selama puluhan tahun dalam mengatur dan berpartisipasi dalam penghapusan botnet.
Bekerja di belakang layar, Tim CYMRU memastikan bahwa EmoCrash sampai ke tangan Tim Computer Emergency Response (CERT) nasional, yang kemudian menyebarkannya ke perusahaan di yurisdiksi masing-masing.
Entah secara tidak sengaja atau dengan mengetahui ada yang salah dalam mekanisme persistence nya, geng Emotet akhirnya mengubah seluruh mekanisme persistence nya pada 6 Agustus – tepatnya enam bulan setelah Quinn membuat penemuan awalnya.
EmoCrash mungkin tidak berguna lagi bagi siapa pun, namun selama enam bulan, skrip PowerShell kecil ini membantu organisasi tetap terdepan dalam operasi malware – pemandangan yang benar-benar langka di bidang keamanan siber saat ini.
Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet
