Embed Size (px)
Citation preview
SVEUČILIŠTE U ZAGREBU FAKULTET ELEKTROTEHNIKE I RAČUNARSTVA
RAČUNALNA FORENZIKA SEMINARSKI RAD
Ulazni vektori za ransomware, detekcija i prevencija napada
Otto Singer
Zagreb, siječanj 2019.
Sadržaj
1. Uvod .................................................................................................................................... 1
2. Ulazni vektori ...................................................................................................................... 2
2.1. Phishing linkovi ............................................................................................................ 2
2.2. Attachments – privitci u mail-ovima ........................................................................... 3
2.3. Embedded links – linkovi unutar privitaka .................................................................. 6
2.4. Aktivno skidanje .......................................................................................................... 6
2.5. Drive-by infekcije ......................................................................................................... 6
3. Detekcija i prevencija napada ............................................................................................. 8
4. Zaključak ........................................................................................................................... 12
5. Literatura .......................................................................................................................... 13
1
1. Uvod
Ransomware je software koji na različite načine neopaženo ulazi na korisnička računala, može biti jedno ili pak više njih u zajedničkoj dijeljenoj mreži. Ransomware ima za glavni zadatak kriptirati sve ili što više različitih datoteka na korisničkom računalu kako bi onemogućio korištenje tog računala. Korisnici najčešće nisu ni svjesni da su pod napadom ransomware programa, naime program u pozadini dokle god je računalo upaljeno troši procesorsku snagu i provodi enkripciju datoteka. Promjene na računalu je u početku teško primijetiti, a uglavnom se manifestiraju kroz promjene ekstenzija datoteka. Za enkripciju je potrebno određeno vrijeme, različiti ransomware software-i koriste algoritme koji brže ili sporije kriptiraju datoteke. U svakom slučaju, računalo se kroz maksimalno nekoliko sati u potpunosti zaključa stoga je potrebno u što kraćem roku detektirati postojanje ransomware-a i pokušati spasiti što više datoteka jer su promjene koje ransomware čini uglavnom bespovratne. Različiti ransomware programi imati će isti cilj, ali drugačiji doseg. Neki će kriptirati samo neke datoteke na računalu, a neki onemogućiti cjelokupni operacijski sustav.
U ovom seminaru biti će pojašnjeno na koje sve načine ransomware može ući na korisničko računalo, te koje su moguće metode prevencije napada u ranoj fazi.
2
2. Ulazni vektori
Načini na koji ransomware inficira računalo u mreži ili mrežu računala zovemo u lazni vektori ili ulazne točke. Tipične prijetnje kojih se želimo zaštititi uključuju „Phishing links“, virusi i malware-i, zloćudni privitci u mail-ovima i razni zloćudni linkovi preko kojih se pokreće automatsko skidanje ransomware-a. Uzevši u obzir tu općenitu podjelu, možemo identificirati 5 različitih vektora.
2.1. Phishing linkovi
Prvi je „Phishing link“, jedan od općenito najčešćih ulaznih vektora i svodi se na zloćudne linkove smještene u tijelu mail-a. „Phishing“ je inače popularna tehnika kod krađe korisničkih informacija, međutim u kontekstu ransomware-a krađa korisničkih informacija sama po sebi nije bitna i to nije u fokusu, bitan je društveni aspekt zavaravanja korisnika kako bi se link pritisnuo i na taj način započelo skidanje ransomware-a na korisničko računalo.
Najčešći slučajevi zaraze ovog tipa odvijaju se u velikim kompanijama gdje je razmjena mail-ova učestala radnja, zaposlenici šalju i zaprimaju između 10 i 50 mail-ova dnevno. Korisnik primi mail koji izgleda kao legitimni mail neke od kompanija s kojima surađuje ili općenito popularnih kompanija. Primjerice, korisnik primi mail u kojem se nalazi obavijest da mora ažurirati osobne podatke na nekoj od platforma s kojima inače barata te ga se upućuje linkom u mailu na tu platformu. Općenitije, korisnik dobiva mail sa obavijesti da pošiljka nije mogla biti uručena te da na stranici, do koje vodi link, potvrdi novo vrijeme dostave. Još jedan primjer je da korisnik zaprimi mail u kojem se nalazi link na cloud servis gdje se nalazi dokument koji netko od osoba iz tvrtka s kojim surađuju šalje. Linkovi u svim slučajevima ne vode na adrese na koje bi trebale voditi, odnosno na stranice na koje bi trebale voditi kako je prikazano u mailu. Sve je dakako dio pametnog planiranja i zavaravanja kako bi efikasnost bila što veća, odnosno kako bi krajnje žrtve bile uvjerene da rade ispravnu stvari prilikom pritiska na link.
