Breve Estudo Sobre Ransomwares e Análise Estática/Dinâmica do WannaCry

Os ransomwares são malwares que impedem que o detentor legítimo dos arquivos de acessar seus dados. A liberação dos dados só é efetivada mediante pagamento, normalmente realizado em Bitcoins por não ser rastreável. Esta categoria de malware explora vulnerabilidades específicas do sistema alvo, buscando criptografar recursivamente os dados e bloquear o acesso a eles.

[ Hits: 5.801 ]

Por: Acquila Santos Rocha em 23/07/2019 | Blog: https://www.linkedin.com/in/acquila-santos-rocha-b8305a134/


Ransomware



Ataques de tipo Ransomware são tipicamente realizados usando um Cavalo de Tróia [9], que se disfarça como um arquivo legítimo induzindo a vítima a baixar ou a abrir tal arquivo. Porém, novas formas de infecção já foram exploradas, como exemplo temos o WannaCry, o qual possui a habilidade de se espalhar rapidamente na rede através da exploração do protocolo SMB.

O conceito de criptografia de arquivos utilizada nos ransomwares mais perigosos atualmente, foi implementada em [7], e é chamado Extorsão Criptoviral. O protocolo que descreve o funcionamento padrão de um Ransomware, baseado no esquema proposto por [7], pode ser definido a seguir:
  • No momento do desenvolvimento do malware, o atacante gera um par de chaves para a criptografia assimétrica (pública e privada). O atacante coloca a chave pública gerada localmente junto ao executável que será espalhado.
  • Quando a vítima executar o malware em sua máquina/sistema, é gerada uma chave simétrica aleatória, responsável por criptografar todos os tipos de arquivos alvos do ransomware.
  • A chave simétrica é então criptografada com a chave pública do atacante.
  • Os arquivos originais são deletados, ou zerados, assim como a chave simétrica original.
  • Quando o pagamento é efetuado, o atacante descriptografa a chave simétrica gerada com a sua chave privada e envia a chave simétrica original para a vítima. Com a chave simétrica, os dados podem ser enfim descriptografados.

Alguns ransomwares, como o WannaCry, delimitam um certo período para efetivar o pagamento, caso esse tempo seja excedido e o pagamento não realizado, todos os arquivos criptografados são excluídos. Essa forma de operar aumenta a pressão sobre a vítima e consequentemente o poder de extorsão.

Entretanto, a criptografia não é o único procedimento utilizado pelos ransomwares. Podemos classificar essa categoria de malware em dois tipos principais:
  • Crypto Ransomware (criptovirais);
  • Locker Ransomware [12].

Como o próprio nome diz, o tipo Crypto Ransomware criptografa os arquivos da máquina alvo, mas não prejudica o funcionamento do sistema operacional como um todo. Quando a vítima efetua o pagamento, ela obtém a chave utilizada para descriptografar os arquivos.

Já os Locky Ransomwares, bloqueiam o acesso da vítima ao sistema operacional, disponibilizando apenas uma funcionalidade limitada para acessar a interface do ransomware. Quando o pagamento é efetuado, o sistema é então liberado.

Esse tipo de ransomware, primordialmente, não busca criptografar os arquivos da vítima. Na próxima subseção, foi colocado um breve histórico sobre os ransomwares, destacando fatores como métodos de propagação e infecção dos malwares.

Página anterior     Próxima página

Páginas do artigo
   1. Prefácio
   2. Ransomware
   3. Fatores Históricos
   4. Formas de propagação
   5. Análise WannaCry
   6. Crypto Ransomwares (Prova de Conceito)
   7. Conclusão
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada

Desenvolvendo aplicações GUI simples em Python & Glade (PyGTK) com banco de dados SQLite

Python - Threads

Python: automatizando a extração de informações na web com expressões regulares

Python Flask Básico

Introdução ao clib (Command Line Book)

  
Comentários
[1] Comentário enviado por Cizordj em 25/07/2019 - 08:56h

Meus parabéns pelo artigo, isso me fez refletir sobre como o meu ambiente de trabalho está implementado, mas me surgiu uma dúvida, se usarmos outro protocolo em um ambiente de trabalho que não seja o Samba o ransomware ainda pode se espalhar pela rede? ou isso depende do ransomware?

<---------------------------------------------------------------->
O seu tempo é o único bem que você não recupera

[2] Comentário enviado por acquila em 25/07/2019 - 11:10h


[1] Comentário enviado por Cizordj em 25/07/2019 - 08:56h

Meus parabéns pelo artigo, isso me fez refletir sobre como o meu ambiente de trabalho está implementado, mas me surgiu uma dúvida, se usarmos outro protocolo em um ambiente de trabalho que não seja o Samba o ransomware ainda pode se espalhar pela rede? ou isso depende do ransomware?

&lt;----------------------------------------------------------------&gt;
O seu tempo é o único bem que você não recupera


Obrigado! Cada ransomware explora uma vulnerabilidade específica, de acordo com o objetivo do malware. Se não me engano, todas as versões do Samba a partir da 3.5.0 estão sujeitas a execução de código remoto, possibilitando que um cliente malicioso carregue e execute uma biblioteca através do servidor. Até onde tenho conhecimento em questão de Ransomware, somente o WannaCry explora essa vulnerabilidade, mas posso estar enganado. Os detalhes sobre essa vulnerabilidade podem ser observados nesse link: https://www.samba.org/samba/security/CVE-2017-7494.html

Espero ter ajudado, até mais!


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts