Эффективная защита от шифровальщиков – угрозы №1 для бизнеса в 2017 году.

В середине 2000-х годов зародилось новое направление киберпреступности, связанное с шантажом. Методы основывались на запугивании пользователя путем блокирования рабочего стола вредоносным ПО, либо более простым способом – всплывающей HTML-страницей, открывающейся во весь экран веб-браузера. В обоих случаях пользователь информировался о том, что его компьютер заблокирован, и для продолжения нормальной работы необходимо отправить платную SMS на короткий номер.

Эффективная защита от шифровальщиков

Оба метода получили свое название:

  • Компьютерный блокировщик/Блокировщик экрана (Computer locker/Screen locker) – основывался на вредоносном JavaScript. Не представлял опасности для продвинутого пользователя. Нейтрализовался путем исправления реестра и очистки автозагрузки.
  • Веб-блокировщик (Web blocker) – частично либо полностью ограничивал работу браузера. Исправлялся путем банального закрытия Web браузера.

Однако уже в мае 2005 года был обнаружен первый в мире вымогатель, использующий свой собственный симметричный алгоритм шифрования, получивший известность под именем Gpcode.am. Такой метод легко подвергался расшифровке при условии, если удавалось найти пару (encrypted + unencrypted) файлов. В конце ноября 2010 года появилась новая модификация Gpcode.ax, в которой применялось сильное шифрование (RSA-1024 и AES-256), что сделало восстановление практически невозможным.

Доля корпоративных пользователей среди атакуемых за год выросла вдвое, с 6,8 до 13,13%

Доля корпоративных пользователей среди атакуемых за год выросла вдвое, с 6,8 до 13,13%

Переход блокиратора в шифровальщика

Новый метод с применением шифрования получил термин – Crypto-Ransomware или шифровальщик. Он начал превалировать над всеми ранее известными способами шантажа, фактически положив конец развитию обычных компьютерных блокировщиков.

Начиная с 2013 года мы наблюдаем резкий рост количества заражений среди компаний, это свидетельствует о смене приоритетов у кибермошенников в сторону бизнеса, и это логично с точки зрения платежеспособности жертв.

Динамика роста шифровальщиков в 2014-2016 годах

Динамика роста шифровальщиков в 2014-2016 годах

Жизненный цикл шифровальщика:
  • Распространение.
  • Заражение.
  • Шифрование.
  • Сокрытие следов.
  • Шантаж.

Проследуем по этапам жизненного цикла шифровальщика, останавливаясь на его функциональных особенностях и примерах.

Основные пути распространения шифровальщиков

Так как шифровальщик относится к классу Malware, он имеет аналогичные ему пути распространения. Перечислим основные из них.

Атака типа «Drive-by загрузка»

В код страниц скомпрометированного сайта внедряется вредоносный скрипт, осуществляющий перенаправление браузера посетителя на посторонний ресурс, содержащий набор эксплойтов. В случае успешной эксплуатации уязвимостей ПО посетителя на его компьютер будет автоматически без его ведома установлено и запущено вредоносное ПО.

Атака типа «Watering hole»

Объединяет собой загрузку drive-by и целевой фишинг. Киберпреступники изучают поведение людей, которые работают в интересующей их организации, чтобы узнать, какие Интернет-ресурсы они чаще всего посещают.

Затем злоумышленники заражают веб-сайт, пользующийся у сотрудников популярностью – желательно такой, который принадлежит доверенной организации и служит ценным источником информации.

В классическом варианте атаки применяется эксплойт нулевого дня. Когда сотрудник открывает страницу этого сайта, его компьютер подвергается заражению.

Баннерная рекламная сеть (Malvertising)

Часто бывает, когда на первый взгляд безобидная система банерной рекламы становится мощным инструментом распространения зловреда.

Например, в 2010 году в баннерных сетях таких крупных компаний как Google и Microsoft был обнаружен целый ряд exploit-паков, эксплуатирующих сразу более 7 уязвимостей.

Электронная почта (Spear-phishing)

Направленная форма фишинга. Человеку в организациимишени отправляется специально подготовленное электронное письмо, располагающее к доверию, в расчете на то, что он откроет ссылку или приложение, которые запустят исполняемый код.

так выглядит экран блокировки Petya

так выглядит экран блокировки Petya

Примером можно привести шифровальщика Petya, ориентированного на корпоративных пользователей. В рассылаемых письмах содержится резюме кандидата на работу.

Социальные сети

Прекрасный инструмент для проведения как целевого заражения, так и массового, где публикуется ссылка на инфицированный ресурс, содержащий любой из доступных злоумышленникам видов проникновения (Exploit, Dropper, Downloader и т.д.).

