Algorytm Generacji Domen słabym punktem CryptoLockera

28 lipca, 2014
ransomware2

W ostatnim czasie amerykańscy członkowie Black Hat, Deloitte i Bambenek Consulting podjęli się szczegółowych badań osławionego CryptoLockera, który w zeszłym miesiącu zaraził ponad 200 000 komputerów na całym świecie, z czego połowa znajdowała się w USA. Szacuje się, że w ciągu ostatnich dwóch miesięcy malware mogło wyłudzić ponad 27 000 000 dolarów okupu za odszyfrowanie plików.

W nadchodzącej konferencji Black Hat USA 2014 w Las Vegas, Lance James, szef Deloitte i John Bambenek, prezes i dyrektor ds. kryminalistycznych z Bambenek Consulting będą szczegółowo analizować malware CryptoLocker, aby wspólnie zwalczać zagrożenie jakie niesie ze sobą ten szkodnik.

CryptoLocker był znany z tego, że być może po raz pierwszy w historii, właśnie w nim zastosowano poprawnie kryptografię z wykorzystaniem komercyjnych klas 2048-bitowego szyfrowania RSA.

Jako zagrożenie CryptoLocker nadal szybko się rozwijała. Zorganizowana grupa analityków malware z wykorzystaniem wstecznej inżynierii rozpoczęła prace nad odwróceniem kodu CryptoLockera by dostrzec jego słabości. Oto co udało im się ustalić:

  • CryptoLocker nie może zaszyfrować danych, gdy nie jest w stanie połączyć się z odpowiednią domeną i pobrać klucz potrzeby do szyfrowania, nawet jeśli już zainfekował docelową maszynę. Oznacza to, że infekcje CryptoLockera mogą być skutecznie ograniczane, jeśli możliwe byłoby blokowanie losowo utworzonych domen generowanych przez algorytm do generacji domeny (Domain Generation Algorithm – DGA).
  • Analitycy odkryli również, że algorytm DGA był używany wcześniej jako część szkodliwego oprogramowania Flashback na system Mac.
  • Najciekawsze było to, że CryptoLocker za pomocą DGA tworzył domeny w oparciu o pory dnia. Uzbrojeni w wiedzę badacze mogli w stanie przewidzieć, jakie będą generowane domeny każdego dnia.

Tak więc, CryptoLocker w zasadzie został „spenetrowany”. Jego usunięcie będzie sporym problemem, bowiem wiąże się to z eliminacją botneta GameOver, który jest jedyną drogą dystrybucji malware.  

Niezależnie od tego czy CryptoLocker zostanie tymczasowo wyeliminowany, przedsiębiorstwa muszą być przygotowane na przyszłe ataki i ewentualną utratę danych. Jedyna ochrona to regularne tworzenie kopii danych oraz monitorowanie i blokowania prób połączenie z siecią TOR, która jest wykorzystywana do ukrycia złośliwego ruchu.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]