3
Slika 1. Primjer maila sa phishing linkom
2.2. Attachments – privitci u mail-ovima
Slijedeći po popularnosti je ransomware skriven u privitku unutar mail-a. Da bi se korisnikovo računalo zarazilo sve što je potrebno jest skinuti privitak ili ga otvoriti.
Privitak može biti Microsoft office dokumenti: Word, Excel i drugi, ili pak komprimirane (npr. zip) datoteke. Office dokumenti su pogodni za maskiranje, na prvi pogled izgledaju bezopasno korisniku, takvi dokumenti se svakodnevno koriste i većini ljudi su poznati. U takve dokumente moguće je pridodati tzv. macro-e, kratke skripte pisane u jeziku VBA (Visual Basic for Applications). Ovaj jezik se inače koristi za automatizaciju procesa primjerice u računovodstvu, ali u krivim rukama se tu mogu smjestiti zloćudne skripte. Stvar funkcionira tako da se prilikom otvaranja takve word datoteke pokreće njen macro, tj. VBA skripta koja pokreće skidanje s interneta i instalaciju zloćudnog programa u pozadini, bez znanja korisnika. Na slici 2. može se vidjeti isječak jedne takve VBA skripte koja pokreće skidanje i instalaciju zloćudnog programa.
4
Slika 2. Macro – VBA skripta za pokretanje skidanja malware-a
Nakon instalacije, program se pokreće i kasnije može komunicirati preko interneta i malo pomalo kriptirati cijelo računalo. Napadači kroz mail nerijetko čak preporučuju uključivanje macro funkcionalnosti radi veće sigurnosti, što je dakako potpuna obmana, primjer takvog postupka na slici 3.
Slika 3. Obmana za uključivanje macro-a u excel dokumentu
5
Postoji klasični pristup gdje se u .zip datoteku stavi .exe datoteka koju nesmotreni korisnik može pokrenuti i također pokrenuti kriptiranje datoteka, međutim danas je to rijetkost budući da je većina ljudi svjesna opasnosti koje .exe datoteke skinute s interneta imaju.
Nešto noviji princip je skrivanje javascript datoteka u .zip datoteke. Kao što je vidljivo na slici, u šestom mjesecu 2016. godine rapidno je porastao broj slučajeva skrivanja ransomware-a u javascript datoteke.
Slika 4. Tipovi datoteka – privitaka koji skrivaju malware
Javascript je izabran kao nosilac iz nekoliko razloga. Prvi jest izgled ikonice javascript datoteka koji liči na .txt datoteku. Ako tome pribrojimo originalnu postavku Windowsa pri kojoj se ekstenzije datoteka ne prikazuju, neuki korisnik vrlo lako može pretpostaviti da se radi o tekstualnoj datoteci i pokrenuti tu javascript datoteku pritom misleći da otvara tekstualnu datoteku. Postoje još i psihološki čimbenici efikasnosti ove metode, a to je da je opće poznato da su javascript skripte unutar Internet preglednika uglavnom sigurne. Međutim, postoji velika razlika: javascript skripte koje se pokreću unutar preglednika imaju vrlo ograničen doseg, one ne mogu pristupiti ničemu što se ne nalazi unutar preglednika. JS skripte na računalu se pokreću uz pomoć WSH-a, Windows Script Host. Nakon tog trenutka, skripta oživi i počne se ponašati kao bilo koja .exe datoteka i može pristupiti hard disku i internetu, točnije serverima od kojih zatraži i skine .exe ransomware datoteku i pokrene ju bez upitnika korisniku.
6
2.3. Embedded links – linkovi unutar privitaka
Treći najpopularniji ulazni vektor za ransomware jesu tzv. „embeded links“ koji se nalaze unutar dokumenata tj. privitaka pristiglih mailom. Dokument sam po sebi izgleda uobičajeno, nije zloćudan i ne predstavlja prijetnju, međutim pritiskom na link koji se nalazi u tom dokumentu korisnika se vodi na stranicu sa koje se skine ransomware. Ovaj vektor zapravo je kombinacija prethodna dva vektora. Primjer takvog dokumenta je životopis kandidata za posao sa linkom na LinkedIn profil koji je zapravo phishing link unutar privitka.
