Post Image

Certyfikowany malware - o co tyle hałasu? Przykład ransomware "Ryuk"

2019-08-26 13:51:00

Certyfikaty to sprawdzona metoda weryfikowania legalności aplikacji. W przypadku gdy podmiotom zagrażającym bezpieczeństwu uda się podważyć działalność centrum autoryzacji (CA) poprzez kradzież ważnego certyfikatu, bądź naruszenie zasobów centrum, cały mechanizm ochronny przestaje pełnić swoją funkcję. Przyjrzeliśmy się właśnie takiej sytuacji. 

Czym jest złośliwe oprogramowanie z podpisanym kodem?

Podpisywanie kodu to metoda gwarantująca legalność aplikacji w środowisku Windows. Celem tej metody było stworzenie modelu zaufania ukazującego, czy pochodzenie pliku PE jest prawidłowe. W teorii jest to rozwiązanie bardzo korzystne dla zasobów, ponieważ nie wymaga monitorowania zachowania plików wykonywalnych. Wystarczy jedynie sprawdzić certyfikat pliku pod kątem pochodzenia, aby uznać plik za zaufany.

Cała koncepcja opiera się na założeniu, że podpis jest zaufany. Z tego powodu certyfikaty stają się cennym źródłem informacji dla osób, którym zależy na nielegalnym wykorzystaniu modelu. Gdy podmiotowi zagrażającemu bezpieczeństwu uda się uzyskać certyfikat od wysoce zaufanego centrum autoryzacji (bądź ukraść go zaufanemu vendorowi), ma on następnie możliwość wykorzystania go do podpisania własnego oprogramowania typu malware omijając dzięki temu wiele zabezpieczeń.
Należy jednak postawić sprawę jasno w jednej kwestii: obecność ważnego certyfikatu nie oznacza automatycznie, że podpisana aplikacja jest niegroźna. W rzeczywistości niektóre przypadki złośliwego oprogramowania, a także liczne programy uznawane za „potencjalnie niechciane” posiadają prawidłowe podpisy. Ostatecznie to użytkownik decyduje o tym, czy zaufać dostawcy aplikacji. 

Badacze z Chronicle zebrali dane pochodzące z VirusTotal odnoszące się do okresu 365 dni, na podstawie których sprawdzali, które centra autoryzacji najczęściej padały ofiarą nadużyć. Łącznie 3 815 centrów autoryzacji spełniło kryteria filtrowania. Grafika poniżej pokazuje 25 tych, które najczęściej padały ofiarą nadużyć. Więcej informacji na ten temat można znaleźć tutaj –  Abusing Code Signing for Profit.

Przykład złośliwego oprogramowania z podpisanym kodem: Ryuk

Szczegóły dotyczące złośliwego oprogramowania Ryuk, takie jak żądanie okupu oraz certyfikat, można znaleźć tutaj.

Ryuk – działanie początkowe

Ryuk sprawdza, czy obecny jest jeden z następujących interfejsów sieciowych. Jeśli tak, to kończy działanie. Zostało to zaimplementowane, by chronić urządzenia z tego typu interfejsami sieciowymi przed zainfekowaniem. Na tym etapie nie jest jasne, które urządzenia zostały objęte tego rodzaju ochroną.

Następnie wykonywane są następujące polecenia:

Pierwsze polecenie wstrzymuje działanie Windows Audio Endpoint Builder, zaburzając prawidłowe funkcjonowanie urządzeń audio oraz efektów dźwiękowych. Jest to możliwe do wprowadzenia, ponieważ ofiara zauważa inne przesłanki (inne niż zaszyfrowane pliki) świadczące o tym, że komputer został zainfekowany. Może to być na przykład brak dźwięku w filmach odtwarzanych w serwisie YouTube. 

Drugie polecenie wstrzymuje działanie SAM (Security Accounts Manager), chroniące inne usługi, takie jak rozwiązania SIEM (Security Information and Event Management), przed otrzymywaniem jakichkolwiek powiadomień o podejrzanych aktywnościach w zainfekowanym systemie. 

Na koniec Ryuk podejmie próbę zakończenia licznych procesów. Takie działanie może mieć na celu upewnienie się, że żaden otwarty dokument nie został zablokowany przez odpowiadające mu oprogramowanie, a środki chroniące przed złośliwym oprogramowaniem nie blokują działań oprogramowania Ryuk. 

Jak widać, na liście znajduje się szereg aplikacji, a wśród nich te służące do ochrony przed złośliwym oprogramowaniem oraz rozwiązania do tworzenia kopii zapasowych. 

Ryuk – działanie główne

Zagadnienie to opisano już w innych artykułach i nie będziemy w tym miejscu wchodzić w szczegóły. Jeśli chcesz dowiedzieć się więcej na ten temat, zapoznaj się z artykułem od McAfee - Ryuk Ransomware Report.

Ryuk - certyfikat

Wykorzystywany przez Ryuk certyfikat to ważny certyfikat Thawte, wystawiony dla „WMV CONSULTING LTD”. Wpis na stronie internetowej companieshouse.gov.uk informuje, że jest to oficjalnie zarejestrowane przedsiębiorstwo. 

Wyszukiwanie udziałowców - Ilany Michelle Varney oraz Williama Varney’a – nie przynosi żadnych rezultatów. Nie można namierzyć danych kontaktowych firmy (poza wymaganym adresem siedziby). To dziwne, że firma consultingowa, której powinno zależeć na dotarciu do najszerszego grona klientów, kamufluje się w taki sposób, nieprawdaż? 

Ryuk – żądanie okupu

Grafika poniżej przedstawia żądanie okupu, jakie jest obecnie rozsyłane. Zapisane jest jako plik HTML o nazwie „RyukReadMe.html” w każdym z katalogów, w których Ryuk przechowuje zaszyfrowane pliki. 

W poprzednich wersjach złośliwego oprogramowania Ryuk instrukcje dotyczące zapłaty okupu były przedstawione w sposób bezpośredni. Obecnie nazwa „Ryuk” jest umieszczona pośrodku, a więc ofiara powinna uzyskać jasny przekaz, że doszło do zainfekowania oprogramowaniem typu ransomware Ryuk. „Instrukcje” dotyczące dokonania płatności to po prostu dwie wiadomości e-mail umieszczone po lewej stronie, w górnej części pliku HTML. Powód, dla którego zdecydowano się stworzyć tego typu żądanie okupu jest źródłem spekulacji. 

Złośliwe oprogramowanie z podpisanym kodem i podłoże ekonomiczne

W tym miejscu przedstawione są przykłady złośliwego oprogramowania z podpisanym kodem wraz z odpowiedzią na pytanie: „Czy każdy może tworzyć swoje własne złośliwe oprogramowanie z podpisanym kodem?”. 

Stuxnet – słynny robak

Jak wiadomo, robak stuxnet zainfekował system sterowania elektrownią atomową w Iranie. Stuxnet wykorzystał do tego podpisywanie kodu. Więcej informacji na ten temat zawiera post z 2010 roku autorstwa securelist

Ryuk – bieżący przypadek 

Według najnowszego raportu od Arstechnica, złośliwe oprogramowanie Ryuk jest odpowiedzialne za zainfekowanie urządzeń wchodzących w skład sieci Rady Sądownictwa Stanu Georgia oraz Biura Administracyjnego Sądów. Starszy raport podaje, że Ryuk zainfekowało lokalne władze stanu Floryda. 

Wygląda na to, że podmioty zagrażające bezpieczeństwu biorą na celownik w szczególności instytucje lokalne, a nie te działające na szerszą skalę. Mogą także obierać za cel pojedyncze osoby, jednak z reguły takie przypadki nie są opisywane w prasie. 

Wprawdzie raporty te nie podają, czy badany złośliwy kod został podpisany, jednak jest to wysoce prawdopodobne. 

Każdy może kupić ważny certyfikat

Badanie opracowane na Uniwersytecie Stanu Georgia przedstawia bardzo interesujące spojrzenie na szarą strefę certyfikatów wykorzystywanych do szyfrowania stron internetowych. Poniżej przedstawiamy interesujące fakty, które ustalili badacze. 

  1. Pięć spośród obserwowanych rynków funkcjonujących w sieci darknet oferuje certyfikaty SSL/TLS oraz takie powiązane usługi, jak exploity zero-day, czy oprogramowanie typu ransomware. 

  2. Koszt certyfikatu waha się od 260 do 1 600 dolarów. 

Inne badanie z 2018 roku przeprowadzone przez Maryland Cybersecurity Center analizuje vendorów certyfikatów wykorzystywanych do podpisywania kodu. Kluczowe jest odkrycie, iż vendor  specjalizujący się w certyfikatach podpisanych kodów sprzedał ponad 10 certyfikatów w ciągu miesiąca, zarabiając w ten sposób około 16 150 dolarów. 

vendor D oferuje certyfikaty z różnych centrów autoryzacji (na podstawie Comodo, Thawte, DigiCert, Symantec), wszystkie w cenie 400 dolarów.

Tak jak już wspomnieliśmy, Ryuk posiada podpis wydany przez thawte. Możliwe więc, że podmioty zagrażające bezpieczeństwu właśnie od tego centrum autoryzacji zakupili swoje certyfikaty lub nawet całą operację (oprogramowanie typu ransomware + certyfikat). 

Najnowsze raporty

https://www.bleepingcomputer.com/news/security/microsoft-warns-of-campaign-dropping-flawedammyy-rat-in-memory/

https://threatpost.com/new-dridex-variant-slips-by-anti-virus-detection/146134/

Outlook

Firma Francisco Partners nabyła Comodo CA, obecnie znane pod nazwą Sectigo. Jak wynika jasno z grafiki przedstawiającej statystyki umieszczonej na początku tego artykułu, Comodo to najbardziej nadużywane centrum autoryzacji. 

Poniżej fragment postu z bloga  Sectigo.

Oświadczenie Sectigo dotyczące praktyk w zakresie certyfikatów (Certificate Practices Statement) oraz umowa licencyjna umożliwiają firmie unieważnienie wszelkich certyfikatów, o których wiadomo, że są wykorzystywane do nielegalnych celów, bądź oszustw.

I dalej:

O tym, kiedy nasze certyfikaty podpisywania kodów wykorzystywane są do złośliwego oprogramowania dowiadujemy się od zaufanych stron trzecich, w tym od Virus Total. 

Sectigo posiada więc możliwość unieważnienia certyfikatów. Jednak czy aktywnie się w to angażuje?

Tak, według raportu „Abusing Code Signing for Profit", wspomnianego na początku tego artykułu, 21% badanych unieważniono certyfikaty w chwili ich pisania. 

Ponadto Sectigo donosi, iż unieważniło 127 certyfikatów podpisujących kody odkrytych przez badaczy poprzednich kodów. Liczby te wydają się tak niewielkie, ponieważ odkryto wiele kopii certyfikatów. 

Mimo że proaktywne centra autoryzacji wyglądają dobrze na pierwszy rzut oka, poniżej przedstawiamy kilka negatywnych przykładów takiego zachowania. 

Przykład Globalsign: Użytkownik medium napisał 26.08.2018 post o tym, że Globalsign po prostu  unieważnia certyfikaty nie zadając pytań. Globalsign w istocie uchylił cały certyfikat oparty na całościowym podejściu do ochrony antywirusowej z poprzedniego roku (uwzględniając także fałszywe alarmy). 

Case with Sectigo: Historia z serwisu Slashdot przedstawia, jak średniej wielkości firma zajmująca się produkcją oprogramowania znalazła się w sytuacji, w której  Sectigo unieważniło jej certyfikat podpisujący kod również z uwagi na fałszywe alarmy. 

Podsumowując, mamy w tym miejscu do czynienia ze starym dylematem: bezpieczeństwo kontra wygoda. Z jednej strony centra autoryzacji wypełniają swoje zadanie ochrony użytkowników przed złośliwym oprogramowaniem z podpisanym kodem. Jednak z drugiej strony, właścicielom legalnie działających firm unieważnia  się certyfikaty z powodu nadmiernej ostrożności. 

Co możesz zrobić, by się chronić

Obecnie złośliwe oprogramowanie z podpisanym kodem wykorzystywane jest głównie do ukierunkowanych ataków przynoszących duże korzyści finansowe, ponieważ bariera cenowa jest często zbyt wysoka dla przeciętnego dystrybutora złośliwego oprogramowania. Jednak z uwagi na fakt, że tego typu ataki są dość skuteczne, stają się bardziej popularne wśród bardziej wysublimowanych przestępców.

Próbki:

Opis Detekcja SHA26
[1] Ryuk Win32.Trojan-Ransom.Ryuk.A 0b1008d91459937c9d103a900d8e134461db27c602a6db5e082ab9139670ccb6

Media: