Ok, tralasciate i grandi paroloni usati nel titolo. Non voglio rompervi, cari lettori, con dettagli tecnici, gran paroloni e favorire magari qualche script kiddie nel creare un malware parecchio bastardo, per cui restero’ sul vago, rimanendo piu’ leggibile possibile e beh, chi sa’ sa’.
Questo articolo nasce da un paio di situazioni che mi sono passate sottomano analizzando dei server attaccati da un paio di ransomware, e virus vari ed eventuali, di cui voglio mettervi a conoscenza per il semplice fatto che per alcune caratteristiche li ho ritenuti parecchio interessanti.
Esattamente, parliamo di un ransomware modulare.
La cosa interessante di questo ransomware non e’ la modularita’ in se, ma i moduli usati.
Esempio:
Download? Wget.exe
Crittografia/Compressione? rar.exe (direttamente dalla suite winrar)
Eliminazione sicura file: del.exe (direttamente da un tool firmato microsoft)
Ok, un povero antivirus si vede costretto ad analizzare un .exe che fondamentalmente NON FA NULLA di per se’, ma ha tutte le funzioni esterne, in eseguibili riconosciuti come SICURI.
“Sfortunatamente” quel ransomware non faceva alcun controllo sull’md5 dei moduli che chiamava, sostituitomi quindi a rar.exe si riusciva tranquillamente ad ottenere la chiave di cifratura, con cui ho decodificato i dati del server.
Interessante in questo caso e’ stato lo studio della modularita’ usata per ingannare gli antivirus, peccato per il mancato controllo dell’md5 dei file, avrebbe reso tutto piu’ interessante.
Ok! Questo malware mi ha veramente stupito, ci ho perso diverso tempo prima di capire cosa faceva, ora ve lo spiego in breve:
Tutti i file nelle cartelle condivise di windows venivano cryptati, ed a quanto diceva il .txt presente in ogni cartella veniva usata una crittografia RSA @ 1024 bit.
Ok, bisogna trovare come viene generata la password!
Creo un file nella cartella condivisa, e mi metto a controllare che programmi accedono al file.
“Cartelle condivise di windows vuole accedere al file”, ok lasciamoglielo fare.
“Cartelle condivise di windows vuole eliminare il file” ma – – che cavolo?? sono in una rete isolata, dietro firewall e chi e’ che sta facendo richieste per eliminare file nella cartella condivisa??
Controllo e noto che nella cartella e’ gia’ stato riscritto il file in versione cryptata.
Ok, mi sono perso qualche passaggio.
Ricontrollo, mi metto a controllare anche che software tentano di scrivere nella directory… Niente, solo cartelle condivise di Windows.
Controllo gli md5 di varie .dll e degli .exe di riferimento e sono tutti legittimi.
A quel momento non ci stavo veramente capendo piu’ niente.
All’improvviso vedo una cosa curiosa:
C:\temp\
Allora entro e trovo:
hamachi.txt
ESATTAMENTE.
I computer infetti si ‘trovano tutti in una lan virtuale’ ed ogni computer codifica i dati dell’altro, cosi’ che non sia possibile ritrovare la chiave di crittografia.
Fortunatamente in questo caso sono riuscito a recuperare la maggior parte dei dati via software di recovery (i file non erano cancellati in modo sicuro)
La maggior parte dei ransomware che ho trovato, erano su sistemi strutturati in modo completamente stupido.
NON BISOGNA MAI DARE AGLI UTENTI ACCESSO RDP COME ADMIN SUL SERVER.
Il server e’ un server di backup? NON DATE PROPRIO ACCESSO RDP! (Poi, se e’ un server di backup potreste anche farlo con linux no? Di sicuro correreste meno rischi)
Tenete meno porte aperte possibile, ed AGGIORNATE SEMPRE!
Vi lascio con una chicca per far capire che softwaristi ci sono in giro:
Qualche settimana fa sono stato in un’azienda a recuperare dati dai server, e noto che tutti i pc avevano qualcosina che non andava.
Controllo gli aggiornamenti: “10/06/2012” Oh bene dai, e’ solo piu’ di un anno che non venivano aggiornati, su qualsiasi pc.
Controllo anche i server, idem.
Allora chiedo perche’ nessun pc era aggiornato e mi viene risposto:
“Abbiamo un esperto in sicurezza informatica che ci segue, e’ lui che ha fermato tutti gli aggiornamenti sui pc perche’ vuole controllare che aggiornamenti vengono fatti per essere sicuro che vada tutto bene! E’ BRAVO!“