Взаимодействие шифровальщика на заражённом устройстве с управляющим C&C-сервером.
Немного разобравшись с методами шифрования данных современными вымогателями из заметки «Механизмы шифрования в современных вымогателях.», поговорим сейчас о том, как шифровальщик «общается» и «управляется» со своими создателями.
Для обеспечения конфиденциальности и сокрытия своей вредоносной активности, вирусы-шифровальщики применяют шифрование для своих протоколов, используя TLS.
Благодаря шифрованию трафика между заражённым устройством жертвы и управляющим сервером, злоумышленники усложняют задачу по обнаружению вредоносной активности. Шифрование трафика между заражённым устройством и сервером делает более сложной задачу обнаружения вредоносной активности, поскольку ее сложно отличить от того протокола шифрования, который применяется в легитимных операциях, например, для онлайн-банкинга.
Для поверки зашифрованного трафика посредством TLS, можно использовать программные или аппаратные системы сетевой и компьютерной безопасности – IDS/IPS решения. Проверка трафика TLS возможна и на уровне самого компьютера. Всё зависит от возможностей используемого антивирусного средства.
Если внутренняя Сеть не имеет средств фильтрации и анализа трафика, вредоносная программа применит шифрование для подключения к управляющему серверу, которое будет оставаться необнаруженным пока адреса сервера злоумышленников не будут обнаружены и добавлены в черный список вредоносных IP-адресов и доменов.
Складывается впечатление, что если вирус-шифровальщик, шифрует трафик между устройством жертвы и своим управляющим сервером, то нет возможности перехватить и проанализировать трафик.
На самом деле, создатели своих вымогателей, нередко допускают ошибки в механизмах работы своих изобретений. Давайте рассмотрим это на примере алгоритма выполнения действий вымогателя CryptoLocker.
- После компрометации жертвы, вымогатель уведомляет об этом свой C&C-сервер и указывает при этом идентификатор (ID) кампании, а также уникальный ID системы.
- Управляющий C&C-сервер отвечает сообщением OK для подтверждения.
- Клиент обращается к серверу еще раз, указывая идентификатор кампании и уникальный идентификатор системы.
- Сервер предоставляет вымогателю сообщение с требованием выкупа и публичный ключ RSA-2048 из пары ключей, которая была сгенерирована для данной комбинации ID кампании/ID системы жертвы. Закрытый ключ из этой пары никогда не покидает C&C-сервер.
- Вымогатель подтверждает C&C-серверу успешное принятие сообщения с требованием выкупа и публичного ключа. Он также подтверждает окончание процесса шифрования файлов.
Уязвимое место в механизме работы CryptoLocker заключается в присутствии шагов 3 и 4, так как в таком случае шифрование файлов у пользователя происходит только в случае успешного общения вымогателя с C&C-сервером. Данные шаги были удалены в алгоритме работы CryptoDefense, который генерирует пару ключей на самой системе жертвы.
Тем не менее, авторы CryptoDefense упустили из вида небольшую деталь, которая заключается в том, что вымогатель забывает удалить из системы приватный ключ RSA. Этот ключ может быть использован для расшифровки зашифрованных файлов и может быть найден в системе. После этого достаточно использовать одну из API функций Windows для расшифровки файлов.
Благодаря таким ошибкам, всегда есть возможность получить ключ для расшифровки файлов. Есть также и способы более утончённые, позволяющие посылать ложные сигналы на управляющий сервер злоумышленников, для получения ответа. Такая информация, позволит проанализировать принцип работы шифровальщика и создать алгоритм действий, для того, чтобы обмануть управляющий сервер и вынудить его ошибочно выдать ключ расшифровки. Однако, учитывая, что трояны-вымогатели применяют криптографию, и хорошо защищают свой трафик, в основном располагаются в Сети TOR, добраться до C&C-сервер возможно в основном, благодаря допущенным ошибкам в реализации самих механизмов работы данных троянов. И к сожалению, это не всегда просто и возможно.
В предпоследней статье «Как же удаётся расшифровать зашифрованные данные?» из цикла заметок, посвященных вирусам-шифровальщикам, мы постараемся с вами кратко разобраться в том, какие есть шансы на восстановление данных после атак вирусами-шифровальщиками и есть ли они вообще?