Удаленный рабочий стол RDP(Remote Desktop Protocol)

Все еще не редки случаи, когда порт TCP 3389 проброшен наружу для технических целей. Например, аутсорсинга, 1C бухгалтерии, либо нужд по администрированию, что приводит в конечном итоге к плачевным последствиям.

Дело в том, что за удаленным доступом постоянно ведется охота. Регулярно сканируются публичные сети, и выполняется подбор (Brute Force) паролей к целевым хостам. Далее злоумышленник вручную выполняет шифрование, предварительно отключив все протоколирующие и восстановительные механизмы системы (журналирование, создание теневых копий файлов).

Также при ручном проникновении хакеры часто прибегают к помощи утилиты Mimikatz, позволяющей при необходимости повысить привилегии доступа для запуска шифровальщика с административными правами.

Основные средства доставки шифровальщиков

Перечислим распространенные средства доставки и их функциональные отличия.

Загрузчик (downloader)

Принцип работы загрузчика заключается в загрузке тела шифровальщика с определенного веб-сайта. Благодаря ему злоумышленники решают сразу несколько задач:

  • сокращение размера вложения, например, электронной почты;
  • легкое обновление тела шифровальщика, достаточно заменить его на обновленный на сайте, откуда его забирают распространяемые загрузчики.

Dropper

Принцип работы заключается в расшифровке из собственного тела шифровальщика и его инициализация в системе жертвы. Наличие шифрования направлено на усложнение детекта средствами безопасности.

Как происходит заражение шифровальщиками

Бытует распространенное утверждение о том, что запуск шифровальщика возможен только при помощи некорректных действий пользователя, а именно делегирования прав доступа администратора в момент запуска зловреда (к примеру, игнорируя предупреждение UAC), либо разрешения на использование макросов в открытом документе Word. На самом деле, ситуация изменилась с появлением комбинированных шифровальщиков в 2016 году.

Принцип работы прост: на момент инициализации основного шифровальщика запрашивается доступ к правам администратора. В случае бдительности пользователя и получения отказа, запускается запасной шифровальщик, осуществляющий шифрацию файлов на уровне прав пользователя.

Наглядный пример (март 2016 года): шифровальщик со звучным именем Petya работает в паре с шифровальщиком Mischa как резервный вариант на случай проблем с правами администратора.

В момент запуска шифровальщик может обладать следующим набором предопределяющих функций:

  • определение локализации операционной системы/раскладки клавиатуры – необходимо для адаптации вывода сообщения на языке пользователя, либо для того, чтобы избежать заражения в определенных странах;
  • GeoIP – определение географических координат по IPадресу, некоторые шифровальщики адаптированы заражать только определенные страны.

Также некоторые виды шифровальщиков используют соединение с командным центром для получения ключа шифрования и прочих дополнительных функций.

Например, шифровальщик Cryptowall использует командный центр для получения ключа шифрования, а также может выполнять целый ряд дополнительных команд, одной из них является команда для загрузки и выполнения файла. Также он обладает возможностью загрузки SPAM-бота для рассылки самого себя различным адресатам, полученным от командного центра.

А вот шифровальщик TeslaCrypt использует командный центр опционально и только для передачи статистики по количеству заражений.

Mimikatz – инструмент перехвата паролей открытых сессий в Windows, реализующий функционал Windows Credential Editor. Способен извлекать аутентификационные данные залогинившегося в системе пользователя в открытом виде.

Эксплойт – вредоносный код, использующий уязвимости в программном обеспечении. Основной инструмент проникновения, средствами доставки которого являются: электронная почта, компрометированные веб-сайты и USB-устройства.

Применение техник обхода обнаружения криптолокеров

Киберпреступники непрерывно совершенствуют техники обхода стандартных средств защиты. Прежде чем мы перечислим основные из них, обратим ваше внимание на общую структуру файла malware.

Дело в том, что, зачастую, современные исполняемые файлы упакованы (сжаты) упаковщиком. Он служит инструментом сокращения размера исполняемого файла, применяя для своей задачи алгоритмы сжатия без потерь (например, семейство LZ* или алгоритм Хаффмана). В результате работы упаковщика тело программы сжимается и прикрепляется к миниатюрному загрузчику, способному восстановить и запустить программу.

Среди создателей вредоносного ПО также популярен упаковщик, но уже в целях обхода детектирующих механизмов. Малварный упаковщик направлен на решение следующих задач:

  • противодействия автоматическому детекту;
  • усложнение реверса файла.

Способы:

  • вызов различных API, направленных на обман эмулятора;
  • многоуровневое шифрование для сокрытия кода;
  • инжектирование в легитимный процесс расшифрованного тела программы для обхода стандартных средств защиты. (Встречаются случаи, когда упаковщик создает собственную копию процесса, после чего инжектирует в размеченную область его памяти шифровальщик).

Применение легитимных инструментов для шифрования данных

Шифровальщик bat.Scatter имеет модульную структуру, состоящую из легитимных инструментов, в частности, для шифрования используется программа gnupg – свободная программа для шифрования информации (https://ru.wikipedia.org/wiki/GnuPG). А тело представляет собой исполняемый *.bat-файл, выкачивающий утилиты из интернета. Процесс такой работы не вызывает подозрений со стороны средств контроля безопасности.

Инжектирование процесса

Техника по динамическому внедрению собственного кода в чужой процесс позволяет использовать все привилегии легитимного процесса в своих целях. Данный метод дает возможность обойти различные системы контроля безопасности, в том числе контроля приложений. Инжектирование применяется на уровне Windows API:

  • определение дескриптора нужного процесса;
  • выделение области памяти в адресном пространстве целевого процесса;
  • запись кода и данных в эту область;
  • создание нового потока в виртуальном пространстве процесса.

Отдельно важно отметить наличие обфускации кода, применяемого в самом теле шифровальщика, как метод дополнительного запутывания на уровне алгоритма при помощи специальных компиляторов для усложнения его анализа. Часто обфускация применяется с частичным многоуровневым шифрованием кода. Непосредственно шифровальщик способен определять среду выполнения (эмулятор/виртуальная среда).

Типы шифрования

Каждый из существующих шифровальщиков применяет различные криптосхемы. Под «криптосхемой» мы понимаем схему взаимодействия криптографических алгоритмов для выполнения определенной задачи, в данном случае – шифрование файлов.

Рассмотрим применяемые виды шифрования:

  • самописные алгоритмы (симметричные), простые на сочетании арифметических операций XOR, ADD, SUB, MUL и т.д.;
  • известные симметричные шифры (поточные RC4), блочные (AES, BlowFish и т.д.);
  • асимметричная криптография и (гибридная), когда файлы шифруются симметричным алгоритмом, а ключи – ассиметричным.

Откуда берутся ключи?

В процессе своей эволюции шифровальщики применяли различные способы хранения ключей и алгоритмов шифрования.

  • Ключ содержится в теле шифровальщика. Пример: Xorist имеет встроенный ключ для симметричного алгоритма.
  • Ключ генерируется трояном при запуске на клиенте. Пример: Enigma генерирует ключ и шифрует его асимметричным алгоритмом RSA.
  • Ключ запрашивается у командного сервера. Пример: Cryptowall, Locky и другие запрашивают у C&C ключ для асимметричного алгоритма. Aura запрашивает ключ для симметричного шифра.

Сокрытые следов

Вдобавок к шифрованию данных, большая часть различных шифровальщиков, прежде всего, выполняет простые шаги по недопущению возможных путей восстановления информации.

Для этого используется ряд команд, направленных на уничтожение теневых копий, находящихся на диске:

или

Что касается сокрытия следов, то можно сказать, что данная мера не популярна среди большинства известных шифровальщиков. Этот этап можно отнести к ручному заражению, когда хакеры выполняют целый ряд скриптов для получения нужных привилегий в системе для запуска шифровальщика. Обычно в завершение своей работы происходит «зачистка» атакуемого хоста.

Что подразумевается под зачисткой?

  • отключение журналирования в зараженной операционной системе;
  • удаление всех журналов событий;
  • остановка служб, отвечающих за создание резервных и теневых копий на жестких дисках;
  • удаление резервных копий восстановления, а также теневых копий с жестких дисков.

Нововведения в развитии шифровальщиков

Современный шантаж – это не только стойкое шифрование и широкий путь распространения, это также:

  • новый вид оплаты, в котором котируется криптовалюта (Bitcoin);
  • автоматическое создание криптокошелька для получения выкупа;
  • использование Tor-сети, что обеспечивает полную конфиденциальность злоумышленникам;
  • использование сервисов Tor to Web, что позволяет осуществлять взаимодействие жертвы с личным кабинетом, расположенным в Tor-сети;
  • безопасные e-mail, например, сервис Riseup.net;
  • безопасное общение через Bitmessage (https://ru.wikipedia.org/wiki/Bitmessage);
  • автоматическая классификация и оценка зашифрованных файлов для назначения стоимости выкупа;
  • автоматическое выставление счета;
  • автоматическая выдача декриптора при поступлении платежа от жертвы.

Последнее время все чаще встречаются комплекты, где к шифровальщику идет дополнительная полезная нагрузка в виде:

  • SPAM-бота – обычно применяется в целях собственного распространения;
  • Stealer – кража паролей (электронная почта, сохраненные браузером, RDP-, VPN-доступ и т.д.).

Добавились новые поддерживаемые шифровальщиками операционные системы:

  • Apple Mac OSX – 2016 год, обнаружен первый действующий шифровальщик osx.keranger;
  • мобильная платформа Android – 2014 год, AndroidOS. Kokri – шифрующий личные данные на смартфоне.

