Luci sui ransomware: ecco come funzionano!

how-ransomware-works-blog-banner

Capire il funzionamento di un ransomware non è cosa semplice. Fuori dai forum di cyber security, ottenere le conoscenze necessarie per capire come proteggere e prevenire i ransomware può essere quasi impossibile. Questo rende le minacce informatiche un’arma paurosa ed efficace da utilizzare dai criminali.

In questa serie di Emsisoft “Luci sui ransomware”, vogliamo mostrare ogni stage di un attacco ransomware, dal momento di attacco fino all’esecuzione del malware con la criptazione dei file.

Se ti sei perso la prima parte, ‘Metodi di infezione comuni’, assicurati di leggerla e conoscere i vari metodi di infezione di un ransomware.

In questa seconda parte, esploreremo cosa capita se cliccherai su un link o documento infetto e cosa farà il ransomware al tuo sistema per prenderne il controllo.

Pronto a scoprire come funziona un ransomware? Partiamo!

Come funziona un ransomware: ottenendo privilegi

Con centinaia di famiglie differenti di ransomware scoperte durante il passare del tempo, spiegare gli step precisi di come un ransomware prende il controllo del computer sarebbe impossibile. In generale, una volta che il ransomware viene eseguito non perde tempo e scansione dischi locali e connessi da criptare.

Consiglio degli esperti: alcune varianti tenteranno di criptare dischi connessi e condivisi, è importante tenere i dischi esterni scollegati quando non si utilizzano per effettuare backup. Se saranno collegati durante l’attacco, allora molto probabilmente anche il loro contenuto sarà criptato.

Alcune varianti come il Locky ed il DMA Locker possono anche criptare reti condivise non mappate, rendendo il raggio di infezione ancora più grande.

Tutto questo avviene in pochi secondi. Letteralmente.

Succede tantissimo in questi secondi, perciò diamo un’occhiata a come un ransomware può prendere il controllo del tuo computer.

Offuscazione e processo di iniezione

Quando viene recapitato sul tuo sistema, il ransomware è solitamente impacchettato con qualche sorta di offuscatore o programma similare. Come una lingua parlata, la tecnica di offuscazione utilizza espressioni ambigue e confuse rendendo il messaggio inspiegabile e difficile da intendere.

Cosa significa tutto questo nel contesto del software?

Gli sviluppatori ransomware offuscano il codice di proposito. Pensa agli anti-malware per esempio: se un ransomware esegue chiaramente il suo intento potrebbe insospettire il programma di sicurezza e venir bloccato. Ma cosa succede se il sistema pensa che tu stia utilizzando un programma di windows?

L’obiettivo dell’offuscamento del ransomware è quello di rimanere nell’ombra e non venire rilevato.

Secondariamente, i malware molto spesso vengono studiati dai ricercatori di sicurezza per capirne il funzionamento leggendone il codice. Se il codice viene offuscato, questo processo è reso difficile. Se un ricercatore di sicurezza guarderà al codice di jibberish potrebbe sembrare quasi impossibile determinare quale sia il codice sorgente.

obfuscated-code-comparison

codice sorgente offuscato e non offuscato

Questo metodo è ancora più facile da usare grazie all’utilizzo di software automatici per l’offuscamento. Questo software cambierà le informazioni dell’applicazione in modo che non sembri l’originale. Tuttavia il file sarà eseguito senza problemi.

Definizione rapida: l’offuscamento è un processo nel quale il ransomware cambia le sue informazioni al fine di non sembrare come in principio. Questo fa si che il file possa eseguire le sue funzioni senza mostrare le sue reali intenzioni.

Una volta che il file offuscato è stato avviato, il ransomware si decomprimerà nella memoria.

L’offuscamento può essere applicato più volte ed in diverse maniere, dipendendo dalla configurazione utilizzata. Una volta che si è decompresso funziona tramite l’inizione del codice direttamente in un processo nuovo aggirando il sistema che eseguirà il ransomware.

Bypassare l’UAC 

User account control (UAC) è una misura di sicurezza che ha introdotto Microsoft con Windows Vista. Basata sul ‘principio dei privilegi,’ Windows di default limita ai privilegi dell’utente tutte le applicazioni eseguite. Se un’applicazione richiede privilegi elevati, noterai un pop-up apparire sul tuo computer, richiedendo questi privilegi al fine di continuare ad utilizzare l’applicazione.

UAC-notification

Notifica pop-up UAC

Questa è la parte più paurosa dello scenario dei ransomware: bypassando l’UAC, un ransomware può indurre il sistema a non mostrare questo avviso. Con il bypass del UAC, il ransomware verrà avviato con privilegi alti consentendolo di effettuare modifiche al tuo sistema e interagendo con gli altri programmi, senza che tu te ne accorga.

Come funziona tutto questo con esattezza?

Prendiamo come esempio il ransomware Erebus:

Come esplorato approfonditamente da Matt Nelsen, Erebus copia dei file con nomi casuali nella stessa cartella come l’UAC. Successivamente, modifica il registro di Windows al fine di manomettere l’associazione dell’estensioni .msc. Questo significa che avvierà i file eseguibili di Erebus (.exe) al posto dell’avviso UAC.

Erebus si prende gioco del tuo computer, facendogli aprire i file di Erebus con privilegi elevati. Questo significa che tutto ciò avverrà in background senza avvisarti e senza chiedendosi se approvare l’avvio dell’applicazione.

Come un esegue un Event Viewer nello stesso modo (privilegi admin), il lancio dei file eseguibili Erebus sarà effettuato con privilegi. In questo modo l’User Account Control sarà aggirato completamente.

Definizione rapida: bypassare l’User Account Control (UAC) è un processo nel quale un malware può elevare i suoi privilegi senza il tuo consenso, consentendolo di effettuare delle modifiche al sistema come la criptazione dei tuoi file.

how-ransomware-works-UAC-bypass

Elevazione dell’UAC

Come può succedere tutto ciò senza l’avviso di una protezione?

Mentre il ransomware esegue questo processo tramite la tecnologia di offuscazione per evitare le rilevazioni, la tecnica per bypassare l’UAC è differente nell’applicazione. Il ricercatore di sicurezza Matt Nelson ce lo spiega nel suo blog e lo riassumiamo di seguito:

  1. La maggior parte (se non tutte) le precedenti tecniche per bypassare l’UAC richiedevano il rilascio di file (normalmente una  libreria Dynamic-Link o DLL) nel sistema. Facendo questo, l’attaccante si esponeva e poteva venir colto in fragrante, specialmente se il codice non veniva offuscato, come spiegato prima. Dal momento che le tecniche per aggirare il UAC non lasciano un file comune, questo rischio per il malvivente viene mascherato.
  2. Questa processo per aggirare il UAC non richiede tecniche di iniezione come il tipico offuscamento. Questo significa che non verrà mostrato nessun avviso dal tuo programma di sicurezza. (Nota: le soluzioni Emsisoft monitorano questo tipo di comportamento. Puoi leggere di più sulla tecnologia del nostro modulo per il controllo del comportamento in questa pagina)

Normalmente questo metodo riduce il rischio di essere scoperto all’attaccante, in quanto non viene lasciato un file tradizionale che può essere studiato successivamente. E’ un nuovo metodo e sta ricevendo moltissima attenzione. Erebus ransomware (descritto prima) ed il Trojan bancario Dridex Banking Trojan hanno adottato questo metodo, in circolazione dall’inizio del 2017.

Rafforzano la propria presenza: il ransomware è comodo da eseguire

Occasionalmente i ransomware cercheranno di rimanere nel tuo sistema il più possibile. Questo assicurerà al ransomware di rimanere nel sistema, continuando a criptare i nuovi file che vengono copiati o infettando altre vittime diffondendosi su altri dispositivi.

Ci sono diversi modi nei quali un ransomware può rafforzare la propria presenza. Di seguito puoi trovare i più comuni:

Inserendo chiavi di avvio

Le chiavi di avvio si trovano nel registro, ogni volta che l’utente effettua il login, il programma che è nella lista viene eseguito. Queste chiavi non vengono eseguite nella modalità di ripristino a meno che il nome non venga preceduto da un prefisso. Se hai un ransomware che rimane saldo al tuo computer e che sparisce, ma poi ritorna, il problema potrebbe risiedere in questo settore.

how-ransomware-works-runkey

Esempio di chiavi di avvio

Un esempio può essere il Javascript RAA ransomware, che è apparso nel 2016.

Pianificare un’attività

Le attività pianificate è un metodo molto utilizzato dai ransomware, consentendo maggior flessibilità quando un programma devevenir eseguito. Per esempio, puoi eseguire un programma ogni 30 minuti. Alcune varianti del Locker, come il CTB Locker o CryLocker, sono famose per questo tipo di tecnica.

how-ransomware-works-task-schedule

Immagine delle attività programmate

Inserimento di una scorciatoia

Se una scorciatoia od un file del malware viene copiato nella cartella d’avvio, allora quel programma si avvierà ad ogni accensione del computer.

how-ransomware-works-startup-folder

Immagine dei programmi all’avvio

Recentemente è stato osservato un utilizzo più sofisticato delle scorciatoie da ransomware come Spora. Con le caratteristiche di un worm, nasconderà i file e le cartelle di tutti i dischi. Creerà una scorciatoia (.lnk) con gli stessi nomi, eliminando le frecce associate nel registro. La scorciatoia contiene tutte le informazioni originali del file ransomware, rendendolo re-utilizzabile nel caso che venga eliminato.

Server di comando e controllo: “ransomware telefona casa”

Abbiamo visto come un ransomware può entrare nel nostro sistema. Una volta che il ransomware si è annidato tenterà di manomettere la nostra connessione per comunicare con un server di comando e controllo (anche chiamato C2) per una varietà di motivi.

Normalmente vengono utilizzati dei domini od indirizzi IP, ma possono venir hostati anche su siti dirottati. Un esempio è il Nemucod ransomware. Questa famiglia di ransomware attacca i siti, aggiunge una cartella all’FTP ed utilizza il sito per  immagazzinare diversi malware da scaricare, ma possono venir allestiti anche portali per il pagamento, dove la vittima accederà per pagare il riscatto.

In alternativa viene usato un domain generation algorithm (DGA). Un DGA è un pezzo di codice di ransomware che genera e contatta numerosi domini. L’autore del malware saprà in quale ordine devono essere generati questi domini. Il vantaggio di un DGA è quello della difficoltà di chiudere tutti i siti da parte delle unità competenti.

Una volta che la connessione è stabilita, il ransomware invierà le informazioni al server, quali:

  • sistema operativo in uso
  • nome del computer
  • nome utente
  • località
  • il tuo ID
  • un indirizzo bitcoin
  • chiave di encriptazione (generata dal malware)

Il server C2, inoltre, potrebbe inviare delle informazioni al ransomware, come la chiave generata per la decriptazione dei file, un indirizzo bitcoin dove la vittima potrà pagare, o l’ID utente per accedere al pagamento online (Nota: parleremo di questo aspetto in un articolo futuro).

In alcuni casi, il C2 può ordinare al ransomware di scaricare altri malware una volta che ha terminato a criptare o dopo aver copiato multiple copie di se stesso per far guadagnare di più i criminali.

Rimuove le copie di sicurezza: elimina i backup

Nella parte finale, il ransomware dopo aver criptato i dati rimuoverà le copie di sicurezza (od le copie di backup automatiche) dei tuoi file. Questo fa si che la vittima non possa ripristinare una versione precedente del file non criptata e di conseguenza pagherà il riscatto.

Il servizio di copia Shadow (VSS), è stato introdotto per la prima volta dal Service Pack 2 su Windows XP, non è altro che un’interfaccia automatica per la creazione di copie di “backup” dei file, anche se sono in uso.

Questi backup vengono creati normalmente quando viene eseguito il Backup di Windows o viene creato un punto di ripristino di sistema. Consentendoti di ripristinare i file ad una precedente versione.

how-ransomare-works-delete-shadow-copies

Eliminando le copie shadow

Questo è qualcosa che il ransomware non vuole, che tu possa ripristinare i tuoi file.

I ransomware utilizzando il comando vssadmin.exe Delete Shadows /All /Quiet per eliminare le copie ed in questo caso non sarà necessario il permesso dell’utente. Per effettuare ciò sono necessari i privilegi di amministratore, un altro motivo per cui i ransomware raggirano l’UAC.

Conclusioni

Come puoi notare, ci sono varie metodologie di come un ransomware può dirottare il tuo computer e renderlo inutilizzabile. Dall’ottenimento dei privilegi amministrativi passando dal bypassare i metodi di prevenzione, stabilendo una presenza e cambiando scorciatoie e chiavi di registro tramite un comando dal centro di controllo, i ransomware diventano sempre più sofisticati con il corso del tempo.

Ora che hai capito come un ransomware infetta il tuo sistema, preparati al prossimo appuntamento: criptazione dei file. Rimani aggiornato per la successiva parte, nelle prossime settimane!

Sei stato infetto da un ransomware? Sei un esperto di sicurezza e vuoi condividere la tua opinione? Commenta il post qua sotto!