Analýza často viděného „policejního ransomware“ odhalila zajímavé skutečnosti

Zdroj: SOOM.cz [ISSN 1804-7270]
Autor: Batou
Datum: 16.6.2013
Hodnocení/Hlasovalo: 0/0

Na rootu vyšel před pár dny zajímavý článek, pojednávající o v poslední době velmi rozšířené hrozbě, tzv. „policejním viru“. O ransomware jsme vás již na Soomu informovali, tento konkrétní má hezkou českou lokalizaci a za propuštění rukojmích (vašeho PC) požaduje 2 000 Kč. Jak plyne z komentářů pod článkem, ani po zaplacení vám pokoj nedá. Zmiňovaný článek je součástí seriálu, který na rootu vzniká za přispění národního CSIRT týmu (http://csirt.cz). Zabývá se analýzou ransomware, kterou provedl bezpečnostní tým CESNET-CERTS (https://csirt.cesnet.cz/) ve své forenzní laboratoři. Ten se vyskytuje na Windows a žádost o jeho analýzu byla týmu zaslána. Projevuje se tak, že po zapnutí PC vyskočí přes celou obrazovku upozornění o porušení zákonů a výzva k zaplacení pokuty do 48 hodin, jinak hrozí trestní stíhání. Klasická kombinace ctrl+alt+del nefunguje a běžnému uživateli se zdá, že není šance zachránit data a přitom nezaplatit. Klient forenzní laboratoře dodal týmu stopy - obraz disku a operační paměti napadeného počítače společně se zaznamenanou síťovou komunikací zachycující průběh zadání platby. Byla tedy provedena analýza malware reverzním inženýrstvím (za pomoci OllyDbg a IDA Pro). Ta prozradila rozdělení programu do dvou modulů - část starající se o zapojení PC do botnetu a část se samotnou ransomware aplikací. Samotné nakažení systému může proběhnout tradičními způsoby - otevření nevhodného souboru z netu, návštěva napadené stránky (případně přesměrování na jinou, obsahující většinou placené exploity) atp. Při analýze byly zjištěny 3 hlavní směry zranitelností - zavirované PDF soubory, zranitelnost v Java Virtual Machine a Internet Exploreru (konkrétně v jeho použivání externích fontů). Tento malware se, jako každý „správný“, opětovně spustí po restartu PC. Toho je dosaženo zápisem do registrů (jmenovitě byl spouštěn zástupce, který pomocí komponenty rundll32.exe aktivoval vstupní bod v knihovně malware wlsidten.dll) a také využívá složku „Po spuštění“. Dalšími možnostmi by mohlo být vytvoření služby, driveru či hooku do kernelu. To by však již vyžadovalo oprávnění „roota“. Další zajímavostí je fakt, jak tato aplikace blokuje správce úloh - 2x do sekundy kontroluje, zda je okno spuštěné, pokud ano, prostě ho zavře. Také v tomto intervalu obnovuje zápis v registrech. Proti antivirům se brání zakódováním svých knihoven uložených na disku. Poslední, co podle mě stojí za zmínku, je způsob jak tento nezmar komunikuje se svými tvůrci. Hlavní snaha byla směřována k nenápadnosti. Klientská část botnetu tedy vkládá vlastní kód do spuštěného vlákna s aktuálním prohlížečem (tzv. DLL injection) - vše se tedy teče portem 80 (HTTP), kde nevyvolá podezření. Komunikace samotná probíhá přes odkládací soubor kde se vyměňují nashromážděná data i pokyny pro další kroky malware. Údajné původní tvůrce tohoto SW se již podařilo dopadnout (http://nakedsecurity.sophos.com/2013/02/14/reveton-ransomware-gang-arrested-by-spanish-police/), na Síti si však program žije vlastním životem a objevuje se stále i v různých obměnách. Rychlý přehled toho, jak vypadá a jak se ho zbavit nabízí video společnosti Sophos na YT (http://www.youtube.com/watch?v=-qR3D-Jx6FQ). Pokud si chcete prohlédnout okno spuštěného ransomware či zjistit praktické zkušenosti lidí z diskuze, následujte odkaz v nadpisu. Pokud vás zajímá problematika botnetů, vřele doporučuji další článek na rootu (http://www.root.cz/clanky/botnety-novinky-ze-sveta-linuxu/).