Роль шифровальщиков в целенаправленных атаках

Также известны случаи применения шифровальщика на заключительном этапе развития целенаправленной атаки в крупных компаниях.

Например, в 2011 году кинокомпания Sony Pictures Entertainment подверглась подобной атаке, в ходе которой было зашифровано (парализовано) более 80% персональных компьютеров корпорации.

Шантаж

Заключительная часть, в которой происходит психологическое воздействие на пользователя с целью получения выкупа. Обычно таким воздействием является обратный таймер, информирующий о том, что объявленная цена будет увеличена по истечении определенного времени. Также встречаются шифровальщики, информирующие об удалении ключа после истечения заданного времени.

Человек, столкнувшийся с шантажом, чаще всего вступает в контакт с хакером через личный кабинет с основного окна предупреждения либо через электронную почту, указанную в файле «прочти меня».

Практически всегда присутствует возможность расшифровать от одного до нескольких файлов для проверки, таким образом, злоумышленник демонстрирует свою возможность решить проблему после получения выкупа.

Приведем пример взаимодействия с личным кабинетом Scatter.

рис 4. Главное меню в личном кабинете Scatter

Итак, нажав кнопку входа в личный кабинет, мы автоматически при помощи Web to Tor-сервиса попадаем на страницу входа. Там жертву просят загрузить vault.key, создаваемый автоматически шифровальщиком. Именно в этом файле находится статистика и определена важность зашифрованной информации. Подложив файл, мы попадаем в главное меню (см. рис. 4), где можем увидеть таймер обратного отсчета времени до повышения цены, оценку важности зашифрованной информации как Normal и ее стоимость 0,111 BTC, что в пересчете равняется 60$. Предоставляется возможность отправить сообщение злоумышленнику и ознакомиться с распространенными вопросами. На рис. 5 показана форма общения с мошенником. Пример текстового послания шифровальщика из файла ПРОЧТИ_МЕНЯ.txt (см. рис. 6).

Рисунок 5. Форма общения с мошенником в личном кабинете Scatter

Рисунок 6. Пример текстового послания шифровальщика из файла ПРОЧТИ_МЕНЯ.txt

Предупрежден – значит защищен

Современные темпы развития шифровальщиков представляют серьезную проблему, на которую неразумно не обращать внимания. Столкнувшись с шантажом, жертва встает перед фактом выбора: платить либо потерять информацию.

Поэтому крайне важно предупредить угрозу и не дать ей развиться, нежели заниматься решением ее последствий.

По данным опроса корпоративных пользователей в 2016 году, за прошедший год программами-шифровальщиками были атакованы 38% российских компаний, причем отечественному бизнесу эта угроза кажется гораздо более серьезной, чем зарубежному, и не зря. Количество этого вида киберугроз для корпоративного сектора в 2015-2016 годах увеличилось почти в 6 раз по сравнению с периодом 2014-2015. При этом одним из наиболее уязвимых сегментов бизнеса являются представители небольших и средних компаний: 40% таких компаний за прошедший год столкнулись с шифровальщиками.

Эффективная защита от шифровальщиков.

Если в компании принято решение не выделять отдельную ставку для ИТ-специалиста, то задачу по организации обслуживания ИТ-инфраструктуры можно решить несколькими способами:

  • Частично или полностью передать управление ИТ-безопасностью на обслуживание специалистами. Специалисты компании-подрядчика установят необходимое ПО, а в случае заражения помогут провести расследование и восстановить данные. Кроме того, они проведут диагностику и помогут оценить, насколько хорошо обеспечивается защита ИТ-инфраструктуры организации,
  • Использовать специализированные решения, разработанные для небольших предприятий. В данном случае услуги безопасности будут предоставляться в виде сервиса, с помощью которого компания сможет полностью удовлетворить свои потребности в надежной защите без дополнительных затрат на ИТ-ресурсы или замену ПО.

Не следует забывать о постоянном обучении сотрудников. В среднем каждый третий случай в небольшой компании, связанный с существенной потерей данный, происходит из-за беспечности или недостаточной информированности персонала.

Одной из интересных инициатив по борьбе с шифровальщиками, является No More Ransom, реализованной совместно с Европолом, полицией Нидерландов и Intel Security. Проект представляет собой веб-портал www.nomoreransom.org, где можно получить бесплатные инструменты для восстановления данных, «обработанных» наиболее распространенными видами программ-шифровальщиков, а также больше узнать о них и исходящих от них угрозах.

Не лишним будет напомнить, что наша компания предоставляет полный цикл мероприятий по обеспечению информационной безопасности онлайн сервисов. Кроме того мы оказываем услуги консалтинга по широкому спектру вопросов ИТ-безопасности.

Рейтинг материала
[Голосов: 1 Рейтинг: 5]
03 марта 2017, 05:34

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *