Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:ransomware:analiza_phobos_ransomware-a [2020/01/09 23:59]
igredicak [Sažetak] 		racfor_wiki:ransomware:analiza_phobos_ransomware-a [2024/12/05 12:24] (trenutno)
Redak 6: Redak 6:
 ===== Sažetak ===== ===== Sažetak =====
  
-U ovom radu je dan kratki pregled povijesnog razvoja ransomware-a te je objašnjeno koja je osnovna ideja. Nabrojane su i ukratko opisane tri velike skupine ransomware-a (scareware, screen locker i encrypting ransomware), načini njihovog širenja i opasnost za žrtvu i datoteke. Detaljnije je opisan Phobos ransomware koji se pojavio krajem 2018. godine, a koji se najviše širi zahvaljujući sigurnosnim propustim RDP-a. Opisan je uz pomoć analize koju je proveo MalwareBytes kako bi se dao uvid u princip enkripcije i rada Phobos-a. Nakon toga je opisana vlastita provedena simulacija u VirtualBox-u na operacijskom sustavu Windows 10 gdje je sustav zaražen Phobos ransomware-om. Uz pomoć alata Everything praćene su promjene na datotekama kao što je ime, brisanje pričuvnih kopija i vremena u kojem se enkripcija događala. Uz pomoć Task managera su praćene dretve koje otvara i kada se pokreće te što se događa nakon završetka enkripcije te nakon ponovnog pokretanja sustava. Krajnji rezultat su enkriptirane datoteke koje imaju novo ime koje sadrži ime originale datoteke, ID napadača i mail adresu te novu ekstenziju .phobos. Simulacija je uspoređena s primjerom iz literature te su otkrivene određene specifičnosti koje imaju različite verzije Phobos-a kao što je ekstenzija, završna ključna riječ i općenito izvođenje.+U ovom radu je dan kratki pregled povijesnog razvoja ransomware-a te je objašnjeno koja je osnovna ideja. Nabrojane su i ukratko opisane tri velike skupine ransomware-a (scareware, screen locker i encrypting ransomware), načini njihovog širenja i opasnost za žrtvu i datoteke. Detaljnije je opisan Phobos ransomware koji se pojavio krajem 2018. godine, a koji se najviše širi zahvaljujući sigurnosnim propustim RDP-a. Opisan je uz pomoć analize koju je proveo MalwareBytes kako bi se dao uvid u princip enkripcije i rada Phobos-a. Nakon toga je opisana vlastita provedena simulacija u VirtualBox-u na operacijskom sustavu Windows 10 gdje je sustav zaražen Phobos ransomware-om. Uz pomoć alata Everything praćene su promjene na datotekama kao što je ime, brisanje pričuvnih kopija i vremena u kojem se enkripcija događala. Uz pomoć Task managera su praćene dretve koje otvara i kada se pokreće te što se događa nakon završetka enkripcije te nakon ponovnog pokretanja sustava. Krajnji rezultat su enkriptirane datoteke koje imaju novo ime koje sadrži ime originale datoteke, ID napadača i mail adresu te novu ekstenziju .phobos. Otkrivene su specifičnosti u enkriptiranim datotekama ovisno o veličini i vremenu kad su enkriptirane. Simulacija je uspoređena s primjerom iz literature te su otkrivene određene specifičnosti koje imaju različite verzije Phobos-a kao što je ekstenzija, završna ključna riječ i općenito izvođenje.
  
 Ključne riječi: **ransomware**; **Phobos**; simulacija; analiza; RDP; malware Ključne riječi: **ransomware**; **Phobos**; simulacija; analiza; RDP; malware
Redak 108: Redak 108:
 {{  :racfor_wiki:ransomware:simuac.png?nolink&460x402  }} {{  :racfor_wiki:ransomware:simuac.png?nolink&460x402  }}
  
-Potvrdom na navedenom prozoru se pokreće izvršna datoteka i otvara se prozor prikazan niže na slici.+Potvrdom na navedenom prozoru u 1:34 se pokreće izvršna datoteka i otvara se prozor prikazan niže na slici.
  
-{{  :racfor_wiki:ransomware:simcmd.png?nolink&650x339  }}+{{  :racfor_wiki:ransomware:simcmd2.png?nolink&650x336  }}
  
 Kao i u primjeru u prethodnom poglavlju vidljivo je da program stvara svoju kopiju (koja ima veće ovlasti) i izvršava neke komande kroz CMD (na slici ispod). Kao i u primjeru u prethodnom poglavlju vidljivo je da program stvara svoju kopiju (koja ima veće ovlasti) i izvršava neke komande kroz CMD (na slici ispod).
Redak 116: Redak 116:
 {{  :racfor_wiki:ransomware:simdrtv.png?nolink&645x77  }} {{  :racfor_wiki:ransomware:simdrtv.png?nolink&645x77  }}
  
-Nakon nekoliko sekundi komandni prozor se zatvara, a proces prelazi u pozadinske procese i tada započinje kriptiranje. Tijekom enkripcije isključena je internetska veza i proces je nastavio s enkripcijom što dovodi do zaključka kako je enkripcijski ključ upisan u izvršnu datoteku (uspješan napad je bio i bez internetske veze od samog početka).+Pokrenuti zloćudni proces ima PID 952 (slika ispod). 
 + 
 +{{  :racfor_wiki:ransomware:pid.png?nolink&465x480  }} 
 + 
 +Nakon nekoliko minuta (u 1:36) komandni prozor se zatvara, a proces prelazi u pozadinske procese i tada započinje kriptiranje. Tijekom enkripcije isključena je internetska veza i proces je nastavio s enkripcijom što dovodi do zaključka kako je enkripcijski ključ upisan u izvršnu datoteku (uspješan napad je bio i bez internetske veze od samog početka).
  
 {{  :racfor_wiki:ransomware:simbkg.png?nolink&647x202  }} {{  :racfor_wiki:ransomware:simbkg.png?nolink&647x202  }}
  
-Kada kriptiranje završotvara se .hte datoteka s porukom o napadaču i detaljima o uplati koju je potrebno ispuniti kako bi se datoteke otključale te obavijest kako je potrebno skinuti Jabber client. Osim .hte datoteke na desktopu se javlja Encrypted.txt datoteka koja sadrži iste informacije. Datoteke su prikazane na slikama niže.+Prva datoteka je kriptirana u 1:37 i to je bila stoppedEvent.js. 
 + 
 +Kada kriptiranje završava (u 2:11) otvara se .hte datoteka s porukom o napadaču i detaljima o uplati koju je potrebno ispuniti kako bi se datoteke otključale te obavijest kako je potrebno skinuti Jabber client. Osim .hte datoteke na desktopu se javlja Encrypted.txt datoteka koja sadrži iste informacije. Datoteke su prikazane na slikama niže.
  
 {{  :racfor_wiki:ransomware:hte.png?nolink&650x290  }} {{  :racfor_wiki:ransomware:hte.png?nolink&650x290  }}
Redak 128: Redak 134:
 Kada proces jednom izbaci inicijalnu poruku nastavlja se izvršavati u pozadini, no nije zamijećeno da on nastavlja s kriptiranjem sljedećih nekoliko sati. U ovoj varijanti Phobos-a pri ponovnom pokretanju ne dolazi do pokretanja ransomware-a što znači da nije upisan u startup te ga to razlikuje od primjera u prethodnom poglavlju. Prilikom prisilnog zaustavljanja i ponovnog pokretanja izvršne datoteke enkripcija završava puno brže jer program prepoznaje datoteke koje su već enkriptirane Phobos-om i preskače ih. Kada proces jednom izbaci inicijalnu poruku nastavlja se izvršavati u pozadini, no nije zamijećeno da on nastavlja s kriptiranjem sljedećih nekoliko sati. U ovoj varijanti Phobos-a pri ponovnom pokretanju ne dolazi do pokretanja ransomware-a što znači da nije upisan u startup te ga to razlikuje od primjera u prethodnom poglavlju. Prilikom prisilnog zaustavljanja i ponovnog pokretanja izvršne datoteke enkripcija završava puno brže jer program prepoznaje datoteke koje su već enkriptirane Phobos-om i preskače ih.
  
-Phobos kriptiranim datotekama dodaje ekstenziju .phobos, a osim toga novo ime se sastoji od originalnog naziva datoteke i ekstenzije, ključne riječi ID i identifikacijskog broja programa te mail adrese napadača (vidljivo na slici niže). Ukoliko pogledamo unutar datoteka vidjet ćemo kako sve kriptirane datoteke u istom pokretanju ransomware-a sadrže identičan zadnji 141 bajt. Od toga su 3 null bajta koja odvajaju kriptiranu poruku od tog završnog dijela, 129 bajta koji vjerojatno sadrže enkripcijski ključ i odvojena su s 3 null bajta od završne ključne riječi od 6 bajta koja za ovaj primjer Phobosa glasi SKYS28 (na slici niže).+Phobos kriptiranim datotekama dodaje ekstenziju .phobos, a osim toga novo ime se sastoji od originalnog naziva datoteke i ekstenzije, ključne riječi ID i identifikacijskog broja programa te mail adrese napadača (vidljivo na slici niže). Ukoliko pogledamo unutar datoteka vidjet ćemo kako sve kriptirane datoteke u istom pokretanju ransomware-a sadrže identičan zadnji 141 bajt. Od toga su 3 null bajta koja odvajaju kriptiranu poruku od tog završnog dijela, 129 bajta koji vjerojatno sadrže enkripcijski ključ i odvojena su s 3 null bajta od završne ključne riječi od 6 bajta koja za ovaj primjer Phobosa glasi SKYS28 (na slici niže). Također pri višestrukom pokretanju Phobos-a, dio koji sadrži enkripcijski ključ se mijenja, ali sve datoteke enkriptirane u istom izvršavanju imaju taj dio identičan.
  
 {{  :racfor_wiki:ransomware:zavr.png?nolink&650x477  }} {{  :racfor_wiki:ransomware:zavr.png?nolink&650x477  }}
Redak 143: Redak 149:
 ===== Zaključak ===== ===== Zaključak =====
  
-Ransomware-i su zloćudni programi koji predstavljaju jednu od najvećih prijeti računalnoj sigurnosti i podacima. Njihov je cilj ucijeniti ili prijetiti žrtvi i na taj način ostvariti financijsku korist. Phobos ransomware, koji je obrađen u ovom radu, pripada u skupinu enkriptirajućih ransomware-a. Phobos pokretanjem na računalu enkriptira određene datoteke (sve koje nisu neophodne za rad sustava) i žrtvi prikaže ransom note u kojem je obavijest o enkripciji, podaci o napadaču i upute za plaćanje. Postoji više različitih verzija Phobosa koje imaju svoje specifičnosti što je potvrđeno usporedbom provedene simulacije s primjerom MalwareBytes-a. Simulacija je provedena u virtualnom okruženju na operacijskom sustavu Windows 10. Pokretanjem Phobosa otvara se nekoliko dretvi koje imaju zadaću da enkripcija uspije (da ne bude spriječena). Nakon 10-ak sekundi Phobos postaje pozadinski proces i enkriptira datoteke. Enkriptirane datoteke imaju novi naziv te ekstenziju .phobos. Enkripcija je trajala nešto više od 30 minuta te je nakon toga prikazana ransom note. Phobos je vrlo opasan ransomware te je otključavanje datoteka bez plaćanja gotovo nemoguće. Kako bi se zaštitili od Phobos-a potrebno je često raditi pričuvne kopije na vanjskom disku ili udaljenom serveru i održavati računalo sigurnim.+Ransomware-i su zloćudni programi koji predstavljaju jednu od najvećih prijeti računalnoj sigurnosti i podacima. Njihov je cilj ucijeniti ili prijetiti žrtvi i na taj način ostvariti financijsku korist. Phobos ransomware, koji je obrađen u ovom radu, pripada u skupinu enkriptirajućih ransomware-a. Phobos pokretanjem na računalu enkriptira određene datoteke (sve koje nisu neophodne za rad sustava) i žrtvi prikaže ransom note u kojem je obavijest o enkripciji, podaci o napadaču i upute za plaćanje. Phobos je specifičan jer može raditi bez internetske veze što ukazuje da je enkripcijski ključ upisan u izvršnoj datoteci. Postoji više različitih verzija Phobosa koje imaju svoje specifičnosti što je potvrđeno usporedbom provedene simulacije s primjerom MalwareBytes-a. Simulacija je provedena u virtualnom okruženju na operacijskom sustavu Windows 10. Pokretanjem Phobosa otvara se nekoliko dretvi koje imaju zadaću da enkripcija uspije (da ne bude spriječena). Nakon 10-ak sekundi Phobos postaje pozadinski proces i enkriptira datoteke. Enkriptirane datoteke imaju novi naziv te ekstenziju .phobos. Enkripcija je trajala nešto više od 30 minuta te je nakon toga prikazana ransom note. Phobos se nastavio izvoditi u pozadini no nije uočeno da nastavlja s kriptiranjem, kao ni pri ponovnom pokretanju sustava. Novo pokretanje ransomware-a rezultira kriptiranjem nekriptiranih datoteka (kriptirane se preskaču) i novom ransom note. Phobos je vrlo opasan ransomware te je otključavanje datoteka bez plaćanja gotovo nemoguće. Kako bi se zaštitili od Phobos-a potrebno je često raditi pričuvne kopije na vanjskom disku ili udaljenom serveru i održavati računalo sigurnim.
 ===== Literatura ===== ===== Literatura =====
  
racfor_wiki/ransomware/analiza_phobos_ransomware-a.1578614351.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0