• 4 июля стартует курс «Python для Пентестера ©» от команды The Codeby

    Понятные и наглядные учебные материалы с информацией для выполнения ДЗ; Проверка ДЗ вручную – наставник поможет улучшить написанный вами код; Помощь преподавателей при выполнении заданий или в изучении теории; Групповой чат в Telegram с другими учениками, проходящими курс; Опытные разработчики – команда Codeby School, лидер по информационной безопасности в RU-сегменте

    Запись на курс до 15 июля. Подробнее ...

  • 11 июля стартует «Курс «SQL-injection Master» ©» от команды The Codeby

    За 3 месяца вы пройдете путь от начальных навыков работы с SQL-запросами к базам данных до продвинутых техник. Научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.

    На последнюю неделю приходится экзамен, где нужно будет показать свои навыки, взломав ряд уязвимых учебных сайтов, и добыть флаги. Успешно сдавшие экзамен получат сертификат.

    Запись на курс до 20 июля. Подробнее ...

Статья Историческая вирусология: поздняя хронология программ вымогателей - локер Илона Маска или как создавалась Тесла. Часть 2

original (1).gif


Предисловие

И все таки, приветствую. У нас выпуск, который должен закончить хронологию программ-вымогателей. Но я этого не гарантирую: есть о чем рассказать, есть что проверить, посему будет неудивительно, если опять придется дробить эту часть на части.

И это уже седьмая часть.

В рамках этого подцикла я слегка шизанулся и начал отходить от канонов, но уж ничего не поделать, получается так, что я мало как сознательно могу влиять на ход развития рассказа. Большинство текста пишется в маниакально-депрессивном порыве. Но многие находят такой стиль для себя интересным, потому отрекаться от привычек никак не намереваюсь в будущем. Не будем тянуть котика за хвостик. К делу.


Теперь уже не смогу отвертеться, сказав, что статьи только обретают очертания цикла, это есть полноценная связка, прошлые статьи по этим ссылкам:

1. Немного ностальгии: историческая вирусология или LoveLetter в цвете современности - 22 года спустя
2. Историческая вирусология: или 40 миллиардов долларов за 18 лет - MyDoom: хронология, история, анализ
3. Историческая вирусология: Чернобыль — как это было на самом деле или как заставить ваш ПК полететь из окна: история, хронология, анализ - CIH
4. Историческая вирусология: разговор о первом черве - или как одна ошибка изменила ход истории - Morris Worm
5. Историческая вирусология: раняя хронология программ-вымогателей - AIDS, GPcode, Arhivarius. Или как шутка психически больного стала каноном
6. Историческая вирусология: поздняя хронология программ-вымогателей - ZeuS, CryptoLocker, CTB: вирусный трафик ценой в миллиарды. Часть 1


Представьте себе картину: гробовая тишь глубокой ночи и лишь одинокие моногамные птицы, слагают песни одиночества, разрывая покой этого места. Смерть таки разделила их любовь.

Пустырь. Тусклый свет молодой луны освещает путнику дорогу, а знаете кто идет? Улей. Имея длинный черный плащ с красными облачками на том, он становится абсолютно незаметным - никому не различить его силуэт в темноте. Снимает, значится, он маску, а под ней - дисклеймер( да, этo очередная отсылка):

Дисклеймер

e_yzEVqKlR8j9vNl6o6dQQsDNEPnzn35NlSHUa18XywZHYSC4YvjCkbv9QeIarD1zt_2TSKKV21ApB1SllktzK8KDUJIpC93Uu0QlQ3e0ypGXYuVPFZZKYapVgQvz3gHVqG-e-PbIrVW_ShY8g

На самом деле я против зла и то, что я покажу вам далее, может быть, практически применено различного рода антагонистами. Сразу предупреждаю, что я, как автор этой писанины , снимаю с себя ответственность за то с каким умыслом будет использована эта информация дальше. Виноват только и только тот, кто применяет знания, но не тот, кто ими делится. Автор лишь преследует благие цели, используя способы и пути злоумышленников, раскрывает суть преступного механизма, открывая людям глаза, демонстрируя способы защиты, ведь лучший протект — это знания.

Историческая вирусология: поздняя хронология программ вымогателей - локер Илона Маска или как создавалась Тесла. Часть 2

Неизменным нашим героем остается Анос Волдигорд - молодой, но уже нет, человек, а также неудачник до мозга костей. Этот персонаж умудрился на протяжении 30 лет ловить на свои устройства почти каждый вредонос-вымогатель, как только тот появлялся в сети, от чего и сам страдал. Свою диссертацию он пытается выпустить уже 32 года, посочувствуем, но не суждено достигнуть ему цели, ведь судьба ведет к его погибели: появляется так называемый TeslaCrypt.

