Как действуют программы-вымогатели?

Как действуют программы-вымогатели?

Как действуют криптовымогатели

Понимание того, как работает программа-вымогатель, задача не простая. Вне кругов информационной безопасности понимание комплексности, необходимой для защиты от криптовымогателей и для предотвращения нанесения ими ущерба, может показаться почти невозможным. Это делает угрозы лишь страшнее в глазах потенциальных жертв и эффективнее для киберпреступников, которые готовы извлекать прибыль.

В серии статей Emsisoft “В центре внимания: программы-вымогатели” мы стремимся детально разобрать различные этапы атаки программ-вымогателей: от векторов заражения и выполнения вредоносной программы до шифрования и случайных механизмов оплаты.

Если Вы пропустили первую статью из этой серии “Программы-вымогатели: распространённые способы заражения“, то начните с неё и узнайте о том, как чаще всего шифровальщики попадают на Ваши компьютеры.

В этой статье мы изучим, что происходит в случае, если Вы всё-таки делаете досадный клик по ссылке или по документу, и что предпринимает программа-шифровальщик, чтобы получить контроль над Вашей системой.

Готовы узнать, как действуют программы-вымогатели? Начнём.

Как действует программа-вымогатель: получение прав доступа

Существуют тысячи различных видов шифровальщиков, и их количество день ото дня только растёт. Поэтому объяснение конкретных шагов, которые предпринимает криптовымогатель для захвата системы, варьируется в зависимости от разновидности зловреда. Как правило, сразу после своего запуска программа-вымогатель не теряет времени и начинает сканировать локальные и подключённые диски в поисках файлов для шифрования.

Совет эксперта: Поскольку многие виды криптовымогателей пытаются зашифровать все подключённые и общие диски, важно отключать внешние жёсткие диски от Вашего компьютера, когда Вы не делаете резервное копирование. Если внешний накопитель подключён к Вашему компьютеру в момент атаки, то с большой долей вероятности он тоже будет зашифрован.

Некоторые виды криптовымогателей, например, Locky и DMA Locker могут даже зашифровать неотображаемые сетевые ресурсы, придавая распространению инфекции ещё большие масштабы.

Всё это происходит в считанные секунды. Буквально.

В эти секунды происходит многое другое, поэтому давайте рассмотрим некоторые способы, которые ищет программа-вымогатель, чтобы захватить Ваш компьютер.

Обфускация и процесс инъекции

В Вашу систему криптовымогатель обычно попадает упакованным или обфусцированным. Также как и разговорный язык, обфускация использует неясные и сбивающие с толку выражения, чтобы утаить истинный смысл.

Но как это выглядит в контексте программного обеспечения?

Во-первых, авторы программ-вымогателей обфусцируют код, чтобы скрыть его цели. Возьмём, например, антивирусное ПО: если криптовымогатель запущен именно так, как он был написан, то это должно привести в действие Ваше антивирусное ПО, которое заблокирует его работу. Но что если Ваша система думает, что Вы запускаете обычную программу Windows?

Цель использования обфускатора для криптовымогателя – остаться незамеченным.

Во-вторых, вредоносные программы часто подвергаются исследователями в области безопасностями реверс-инжинирингу с целью извлечь код, понять, как это работает и затем создать декриптор, чтобы дешифровать результаты деятельности криптовымогателя. Если исходный код был обфусцирован, то эта задача становится значительно сложнее. Если исследователь имеет дело с неясным кодом, может оказаться почти невозможным определить, как выглядел исходный код.

Сравнение: обфусцированный и необфусцированный исходный код

обфусцированный и необфусцированный исходный код

Этот способ становится ещё проще при использовании ПО для автоматической обфускации. Такое программное обеспечение автоматически изменяет данные файла различными способами, что он в результате не сильно похож на оригинал. Однако файл может по-прежнему прекрасно исполняться.

Краткое определение: Обфускация – это процесс, с помощью которого криптовымогатель изменяет данные файла различными способами, чтобы он не выглядел как оригинальный исходный код. Это маскирует истинную цель файла, при этом всё ещё позволяя ему выполняться.

Как только обфусцированный файл запущен в Вашей системе, криптовымогатель распакует себя в памяти.

Поскольку обфускаторы могут применяться множество раз на разных уровнях, то распаковка может повторяться неоднократно, в зависимости от использованных конфигураций. Одним из способов, используемых этой распаковкой, является инъекция кода во вновь созданный процесс, который обманывает систему, заставляя загружать криптовымогатель.

Обход контроля учётных записей пользователей

Контроль учётных записей пользователей (UAC) – это мера безопасности, которую Microsoft первоначально представила в Windows Vista. Исходя из “принципа минимальных привилегий”, Windows, по умолчанию, ограничивает правами обычного пользователя все приложения на Вашем компьютере. Если приложение запрашивает более высокие права, то Вы видите всплывающее окно (см. изображение ниже), которое требует у пользователя с правами администратора подтверждения, чтобы продолжить.

Уведомление Контроля учётных записей пользователей

Всплывающее уведомление контроля учётных записей пользователей

Самая неприятная часть данного конкретного сценария, по которому действует криптовымогатель, заключается в том, что, используя обход контроля учётных записей пользователей, программа-вымогатель может вообще приостановить появление этих уведомлений. Обходя контроль учётных записей пользователей, шифровальщик использует более высокие привилегии, позволяющие вносить изменения в Вашу систему и взаимодействовать с другими программами, даже не ставя Вас в известность.

Но как именно это происходит?

Давайте рассмотрим шифровальщик Erebus в качестве примера.

После детального изучения этого шифровальщика Мэтт Нельсон пришёл к выводу, что сначала Erebus копирует самого себя в файл со случайным именем в ту же папку, что и UAC. Затем он вносит изменения в реестр Windows, чтобы перехватить ассоциацию для файлового расширения .msc. Это, по сути, означает, что он запустит исполняемый (.exe) файл Erebus со случайным именем вместо всплывающего окна с запросом разрешения UAC.

Erebus обманом заставляет Ваш компьютер открыть файл Erebus, используя права самого высокого уровня. Это означает, что всё это происходит в фоновом режиме без уведомления Вас или без просьбы подтвердить запуск приложения.

Поскольку Event Viewer работает в том же режиме с повышенными правами (на уровне администратора), то запущенный исполняемый файл (.exe) Erebus будет также запущен с аналогичными правами. Это позволяет ему полностью обходить контроль учётных записей пользователей.

Краткое определение: Обход контроля учётных записей пользователей (UAC) – это процесс, с помощью которого вредоносная программа может без Вашего согласия повысить свои права до уровня администратора, что позволит ей вносить изменения в Вашу систему, например, шифровать все Ваши файлы.

Как действуют криптовымогатели: обход UAC

Обход через повышение прав

Но каким образом обходу UAC удаётся избежать обнаружения?

В то время как криптовымогатели используют процесс инъекции, пытаясь избежать обнаружения через использование технологии обфускации, последняя техника обхода UAC отличается особым подходом. Детали этого подхода объясняет в своём блоге исследователь в области безопасности Мэтт Нельсон. Мы лишь резюмируем полученные им результаты:

  1. Большинство предыдущих техник обхода UAC (если даже не все) требовали загрузки файла (как правило, динамически подключаемой библиотеки или DLL) в файловую систему. Реализация этого увеличивает для злоумышленника риск быть пойманным или в процессе, или позднее, когда инфицированная система тщательно изучалась (в частности, если его исходный код не обфусцирован, как объяснено выше). Поскольку техника обхода UAC не предполагает загрузку обычного файла, то этот дополнительный риск для киберпреступника сокращается.
  2. Эта техника обхода UAC не требует никакого процесса инъекции, как обычная обфускация. Это значит, что атака не будет никак выявляться решениями по безопасности, которые отслеживают этот тип поведения. (Примечание: решения Emsisoft отслеживают этот тип поведения. Вы можете узнать больше о нашей технологии анализа поведения.)

В целом, этот метод значительно снижает риски для злоумышленника, потому что он не загружает в файловую систему обычный файл, который может быть найден и выявлен позднее. Это новый метод, который активно набирает обороты. Два зловреда, шифровальщик Erebus (мы рассматривали его выше) и банковский троян Dridex, взяли этот метод на вооружение и используют его с начала 2017 года.

Постоянное присутствие: криптовымогатели облегчают себе задачу

Иногда криптовымогатель пытается удержаться в Вашей системе как можно дольше, обеспечивая себе постоянное присутствие. Это гарантирует, что криптовымогатель будет оставаться в системе, продолжая зашифровывать новые файлы по мере их копирования и даже инфицировать новые компьютеры путём распространения на другие диски.

Существуют различные способы, как криптовымогатель может достигнуть жизнестойкости. Ниже мы приводим самые распространённые варианты:

Добавление ключей в реестр

В реестре находятся ключи автозапуска. Каждый раз, когда пользователь входит в систему, запускаются перечисленные там программы. Они выполняются даже в безопасном режиме, если в начале имени ключа стоит звёздочка. В остальных случаях они всегда работают в фоновом режиме. Если криптовымогатель вновь и вновь появляется на Вашем компьютере, независимо от того, сколько раз Вы уничтожили его (как Вы думали, по крайней мере), то это может быть причиной.

Как действуют криптовымогатели: ключи реестра

Пример ключа в реестре

Один из таких примеров – Javascript-шифровальщик RAA, появившийся в 2016 году.

Планирование задач

Запланированные задачи – другой способ, используемый криптовымогателями для создания более гибких возможностей того, когда программа должна запускаться. Например, Вы можете задать запуск программы каждые 30 минут, что означает, что Вы будете видеть одного и того же зловреда как при старте, так и позднее – каждые полчаса. Некоторые варианты шифровальщика Locker, такие как CTB Locker или CryLocker, известны использованием этой техники.

Как действуют криптовымогатели: планирование задач

Окно расписания задач

Внедрение ярлыка

Если ярлык вредоносного файла или копии вредоносного файла находится в папке автозагрузки, то он будет запускаться каждый раз при загрузке компьютера.

Как действуют криптовымогатели: папка автозагрузки

Папка автозагрузки

Более сложное использование ярлыков было недавно замечено в таким шифровальщике как Spora. Заимствуя характеристики сетевого червя, криптовымогатель добавляет “скрытый” атрибут к файлам и папкам в корне всех дисков. Затем он создаёт ярлыки (.lnk) с названиями, аналогичными скрытым, и удаляет связанный символ стрелки в реестре, который обычно обозначает значок ярлыка. Ярлык сам по себе будет содержать аргументы, чтобы открыть оригинальный файл или папку, а также файл шифровальщика, гарантируя, что система будет продолжать оставаться непригодной к использованию до тех пор, пока она не будет вылечена.

Cерверы контроля и управления: звонок домой

Мы увидели, как криптовымогатель проникает в Вашу систему. После этого в большинстве случаев он захватит Ваше Интернет-соединение и с Вашего компьютера свяжется для различных целей с сервером контроля и управления (также известным как “C2”) .

Как правило, он будет использовать или жёстко прописанные домены, или IP-адреса, но также может размещаться и на взломанных веб-сайтах. Возьмём для примера шифровальщик Nemucod. Это семейство зловредов взламывает веб-сайты, добавляет папку на FTP и использует как веб-сайт не только для размещения вредоносной программы, загрузка которой инфицирует компьютеры жертв (обычно загружается свой собственный слабый шифровальщик и банковский троян Kovter), но также и для размещения “платёжного портала”, на который переходит жертва, выбравшая вариант оплаты для выкупа зашифрованных файлов.

Как вариант, используется алгоритм генерации доменных имен (DGA). DGA – это фрагмент кода в криптовымогателе, который будет генерировать множество доменов и связываться с ними. Автор вредоносной программы будет знать, в каком порядке эти доменные имена будут, скорее всего, созданы, и выбирает одно из них для регистрации. Преимущество DGA над жёстко прописанными доменами заключается в том, что трудно удалить все домены сразу, поэтому зачастую и страница с криптовымогателем, и страница для оплаты выкупа где-нибудь да размещаются.

Как только подключение установлено, криптовымогатель может отправить на сервер информацию, включающую:

  • операционную систему, которую Вы используете,
  • название Вашего компьютера,
  • Ваше имя пользователя,
  • страну, в которой Вы находитесь,
  • Ваш идентификационный номер пользователя,
  • сгенерированный биткоин-адрес,
  • ключ шифрования (если он сгенерирован вредоносной программой).

И наоборот, C2 сервер может отправлять назад криптовымогателю такую информацию как: сгенерированный на сервере ключ шифрования, чтобы использовать его для шифрования Ваших файлов; сгенерированный биткоин-адрес, на который Вас попросят отправить выкуп; идентификационный номер пользователя для доступа к порталу, а также URL-адрес платёжного сайта (Примечание: мы рассмотрим этот аспект в ближайшей публикации из этой серии).

В некоторых случаях C2 может также поручить криптовымогателю скачать после окончания шифрования другую вредоносную программу или сделать копии Ваших файлов, чтобы использовать их в дальнейшем, шантажируя Вас и вымогая ещё больше денег.

Удаление теневых копий: без возврата и восстановления

На заключительном этапе захвата Вашей системы криптовымогателем, прежде чем начинается непосредственно шифрование, обычно удаляются любые теневые копии (или автоматические резервные копии) Ваших файлов. Это исключает вариант, когда жертва может вернуться к незашифрованным версиям и избежать выплаты выкупа.

Служба теневого копирования томов (VSS), которая впервые была включена в Windows XP Security Pack 2, представляет собой набор интерфейсов, которые могут быть установлены для автоматического создания резервных копий файлов, даже когда они используются.

Эти резервные копии обычно создаются при резервном копировании или при создании точки восстановления системы. Они позволяют Вам восстанавливать предыдущие версии файлов.

Как действуют криптовымогатели: удаление теневых копий

Удаление теневых копий

Это то, чего не хочет криптовымогатель.

Это приводит к тому, что программа-вымогатель обычно удаляет снапшоты, используя команду vssadmin.exe Delete Shadows /All /Quiet, причём делает она это без каких-либо запросов, предупреждающих пользователя. Чтобы выполнить это, необходимы права администратора, и это ещё одна причина, почему криптовымогатель хотел бы использовать обход UAC.

Заключение

Как видите, существуют различные способы захвата Вашего компьютера криптовымогателями и различные изменения, которые те могут внести, чтобы сделать систему непригодной для использования. От получения прав админа или их обхода с помощью создания постоянного присутствия путём изменения записей реестра и создания ярлыков, до связи с сервером контроля и управления - действия кибервымогателей становятся изощрённее день ото дня.

Теперь, когда Вы понимаете, как кибервымогатель захватывает Вашу систему, подготовьтесь узнать подробнее о следующем шаге атаки: шифровании Ваших файлов. Оставайтесь с нами, чтобы в ближайшие недели прочитать следующую статью из этой серии!

Расскажите, затронули ли криптовымогатели Вас или компанию, в которой Вы работаете? Вы являетесь экспертом в области безопасности и хотите поделиться дополнительными тактиками, которые были использованы кибервымогателями, чтобы проникнуть в Ваш компьютер? Поделитесь с нами Вашим мнением в комментариях!

  • Сергей

    М-да с ума сойти что делается