Razlike

Slijede razlike između dviju inačica stranice.

--- racfor_wiki:seminari2025:kp51909 [2026/01/22 22:35]
Kristina Paleka [Uvod]
+++ racfor_wiki:seminari2025:kp51909 [2026/01/22 23:00] (trenutno)
Kristina Paleka [Forenzička analiza WannaCry napada (EternalBlue exploit)]
@@ Redak 1: / Redak 1: @@
-====== Forenzička analiza WannaCry napada (EternalBlue exploit) ======
+====== Forenzička analiza WannaCry napada ======
 Seminarski rad iz kolegija Računalna forenzika, akademske godine 2025./26
 ====== Sažetak ======
@@ Redak 13: / Redak 13: @@
 {{ :racfor_wiki:seminari2025:wana_decrypt0r_screenshot.png?400 |}}
-__Slika 1. Snimka zaslona poruke s zahtjevom za otkupninu ostavljene na zaraženom sustavu__
+__Slika 1. Snimka zaslona poruke s zahtjevom za otkupninu ostavljene na zaraženom sustavu__ [[https://en.wikipedia.org/wiki/WannaCry_ransomware_attack|WannaCry ransomware attack]]
 ====== Mrežno ponašanje ======
@@ Redak 34: / Redak 34: @@
 {{ :racfor_wiki:seminari2025:infectionflow.png?400 |}}
-__Slika 2. Dijagram toka infekcije__
+__Slika 2. Dijagram toka infekcije__ [[https://icact.org/upload/2018/0708/20180708_finalpaper.pdf|[1]]]
 ====== Faze napada ======
@@ Redak 40: / Redak 40: @@
 **Dropper komponenta: mssecsvc.exe i servis mssecsvc2.0**
-Početna faza izvršavanja WannaCryja uključuje komponentu mssecsvc.exe, koja ima ulogu tzv. droppera i mehanizma za mrežno širenje. Ova komponenta odgovorna je za inicijalne provjere okruženja, uključujući kill-switch mehanizam, te za uspostavu mrežne komunikacije putem SMB protokola na portu 445. Tijekom ove faze provodi se aktivno skeniranje mreže i pokušaji kompromitacije drugih sustava.
+Početna faza izvršavanja WannaCryja uključuje komponentu __mssecsvc.exe__, koja ima ulogu tzv. droppera i mehanizma za mrežno širenje. Ova komponenta odgovorna je za inicijalne provjere okruženja, uključujući kill-switch mehanizam, te za uspostavu mrežne komunikacije putem SMB protokola na portu 445. Tijekom ove faze provodi se aktivno skeniranje mreže i pokušaji kompromitacije drugih sustava.
-Ako kill-switch provjera ne rezultira prekidom izvršavanja, mssecsvc.exe pokušava osigurati daljnje djelovanje malwarea kreiranjem Windows servisa naziva mssecsvc2.0. Naziv servisa osmišljen je tako da nalikuje legitimnoj sistemskoj usluzi, čime se otežava njegova identifikacija od strane korisnika ili administratora. Servis se pokreće s povišenim ovlastima i omogućuje trajno izvršavanje koda, kao i daljnju mrežnu propagaciju WannaCryja unutar dostupnog adresnog prostora.
+Ako kill-switch provjera ne rezultira prekidom izvršavanja, //mssecsvc.exe// pokušava osigurati daljnje djelovanje malwarea kreiranjem Windows servisa naziva //mssecsvc2.0//. Naziv servisa osmišljen je tako da nalikuje legitimnoj sistemskoj usluzi, čime se otežava njegova identifikacija od strane korisnika ili administratora. Servis se pokreće s povišenim ovlastima i omogućuje trajno izvršavanje koda, kao i daljnju mrežnu propagaciju WannaCryja unutar dostupnog adresnog prostora.
 {{ :racfor_wiki:seminari2025:flowchart.png?400 |}}
-__Slika 3. Dijagram toka instalacije mssecsvc2.0__
+__Slika 3. Dijagram toka instalacije mssecsvc2.0__ [[https://icact.org/upload/2018/0708/20180708_finalpaper.pdf|[1]]]
 **Glavna ransomware komponenta: tasksche.exe i učitavanje resursa**
-Nakon uspješne inicijalne faze, pokreće se glavna ransomware komponenta tasksche.exe. Ova izvršna datoteka odgovorna je za pripremu i provođenje šifriranja podataka na kompromitiranom sustavu. U toj fazi tasksche.exe iz vlastite resursne sekcije izdvaja komprimirani skup podataka, često označen kao XIA resurs, koji sadrži više pomoćnih WannaCry komponenti.
+Nakon uspješne inicijalne faze, pokreće se glavna ransomware komponenta //tasksche.exe//. Ova izvršna datoteka odgovorna je za pripremu i provođenje šifriranja podataka na kompromitiranom sustavu. U toj fazi //tasksche.exe// iz vlastite resursne sekcije izdvaja komprimirani skup podataka, često označen kao //XIA// resurs, koji sadrži više pomoćnih WannaCry komponenti.
-Tijekom učitavanja resursa, tasksche.exe generira jedinstveni identifikator direktorija u koji se izdvajaju datoteke, čime se smanjuje mogućnost jednostavne detekcije prema statičkim nazivima. Program zatim provjerava ulazne parametre prilikom pokretanja, pri čemu određeni parametri (npr. način instalacije) utječu na daljnje ponašanje. Nakon izdvajanja resursa, provodi se priprema kriptografskih komponenti, uključujući dekriptiranje datoteke t.wnry, koja sadrži modul za šifriranje datoteka.
+Tijekom učitavanja resursa, //tasksche.exe// generira jedinstveni identifikator direktorija u koji se izdvajaju datoteke, čime se smanjuje mogućnost jednostavne detekcije prema statičkim nazivima. Program zatim provjerava ulazne parametre prilikom pokretanja, pri čemu određeni parametri (npr. način instalacije) utječu na daljnje ponašanje. Nakon izdvajanja resursa, provodi se priprema kriptografskih komponenti, uključujući dekriptiranje datoteke //t.wnry//, koja sadrži modul za šifriranje datoteka.
 {{ :racfor_wiki:seminari2025:mainransomware.png?400 |}}
-__Slika 4. Dijagram toka ransomwarea__
+__Slika 4. Dijagram toka ransomwarea__ [[https://icact.org/upload/2018/0708/20180708_finalpaper.pdf|[1]]]
 **Perzistencija i promjene sustavnih postavki**
 Kako bi osigurao dugotrajan boravak na kompromitiranom sustavu, WannaCry provodi niz promjena koje omogućuju perzistenciju. Među njima je stvaranje unosa u Windows Registryju koji omogućuju automatsko pokretanje zlonamjernih komponenti pri svakom podizanju sustava. Dodatno, direktoriji u koje su smještene WannaCry datoteke označavaju se skrivenim atributima, čime se smanjuje vjerojatnost da će ih korisnik uočiti tijekom uobičajenog rada.
-Uočene su i promjene dozvola pristupa datotekama i direktorijima, pri čemu se dodjeljuju široke ovlasti kako bi se spriječile greške tijekom izvršavanja i šifriranja. Uz glavnu komponentu tasksche.exe, pokreću se i pomoćni procesi, poput taskdl.exe, koji sudjeluju u dodatnim fazama napada. Premještanjem binarnih datoteka u sistemske direktorije, kao što je ProgramData, WannaCry dodatno prikriva svoju prisutnost i otežava naknadnu analizu i oporavak sustava.
+Uočene su i promjene dozvola pristupa datotekama i direktorijima, pri čemu se dodjeljuju široke ovlasti kako bi se spriječile greške tijekom izvršavanja i šifriranja. Uz glavnu komponentu //tasksche.exe//, pokreću se i pomoćni procesi, poput //taskdl.exe//, koji sudjeluju u dodatnim fazama napada. Premještanjem binarnih datoteka u sistemske direktorije, kao što je //ProgramData//, WannaCry dodatno prikriva svoju prisutnost i otežava naknadnu analizu i oporavak sustava.
 ====== Kriptografski mehanizmi i artefakti šifriranja ======
@@ Redak 67: / Redak 67: @@
 WannaCry u provedbi šifriranja koristi Microsoft CryptoAPI za generiranje, pohranu i upravljanje kriptografskim ključevima. Ransomware primjenjuje hibridni kriptografski model koji kombinira simetrične i asimetrične algoritme s ciljem postizanja učinkovitog i sigurnog šifriranja podataka. Stvarni sadržaj korisničkih datoteka šifrira se simetričnim algoritmom AES, pri čemu se za svaku datoteku generira zaseban AES ključ. Ti ključevi zatim se dodatno štite asimetričnom kriptografijom temeljenom na RSA algoritmu.
-Nakon pokretanja glavne ransomware komponente, WannaCry koristi unaprijed ugrađeni glavni RSA javni ključ, zajednički za sve žrtve unutar iste kampanje. Na kompromitiranom sustavu generira se dodatni, jedinstveni RSA par ključeva koji služi kao podključ za konkretnu instancu infekcije. Javni dio tog para pohranjuje se u datoteku s nastavkom .pky, dok se privatni dio šifrira glavnim RSA javnim ključem i sprema u datoteku .eky. Tijekom procesa šifriranja, svaki AES ključ korišten za šifriranje pojedine datoteke dodatno se šifrira pomoću javnog RSA ključa iz .pky datoteke te se, zajedno s pripadajućim metapodacima, zapisuje u zaglavlje šifrirane datoteke, koje započinje prepoznatljivim nizom znakova „WANACRY!“. Ovakva struktura onemogućuje žrtvi samostalan oporavak podataka bez posjedovanja odgovarajućeg privatnog RSA ključa.
+Nakon pokretanja glavne ransomware komponente, WannaCry koristi unaprijed ugrađeni glavni RSA javni ključ, zajednički za sve žrtve unutar iste kampanje. Na kompromitiranom sustavu generira se dodatni, jedinstveni RSA par ključeva koji služi kao podključ za konkretnu instancu infekcije. Javni dio tog para pohranjuje se u datoteku s nastavkom .pky, dok se privatni dio šifrira glavnim RSA javnim ključem i sprema u datoteku .eky. Tijekom procesa šifriranja, svaki AES ključ korišten za šifriranje pojedine datoteke dodatno se šifrira pomoću javnog RSA ključa iz //.pky// datoteke te se, zajedno s pripadajućim metapodacima, zapisuje u zaglavlje šifrirane datoteke, koje započinje prepoznatljivim nizom znakova //„WANACRY!“//. Ovakva struktura onemogućuje žrtvi samostalan oporavak podataka bez posjedovanja odgovarajućeg privatnog RSA ključa.
 {{ :racfor_wiki:seminari2025:keyencrypt.png?400 |}}
-__Slika 5. Tok šifriranja i struktura ključa__
+__Slika 5. Tok šifriranja i struktura ključa__ [[https://icact.org/upload/2018/0708/20180708_finalpaper.pdf|[1]]]
 Iako WannaCry nakon dovršetka šifriranja briše privatne kriptografske ključeve s diska, forenzička analiza radne memorije pokazuje da se određeni kriptografski materijali, uključujući RSA proste brojeve, mogu privremeno zadržati u memoriji sve dok ne dođe do ponovnog pokretanja sustava. Ova implementacijska slabost omogućila je razvoj alata za djelomični oporavak podataka u ranim fazama infekcije.
-Proces šifriranja ostavlja iza sebe jasno prepoznatljive datotečne i direktorijske artefakte. WannaCry u radnom direktoriju i instalacijskim mapama stvara niz datoteka s nastavkom .wnry, od kojih svaka ima specifičnu funkciju. Datoteka b.wnry sadrži upute i grafičke resurse za prikaz poruke o otkupnini, r.wnry pohranjuje tekstualni sadržaj ransom note poruke, dok c.wnry sadrži podatke povezane s Tor komunikacijom i adresama za uplatu otkupnine. Datoteka s.wnry uključuje Tor komponentu potrebnu za anonimnu komunikaciju s infrastrukturom napadača, dok t.wnry predstavlja dinamičku biblioteku odgovornu za samu funkciju šifriranja. Datoteka u.wnry sadrži komponentu namijenjenu dekripciji, čija je funkcionalnost dostupna isključivo uz valjani ključ. Uz navedene datoteke, u sustavu se pojavljuju i .eky i .pky datoteke povezane s RSA ključevima, kao i dodatne .res datoteke koje sadrže resurse ransomwarea.
+Proces šifriranja ostavlja iza sebe jasno prepoznatljive datotečne i direktorijske artefakte. WannaCry u radnom direktoriju i instalacijskim mapama stvara niz datoteka s nastavkom //.wnry//, od kojih svaka ima specifičnu funkciju. Datoteka //b.wnry// sadrži upute i grafičke resurse za prikaz poruke o otkupnini, //r.wnry// pohranjuje tekstualni sadržaj ransom note poruke, dok //c.wnry// sadrži podatke povezane s Tor komunikacijom i adresama za uplatu otkupnine. Datoteka //s.wnry// uključuje Tor komponentu potrebnu za anonimnu komunikaciju s infrastrukturom napadača, dok //t.wnry// predstavlja dinamičku biblioteku odgovornu za samu funkciju šifriranja. Datoteka __u.wnry__ sadrži komponentu namijenjenu dekripciji, čija je funkcionalnost dostupna isključivo uz valjani ključ. Uz navedene datoteke, u sustavu se pojavljuju i //.eky// i //.pky// datoteke povezane s RSA ključevima, kao i dodatne //.res// datoteke koje sadrže resurse ransomwarea.
 Kako bi dodatno onemogućio oporavak podataka bez plaćanja otkupnine, WannaCry nakon dovršetka šifriranja briše sve postojeće Volume Shadow Copy zapise korištenjem ugrađenih sistemskih naredbi. Budući da se shadow kopije uobičajeno koriste za vraćanje prethodnih verzija datoteka, njihovo uklanjanje značajno smanjuje mogućnost oporavka podataka primjenom standardnih mehanizama operacijskog sustava.
@@ Redak 89: / Redak 89: @@
 {{ :racfor_wiki:seminari2025:ntdll.png?400 |}}
-__Slika 6. Rad normalnog DLL-a i injektiranog DLL-a__
+__Slika 6. Rad normalnog DLL-a i injektiranog DLL-a__ [[https://icact.org/upload/2018/0708/20180708_finalpaper.pdf|[2]]]
 **Analiza memorijskih slika**
@@ Redak 104: / Redak 104: @@
 U cjelini, WannaCry pokazuje kako kombinacija zastarjelih protokola i nepravovremenog zakrpavanja sustava može dovesti do masovne kompromitacije. Sveobuhvatan forenzički pristup, temeljen na korelaciji mrežnih, diskovnih i memorijskih tragova, ključan je za pouzdanu detekciju infekcije i učinkovitu reakciju na ovakve napade.
 ====== Literatura ======
-[1]https://www.researchgate.net/profile/D-Paul-Joseph/publication/340357390_Systematic_Memory_Forensic_Analysis_of_Ransomware_using_Digital_Forensic_Tools/links/64b6255495bbbe0c6e44f068/Systematic-Memory-Forensic-Analysis-of-Ransomware-using-Digital-Forensic-Tools.pdf
+[1] [[https://icact.org/upload/2018/0708/20180708_finalpaper.pdf|Analyzing WannaCry Ransomware Considering the Weapons and Exploits]]
-[2]https://www.researchgate.net/profile/D-Paul-Joseph/publication/336105133_A_Review_and_Analysis_of_Ransomware_Using_Memory_Forensics_and_Its_Tools/links/642d10d5ad9b6d17dc37cb91/A-Review-and-Analysis-of-Ransomware-Using-Memory-Forensics-and-Its-Tools.pdf
+[2] [[https://www.researchgate.net/profile/D-Paul-Joseph/publication/340357390_Systematic_Memory_Forensic_Analysis_of_Ransomware_using_Digital_Forensic_Tools/links/64b6255495bbbe0c6e44f068/Systematic-Memory-Forensic-Analysis-of-Ransomware-using-Digital-Forensic-Tools.pdf|Systematic Memory Forensic Analysis of Ransomware using Digital Forensic Tools]]
+[3] [[https://www.researchgate.net/profile/D-Paul-Joseph/publication/336105133_A_Review_and_Analysis_of_Ransomware_Using_Memory_Forensics_and_Its_Tools/links/642d10d5ad9b6d17dc37cb91/A-Review-and-Analysis-of-Ransomware-Using-Memory-Forensics-and-Its-Tools.pdf|A Review and Analysis of Ransomware Using Memory Forensics and Its Tools]]
+[4] [[https://dergipark.org.tr/en/download/article-file/2160203|Ransomware Analysis and Defense WannaCry and the Win32 environment]]
-[3]https://dergipark.org.tr/en/download/article-file/2160203
-[4]https://icact.org/upload/2018/0708/20180708_finalpaper.pdf

racfor_wiki/seminari2025/kp51909.1769121300.txt.gz · Zadnja izmjena: 2026/01/22 22:35 od Kristina Paleka