| Starije izmjene na obje strane
Starija izmjena
Novija izmjena
|
Starija izmjena
|
racfor_wiki:ransomware:bad_rabbit [2020/01/09 17:08]
tkrvavica [Širenje Bad Rabbit ransomware napada] |
racfor_wiki:ransomware:bad_rabbit [2024/12/05 12:24] (trenutno)
|
| ====== Bad Rabbit ransomware napad ====== | ====== Bad Rabbit ransomware napad ====== |
| |
| ===== Sažetak ===== | ===== Sažetak ===== |
| |
| <font 16px/inherit;;inherit;;inherit>Keywords:** //ransomware//, //malware//, Bad Rabbit**</font> | <font 16px/inherit;;inherit;;inherit>Keywords:** //ransomware//, //malware//, Bad Rabbit**</font> |
| |
| |
| ===== Uvod ===== | ===== Uvod ===== |
| |
| <font 16px/Arial,sans-serif;;inherit;;inherit>Prethodno navedeni podatci ukazuju na problema sve učestalijih //ransomware //napada. Osnovni problem kod //ransomware //napada je taj što često zahvaća žrtve koje se ne znaju zaštiti od ovakvih napada. Također //ransomware //napadi postaju sve složeniji i lukaviji. U ovom seminarskom radu biti će objašnjeno što je to //ransomware//, kako se širi i kako se od njega zaštiti. Također biti će analiziran jedan konkretan tip ransomware napada koji se zove Bad Rabbit //ransomware //napad.</font> | <font 16px/Arial,sans-serif;;inherit;;inherit>Prethodno navedeni podatci ukazuju na problema sve učestalijih //ransomware //napada. Osnovni problem kod //ransomware //napada je taj što često zahvaća žrtve koje se ne znaju zaštiti od ovakvih napada. Također //ransomware //napadi postaju sve složeniji i lukaviji. U ovom seminarskom radu biti će objašnjeno što je to //ransomware//, kako se širi i kako se od njega zaštiti. Također biti će analiziran jedan konkretan tip ransomware napada koji se zove Bad Rabbit //ransomware //napad.</font> |
| |
| |
| ===== Ransomware ===== | ===== Ransomware ===== |
| <font 16px/Arial,sans-serif;;inherit;;inherit>//Ransomware //je naziv za skup zlonamjernih programa čiji je osnovni cilj žrtvi onemogućiti korištenje računala. Postoji širok raspon složenosti //ransomware //napada, od najjednostavnijih //ransomware //napada kod kojih je vrlo jednostavno povratiti podatke, do napada koji u potpunosti onemogućavaju rad na računalu. Danas se //ransomware //napadi najčešće koriste za kripto valutne iznude. Ovaj tip //ransomware //napada sastoji se od 3 glavna koraka. U prvom koraku napadač generira par ključeva i javni ključ postavlja u //malware //koji šalje žrtvi. U drugom koraku žrtva nesvjesno pokrene neželjeni //malware//. Pokretanjem //malware-a //generira se nasumični ključ koji kriptira žrtvine podatke. U trećem koraku napadač nakon što je zaprimio uplatu od žrtve šalje žrtvi ključ koji dešifrira žrtvine podatke. Za uplatu se najčešće koriste kripto valute kao što su Bitcoin ili Ukash. Razlog tome je taj što je teško pratiti tok novca u kripto valutama i na taj način uči u trag napadačima.</font> | <font 16px/Arial,sans-serif;;inherit;;inherit>//Ransomware //je naziv za skup zlonamjernih programa čiji je osnovni cilj žrtvi onemogućiti korištenje računala. Postoji širok raspon složenosti //ransomware //napada, od najjednostavnijih //ransomware //napada kod kojih je vrlo jednostavno povratiti podatke, do napada koji u potpunosti onemogućavaju rad na računalu. Danas se //ransomware //napadi najčešće koriste za kripto valutne iznude. Ovaj tip //ransomware //napada sastoji se od 3 glavna koraka. U prvom koraku napadač generira par ključeva i javni ključ postavlja u //malware //koji šalje žrtvi. U drugom koraku žrtva nesvjesno pokrene neželjeni //malware//. Pokretanjem //malware-a //generira se nasumični ključ koji kriptira žrtvine podatke. U trećem koraku napadač nakon što je zaprimio uplatu od žrtve šalje žrtvi ključ koji dešifrira žrtvine podatke. Za uplatu se najčešće koriste kripto valute kao što su Bitcoin ili Ukash. Razlog tome je taj što je teško pratiti tok novca u kripto valutama i na taj način uči u trag napadačima.</font> |
