• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Статья Историческая вирусология: поздняя хронология программ-вымогателей - ZeuS, CryptoLocker, CTB: вирусный трафик ценой в миллиарды. Часть 1



GRRJUVmUk2Su7FfdihYSmAEQ_MkGFnLV3uy9GM7-uH54-i5tkd746C35vzeSuH80nJeD_rCKquS-YCmQRQ4wE_WYzjlrzfkO7UhMDl6OeSAkg6DnbsnAML5JA_pGWQFgx5i2krHHXt8WIE79iQ


Предисловие

Желание наскрести денег на плату за коммуналку или же мысли типа: “Мир прогнил, его ждет неизбежно лишь одно - разрушение , поэтому стану-ка я богом этого нового мира”. Как знать, но что-то таки побудило создателей вымогателей выпустить свои творения в сеть, но одно знаем мы наверняка - это вошло в историю, а о ней мы и поговорим.

Итак, это вторая часть, поэтому разглагольствовать не стану в предисловии, так как просто продолжаем прошлую статью. Теперь на повестке дня у нас поздняя хронология программ-вымогателей. В прошлой мы разобрали появление и примитивную эволюцию вплоть к 2010 году. Теперь же движемся от 2010 до сегодня.

Возможно, эта статья тоже будет поделена на две части, ведь действительно есть о чем говорить, да и наконец будет анализ, практика. О да.

Честно признаться, я устал. Каждый день писать по две статьи, но как минимум ещё четыре выпущу, дальше нужно будет взять перерыв. Так как у нас это цикл, оставляю ссылочки на предыдущие пять? Стоп, действительно, уже пять статей написано..

Я молодец что-ли, ловите ссылки:

1. Немного ностальгии: историческая вирусология или LoveLetter в цвете современности - 22 года спустя
2. Историческая вирусология: или 40 миллиардов долларов за 18 лет - MyDoom: хронология, история, анализ
3. Историческая вирусология: Чернобыль — как это было на самом деле или как заставить ваш ПК полететь из окна: история, хронология, анализ - CIH
4. Историческая вирусология: разговор о первом черве - или как одна ошибка изменила ход истории - Morris Worm
5. Историческая вирусология: раняя хронология программ-вымогателей - AIDS, GPcode, Arhivarius. Или как шутка психически больного стала каноном

Здесь я не вижу смысла делать подводки к дисклеймеру, поэтому вот, ну неизменная классика на своем месте:

Дисклеймер

На самом деле я против зла и то, что я покажу вам далее, может быть, практически применено различного рода антагонистами. Сразу предупреждаю, что я, как автор этой писанины , снимаю с себя ответственность за то с каким умыслом будет использована эта информация дальше. Виноват только и только тот, кто применяет знания, но не тот, кто ими делится. Автор лишь преследует благие цели, используя способы и пути злоумышленников, раскрывает суть преступного механизма, открывая людям глаза, демонстрируя способы защиты, ведь лучший протект — это знания.

Историческая вирусология: поздняя хронология программ-вымогателей - ZeuS, CryptoLocker, CTB: вирусный трафик ценой в миллиарды

Итак, напоминаю, что наш главный герой до сих пор - Анос Волдигорд, который по чистой случайности, ну ни капли не подстава, ловит все возможные винлокеры и прочую чепуху на свое устройство. Переносимся мы на несколько лет вперед, а именно - 2010 год.

Именно в этом году появится популярное и используемое нами всеми слово “винлокер”, именно в таком виде, ну по схожей методологии, все программы-вымогатели будут действовать в будущем. Это стало в кое-то веки перезапуском самого понятия вымогателей. Появляется в сие время на арене информационных технологий некий CryptoLocker, дело все в том, что пусть это и один зловред, от него пошло целое семейство, считайте на его базе. Даже тот же ВаннаКрай основан на принципе работы этого зловреда.

И вот, наш Анос переехал в Калифорнию, в новостях уже объявили о появлении нового типа шифраторов данных, но нашему герою побоку, он снова пишет свою диссертацию, уже больше 20 лет, получается.

Но эта угроза всегда работает по одному и тому же сценарию: шифрует документы и требует выкуп для того, чтобы восстановить зашифрованные документы.То есть формально ничего не изменилось в этом из 1989, когда Поппа это реализовал.

