CZ.NIC

CZ.NIC

Phishingové e-maily

Nejčastější metodou pro hackery k šíření ransomwaru je phishing e-maily. Hackeři používají pečlivě vytvořené phishingové e-maily k tomu, aby obětovali oběť, aby otevřela přílohu nebo klepnutím na odkaz, který obsahuje škodlivý soubor. Tento soubor může pocházet z mnoha různých formátů, včetně souboru PDF, ZIP, dokumentu aplikace Word nebo jazyka JavaScript. V případě dokumentu aplikace Word útočník nejčastěji popírá uživatele do "Povolení maker" po otevření dokumentu. To umožňuje útočníkovi spouštět skript, který stahuje a spustí škodlivý spustitelný soubor (EXE) z externího webového serveru. EXE by obsahoval funkce nezbytné pro šifrování dat na stroji oběti.

Protokol vzdálené plochy

Stále populárnější mechanismus, kterým útočníci infikují oběti, je protokol Remote Desktop Protocol (RDP). Jak název naznačuje, byl vytvořen protokol Vzdálená plocha, který umožňuje administrátorům IT bezpečně přistupovat k vzdálenému počítači uživatele a konfigurovat jej, nebo jednoduše používat zařízení. RDP obvykle běží přes port 3389. Zatímco otevření dveří k zařízení pro legitimní použití má mnoho výhod, představuje také příležitost pro špatného herce, aby ho využil pro nelegitimní použití. V roce 2017 bylo zjištěno, že více než 10 milionů strojů se inzeruje na veřejný internet, protože má port 3389 otevřený - tj. Běží RDP nad 3389. Hackeři mohou jednoduše vyhledávat ty stroje na vyhledávačích, jako je Shodan.io, zařízení, která jsou náchylná k infekci. Jakmile jsou cílové počítače identifikovány, hackeři obvykle získají přístup prostřednictvím hrubo vynuceného hesla, aby se mohli přihlásit jako správci. Nástroje pro rozpoznávání hesel s otevřeným zdrojovým kódem pomáhají tomuto cíli dosáhnout. Populární nástroje, včetně Cain a Able, John Ripper a Medusa, umožňují počítačovým zločincům rychle a automaticky vyzkoušet více hesel, aby získali přístup.

Drive-By ke stažení z kompromitované webové stránky

Další vstupní cesta, kterou útočníci používají k doručování ransomwaru, je přes to, co se nazývá stahování jednotky. Jedná se o nebezpečné stahování, ke kterým dochází bez znalosti uživatele, když navštíví kompromitované webové stránky.

Útočníci často zahajují stahování pomocí využití známých zranitelností v softwaru legitimních webových stránek. Tyto zranitelnosti pak používají buď k vkládání škodlivého kódu na webovou stránku, nebo přesměrování oběti na jinou kontrolující stránku, která hostí software známý jako exploitové sestavy. Exploit kity umožňují hackerům ticho skenovat návštěvnické zařízení kvůli jeho specifickým slabostem a pokud jsou nalezeny, spustí kód na pozadí bez toho, aby uživatel klepnul na cokoliv. Nelikvidující uživatel bude náhle vystaven výpovědi za výkupné, upozorní je na infekci a bude požadovat platbu za vrácené soubory.

Drive-By ke stažení z kompromitované webové stránky

Dalším způsobem, jakým ransomware používá k proniknutí do prostředí, je prostřednictvím zařízení USB. V roce 2016 australská policie vydala varování občanům o jednotkách USB obsahujících škodlivý software, které se objevují ve schránkách. Jednotky USB se maskovaly jako propagační aplikace Netflix, poté jednou spustily nasazený ransomware na počítač s nepopsatelným uživatelem.

Mocný Spora Ransomware dokonce přidal schopnost replikovat se na disky USB a Removable Media (v skrytých formátech), což ohrožuje další stroje, do kterých je USB zařízení zapojeno.

