Вирусы-шифровальщики. Мифы и реальность. Часть 4.

Взаимодействие шифровальщика на заражённом устройстве с управляющим C&C-сервером.

Для обеспечения конфиденциальности и сокрытия своей вредоносной активности, вирусы-шифровальщики применяют шифрование для своих протоколов, используя TLS.

Благодаря шифрованию трафика между заражённым устройством жертвы и управляющим сервером, злоумышленники усложняют задачу по обнаружению вредоносной активности. Шифрование трафика между заражённым устройством и сервером делает более сложной задачу обнаружения вредоносной активности, поскольку ее сложно отличить от того протокола шифрования, который применяется в легитимных операциях, например, для онлайн-банкинга.

Для поверки зашифрованного трафика посредством TLS, можно использовать программные или аппаратные системы сетевой и компьютерной безопасности – IDS/IPS решения. Проверка трафика TLS возможна и на уровне самого компьютера. Всё зависит от возможностей используемого антивирусного средства.
Если внутренняя Сеть не имеет средств фильтрации и анализа трафика, вредоносная программа применит шифрование для подключения к управляющему серверу, которое будет оставаться необнаруженным пока адреса сервера злоумышленников не будут обнаружены и добавлены в черный список вредоносных IP-адресов и доменов.
Складывается впечатление, что если вирус-шифровальщик, шифрует трафик между устройством жертвы и своим управляющим сервером, то нет возможности перехватить и проанализировать трафик.

На самом деле, создатели своих вымогателей, нередко допускают ошибки в механизмах работы своих изобретений. Давайте рассмотрим это на примере алгоритма выполнения действий вымогателя CryptoLocker. 

  1. После компрометации жертвы, вымогатель уведомляет об этом свой C&C-сервер и указывает при этом идентификатор (ID) кампании, а также уникальный ID системы.
  2. Управляющий C&C-сервер отвечает сообщением OK для подтверждения.
  3. Клиент обращается к серверу еще раз, указывая идентификатор кампании и уникальный идентификатор системы.
  4. Сервер предоставляет вымогателю сообщение с требованием выкупа и публичный ключ RSA-2048 из пары ключей, которая была сгенерирована для данной комбинации ID кампании/ID системы жертвы. Закрытый ключ из этой пары никогда не покидает C&C-сервер.
  5. Вымогатель подтверждает C&C-серверу успешное принятие сообщения с требованием выкупа и публичного ключа. Он также подтверждает окончание процесса шифрования файлов.

Уязвимое место в механизме работы CryptoLocker заключается в присутствии шагов 3 и 4, так как в таком случае шифрование файлов у пользователя происходит только в случае успешного общения вымогателя с C&C-сервером. Данные шаги были удалены в алгоритме работы CryptoDefense, который генерирует пару ключей на самой системе жертвы.

Тем не менее, авторы CryptoDefense упустили из вида небольшую деталь, которая заключается в том, что вымогатель забывает удалить из системы приватный ключ RSA. Этот ключ может быть использован для расшифровки зашифрованных файлов и может быть найден в системе. После этого достаточно использовать одну из API функций Windows для расшифровки файлов.

Благодаря таким ошибкам, всегда есть возможность получить ключ для расшифровки файлов. Есть также и способы более утончённые, позволяющие посылать ложные сигналы на управляющий сервер злоумышленников, для получения ответа. Такая информация, позволит проанализировать принцип работы шифровальщика и создать алгоритм действий, для того, чтобы обмануть управляющий сервер и вынудить его ошибочно выдать ключ расшифровки. Однако, учитывая, что трояны-вымогатели применяют криптографию, и хорошо защищают свой трафик, в основном располагаются в Сети TOR, добраться до C&C-сервер возможно в основном, благодаря допущенным ошибкам в реализации самих механизмов работы данных троянов. И к сожалению, это не всегда просто и возможно.  

Если у вас есть вопросы, пожалуйста, уточняйте их через раздел сайта "Контакты".

Форма подписки

Подписывайтесь на новостную рассылку полезных советов

Данная форма подписки, не используется для рассылки спама. Ваши данные, оставленные в форме подписки, не передаются третьим лицам.

Поделитесь этой страницей

© Все права защищены: 2014 – 2018;
pc103help - качественная компьютерная помощь!
Предоставляю услуги на территории СНГ.
Адаптивная (полная) версия сайта