Ну, Маску не хватило пару сотен на пиво, а трубы горят, опохмел нужен, вот он и решил создать этот вредонос. Ходят слухи, что писался он самим Илоном, стоявшим в очереди Пятерочки, а как неоднократно было доказано автором - чем меньше ты думаешь, тем лучше вещи способен породить.
Так, долой шутки.

Наш герой только-только заканчивает переустановку Шиииндоус, а делает он это три раза в день и живет активной полноценной жизнью, и никак не страдает из-за этого, за исключением диссертации. Действительно, когда твою работу уничтожают на протяжении тридцати с лишним лет, это… Тотальное отчаяние.

Но Анос не грустит, он решает скачать себе на ПК пиратскую версию КС ГО. Происходит закономерное, его клавиатура, как и мышь отключаются , а открывшиеся окна очень напоминают тот самый Криптолокер.

И если бы наш Анос только не закончил переустановку Шиндоус, то произошло бы не самое приятное. ТеслаКрипт, которым и был заражен компьютер нашего героя, в основе своей был ориентирован на кражу данных от игровых аккаунтов конкретных игр: КС, КОД и тому подобные. Целевая аудитория - геймеры, обозначим себе это в памяти.

Откинем то, что происходило с машиной нашего неудачника, о этом позже, и рассмотрим хронологию.

11 ноябля.. Господи, да сколько уже можно. Ноября. 2014 года. Первый исходник Тесла крипт попадает на ВирусТотал, где и впервые светится. Предположительно туда его загрузил сам создатель, хотя… А может и нет, это точно неизвестно.

Но уже в конце февраля, где-то около 15-24 числа, 2015 года начинается массовое заражение компьютеров по всему миру, предположительное место начала - Детройт, США, хотя это уже и не имеет особого веса, ведь программа была выгружена на популярные форумы и сайты с читами. Кстати, из-за этого вируса пошла шутка, стоп, кто шутил, реальность же, о локерах в программах такого типа.

Март-апрель 2015 года, массовое распространение, за месяц заражено около двух миллионов машин. К слову, чтобы вы имели представление сколько это в деньгах, то выкуп был примерно 500-600$.

Первого апреля 2015 года происходит ребрендинг зловреда. Серверы платежей по выкупу начали называть, как Alpha Crypt и AlphaTool. Думаете шутка? Нет, ибо вместе с этим выходит крупное обновление и теперь это уже AlphaCrypt, а исходя из прошлого названия, то TeslaCrypt 2.0, который уже был ориентирован не только на игры, но и на файлы документов: .pdf, .jpeg, .mp4 и так далее.

26 апреля, сумма, отправленная злоумышленникам-создателям превысила 40 миллионов долларов.

27 апреля 2015. Несколько энтузиастов из компании Cisco создают дешифратор который позволяет многим жертвам восстанавливать файлы. Но это никак не становится панацеей и заражения, пусть уже и с меньшим процентом на успех, продолжаются вплоть к декаблю…

Нет, ноябрю, простите, того же года. Тогда лаборатория Касперского сообщает, что в первоапрельской версии была найдена какая-то уязвимость, что позволяло им эффективно изничтожать вредонос.

И вот в декабле 2015 года, появляется версия 3.0, в которой этой уязвимости уже нет.


Вирус продолжает своё распространение и деятельность вплоть к маю 2016 года, когда сами разработчики распространяют ключ доступа и закрывали проект. А через несколько дней ESET выпустили общедоступный инструмент для бесплатной расшифровки зараженных компьютеров. Итог - около 75 миллионов долларов ущерба.

С хронологией этого вируса у нас всё, давайте разбираться детально в его работе: чем он отличался, чем был схож, где оплошал, а в чем преуспел. Кстати, среди жертв были и вот такие, потерявшие свои аккаунты в играх, в которые было вложено несколько миллионов:



Для распространения этого вредоноса использовались уязвимости нулевого дня в браузерах и флэш плеере. Так называемая CVE-2015-5119, которая может использоваться всякими сомнительными типами для удаленного исполнения кода, но в нашем случае исключительно установки вредоносных программ на всех популярных браузерах: MS IE, MS Edge (Windows 10), Google Chrome, Opera, Mozilla Firefox, хотя этот эксплоит был актуален и для ведроида, и для ИОС, атаки, если что, проводятся способом drive-by download, что стало очень выгодным для ТеслаКрипта.

И фатальным здесь стало не существование такой уязвимости, а её добавление в популярные наборы для эксплоита браузера - Angler и Nuclear. Скорее всего многим эти наборы известны, ведь автор в те года тоже слегка баловался таким.

Допустим, что наш Анос заразил свой ПК отнюдь не скачиванием уже зараженного файла, а вот как раз таким манером с помощью зиродей. Тогда как бы это выглядело?

Упустим работу на атакующей машине, ибо это уже будет напоминать пособие, а не статью о истории.

Используя набор эксплоитов, злоумышленник загружает и запускает TeslaCrypt в системе.
Зловред же немедленно копирует себя в %AppData%, используя случайную строку из семи букв нижнего регистра (например, amfmdma.exe).

Тот исходник, который был загружен посредством уязвимости, выполняет свою копию - amfmdma.exe, а затем завершает работу. Такой метод заметно утруждает процесс снятия блокировки, ибо идентифицировать процесс становится сложнее.

В момент запуска вредоносная программа удаляет все теневые копии томов в системе:
Код:
%WinDir%\system32\vssadmin delete shadows /all

После начинает выполнение мьютекса, думаю вы помните что это, ведь нам уже приходилось разбирать подобный алгоритм работы. Здесь есть то, чего не было в черве Мортиса, ведь созданный мьютекс предотвращает повторное заражение. В основном именовались они так: System1230123 или dslhufdks3.

Затем вредонос регистрируется в реестре, дабы гарантировано запуститься в момент перезагрузки устройства:
Код:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

А теперь наш локер от Илона Маска начинает шерстить систему на наличие подходящих под шифровку файлов, это у нас все медиафайлы и текстовые документы. В каждом каталоге, где есть что шифровать он сотнями воспроизводит файл HELP_RESTORE_FILES.txt, в котором находятся все нужные инструкции для расшифровки вашей персональной информации за деньги.

Скажем "Нет!" аниме девочкам на заставке рабочего стола, теперь только сообщение о выкупе:

ElOMdyI_FwyDWAW8pY13AkQzIefSyPz8l1NNfz5HRp8M8Wz9AHki4m5dS6TTKsnc9xyW80SvQSkOF2tmebT_8GrEpZa2wxjlu9KjPzqzqFfQjEABvxYuHTLj9gmQBfLI_Q0F9zCK0FMvhtACoA



В довершение всего подготовительного действа на рабочем столе удаляются все ярлыки и появляется один единственный - teslacrypt.exе, ведущий к файлу в AppData.

Теперь минутку уделим шифрованию. Сама его схема никогда не оставалась постоянной, новая версия - новый тип.. Изначально это была реализация алгоритма AES-256-CBC, с сохранением ключа расшифровки в файле key.dat, но этот метод быстро сам себя скомпрометировал. Хотя до конца процесса превращения ваших файлов в мусор всех ваших файлов и он маскировался, затираясь нулями.

В последней версии, которую мы и разберем, создатели решили не придумывать велосипед и своровать механизм из предшественника - ситрони, который, если вы ещё не забыли, был основан на эллиптических (не от слова эпилепсия) кривых.

Единственное отличие между Ситрони и Теслой, так это то, что сессионные ключи генерируются не для каждого файла, а для текущей сессии компьютера, то бишь до перезагрузки.

Итак, в нашей последней версии, локер от Маска начинает сохранять всю важную для работы информацию не во временных файлах, а в самом реестре, что оказалось более надежно. В HKCU\Software\msys\ID сохраняется значение идентификатора вредоноса, а в HKCU\Software\<идентификатор>\data сохраняется номер Bitcoin-кошелька, публичный ключ master-public, важно учесть, что приватный ключ не сохраняется нигде.

tk5YPq5GZUjge8bBSmGuNyNawT4PJcC8VK4yhRRbmIkRn4FPJKTSw9gkXXt9BKpu_PtR3ss17Q2QwnCwV0h-Dbk9r_s9HqdgWJc6KcUfezPvUHXeew19fuTCu3XRlMXM0uNQJByslXTVp3vZ-Q


В первых версиях было GUI окошко с требованием о выкупе, но создатель вируса решил опять скопировать у предшественника своего творения идею - HTML страницу, которая вид имела вот таков:

1OIanPDi_VejP3zpCwZpEE40j7grPTUu6WrJ1ssaDN2oXjU7Ck5Sa7Dr-qf51Yv2gu8VdkgWqjai_0UOVElWpgcRgNbd8VdEHFuZnN-b3JFLcoFnFrIWq8HE4c-ChH7MRtYIKe3nnee_VN_pOw



О КриптоВолл мы поговорим чуточку позже, но особо ничего нового там и не было.