| |
| <font 16px/Arial,sans-serif;;inherit;;inherit>Prvi poznati //ransomware //napad dogodio se 1989. godine. Izveo ga je Joseph Popp, a zvao se AIDS Trojan. Ovaj primitivni //ransomware //sakrio je podatke na tvrdom disku žrtve i kriptirao je samo njihova imena. Žrtvama bi se prikazala poruka u kojoj bi pisalo da je istekla licenca za određeni //software //te se od žrtve zahtijevalo da uplati 189 američkih dolara na račun tvrtke PC Cyborg Corporation.</font> | <font 16px/Arial,sans-serif;;inherit;;inherit>Prvi poznati //ransomware //napad dogodio se 1989. godine. Izveo ga je Joseph Popp, a zvao se AIDS Trojan. Proširio se preko disketa koje su sadržavale upitnik koji je trebao procijeniti rizik od dobivanja AIDS-a.Nakon izvršavanja program je zaključao C particiju diska te je od žrtve zahtijevao da uplati 189 američkih dolara na račun tvrtke PC Cyborg Corporation.</font> |
| |
| <font 16px/Arial,sans-serif;;inherit;;inherit>Sredinom 2006. dolazi do pojave sofisticiranijih //ransomware //napada koji su koristili RSA enkripcijske sheme. Neki od ovih //ransomware //napada su Gpcode, TROJ.RANSOM.A, Archivenus, Krotten, Cryzip, i MayArchive.</font> | <font 16px/Arial,sans-serif;;inherit;;inherit>Sredinom 2006. dolazi do pojave sofisticiranijih //ransomware //napada koji su koristili RSA enkripcijske sheme. Neki od ovih //ransomware //napada su Gpcode, TROJ.RANSOM.A, Archivenus, Krotten, Cryzip, i MayArchive.</font> |
| |
| <font 16px/Arial,sans-serif;;inherit;;inherit>Nakon toga pojavio se niz sličnih //ransomware //napada. Neki najpoznatiji //ransomware //napadi su Bad Rabbit, Cerber, Dharma, GandCrab, Jigsaw, Katyusha, LockerGoga, PewCrypt, Ryuk i SamSam.</font> | <font 16px/Arial,sans-serif;;inherit;;inherit>Nakon toga pojavio se niz sličnih //ransomware //napada. Neki najpoznatiji //ransomware //napadi su Bad Rabbit, Cerber, Dharma, GandCrab, Jigsaw, Katyusha, LockerGoga, PewCrypt, Ryuk i SamSam.</font> |
| |
| |
| ===== Bad Rabbit ransomware napad ===== | ===== Bad Rabbit ransomware napad ===== |
| |
| **Slika 1.** Bad Rabbit ransomware poruka | **Slika 1.** Bad Rabbit ransomware poruka |
| |
| |
| ==== Širenje Bad Rabbit ransomware napada ==== | ==== Širenje Bad Rabbit ransomware napada ==== |
| |
| <font 16px/inherit;;inherit;;inherit>Bad Rabbit //ransomware// širi se preko //drive-by// napada. Kada korisnik posjeti legitimnu stranicu u pozadini se preuzima //malware//. //Malware //je predstavljan ako Adobe Flash nadogradnja. Nakon preuzimanja korisnik mora ručno pokrenuti maliciozni program koji kriptira podatke na računalu. Nakon što je maliciozni program zarazio računalo, operacijski sustav se ponovno poreče i pojavljuje se poruka na slici 2. Da bi se računalo dekriptiralo napadači od žrtve zahtijevaju uplatu u iznosu od 0.05 Bitcoina što iznosi približno 280 američkih dolara.</font> | <font 16px/inherit;;inherit;;inherit>Bad Rabbit //ransomware// širi se preko //drive-by// napada. Kada korisnik posjeti legitimnu stranicu u pozadini se preuzima //malware//. //Malware //je predstavljan ako Adobe Flash nadogradnja. Nakon preuzimanja korisnik mora ručno pokrenuti maliciozni program koji kriptira podatke na računalu. Nakon što je maliciozni program zarazio računalo, operacijski sustav se ponovno poreče i pojavljuje se poruka na slici 1. Da bi se računalo dekriptiralo napadači od žrtve zahtijevaju uplatu u iznosu od 0.05 Bitcoina što iznosi približno 280 američkih dolara, tj. izraženo u kunama to iznosi otprilike 1900 HRK.</font> |
| |
| |
| ==== Analiza Bad Rabbit ransomware-a ==== | ==== Analiza Bad Rabbit ransomware-a ==== |
| |
| <font 16px/inherit;;inherit;;inherit>Ransomware dropper se distribuira sa hxxp:1dnscontrol[.]com/flash_install.php. Nakon toga preuzima se datoteka pod imenom install_flash_player.exe koja se mora ručno pokrenuti. Da bi ransomware mogao zaraziti računalo, preko standardnog UAC prompt-a traži administrativne ovlasti. Ukoliko žrtva dodijeli programu administrativne ovlasti spremiti će se maliciozni program kao C:Windowsinfpub.dat. Nakon toga program će se pokrenuti. Na slici 2 prikazan je pseudokod instalacije malicioznog programa.</font> | <font 16px/inherit;;inherit;;inherit>//Ransomware dropper //se distribuira sa hxxp:1dnscontrol[.]com/flash_install.php. Nakon toga preuzima se datoteka pod imenom install_flash_player.exe koja se mora ručno pokrenuti. Da bi //ransomware //mogao zaraziti računalo, preko standardnog UAC //prompt//-a traži administrativne ovlasti. Ukoliko žrtva dodijeli programu administrativne ovlasti spremiti će se maliciozni program kao C:Windowsinfpub.dat. Nakon toga program će se pokrenuti. Na slici 2 prikazan je pseudokod instalacije malicioznog programa.</font> |
| |
| {{https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2017/10/07170237/bad_rabbit_ransomware_03.png?nolink&600x400}} | {{https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2017/10/07170237/bad_rabbit_ransomware_03.png?nolink&600x400}} |
| **Slika 3.** Pseudokod instalacije i pokretanja maliciozne datoteke dispci.exe | **Slika 3.** Pseudokod instalacije i pokretanja maliciozne datoteke dispci.exe |
| |
| <font 16px/Arial,sans-serif;;inherit;;inherit>Maliciozna datoteka dispci.exe ponaša se kao klasičan enkripcijski ransomware. Ona nalazi žrtvine datoteke pomoću ugrađene liste ekstenzija i kriptira ih pomoću napadačevog javnog RSA-2048 ključa. Na slici 4 prikazan je napadačev javni RSA ključ (lijevo) i lista ekstenzija (desno).</font> | <font 16px/Arial,sans-serif;;inherit;;inherit>Maliciozna datoteka dispci.exe ponaša se kao klasičan enkripcijski //ransomware//. Ona nalazi žrtvine datoteke pomoću ugrađene liste ekstenzija i kriptira ih pomoću napadačevog javnog RSA-2048 ključa. Na slici 4 prikazan je napadačev javni RSA ključ-2048 (lijevo) i lista ekstenzija (desno).</font> |
| |
| {{https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2017/10/07170224/bad_rabbit_ransomware_06.png?nolink&600x248}} | {{https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2017/10/07170224/bad_rabbit_ransomware_06.png?nolink&600x248}} |
| **Slika 4.** Napadačev javni RSA-2048 ključ (lijevo) i lista ekstenzija (desno) | **Slika 4.** Napadačev javni RSA-2048 ključ (lijevo) i lista ekstenzija (desno) |
| |
| <font 16px/inherit;;inherit;;inherit>Izvršna datoteka dispci.exe je zapravo bazirana na kodu napisanom za program DiskCryptor. Dodatni zadatak ove izvršne datoteke je taj da ona osim enkripcije instalira modificiranu verziju bootloader-a te na taj način onemogućava standardni boot-up proces. Zanimljiv detalj vezan uz ovaj ransomware prikazan je na slici 5. Imena nekih stringova korištenih u ovom kodu su uzeta iz popularne televizijske serije Igra prijestolja.</font> | <font 16px/inherit;;inherit;;inherit>Izvršna datoteka dispci.exe je zapravo bazirana na kodu napisanom za program DiskCryptor. Dodatni zadatak ove izvršne datoteke je taj da ona osim enkripcije instalira modificiranu verziju //bootloader//-a te na taj način onemogućava standardni //boot-up// proces. Zanimljiv detalj vezan uz ovaj //ransomware //prikazan je na slici 5. Imena nekih stringova korištenih u ovom kodu su uzeta iz popularne televizijske serije Igra prijestolja.</font> |
