SlideShare a Scribd company logo

Il Ransomware nelle Aziende - Eset Security Days 2016

Gianni Amato
Gianni Amato

Sheraton Roma Hotel & Conference Center di Roma - 4 Maggio 2016

Technology
1 of 37
Download to read offline
Ransomware Funzioni avanzate e Tecniche di evasione Gianni Amato CERT-PA
Malware Writers VS Malware Analysts
MBRLock ● Master Boot Record compromesso; ● Sostituzione MBR originale con MBR proprietario; ● I dati sul disco sono integri ma il sistema non è accessibile; ● Per ottenere la password era necessario chiamare un numero a pagamento. http://www.gianniamato.it/2012/03/mbr-lock.html
MBRLock Remediation ● È sufficiente ripristinare l’MBR per accedere al sistema; ● Analisi successive hanno dimostrato che il codice accetta qualsiasi password composta da 14 cifre. {Sono le prime versioni di MBRLock, veicolate nell’anno 2011, perfezionate nei mesi e negli anni a seguire. Oggi Petya.} http://www.gianniamato.it/2012/03/mbr-lock.html
{Code}Il problema non risiede nella complessità del codice ma nei tempi di risposta dell’ IT Security.
Tecniche di evasione ● Differenti vettori di infezione (exploit kit) ● Offuscamento del codice (codifica: da non confondere con la cifratura) ● Riconoscimento dell’ambiente (fisico, virtuale, sandbox) ● Rilevamento dei tool di analisi in esecuzione sul sistema (strumenti di debug e monitoraggio del traffico)
Il tempo è denaro Ingannare gli analisti inesperti Mettere in difficoltà gli analisti più esperti Guadagnare tempo (giorni, settimane quando va bene, prima che abbia inizio il periodo di decadenza)
Exploit Kit Blackhole, Neutrino, Nuclear, Angler
Exploit kit Kit di strumenti preconfezionati che truffatori possono acquistare o noleggiare al mercato nero con lo scopo di distribuire malware attraverso pagine web compromesse. Il kit analizza le informazioni della vittima che visita la pagina web attraverso le informazioni fornite dal browser e cerca di individuare, e successivamente sfruttare, le vulnerabilità note al fine di installare il malware sul sistema senza alcuna interazione da parte dell’utente.
CryptXXX Ransomware. Maisto code: http://pastebin.com/raw/fXLEPiAj
SX: [Black Hole Exploit Kit] | DX: [Exploit Kit Collecion] offerte individuate in due black market differenti il 01/05/2016 alle ore 23:30 Exploit kit (business) al black market
Private Exploit Kit Exploits: cve-2015-5122 cve-2015-5119 cve-2015-3043 cve-2015-2419 cve-2015-2445 cve-2015-0311 cve-2014-6332 modded for silent running and 2 private landing page automaically random encryption aes Adobe Flash Zero-Day in HackingTeam Leak (luglio 2015) Internet Explorer 10 and 11 allows remote attackers to execute arbitrary code | IE 10 ASLR Bypass
Dietro Locky il team di Dridex? Similitudini. Stesse tecniche di infezione: ● Prima tramite Macro applicata ai file MS Office. ● Dopo tramite Nuclear Explit Kit. ● C&C offuscati in una sezione (fake) denominata “.reloc”. ● User-agent hard coded. ● Registry key random. Stesso metodo di distribuzione: ● Prima mail con allegati MS Office. ● Dopo tramite file JavaScript (opportunamente offuscato) allegato alla mail.
JS Ransomware Locky
JS Ransomware Locky [Decoder script] ● Unicode escape sequences ● Nested variables ● Fragmented url import re filename = 'SCAN000189077.js' with open(filename, 'r') as file: data = file.read().split('n') for str in data: uMatch = re.findall('u[0-9]{3}[0-9a-fA-F]{1}', str) for u in uMatch: str = str.replace(u, u.decode('unicode-escape')) print (str) JS Locky - python decoder: https://gist.github.com/guelfoweb/1b7c4ecc3a2a7d8947ad
JS Ransomware Downloader JS Ransomware Encoded: http://pastebin.com/nCWdQxGY JS Ransomware Decoded: http://pastebin.com/xAKRt4HB
JS Ransomware [Decoder script] JS Ransomware - python decoder: https://gist.github.com/guelfoweb/2ee5ac10c42132674bd6
Tecniche note, codice nuovo Online sandbox bypass - PoC di laboratorio
Pseudo Random Domains Tecnica conosciuta dal 2009. JS Pseudo Random Code (encoded): http://pastebin.com/b5km5Hay
● I domini da contattare per il download del malware cambiano dinamicamente ogni 12 ore; ● Eventuale analisi tramite sandbox online o strumenti in grado di interpretare il codice metterebbero in evidenza un solo nome dominio generato (pseudo- randomicamente) in base alla data e l’ora in cui il codice è stato sottoposto ad analisi. Solo una analisi manuale e appronfondita del codice potrà fornire le informazioni complete. URL Programmate
Malwr bypass (PoC) Malwr report: https://malwr.com/analysis/MjkzODE4MGVmOTE1NDQ4Zjg1MmIzODYwN2M4ODdjOWE/
Reverse (PoC) Analisi incompleta ● Lo stesso sample sottoposto a una sandbox non nota al malware produrrà invece un report incompleto qualora la risorsa all’indirizzo principale [riga 5] risulti raggiungibile; ● Il dominio alternativo [riga 9] non verrà esposto finchè la risorsa principale non verrà dismessa. Reverse report: https://www.reverse.it/sample/7a36c3b22eb858d83b199c0ec60e4d816022965b69a07103a222c12d59f93425?environmentId=1
