Добро пожаловать обратно, мои начинающие кибервоины!
Для тех, кто впервые знаком с сериалом «Мистер Робот», Эллиот Олдерсон — асоциальный инженер по информационной безопасности, который объединяется с группой хакеров (издательство f/society), решивших использовать свои навыки хакерства, чтобы сделать мир лучше. Им удалось серьёзно повредить данные крупнейшего в мире держателя потребительских и студенческих кредитов, корпорации Evil Corp. Эллиот, которого блестяще играет Рами Малек, страдает от бреда, связанного с его покойным отцом, которого играет Кристиан Слейтер. В начале второго сезона Эллиот пытается «исцелиться» и взять под контроль свои бреды, живя с матерью, в то время как мировая финансовая система переживает глобальный финансовый кризис, вызванный взломом f/society, организованным корпорацией Evil Corp.
В этой серии статей я не буду пересказывать подробности сюжета этого замечательного сериала, а постараюсь показать , как происходит каждый из реалистичных взломов в этом сериале. В первом эпизоде мы увидели два крупных взлома: вирус-вымогатель против Evil Corp и взлом SmartHome генерального юрисконсульта Evil Corp.
Программы-вымогатели
В первой серии второго сезона f/society удалось заразить данные Evil Corp вирусом-вымогателем (если присмотреться, это CryptoWall). Вредоносное ПО, получившее огромную популярность в последние годы, шифрует данные, делая их непригодными для использования. Жертва может восстановить свои данные, только заплатив выкуп за ключ для расшифровки. Как правило, суммы выкупа относительно невелики, обычно от 300 до 500 долларов, но были случаи, когда больницы и другие крупные учреждения платили 20 000 долларов и более. В случае атаки на Colonial Pipeline в 2021 году сумма выкупа составила 5 миллионов долларов, что примерно соответствует сумме выкупа f/society.
Давайте рассмотрим пример реального вируса-вымогателя, обнаруженного в реальных условиях, чтобы лучше понять, как он работает. Все программы-вымогатели, как правило, работают схожим образом. Чтобы понять, как работает вирус-вымогатель f/society, давайте рассмотрим Chimera — разновидность вредоносного ПО, обнаруженного в Германии.
На примере химеры
Большинство программ-вымогателей использовались против частных лиц, но Chimera, как и программа-вымогатель f/society, использовалась для атак на компании в Германии. Поскольку большинство программ-вымогателей работают схожим образом, давайте используем её в качестве примера того, как f/society зашифровал данные и потребовал выкуп у Evil Corp в размере 5,9 млн долларов!
В этом анализе я кратко опишу принцип работы Chimera, опуская некоторые этапы для краткости. Если вам нужна копия Chimera для проведения собственного тщательного анализа, я выложил её в своём аккаунте Pastebin здесь .
Шаг 1: Доставка вредоносного ПО
Как и многие другие программы-вымогатели, появившиеся в последние годы, Chimera распространялась по электронной почте, вероятно, с использованием элементов социальной инженерии, чтобы заставить пользователя кликнуть по ссылке или файлу (в этом эпизоде Дарлин использует набор инструментов социальной инженерии в Kali, чтобы загрузить программу-вымогатель на флеш-накопитель). Chimera была написана на .NET.
На первом этапе Chimera изначально доставляет жертве исполняемый файл-заглушку, единственной задачей которого является вызов, расшифровка и декодирование полезной нагрузки второго этапа.
Шаг 2 : Алгоритм AES
Второй этап — зашифрованная и закодированная полезная нагрузка, содержащая метод, явно представляющий собой алгоритм шифрования AES. Весьма вероятно, что f/society запустит его в несколько потоков для ускорения процесса. Учитывая, что у Evil Corp есть петабайты данных, шифрование всех данных займёт немало времени.
Шаг 3: Отображение в памяти
На следующем этапе Chimera вручную отображает свои процессы в память. Это с большой вероятностью обходит защиту ASLR и DEP, встроенную в Windows и другие операционные системы. Эти средства защиты рандомизируют вероятное расположение процесса в памяти, что затрудняет реализацию переполнения буфера, поскольку вредоносная программа не может предсказать местоположение указателя. Ручное отображение процесса в память повышает вероятность того, что вредоносная программа будет работать ожидаемым образом.
Шаг 4: Найдите 32-битный процесс для хостинга
Затем Chimera просматривает все процессы Windows в поисках 32-битного процесса, который может разместить его полезную нагрузку, а затем открывает его.
Шаг 5: Поиск локального IP- адреса
Затем этот вирус-вымогатель находит публичный IP-адрес зараженного устройства, используя www.whatismyipaddress.com. Затем он сохраняет это значение в переменной.
Шаг 6: Обратный вызов на серверы управления и контроля
Получив IP-адрес зараженного хоста, Chimera обращается к его командным серверам (C&C). В данном случае эти серверы находятся по адресам 95.165.168.168 и 158.222.211.81.
Chimera использует Bitmessage для обмена сообщениями по протоколу P2P через порты 8444 и 8080. Bitmessage — это безопасная, зашифрованная система обмена сообщениями P2P, позволяющая одному человеку отправлять сообщения одному или нескольким получателям. На скриншоте ниже видно, что Chimera вызывает клиент Bitmessage PyBitmessage.
Шаг 7: Обзор и поиск жестких дисков, а затем файлов
Затем вредоносная программа должна найти жёсткие диски, на которых хранятся данные. Она должна просмотреть каждый логический диск и сохранить эти расположения в переменной для последующего использования в процессе шифрования.
Шаг 8: Получите случайный ключ
Теперь, когда эта программа-вымогатель успешно захватила 32-битный процесс, подключилась к памяти, чтобы обойти ASLR, и перечислила жесткие диски, ей нужно обратиться к своему командному серверу, чтобы получить случайный ключ, с помощью которого можно будет зашифровать файлы.
После получения случайного ключа от сервера управления и контроля Chimera вызывает функцию из шага 2 выше — алгоритм шифрования AES — и начинает шифровать критически важные файлы.
Перед началом шифрования он ищет следующие типы файлов:
.jpg, .jpeg, .xml, .xsl, .wps, .cmf, .vbs, .accdb, .ini, .cdr, .svg, .conf, .config, .wb2, .msg, .azw, .azw1, .azw3, .azw4, .lit, .apnx, .mobi, .p12, .p7b, .p7c, .pfx, .pem, .cer, .key, .der, .mdb, .htm, .html, .class, .java, .asp, .aspx, .cgi, .php, .jsp, .bak, .dat, .pst, .eml, .xps, .sqllite, .sql, .jar, .wpd, .crt, .csv, .prf, .cnf, .indd, .number, .pages, .x3f, .srw, .pef, .raf, .rf, .nrw, .nef, .mrw, .mef, .kdc, .dcr, .crw, .eip, .fff, .iiq, .k25, .crwl, .bay, .sr2, .ari, .srf, .arw, .cr2, .raw, .rwl, .rw2, .r3d, .3fr, .eps, .pdd, .dng, .dxf, .dwg, .psd, .png, .jpe, .bmp, .gif, .tiff, .gfx, .jge, .tga, .jfif, .emf, .3dm, .3ds, .max, .obj, .a2c, .dds, .pspimage, .yuv, .3g2, .3gp, .asf, .asx, .mpg, .mpeg, .avi, .mov, .flv, .wma, .wmv, .ogg, .swf, .ptx, .ape, .aif, .av, .ram, .m3u, .movie, .mp1, .mp2, .mp3, .mp4, .mp4v, .mpa, .mpe, .mpv2, .rpf, .vlc, .m4a, .aac, .aa3, .amr, .mkv, .dvd, .mts, .vob, .3ga, .m4v, .srt, .aepx, .camproj, .dash, .zip, .rar, .gzip, ., mdk, .mdf, .iso, .bin, .cue, .dbf, .erf, .dmg, .toast, .vcd, .ccd, .disc, .nrg, .nri, .cdi
Эти типы файлов, вероятно, критически важны для работы компании. Это графические файлы, файлы электронных таблиц, файлы баз данных, файлы резервных копий, файлы электронной почты, файлы Java, аудиофайлы, видеофайлы и ключи шифрования. Без них бизнес не сможет работать.
Шаг 9: Требование выкупа
Наконец, Chimera отправляет владельцу бизнеса запрос на выкуп. Обратите внимание, что браузер и связанные с ним файлы не шифруются, что позволяет браузеру запросить выкуп и получить его.
Надеюсь, это поможет вам понять, как f/society удалось выкупить Evil Corp за 5,9 долларов, и я постараюсь продемонстрировать каждый взлом из второго сезона, так что заходите еще на Hackers-Arise, мои начинающие хакеры!
Более подробную информацию о программах-вымогателях можно найти здесь:
1. Создайте свою собственную программу-вымогатель ;
2. История и эволюция программ-вымогателей;
3. Анализ вируса-вымогателя WannaCry
4. Snake, вариант Ransomwar
, нацеленный на SCADA/ICS
Для тех, кто впервые знаком с сериалом «Мистер Робот», Эллиот Олдерсон — асоциальный инженер по информационной безопасности, который объединяется с группой хакеров (издательство f/society), решивших использовать свои навыки хакерства, чтобы сделать мир лучше. Им удалось серьёзно повредить данные крупнейшего в мире держателя потребительских и студенческих кредитов, корпорации Evil Corp. Эллиот, которого блестяще играет Рами Малек, страдает от бреда, связанного с его покойным отцом, которого играет Кристиан Слейтер. В начале второго сезона Эллиот пытается «исцелиться» и взять под контроль свои бреды, живя с матерью, в то время как мировая финансовая система переживает глобальный финансовый кризис, вызванный взломом f/society, организованным корпорацией Evil Corp.
В этой серии статей я не буду пересказывать подробности сюжета этого замечательного сериала, а постараюсь показать , как происходит каждый из реалистичных взломов в этом сериале. В первом эпизоде мы увидели два крупных взлома: вирус-вымогатель против Evil Corp и взлом SmartHome генерального юрисконсульта Evil Corp.
Программы-вымогатели
В первой серии второго сезона f/society удалось заразить данные Evil Corp вирусом-вымогателем (если присмотреться, это CryptoWall). Вредоносное ПО, получившее огромную популярность в последние годы, шифрует данные, делая их непригодными для использования. Жертва может восстановить свои данные, только заплатив выкуп за ключ для расшифровки. Как правило, суммы выкупа относительно невелики, обычно от 300 до 500 долларов, но были случаи, когда больницы и другие крупные учреждения платили 20 000 долларов и более. В случае атаки на Colonial Pipeline в 2021 году сумма выкупа составила 5 миллионов долларов, что примерно соответствует сумме выкупа f/society.
Давайте рассмотрим пример реального вируса-вымогателя, обнаруженного в реальных условиях, чтобы лучше понять, как он работает. Все программы-вымогатели, как правило, работают схожим образом. Чтобы понять, как работает вирус-вымогатель f/society, давайте рассмотрим Chimera — разновидность вредоносного ПО, обнаруженного в Германии.
На примере химеры
Большинство программ-вымогателей использовались против частных лиц, но Chimera, как и программа-вымогатель f/society, использовалась для атак на компании в Германии. Поскольку большинство программ-вымогателей работают схожим образом, давайте используем её в качестве примера того, как f/society зашифровал данные и потребовал выкуп у Evil Corp в размере 5,9 млн долларов!
В этом анализе я кратко опишу принцип работы Chimera, опуская некоторые этапы для краткости. Если вам нужна копия Chimera для проведения собственного тщательного анализа, я выложил её в своём аккаунте Pastebin здесь .
Шаг 1: Доставка вредоносного ПО
Как и многие другие программы-вымогатели, появившиеся в последние годы, Chimera распространялась по электронной почте, вероятно, с использованием элементов социальной инженерии, чтобы заставить пользователя кликнуть по ссылке или файлу (в этом эпизоде Дарлин использует набор инструментов социальной инженерии в Kali, чтобы загрузить программу-вымогатель на флеш-накопитель). Chimera была написана на .NET.
На первом этапе Chimera изначально доставляет жертве исполняемый файл-заглушку, единственной задачей которого является вызов, расшифровка и декодирование полезной нагрузки второго этапа.
Второй этап — зашифрованная и закодированная полезная нагрузка, содержащая метод, явно представляющий собой алгоритм шифрования AES. Весьма вероятно, что f/society запустит его в несколько потоков для ускорения процесса. Учитывая, что у Evil Corp есть петабайты данных, шифрование всех данных займёт немало времени.
Шаг 3: Отображение в памяти
На следующем этапе Chimera вручную отображает свои процессы в память. Это с большой вероятностью обходит защиту ASLR и DEP, встроенную в Windows и другие операционные системы. Эти средства защиты рандомизируют вероятное расположение процесса в памяти, что затрудняет реализацию переполнения буфера, поскольку вредоносная программа не может предсказать местоположение указателя. Ручное отображение процесса в память повышает вероятность того, что вредоносная программа будет работать ожидаемым образом.
Шаг 4: Найдите 32-битный процесс для хостинга
Затем Chimera просматривает все процессы Windows в поисках 32-битного процесса, который может разместить его полезную нагрузку, а затем открывает его.
Шаг 5: Поиск локального IP- адреса
Затем этот вирус-вымогатель находит публичный IP-адрес зараженного устройства, используя www.whatismyipaddress.com. Затем он сохраняет это значение в переменной.
Шаг 6: Обратный вызов на серверы управления и контроля
Получив IP-адрес зараженного хоста, Chimera обращается к его командным серверам (C&C). В данном случае эти серверы находятся по адресам 95.165.168.168 и 158.222.211.81.
Chimera использует Bitmessage для обмена сообщениями по протоколу P2P через порты 8444 и 8080. Bitmessage — это безопасная, зашифрованная система обмена сообщениями P2P, позволяющая одному человеку отправлять сообщения одному или нескольким получателям. На скриншоте ниже видно, что Chimera вызывает клиент Bitmessage PyBitmessage.
Шаг 7: Обзор и поиск жестких дисков, а затем файлов
Затем вредоносная программа должна найти жёсткие диски, на которых хранятся данные. Она должна просмотреть каждый логический диск и сохранить эти расположения в переменной для последующего использования в процессе шифрования.
Шаг 8: Получите случайный ключ
Теперь, когда эта программа-вымогатель успешно захватила 32-битный процесс, подключилась к памяти, чтобы обойти ASLR, и перечислила жесткие диски, ей нужно обратиться к своему командному серверу, чтобы получить случайный ключ, с помощью которого можно будет зашифровать файлы.
После получения случайного ключа от сервера управления и контроля Chimera вызывает функцию из шага 2 выше — алгоритм шифрования AES — и начинает шифровать критически важные файлы.
Перед началом шифрования он ищет следующие типы файлов:
.jpg, .jpeg, .xml, .xsl, .wps, .cmf, .vbs, .accdb, .ini, .cdr, .svg, .conf, .config, .wb2, .msg, .azw, .azw1, .azw3, .azw4, .lit, .apnx, .mobi, .p12, .p7b, .p7c, .pfx, .pem, .cer, .key, .der, .mdb, .htm, .html, .class, .java, .asp, .aspx, .cgi, .php, .jsp, .bak, .dat, .pst, .eml, .xps, .sqllite, .sql, .jar, .wpd, .crt, .csv, .prf, .cnf, .indd, .number, .pages, .x3f, .srw, .pef, .raf, .rf, .nrw, .nef, .mrw, .mef, .kdc, .dcr, .crw, .eip, .fff, .iiq, .k25, .crwl, .bay, .sr2, .ari, .srf, .arw, .cr2, .raw, .rwl, .rw2, .r3d, .3fr, .eps, .pdd, .dng, .dxf, .dwg, .psd, .png, .jpe, .bmp, .gif, .tiff, .gfx, .jge, .tga, .jfif, .emf, .3dm, .3ds, .max, .obj, .a2c, .dds, .pspimage, .yuv, .3g2, .3gp, .asf, .asx, .mpg, .mpeg, .avi, .mov, .flv, .wma, .wmv, .ogg, .swf, .ptx, .ape, .aif, .av, .ram, .m3u, .movie, .mp1, .mp2, .mp3, .mp4, .mp4v, .mpa, .mpe, .mpv2, .rpf, .vlc, .m4a, .aac, .aa3, .amr, .mkv, .dvd, .mts, .vob, .3ga, .m4v, .srt, .aepx, .camproj, .dash, .zip, .rar, .gzip, ., mdk, .mdf, .iso, .bin, .cue, .dbf, .erf, .dmg, .toast, .vcd, .ccd, .disc, .nrg, .nri, .cdi
Эти типы файлов, вероятно, критически важны для работы компании. Это графические файлы, файлы электронных таблиц, файлы баз данных, файлы резервных копий, файлы электронной почты, файлы Java, аудиофайлы, видеофайлы и ключи шифрования. Без них бизнес не сможет работать.
Шаг 9: Требование выкупа
Наконец, Chimera отправляет владельцу бизнеса запрос на выкуп. Обратите внимание, что браузер и связанные с ним файлы не шифруются, что позволяет браузеру запросить выкуп и получить его.
Надеюсь, это поможет вам понять, как f/society удалось выкупить Evil Corp за 5,9 долларов, и я постараюсь продемонстрировать каждый взлом из второго сезона, так что заходите еще на Hackers-Arise, мои начинающие хакеры!
Более подробную информацию о программах-вымогателях можно найти здесь:
1. Создайте свою собственную программу-вымогатель ;
2. История и эволюция программ-вымогателей;
3. Анализ вируса-вымогателя WannaCry
4. Snake, вариант Ransomwar
, нацеленный на SCADA/ICS