Криптолокер в свое время распространился на сайтах с сомнительной репутацией, которые толкали в массы всякие читы на популярные игры, в то время это были: КС там, Майнкрафт вышел плюс-минус тогда. Ну и теперь утверждение, что скачать винлокер из сайта мамкупимнеЧИТЫЫЫ.ком.ру.юа.кз - актуально. Но никто до сих пор не отказался от рассылок по почте, на то время, да и сейчас, работает.

Хотелось бы заметить, что говорим мы уже о времени с более-менее сформировавшимися принципами информационной безопасности, то это не 1999 и не 2004 годы. Те шишки, которые им набили прошлые вирусы не прошли зря, но количество устройств росло пропорционально ходу времени, а молодые ребята в 6-8 лет, активно получающие собственные ПК ничего не смыслили в том, где есть угроза, а где нет.

Далее на базе этой тематики появятся куча видео на Ютуб, типа “Наказал школьника в майнкрафт, подкинув ему вирус”. Вот такое, можете посмотреть на ютубе, но в большинстве случаев - банальная постановка.

Итак, Анос как всегда сидит на каком-то информационном портале, где собирает информацию для своей диссертации, которую не суждено ему дописать никогда. И вот, его друг скидывает на почту ему какой-то .zip архив, утверждая, что там находится важная информация для его исследования. Вот такие вот подлые друзья существуют, от реальности не далеко. Автору в году 2012 однокласник также нагадил, спекулируя моим интересом к ИБ.

Итак, прикрепленный к сообщению файл, содержит исполняемый файл с именем rabota228.exe и значком, замаскированным под PDF. А виндоус до сих пор по стандарту скрывает расширения, получается что-то типа rabota228.pdf, но он то в EXE.
И тут важно отметить, что CryptoLocker также распространялся с помощью трояна Gameover ZeuS и ботнета. Немного отвлечемся на вот этот Геймовер.

Хотя он и не относится непосредственно к программам вымогателям, он в кое-то веки в этой истории тоже замешан. Расскажу очень кратко.

ZeuS — троянская программа и одновременно ботнет нового типа, к слову это один из первых нашумевших ботнетов после МайДум,который являлся прототипом, как по мне.

Появляется он в конце 2007 года и основная его задача была кража данных банковских карт, которые люди сохраняли на своих устройствах, да, до сих пор не советую пользоваться вот этим “сохрани карту вместе с гуглом, слови какой-то троян и лишись всех средств бесплатно”.

ZeuS был написан на C++. Предназначен для всех версий Windows, и из-за своей структуры, позволяющей работать без подключения программы к драйверам, может заразить компьютер даже из гостевой учетной записи..

Затем этот, богом грома не хочу его называть, ворует, посредством внедрение в память машины, все сохраненные данные, после начинает хаотичные переводы на уже сворованные карты и такой вот цепочкой приводит к счету создателя. Хотя там было все очень запутано и счет владельца зловреда так и не отследили.

Было огромное количество разновидностей, не виндоусом единым, Линуксоиды тоже пострадали, а пользователи Ведроида-андроида вовсе улетели.

Маскировался он, кстати, под лицензионное ПО типа антивируса и так далее.

А уже сам ботнет GameOver Zeus представлял собой исключительно ботнет, подгружающий сегодняшнего нашего клиента - Криптолокер. На деле получается странная картина, геймовер тоже воровал данные карт и делал хаотичные переводы, то есть из тебя выкачали последние деньги, а после ещё и заблокировали устройство, требуя ещё 100$. Вот так вот задумка.

Если интересно, что случилось с создателем? Он начал одевать контрацептивы на голову и баловаться “собачьим кайфом”, а после благополучно скончался во время очередного приступа. Ладно, шутка. Изначально обвинили жителя Тайвани… Опять она. В 2013 году Хамза Бенделладж, известный в Интернете как Bx1, был арестован, но после с него были сняты все обвинения.

И выдвинули подозрения в сторону Евгения Михайловича Богачева, но этот персонаж свалил в страну без экстрадиции и живет счастливо.
Обратно к локеру. Я забыл на чем остановился, поэтому пошел перечитывать, деменция какая-то уже.

Анос без зазрения совести открывает программу и.. Начинается веселье! Первые 10 минуток ничего не будет происходить на вид, но на деле в это время вредонос генерирует случайный симметричный ключ для каждого файла, вот на этом моменте уже прослеживается отличие от прошлых наших товарищей, который он собирается шифровать в дальнейшем, то есть это не все.

После чего шифрует содержимое файлов с расширениями: .zip, txt, pdf и так далее. Используя алгоритм AES, задействуя ключ, сгенерированный ранее.

Далее программа шифрует случайный ключ, используя алгоритм шифрования с помощью асимметричного открытого или закрытого ключа RSA и ключи длиной более 1024 бит, были даже примеры на 2048, если уж по правде.

И добавляет его в зашифрованный файл. Таким образом, зловред гарантирует, что только владелец закрытого ключа RSA сможет получить случайный ключ, который был использован для зашифровки файлов.

А после происходит ещё и перезапись файлов, поэтому получить к ним доступ окольными путями есть невозможной задачей.

Развитие на лицо, верно?

Но и это ещё не все. После происходит генерация доменов, из которых возможно скачать файл реестра для стабильной работы.

После того, как троян скачал PK, он преобразовывает его в ключ реестра: HKCU Software CryptoLocker Public Key.

Затем уже происходит тотальное шифрование данных на всех дисках, к которым вредоносу удалось получить доступ.

Вот кстати картинка, какие файлы подвержены превращению:

91v1biaHnUX-kujw48svfiKI2ODVp7Iv9CrkbUg59Xk8IAcyB5-TFSDdWFFerfqR8M8LNzKSoXckSr2PmHF4_RxwMYWGTKVIdAWQ2U9UHhusdnKKudo_2G7zMhF1ly2vjMwxATikAxBVn9ixIw


Кстати, каждый ключ от зашифрованного файла будет находиться в том самом ключе реестра, а тот в последствии будет логироваться вот здеся:
Код:
HKEY_CURRENT_USERSoftwareCryptoLockerFiles

А после уже наш криптолокер уведомляет Аноса, о том, что все его файлы зашифрованы, подобным сообщением с таймером.

Мг-г, так как мне с кое-каким трудом удалось найти этот локер, то давайте взглянем на него поближе в декомпиляторе.

Огромный список импортов и что самое смешное - таблица конвертирования денег.

Прикол, наверное, ещё в том, что наконец этот ужасный декомпилятор не смог толком ничего выдать, поэтому давайте взглянем через olly на это все чудо, хотя зачем.

Перейдем к практике, захотелось мне запустить данный вредонос на седьмом виндоусе и попытаться какими-то методами освободиться от его контроля. Хотя на виртуальной машине - это получится вряд-ли.

Стоит заметить, что на данный момент наличие любого антивирусного ПО на вашем ПК обеспечивает вам безоговорочную победу, но представим, что у нас её нет. Я это не проверял, но отчет с вирустотала говорит сам за себя 67 из 67, даже самый заурядный антивирус вас обезопасит.

iba9tG9gWmJW93B4RL97hiW82nzsArNpF0RT6aC-7JE-3Z6H7KnHKzgL77MnfMCeRHRiPEpBrqSK9SBH166jU2DM9CmY4oRbQopB7oidbKdWP7VhwqeWNy49st-fItCfwmj8xpCvfMxfi5jz9A


Кстати, этот виндоус начал очень тормозить после проверки на нем ЛавЛеттер, хотя тот банально скопировал себя во все системные папки по несколько сотен раз. Ладно, сперва создадим на рабочем столе какой-то рисунок, документ и все, хватит. А теперь к непосредственно запуску.

Сразу же после открытия файла не происходит ровным счетом ничего. Но через минуту вылазиет, вы.. Стоп. Опять. Оставлю это здесь, ибо “вылазиет” слишком хорошо звучит:


Вылазит значится злосчастное окошко о том, что мы заблокированы, какая беда, какое горе. Ладно, пусть.

Сперва попытаемся вызвать диспетчер задач или сменить пользователя. При попытке вызвать меню из ctrl +alt +del - оно сразу же закрывается, то есть мы понимаем, что что-то мы да можем делать, машина на слушается.

