====== Bad Rabbit ransomware napad ====== ===== Sažetak ===== Od 2012. godine broj //ransomware //napada drastično se povečao. Pojavom kriptovaluta kao što je Bitcoin cyber kriminalci dobili su valutu kojoj je gotovo nemoguće uči u trag. O uvom seminarskom radu biti će objašnjeno što je to //ransomware //te kako se širi. Također biti će ukratko objašnjena povijest //ransomware //napada. U drugom djelu seminarskog rada biti će objašnjen Bad Rabbit //ransomware //napad. Na kraju seminarskog rada biti će izneseni savjeti kako se zaštititi od //ransomware //napada. Keywords:** //ransomware//, //malware//, Bad Rabbit** ===== Uvod ===== Počevši od 2012. godine broj //ransomware //napada znatno se povećao. Samo u prvoj polovici 2018. godine zabilježeno je više od 181 milijuna //ransomware //napada. Ovo predstavlja porast od 227% u odnosu na isto razdoblje prethodne godine. Prema izvješću tvrtke Emsisoft iz prosinca 2019. godine multinacionalni proizvođači i američki gradovi i okruzi su u 2019. godini potrošili 176 milijuna dolara u borbi protiv raznih //ransomware //napada. Isti izvještaj navodi da ju u 2019. godini u Sjedinjenim Američkim Državama nekim oblikom //ransomware //napada napadnuto najmanje 948 vladinih agencija te zdravstvenih i edukacijskih ustanova. Prethodno navedeni podatci ukazuju na problema sve učestalijih //ransomware //napada. Osnovni problem kod //ransomware //napada je taj što često zahvaća žrtve koje se ne znaju zaštiti od ovakvih napada. Također //ransomware //napadi postaju sve složeniji i lukaviji. U ovom seminarskom radu biti će objašnjeno što je to //ransomware//, kako se širi i kako se od njega zaštiti. Također biti će analiziran jedan konkretan tip ransomware napada koji se zove Bad Rabbit //ransomware //napad. ===== Ransomware ===== //Ransomware //je naziv za skup zlonamjernih programa čiji je osnovni cilj žrtvi onemogućiti korištenje računala. Postoji širok raspon složenosti //ransomware //napada, od najjednostavnijih //ransomware //napada kod kojih je vrlo jednostavno povratiti podatke, do napada koji u potpunosti onemogućavaju rad na računalu. Danas se //ransomware //napadi najčešće koriste za kripto valutne iznude. Ovaj tip //ransomware //napada sastoji se od 3 glavna koraka. U prvom koraku napadač generira par ključeva i javni ključ postavlja u //malware //koji šalje žrtvi. U drugom koraku žrtva nesvjesno pokrene neželjeni //malware//. Pokretanjem //malware-a //generira se nasumični ključ koji kriptira žrtvine podatke. U trećem koraku napadač nakon što je zaprimio uplatu od žrtve šalje žrtvi ključ koji dešifrira žrtvine podatke. Za uplatu se najčešće koriste kripto valute kao što su Bitcoin ili Ukash. Razlog tome je taj što je teško pratiti tok novca u kripto valutama i na taj način uči u trag napadačima. Prvi poznati //ransomware //napad dogodio se 1989. godine. Izveo ga je Joseph Popp, a zvao se AIDS Trojan. Proširio se preko disketa koje su sadržavale upitnik koji je trebao procijeniti rizik od dobivanja AIDS-a.Nakon izvršavanja program je zaključao C particiju diska te je od žrtve zahtijevao da uplati 189 američkih dolara na račun tvrtke PC Cyborg Corporation. Sredinom 2006. dolazi do pojave sofisticiranijih //ransomware //napada koji su koristili RSA enkripcijske sheme. Neki od ovih //ransomware //napada su Gpcode, TROJ.RANSOM.A, Archivenus, Krotten, Cryzip, i MayArchive. 2013. godine dolazi do ponovne pojave //ransomware //napada. CryptoLocker je prvi //ransomware //napad koji je koristio kripto valutu Bitcoin za transakcije između žrtve i napadača. Prema analizi koju je proveo ZDNet u razdoblju između 15 i 18 listopada 2013. godine CryptoLocker je iznudio 27 milijuna američkih dolara od svojih žrtava. Ovi podatci dobiveni su praćenjem informacija o Bitcoin transakcijama. Nakon toga pojavio se niz sličnih //ransomware //napada. Neki najpoznatiji //ransomware //napadi su Bad Rabbit, Cerber, Dharma, GandCrab, Jigsaw, Katyusha, LockerGoga, PewCrypt, Ryuk i SamSam. ===== Bad Rabbit ransomware napad ===== ==== Osnovno o Bad Rabbit ransomware napadu ==== Nakon dva velika //ransomware //napada koji su se dogodili 2017. godine (WannaCry i ExPetr), 24. listopada 2017. uočen je novi //ransomware //napad, nazvan Bad Rabbit. Ovaj //ransomware //napad zapravo je nadogradnja na prethodni Petya //ransomware //koji je poharao Ukrajinu u sredini 2017. godine. Bad Rabbit //ransomware //se širio preko lažne Adobe Flash nadogradnje. Ovaj napad ciljao je organizacije, ali i privatne korisnike uglavnom na području Ruske Federacije i Ukrajine. Neke od značajnijih organizacija koje je ovaj napad zahvatio su Interfax, međunarodna zračna luka Odessa, Kijevski metro i ukrajinsko Ministarstvo infrastrukture. {{https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2017/10/07170246/bad_rabbit_ransomware_01.png?nolink&600x365}} **Slika 1.** Bad Rabbit ransomware poruka ==== Širenje Bad Rabbit ransomware napada ==== Bad Rabbit //ransomware// širi se preko //drive-by// napada. Kada korisnik posjeti legitimnu stranicu u pozadini se preuzima //malware//. //Malware //je predstavljan ako Adobe Flash nadogradnja. Nakon preuzimanja korisnik mora ručno pokrenuti maliciozni program koji kriptira podatke na računalu. Nakon što je maliciozni program zarazio računalo, operacijski sustav se ponovno poreče i pojavljuje se poruka na slici 1. Da bi se računalo dekriptiralo napadači od žrtve zahtijevaju uplatu u iznosu od 0.05 Bitcoina što iznosi približno 280 američkih dolara, tj. izraženo u kunama to iznosi otprilike 1900 HRK. ==== Analiza Bad Rabbit ransomware-a ==== //Ransomware dropper //se distribuira sa hxxp:1dnscontrol[.]com/flash_install.php. Nakon toga preuzima se datoteka pod imenom install_flash_player.exe koja se mora ručno pokrenuti. Da bi //ransomware //mogao zaraziti računalo, preko standardnog UAC //prompt//-a traži administrativne ovlasti. Ukoliko žrtva dodijeli programu administrativne ovlasti spremiti će se maliciozni program kao C:Windowsinfpub.dat. Nakon toga program će se pokrenuti. Na slici 2 prikazan je pseudokod instalacije malicioznog programa. {{https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2017/10/07170237/bad_rabbit_ransomware_03.png?nolink&600x400}} **Slika 2. **Pseudokod instalacije malicioznog programa Nakon toga infpub.dat instalira malicioznu izvršnu datoteku dispci.exe te kreira proces kojim će ju operacijski sustav pokrenuti. Pseudokod kojim se stvara i pokreće ova izvršna datoteka prikazan je na slici 3. {{https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2017/10/07170229/bad_rabbit_ransomware_05.png?nolink&600x167}} **Slika 3.** Pseudokod instalacije i pokretanja maliciozne datoteke dispci.exe Maliciozna datoteka dispci.exe ponaša se kao klasičan enkripcijski //ransomware//. Ona nalazi žrtvine datoteke pomoću ugrađene liste ekstenzija i kriptira ih pomoću napadačevog javnog RSA-2048 ključa. Na slici 4 prikazan je napadačev javni RSA ključ-2048 (lijevo) i lista ekstenzija (desno). {{https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2017/10/07170224/bad_rabbit_ransomware_06.png?nolink&600x248}} **Slika 4.** Napadačev javni RSA-2048 ključ (lijevo) i lista ekstenzija (desno) Izvršna datoteka dispci.exe je zapravo bazirana na kodu napisanom za program DiskCryptor. Dodatni zadatak ove izvršne datoteke je taj da ona osim enkripcije instalira modificiranu verziju //bootloader//-a te na taj način onemogućava standardni //boot-up// proces. Zanimljiv detalj vezan uz ovaj //ransomware //prikazan je na slici 5. Imena nekih stringova korištenih u ovom kodu su uzeta iz popularne televizijske serije Igra prijestolja. {{https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2017/10/07170220/bad_rabbit_ransomware_07.png?nolink&600x426}} **Slika 5.** Imena stringova preuzeta iz popularne televizijske serije Igra prijestolja ===== Kako se zaštititi od Bad Rabbit ransomware napada? ===== Ne postoji jedinstven način zaštite od ovog tipa //ransomware //napada, ali postoje savjeti koju mogu pomoći. Najbolji način zaštite je osigurati da je operacijski sustav ažuriran na najnoviju inačicu. Cyber kriminalci često iskorištavaju poznate mane u operacijskim sustavima koje se svakom novom inačicom operacijskog sustava popravljaju. Drugi dobar savjet je redovito napraviti sigurnosnu kopiju podataka. Na taj način ukoliko i dođe do zaraze ovim tipom //ransomware//-a, podatci će ostati očuvani. Treći savjet je osigurati svoje računalo dobrim sigurnosnim sustavom koji može prepoznati maliciozne programe ovog tipa i upozoriti korisnika na njihovu prisutnosti. Četvrti i posljednji savjet je educirati se o ovakvim napadima i ne preuzimati nepoznati sadržaj s interneta. ===== Zaključak ===== Ransomware napadi sve su češća pojava u današnjem svijetu. Uz povećanje njihovog broja raste i stupanj njihove složenosti. Ovaj seminarski rad napisan u okviru predmeta Računalna forenzika na Fakultetu elektrotehike i računarstva služi da bi se osoba koja čita ovaj rad mogla upoznati s pojmom //ransomware//-a te jednim programom iz ove skupine zločudnih programa zvanim Bad Rabbit. Ovaj seminarski rad također nudi određene savjete kako se zaštitit od ovakvih napada. ===== Literatura ===== - https://en.wikipedia.org/wiki/Ransomware#Bad_Rabbit - https://hr.wikipedia.org/wiki/Ransomware - https://securelist.com/bad-rabbit-ransomware/82851/ - https://www.wired.co.uk/article/bad-rabbit-ransomware-flash-explained - https://blog.trendmicro.com/bad-rabbit-ransomware-stay-safe/ - https://www.knowbe4.com/bad-rabbit-ransomware - https://www.kaspersky.com/blog/bad-rabbit-ransomware/19887/