TeslaCrypt 4.1A ● Detect and stop AV scan Kill Process: ● Task Manager ● Registry Editor ● Command Shell ● Process Explorer Diversamente da quanto indicato nelle informazioni per il riscatto, la nuova variante utilizza una componente di cifratura AES-256.
≈18%percentuale di campioni ransomware (dropper) analizzati nel laboratorio CERT- PA utilizzano tecniche di Anti Debug (ollydbg, ida, process, etc.)
≈6%percentuale di campioni ransomware (dropper) analizzati nel laboratorio CERT- PA utilizzano tecniche di Anti Virtual Machine (sandbox)
Petya in origine MBRLock
Petya analysis [STEP 1] - BSOD Alla prima esecuzione il dropper provvede a sostituire il Master Boot Record (MBR) con uno proprietario e conserva alcuni dati e le istruzioni che verranno successivamente eseguite nella FASE 2 in appositi settori del disco compromesso. Completata l’operazione manda in crash il sistema provocando un “errore grave”.
Petya analysis [STEP 1] - Dati integri In questa prima fase è ancora possibile recuperare i dati presenti nel disco accedendo al device come unità esterna al sistema, tramite appositi strumenti per l’analisi forense, o semplicemente ripristinando l’ MBR.
Petya analysis [STEP 1] - MBR Infected ● L’MBR infetto di Petya è lo stesso su tutti i sistemi, cambiano solo gli ultimi byte in cui il malware scrive i riferimenti alle istruzioni. ● La manipolazione dell’MBR richiede privilegi di amministratore, ragione per cui il malware non sarà in grado di compromettere un sistema con privilegi utente limitati. ● La componente fissa va da 0x0000 a 0x0093, occupando esattamente 147 byte.
Petya analysis [STEP 1] - Core (strings) I settori successivi, dal 0x0022 al 0x0035, risultano occupati dal codice malevolo di Petya da cui è possibile leggere visivamente le stringhe che appariranno come messaggio per l’ utente nella FASE 2.
Petya analysis [STEP 1] - Boot loader ● Il settore 0x0036 conserva le informazioni più preziose, quelle che il boot loader utilizzerà nella FASE 2. ● Il primo byte è utilizzato per siglare lo stato del disco; il valore 0 indica che Petya si trova ancora nella prima fase, mentre diventerà 1 quando la FASE 2 sarà stata ultimata. ● Nei successivi 32 byte viene memorizzata la chiave per la cifratura dell’MFT. A seguire altri 8 byte individuano il vettore da utilizzare per la cifratura e in base al quale verranno effettuate le permutazioni; ● Successivamente è possibile individuare le url onion e una stringa alfanumerica di 90 byte che rappresenta un codice identificativo dell’host compromesso.
Petya analysis [STEP 1] - Original MBR ● Il settore 0x0038 contiene una copia dell’ MBR originale codificato con XOR 0x37. ● Il motivo per cui Petya effettua una copia dell’MBR originale è legato al fatto che il dropper contiene già un MBR, quello infetto, portarsi dietro anche un MBR pulito incrementerebbe inutilmente le dimensioni del file.
Petya analysis [STEP 2] - Fake Chkdsk Al primo riavvio della macchina compromessa verranno eseguite le istruzioni contenute nell’MBR infetto. Carica in memoria le informazioni memorizzate nel settore 0x0022 del disco in cui è presente il core di Petya. Quest’ultimo verifica lo stato del disco leggendo il primo byte del settore 0x0036, se risulta settato a 0 simula un check disk di pochissimi secondi, tempo necessario per compiere una serie di operazioni.
Petya analysis [STEP 2] - Operazioni ● Copia della chiave di 32 byte dal settore 0x0036; ● Cifratura dell’MFT usando una variante dell’algoritmo salsa20; ● Scrittura dell’MFT cifrato nei settori compresi tra 0x0001 e 0x0021; ● Sostituzione con zeri del valore della key nel settore 0x0036; ● Sostituzione del valore del primo byte da 0 a 1 nella sezione 0x0036 in modo da non ripetere la stessa operazione ai successivi reboot. ● Essendo stati azzerati i 32 byte della sezione 0x0036, Petya utilizzerà la chiave caricata in memoria e il vettore di 8 byte (che resterà leggibile nel settore 0x0036) per eseguire le permutazioni e quindi cifrare e riscrivere interamente il settore 0x0037. ● Questo settore sarà utilizzato successivamente per verificare che la chiave inserita dall’utente per liberare il disco sia quella corretta.
Petya analysis [STEP 2] - Cifratura MFT Completate le operazioni precedenti, Petya mostrerà una schermata rossa con un teschio che resterà visibile finp alla pressione di un tasto qualunque. Successivamente verranno mostrate le condizioni per ottenere il riscatto. Esattamente le stesse memorizzate nello STEP 1 (settore 0x0036). CERT-PA-B011-160407 - https://www.cert-pa.it/
{Code}Il problema non risiede nella complessità del codice ma nei tempi di risposta dell’ IT Security.
Domande ? Grazie per l’attenzione! ● Author: Gianni Amato ● Web: www.gianniamato.it ● Twitter: @guelfoweb

Recommended

Il venerdì nero di wannacry
Il venerdì nero di wannacryIl venerdì nero di wannacry
Il venerdì nero di wannacryGianni Amato
 
Crimini Informatici 2012
Crimini Informatici 2012Crimini Informatici 2012
Crimini Informatici 2012Gianni Amato
 
Amato HackInBo 2013
Amato HackInBo 2013Amato HackInBo 2013
Amato HackInBo 2013Gianni Amato
 
NFC: Tecnologia e Sicurezza
NFC: Tecnologia e SicurezzaNFC: Tecnologia e Sicurezza
NFC: Tecnologia e SicurezzaAndrea Draghetti
 
Introduzione all'Information Gathering
Introduzione all'Information GatheringIntroduzione all'Information Gathering
Introduzione all'Information GatheringSalvatore Lentini
 
La complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoLa complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoMarco Ferrigno
 
Il tuo router è sicuro?!
Il tuo router è sicuro?!Il tuo router è sicuro?!
Il tuo router è sicuro?!Raffaele Sommese
 
Heartbleed - OpenSSL Bug
Heartbleed - OpenSSL BugHeartbleed - OpenSSL Bug
Heartbleed - OpenSSL BugSalvatore Lentini
 

Recommended

Il venerdì nero di wannacry
Il venerdì nero di wannacryIl venerdì nero di wannacry
Il venerdì nero di wannacryGianni Amato
 
Crimini Informatici 2012
Crimini Informatici 2012Crimini Informatici 2012
Crimini Informatici 2012Gianni Amato
 
Amato HackInBo 2013
Amato HackInBo 2013Amato HackInBo 2013
Amato HackInBo 2013Gianni Amato
 
NFC: Tecnologia e Sicurezza
NFC: Tecnologia e SicurezzaNFC: Tecnologia e Sicurezza
NFC: Tecnologia e SicurezzaAndrea Draghetti
 
Introduzione all'Information Gathering
Introduzione all'Information GatheringIntroduzione all'Information Gathering
Introduzione all'Information GatheringSalvatore Lentini
 
La complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoLa complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoMarco Ferrigno
 
Il tuo router è sicuro?!
Il tuo router è sicuro?!Il tuo router è sicuro?!
Il tuo router è sicuro?!Raffaele Sommese
 
Heartbleed - OpenSSL Bug
Heartbleed - OpenSSL BugHeartbleed - OpenSSL Bug
Heartbleed - OpenSSL BugSalvatore Lentini
 
Cyber Forensics - Acquisizione e analisi dei dati
Cyber Forensics - Acquisizione e analisi dei datiCyber Forensics - Acquisizione e analisi dei dati
Cyber Forensics - Acquisizione e analisi dei datiMarco Ferrigno
 
Devianze
DevianzeDevianze
Devianzescrivano
 
Scacco matto ai crytpo malware (smau 2016 - bologna)
Scacco matto ai crytpo malware (smau 2016 - bologna)Scacco matto ai crytpo malware (smau 2016 - bologna)
Scacco matto ai crytpo malware (smau 2016 - bologna)Gianfranco Tonello
 
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceLinux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceMario Rossano
 
Checkmate to crypto malware. Scacco matto ai crypto malware
Checkmate to crypto malware. Scacco matto ai crypto malwareCheckmate to crypto malware. Scacco matto ai crypto malware
Checkmate to crypto malware. Scacco matto ai crypto malwareGianfranco Tonello
 
Scacco matto ai crytpo malware (milano)
Scacco matto ai crytpo malware (milano)Scacco matto ai crytpo malware (milano)
Scacco matto ai crytpo malware (milano)Gianfranco Tonello
 
Simulazione di un Penetration Test
Simulazione di un Penetration TestSimulazione di un Penetration Test
Simulazione di un Penetration TestSalvatore Lentini
 
Linux Security Hardening - panoramica sui principi generali per la riduzione...
Linux Security Hardening - panoramica sui principi generali per la riduzione...Linux Security Hardening - panoramica sui principi generali per la riduzione...
Linux Security Hardening - panoramica sui principi generali per la riduzione...Marco Ferrigno
 
Le fasi di un Penetration testing
Le fasi di un Penetration testingLe fasi di un Penetration testing
Le fasi di un Penetration testingAlessandra Zullo
 
2005: E-privacy 2005: Pgp Luci E Ombre
2005: E-privacy 2005: Pgp Luci E Ombre2005: E-privacy 2005: Pgp Luci E Ombre
2005: E-privacy 2005: Pgp Luci E OmbreFabio Pietrosanti
 
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...Gianni Amato
 
Equation Group : Advanced Secretive Computer Espionage Group
Equation Group : Advanced Secretive Computer Espionage GroupEquation Group : Advanced Secretive Computer Espionage Group
Equation Group : Advanced Secretive Computer Espionage Groupanupriti
 
Distribution Training
Distribution TrainingDistribution Training
Distribution TrainingZachary Howland
 
Social Espionage & CRM: Selling to Customer 2.0 - #SXSWi
Social Espionage & CRM: Selling to Customer 2.0 - #SXSWiSocial Espionage & CRM: Selling to Customer 2.0 - #SXSWi
Social Espionage & CRM: Selling to Customer 2.0 - #SXSWiInsideView
 
Linuxday 2013-amato
Linuxday 2013-amatoLinuxday 2013-amato
Linuxday 2013-amatoGianni Amato
 
Linuxday 2014 Amato - Shellshock
Linuxday 2014 Amato - ShellshockLinuxday 2014 Amato - Shellshock
Linuxday 2014 Amato - ShellshockGianni Amato
 
Web 2.0 e dintorni
Web 2.0 e dintorniWeb 2.0 e dintorni
Web 2.0 e dintorniGianni Amato
 
Governments As Malware Authors - Mikko Hypponen at Black Hat 2014
Governments As Malware Authors - Mikko Hypponen at Black Hat 2014Governments As Malware Authors - Mikko Hypponen at Black Hat 2014
Governments As Malware Authors - Mikko Hypponen at Black Hat 2014Mikko Hypponen
 
Firma Digitale
Firma DigitaleFirma Digitale
Firma DigitaleGianni Amato
 
Hashbot.com - Acquisizione e Validazione
Hashbot.com - Acquisizione e ValidazioneHashbot.com - Acquisizione e Validazione
Hashbot.com - Acquisizione e ValidazioneGianni Amato
 
ARM 7: ThaiCERT Operations and Priorities
ARM 7: ThaiCERT Operations and PrioritiesARM 7: ThaiCERT Operations and Priorities
ARM 7: ThaiCERT Operations and PrioritiesAPNIC
 
Network forensics: un approccio laterale
Network forensics: un approccio lateraleNetwork forensics: un approccio laterale
Network forensics: un approccio lateraleDavide Paltrinieri
 

More Related Content

What's hot

Cyber Forensics - Acquisizione e analisi dei dati
Cyber Forensics - Acquisizione e analisi dei datiCyber Forensics - Acquisizione e analisi dei dati
Cyber Forensics - Acquisizione e analisi dei datiMarco Ferrigno
 
Scacco matto ai crytpo malware (smau 2016 - bologna)
Scacco matto ai crytpo malware (smau 2016 - bologna)Scacco matto ai crytpo malware (smau 2016 - bologna)
Scacco matto ai crytpo malware (smau 2016 - bologna)Gianfranco Tonello
 
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceLinux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceMario Rossano
 
Checkmate to crypto malware. Scacco matto ai crypto malware
Checkmate to crypto malware. Scacco matto ai crypto malwareCheckmate to crypto malware. Scacco matto ai crypto malware
Checkmate to crypto malware. Scacco matto ai crypto malwareGianfranco Tonello
 
Scacco matto ai crytpo malware (milano)
Scacco matto ai crytpo malware (milano)Scacco matto ai crytpo malware (milano)
Scacco matto ai crytpo malware (milano)Gianfranco Tonello
 
Simulazione di un Penetration Test
Simulazione di un Penetration TestSimulazione di un Penetration Test
Simulazione di un Penetration TestSalvatore Lentini
 
Linux Security Hardening - panoramica sui principi generali per la riduzione...
Linux Security Hardening - panoramica sui principi generali per la riduzione...Linux Security Hardening - panoramica sui principi generali per la riduzione...
Linux Security Hardening - panoramica sui principi generali per la riduzione...Marco Ferrigno
 
Le fasi di un Penetration testing
Le fasi di un Penetration testingLe fasi di un Penetration testing
Le fasi di un Penetration testingAlessandra Zullo
 
2005: E-privacy 2005: Pgp Luci E Ombre
2005: E-privacy 2005: Pgp Luci E Ombre2005: E-privacy 2005: Pgp Luci E Ombre
2005: E-privacy 2005: Pgp Luci E OmbreFabio Pietrosanti
 

What's hot (10)

Cyber Forensics - Acquisizione e analisi dei dati
Cyber Forensics - Acquisizione e analisi dei datiCyber Forensics - Acquisizione e analisi dei dati
Cyber Forensics - Acquisizione e analisi dei dati
 
Devianze
DevianzeDevianze
Devianze
 
Scacco matto ai crytpo malware (smau 2016 - bologna)
Scacco matto ai crytpo malware (smau 2016 - bologna)Scacco matto ai crytpo malware (smau 2016 - bologna)
Scacco matto ai crytpo malware (smau 2016 - bologna)
 
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceLinux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
 
Checkmate to crypto malware. Scacco matto ai crypto malware
Checkmate to crypto malware. Scacco matto ai crypto malwareCheckmate to crypto malware. Scacco matto ai crypto malware
Checkmate to crypto malware. Scacco matto ai crypto malware
 
Scacco matto ai crytpo malware (milano)
Scacco matto ai crytpo malware (milano)Scacco matto ai crytpo malware (milano)
Scacco matto ai crytpo malware (milano)
 
Simulazione di un Penetration Test
Simulazione di un Penetration TestSimulazione di un Penetration Test
Simulazione di un Penetration Test
 
Linux Security Hardening - panoramica sui principi generali per la riduzione...
Linux Security Hardening - panoramica sui principi generali per la riduzione...Linux Security Hardening - panoramica sui principi generali per la riduzione...
Linux Security Hardening - panoramica sui principi generali per la riduzione...
 
Le fasi di un Penetration testing
Le fasi di un Penetration testingLe fasi di un Penetration testing
Le fasi di un Penetration testing
 
2005: E-privacy 2005: Pgp Luci E Ombre
2005: E-privacy 2005: Pgp Luci E Ombre2005: E-privacy 2005: Pgp Luci E Ombre
2005: E-privacy 2005: Pgp Luci E Ombre
 

Viewers also liked

Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...Gianni Amato
 
Equation Group : Advanced Secretive Computer Espionage Group
Equation Group : Advanced Secretive Computer Espionage GroupEquation Group : Advanced Secretive Computer Espionage Group
Equation Group : Advanced Secretive Computer Espionage Groupanupriti
 
Social Espionage & CRM: Selling to Customer 2.0 - #SXSWi
Social Espionage & CRM: Selling to Customer 2.0 - #SXSWiSocial Espionage & CRM: Selling to Customer 2.0 - #SXSWi
Social Espionage & CRM: Selling to Customer 2.0 - #SXSWiInsideView
 
Linuxday 2013-amato
Linuxday 2013-amatoLinuxday 2013-amato
Linuxday 2013-amatoGianni Amato
 
Linuxday 2014 Amato - Shellshock
Linuxday 2014 Amato - ShellshockLinuxday 2014 Amato - Shellshock
Linuxday 2014 Amato - ShellshockGianni Amato
 
Web 2.0 e dintorni
Web 2.0 e dintorniWeb 2.0 e dintorni
Web 2.0 e dintorniGianni Amato
 
Governments As Malware Authors - Mikko Hypponen at Black Hat 2014
Governments As Malware Authors - Mikko Hypponen at Black Hat 2014Governments As Malware Authors - Mikko Hypponen at Black Hat 2014
Governments As Malware Authors - Mikko Hypponen at Black Hat 2014Mikko Hypponen
 
Hashbot.com - Acquisizione e Validazione
Hashbot.com - Acquisizione e ValidazioneHashbot.com - Acquisizione e Validazione
Hashbot.com - Acquisizione e ValidazioneGianni Amato
 
ARM 7: ThaiCERT Operations and Priorities
ARM 7: ThaiCERT Operations and PrioritiesARM 7: ThaiCERT Operations and Priorities
ARM 7: ThaiCERT Operations and PrioritiesAPNIC
 
Network forensics: un approccio laterale
Network forensics: un approccio lateraleNetwork forensics: un approccio laterale
Network forensics: un approccio lateraleDavide Paltrinieri
 
Introduction to Memory Analysis
Introduction to Memory AnalysisIntroduction to Memory Analysis
Introduction to Memory AnalysisEmil Tan
 
Lessons learned from hundreds of cyber espionage breaches by TT and Ashley - ...
Lessons learned from hundreds of cyber espionage breaches by TT and Ashley - ...Lessons learned from hundreds of cyber espionage breaches by TT and Ashley - ...
Lessons learned from hundreds of cyber espionage breaches by TT and Ashley - ...CODE BLUE
 
Botnet e nuove forme di malware
Botnet e nuove forme di malwareBotnet e nuove forme di malware
Botnet e nuove forme di malwareGianni Amato
 
Reati Informatici e Investigazioni Digitali
Reati Informatici e Investigazioni DigitaliReati Informatici e Investigazioni Digitali
Reati Informatici e Investigazioni DigitaliGianni Amato
 
(130119) #fitalk apt, cyber espionage threat
(130119) #fitalk apt, cyber espionage threat(130119) #fitalk apt, cyber espionage threat
(130119) #fitalk apt, cyber espionage threatINSIGHT FORENSIC
 
(120715) #fitalk the era of cyber sabotage and warfare (case study - stuxnet)
(120715) #fitalk the era of cyber sabotage and warfare (case study - stuxnet)(120715) #fitalk the era of cyber sabotage and warfare (case study - stuxnet)
(120715) #fitalk the era of cyber sabotage and warfare (case study - stuxnet)INSIGHT FORENSIC
 
Fundamentals of Linux Privilege Escalation
Fundamentals of Linux Privilege EscalationFundamentals of Linux Privilege Escalation
Fundamentals of Linux Privilege Escalationnullthreat
 

Viewers also liked (20)

Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
 
Equation Group : Advanced Secretive Computer Espionage Group
Equation Group : Advanced Secretive Computer Espionage GroupEquation Group : Advanced Secretive Computer Espionage Group
Equation Group : Advanced Secretive Computer Espionage Group
 
Distribution Training
Distribution TrainingDistribution Training
Distribution Training
 
Social Espionage & CRM: Selling to Customer 2.0 - #SXSWi
Social Espionage & CRM: Selling to Customer 2.0 - #SXSWiSocial Espionage & CRM: Selling to Customer 2.0 - #SXSWi
Social Espionage & CRM: Selling to Customer 2.0 - #SXSWi
 
Linuxday 2013-amato
Linuxday 2013-amatoLinuxday 2013-amato
Linuxday 2013-amato
 
Linuxday 2014 Amato - Shellshock
Linuxday 2014 Amato - ShellshockLinuxday 2014 Amato - Shellshock
Linuxday 2014 Amato - Shellshock
 
Web 2.0 e dintorni
Web 2.0 e dintorniWeb 2.0 e dintorni
Web 2.0 e dintorni
 
Governments As Malware Authors - Mikko Hypponen at Black Hat 2014
Governments As Malware Authors - Mikko Hypponen at Black Hat 2014Governments As Malware Authors - Mikko Hypponen at Black Hat 2014
Governments As Malware Authors - Mikko Hypponen at Black Hat 2014
 
Firma Digitale
Firma DigitaleFirma Digitale
Firma Digitale
 
Hashbot.com - Acquisizione e Validazione
Hashbot.com - Acquisizione e ValidazioneHashbot.com - Acquisizione e Validazione
Hashbot.com - Acquisizione e Validazione
 
ARM 7: ThaiCERT Operations and Priorities
ARM 7: ThaiCERT Operations and PrioritiesARM 7: ThaiCERT Operations and Priorities
ARM 7: ThaiCERT Operations and Priorities
 
Network forensics: un approccio laterale
Network forensics: un approccio lateraleNetwork forensics: un approccio laterale
Network forensics: un approccio laterale
 
Introduction to Memory Analysis
Introduction to Memory AnalysisIntroduction to Memory Analysis
Introduction to Memory Analysis
 
Lessons learned from hundreds of cyber espionage breaches by TT and Ashley - ...
Lessons learned from hundreds of cyber espionage breaches by TT and Ashley - ...Lessons learned from hundreds of cyber espionage breaches by TT and Ashley - ...
Lessons learned from hundreds of cyber espionage breaches by TT and Ashley - ...
 
Botnet e nuove forme di malware
Botnet e nuove forme di malwareBotnet e nuove forme di malware
Botnet e nuove forme di malware
 
Reati Informatici e Investigazioni Digitali
Reati Informatici e Investigazioni DigitaliReati Informatici e Investigazioni Digitali
Reati Informatici e Investigazioni Digitali
 
(130119) #fitalk apt, cyber espionage threat
(130119) #fitalk apt, cyber espionage threat(130119) #fitalk apt, cyber espionage threat
(130119) #fitalk apt, cyber espionage threat
 
ATP
ATPATP
ATP
 
(120715) #fitalk the era of cyber sabotage and warfare (case study - stuxnet)
(120715) #fitalk the era of cyber sabotage and warfare (case study - stuxnet)(120715) #fitalk the era of cyber sabotage and warfare (case study - stuxnet)
(120715) #fitalk the era of cyber sabotage and warfare (case study - stuxnet)
 
Fundamentals of Linux Privilege Escalation
Fundamentals of Linux Privilege EscalationFundamentals of Linux Privilege Escalation
Fundamentals of Linux Privilege Escalation
 

Similar to Il Ransomware nelle Aziende - Eset Security Days 2016

MITM Attack with Patching Binaries on the Fly by Adding Shellcodes
MITM Attack with Patching Binaries on the Fly by Adding ShellcodesMITM Attack with Patching Binaries on the Fly by Adding Shellcodes
MITM Attack with Patching Binaries on the Fly by Adding ShellcodesGianluca Gabrielli
 
Microcontrollori
MicrocontrolloriMicrocontrollori
Microcontrollorisamu97
 
Dsp cosa sono i digital signal processor - seconda parte - 2010-10-19
Dsp cosa sono i digital signal processor - seconda parte - 2010-10-19Dsp cosa sono i digital signal processor - seconda parte - 2010-10-19
Dsp cosa sono i digital signal processor - seconda parte - 2010-10-19Ionela
 
Petya Ransomware: sotto i riflettori
Petya Ransomware: sotto i riflettoriPetya Ransomware: sotto i riflettori
Petya Ransomware: sotto i riflettoriGianfranco Tonello
 
Il tuo router è sicuro?
Il tuo router è sicuro?Il tuo router è sicuro?
Il tuo router è sicuro?NaLUG
 
Trace32 lo-strumento-piu-completo-per-il-debug-di-un-sistema-linux
Trace32 lo-strumento-piu-completo-per-il-debug-di-un-sistema-linuxTrace32 lo-strumento-piu-completo-per-il-debug-di-un-sistema-linux
Trace32 lo-strumento-piu-completo-per-il-debug-di-un-sistema-linuxDeveler S.r.l.
 
festival ICT 2013: Sicurezza delle applicazioni web
festival ICT 2013: Sicurezza delle applicazioni webfestival ICT 2013: Sicurezza delle applicazioni web
festival ICT 2013: Sicurezza delle applicazioni webfestival ICT 2016
 
Review4 u icd2 mplab pic programmer 2010-11-02
Review4 u icd2 mplab pic programmer 2010-11-02Review4 u icd2 mplab pic programmer 2010-11-02
Review4 u icd2 mplab pic programmer 2010-11-02Ionela
 
Thanatos - Parallel & Distributed Computing
Thanatos - Parallel & Distributed ComputingThanatos - Parallel & Distributed Computing
Thanatos - Parallel & Distributed ComputingIdriss Riouak
 
Sicurezza e protezione dati su raspberry
Sicurezza e protezione dati su raspberrySicurezza e protezione dati su raspberry
Sicurezza e protezione dati su raspberryOrazio Sarno
 
Guida al Computer - Lezione 106 - Pannello di Controllo – Crittografia Unità ...
Guida al Computer - Lezione 106 - Pannello di Controllo – Crittografia Unità ...Guida al Computer - Lezione 106 - Pannello di Controllo – Crittografia Unità ...
Guida al Computer - Lezione 106 - Pannello di Controllo – Crittografia Unità ...caioturtle
 
Summary of “The Case for Writing Network Drivers in High-Level Programming La...
Summary of “The Case for Writing Network Drivers in High-Level Programming La...Summary of “The Case for Writing Network Drivers in High-Level Programming La...
Summary of “The Case for Writing Network Drivers in High-Level Programming La...LeonardoIurada
 
Come funzione la cifratura dell’endpoint
Come funzione la cifratura dell’endpointCome funzione la cifratura dell’endpoint
Come funzione la cifratura dell’endpointSymantec
 
SysTick, Timer & Watchdog
SysTick, Timer & WatchdogSysTick, Timer & Watchdog
SysTick, Timer & WatchdogGiovanni Panice
 
GWT Development for Handheld Devices
GWT Development for Handheld DevicesGWT Development for Handheld Devices
GWT Development for Handheld DevicesGWTcon
 
Guida al computer - Lezione 107 - Pannello di Controllo – Crittografia unità ...
Guida al computer - Lezione 107 - Pannello di Controllo – Crittografia unità ...Guida al computer - Lezione 107 - Pannello di Controllo – Crittografia unità ...
Guida al computer - Lezione 107 - Pannello di Controllo – Crittografia unità ...caioturtle
 

Similar to Il Ransomware nelle Aziende - Eset Security Days 2016 (20)

MITM Attack with Patching Binaries on the Fly by Adding Shellcodes
MITM Attack with Patching Binaries on the Fly by Adding ShellcodesMITM Attack with Patching Binaries on the Fly by Adding Shellcodes
MITM Attack with Patching Binaries on the Fly by Adding Shellcodes
 
Microcontrollori
MicrocontrolloriMicrocontrollori
Microcontrollori
 
Cell Programming 1
Cell Programming 1Cell Programming 1
Cell Programming 1
 
Dsp cosa sono i digital signal processor - seconda parte - 2010-10-19
Dsp cosa sono i digital signal processor - seconda parte - 2010-10-19Dsp cosa sono i digital signal processor - seconda parte - 2010-10-19
Dsp cosa sono i digital signal processor - seconda parte - 2010-10-19
 
Petya Ransomware: sotto i riflettori
Petya Ransomware: sotto i riflettoriPetya Ransomware: sotto i riflettori
Petya Ransomware: sotto i riflettori
 
Il tuo router è sicuro?
Il tuo router è sicuro?Il tuo router è sicuro?
Il tuo router è sicuro?
 
Trace32 lo-strumento-piu-completo-per-il-debug-di-un-sistema-linux
Trace32 lo-strumento-piu-completo-per-il-debug-di-un-sistema-linuxTrace32 lo-strumento-piu-completo-per-il-debug-di-un-sistema-linux
Trace32 lo-strumento-piu-completo-per-il-debug-di-un-sistema-linux
 
festival ICT 2013: Sicurezza delle applicazioni web
festival ICT 2013: Sicurezza delle applicazioni webfestival ICT 2013: Sicurezza delle applicazioni web
festival ICT 2013: Sicurezza delle applicazioni web
 
Review4 u icd2 mplab pic programmer 2010-11-02
Review4 u icd2 mplab pic programmer 2010-11-02Review4 u icd2 mplab pic programmer 2010-11-02
Review4 u icd2 mplab pic programmer 2010-11-02
 
Thanatos - Parallel & Distributed Computing
Thanatos - Parallel & Distributed ComputingThanatos - Parallel & Distributed Computing
Thanatos - Parallel & Distributed Computing
 
Thanatos
ThanatosThanatos
Thanatos
 
Hacking reti wireless
Hacking reti wirelessHacking reti wireless
Hacking reti wireless
 
Sicurezza e protezione dati su raspberry
Sicurezza e protezione dati su raspberrySicurezza e protezione dati su raspberry
Sicurezza e protezione dati su raspberry
 
Guida al Computer - Lezione 106 - Pannello di Controllo – Crittografia Unità ...
Guida al Computer - Lezione 106 - Pannello di Controllo – Crittografia Unità ...Guida al Computer - Lezione 106 - Pannello di Controllo – Crittografia Unità ...
Guida al Computer - Lezione 106 - Pannello di Controllo – Crittografia Unità ...
 
Presentazione tesi 2.0
Presentazione tesi 2.0Presentazione tesi 2.0
Presentazione tesi 2.0
 
Summary of “The Case for Writing Network Drivers in High-Level Programming La...
Summary of “The Case for Writing Network Drivers in High-Level Programming La...Summary of “The Case for Writing Network Drivers in High-Level Programming La...
Summary of “The Case for Writing Network Drivers in High-Level Programming La...
 
Come funzione la cifratura dell’endpoint
Come funzione la cifratura dell’endpointCome funzione la cifratura dell’endpoint
Come funzione la cifratura dell’endpoint
 
SysTick, Timer & Watchdog
SysTick, Timer & WatchdogSysTick, Timer & Watchdog
SysTick, Timer & Watchdog
 
GWT Development for Handheld Devices
GWT Development for Handheld DevicesGWT Development for Handheld Devices
GWT Development for Handheld Devices
 
Guida al computer - Lezione 107 - Pannello di Controllo – Crittografia unità ...
Guida al computer - Lezione 107 - Pannello di Controllo – Crittografia unità ...Guida al computer - Lezione 107 - Pannello di Controllo – Crittografia unità ...
Guida al computer - Lezione 107 - Pannello di Controllo – Crittografia unità ...
 

Recently uploaded

Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”Associazione Digital Days
 
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...Associazione Digital Days
 
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...Associazione Digital Days
 
ScrapeGraphAI: a new way to scrape context with AI
ScrapeGraphAI: a new way to scrape context with AIScrapeGraphAI: a new way to scrape context with AI
ScrapeGraphAI: a new way to scrape context with AIinfogdgmi
 
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...Associazione Digital Days
 
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...Associazione Digital Days
 

Recently uploaded (6)

Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”
 
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
 
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...
 
ScrapeGraphAI: a new way to scrape context with AI
ScrapeGraphAI: a new way to scrape context with AIScrapeGraphAI: a new way to scrape context with AI
ScrapeGraphAI: a new way to scrape context with AI
 
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...
 
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...
 