Я таки успел кликнуть на диспетчер задач, но он сразу же закрылся.
Окей, перезапустимся в безопасном режиме с поддержкой CMD, далее вызовем процесс - taskmanager, и он корректно работает, не закрывается.

Завершаем процесс работы локера, если он как в моем случае, есть, так же переходим в службы и автозагрузку, отключаем локер, после запускаем explorer.exe, бац - рабочий стол.

Да, тот самый рисунок пострадал и теперь существует с неизвестным системе расширением - .cp, давайте проверим, что будет, если попытаться сменить его на исходное расширение, то бишь .jpeg. Барабанная дробь…Картинка повреждена и не может быть отображена.

На деле, здесь уже можно просто скачать декриптор и не морочить себе голову, благо на это время они есть в открытом доступе, в отличие от тех времен, когда его нужно было покупать.


Ладно, подведем мини-итоги. В целом этот вредонос возникает 10 сентября 2010 года, впоследствии наносит около 30 миллионов долларов ущерба (но внимание, это официальные данные, по неофициальным же создатели лично получили около 300 миллионов) и благополучно исчезает с распространением специализированных декрипторов.

Зловред распространяется через сайты, вместе с читерским ПО и через спам-рассылку. Но не стоит забывать о ботнете. Методология распространения ясна.

Четкой хронологии, к сожалению нет, но важнее то, что Криптолокер начал использовать, в сравнении с тем же Архивариусом, более сложные методы шифрования, из-за чего борьба с ним затянулась на 3-4 года. Создатель же остался в тени и никакой информации о том кто он и привлечен ли он к ответственности - нет. Но под подозрение попал тот самый Евгений Михайлович Богачев, который куда-то там уехал далеко, где нет экстрадиции. Ну и удачи ему.

Вы думали это финал? А ничего подобного, мне есть еще о чем поговорить. Погнали.

И мы будем вести речь о том же Криптолокере, что ещё подумаете вы? А дело все в том, что с начала 2014 появляются множественные версии.. Нет, это не версии это другие локеры, использующие основу нашего основного вируса, при том они никак друг с другом не связаны. То есть просто люди подхватили идею и понеслась.

Первым делом давайте разберем некого Ситрони и сравним его с первоисточником методологии.

Critroni или же CTB Locker. Этот представитель кривого зеркала начинает использовать другой тип шифрования, уже на основе… Внимание. Эллиптических кривых. Ну это что-то новое уже, да? Ну и я так думаю. Этот алгоритм являлся нехилым таким левелапом по сравнению с его отцом Криптолокером.

И вот бедный наш главный герой, спустя четыре года, а ума с годами, как это должно быть, не прибавилось, открывает этот СТБ у себя на устройстве, уже прикола ради. Вот он решил собрать все исторические винлокеры и просто помешался на этом.

Что происходит в момент открытия зловреда на устройстве?

(Эту часть буду урезать, ибо не уложимся в лимит 15.000 символов и дядя Дзен будет ругаться).

Как и все представители нынешнего времени (имею ввиду 2010-2015 годы) он начинает шифровать данные, но уже с огромной скоростью и, самое главное, отмечается, что стойкость пароля эквивалентна RSA-3072. Какой-то локер “обосрался”, используя одинаковые ключи, то здесь такой исход исключен, ведь все они были уникальными.

Имелся сервер в TOR’e, который после оплаты загружал дешифратор на ваше устройство. Далее… Ля, какие молнии красивые за окном. Ой, отвлекся.

Возможна оплата с другого компьютера. Коды для оплаты относительно короткие (около 150 символов), ну как для кодов оплаты сойдет. Оффлайн-оплаты не предоставляют, либо она не такая простая, но явно не почтовый ящик в Панаме.

Кстати, главное отличие от его “отца”, так это то, что ничего не подгружается из сети. Локер - самодостаточен.

Сразу же после запуска в диспетчере задач появляется процесс экранной клавиатуры Майкрософт. А знаете, что это? Отнюдь не клавиатура, а локер. Ха-ха. На удивление он себя называет нормально, это не какой-то lox.exe, хотя таких мы тоже в будущем разберем.

Отмечу, что он защищен от просмотра исходного кода, путем использования PEncrypt 3.1.

