it-swarm.com.de

Warum ist so viel Ransomware zerbrechlich?

Die Site: https://www.nomoreransom.org/ bietet viele Entschlüsselungswerkzeuge für Ransomware.

Aber warum?

Es sollte nicht so schwierig sein, die Windows Crypto-API (z. B. Google "AES-Schlüssel in Windows erstellen") zu verwenden, um AES-Schlüssel zu erstellen, sie mit einem lokal generierten öffentlichen RSA-Schlüssel zu verschlüsseln und den entsprechenden privaten RSA-Schlüssel mit einem öffentlichen RSA zu verschlüsseln Schlüssel, den der Angreifer kontrolliert. (Die Methode von Wanacry.)

Wenn das Opfer das Lösegeld zahlt, muss es den verschlüsselten privaten RSA-Schlüssel an die Angreifer senden und hoffentlich den entschlüsselten privaten RSA-Schlüssel zurückerhalten.

Warum versuchen diese Leute, das Rad neu zu erfinden und machen dabei Fehler, die die Entwicklung von Entschlüsselungswerkzeugen ermöglichen?

67
kiara

Offenlegung: Ich arbeite für einen der an NoMoreRansom teilnehmenden Anbieter.

Die meiste moderne Ransomware implementiert tatsächlich eine ordnungsgemäße Kryptographie. Frühere Versionen verwendeten Rand() für die Schlüsselgenerierung und setzten die Zufallsgeneratoren mit Varianten von time() ein. Aus diesem Grund war es für eine erfolgreiche Entschlüsselung wichtig zu wissen, wann genau die Infektion aufgetreten ist. idealerweise auf Minuten. Diese könnten mit brutaler Gewalt entschlüsselt werden. Die meisten modernen Ransomware-Programme verwenden jedoch entweder die Windows Crypto API oder gebündelte Kryptobibliotheken.

Unabhängig davon, wie korrekt Ransomware implementiert ist, gibt es immer eine Schwachstelle: Um die Entschlüsselung zu erleichtern, müssen die Schlüssel irgendwo gespeichert werden. Dieser Ort könnte von Sicherheitsunternehmen aufgespürt werden, die mit den Strafverfolgungsbehörden zusammenarbeiten würden, um ihn zu übernehmen. Durch den Zugriff auf den Server kann das Sicherheitsunternehmen die Ransomware-Opferdateien entschlüsseln. Dies ist beispielsweise bei GangCrab-Ransomware der Fall.

100
George Y.

Es ist nur eine Kosten-Gewinn-Frage. Ransomware-Entwickler möchten im Allgemeinen kein Sicherheitstool mit allen erforderlichen Überprüfungen erstellen. Sie wollen nur das kostengünstigere Tool, mit dem sie mehr Geld verdienen können, als es kostet. Natürlich sind sie wahrscheinlich zerbrechlich, aber wen interessiert das? Vorausgesetzt, einige der ersten Opfer haben bezahlt, was sie verlangt wurden, erhält der Angreifer viel mehr Geld als er ausgegeben hat. Je länger Sie eine verwenden, desto höher ist das Risiko, erwischt zu werden, wenn es einer staatlichen Sicherheitsbehörde gelingt, ins Spiel zu kommen.

Es ist mehr oder weniger das, was viele Diebe im wirklichen Leben tun, wenn sie es schaffen, ein zufälliges Haus zu betreten: Nehmen Sie die wertvollsten Dinge in kürzester Zeit und gehen Sie weg.

Bei gezielten Angriffen sieht es sowohl im realen Leben als auch in der IT-Welt anders aus. Wenn Sie eine Bank oder ein Juweliergeschäft angreifen möchten, wird erwartet, dass der Gewinn hoch genug ist, um viel Vorbereitungszeit zu verbringen. Wenn ein Regierungsdienst ein strategisches Ziel angreift, verwendet er qualitativ hochwertigere Tools. Es wird jedoch selten für zufällige Ziele verwendet.

49
Serge Ballesta

Die offensichtliche Antwort ist, dass kein Verbrecher so direkt mit seinem Opfer interagieren möchte.

"Senden Sie den verschlüsselten privaten RSA-Schlüssel an die Angreifer"

erfordert einen konsistenten Kontaktpunkt.

Im aktuellen Modell ist die gesamte Kommunikation einseitig und fungibel:

  • malware zeigt einen Bildschirm an, auf dem das Opfer angewiesen wird, Bitcoins einzuzahlen (kein direkter Kontakt).
  • kriminelle überwachen Einzahlungen und senden E-Mails mit Schlüssel (die Kommunikation erfolgt automatisiert und in eine Richtung von jedem verfügbaren Vermittler).

Das aktuelle Modell funktioniert so gut, dass es eine der größten Bedrohungen weltweit darstellt. Es gibt immer Möglichkeiten, ein System zu verbessern, aber was ist der Vorteil, wenn es nicht kaputt ist?

21
schroeder

Ehrlich gesagt ist es ziemlich schwierig, eine gute Dateiverschlüsselung und -entschlüsselung durchzuführen, selbst mit einer Bibliothek, die dies für Sie tun soll. Ich habe versucht, einen Kryptor zu modifizieren (der Viren verschleiern soll, um ihre Signaturen vor Antivirenprogrammen zu verbergen), der ursprünglich eine sehr grundlegende Bitshift-Technik verwendete, und es hat nicht gut funktioniert, da die meisten Antivirenprogramme die Binärdatei buchstäblich brutal erzwingen und erkennen könnten, dass dies der Fall ist war eigentlich ein Virus! Ich wollte die Bitverschiebung "Verschlüsselung", wenn man es überhaupt so nennen könnte, durch AES-Verschlüsselung über eine C # -Bibliothek ersetzen, die ich in der Vergangenheit erfolgreich für Zeichenfolgen verwendet hatte, aber ich konnte sie nie zum Laufen bringen. Ein weiteres Problem ist, dass je komplizierter Ihr Verschlüsselungsalgorithmus ist, desto länger dauert es, die gesamte Festplatte zu durchsuchen und am Ende zu entschlüsseln, wenn sie bezahlt werden. Es ist auch wahrscheinlicher, dass es in der Mitte versagt und zu einem unvollständigen Job führt.

Was ich einmal auf dem Computer meiner Großmutter gesehen habe, bevor Ransomware wirklich startete und besser wurde, war ein Ransomware-Programm, das angeblich ihre Dateien verschlüsselte und etwa 200 US-Dollar wollte, um sie zu entschlüsseln. In Wirklichkeit wurde lediglich die Erweiterung ".crypted" am Ende jeder einzelnen Datei hinzugefügt, sodass Windows nicht wusste, mit welchem ​​Programm eine dieser Dateien geöffnet werden sollte! Nachdem ich das herausgefunden hatte, musste ich nur den Task-Manager verwenden, um die ursprüngliche Ransomware-Datei zu suchen und zu löschen. Dann schrieb ich ein Batch-Skript, um jede Datei auf dem System rekursiv auf die verschlüsselte Erweiterung zu überprüfen und sie zu entfernen, falls vorhanden. Problem innerhalb einer Stunde gelöst, kein Geld an Hacker gezahlt! Aber wenn sie AES verwendet hätten, hätte diese Technik überhaupt nicht funktioniert, und das Löschen der Virendatei würde wahrscheinlich jede Hoffnung zerstören, die Sie jemals hatten, die militärische Verschlüsselung zu knacken.

Der Unterschied besteht darin, dass der Typ, der die erste Technik zum Umbenennen der Dateierweiterung verwendet hat, sodass Windows keine Dateien öffnen konnte, wahrscheinlich bereits Hunderte von Infektionen hatte, als der Typ mit militärischer Verschlüsselung sogar seinen Virus beendete, und die 5% der Leute Wer klug genug ist, um das erste Problem zu beheben, ist wahrscheinlich auch klug genug, um nicht vom zweiten infiziert zu werden. Die anderen 95% der Leute, die keine andere Möglichkeit gefunden haben, einen der Viren zu reparieren, als nur das Lösegeld zu bezahlen, haben es wahrscheinlich das erste Mal bezahlt (an den Mann mit der leicht zerbrechlichen Ransomware) und dann sofort eine vollständige Backup-Lösung eingerichtet um zu verhindern, dass es jemals wieder passiert. Wenn sie später von der Ransomware für Militärzwecke infiziert wurden, haben sie ihre Lektion bereits einmal gelernt und nur aus dem Backup wiederhergestellt. Hoffentlich beginnen sogar Leute, die noch nicht infiziert sind, Backups einzurichten, sodass sie das Lösegeld nicht einmal bezahlen müssen.

In diesem Szenario können Sie sehen, wie der Typ mit der leicht zerbrechlichen Ransomware sie zuerst freigeben kann, sie schneller handelt und zuverlässiger und einfacher rückgängig zu machen ist, selbst wenn das Antivirenprogramm es schafft, den Virus vor der Entschlüsselung zu löschen, und aus diesem Grund er wird mehr Geld verdienen als die Person, die viel Zeit damit verbringt, einen vollständig kugelsicheren Ransomware-Virus einzurichten, aber später auf den Markt kommt, nachdem die Leute begonnen haben, ihre wichtigen Dateien zu überprüfen und zu sichern.

5