Процесс шифрования начинается с того, что вредоносное ПО использует функцию API GetLogicalDriveStrings() для перечисления хранилища на дисках системы с буквенными обозначениями (например, C:\).

Затем использует API-вызов GetDriveType() выборочно выбирает диски через DRIVE_FIXED (например: жесткие диски или SSD) и диски DRIVE_REMOTE (например, подключенные сетевые ресурсы). TeslaCrypt ничего не делает со съемными (USB) хранилищами и не сканирует подключенные сети на наличие открытых общих ресурсов.
Прикол ещё в том, что все шифруемые файлы записываются в исходный код самого вредоноса, что порядком усложняет возможность расшифровать их какой-то утилитой.

Список зашифрованных файлов хранится в %AppData%\log.html. TeslaCrypt также хранит метаданные о заражении в небольшом (<1 КБ) двоичном файле %AppData%\key.dat

7XeEn8MzrLUXwzeozmFNMDs2Ne8DjpLr5S9adx6Uq6bHxFORfVsRgGqJ-9opwhozTx8aIaEr8GjorA0WNR0XU7KMozFqhDTAsEhDkDLazGVQtmJDN-fS2_p8WPEpD1MDhgpmFabjCOjYyrNwyQ



Сервера самого вредоноса, как и в прошлом разобранном локере, находятся в TOR’е, что очень даже неплохо.

Скомпрометированные системы взаимодействуют с этими серверами двумя способами:

Через общедоступные шлюзы web-to-Tor, такие как Tor2web.org, tor2web.fi и blutmagie.de.

Через прокси-сервера злоумышленников, например, dpckd2ftmf7lelsa.aenf387awmx28.com. Эти домены, контролируемые авторами, часто размещаются в законной инфраструктуре, управляемой сторонними организациями, такими как CloudFlare.


Оплата в основном происходит через биткоин, на то время она составляла от 1.5 до 2.5 биткоинов, но была возможность заплатить и на карту PayPal.

Мини-выводы

Программы-вымогатели, шифрующие файлы, продолжают оставаться растущей тенденцией среди вредоносных программ того времени. И практически все известные вирусы времен 2010-2022 - это вымогатели.

TeslaCrypt очень красиво сплагиатил CryptoWall, CTB-Locker и TorrentLocker, учитывая их ошибки и проколы, по сему и он обратился в качестве одной из самых активных угроз тех времен.

Хотя инструмент дешифрования Cisco Talos позволит многим жертвам восстанавливать файлы, создатель этого чуда тоже не дурак и очень быстро исправил брешь в своей программе.

Кстати, вот что думаете о создателе этого вируса? Компания Тесла была открыта Маском в 2015 году, как раз тогда, когда активничал этот вредонос. Как говорил сам Илон, что у него были последние деньги и то он взял кредит, а после уже и создал то, что сделало его миллиардером.

Но не кажется ли вам это совпадение странным? Ведь сразу же создания компании, винлокер вдруг делает ребрендиндинг и становится АльфаЛокером… Подумайте на досуге о целесообразности моих рассуждений. Хе-хе-хе.

И теперь должен был быть раздел о ВаннаКрай, но выходит, что если я втулю его сюда - статья выйдет огромной, потому все прочие исторические вымогатели будут разобраны уже не в рамках этого подцикла, а пойдут по естественной хронологии Исторической вирусологии. Лады?

А теперь давайте поговорим о том, почему винлокер стал достоянием и мемом в сообществе даже тех, кто ни капли не понимает, что в действительности стоит за этим названием.

В период с 2014 года по 2016 на Ютуб появляется множество видеороликов, типа “Наказал шкАЛЬНИКА288 ЗА ГРИФИНГ” или вот видеоролики от какого-то Донбасса, я не могу прочитать его ник адекватно, где он кидает ссылку в Дискорде и якобы там ссылка на винлокер-картинку, но на деле это обычный выход из гугловского генератора. 2-4 миллиона просмотров на каждом выпуске… Ужас. Кринж.

В основе используются не очень сложные программы-вымогатели, если их вообще можно так классифицировать, ведь они банально ограничивают работу вашей системы, ничего не требуя взамен.