| |
| {{https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2017/10/07170220/bad_rabbit_ransomware_07.png?nolink&600x426}} | {{https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2017/10/07170220/bad_rabbit_ransomware_07.png?nolink&600x426}} |
| |
| **Slika 5.** Imena stringova preuzeta iz popularne televizijske serije Igra prijestolja | **Slika 5.** Imena stringova preuzeta iz popularne televizijske serije Igra prijestolja |
| |
| |
| ===== Kako se zaštititi od Bad Rabbit ransomware napada? ===== | ===== Kako se zaštititi od Bad Rabbit ransomware napada? ===== |
| |
| <font 16px/inherit;;inherit;;inherit>Ne postoji jedinstven način zaštite od ovog tipa ransomware napada, ali postoje savjeti koju mogu pomoći. Najbolji način zaštite je osigurati da je operacijski sustav ažuriran na najnoviju inačicu. Cyber kriminalci često iskorištavaju poznate mane u operacijskim sustavima koje se svakom novom inačicom operacijskog sustava popravljaju. Drugi dobar savjet je redovito napraviti sigurnosnu kopiju podataka. Na taj način ukoliko i dođe do zaraze ovim tipom ransomware-a, podatci će ostati očuvani. Treći savjet je osigurati svoje računalo dobrim sigurnosnim sustavom koji može prepoznati maliciozne programe ovog tipa i upozoriti korisnika na njihovu prisutnosti. Četvrti i posljednji savjet je educirati se o ovakvim napadima i ne preuzimati nepoznati sadržaj s interneta.</font> | <font 16px/inherit;;inherit;;inherit>Ne postoji jedinstven način zaštite od ovog tipa //ransomware //napada, ali postoje savjeti koju mogu pomoći. Najbolji način zaštite je osigurati da je operacijski sustav ažuriran na najnoviju inačicu. Cyber kriminalci često iskorištavaju poznate mane u operacijskim sustavima koje se svakom novom inačicom operacijskog sustava popravljaju. Drugi dobar savjet je redovito napraviti sigurnosnu kopiju podataka. Na taj način ukoliko i dođe do zaraze ovim tipom //ransomware//-a, podatci će ostati očuvani. Treći savjet je osigurati svoje računalo dobrim sigurnosnim sustavom koji može prepoznati maliciozne programe ovog tipa i upozoriti korisnika na njihovu prisutnosti. Četvrti i posljednji savjet je educirati se o ovakvim napadima i ne preuzimati nepoznati sadržaj s interneta.</font> |
| |
| |
| ===== Zaključak ===== | ===== Zaključak ===== |
| |
| Uredi | <font 16px/inherit;;inherit;;inherit>Ransomware napadi sve su češća pojava u današnjem svijetu. Uz povećanje njihovog broja raste i stupanj njihove složenosti. Ovaj seminarski rad napisan u okviru predmeta Računalna forenzika na Fakultetu elektrotehike i računarstva služi da bi se osoba koja čita ovaj rad mogla upoznati s pojmom //ransomware//-a te jednim programom iz ove skupine zločudnih programa zvanim Bad Rabbit. Ovaj seminarski rad također nudi određene savjete kako se zaštitit od ovakvih napada.</font> |
| | |
| Uredi | |
| |
| |
| - <font 16px/Arial,sans-serif;;inherit;;inherit>https://www.knowbe4.com/bad-rabbit-ransomware</font> | - <font 16px/Arial,sans-serif;;inherit;;inherit>https://www.knowbe4.com/bad-rabbit-ransomware</font> |
| - <font 16px/Arial,sans-serif;;inherit;;inherit>https://www.kaspersky.com/blog/bad-rabbit-ransomware/19887/</font> | - <font 16px/Arial,sans-serif;;inherit;;inherit>https://www.kaspersky.com/blog/bad-rabbit-ransomware/19887/</font> |
| |
| |
| ===== Chapter 6 ===== | |
| |
| Uredi | |
| |
| Uredi | |
| |
| |
