Breve Estudo Sobre Ransomwares e Análise Estática/Dinâmica do WannaCry

Os ransomwares são malwares que impedem que o detentor legítimo dos arquivos de acessar seus dados. A liberação dos dados só é efetivada mediante pagamento, normalmente realizado em Bitcoins por não ser rastreável. Esta categoria de malware explora vulnerabilidades específicas do sistema alvo, buscando criptografar recursivamente os dados e bloquear o acesso a eles.

[ Hits: 12.349 ]

Por: Acquila Santos Rocha em 23/07/2019 | Blog: https://www.linkedin.com/in/acquila-santos-rocha-b8305a134/


Fatores Históricos



Neste ponto, já foi discutido o conceito fundamental de ransomware, o impacto deles na sociedade, economia e o procedimento tradicional de infecção mostrado em [7], para aqueles baseados em criptografia. Durante a história, os ransomwares foram modelados de acordo com o contexto histórico e tecnológico ao qual estavam inseridos.

O estudo do histórico é fundamental, visto que entendendo o contexto, podemos prever quando certos métodos poderão voltar a ser utilizados [8].

O primeiro ataque classificado como do tipo ransomware, no qual métodos de extorsão são utilizados, tem registro datado em 1989 e é conhecido como PC CYBORG ou AIDS information Trojan. O malware é um Cavalo de Tróia que substitui o arquivo "autoexec.bat" de sistemas MS-DOS e conta a quantidade de vezes que o sistema é reinicializado.

Quando alcançada 90 reinicializações, todos os arquivos do diretório raiz são criptografados e finalmente uma mensagem dizendo que o sistema está infectado é emitida [10]. Na época, esse vírus foi espalhado com a utilização de um disquete contendo um conteúdo de fachada, que quando inserido na máquina alvo, executava o código do malware.

Em 2006 surgiu o CryZip, ransomware que busca compactar arquivos de documentos (txt, doc, rft etc), arquivos de banco de dados e arquivos multimídia em um arquivo ZIP protegido por senha. A chave de descriptografia usada para o arquivo ZIP é armazenada no arquivo Cryzip. A chave de decodificação pode ser baixada dinamicamente para a nova versão do Cryzip [10].

Nesse período o método de transmissão de malware mais utilizado, era a emissão de pop-ups que infectavam o alvo caso após o clique. Em 2010, os ataques baseados em ransomwares atingiram um novo patamar, pois as plataformas mobile também se tornaram alvos desse tipo de ataque [11].

Em meados dos anos 2013 e 2014, uma onda de ataques ransomware foi identificada ao redor do mundo, em decorrência de uma série de fatores:
  • Primeiramente, foram criadas ferramentas que facilitavam o desenvolvimento de um cryptolocker;
  • Outro ponto, é o conhecimento do poderio das criptomoedas que facilitavam a não rastreabilidade do pagamento;
  • Transmissão do ransomware através da rede, permitindo que se espalhe com mais facilidade.

Com o histórico aqui apresentado, percebemos que de acordo com o contexto histórico e tecnológico em questão, os ransomwares evoluíram. O patamar ao qual esse tipo de malware alcançou atualmente é realmente preocupante, tendo em vista a facilidade de desenvolvimento do código e as diferentes formas de transmissão.

Na próxima seção foram introduzidas as principais formas de propagação e infecção.

Página anterior     Próxima página

Páginas do artigo
   1. Prefácio
   2. Ransomware
   3. Fatores Históricos
   4. Formas de propagação
   5. Análise WannaCry
   6. Crypto Ransomwares (Prova de Conceito)
   7. Conclusão
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada

Port Scanner com Python

Qu1cksc0pe - All-in-One Static Malware Analysis Tool

PEP 8 - Guia de estilo para código Python

Redes definidas por Software com Mininet e POX - Criando meu primeiro Controlador

Clicador automático de Tinder com Python

  
Comentários
[1] Comentário enviado por cizordj em 25/07/2019 - 08:56h

Meus parabéns pelo artigo, isso me fez refletir sobre como o meu ambiente de trabalho está implementado, mas me surgiu uma dúvida, se usarmos outro protocolo em um ambiente de trabalho que não seja o Samba o ransomware ainda pode se espalhar pela rede? ou isso depende do ransomware?

<---------------------------------------------------------------->
O seu tempo é o único bem que você não recupera

[2] Comentário enviado por acquila em 25/07/2019 - 11:10h


[1] Comentário enviado por Cizordj em 25/07/2019 - 08:56h

Meus parabéns pelo artigo, isso me fez refletir sobre como o meu ambiente de trabalho está implementado, mas me surgiu uma dúvida, se usarmos outro protocolo em um ambiente de trabalho que não seja o Samba o ransomware ainda pode se espalhar pela rede? ou isso depende do ransomware?

&lt;----------------------------------------------------------------&gt;
O seu tempo é o único bem que você não recupera


Obrigado! Cada ransomware explora uma vulnerabilidade específica, de acordo com o objetivo do malware. Se não me engano, todas as versões do Samba a partir da 3.5.0 estão sujeitas a execução de código remoto, possibilitando que um cliente malicioso carregue e execute uma biblioteca através do servidor. Até onde tenho conhecimento em questão de Ransomware, somente o WannaCry explora essa vulnerabilidade, mas posso estar enganado. Os detalhes sobre essa vulnerabilidade podem ser observados nesse link: https://www.samba.org/samba/security/CVE-2017-7494.html

Espero ter ajudado, até mais!


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts