Como a engenharia reversa ajuda na luta contra Ransomware

[Sh3rl0ck]

Hoje tem crescido bastante a utilização de ransomware e ainda mais com a divulgação da mídia, apesar desse crescimento nos últimos anos, o ransomware NÃO é uma porcentagem muito alta com relação a outros tipos de malware, sendo no Brasil o trojan banker o mais predominante. Apesar de não serem tão predominantes eles podem ser letais a algumas empresas, principalmente se não seguirem uma política de backup ou nem terem um.

Usando a engenharia reversa contra ransomware pode ser de muita utilidade, diferente do que muitos podem pensar, a RE nesse caso não somente serve para ver como funciona o malware, mas até como reverter o processo e até pausar o processo do mesmo, podendo proteger os dados de uma empresa ou reduzir os danos.

No Brasil a produção do ransomware é muito imatura, sendo fáceis de se resolver se comparado aos mais sofisticados de outros países.

• Um caso que tive contato foi de uma empresa que teria aparentemente perdido seus dados para um ransomware, esta empresa pagou o resgate e nunca mais recebeu notícias do atacante, mas na verdade a empresa nunca perdeu de fato o acesso a seus arquivos, tudo estava em uma outra partição do HD com um nome codificado, ao abrir essa partição, lá estavam todos os seus arquivos que poderia utiliza-los sem nenhum problema. O funcionamento era simples, ele criava uma nova partição e colocava os arquivos neste local, e no local original (c:\ por exemplo) ele compactava os arquivos com senha. Resumindo, nunca precisariam tem pago o resgate.
• Outro caso foi de uma pequena empresa que também pagou o resgate e nunca mais teve contato do atacante, então uma empresa terceirizada de TI foi verificar e decidiram formatar as máquinas e a deu continuidade a suas rotinas (para variar não tinha backup). Quando a empresa terceirizada de TI me falou sobre isso, e me passaram os dados do ransomware, eu soube a qual família pertencia e disse "tinha como reverter esse processo, o kaspersky já analisou essa família de ransomware e disponibilizou a solução para reverter o processo da criptografia", nesse momento simplesmente responderam que agora era tarde demais.
• Além desses casos brasileiros, podemos lembrar do caso do internacional do wanna cry o qual após uma análise vi que ao registrar o domínio que o mesmo usava, iria interromper o processo de criptografia antes de ser iniciado.

Quando vamos usar a engenharia reversa teremos a possibilidade de: interromper o processo de criptografia, interromper a inicialização, interromper a contaminação e reverter os danos.

Para que isto seja possível durante a RE deverá pensar nos seguintes pontos:

• Qual o C&C? O C&C (comando e controle) é o canal por onde o atacante e o ransomware se comunicam, podendo ser de várias formas como IRC, socket, facebook, twitter, blog, outras páginas da web, acesso a um domínio específico e por ai vai. A grande importância é que o C&C quando for utilizado (nem sempre terá um) ele poderá servir para enviar a chave de criptografia pela rede que será utilizada no processo de criptografia e também pode ser usando para o atacante poder dar a ordem ou autorização para iniciar o processo de cifragem/decifragem. Partindo desse princípio pense o seguinte, se identificarmos o C&C, termos a possibilidade de por exemplo pegar a senha que é trafegada na rede com o wireshark filtrando pelo c&c utilizado, se usa SSL e TLS podemos tentar burlar isso, outro caso é bloquear esse C&C no firewall, pois isso evitará tanto que o atacante dê as ordens como que receba a senha, em alguns casos a cifragem só inicia após conseguir enviar a senha com sucesso para o atacante ou o inverso, quando o atacante conseguir enviar a senha a ser utilizada para o programa usar.
• Como ele realiza a criptografia? É muito importante saber isso, pois se soubermos o algoritmo, pode ser que saibamos uma forma muito simples de reverter. Se identificar que ele usa criptografia simétrica saiba que ele pode ter armazenado essa senha localmente, ou que ela deverá trafegar na rede do atacante pro ransomware e vice-versa. Se for assimétrica, pode ser muito mais difícil, adquirir a senha, o melhor em alguns casos é bloquear o C&C, mas não soluciona totalmente dependendo do algoritmo para trocar as chaves.
• A chave está no código? Em alguns casos de atacantes pouco experientes, eles podem colocar uma senha hard-code, podendo ser tanto a senha para compactar ou da criptografia simétrica que será usada, podendo por algum tipo de ofuscação de string, mas programadores mais experientes não realizaram isso.
• A senha está na RAM? Durante o processo da cifragem a senha poderá estar na memória RAM para que o próprio ransomware utilize, nesse caso podemos fazer o dump da memória da máquina durante o ataque.
• Qual a família? Podemos identificar a família do ransonware, a maioria deles são derivações se algum já existente. Quando identificamos a família, podemos pesquisar se empresas criaram uma solução para reverter o processo, temos como exemplo o site https://noransom.kaspersky.com/ que podemos usar para reverter isso. Podemos identificar a família pela analise string, hash, comportamento, tela de regate e etc.
• Esse código tem alguma falha? Da mesma forma que crackers exploram falhas para crackear os programas e demais black hats usam para achar falhas, nós podemos usar a RE para achar alguma falha no código que nos permita de alguma forma parar o ataque, parar o processo de criptografia, ou provocar um erro que interrompa o mesmo, lembre-se que é um software comum programado por uma pessoa comum e softwares sempre podem ter falhas, até mesmo na forma que ele realiza a criptografia, pode ser que possamos ver uma forma de reverter em alguns casos.
• Qual o modo de propagação? Podemos identificar como ele se propaga e fazer o bloqueio disso com outras ferramentas de segurança como o firewall, novas regras no ids/ips. Também ver se ele não está usando alguma vulnerabilidade de algum sistema para se propagar, nesse caso podemos atualizar o sistema ou simplesmente desativa-lo temporariamente.

Para mais informações recomendo o livro: Ransomware - Defendendo-se da extorsão digital.