Кстати он шифрует намного меньше типов файлов в отличие от Криптолокера: .xlsx .xlsm .xlsb .xls .xlk .txt .sql .safe .rtf .pwm .pem .mdf
.mdb .kwm .groups .docx .docm .doc .der .dbf .db .crt .cer

Шифрование файлов идет в несколько ключевых этапов:
  • отобранный для шифрования файл с помощью API-функции MoveFileEx помещается во временный файл;
  • этот временный файл делится на блоки для дальнейшего выполнения цикла шифрования;
  • затем каждый блок сжимается посредством функции deflate из библиотеки zlib;
  • сжатый блок шифруется и записывается на диск;
  • в начало файла помещается информация, которая нужна будет для расшифровки;
  • зашифрованный файл получает расширение ctbl.
Далее Ситрони начинает использовать алгоритм Диффи-... как его там, секунду. Диффи-Хеллмана, да тот самый, основанный на кривых.

После происходит генерация двух мастер-ключей - master-private и maser-public, используя хэш от рандомного числа. Далее приватный ключ отправляется на сервер в TOR’е, естественно шифруясь прежде, то есть перехватить его во время пересылки - затея, как биться о стену толщиной 50 метров лбом, надеясь, что стена сломается прежде головы.

Тщетно.
Для каждого шифруемого файла таким же образом генерируются две сессии - session-public и session-private.
И файлик пошел. В итоге без знания master-private расшифровать файлы не получится, а ключ этот, как мы уже выяснили, хранится на C&C-сервере в темной части нашего интернета.

fJx29fBLfpp9DH5AW7trLJoLkyC2KFY2nHrAUa3PRoKycR7bBR3CqhZPCHk8kQ75pCF9SazC4dU3sNfIPEmGagtrN3j45AVyuJrw1F0pp4uU2f7tWmMk-Db2bnjKYFnR7doEePxKUFpg4zGUAQ


Итоги

Ну и получается так, что эту статью я вновь дроблю на две части, у нас выходит алгоритм, явно способный конкурировать с принципом шифрованием данных последнего локера.

То есть в цикле Исторической вирусологии, возникает подцикл из двух частей - ранней и поздней хронологий вымогателей, в рамках которой ранняя хронология выходит в одном экземпляре, а более поздняя уже в двух или даже трех, ибо есть о чем поговорить. Мог бы схему нарисовать, так лень.

Итак, приветики снова. Поздняя хронология программ-вымогателей выходит достаточно в запутанном концепте, тем не менее сегодня мы рассмотрели двух представителей. Криптолокер - это своего рода революция в подходе к созданию вредоносов такого типа. Ущерб экономике от него невелик - около 30 миллионов, даже не миллиардов, долларов. Но после него была создана целая сеть, независимых друг от друга локеров таких как: CBT, CryptoWall, DirtyCrypt и тому подобные, о них поговорим в следующей части.

Безостановочное развитие - вот что такое история. Это прогресс. Нехилая шишка на лбу мирового сообщества. Все новые и новые методы шифрования и это всего-то за 5 лет.

К слову о создателе ничего не известно. Может он повторил судьбу Поппа? Не знаю.

Кстати, сюда влеплю немного статистических данных:

Суммарное количество зараженных машин Ситрони равно около 20 миллионам, при учете что цена за расшифровку и сниятие локера стояло от 2.000$ до 5.000$.

Оба вредоноса являются актуальными и их можно считать действующими на сегодняшний день. Хотя в антивирусных базах они присутствуют, никто не отменял криптование и прочие методы сокрытия.

С вами был, как всегда, какой-то парень под ником DeathDay, а мы с вами неизменно движемся к современности, рано или поздно мы её настигнем. Или все таки никогда? Ведь мгновение, называемое “сейчас” - это одновременно прошлое, будущее и настоящее. А каждое настоящее превращается в историю, к слову как раз о истории и этот цикл, только не о мгновении, а о былом прогрессе. Историческая вирусология.

Не прощаюсь, мира всем.

2007, 2010-2015. ZeuS/CryptoLocker/CTB.​
 

Дод

Green Team
19.06.2020
23
34
BIT
0
Очень интересно , отсылка та же, других не заметил . спасибо за статью
 
  • Нравится
Реакции: DeathDay
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!