2.4. Aktivno skidanje
Metoda kojom korisnik računala aktivno samostalno skine ransomware maskirani u neki drugi regularni program je prva aktivna metoda ulaska ransomware-a na računalo i predstavlja aktivni vektor ulaska. Korisnik skida instalaciju za neki program preko neovisne web stranice i pritom umjesto instalacijske datoteke software-a kojeg je mislio da skida, korisnik skine ransomware .exe datoteku. Kreatori tog ransomware-a mogu inicijalno zaraziti web stranicu sa koje se inače skidaju programi. Tada se, bez znanja vlasnika tih web stranica za distribuciju instalacijskih datoteka, ransomware-i podmeću pod instalacijske datoteke i inficiraju krajnja korisnička računala. Ova praksa je manje zastupljena kod velikih distributera aplikacija kao što su Windows store, Play store i sličnih jer sve aplikacije i programi tamo prolaze inicijalne provjere prije no što ih se stavi na raspolaganje krajnjim korisnicima za skidanje. Iz tog razloga je preporučljivo skidati službeni originalni software sa provjerenih stranica, a ne preko posredničkih stranica.
2.5. Drive-by infekcije
U konačnici tu su tzv. drive-by infekcije, potpuno pasivne infekcije. Ovaj vektor označava svaki ulazak ransomware-a u korisničko računalo na način da korisnik samo posjeti zaraženu stranicu na internetu, pritom ne treba ništa aktivno skidati već se sve odvije u pozadini. Ovakve infekcije odvijaju se u 9 slijednih koraka:
1. Korisnik nehotice pregledava ugroženu web stranicu 2. Maliciozne javascript datoteke se skidaju na korisničko računalo 3. Izvršavaju se putem preglednika i pokreću infekciju zlonamjernim softverom 4. Inficirane JavaScript datoteke u pozadini preusmjeravaju internetski promet na poslužitelj
za iskorištavanje (tzv. exploit server) 5. Exploit kit koji se koristi u napadu (koji se nalazi na exploit serveru) ispituje sustav za
ranjivosti softvera
7
6. Kada exploit pronađe ranjivost, koristi ju za pristup funkcijama računala 7. Time se exploit kit-u daje pravo na izvršavanje koda i preuzimanje dodatnih datoteka s
interneta s administratorskim ovlastima 8. U sljedećem koraku, ransomware će se preuzeti na računalo i izvršiti 9. Zlonamjerni softver može obavljati štetne funkcije na računalu. Također može prikupljati
informacije iz zaraženog sustava i slati ih na poslužitelje koje kontroliraju cyber kriminalci
Slika 5. Drive-by napad
8
3. Detekcija i prevencija napada
U uvodu je spomenuto da se zaraza ransomware-om može detektirati na način da se uoče pojavljivanja nesvakidašnjih ekstenzija na datotekama koje inače koristimo. Takva ekstenzija predstavlja format u koji je datoteka prebačena nakon što je ona uspješno algoritmom ransomware-a kriptirana. Postoji nekoliko desetaka poznatih ekstenzija koje pridodaje ransomware software (Slika 6.), i na taj način je moguće vidljivo detektirati početak infekcije računala. Postoje alati koji mogu detektirati na različite načine izmjene ekstenzija, neki funkcioniraju na način da stavljaju zamke za ransomware i odmah signaliziraju i provode inicijalne preventivne mjere ako ransomware „upadne u zamku“ i kriptira podmetnutu datoteku. Dodatno, u istu svrhu mogu se koristiti razni User and entity behavior analytics programi koji upozoravaju na nesvakidašnje radnje kao što je mijenjanje ekstenzija na velikom broju datoteka u kratkom vremenu.
Slika 6. Ekstenzije kriptiranih datoteka
Ukoliko se ustanovi da je računalo u ranoj fazi napada ransomware-om, preporučljivo je poduzeti hitne mjere. Prva mjera je prekidanje veze sa internetom. Ovaj korak je izrazito važan iz više razloga. Prvi razlog jest što se ransomware, nakon što se inicijalno instalira i pokrene na zaraženom računalu, mora spojiti na tzv. Command and Control (C&C) server u vlasništvu cyber kriminalaca i tamo šalje informacije vezano za stroj koji je inficirao kao što su operacijski sustav, IP adrese, geolokaciju, razinu prava trenutno prijavljenog korisničkog računa. Ukoliko se ustanovi da korisnički račun ima admin prava, kriminalci mogu dodatne napade provesti. Ova konekcija je poznata kao „call home“ ili C2 konekcija i koristi portove 80 (http) i 443(HTTPS). Nakon „call home“ poziva, server uzvraća ransomware-u veliki broj enkripcijskih ključeva, po jedan za svaku datoteku. Princip je ovakav kako bi ključevi bili što bolje skriveni, odnosno da se seciranjem samog ransomware programa ne bi mogli ključevi izvući. Drugi razlog micanja inficiranog računala s mreže je sposobnost migracije ransomware-a, on izvorno
9
kriptira datoteke na lokalnom disku, zatim na vanjskim diskovima i raznim vanjskim uređajima za pohranu podataka, a potom inficira i ostala računala u lokalnoj mreži u kojoj se nalazi zaraženo računalo.
Zaključno, ukoliko ransomware program ne može dobiti ključeve za enkripciju pomoću poziva C&C serveru, on neće biti u stanju kriptirati datoteke. Slijedeći korak je gašenje računala kako bi se prekinuli svi procesi kriptiranja datoteka koji su trenutno aktivni i na taj način se sprječava svaka daljnja šteta. Ovaj korak je iznimno važan, jer nakon što ransomware završi sa kriptiranjem cijelog računala, on briše svoj izvorni program i na taj način zapravo uništava dokaze i tragove.
Kako bi se ove situacije u početku izbjegle i kako bi se maksimalno osigurali od infekcije ovakvim ransomware-om, mogu se poduzeti preventivne mjere. Primjerice, ako se radi o velikim lokalnim mrežama sa brojnim računalima koje se koriste za različite namjene, svakako je preporučljivo unaprijed segregirati mrežu kako se ovakve infekcije ne bi širile s lakoćom.
Ukoliko se nastojimo zaštititi od ransomware-a koji kao ulazni vektor koristi dokumente, tada je potrebno isključiti Office macro funkcije. Office od 2013. godine uvodi tzv. Protected view, način rada svakog od programa u Office katalogu u kojem se ne dozvoljavaju, između ostalog, izvršavanja macro funkcija. Sve to radi na način da se datoteke inicijalno otvaraju u izoliranom „sandbox“ okruženju, gdje ih Microsoftovi alati mogu inicijalno pregledati. Office ima sposobnost prepoznavanja opasnih zaraženih dokumenata, pa tako može korisnika i upozoriti kao što je vidljivo na slici 7.
Slika 7. Office upozorenje za zaraženi dokument
Ako pak imamo pred sobom .zip sa .exe datotekom unutar, takvu je najbolje ne raspakiravati i otvarati ukoliko nismo sto postotno sigurni u njeno porijeklo.
Svakako se preporučuje uključivanje prikaza tipa datoteka odnosno njenih ekstenzija (slika 8.), na taj način se najlakše obrani slučajnog od pokretanja javascript koda.
Slika 8. Uključivanje prikaza ekstenzija na Windows-u
Dodatno, uzevši u obzir popularnost korištenja javascript datoteka u krive svrhe, preporučljivo je namjestiti otvaranja javascript datoteka u notepad-u umjesto izvorne postavke predaji WSH-u (slika 9.) kako bi se izbjeglo slučajno pokretanje skripte.
10
Slika 9. Namještanje pokretanja .js javascript datoteka
Phishing linkove najteže je prepoznati upravo zato što se najviše baziraju na društvenom faktoru zavaravanja korisnika. Općenito bi sve linkove koje otvaramo trebali prvo provjeriti, naime u mail klijentu kao što je Outlook ako pokazivačem miša pređemo preko link-a može se vidjeti web adresa na koju taj link vodi kao što je vidljivo na slici 10. Ako ta adresa izgleda sumnjivo ili očito lažno, tada se link ne smije naravno pritisnuti.
