Ransomware w 15 minut czyli jak zarobić na advanced malwarze, nie mając o nim pojęcia Mariusz Sawczuk Business Solutions Architect (Cyber Security) Warszawa 2015-11-18
Ransomware: Definicja i rodzaje Ransomware ransom (okup). To rodzaj malwaru, którego celem jest: - Blokowanie dostępu do systemu, - Szyfrowanie plików, - Przywrócenie stacji możliwe po wpłaceniu okupu. Popularność zawdzięcza szybkiej monetyzacji wysiłków atakujących. Przykłady: - CryptoWall, - CTB-Locker, - TeslaLocker, - CryptoLocker, - TorrentLocker. Infekcje odbywające się w kampaniach: - Odnotowano 49 różnych kampanii samego CryptoWalla. 2
Ransomware: Wektory propagacji Wektory propagacji CryptoWall v3 Ofiara Podatna przeglądarka Redirector 1 Skompromitowany serwer przekierowujący na złośliwy serwer Redirector 2 Serwer z Expolit-kitem lub skompromitowany serwer Serwer z Expolit-kitem Skompromitowany system Źródło: Cyber Threat Alliance Serwer dostarczający exploity i złośliwy payload Wykorzystywane exploit-kity: - Angler, Magnitude, Neutrino, RIG, Sundown, VIP, Fiesta. Detekcja maszyn wirtualnych i produktów bezpieczeństwa JavaScript exception error Socjotechnika Załączniki i metody unikania wykrycia: - Wykonywalne: exe, scr, - Wykonywalne ale udające pliki doc, pdf przez zmianę ikon, - Spakowane (podwójnie, potrójnie). 3
Ransomware: Infrastruktura Budowa własnej infrastruktury infekującej i finansowej: - Wymaga wiedzy i doświadczenia w produkcji exploitów/malwaru, jest kosztowne i czasochłonne. Wykorzystanie gotowej infrastruktury: - Poniżej anatomia cyklu ataku CryptoWall version 3 z informacją o infrastrukturze (tzw. back-end). Taka infrastruktura umożliwia infekowanie dowolnym rodzajem malwaru Źródło: Cyber Threat Alliance 4
Ransomware: Infrastruktura Hackerzy (właściciele infrastruktury) to inteligentni ludzie: Wiedzą, że organizacje stosują ochronę typu: FW, IPS, AntyVir, Sandboxy, itd. Ich infrastruktura oferuje całkowicie automatyczne omijanie tradycyjnego bezpieczeństwa: - wymień / zastąp kiedy zostaniesz wykryty, - dzienne kampanie z różniącymi się atrybutami (parametrami), - unikaj wykrycia (fast-flux, DGA, P2P), - szyfruj całą komunikację. Źródło: Cyber Threat Alliance 5
Ransomware: Ekonomia malwaru Malware jest sprzedawany w modelu resselerskim, tzn. właściciel - pośrednik - atakujący: - Atakujący nie ma kontaktu z właścicielem, - Pośrednik zapewnia dostęp do całej infrastruktury back-end, - Podział zysków: 70% atakujący, 30% pośrednik. Zakup jest dokonywany przy pomocy waluty internetowej: - Bitcoin: cały świat (najbardziej znana), - WebMoney: Europa, - ukash: Europa, - PerfectMoney: Ameryka Południowa. Moduły, dodatki i pisanie na zamówienie dostępne za dodatkową opłatą: - Skalowalne płatności, - Przykład: moduł DoS. Dwa modele: - Custom binary: binarka generowana dla klienta, - Builder binary & Backend: dostęp do buildera i infrastruktury botnetu. 6
Ransomware: Ekonomia malwaru WinLocker - malware blokujący systemy Windows bez uprawnień administratora: 1500$ build i rebuild za darmo. Cryptolocker - malware do szyfrowania plików w systemach Windows: 2000$ build i rebuild za darmo. Dropper DLL - malware, który uruchamia DLL w pamięci. Jego celem jest zrobienie przyczółku na infekowanej maszynie. Przesyłanie dll jest łatwiejsze bo większość ludzi myśli, że dll są mniej złośliwe od plików wykonywalnych: 1500$ build, rebuild 50$. Non-resident Loader without admin rights - Uruchomienie do 3 plików, wielkość około 7KB, Non-resident, czyli istnieje tylko w pamięci (nie jest zapisywany na dysku): 1000$ builder. Customization is available - Opcjonalnie buildery są sprzedawane po uzgodnieniu warunków. Kod źródłowy również. Więcej detali na Jaberze. 7