Если я вам скажу слово Винлокер, какую картину вы представите сперва, разве не вот это?

f9q1Pib8TA089rbarkOyhhGMzCzX8RpYP9lMWzTuGgnzqjUfWV8-aL38KaLRXPFecd7jY2V2WZpCHpu_XQlPHSJqmjoL4ROsb2z0Nf9Zy9kDjpSELt_G6LWauehVarVR4_N6aVHCl8O_WENhrA



Уверен, что 90% подумают именно о этом, давайте разберем, что оно, как оно, как с ним бороться и в чем его фундаментальный просчет.


Итак, я не дурак, чтобы использовать основную машину в качестве подопытного кролика, кстати, в заключительной части Исторической вирусологии, я уничтожу свою же винду, ибо до того времени сойду с ума. :)

Качаем первый попавшийся генератор винлокеров из под видео на ютубе. И … Это оказывается сам вирус, а не его генератор, спасибо.

Снять его слишком просто: безопасный режим с CMD - taskmanager.exe - удаляем все файлы связанные с процессом, чистим реестр.

И вот, спустя несколько часов поисков, удалось нарыть мне рабочую версию, давайте запустим и поглядим, что да как оно выглядит.

М-м-м, сразу же после открытия решил открыть диспетчер задач и замечаю, что какой-то процесс сразу же закрывается, ну сами понимаете, что оно. Скорее всего какой-то скрытый майнер.

Давайте сначала проведем анализ самого билдера, ибо мне кажется, что там есть что-то ещё.

М-м-м, я не особо в этом понимаю, но таблица импортов зачем-то затрагивает ддлки, которые никак не относятся к работе билдера, так же если повторно открыть диспетчер задач, то можно успеть заметить процесс - мсчест32.ехе, что очень часто используется для маскировки скрытых майнеров, но разбираться детально не будем.

Давайте откроем сам локер и посмотрим, что будет. Ожидаемо - сообщение ,что наш виндоус заблокирован. Сам локер вызывает системные лаги, кстати, попыток ввода пароля - одна. Давайте специально введем неверный пароль и глянем, что же случится. А ничего, просто перезапуск винды. Тьфу, я разочарован.

Удивительно, что для обхода нам не нужно даже перезагружаться, достаточно зайти в гостевой аккаунт или другую учетку.

Итоги

Желание наскрести денег на плату за коммуналку или же мысли типа: “Мир прогнил, его ждет неизбежно лишь одно - разрушение , поэтому стану-ка я богом этого нового мира”. Как знать, но что-то таки побудило создателей вымогателей выпустить свои творения в сеть, но одно знаем мы наверняка - это вошло в историю, а о ней мы и говорили.
Это заключительный выпуск подцикла Хронологии Программ-вымогателей, поэтому давайте подведем итоги этих трех выпусков. Напоминаю, что такие вирусы, которые навели шуму в современном обществе, будут разобраны в рамках цикла Исторической вирусологии чуть позже. Ибо нет смысла дробить эту статью ещё на три части.

1989 год - Джон Поппа и его первый троян-вымогатель - AIDS. Сошел с ума, отсидел два года в психушке и благополучно смотался от ответственности.

2005 год - GPcode - определенная революция в подходе к созданию вымогателя, создатель неизвестен. Из-за предельной частоты процессора в 2.2 Ггц возникали определенные проблемы с расшифровкой RSA ключа в 550 байт.

2006 год - Архивариус - потерпел крах через месяц после выпуска в сеть, а причиной стало то, что на всех версиях использовался один и тот же пароль - 38-символьная комбинация клавиш «mf2lro8sw03ufvnsq034jfowr18f3cszc20vmw».

2010 год - CryptoLocker - первый прототип современных локеров, нанес огромный ущерб, первым начал использовать AES и выплаты на кошельки криптовалюты. Породил на своей основе очень много различных версий, никак не связанных друг с другом. Общий концепт современности вымогателей.

2014 год - Ситрони - усовершенствовал методы шифрования, используя революционный подход, основанный на эллиптических кривых. 20 миллионов долларов ущерба.

2015 год - TeslaCrypt - гениально своровал идеи других и усовершенствовал их. О нем и сегодняшний выпуск.

И каков итог? Невероятные 300 миллионов собранных долларов, невероятный ущерб и петабайты потерянных данных. Такова история.

А с вами был, как всегда, какой-то анимешник DeathDay и его маниакально-депрессивные записки. Не прощаюсь.

2015-2016. TeslaCrypt.​
 
Последнее редактирование:
Мы в соцсетях:

Похожие темы