Phishingové e-maily

Nejčastější metodou pro hackery k šíření ransomwaru je phishing e-maily. Hackeři používají pečlivě vytvořené phishingové e-maily k tomu, aby obětovali oběť, aby otevřela přílohu nebo klepnutím na odkaz, který obsahuje škodlivý soubor. Tento soubor může pocházet z mnoha různých formátů, včetně souboru PDF, ZIP, dokumentu aplikace Word nebo jazyka JavaScript. V případě dokumentu aplikace Word útočník nejčastěji popírá uživatele do "Povolení maker" po otevření dokumentu. To umožňuje útočníkovi spouštět skript, který stahuje a spustí škodlivý spustitelný soubor (EXE) z externího webového serveru. EXE by obsahoval funkce nezbytné pro šifrování dat na stroji oběti.

Protokol vzdálené plochy

Stále populárnější mechanismus, kterým útočníci infikují oběti, je protokol Remote Desktop Protocol (RDP). Jak název naznačuje, byl vytvořen protokol Vzdálená plocha, který umožňuje administrátorům IT bezpečně přistupovat k vzdálenému počítači uživatele a konfigurovat jej, nebo jednoduše používat zařízení. RDP obvykle běží přes port 3389. Zatímco otevření dveří k zařízení pro legitimní použití má mnoho výhod, představuje také příležitost pro špatného herce, aby ho využil pro nelegitimní použití. V roce 2017 bylo zjištěno, že více než 10 milionů strojů se inzeruje na veřejný internet, protože má port 3389 otevřený - tj. Běží RDP nad 3389. Hackeři mohou jednoduše vyhledávat ty stroje na vyhledávačích, jako je Shodan.io, zařízení, která jsou náchylná k infekci. Jakmile jsou cílové počítače identifikovány, hackeři obvykle získají přístup prostřednictvím hrubo vynuceného hesla, aby se mohli přihlásit jako správci. Nástroje pro rozpoznávání hesel s otevřeným zdrojovým kódem pomáhají tomuto cíli dosáhnout. Populární nástroje, včetně Cain a Able, John Ripper a Medusa, umožňují počítačovým zločincům rychle a automaticky vyzkoušet více hesel, aby získali přístup.

Drive-By ke stažení z kompromitované webové stránky

Další vstupní cesta, kterou útočníci používají k doručování ransomwaru, je přes to, co se nazývá stahování jednotky. Jedná se o nebezpečné stahování, ke kterým dochází bez znalosti uživatele, když navštíví kompromitované webové stránky.

Útočníci často zahajují stahování pomocí využití známých zranitelností v softwaru legitimních webových stránek. Tyto zranitelnosti pak používají buď k vkládání škodlivého kódu na webovou stránku, nebo přesměrování oběti na jinou kontrolující stránku, která hostí software známý jako exploitové sestavy. Exploit kity umožňují hackerům ticho skenovat návštěvnické zařízení kvůli jeho specifickým slabostem a pokud jsou nalezeny, spustí kód na pozadí bez toho, aby uživatel klepnul na cokoliv. Nelikvidující uživatel bude náhle vystaven výpovědi za výkupné, upozorní je na infekci a bude požadovat platbu za vrácené soubory.

USB

Dalším způsobem, jakým ransomware používá k proniknutí do prostředí, je prostřednictvím zařízení USB. V roce 2016 australská policie vydala varování občanům o jednotkách USB obsahujících škodlivý software, které se objevují ve schránkách. Jednotky USB se maskovaly jako propagační aplikace Netflix, poté jednou spustily nasazený ransomware na počítač s nepopsatelným uživatelem.

Mocný Spora Ransomware dokonce přidal schopnost replikovat se na disky USB a Removable Media (v skrytých formátech), což ohrožuje další stroje, do kterých je USB zařízení zapojeno.

Pouze symetrické šifrovací ransomware

Symetrické šifrovací algoritmy, jako je AES, mohou být použity k šifrování souborů s velkou rychlostí. Na tomto přístupu bude ransomware používat pouze tento šifrovací mechanismus. Zašifruje všechny uživatelské soubory algoritmem AES a uloží na disk klíče používané k šifrování každého souboru. Takže když infikovaný vyplácí výkupné, dešifrovací soubor otevře klíčem a začne dešifrovat soubory. Tento naivní přístup umožní výzkumníkům najít tento soubor a protože není šifrovaný, udělejte nějaký nástroj pro dešifrování souborů pomocí klíče.