Ransomware: Dla osób nie znających się na kodowaniu Cel: Stworzenie, dostarczenie i wykonanie ransomware (CTB-locker). Procedura działania: 1) Stworzenie loadera, który będzie pobierał właściwy ransomware (CTB-locker), a) Zaciemnienie loadera, tak żeby nie został wykryty przez rozwiązania bezpieczeństwa, 2) Konfiguracja exploit-kita, tak by dostarczał loadera, b) Przekierowanie ruchu ze skompromitowanej strony do strony z exploit-kitem, 3) Infekcja stacji końcowej: a) Instalacja loadera na stacji ofiary, b) Pobranie przez loadera i instalacja CTB-Lockera, c) Szyfrowanie dysku i pop-up z żądaniem okupu. Narzędzia: - Loader - Pony, - Zaciemnienie - Crypter Aegis, - Ransomware - CTB-Locker, - Expolit-kit - RIG v2.0, - Sprawdzenie reputacji - VirusCheckMate.com, - Sklep ze stronami - Novus.pm 8
Ransomware: 1. Stworzenie loadera Ustawienia loadera dla danych i uprawnień, Lista które URL, będzie z których kradł: zostanie pobrany właściwy - Tworzenie Kompresji ransomware i szyfrowania, (CTB-locker) - pliku Pakowanie z UPX, loaderem - EXE lub DLL, - Pluginów do aplikacji. 9
Ransomware: 1. Stworzenie loadera Jednak stworzony loader w tej postaci zostanie wykryty przez programy AntyVir. 10
Ransomware: 1a. Zaciemnienie loadera Naszym celem będzie teraz zaciemnienie loadera, tak żeby uniknąć wykrycia przez AntyVir. Użyjemy do tego Aegis Crypter 5.1 w wersji Private stub (100$). Link do stworzonego loadera. Zmiana ikony. Włączenie ochrony przed sandboxami i innymi wirtualnymi sposobami uruchomienia malwaru. Zmiana klucza szyfrującego. Zmiana mutexu. 11
Ransomware: 1a. Zaciemnienie loadera (reputacja) Sprawdzamy zaciemnionego loadera, na stronie VirusCheckMate, która w odróżnieniu od VirusTotal nie dzieli się plikami z firmami AntyVir. i mamy niewykrywalnego Loadera. 12
Ransomware: 2. Konfiguracja exploit-kita Naszym celem będzie teraz dostarczenie zaciemnionego loadera do ofiar przez landing pages (Web). Użyjemy do tego exploit-kita - RIG. Wrzucenie stworzonego loadera do exploit-kita. Statystyki działania exploit-kita: Ilość flowów, które Sprawdzenie expolit kit otrzymał, wrzucanych ilość hostów, plików ilość silnikami udanych AV infekcji. oraz Skuteczność odwoływanie 2,6%. plików, które są już rozpoznawane. 13
Ransomware: 2. Konfiguracja exploit-kita (reputacja) Sprawdzamy reputację landing pages, na których działa exploit-kit. Żaden z producentów nie rozpoznaje tej strony jako hostującej malware. Mamy więc niewykrywalnego loadera, który będzie dostarczany przez stronę www o dobrej reputacji. 14
Ransomware: 2a. Przekierowanie ruchu do exploit-kita Jak skłonić użytkowników żeby weszli na nasze infekujące strony? Novus sklep ze skompromitowanymi stronami Web. Dostęp do: Webshella, SSH router, RDP. Statystyki pozycjonujące strony, ich popularność, ilość odwiedzin. 15
Ransomware: 3. Infekcja (instalacja loadera i ransomware) Infekcja w trakcie... Exploit-kit exploituje stację, instalacja niewykrywalnego loadera i instalacja ransomware. 16
Ransomware: 3. Infekcja (żądanie okupu) Stacja zainfekowana (zaciemniony loader na dysku). Po zaszyfrowaniu danych wyskakuje pop-up z okupem. 17
dziękuję 18