Postřehy z bezpečnosti: ransomware „Locky"

14. 3. 2016
Doba čtení: 6 minut

Sdílet

Poznáme trochu blíže ransomware „Locky“, malware pro Androidy, který krade kliknutí, a zamyslíme se nad užitečností nástroje LinkedIn pro sociálního inženýra. Přidáme upozornění na aktualizace produktů známých firem.

Postřehy z bezpečnosti: Ransomware „Locky“

O ransomwaru Locky již sice bylo několik článků napsáno, v poslední době však podle informací z okruhu bezpečnostní komunity dochází k masívnímu nárůstu jeho aktivity.

Jméno tohoto ransomwaru zní na první poslech téměř žertovně. Mně osobně zvukomalebně připomíná jméno severského boha Lokiho – nevlastního bratra Thorova, jehož zálibou byly, dá se říci, kanadské žertíky. Žertíkem Lockyho je – jak už se od správného ransomwaru očekává – zašifrování vašich dat a následný požadavek na výkupné splatné v krátké době v bitcoinech přes anonymní platební bránu uvnitř temného „darknetu“.

Příběh ze života: poprvé jsem na tento ransomware narazil, když jsem v rámci běžné rutiny českého národního CSIRT teamu přijal telefonické hlášení incidentu typu „malware/ransomware“. Po dohodě s nahlašovatelem jsme založili standardní ticket, při jehož řešení vyšlo najevo, že se jedná právě o ransomware „Locky“. Na internetových bezpečnostních fórech jsem nalezl informaci, že je možné škody napáchané tímto malwarem napravit bez zaplacení. Odkaz na toto řešení jsem zaslal nahlašovateli, jehož oznámení o úspěšném dekódování jsem prozatím bohužel neobdržel. Podle referencí z internetových fór je nicméně úspěch velmi pravděpodobný.

Jak vlastně k takovému Lockymu přijdete? Pokud nejste dostatečně opatrní, tak vlastně celkem snadno. Nejčastější cestou je e-mailová zpráva, která má přiložený dokument Microsoft Office, který po otevření vypadá jako by měl špatné kódování znaků a jediná čitelná věta říká cosi ve smyslu „pro správné kódování povolte makra“.

GarbledEmailAttachment

Po povolení maker samozřejmě NENÁSLEDUJE správné zobrazení textu. Místo toho dojde ke spuštění makra uvnitř dokumentu, které uloží na disk malware, který následně spustí.

Tento škodlivý kód (Troj/Ransom-CGX) funguje jako downloader, který stáhne a spustí kód malwaru ze serveru „zlých hochů“.

Staženým kódem může být v podstatě cokoli, ale v případě Lockyho se jedná o (Troj/Ransom-CGW). Tento kód prohledává všechna dostupná úložiště a zakódovává všechny soubory, které mají některou z jemu známého (poměrně dlouhého) seznamu přípon.

Složka s postiženými soubory pak vypadá nějak takto:

EncryptedFolder

Pozoruhodné je, že tento ransomware zašifruje i vaši bitcoinovou peněženku (wallet.dat), pokud ji najde. Pravděpodobně se takto snaží více motivovat držitele většího obnosu v BTC k zaplacení.

Další Lockyho záludností je, že vymaže veškeré soubory služby Volume Snapshot Service (VSS), tedy takzvané „shadow kopie“, pomocí nichž by uživatel mohl být schopen provést záchranu dat. Tento mechanismus je velmi oblíbenou „náhradou“ skutečného zálohování, vzhledem k tomu, že probíhá jaksi sám, bez zásahu uživatele. Nicméně zrovna v případě Lockyho bohužel fatálně selže.

Jakmile je Locky se svou „prací“ hotov, postará se, abyste se dozvěděli o tom, proč vám poslední dobou „tak nějak divně blikala“ kontrolka zápisu na pevný disk. Konkrétně vám nastaví jako pozadí pracovní plochy následující sdělení:

MessageToVictim

Pokud budete postupovat podle uvedených instrukcí, pak se vám pravděpodobně podaří vaše data obnovit, ale za cenu zaplacení výkupného. Naštěstí byl algoritmus tohoto malwaru již překonán a existuje návod, jak zakódované soubory obnovit bez zaplacení.

Připomínám však, že Locky není žádný „hlupáček“, který by se omezoval pouze na lokální úložiště. Bude třeba zkontrolovat i všechna síťová úložiště, která byla po čas infekce připojena.

