Trnitá cesta Crypt0l0ckeru

Podobné dokumenty
Trnitá cesta Crypt0L0ckeru

Role forenzní analýzy

Analýza malware pro CSIRT

Phishingové útoky v roce 2014

IT bezpečnost na ZČU včera, dnes a zítra Seminář CIV by Ing. Petr Žák

FLAB. Ransomware PČR. zaplaťte a bude vám odpuštěno. Aleš Padrta. Karel Nykles , Seminář CIV, Plzeň

SOC e-infrastruktury CESNET. Andrea Kropáčová CESNET, z. s. p. o.

Malware Houdiny. Případová studie. Aleš Padrta. (za ZČU spolupracoval: Petr Žák) , Seminář o bezpečnosti sítí a služeb, Praha 1

Podvodné zprávy jako cesta k citlivým datům

TRAPS PRVNÍ SKUTEČNĚ FUNGUJÍCÍ OCHRANA PRO DESKTOPY A SERVERY

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

v. 2425a Jak si na PC vypěstovat HTTP (WWW, Web) server a jak ho používat (snadno a rychle) by: Ing. Jan Steringa

DNS provoz 150k přípojek Česká republika a Slovensko Různé typy připojení uživatelů

BEZPEČNOST. Andrea Kropáčová CESNET Praha

Obchodní akademie a Jazyková škola s právem státní jazykové zkoušky Jihlava

Správa souborů soubor, stromová struktura. Mgr. Jan Veverka Střední odborná škola sociální obor ošetřovatel

SME Terminál + SmeDesktopClient. Instalace. AutoCont CZ a.s.

Zabezpečení proti SQL injection

CZ.1.07/1.5.00/

Implementace LMS MOODLE. na Windows 2003 Server a IIS 6.0

Nasazení nových modulů McAfee Seminář CIV (nejen) pro lokální správce

Rozvoj IDS s podporou IPv6

Nastavení klientských stanic pro webové aplikace PilsCom s.r.o.

Principy fungování WWW serverů a browserů. Internetové publikování

INSTALACE SOFTWARE A AKTIVACE PRODUKTU NÁVOD

DUM č. 11 v sadě. 36. Inf-12 Počítačové sítě

a instalace programu COMSOL Multiphysics

Základní principy obrany sítě II. Michal Kostěnec CESNET, z. s. p. o.

eliška 3.04 Průvodce instalací (verze pro Windows 7) w w w. n e s s. c o m

Instalace a konfigurace web serveru. WA1 Martin Klíma

Nastavení klientských stanic pro webové aplikace PilsCom s.r.o.

Zabezpečení proti SQL injection

Kybernetické hrozby - existuje komplexní řešení?

Skupinové politiky 3 Správa softwaru

ABRA Software a.s. ABRA on- line

Bezpečnost aktivně. štěstí přeje připraveným

Nová áplikáce etesty Př í přává PC ž ádátele

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

SMETerminal a SMEReader AutoCont CZ a.s.

Specifikace požadavků. POHODA Web Interface. Verze 1.0. Datum: Autor: Ondřej Šrámek

Uživatel počítačové sítě

Nejčastější podvody a útoky na Internetu. Pavel Bašta

Bezpečnostní týmy typu CSIRT/CERT obecně a v CZ.NIC

Αlpha 8 instalace a upgrade. Poznámky k instalaci Αlpha V8, Logical Medical Systems. GENNET s.r.o Kostelní Praha 7

TNPW1 Cvičení

Ransomware, včera dnes a zítra. Igor Hák ESET software spol. s r.o.

1. Úvod do Ajaxu 11. Jak Ajax funguje? 13

Testovací protokol čipová karta Oberthur Id-One Cosmo V5.4

ACTIVE 24 CSIRT na Cyber Europe Ing. Tomáš Hála ACTIVE 24, s.r.o.

1. Administrace služby Bezpečný Internet přes webovou aplikaci WebCare GTS

ČÁST 1. Základy 32bitového programování ve Windows

Administrace služby - GTS Network Storage

IT bezpečnost Phishing. Školení pro uživatele sítě WEBnet

mysphere1 Rozvoj systémů pro detekci průniků v síti WEBnet

Využití aplikace SketchUp pro tvorbu jednoduchého informačního systému

Maturitní okruhy pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

Web. Získání informace z internetu Grafické zobrazení dat a jejich struktura Rozšíření funkcí pomocí serveru Rozšíření funkcí pomocí prohlížeče

Instalace síťové CLS licence

Instalace a konfigurace

Webové rozhraní pro datové úložiště. Obhajoba bakalářské práce Radek Šipka, jaro 2009

Závěrečná zpráva projektu 475/2013 Fondu rozvoje CESNET

KIV/ZI Základy informatiky. 2. cvičení Univerzitní WebNet. Přednášející: Ing. Jana Krutišová Cvičící: Ing. Michal Nykl

Vyšší odborná škola a Střední průmyslová škola, Šumperk, Gen. Krátkého 1

Nejzajímavější bezpečnostní incidenty CSIRT.CZ. Pavel Bašta

Desktop systémy Microsoft Windows

Instalace a od-instalace aplikace Google / Android

Úvodem 9. Zpětná vazba od čtenářů 10 Zdrojové kódy ke knize 10 Errata 10. Než začneme 11

Demoprojekt Damocles 2404

SYSTÉMOVÁ PŘÍRUČKA Verze dokumentu: 2.01 Platnost od:

Správa zařízení Scan Station Pro 550 a Servisní nástroje zařízení Scan Station

Příručka pro dodavatele. Systém EZVR 1.1 Verze dokumentu 1.3 Datum vydání:

Jednoduchá evidenční pokladna LICENČNÍ PRŮVODCE

ČSOB Business Connector

Návod k instalaci S O L U T I O N S

Přínos forenzní laboratoře při řešení rozsáhlého bezpečnostního incidentu. Karel Nykles

Systémová příručka Autor: Roman Macura, Jakub Buzáš Verze dokumentu: 1/2017 Datum poslední aktualizace:

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

BusinessNet Connect Integrační příručka UniCredit Bank Czech Republic and Slovakia, a.s.

NAS 208 WebDAV bezpečné sdílení souborů

Administrace služby IP komplet premium

Phishing. Postup při řešení incidentu. Aleš Padrta Radomír Orkáč , Seminář o bezpečnosti, Praha

Administrace služby IP komplet premium

.NET Framework verze Program pro připojení ke vzdálené ploše (RDC) verze

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Dokument rozchození vývojového prostředí

IT bezpečnost Phishing. Školení pro uživatele sítě WEBnet

Petr Šnajdr, bezpečnostní expert ESET software spol. s r.o.

MATLAB: Automatická instalace a aktivace licence TAH

Desktop systémy Microsoft Windows

Úroveň 1: Shromažďování indikátorů, použití Port Mirroring nebo sondy pro zachytávání síťového provozu.

MODERNÍ WEB SNADNO A RYCHLE

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE OBOR: INFORMAČNÍ TECHNOLOGIE

Technologie. Osnovy kurzu: Školení správců systému. 1. den, dopolední blok

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE

Nastavení provozního prostředí webového prohlížeče pro aplikaci

Příručka nastavení funkcí snímání

ZAHÁJENÍ STUDIA INFORMACE PRO STUDENTY PRVNÍCH ROČNÍKŮ

Cross-Site Scripting (XSS)

14,819 (5.84 Stránky/Návštěva) Čvn Kvě Čvc Srp 2014

Databázové aplikace pro internetové prostředí PHP úvod, základní princip, vkládání skriptu, komentáře, výpis na obrazovku

Transkript:

Trnitá cesta Crypt0l0ckeru Aleš Padrta 2017-06-28, Seminář CIV, Plzeň 1

Ukázka spolupráce Úvodní slovo Univerzitní CSIRT & forenzní laboratoř Západočeská univerzita v Plzni (WEBnet Incident Response Team) FLAB - Forenzní laboratoř CESNET Schéma CSIRT řeší incident CSIRT potřebuje informace Forenzní laboratoř poskytne informace CSIRT zužitkuje informace 2017-06-28, Seminář CIV, Plzeň 2

Dějství I: Stav na ZČU 2017-06-28, Seminář CIV, Plzeň 3

Podvodné e-maily... Předmět: Elektronická faktura Datum: Wed, 3 May 2017 18:31:19 +0200 Od: Martin Veselý <info@studiomazzottiecruciani.it> Komu: @.zcu.cz To je faktura: https://dl.dropboxusercontent.com/s/y22gf69tyupihdf/578171.zip?dl=0 Pokud budete potrebovat Předmět: další pomoc, Elektronická neváhejte faktura se na me obrátit. Datum: Wed, 3 May 2017 13:50:52 +0200 Se srdecným pozdravem, Od: Jakub Krejcí <christophe@architecturebois.fr> Martin Veselý Komu: @.zcu.cz Kompletní informace: https://dl.dropboxusercontent.com/s/xjbju2tx1k1ruq8/439937.zip?dl=0 Vážíme si vaší práce. S pozdravem, Jakub Krejcí 2017-06-28, Seminář CIV, Plzeň 4

a jejich následky 2017-06-28, Seminář CIV, Plzeň 5

Dějství II: Analýza 2017-06-28, Seminář CIV, Plzeň 6

Potřeby CSIRT Získat informace Reakce na incident Preventivní kroky Otázky k zodpovězení Cíle analýzy 1. Jakou roli hraje odkaz při infekci ransomwarem? 2. Jaké jsou lokální a síťové charakeristiky indikující otevření souboru? 3. Jak lze zablokovat činnost malware? Rychlost je klíčová Průběžné sdělování nalezených informací 2017-06-28, Seminář CIV, Plzeň 7

Hypotéza: Analýza od e-mailu k ransomware Podvodný e-mail vede k instalaci ransomware Průběh Zaslání podvodného e-mailu s odkazem Stažení archivu zip z Dropboxu Analýza archivu Název: 319291.zip Obsah: nortonsecured.png 319291.js 2017-06-28, Seminář CIV, Plzeň 8

Analýza od e-mailu k ransomware Analýza javascriptu Deobfuskace Escapování znaků (\u065 \x65 %65) Skládání kódu za chodu (exec, Wscript.Shell) Rozkládání řetězců ( rete + zec ) Činnost skriptu Stažení souboru (dvě hardcoded URL) Uložení souboru do dočasného adresáře (%TEMP%) Spuštění souboru (start <soubor>) Hardcoded URL mají krátkou životnost Nutno stáhnout rychle po doručení e-mailu Skript deobfuscate-js.py (rychlé zjištění URL) pro CSIRT 2017-06-28, Seminář CIV, Plzeň 9

Analýza od e-mailu k ransomware $ python deobfuscate-js.py 324462.js... CEhtyz= (80542,"responseBody"); jjhorq= (33042,"Write"); spowdac= (96757,"open"); xcmsdmx= (38670,"GET"); EXnIZN= (99448,"type"); uthmhuoa= (71341,"saveToFile"); OjGgiEv= (14431,"\\tmp304742.352"); dsop= (28880,"new ActiveXObject(\"Msxml2.ServerXMLHTTP\")"); plojjdp= (51448,"http://kolives.pl/file/ret.fgh"); hnoj= (58497,"send"); LNIKiLv= (75328,"http://pinusels.pl/file/ret.fgh"); JzViY= (92551,"new ActiveXObject(\"ADODB.Stream\")"); SVEHjWu= (88493,"new ActiveXObject(\"WScript.Shell\")"); WFLcP= (17372,"eval"); rcmb= (96798,"%TEMP%"); GuyZdu= (99062,"ExpandEnvironmentStrings");... 2017-06-28, Seminář CIV, Plzeň 10

Analýza od e-mailu k ransomware Stažený soubor ret.fgh, sef.cvb, $ file ret.fgh ret.fgh: PE32 executable (GUI) Intel 80386, for MS Windows, Nullsoft Installer self-extracting archive NSIS (Nullsoft Scriptable Install System) Obsahuje soubory (archiv) 7zip Obsahuje pokyny (skript/kód) Nullsoft decompiler, IDA Pro disassembler start ret.fgh = instalace Crypt0l0cker? Botnet klient? 2017-06-28, Seminář CIV, Plzeň 11

Analýza od e-mailu k ransomware Analýza NSIS instalátoru Pokus o dekompilaci (Nullsoft Decompiler) Selhání špatný formát? Modifikace instalátoru útočníkem Vložena vlastní DLL + šifrovaný obsah Obsah je dešifrován, vložen do běžícího procesu Dešifrovaný kód není na disku (!) Detailní popis: Ransomware Families Use NSIS Installers to Avoid Detection, Analysis (Charles Crofford, Douglas McKee, 2017-03-28) Detailní statická analýza zavržena Důraz na rychlost > provedení dynamické analýzy 2017-06-28, Seminář CIV, Plzeň 12

Analýza od e-mailu k ransomware Výsledky dynamické analýzy Potvrzení modifikovaného NSIS instalátoru Využívání lokálního tempu aktuálního uživatele Vytvoření procesu svchost.exe Code injection Crypt0l0cker Úložiště C:\ProgramData\ C:\ProgramData\<random>\ Persistence HKCU:\Software\Microsoft\Windows\CurrentVersion\Run\ Spouštěn je opět NSIS instalátor 2017-06-28, Seminář CIV, Plzeň 13

Analýza od e-mailu k ransomware Činnost Crypt0l0ckeru Zajištění persistence Zašifrování souborů Náhodně generované přípony V každém adresáři instrukce v TXT a HTML Smazání shadow copy vssadmin.exe Delete Shadows /All /Quiet Nastavení informací pro uživatele Pozadí plochy (wallpaper) Otevření HTML instrukcí v Internet Exploreru Otevření TXT instrukcí v Notepadu Zobrazení okna s instrukcemi 2017-06-28, Seminář CIV, Plzeň 14

Odpovědi na otázky 1) Jakou roli hraje odkaz při infekci ransomwarem? Odkaz vede na archiv s javacsriptem, který po spuštění stáhne další součásti malware z webu. Jde o první krok vedoucí k instalaci ransomware Crypt0l0cker. 2) Jaké jsou lokální a síťové charakeristiky indikující otevření souboru? Lokální: zašifrované soubory, změna pozadí, zobrazení informací o platbě (notepad, IE, aplikační okno), persistence v registrech odkazující do %programdata%, proces svchost mimo strom services. Síťové: komunikace dropboxem, s dropzónou, s C&C serverem po HTTPS, DNS dotazy na náhodné domény třetího řádu Liší se pro jednotlivé vzorky (seznam pro analyzované) 2017-06-28, Seminář CIV, Plzeň 15

Odpovědi na otázky 3) Jak lze zablokovat činnost malware? Doručení e-mailu Dočasné pravidlo pro obsah Stažení z dropboxu Dočasné blokování Dropboxu Poučení uživatelé Spuštění javascriptu / spuštění v %temp% Pravidlo zabezpečení koncových stanic (blokování %temp%) Stažení NSIS instalátoru Blokování komunikace s dropzone Dešifrovací klíče na C&C / šifrovací klíče z C&C Blokování komunikace s C&C 2017-06-28, Seminář CIV, Plzeň 16

Dějství III: Využití informací 2017-06-28, Seminář CIV, Plzeň 17

Reakce a prevence Reakce Nalezení a izolování napadených zařízení IP adresy provozní a lokalizační údaje Kontakt postižených uživatelů Neplatit Informace o vhodnosti zálohování Informace o podvodných e-mailech Prevence Úprava pravidel AV systému Blokování spouštění souborů v dočasném adresáři Efektivní Fungovalo i pro další vlny podobných e-mailů Školení uživatelů 2017-06-28, Seminář CIV, Plzeň 18

Forenzní laboratoř CESNET Služby forenzní laboratoře Analýza bezpečnostních incidentů (reakce) Analýza zařízení Analýza malware Penetrační a zátěžové testy (prevence) Simulace reálných útočníků => možnost na chyby reagovat včas Doplňkové služby Konzultace Školení, semináře, workshopy Obnova dat... 2017-06-28, Seminář CIV, Plzeň 19

Forensic Training Nejbližší workshop Připraveno s Jeanem Benoit (University of Strasbourg) Dva dny (5. a 6. září) Obsah Zajištění dat Vytvoření časové osy Základní analytické postupy Sumarizace nálezů Prezentace výsledků Teoretický úvod + praktická cvičení Další informace: Andrea.Kropacova@cesnet.cz 2017-06-28, Seminář CIV, Plzeň 20

??? https://flab.cesnet.cz flab@cesnet.cz 2017-06-28, Seminář CIV, Plzeň 21

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář