Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:seminari2025:kp51909 [2026/01/22 22:37]
Kristina Paleka [Faze napada] 		racfor_wiki:seminari2025:kp51909 [2026/01/22 23:00] (trenutno)
Kristina Paleka [Forenzička analiza WannaCry napada (EternalBlue exploit)]
Redak 1: Redak 1:
-====== Forenzička analiza WannaCry napada (EternalBlue exploit) ======+====== Forenzička analiza WannaCry napada ======
 Seminarski rad iz kolegija Računalna forenzika, akademske godine 2025./26 Seminarski rad iz kolegija Računalna forenzika, akademske godine 2025./26
 ====== Sažetak ====== ====== Sažetak ======
Redak 13: Redak 13:
  
 {{ :racfor_wiki:seminari2025:wana_decrypt0r_screenshot.png?400 |}} {{ :racfor_wiki:seminari2025:wana_decrypt0r_screenshot.png?400 |}}
-__Slika 1. Snimka zaslona poruke s zahtjevom za otkupninu ostavljene na zaraženom sustavu__+__Slika 1. Snimka zaslona poruke s zahtjevom za otkupninu ostavljene na zaraženom sustavu__ [[https://en.wikipedia.org/wiki/WannaCry_ransomware_attack|WannaCry ransomware attack]]
  
 ====== Mrežno ponašanje ====== ====== Mrežno ponašanje ======
Redak 34: Redak 34:
 {{ :racfor_wiki:seminari2025:infectionflow.png?400 |}} {{ :racfor_wiki:seminari2025:infectionflow.png?400 |}}
  
-__Slika 2. Dijagram toka infekcije__+__Slika 2. Dijagram toka infekcije__ [[https://icact.org/upload/2018/0708/20180708_finalpaper.pdf|[1]]]
  
 ====== Faze napada ====== ====== Faze napada ======
Redak 44: Redak 44:
  
 {{ :racfor_wiki:seminari2025:flowchart.png?400 |}} {{ :racfor_wiki:seminari2025:flowchart.png?400 |}}
-__Slika 3. Dijagram toka instalacije mssecsvc2.0__+__Slika 3. Dijagram toka instalacije mssecsvc2.0__ [[https://icact.org/upload/2018/0708/20180708_finalpaper.pdf|[1]]]
  
 **Glavna ransomware komponenta: tasksche.exe i učitavanje resursa** **Glavna ransomware komponenta: tasksche.exe i učitavanje resursa**
Redak 52: Redak 52:
  
 {{ :racfor_wiki:seminari2025:mainransomware.png?400 |}} {{ :racfor_wiki:seminari2025:mainransomware.png?400 |}}
-__Slika 4. Dijagram toka ransomwarea__+__Slika 4. Dijagram toka ransomwarea__ [[https://icact.org/upload/2018/0708/20180708_finalpaper.pdf|[1]]]
  
 **Perzistencija i promjene sustavnih postavki**  **Perzistencija i promjene sustavnih postavki** 
Redak 67: Redak 67:
 WannaCry u provedbi šifriranja koristi Microsoft CryptoAPI za generiranje, pohranu i upravljanje kriptografskim ključevima. Ransomware primjenjuje hibridni kriptografski model koji kombinira simetrične i asimetrične algoritme s ciljem postizanja učinkovitog i sigurnog šifriranja podataka. Stvarni sadržaj korisničkih datoteka šifrira se simetričnim algoritmom AES, pri čemu se za svaku datoteku generira zaseban AES ključ. Ti ključevi zatim se dodatno štite asimetričnom kriptografijom temeljenom na RSA algoritmu. WannaCry u provedbi šifriranja koristi Microsoft CryptoAPI za generiranje, pohranu i upravljanje kriptografskim ključevima. Ransomware primjenjuje hibridni kriptografski model koji kombinira simetrične i asimetrične algoritme s ciljem postizanja učinkovitog i sigurnog šifriranja podataka. Stvarni sadržaj korisničkih datoteka šifrira se simetričnim algoritmom AES, pri čemu se za svaku datoteku generira zaseban AES ključ. Ti ključevi zatim se dodatno štite asimetričnom kriptografijom temeljenom na RSA algoritmu.
  
-Nakon pokretanja glavne ransomware komponente, WannaCry koristi unaprijed ugrađeni glavni RSA javni ključ, zajednički za sve žrtve unutar iste kampanje. Na kompromitiranom sustavu generira se dodatni, jedinstveni RSA par ključeva koji služi kao podključ za konkretnu instancu infekcije. Javni dio tog para pohranjuje se u datoteku s nastavkom .pky, dok se privatni dio šifrira glavnim RSA javnim ključem i sprema u datoteku .eky. Tijekom procesa šifriranja, svaki AES ključ korišten za šifriranje pojedine datoteke dodatno se šifrira pomoću javnog RSA ključa iz .pky datoteke te se, zajedno s pripadajućim metapodacima, zapisuje u zaglavlje šifrirane datoteke, koje započinje prepoznatljivim nizom znakova „WANACRY!“. Ovakva struktura onemogućuje žrtvi samostalan oporavak podataka bez posjedovanja odgovarajućeg privatnog RSA ključa.+Nakon pokretanja glavne ransomware komponente, WannaCry koristi unaprijed ugrađeni glavni RSA javni ključ, zajednički za sve žrtve unutar iste kampanje. Na kompromitiranom sustavu generira se dodatni, jedinstveni RSA par ključeva koji služi kao podključ za konkretnu instancu infekcije. Javni dio tog para pohranjuje se u datoteku s nastavkom .pky, dok se privatni dio šifrira glavnim RSA javnim ključem i sprema u datoteku .eky. Tijekom procesa šifriranja, svaki AES ključ korišten za šifriranje pojedine datoteke dodatno se šifrira pomoću javnog RSA ključa iz //.pky// datoteke te se, zajedno s pripadajućim metapodacima, zapisuje u zaglavlje šifrirane datoteke, koje započinje prepoznatljivim nizom znakova //„WANACRY!“//. Ovakva struktura onemogućuje žrtvi samostalan oporavak podataka bez posjedovanja odgovarajućeg privatnog RSA ključa.
  
 {{ :racfor_wiki:seminari2025:keyencrypt.png?400 |}} {{ :racfor_wiki:seminari2025:keyencrypt.png?400 |}}
-__Slika 5. Tok šifriranja i struktura ključa__+__Slika 5. Tok šifriranja i struktura ključa__ [[https://icact.org/upload/2018/0708/20180708_finalpaper.pdf|[1]]]
  
 Iako WannaCry nakon dovršetka šifriranja briše privatne kriptografske ključeve s diska, forenzička analiza radne memorije pokazuje da se određeni kriptografski materijali, uključujući RSA proste brojeve, mogu privremeno zadržati u memoriji sve dok ne dođe do ponovnog pokretanja sustava. Ova implementacijska slabost omogućila je razvoj alata za djelomični oporavak podataka u ranim fazama infekcije. Iako WannaCry nakon dovršetka šifriranja briše privatne kriptografske ključeve s diska, forenzička analiza radne memorije pokazuje da se određeni kriptografski materijali, uključujući RSA proste brojeve, mogu privremeno zadržati u memoriji sve dok ne dođe do ponovnog pokretanja sustava. Ova implementacijska slabost omogućila je razvoj alata za djelomični oporavak podataka u ranim fazama infekcije.
  
-Proces šifriranja ostavlja iza sebe jasno prepoznatljive datotečne i direktorijske artefakte. WannaCry u radnom direktoriju i instalacijskim mapama stvara niz datoteka s nastavkom .wnry, od kojih svaka ima specifičnu funkciju. Datoteka b.wnry sadrži upute i grafičke resurse za prikaz poruke o otkupnini, r.wnry pohranjuje tekstualni sadržaj ransom note poruke, dok c.wnry sadrži podatke povezane s Tor komunikacijom i adresama za uplatu otkupnine. Datoteka s.wnry uključuje Tor komponentu potrebnu za anonimnu komunikaciju s infrastrukturom napadača, dok t.wnry predstavlja dinamičku biblioteku odgovornu za samu funkciju šifriranja. Datoteka u.wnry sadrži komponentu namijenjenu dekripciji, čija je funkcionalnost dostupna isključivo uz valjani ključ. Uz navedene datoteke, u sustavu se pojavljuju i .eky i .pky datoteke povezane s RSA ključevima, kao i dodatne .res datoteke koje sadrže resurse ransomwarea.+Proces šifriranja ostavlja iza sebe jasno prepoznatljive datotečne i direktorijske artefakte. WannaCry u radnom direktoriju i instalacijskim mapama stvara niz datoteka s nastavkom //.wnry//, od kojih svaka ima specifičnu funkciju. Datoteka //b.wnry// sadrži upute i grafičke resurse za prikaz poruke o otkupnini, //r.wnry// pohranjuje tekstualni sadržaj ransom note poruke, dok //c.wnry// sadrži podatke povezane s Tor komunikacijom i adresama za uplatu otkupnine. Datoteka //s.wnry// uključuje Tor komponentu potrebnu za anonimnu komunikaciju s infrastrukturom napadača, dok //t.wnry// predstavlja dinamičku biblioteku odgovornu za samu funkciju šifriranja. Datoteka __u.wnry__ sadrži komponentu namijenjenu dekripciji, čija je funkcionalnost dostupna isključivo uz valjani ključ. Uz navedene datoteke, u sustavu se pojavljuju i //.eky// //.pky// datoteke povezane s RSA ključevima, kao i dodatne //.res// datoteke koje sadrže resurse ransomwarea.
  
 Kako bi dodatno onemogućio oporavak podataka bez plaćanja otkupnine, WannaCry nakon dovršetka šifriranja briše sve postojeće Volume Shadow Copy zapise korištenjem ugrađenih sistemskih naredbi. Budući da se shadow kopije uobičajeno koriste za vraćanje prethodnih verzija datoteka, njihovo uklanjanje značajno smanjuje mogućnost oporavka podataka primjenom standardnih mehanizama operacijskog sustava. Kako bi dodatno onemogućio oporavak podataka bez plaćanja otkupnine, WannaCry nakon dovršetka šifriranja briše sve postojeće Volume Shadow Copy zapise korištenjem ugrađenih sistemskih naredbi. Budući da se shadow kopije uobičajeno koriste za vraćanje prethodnih verzija datoteka, njihovo uklanjanje značajno smanjuje mogućnost oporavka podataka primjenom standardnih mehanizama operacijskog sustava.
Redak 89: Redak 89:
  
 {{ :racfor_wiki:seminari2025:ntdll.png?400 |}} {{ :racfor_wiki:seminari2025:ntdll.png?400 |}}
-__Slika 6. Rad normalnog DLL-a i injektiranog DLL-a__+__Slika 6. Rad normalnog DLL-a i injektiranog DLL-a__ [[https://icact.org/upload/2018/0708/20180708_finalpaper.pdf|[2]]]
  
 **Analiza memorijskih slika**  **Analiza memorijskih slika** 
Redak 104: Redak 104:
 U cjelini, WannaCry pokazuje kako kombinacija zastarjelih protokola i nepravovremenog zakrpavanja sustava može dovesti do masovne kompromitacije. Sveobuhvatan forenzički pristup, temeljen na korelaciji mrežnih, diskovnih i memorijskih tragova, ključan je za pouzdanu detekciju infekcije i učinkovitu reakciju na ovakve napade. U cjelini, WannaCry pokazuje kako kombinacija zastarjelih protokola i nepravovremenog zakrpavanja sustava može dovesti do masovne kompromitacije. Sveobuhvatan forenzički pristup, temeljen na korelaciji mrežnih, diskovnih i memorijskih tragova, ključan je za pouzdanu detekciju infekcije i učinkovitu reakciju na ovakve napade.
 ====== Literatura ====== ====== Literatura ======
-[1]https://www.researchgate.net/profile/D-Paul-Joseph/publication/340357390_Systematic_Memory_Forensic_Analysis_of_Ransomware_using_Digital_Forensic_Tools/links/64b6255495bbbe0c6e44f068/Systematic-Memory-Forensic-Analysis-of-Ransomware-using-Digital-Forensic-Tools.pdf+[1] [[https://icact.org/upload/2018/0708/20180708_finalpaper.pdf|Analyzing WannaCry Ransomware Considering the Weapons and Exploits]]
  
-[2]https://www.researchgate.net/profile/D-Paul-Joseph/publication/336105133_A_Review_and_Analysis_of_Ransomware_Using_Memory_Forensics_and_Its_Tools/links/642d10d5ad9b6d17dc37cb91/A-Review-and-Analysis-of-Ransomware-Using-Memory-Forensics-and-Its-Tools.pdf+[2] [[https://www.researchgate.net/profile/D-Paul-Joseph/publication/340357390_Systematic_Memory_Forensic_Analysis_of_Ransomware_using_Digital_Forensic_Tools/links/64b6255495bbbe0c6e44f068/Systematic-Memory-Forensic-Analysis-of-Ransomware-using-Digital-Forensic-Tools.pdf|Systematic Memory Forensic Analysis of Ransomware using Digital Forensic Tools]] 
 + 
 +[3] [[https://www.researchgate.net/profile/D-Paul-Joseph/publication/336105133_A_Review_and_Analysis_of_Ransomware_Using_Memory_Forensics_and_Its_Tools/links/642d10d5ad9b6d17dc37cb91/A-Review-and-Analysis-of-Ransomware-Using-Memory-Forensics-and-Its-Tools.pdf|A Review and Analysis of Ransomware Using Memory Forensics and Its Tools]] 
 + 
 +[4] [[https://dergipark.org.tr/en/download/article-file/2160203|Ransomware Analysis and Defense WannaCry and the Win32 environment]]
  
-[3]https://dergipark.org.tr/en/download/article-file/2160203 
  
-[4]https://icact.org/upload/2018/0708/20180708_finalpaper.pdf 
racfor_wiki/seminari2025/kp51909.1769121438.txt.gz · Zadnja izmjena: 2026/01/22 22:37 od Kristina Paleka
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0