Breve Estudo Sobre Ransomwares e Análise Estática/Dinâmica do WannaCry

Os ransomwares são malwares que impedem que o detentor legítimo dos arquivos de acessar seus dados. A liberação dos dados só é efetivada mediante pagamento, normalmente realizado em Bitcoins por não ser rastreável. Esta categoria de malware explora vulnerabilidades específicas do sistema alvo, buscando criptografar recursivamente os dados e bloquear o acesso a eles.

[ Hits: 5.762 ]

Por: Acquila Santos Rocha em 23/07/2019 | Blog: https://www.linkedin.com/in/acquila-santos-rocha-b8305a134/


Formas de propagação



Nesta seção analisaremos as principais formas de transmissão de ransomware, bem como as técnicas utilizadas quando o sistema já está infectado.

As principais formas de transmissão de ransomware estão dispostas em [12], eles são: redirecionamento de tráfego, anexos em e-mails, botnets e engenharia social.

O redirecionamento de tráfego consiste em redirecionar o tráfego de conteúdo web do usuário para um outro site contendo o malware. Esse redirecionamento é realizado mediante o clique em uma propaganda ou pop up.

Anexos em e-mails são, basicamente, o compartilhamento de links ou arquivos que quando acessados executam o ransomware. Para realizar esse tipo de ataque, o e-mail deve parecer legítimo e por isso está associado ao pagamento de contas ou ofertas de emprego, que chamam a atenção do alvo.

No terceiro caso, o arquivo malicioso é distribuído por uma rede botnet infectada. O servidor que fornece o serviço, a priori, não é malicioso, mas ao ser infectado e entrar na rede botnet, acaba se tornando um vetor de distribuição do malware.

As técnicas de engenharia social exploram a vulnerabilidade humana, buscando convencer a vítima a executar o código malicioso através de uma conversa no telefone ou um e-mail.

Na próxima seção, iremos explorar em mais detalhes os ransomwares do tipo criptoviral, apresentando primeiramente uma explicação sobre o funcionamento deles através de trechos de código. Em sequência, analisamos o funcionamento dos Crypto Ransomwares, exemplificando-os com o WannaCry, que será analisado estática e dinamicamente [4].

Página anterior     Próxima página

Páginas do artigo
   1. Prefácio
   2. Ransomware
   3. Fatores Históricos
   4. Formas de propagação
   5. Análise WannaCry
   6. Crypto Ransomwares (Prova de Conceito)
   7. Conclusão
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada

Introdução a Threads e como implementá-las em Python

Python Flask Básico

Monitorando produtos no ML com Python 3 via BeautifulSoup

Threads - Importância dentro de um software

Python - Enviando Backup para Servidor Secundário

  
Comentários
[1] Comentário enviado por Cizordj em 25/07/2019 - 08:56h

Meus parabéns pelo artigo, isso me fez refletir sobre como o meu ambiente de trabalho está implementado, mas me surgiu uma dúvida, se usarmos outro protocolo em um ambiente de trabalho que não seja o Samba o ransomware ainda pode se espalhar pela rede? ou isso depende do ransomware?

<---------------------------------------------------------------->
O seu tempo é o único bem que você não recupera

[2] Comentário enviado por acquila em 25/07/2019 - 11:10h


[1] Comentário enviado por Cizordj em 25/07/2019 - 08:56h

Meus parabéns pelo artigo, isso me fez refletir sobre como o meu ambiente de trabalho está implementado, mas me surgiu uma dúvida, se usarmos outro protocolo em um ambiente de trabalho que não seja o Samba o ransomware ainda pode se espalhar pela rede? ou isso depende do ransomware?

&lt;----------------------------------------------------------------&gt;
O seu tempo é o único bem que você não recupera


Obrigado! Cada ransomware explora uma vulnerabilidade específica, de acordo com o objetivo do malware. Se não me engano, todas as versões do Samba a partir da 3.5.0 estão sujeitas a execução de código remoto, possibilitando que um cliente malicioso carregue e execute uma biblioteca através do servidor. Até onde tenho conhecimento em questão de Ransomware, somente o WannaCry explora essa vulnerabilidade, mas posso estar enganado. Os detalhes sobre essa vulnerabilidade podem ser observados nesse link: https://www.samba.org/samba/security/CVE-2017-7494.html

Espero ter ajudado, até mais!


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts