ݺߣ

ݺߣShare a Scribd company logo

Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yöntemleri)

Download as PPTX, PDF
CypSec - Siber Güvenlik Konferansı
CypSec - Siber Güvenlik Konferansı
1 of 31
Downloaded 49 times
www.zemana.com 1 / 31 Emre TINAZTEPE Lead Software Architect Ransomcrypt Zararlıları Çalışma Mantıkları ve Analiz Yöntemleri
www.zemana.com 2 / 31 Zemana Hakkında • 2007 yılında kurulan global bir internet güvenliği şirketi, • Proaktif güvenlik çözümleri sağlayıcısı, • Finansal hedefli saldırılar konusunda uzmanlaşmış kadro, • Dünya çapında korunan 10 milyon son kullanıcı, • Bağımsız test kuruluşları tarafından onaylanmış ürünler.
www.zemana.com 3 / 31 Hakkımda • Maltepe Askeri Lisesi ve Kara Harp Okulu Mezunu, • 15 yıla yakın bir süredir programlama ile ilgileniyor, • 7 yıldır zararlı yazılımlar alanında çalışıyor, • Sistem programcısı, meraklı ve iyi bir okuyucu.
www.zemana.com 4 / 31 Kızın Elimizde
www.zemana.com 5 / 31 RDP Sapığı Mağdur Profilleri • Sunucu sistemlerine izinsiz erişilen şirketlerin mağdur profiline bakıldığında: – Sunucuların internete bağlı olduğu ve uzak masaüstü bağlantısının açık olduğu, – Kullanıcı adlarının genellikle “Admin, Administrator, Şirket Adı” olduğu, – Sunucu şifrelerinin ise genellikle “123456, Server, Password veya Şirket Adı” olduğu, – Sunucu erişim yetkisine sahip farklı kişilerde düşük güvenlikli çeşitli kullanıcı adı ve şifrelerinin bulunduğu, – Herhangi bir güvenlik önlemi veya yetkilendirme olmadan şifreye sahip herkesin sunucuya erişebildiği, – Sunucuda bulunan verilerin yedeğinin bulunmadığı anlaşılmıştır.
www.zemana.com 6 / 31 Mağdur Şirket
www.zemana.com 7 / 31 Helal-i hoş olsun? • Büyük çaplı bir dizayn firması, satışlarının büyük bir kısmını internetten yapıyor, • Logo muhasebe yazılımını tek bir bilgisayarda kullanıyor ve yedek almıyor, • Bu ay tahsil etmesi gereken 170.000 TL bu programda kayıtlı  • 10 bilgisayarcı çağırmış (4 kutu AV ile gelen var), • 16 Nisan 2014’de mail yoluyla gelen bir faturaya tıklıyor ama bir türlü açamıyor  • Bir kaç gün sonra hiç bir program açılmıyor, • Günün sonunda bizzat şirket sahibinden duyduğum cümle: “Emre Bey, benim dosyalarım açılsın da, virüsü yazan adama verdiğimiz para helal-i hoş olsun”
www.zemana.com 8 / 31 Saldırı Çeşitleri • Dosyaları kısmi şifreleme, • Tamamen şifreleme, • Login ekranını şifreleme, • İşletim sistemini tamamen şifreleme (BIOS Boot Locker).
www.zemana.com 9 / 31 İş Modeli Spam Mail Dosyaları Şifrele Not Bırak Para para para
www.zemana.com 10 / 31 İş Modeli
www.zemana.com 11 / 31 Koskoca AntiVirüs • Malware analiz laboratuarı nedir? • Packer nedir? Ne işe yarar? • AV Bypass nedir? Nasıl yapılır? • Katmanlı güvenlik ve önemi. • Basit önlemler: – Dosya uzantılarını göster, – Dosya türünü göster, – Zoom trick, – Virus Total Uploader.
www.zemana.com 12 / 31 Semptomlar • Açılmayan faturalar, • Yüksek bilet tutarları, • Yazım hataları olan mailler, • Papua Yeni Gine Prensi’nden gelen mektuplar, • Klasör görünümlü dosyalar (eski XP klasörlerine benzer), • Çirkin PDF ikonları, • Onay ya da giriş isteyen sayfalar (captcha gibi güven verici).
www.zemana.com 13 / 31 5 Dosya Gönderdim Geldi Mi? • Yaşanmış bir olay : - 5 malware örneği gönderdim, geldi mi? - Hmmmm, az önce geldi, 4 dosya 1 dizin. - Ne dizini? - Valla dizine tıkladım açılmadı. - Aferin 
www.zemana.com 14 / 31 Dosya Yapısı • Her dosya !crypted! kelimesi ile başlıyor, • Hemen arkasından bilgisayara ait unique id geliyor, • Dosyanın kalanında ise veri şifrelenmiş bir şekilde tutuluyor, • RSA 2048 ile şifrelendiği için brute force saldırıları ile sonuç almak mümkün değil.
www.zemana.com 15 / 31 Çözüm Sürecinde Yapılan Hatalar • Anti virüs ile tarama yapmak ve zararlıyı silmek, • Bilgisayarcı çağırmak  • Dosyaları bir bilgisayardan alarak başka bir bilgisayara kopyalamak (bedava decryption denemeleri )
www.zemana.com 16 / 31 Çözüm • Harici bir boot disk ile sistemi başlatmak, • Hardcoded şifre kullanan zararlıları reverse ederek şifreyi elde etmek, • Brute force saldırısına açık dosyaları brute force ile kurtarmak, • Known Plain Text Attack ile şifreyi elde etmek, • Saldırgana fidye ödemek.
www.zemana.com 17 / 31 Amatör Saldırganlar • Şifreleme algoritmasını yanlış kullanmak, • Üretilen rasgele sayıları sadece «Rakam» ile sınırlamak ve brute force saldırısını mümkün kılmak.
www.zemana.com 18 / 31 Fatmal • Fatura Zararlısı, • 3-4 aylık periyotlarla saldırılar düzenleyen bir çete, • Genellikle aynı packerı kullanarak AV Bypass yapılıyor (Run PE), • Genel olarak hedef kredi kartı ve kişisel veri hırsızlığı, • Daha önce RDP açığı bulunan sistemlere yaptıkları saldırılarda çok sayıda şirketi zarara uğrattılar.
www.zemana.com 19 / 31 Run PE • AV Bypass için gayet etkili bir yöntem, • Hala bir çok antivirüs rahatlıkla bypass edilebiliyor, • Manuel unpacking zaman alıcı. Orijinal Dosya Kendini Tekrar Çalıştır Unpack İşlemini Gerçekleştir Enfeksiyona Başla
www.zemana.com 20 / 31 Run PE Zararlı Dosya (Packed) Zararlı Dosya (Unpacked) Şifreli Kısım Çalışabilir Kısım
www.zemana.com 21 / 31 XOR Nedir? • Artı, eksi gibi bir operatör, • Oyun programlama gibi alanlarda imleç görünürlüğü için kullanılır, • Neredeyse bütün şifreleme algoritmalarının temelini oluşturur, • Kullanımı çok basittir ve encrypted zararlıların neredeyse tamamında kullanılır. A xor B = C B xor C = A A xor C = B ise
www.zemana.com 22 / 31 Initialization Vector ve AES • Her blok (CBC) bir önceki blok ile XOR’lanır. Zincirleme kelimesinin buradan gelmektedir., • İlk blok için IV kullanılarak sanki bir önceki blokmuş gibi işleme sokulur, • Normal XOR’un aksine, şifrelenen dosyada aynı olan blokların farklı şifrelenmesine olanak sağlar, • Genellikle kullanılan şifrenin uzunluğunda olur, • Kullanılmaz ise şifreyi known plain text attack ile elde şansınız yüksektir.
www.zemana.com 23 / 31 CBC ve IV
www.zemana.com 24 / 31 2 MB limiti • Hız kazanmak için her dosyanın ilk 2 MB’lık kısmı şifrelenir, • Dosyanın başlık kısmı dahil ilk 2 MB’ı bozulduğu için dosya açılamaz, • Şifreleme algoritması düzgün kullanıldığında gayet efektiftir.
www.zemana.com 25 / 31 Dosyayı Çalıştıralım
www.zemana.com 26 / 31 Şifreleme Algoritması • Dosyalar AES ile şifrelenmiş ve anahtar rasgele üretiliyor, • Rasgele üretilen anahtar ise RSA 2048 ile şifrelenerek kullanıcıya gösteriliyor, • AES’de kullanılan mode’un CTR modu olduğunu kodu reverse ederek anlıyoruz, • Tüm dosyalarda kullanılan IV sabit ise tüm dosyalar çözülebilir.
www.zemana.com 27 / 31 CTR Mode
www.zemana.com 28 / 31 Zemana Fatmal Decryptor
www.zemana.com 29 / 31 Zemana Fatmal Decryptor • Şifre : Vahşi Yaşam
www.zemana.com 30 / 31 Zemana Fatmal Decryptor XOR = XOR Cipher (2MB Boyutunda)
www.zemana.com 31 / 31 Teşekkürler

More Related Content

Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yöntemleri)

  • 1. www.zemana.com 1 / 31 Emre TINAZTEPE Lead Software Architect Ransomcrypt Zararlıları Çalışma Mantıkları ve Analiz Yöntemleri
  • 2. www.zemana.com 2 / 31 Zemana Hakkında • 2007 yılında kurulan global bir internet güvenliği şirketi, • Proaktif güvenlik çözümleri sağlayıcısı, • Finansal hedefli saldırılar konusunda uzmanlaşmış kadro, • Dünya çapında korunan 10 milyon son kullanıcı, • Bağımsız test kuruluşları tarafından onaylanmış ürünler.
  • 3. www.zemana.com 3 / 31 Hakkımda • Maltepe Askeri Lisesi ve Kara Harp Okulu Mezunu, • 15 yıla yakın bir süredir programlama ile ilgileniyor, • 7 yıldır zararlı yazılımlar alanında çalışıyor, • Sistem programcısı, meraklı ve iyi bir okuyucu.
  • 4. www.zemana.com 4 / 31 Kızın Elimizde
  • 5. www.zemana.com 5 / 31 RDP Sapığı Mağdur Profilleri • Sunucu sistemlerine izinsiz erişilen şirketlerin mağdur profiline bakıldığında: – Sunucuların internete bağlı olduğu ve uzak masaüstü bağlantısının açık olduğu, – Kullanıcı adlarının genellikle “Admin, Administrator, Şirket Adı” olduğu, – Sunucu şifrelerinin ise genellikle “123456, Server, Password veya Şirket Adı” olduğu, – Sunucu erişim yetkisine sahip farklı kişilerde düşük güvenlikli çeşitli kullanıcı adı ve şifrelerinin bulunduğu, – Herhangi bir güvenlik önlemi veya yetkilendirme olmadan şifreye sahip herkesin sunucuya erişebildiği, – Sunucuda bulunan verilerin yedeğinin bulunmadığı anlaşılmıştır.
  • 6. www.zemana.com 6 / 31 Mağdur Şirket
  • 7. www.zemana.com 7 / 31 Helal-i hoş olsun? • Büyük çaplı bir dizayn firması, satışlarının büyük bir kısmını internetten yapıyor, • Logo muhasebe yazılımını tek bir bilgisayarda kullanıyor ve yedek almıyor, • Bu ay tahsil etmesi gereken 170.000 TL bu programda kayıtlı  • 10 bilgisayarcı çağırmış (4 kutu AV ile gelen var), • 16 Nisan 2014’de mail yoluyla gelen bir faturaya tıklıyor ama bir türlü açamıyor  • Bir kaç gün sonra hiç bir program açılmıyor, • Günün sonunda bizzat şirket sahibinden duyduğum cümle: “Emre Bey, benim dosyalarım açılsın da, virüsü yazan adama verdiğimiz para helal-i hoş olsun”
  • 8. www.zemana.com 8 / 31 Saldırı Çeşitleri • Dosyaları kısmi şifreleme, • Tamamen şifreleme, • Login ekranını şifreleme, • İşletim sistemini tamamen şifreleme (BIOS Boot Locker).
  • 9. www.zemana.com 9 / 31 İş Modeli Spam Mail Dosyaları Şifrele Not Bırak Para para para
  • 10. www.zemana.com 10 / 31 İş Modeli
  • 11. www.zemana.com 11 / 31 Koskoca AntiVirüs • Malware analiz laboratuarı nedir? • Packer nedir? Ne işe yarar? • AV Bypass nedir? Nasıl yapılır? • Katmanlı güvenlik ve önemi. • Basit önlemler: – Dosya uzantılarını göster, – Dosya türünü göster, – Zoom trick, – Virus Total Uploader.
  • 12. www.zemana.com 12 / 31 Semptomlar • Açılmayan faturalar, • Yüksek bilet tutarları, • Yazım hataları olan mailler, • Papua Yeni Gine Prensi’nden gelen mektuplar, • Klasör görünümlü dosyalar (eski XP klasörlerine benzer), • Çirkin PDF ikonları, • Onay ya da giriş isteyen sayfalar (captcha gibi güven verici).
  • 13. www.zemana.com 13 / 31 5 Dosya Gönderdim Geldi Mi? • Yaşanmış bir olay : - 5 malware örneği gönderdim, geldi mi? - Hmmmm, az önce geldi, 4 dosya 1 dizin. - Ne dizini? - Valla dizine tıkladım açılmadı. - Aferin 
  • 14. www.zemana.com 14 / 31 Dosya Yapısı • Her dosya !crypted! kelimesi ile başlıyor, • Hemen arkasından bilgisayara ait unique id geliyor, • Dosyanın kalanında ise veri şifrelenmiş bir şekilde tutuluyor, • RSA 2048 ile şifrelendiği için brute force saldırıları ile sonuç almak mümkün değil.
  • 15. www.zemana.com 15 / 31 Çözüm Sürecinde Yapılan Hatalar • Anti virüs ile tarama yapmak ve zararlıyı silmek, • Bilgisayarcı çağırmak  • Dosyaları bir bilgisayardan alarak başka bir bilgisayara kopyalamak (bedava decryption denemeleri )
  • 16. www.zemana.com 16 / 31 Çözüm • Harici bir boot disk ile sistemi başlatmak, • Hardcoded şifre kullanan zararlıları reverse ederek şifreyi elde etmek, • Brute force saldırısına açık dosyaları brute force ile kurtarmak, • Known Plain Text Attack ile şifreyi elde etmek, • Saldırgana fidye ödemek.
  • 17. www.zemana.com 17 / 31 Amatör Saldırganlar • Şifreleme algoritmasını yanlış kullanmak, • Üretilen rasgele sayıları sadece «Rakam» ile sınırlamak ve brute force saldırısını mümkün kılmak.
  • 18. www.zemana.com 18 / 31 Fatmal • Fatura Zararlısı, • 3-4 aylık periyotlarla saldırılar düzenleyen bir çete, • Genellikle aynı packerı kullanarak AV Bypass yapılıyor (Run PE), • Genel olarak hedef kredi kartı ve kişisel veri hırsızlığı, • Daha önce RDP açığı bulunan sistemlere yaptıkları saldırılarda çok sayıda şirketi zarara uğrattılar.
  • 19. www.zemana.com 19 / 31 Run PE • AV Bypass için gayet etkili bir yöntem, • Hala bir çok antivirüs rahatlıkla bypass edilebiliyor, • Manuel unpacking zaman alıcı. Orijinal Dosya Kendini Tekrar Çalıştır Unpack İşlemini Gerçekleştir Enfeksiyona Başla
  • 20. www.zemana.com 20 / 31 Run PE Zararlı Dosya (Packed) Zararlı Dosya (Unpacked) Şifreli Kısım Çalışabilir Kısım
  • 21. www.zemana.com 21 / 31 XOR Nedir? • Artı, eksi gibi bir operatör, • Oyun programlama gibi alanlarda imleç görünürlüğü için kullanılır, • Neredeyse bütün şifreleme algoritmalarının temelini oluşturur, • Kullanımı çok basittir ve encrypted zararlıların neredeyse tamamında kullanılır. A xor B = C B xor C = A A xor C = B ise
  • 22. www.zemana.com 22 / 31 Initialization Vector ve AES • Her blok (CBC) bir önceki blok ile XOR’lanır. Zincirleme kelimesinin buradan gelmektedir., • İlk blok için IV kullanılarak sanki bir önceki blokmuş gibi işleme sokulur, • Normal XOR’un aksine, şifrelenen dosyada aynı olan blokların farklı şifrelenmesine olanak sağlar, • Genellikle kullanılan şifrenin uzunluğunda olur, • Kullanılmaz ise şifreyi known plain text attack ile elde şansınız yüksektir.
  • 23. www.zemana.com 23 / 31 CBC ve IV
  • 24. www.zemana.com 24 / 31 2 MB limiti • Hız kazanmak için her dosyanın ilk 2 MB’lık kısmı şifrelenir, • Dosyanın başlık kısmı dahil ilk 2 MB’ı bozulduğu için dosya açılamaz, • Şifreleme algoritması düzgün kullanıldığında gayet efektiftir.
  • 25. www.zemana.com 25 / 31 Dosyayı Çalıştıralım
  • 26. www.zemana.com 26 / 31 Şifreleme Algoritması • Dosyalar AES ile şifrelenmiş ve anahtar rasgele üretiliyor, • Rasgele üretilen anahtar ise RSA 2048 ile şifrelenerek kullanıcıya gösteriliyor, • AES’de kullanılan mode’un CTR modu olduğunu kodu reverse ederek anlıyoruz, • Tüm dosyalarda kullanılan IV sabit ise tüm dosyalar çözülebilir.
  • 27. www.zemana.com 27 / 31 CTR Mode
  • 28. www.zemana.com 28 / 31 Zemana Fatmal Decryptor
  • 29. www.zemana.com 29 / 31 Zemana Fatmal Decryptor • Şifre : Vahşi Yaşam
  • 30. www.zemana.com 30 / 31 Zemana Fatmal Decryptor XOR = XOR Cipher (2MB Boyutunda)
  • 31. www.zemana.com 31 / 31 Teşekkürler