I v případě, že jste napadeni dosud nebyli, doporučuje se aplikovat preventivní opatření popsaná v původních zprávách o tomto malwaru:

https://thehackernews.com/2016/02/loc­ky-ransomware-decrypt.html

https://nakedsecurity.sop­hos.com/2016/02/17/locky-ransomware-what-you-need-to-know/

https://blogs.forcepoint.com/security-labs/locky-ransomware-encrypts-documents-databases-code-bitcoin-wallets-and-more

Naše postřehy

Až 66 % telefonů s Androidem je postiženo zranitelností vůči novému typu útoku, demostrovanému na konferenci RSA2016. Útočník pomocí zneužití možností Android Accessibility Frameworku může například získat kontrolu nad zařízením na úrovni práv administrátora zařízení (nikoli root permisssion). Útok je realizován technikou zvanou „clickjacking“, neboli česky „únos kliknutí“. Jak takový útok probíhá je popsáno na stránkách https://www.skycure.com/blog/ac­cessibility-clickjacking/.

Podle vyjádření Google je proti tomuto typu útoku Android částečně odolný a to až od verze 5. V současnosti mají odolné Androidy podíl cca 35 %

Mezi lidmi je služba LinkedIn velmi oblíbená a využívaná zejména jako virtuální vizitka či virtuálná profesní životopis. Pro sociálního inženýra se však jedná o excelentní zdroj informací, možná lepší než prohrabávání popelnic cílové firmy nebo hra na poslíčka s pizzou. Na LinkedIn totiž většina profesionálů uvádí své znalosti a certifikace (včetně dat získání), což jsou údaje, na jejichž základě lze učinit kvalifikované předpoklady například o informačních technologiích užívaných ve firmě, což je možné zneužít. Pokud v profilu člověka zaměstnaného ve firmě XY nalezneme například certifikaci MSCP nepříliš starého data, dá se předpokládat, že ve firmě běží alespoň jeden server na platformě Microsoft Windows. Obdobně pokud bude mít certifikaci RHCE, pravděpodobně firemní servery běží na Redhat Linuxu.

Zdroj: http://www.tripwire.com

Řešení? Důkladně zvážit, co z vašeho životopisu by potenciálně mohlo být zneužito proti vám nebo vašemu zaměstnavateli, případně obchodním partnerům, a takovéto informace z profilu odstranit.

Doposud neznámý způsob provedení DDoS útoku objevili specialisté Edinburghské univerzity. K DDoS amplifikačním útokům na DNS a NTP nyní přibývá možnost útoku pomocí protokolu TFTP.

V rámci programu odměny za odhalené chyby Facebooku byla zveřejněna nová zranitelnost této služby umožňující zneužití jednoho z mechanismů obnovy hesla.

Další zveřejněnou nepěknou vlastností Facebooku je, že na základě vašich příspěvků je možné vysledovat vaše sociální návyky, včetně informací o vašem denním režimu, tedy je například možné s vysokou pravděpodobností určit čas, kdy nejste/nebýváte doma.

Celá infrastruktura firmy Staminus Inc., která svým zákazníků nabízí mimo jiné hosting webových aplikaci zajištěný proti DDoS, byla napadena takovým způsobem, že její zákazníci vyjadřovali svou nelibost na alespoň na sociálních médiích, když tak nemohli učinit na firemních stránkách technické podpory.. V průběhu výpadku byly zveřejněny dokumenty vypadající jako důvěrné údaje o zákaznících této firmy, doplněné tímto posměšným pamfletem:

Staminus

bitcoin_skoleni




Ve zkratce

Pro pobavení

Islamističtí hackeři ze skupiny Cyber Caliphate Army se domnívali, že se zmocnili stránek Google a náležitě se tím na svých fórech chlubili. Skutečnost byla ale poněkud jiná: ve skutečnosti se jim podařilo změnit stránky firmy http://addgoogleonline.com. Původní obsah nahradili propagandistickou grafikou s bojovou písní na pozadí. Jakmile se zpráva o tomto počinu rozšířila, byl server velmi rychle hacknut znovu, tentokráte hackerem s vazbami na Anonymous, známým jako n3far1ous@anonph.net, který odstranil islámskou propagandu, a nahradil ji vkusným obrázkem s poznámkou, že bezpečnost je jen iluze a dodatkem, že společně s mocí přichází i zodpovědnost. Kyberkalifát tedy z této akce vyšel s dvojnásobnou ostudou: napadli nepravý cíl, a ještě k tomu byl cíl jejich snažení brzy anulován.

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

Jaroslav Kodet pracuje ve sdružení CZ.NIC jako analytik bezpečnosti CSIRT.CZ.