Post on 20-Jun-2015
www.zemana.com 1 / 31
Emre TINAZTEPELead Software Architect
Ransomcrypt ZararlılarıÇalışma Mantıkları ve Analiz Yöntemleri
www.zemana.com 2 / 31
Zemana Hakkında• 2007 yılında kurulan global bir internet güvenliği şirketi,
• Proaktif güvenlik çözümleri sağlayıcısı,
• Finansal hedefli saldırılar konusunda uzmanlaşmış kadro,
• Dünya çapında korunan 10 milyon son kullanıcı,
• Bağımsız test kuruluşları tarafından onaylanmış ürünler.
www.zemana.com 3 / 31
Hakkımda• Maltepe Askeri Lisesi ve Kara Harp Okulu Mezunu,• 15 yıla yakın bir süredir programlama ile ilgileniyor,• 7 yıldır zararlı yazılımlar alanında çalışıyor,• Sistem programcısı, meraklı ve iyi bir okuyucu.
www.zemana.com 4 / 31
Kızın Elimizde
www.zemana.com 5 / 31
RDP Sapığı Mağdur Profilleri• Sunucu sistemlerine izinsiz erişilen şirketlerin mağdur profiline bakıldığında:
– Sunucuların internete bağlı olduğu ve uzak masaüstü bağlantısının açık olduğu,– Kullanıcı adlarının genellikle “Admin, Administrator, Şirket Adı” olduğu,– Sunucu şifrelerinin ise genellikle “123456, Server, Password veya Şirket Adı” olduğu,– Sunucu erişim yetkisine sahip farklı kişilerde düşük güvenlikli çeşitli kullanıcı adı ve şifrelerinin bulunduğu,– Herhangi bir güvenlik önlemi veya yetkilendirme olmadan şifreye sahip herkesin sunucuya erişebildiği,– Sunucuda bulunan verilerin yedeğinin bulunmadığı anlaşılmıştır.
www.zemana.com 6 / 31
Mağdur Şirket
www.zemana.com 7 / 31
Helal-i hoş olsun?• Büyük çaplı bir dizayn firması, satışlarının büyük bir kısmını internetten yapıyor,
• Logo muhasebe yazılımını tek bir bilgisayarda kullanıyor ve yedek almıyor,
• Bu ay tahsil etmesi gereken 170.000 TL bu programda kayıtlı
• 10 bilgisayarcı çağırmış (4 kutu AV ile gelen var),
• 16 Nisan 2014’de mail yoluyla gelen bir faturaya tıklıyor ama bir türlü açamıyor
• Bir kaç gün sonra hiç bir program açılmıyor,
• Günün sonunda bizzat şirket sahibinden duyduğum cümle:
“Emre Bey, benim dosyalarım açılsın da, virüsü yazan adama verdiğimiz para helal-i hoş olsun”
www.zemana.com 8 / 31
Saldırı Çeşitleri• Dosyaları kısmi şifreleme,
• Tamamen şifreleme,
• Login ekranını şifreleme,
• İşletim sistemini tamamen şifreleme (BIOS Boot Locker).
www.zemana.com 9 / 31
İş Modeli
Spam Mail
Dosyaları Şifrele
Not Bırak
Para para para
www.zemana.com 10 / 31
İş Modeli
www.zemana.com 11 / 31
Koskoca AntiVirüs• Malware analiz laboratuarı nedir?
• Packer nedir? Ne işe yarar?
• AV Bypass nedir? Nasıl yapılır?
• Katmanlı güvenlik ve önemi.
• Basit önlemler:– Dosya uzantılarını göster,
– Dosya türünü göster,
– Zoom trick,
– Virus Total Uploader.
www.zemana.com 12 / 31
Semptomlar• Açılmayan faturalar,
• Yüksek bilet tutarları,
• Yazım hataları olan mailler,
• Papua Yeni Gine Prensi’nden gelen mektuplar,
• Klasör görünümlü dosyalar (eski XP klasörlerine benzer),
• Çirkin PDF ikonları,
• Onay ya da giriş isteyen sayfalar (captcha gibi güven verici).
www.zemana.com 13 / 31
5 Dosya Gönderdim Geldi Mi?• Yaşanmış bir olay :
- 5 malware örneği gönderdim, geldi mi?
- Hmmmm, az önce geldi, 4 dosya 1 dizin.
- Ne dizini?
- Valla dizine tıkladım açılmadı.
- Aferin
www.zemana.com 14 / 31
Dosya Yapısı• Her dosya !crypted! kelimesi ile başlıyor,
• Hemen arkasından bilgisayara ait unique id
geliyor,
• Dosyanın kalanında ise veri şifrelenmiş bir
şekilde tutuluyor,
• RSA 2048 ile şifrelendiği için brute force
saldırıları ile sonuç almak mümkün değil.
www.zemana.com 15 / 31
Çözüm Sürecinde Yapılan Hatalar
• Anti virüs ile tarama yapmak ve zararlıyı silmek,
• Bilgisayarcı çağırmak
• Dosyaları bir bilgisayardan alarak başka bir bilgisayara kopyalamak (bedava decryption
denemeleri )
www.zemana.com 16 / 31
Çözüm
• Harici bir boot disk ile sistemi başlatmak,
• Hardcoded şifre kullanan zararlıları reverse ederek şifreyi elde etmek,
• Brute force saldırısına açık dosyaları brute force ile kurtarmak,
• Known Plain Text Attack ile şifreyi elde etmek,
• Saldırgana fidye ödemek.
www.zemana.com 17 / 31
Amatör Saldırganlar
• Şifreleme algoritmasını yanlış kullanmak,
• Üretilen rasgele sayıları sadece «Rakam» ile sınırlamak ve brute
force saldırısını mümkün kılmak.
www.zemana.com 18 / 31
Fatmal
• Fatura Zararlısı,
• 3-4 aylık periyotlarla saldırılar düzenleyen bir çete,
• Genellikle aynı packerı kullanarak AV Bypass yapılıyor (Run PE),
• Genel olarak hedef kredi kartı ve kişisel veri hırsızlığı,
• Daha önce RDP açığı bulunan sistemlere yaptıkları saldırılarda
çok sayıda şirketi zarara uğrattılar.
www.zemana.com 19 / 31
Run PE
• AV Bypass için gayet etkili bir yöntem,
• Hala bir çok antivirüs rahatlıkla bypass edilebiliyor,
• Manuel unpacking zaman alıcı.Orijinal Dosya
Kendini Tekrar Çalıştır
Unpackİşlemini
Gerçekleştir
Enfeksiyona Başla
www.zemana.com 20 / 31
Run PE
Zararlı Dosya (Packed) Zararlı Dosya (Unpacked)
Şifreli Kısım Çalışabilir Kısım
www.zemana.com 21 / 31
XOR Nedir?• Artı, eksi gibi bir operatör,
• Oyun programlama gibi alanlarda imleç görünürlüğü için kullanılır,
• Neredeyse bütün şifreleme algoritmalarının temelini oluşturur,
• Kullanımı çok basittir ve encrypted zararlıların neredeyse tamamında kullanılır.
A xor B = CB xor C = AA xor C = B
ise
www.zemana.com 22 / 31
Initialization Vector ve AES• Her blok (CBC) bir önceki blok ile XOR’lanır. Zincirleme kelimesinin buradan gelmektedir.,
• İlk blok için IV kullanılarak sanki bir önceki blokmuş gibi işleme sokulur,
• Normal XOR’un aksine, şifrelenen dosyada aynı olan blokların farklı şifrelenmesine olanak
sağlar,
• Genellikle kullanılan şifrenin uzunluğunda olur,
• Kullanılmaz ise şifreyi known plain text attack ile elde şansınız yüksektir.
www.zemana.com 23 / 31
CBC ve IV
www.zemana.com 24 / 31
2 MB limiti• Hız kazanmak için her dosyanın ilk 2 MB’lık kısmı şifrelenir,
• Dosyanın başlık kısmı dahil ilk 2 MB’ı bozulduğu için dosya açılamaz,
• Şifreleme algoritması düzgün kullanıldığında gayet efektiftir.
www.zemana.com 25 / 31
Dosyayı Çalıştıralım
www.zemana.com 26 / 31
Şifreleme Algoritması• Dosyalar AES ile şifrelenmiş ve anahtar rasgele üretiliyor,
• Rasgele üretilen anahtar ise RSA 2048 ile şifrelenerek kullanıcıya gösteriliyor,
• AES’de kullanılan mode’un CTR modu olduğunu kodu reverse ederek anlıyoruz,
• Tüm dosyalarda kullanılan IV sabit ise tüm dosyalar çözülebilir.
www.zemana.com 27 / 31
CTR Mode
www.zemana.com 28 / 31
Zemana Fatmal Decryptor
www.zemana.com 29 / 31
Zemana Fatmal Decryptor
• Şifre : Vahşi Yaşam
www.zemana.com 30 / 31
Zemana Fatmal Decryptor
XOR = XOR Cipher(2MB Boyutunda)
www.zemana.com 31 / 31
Teşekkürler