Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yöntemleri)

www.zemana.com 1 / 31

Emre TINAZTEPELead Software Architect

Ransomcrypt ZararlılarıÇalışma Mantıkları ve Analiz Yöntemleri


Zemana Hakkında• 2007 yılında kurulan global bir internet güvenliği şirketi,

• Proaktif güvenlik çözümleri sağlayıcısı,

• Finansal hedefli saldırılar konusunda uzmanlaşmış kadro,

• Dünya çapında korunan 10 milyon son kullanıcı,

• Bağımsız test kuruluşları tarafından onaylanmış ürünler.


Hakkımda• Maltepe Askeri Lisesi ve Kara Harp Okulu Mezunu,• 15 yıla yakın bir süredir programlama ile ilgileniyor,• 7 yıldır zararlı yazılımlar alanında çalışıyor,• Sistem programcısı, meraklı ve iyi bir okuyucu.


Kızın Elimizde


RDP Sapığı Mağdur Profilleri• Sunucu sistemlerine izinsiz erişilen şirketlerin mağdur profiline bakıldığında:

– Sunucuların internete bağlı olduğu ve uzak masaüstü bağlantısının açık olduğu,– Kullanıcı adlarının genellikle “Admin, Administrator, Şirket Adı” olduğu,– Sunucu şifrelerinin ise genellikle “123456, Server, Password veya Şirket Adı” olduğu,– Sunucu erişim yetkisine sahip farklı kişilerde düşük güvenlikli çeşitli kullanıcı adı ve şifrelerinin bulunduğu,– Herhangi bir güvenlik önlemi veya yetkilendirme olmadan şifreye sahip herkesin sunucuya erişebildiği,– Sunucuda bulunan verilerin yedeğinin bulunmadığı anlaşılmıştır.


Mağdur Şirket


Helal-i hoş olsun?• Büyük çaplı bir dizayn firması, satışlarının büyük bir kısmını internetten yapıyor,

• Logo muhasebe yazılımını tek bir bilgisayarda kullanıyor ve yedek almıyor,

• Bu ay tahsil etmesi gereken 170.000 TL bu programda kayıtlı

• 10 bilgisayarcı çağırmış (4 kutu AV ile gelen var),

• 16 Nisan 2014’de mail yoluyla gelen bir faturaya tıklıyor ama bir türlü açamıyor

• Bir kaç gün sonra hiç bir program açılmıyor,

• Günün sonunda bizzat şirket sahibinden duyduğum cümle:

“Emre Bey, benim dosyalarım açılsın da, virüsü yazan adama verdiğimiz para helal-i hoş olsun”


Saldırı Çeşitleri• Dosyaları kısmi şifreleme,

• Tamamen şifreleme,

• Login ekranını şifreleme,

• İşletim sistemini tamamen şifreleme (BIOS Boot Locker).


İş Modeli

Spam Mail

Dosyaları Şifrele

Not Bırak

Para para para


İş Modeli


Koskoca AntiVirüs• Malware analiz laboratuarı nedir?

• Packer nedir? Ne işe yarar?

• AV Bypass nedir? Nasıl yapılır?

• Katmanlı güvenlik ve önemi.

• Basit önlemler:– Dosya uzantılarını göster,

– Dosya türünü göster,

– Zoom trick,

– Virus Total Uploader.


Semptomlar• Açılmayan faturalar,

• Yüksek bilet tutarları,

• Yazım hataları olan mailler,

• Papua Yeni Gine Prensi’nden gelen mektuplar,

• Klasör görünümlü dosyalar (eski XP klasörlerine benzer),

• Çirkin PDF ikonları,

• Onay ya da giriş isteyen sayfalar (captcha gibi güven verici).


5 Dosya Gönderdim Geldi Mi?• Yaşanmış bir olay :

- 5 malware örneği gönderdim, geldi mi?

- Hmmmm, az önce geldi, 4 dosya 1 dizin.

- Ne dizini?

- Valla dizine tıkladım açılmadı.

- Aferin


Dosya Yapısı• Her dosya !crypted! kelimesi ile başlıyor,

• Hemen arkasından bilgisayara ait unique id

geliyor,

• Dosyanın kalanında ise veri şifrelenmiş bir

şekilde tutuluyor,

• RSA 2048 ile şifrelendiği için brute force

saldırıları ile sonuç almak mümkün değil.


Çözüm Sürecinde Yapılan Hatalar

• Anti virüs ile tarama yapmak ve zararlıyı silmek,

• Bilgisayarcı çağırmak

• Dosyaları bir bilgisayardan alarak başka bir bilgisayara kopyalamak (bedava decryption

denemeleri )


Çözüm

• Harici bir boot disk ile sistemi başlatmak,

• Hardcoded şifre kullanan zararlıları reverse ederek şifreyi elde etmek,

• Brute force saldırısına açık dosyaları brute force ile kurtarmak,

• Known Plain Text Attack ile şifreyi elde etmek,

• Saldırgana fidye ödemek.


Amatör Saldırganlar

• Şifreleme algoritmasını yanlış kullanmak,

• Üretilen rasgele sayıları sadece «Rakam» ile sınırlamak ve brute

force saldırısını mümkün kılmak.


Fatmal

• Fatura Zararlısı,

• 3-4 aylık periyotlarla saldırılar düzenleyen bir çete,

• Genellikle aynı packerı kullanarak AV Bypass yapılıyor (Run PE),

• Genel olarak hedef kredi kartı ve kişisel veri hırsızlığı,

• Daha önce RDP açığı bulunan sistemlere yaptıkları saldırılarda

çok sayıda şirketi zarara uğrattılar.


Run PE

• AV Bypass için gayet etkili bir yöntem,

• Hala bir çok antivirüs rahatlıkla bypass edilebiliyor,

• Manuel unpacking zaman alıcı.Orijinal Dosya

Kendini Tekrar Çalıştır

Unpackİşlemini

Gerçekleştir

Enfeksiyona Başla


Run PE

Zararlı Dosya (Packed) Zararlı Dosya (Unpacked)

Şifreli Kısım Çalışabilir Kısım


XOR Nedir?• Artı, eksi gibi bir operatör,

• Oyun programlama gibi alanlarda imleç görünürlüğü için kullanılır,

• Neredeyse bütün şifreleme algoritmalarının temelini oluşturur,

• Kullanımı çok basittir ve encrypted zararlıların neredeyse tamamında kullanılır.

A xor B = CB xor C = AA xor C = B

ise


Initialization Vector ve AES• Her blok (CBC) bir önceki blok ile XOR’lanır. Zincirleme kelimesinin buradan gelmektedir.,

• İlk blok için IV kullanılarak sanki bir önceki blokmuş gibi işleme sokulur,

• Normal XOR’un aksine, şifrelenen dosyada aynı olan blokların farklı şifrelenmesine olanak

sağlar,

• Genellikle kullanılan şifrenin uzunluğunda olur,

• Kullanılmaz ise şifreyi known plain text attack ile elde şansınız yüksektir.


CBC ve IV


2 MB limiti• Hız kazanmak için her dosyanın ilk 2 MB’lık kısmı şifrelenir,

• Dosyanın başlık kısmı dahil ilk 2 MB’ı bozulduğu için dosya açılamaz,

• Şifreleme algoritması düzgün kullanıldığında gayet efektiftir.


Dosyayı Çalıştıralım


Şifreleme Algoritması• Dosyalar AES ile şifrelenmiş ve anahtar rasgele üretiliyor,

• Rasgele üretilen anahtar ise RSA 2048 ile şifrelenerek kullanıcıya gösteriliyor,

• AES’de kullanılan mode’un CTR modu olduğunu kodu reverse ederek anlıyoruz,

• Tüm dosyalarda kullanılan IV sabit ise tüm dosyalar çözülebilir.


CTR Mode


Zemana Fatmal Decryptor



• Şifre : Vahşi Yaşam



XOR = XOR Cipher(2MB Boyutunda)


Teşekkürler

Technology

Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yöntemleri)