Klientské asymetrické šifrování

Tímto přístupem bude ransomware generovat pár klíčů RSA, šifrovat všechny soubory veřejným klíčem a odeslat soukromý klíč serveru, který má být uložen. Tato metoda šifrování je poměrně pomalá, šifrování RSA bude trvat dlouhou dobu s velkými soubory a také ransomware musí poslat soukromý klíč na server, v tomto scénáři je infikovaný počítač připojen k internetu a server musí být on-line také. Pokud není některá ze dvou stran spojena, existuje problém. Buď ransomware musí zastavit jeho spuštění nebo bude šifrovat každý soubor veřejným klíčem a odstraní soukromý klíč bez možnosti dešifrování nebo musí uložit soukromý klíčdočasně na disku pro pozdější dešifrování. To není dobré řešení.

Asymetrické šifrování serveru

V tomto schématu server vygeneruje pár klíčů, veřejný klíč bude hardcoded na ransomware a pro každý soubor bude zašifrovat soubor veřejným klíčem serveru a pouze se soukromým klíčem serveru , bude to schopen obnovit soubory, že? Jo, ale je zde logický problém, server pošle klientovi soukromý klíč a dešifruje soubory? Tímto přístupem mohou badatelé získat soukromý klíča šířit se všemi infikovanými, takže s jednou osobou, která zaplatí výkupné, každá infekce dostane své soubory dešifrované. Jiným způsobem, jak dešifrovat, je na infikovaný počítač odeslat na server všechny šifrované soubory, které mají být dešifrovány, jsou pomalé a neaktivní odesílání velkých šifrovaných souborů přes internet. Ať tak či onak, je to nepraktické.

Serverové a klientské asymetrické šifrování + symetrické šifrování

Tato schéma je v současné době používána většinou ransomware, je to hybridní, protože používá jak symetrické, tak asymetrické šifrování a není potřeba připojení k internetu při šifrování pouze v dešifrování. Pomocí tohoto schématu vygeneruje ransomware i server svůj pár klíčů RSA. Budeme volat klienta klíče jako: Cpub.key pro klientské veřejným klíčem a Cpriv.key pro veřejný klíč Client , Spub.key pro server veřejný klíč a Spriv.key pro privátní klíč serveru . Zde je návod, jak to funguje: Pro každou infekci bude ransomware v pořádku generovat Cpub.key a Cpriv.key a také ransomware bude mít hardwarový kód Spub.key . Bude šifrovat Cpriv.key s Spub.key. Začne se rutina šifrování souborů, soubory budou zašifrovány s AES, po dokončení budou všechny klíče AES šifrovány pomocí Cpub.key.

Prostředí a architektura

Zaměřena výhradně na 32bitové prostředí systému Windows XP podporující architekturu IA-321. Tato platforma a architektura je v dnešní době nejrozšířenější, je pro ni široké spektrum softwaru a také nástroj °u pro reverzní inženýrství.

Základní konstrukce v assembleru

Příklady jsou naprogramovány v jazyce C, přeloženy pomocí vývojového prostředí Microsoft Visual Studio .NET 2003 a výsledné programy disassemblované programem IDA Pro. V příkladech jsou pro zjednodušení a zpřehlednění uvedeny pouze relevantní části kódu v assembleru, kódy v jazyku C jsou uvedeny kompletní.

Ochrana proti reverznímu inženýrství

Jedná se o složitou problematiku, které se nelze v této práci věnovat z důvodu omezeného rozsahu. Ochrany a metody jejich obcházení se neustále mění, i když principy zustávají podobné. Na ochranu program°u existuje velké množství specializovaného softwaru a velké množství volně dostupného materiálu, ovšem tématem práce jsou základy reverzního inženýrství, ne obrana proti němu. Proto bude uveden pouze základní přehled problematiky ochrany.

Analýza malwaru

Analýza malwaru je jedním ze zásadních využití reverzního inženýrství. Společnosti zabývající se bojem proti malwaru většinou neanalyzují zlomyslné programy dopodrobna. Vzhledem k množství malwaru to ani není možné. Cílem jejich práce je ověření, zda se doopravdy jedná o malware, a nalezení jednoznačného otisku takového programu. Jednoznačný otisk bývá hash dostatečné velkého bloku kódu (popřípadě dat). Viry s tímto typem detekce často počítají a snaží se měnit svoji strukturu za běhu, aby je antivirový software nemohl detekovat. Proti takovým vir °um existuje také obrana