Slika 10. Prikaz web adrese na koju link vodi
11
Drive-by napade najteže je zaustaviti jer korisnik ne može primijeniti svoje znanje u obrani od ransomware-a. Tada je zadnja linija obrane korištenje različitih web content filter alata koji sadrže opsežne baze poznatih stranica koje koriste različiti malware-i i na taj način se sprječavaju inicijalni odlazak na poznate stranice koje distribuiraju ransomware. Uz WCF filtere zajedno idu i ispravno podešeni DNS firewall-i tj. DNS vatrozidi. Poznatiji antivirusni programi na tržištu imaju vlastite filtere i vatrozide koji su namješteni u skladu sa ovim pravilima. Njima je moguće spriječiti callback funkcije prema C&C serverima – command and control serverima koje koristi ransomware program za dohvaćanje ključeva koje upotrebljava prilikom enkripcije.
Ako se ransomware uspije izvršiti tada se on sam u potpunosti briše sa zaraženog računala kako se ne bi mogao njegov izvorni kod izvući. Kao što je spomenuto u tekstu ranije, preporučljivo je odmah odspojiti računalo s interneta i ugasiti ga kako bi se spriječilo samouništenje ransomware-a. Međutim, najčešće su i sami ransomware programi kriptirani i vrlo se teško može otkriti originalni source code. Ako se to pak međutim uspije napraviti, tada postoje web alati koji mogu djelomično ili pak potpuno provesti dekripciju datoteka na korisničkom računalu, odnosno ukloniti posljedice koje je ransomware ostavio. Takvih alata ima podosta kao što je vidljivo na slici 11., međutim svakodnevno nastaju novi ransomware programi pa je ovo konstantna utrka.
Slika 11. Dekriptori koje je moguće skinuti s interneta
Najsigurnija metoda jest kontinuirano stvaranje back-up jer ukoliko se zarazimo ransomware-om i njegov napad prođe u potpunosti uspješno, velika je vjerojatnost da osim plaćanja otkupnine nećemo imati način da vratimo izgubljene datoteke. Stoga je fizički odvojen i redovit back-up najbolja opcija.
12
4. Zaključak
Najbolji način borbe protiv ransomware-a je edukacija. Najčešće metode koje kriminalci koriste su zavaravanje korisnika i većina napada ne bi se uopće ostvarila kada bi poznavanje opasnosti bilo bolje. O opasnostima i načinima kojim djeluju razni virusi i zloćudni programi pružaju trebalo bi se učiti na informatici u školama, a svakako bi se u poslovnom svijetu osoblje trebalo educirati te bi osnovno poznavanje cyber prijetnji trebalo ući u informatičku pismenost.
13
5. Literatura
https://www.file-extensions.org/filetype/extension/name/ransomware-encrypted-files
https://en.wikipedia.org/wiki/Phishing
https://www.csoonline.com/article/2117843/phishing/what-is-phishing-how-this-cyber-attack-works-and-how-to-prevent-it.html
https://nakedsecurity.sophos.com/2015/09/28/why-word-macro-malware-is-back-and-what-you-can-do-about-it/
https://nakedsecurity.sophos.com/2016/04/26/ransomware-in-your-inbox-the-rise-of-malicious-javascript-attachments/
https://news.sophos.com/en-us/2015/09/28/why-word-malware-is-basic/
https://lifehacker.com/ransomware-is-being-hidden-inside-attachments-of-attach-1794610034
https://blog.malwarebytes.com/101/2017/03/what-are-exploits-and-why-you-should-care/
https://blog.malwarebytes.com/101/2016/06/truth-in-malvertising-how-to-beat-bad-ads/
https://heimdalsecurity.com/blog/javascript-malware-explained/
https://www.malwarebytes.com/ransomware/
https://community.sophos.com/kb/en-us/124699
https://www.wei.com/wp-content/uploads/2016/04/tech-brief-using-network-segmentation-to-manage-malware-and-ransomware-risks.pdf
https://www.entrepreneur.com/article/274379
https://docs.microsoft.com/en-us/deployoffice/security/set-up-a-safe-environment-to-open-files-by-using-protected-view-in-office
https://zeltser.com/detect-impede-ransomware/
https://www.predictiveanalyticstoday.com/best-user-and-entity-behavior-analytics-software/
https://www.avast.com/ransomware-decryption-tools
https://noransom.kaspersky.com/
https://www.trendmicro.com/content/dam/trendmicro/global/en/security-intelligence/research/reports/rpt-2016-annual-security-roundup-a-record-year-for-enterprise-threats.pdf
