Razlike

Slijede razlike između dviju inačica stranice.

--- racfor_wiki:ransomware:analiza_phobos_ransomware-a [2020/01/09 20:32]
igredicak [Simulacija napada]
+++ racfor_wiki:ransomware:analiza_phobos_ransomware-a [2024/12/05 12:24] (trenutno)
@@ Redak 6: / Redak 6: @@
 ===== Sažetak =====
-How do you write an abstract? Identify your purpose. You're writing about a correlation between lack of lunches in schools and poor grades. … Explain the problem at hand. Abstracts state the “problem” behind your work. … Explain your methods. … ([[https://www.aje.com/arc/make-great-first-impression-6-tips-writing-strong-abstract/|Source]]) Save your work regularly!!! Describe your results (informative abstract only). … Abstract should be no longer that 400 words.
+U ovom radu je dan kratki pregled povijesnog razvoja ransomware-a te je objašnjeno koja je osnovna ideja. Nabrojane su i ukratko opisane tri velike skupine ransomware-a (scareware, screen locker i encrypting ransomware), načini njihovog širenja i opasnost za žrtvu i datoteke. Detaljnije je opisan Phobos ransomware koji se pojavio krajem 2018. godine, a koji se najviše širi zahvaljujući sigurnosnim propustim RDP-a. Opisan je uz pomoć analize koju je proveo MalwareBytes kako bi se dao uvid u princip enkripcije i rada Phobos-a. Nakon toga je opisana vlastita provedena simulacija u VirtualBox-u na operacijskom sustavu Windows 10 gdje je sustav zaražen Phobos ransomware-om. Uz pomoć alata Everything praćene su promjene na datotekama kao što je ime, brisanje pričuvnih kopija i vremena u kojem se enkripcija događala. Uz pomoć Task managera su praćene dretve koje otvara i kada se pokreće te što se događa nakon završetka enkripcije te nakon ponovnog pokretanja sustava. Krajnji rezultat su enkriptirane datoteke koje imaju novo ime koje sadrži ime originale datoteke, ID napadača i mail adresu te novu ekstenziju .phobos. Otkrivene su specifičnosti u enkriptiranim datotekama ovisno o veličini i vremenu kad su enkriptirane. Simulacija je uspoređena s primjerom iz literature te su otkrivene određene specifičnosti koje imaju različite verzije Phobos-a kao što je ekstenzija, završna ključna riječ i općenito izvođenje.
+Ključne riječi: **ransomware**; **Phobos**; simulacija; analiza; RDP; malware
-Keywords: **abstract**; **bastract**; astract; retract; tractor
 ===== Uvod =====
@@ Redak 71: / Redak 73: @@
 {{  :racfor_wiki:ransomware:padd.png?nolink&600x225  }}
-Kod Phobosa nije zaštićen ni maskiran pa je otkriveno kako program otvara nekoliko dretvi koji služe za gašenje određenih procesa, izvršavanje komandi iz CMD-a i kriptiranje diska, ali i mrežno podijeljenih datoteka.
+Kod Phobosa nije zaštićen ni maskiran pa je otkriveno kako program otvara nekoliko dretvi koji služe za gašenje određenih procesa, izvršavanje komandi iz CMD-a i kriptiranje diska, ali i mrežno podijeljenih datoteka. Phobos prije enkripcije provjerava sve datoteke i određuje koje treba enkriptirati.
 Iako kod nije zaštićen, neke konstante (npr. String) su enkriptirane i otključavaju se kada je potrebno. Otključavanjem tih stringovama otkrivena je lista koja vjerojatno sadrži ekstenzije koje koriste različite vrste Phobosa (npr. acute, banta, phobos itd.). Osim toga u stringovima je moguće pronaći i formulu prema kojoj se imenuju datoteke nakon kriptiranja: UNICODE ".id[<unique ID>-1096].[lockhelp@qq.com].acute".
@@ Redak 95: / Redak 97: @@
 i općenito direktorij C:/Windows, odnosne one koje daju ransom note i one koje su neophodne za rad sustava.
-Otkriveno je kako datoteke veće od 2 MB nisu u potpunosti enkripritane već samo dijelovi. Detaljnja dubinska analiza enkripcije izlazi iz okvira ovoga rada, a potrebno je napomenuti kako Phobos koristi WindowsCrypto API za kriptiranje datoteka.
+Otkriveno je kako datoteke veće od 2 MB nisu u potpunosti enkripritane već samo dijelovi. Detaljnja dubinska analiza enkripcije izlazi iz okvira ovoga rada, a potrebno je napomenuti kako Phobos koristi WindowsCrypto API za kriptiranje datoteka te AES algoritam. Sve datoteke su enkriptirane istim AES ključem koji se generira neposredno prije pokretanja dretve za enkripciju. Neposredno prije otvaranja datoteke koja će se enkriptirati se generira inicijalizacijski vektor koji je jedinstven za svaku datoteku (16 bajta).  Osim sadržaja datoteke Phobos enkriptira i metapodatke.
 ===== Simulacija napada =====
+Provedena je simulacija u virtualnom okruženju na operacijskom sustavu Windows 10 Enterprise. U softveru Everything koji služi za pregled datoteka je praćeno stanje i promjene u datotekama (odabran je način prikaza Preview koji automatski ažurira popis u stvarnom vremenu). Preuzet je primjer čija je izvršna datoteka imena system_1.exe. Prije početka simulacije napada preuzeto je ili stvoreno nekoliko datoteka koje će se proučavati kad napad završi. Tako je odabrana .bmp datoteka, jedna prazna tekstualna datoteka od 10 MB, .pdf datoteka i kratka tekstualna datoteka.
-===== Zaključak =====
+Pri ručnom pokretanju ransomware-a javlja se UAC potvrdni prozor što potvrđuje da Phobos ne koristi tehnike zaobilaženja UAC.
-zaključak.
+{{  :racfor_wiki:ransomware:simuac.png?nolink&460x402  }}
+Potvrdom na navedenom prozoru u 1:34 se pokreće izvršna datoteka i otvara se prozor prikazan niže na slici.
+{{  :racfor_wiki:ransomware:simcmd2.png?nolink&650x336  }}
+Kao i u primjeru u prethodnom poglavlju vidljivo je da program stvara svoju kopiju (koja ima veće ovlasti) i izvršava neke komande kroz CMD (na slici ispod).
+{{  :racfor_wiki:ransomware:simdrtv.png?nolink&645x77  }}
+Pokrenuti zloćudni proces ima PID 952 (slika ispod).
+{{  :racfor_wiki:ransomware:pid.png?nolink&465x480  }}
+Nakon nekoliko minuta (u 1:36) komandni prozor se zatvara, a proces prelazi u pozadinske procese i tada započinje kriptiranje. Tijekom enkripcije isključena je internetska veza i proces je nastavio s enkripcijom što dovodi do zaključka kako je enkripcijski ključ upisan u izvršnu datoteku (uspješan napad je bio i bez internetske veze od samog početka).
+{{  :racfor_wiki:ransomware:simbkg.png?nolink&647x202  }}
+Prva datoteka je kriptirana u 1:37 i to je bila stoppedEvent.js.
+Kada kriptiranje završava (u 2:11) otvara se .hte datoteka s porukom o napadaču i detaljima o uplati koju je potrebno ispuniti kako bi se datoteke otključale te obavijest kako je potrebno skinuti Jabber client. Osim .hte datoteke na desktopu se javlja Encrypted.txt datoteka koja sadrži iste informacije. Datoteke su prikazane na slikama niže.
+{{  :racfor_wiki:ransomware:hte.png?nolink&650x290  }}
+{{  :racfor_wiki:ransomware:teks.png?nolink&650x89  }}
+Kada proces jednom izbaci inicijalnu poruku nastavlja se izvršavati u pozadini, no nije zamijećeno da on nastavlja s kriptiranjem sljedećih nekoliko sati. U ovoj varijanti Phobos-a pri ponovnom pokretanju ne dolazi do pokretanja ransomware-a što znači da nije upisan u startup te ga to razlikuje od primjera u prethodnom poglavlju. Prilikom prisilnog zaustavljanja i ponovnog pokretanja izvršne datoteke enkripcija završava puno brže jer program prepoznaje datoteke koje su već enkriptirane Phobos-om i preskače ih.
+Phobos kriptiranim datotekama dodaje ekstenziju .phobos, a osim toga novo ime se sastoji od originalnog naziva datoteke i ekstenzije, ključne riječi ID i identifikacijskog broja programa te mail adrese napadača (vidljivo na slici niže). Ukoliko pogledamo unutar datoteka vidjet ćemo kako sve kriptirane datoteke u istom pokretanju ransomware-a sadrže identičan zadnji 141 bajt. Od toga su 3 null bajta koja odvajaju kriptiranu poruku od tog završnog dijela, 129 bajta koji vjerojatno sadrže enkripcijski ključ i odvojena su s 3 null bajta od završne ključne riječi od 6 bajta koja za ovaj primjer Phobosa glasi SKYS28 (na slici niže). Također pri višestrukom pokretanju Phobos-a, dio koji sadrži enkripcijski ključ se mijenja, ali sve datoteke enkriptirane u istom izvršavanju imaju taj dio identičan.
+{{  :racfor_wiki:ransomware:zavr.png?nolink&650x477  }}
+Datoteke veće od 2 MB se ne kriptiraju cijele već samo djelomično pa u njima imamo dijelove koji nisu kriptirani već su sadržaj originalne datoteke. Vidljivo kako nule od početka i dalje ostaju nule u dijelovima datoteke.
+{{  :racfor_wiki:ransomware:vel1.png?nolink&650x346  }}
+Također, takve velike datoteke imaju 4 bajta koja odvajaju ključnu riječ (SKYS28) različite od null što ih razlikuje od manjih datoteka.
+{{  :racfor_wiki:ransomware:vel2.png?nolink&623x170  }}
+===== Zaključak =====
+Ransomware-i su zloćudni programi koji predstavljaju jednu od najvećih prijeti računalnoj sigurnosti i podacima. Njihov je cilj ucijeniti ili prijetiti žrtvi i na taj način ostvariti financijsku korist. Phobos ransomware, koji je obrađen u ovom radu, pripada u skupinu enkriptirajućih ransomware-a. Phobos pokretanjem na računalu enkriptira određene datoteke (sve koje nisu neophodne za rad sustava) i žrtvi prikaže ransom note u kojem je obavijest o enkripciji, podaci o napadaču i upute za plaćanje. Phobos je specifičan jer može raditi bez internetske veze što ukazuje da je enkripcijski ključ upisan u izvršnoj datoteci. Postoji više različitih verzija Phobosa koje imaju svoje specifičnosti što je potvrđeno usporedbom provedene simulacije s primjerom MalwareBytes-a. Simulacija je provedena u virtualnom okruženju na operacijskom sustavu Windows 10. Pokretanjem Phobosa otvara se nekoliko dretvi koje imaju zadaću da enkripcija uspije (da ne bude spriječena). Nakon 10-ak sekundi Phobos postaje pozadinski proces i enkriptira datoteke. Enkriptirane datoteke imaju novi naziv te ekstenziju .phobos. Enkripcija je trajala nešto više od 30 minuta te je nakon toga prikazana ransom note. Phobos se nastavio izvoditi u pozadini no nije uočeno da nastavlja s kriptiranjem, kao ni pri ponovnom pokretanju sustava. Novo pokretanje ransomware-a rezultira kriptiranjem nekriptiranih datoteka (kriptirane se preskaču) i novom ransom note. Phobos je vrlo opasan ransomware te je otključavanje datoteka bez plaćanja gotovo nemoguće. Kako bi se zaštitili od Phobos-a potrebno je često raditi pričuvne kopije na vanjskom disku ili udaljenom serveru i održavati računalo sigurnim.
 ===== Literatura =====

racfor_wiki/ransomware/analiza_phobos_ransomware-a.1578601938.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)