Il Ransomware nelle Aziende - Eset Security Days 2016

  • 1. Ransomware Funzioni avanzate e Tecniche di evasione Gianni Amato CERT-PA
  • 2. Malware Writers VS Malware Analysts
  • 3. MBRLock ● Master Boot Record compromesso; ● Sostituzione MBR originale con MBR proprietario; ● I dati sul disco sono integri ma il sistema non è accessibile; ● Per ottenere la password era necessario chiamare un numero a pagamento. http://www.gianniamato.it/2012/03/mbr-lock.html
  • 4. MBRLock Remediation ● È sufficiente ripristinare l’MBR per accedere al sistema; ● Analisi successive hanno dimostrato che il codice accetta qualsiasi password composta da 14 cifre. {Sono le prime versioni di MBRLock, veicolate nell’anno 2011, perfezionate nei mesi e negli anni a seguire. Oggi Petya.} http://www.gianniamato.it/2012/03/mbr-lock.html
  • 5. {Code}Il problema non risiede nella complessità del codice ma nei tempi di risposta dell’ IT Security.
  • 6. Tecniche di evasione ● Differenti vettori di infezione (exploit kit) ● Offuscamento del codice (codifica: da non confondere con la cifratura) ● Riconoscimento dell’ambiente (fisico, virtuale, sandbox) ● Rilevamento dei tool di analisi in esecuzione sul sistema (strumenti di debug e monitoraggio del traffico)
  • 7. Il tempo è denaro Ingannare gli analisti inesperti Mettere in difficoltà gli analisti più esperti Guadagnare tempo (giorni, settimane quando va bene, prima che abbia inizio il periodo di decadenza)
  • 9. Exploit kit Kit di strumenti preconfezionati che truffatori possono acquistare o noleggiare al mercato nero con lo scopo di distribuire malware attraverso pagine web compromesse. Il kit analizza le informazioni della vittima che visita la pagina web attraverso le informazioni fornite dal browser e cerca di individuare, e successivamente sfruttare, le vulnerabilità note al fine di installare il malware sul sistema senza alcuna interazione da parte dell’utente.
  • 10. CryptXXX Ransomware. Maisto code: http://pastebin.com/raw/fXLEPiAj
  • 11. SX: [Black Hole Exploit Kit] | DX: [Exploit Kit Collecion] offerte individuate in due black market differenti il 01/05/2016 alle ore 23:30 Exploit kit (business) al black market
  • 12. Private Exploit Kit Exploits: cve-2015-5122 cve-2015-5119 cve-2015-3043 cve-2015-2419 cve-2015-2445 cve-2015-0311 cve-2014-6332 modded for silent running and 2 private landing page automaically random encryption aes Adobe Flash Zero-Day in HackingTeam Leak (luglio 2015) Internet Explorer 10 and 11 allows remote attackers to execute arbitrary code | IE 10 ASLR Bypass
  • 13. Dietro Locky il team di Dridex? Similitudini. Stesse tecniche di infezione: ● Prima tramite Macro applicata ai file MS Office. ● Dopo tramite Nuclear Explit Kit. ● C&C offuscati in una sezione (fake) denominata “.reloc”. ● User-agent hard coded. ● Registry key random. Stesso metodo di distribuzione: ● Prima mail con allegati MS Office. ● Dopo tramite file JavaScript (opportunamente offuscato) allegato alla mail.
  • 15. JS Ransomware Locky [Decoder script] ● Unicode escape sequences ● Nested variables ● Fragmented url import re filename = 'SCAN000189077.js' with open(filename, 'r') as file: data = file.read().split('n') for str in data: uMatch = re.findall('u[0-9]{3}[0-9a-fA-F]{1}', str) for u in uMatch: str = str.replace(u, u.decode('unicode-escape')) print (str) JS Locky - python decoder: https://gist.github.com/guelfoweb/1b7c4ecc3a2a7d8947ad
  • 16. JS Ransomware Downloader JS Ransomware Encoded: http://pastebin.com/nCWdQxGY JS Ransomware Decoded: http://pastebin.com/xAKRt4HB
  • 17. JS Ransomware [Decoder script] JS Ransomware - python decoder: https://gist.github.com/guelfoweb/2ee5ac10c42132674bd6
  • 18. Tecniche note, codice nuovo Online sandbox bypass - PoC di laboratorio
  • 19. Pseudo Random Domains Tecnica conosciuta dal 2009. JS Pseudo Random Code (encoded): http://pastebin.com/b5km5Hay
  • 20. ● I domini da contattare per il download del malware cambiano dinamicamente ogni 12 ore; ● Eventuale analisi tramite sandbox online o strumenti in grado di interpretare il codice metterebbero in evidenza un solo nome dominio generato (pseudo- randomicamente) in base alla data e l’ora in cui il codice è stato sottoposto ad analisi. Solo una analisi manuale e appronfondita del codice potrà fornire le informazioni complete. URL Programmate
  • 21. Malwr bypass (PoC) Malwr report: https://malwr.com/analysis/MjkzODE4MGVmOTE1NDQ4Zjg1MmIzODYwN2M4ODdjOWE/
  • 22. Reverse (PoC) Analisi incompleta ● Lo stesso sample sottoposto a una sandbox non nota al malware produrrà invece un report incompleto qualora la risorsa all’indirizzo principale [riga 5] risulti raggiungibile; ● Il dominio alternativo [riga 9] non verrà esposto finchè la risorsa principale non verrà dismessa. Reverse report: https://www.reverse.it/sample/7a36c3b22eb858d83b199c0ec60e4d816022965b69a07103a222c12d59f93425?environmentId=1
  • 23. TeslaCrypt 4.1A ● Detect and stop AV scan Kill Process: ● Task Manager ● Registry Editor ● Command Shell ● Process Explorer Diversamente da quanto indicato nelle informazioni per il riscatto, la nuova variante utilizza una componente di cifratura AES-256.
  • 24. ≈18%percentuale di campioni ransomware (dropper) analizzati nel laboratorio CERT- PA utilizzano tecniche di Anti Debug (ollydbg, ida, process, etc.)
  • 25. ≈6%percentuale di campioni ransomware (dropper) analizzati nel laboratorio CERT- PA utilizzano tecniche di Anti Virtual Machine (sandbox)
  • 27. Petya analysis [STEP 1] - BSOD Alla prima esecuzione il dropper provvede a sostituire il Master Boot Record (MBR) con uno proprietario e conserva alcuni dati e le istruzioni che verranno successivamente eseguite nella FASE 2 in appositi settori del disco compromesso. Completata l’operazione manda in crash il sistema provocando un “errore grave”.
  • 28. Petya analysis [STEP 1] - Dati integri In questa prima fase è ancora possibile recuperare i dati presenti nel disco accedendo al device come unità esterna al sistema, tramite appositi strumenti per l’analisi forense, o semplicemente ripristinando l’ MBR.
  • 29. Petya analysis [STEP 1] - MBR Infected ● L’MBR infetto di Petya è lo stesso su tutti i sistemi, cambiano solo gli ultimi byte in cui il malware scrive i riferimenti alle istruzioni. ● La manipolazione dell’MBR richiede privilegi di amministratore, ragione per cui il malware non sarà in grado di compromettere un sistema con privilegi utente limitati. ● La componente fissa va da 0x0000 a 0x0093, occupando esattamente 147 byte.
  • 30. Petya analysis [STEP 1] - Core (strings) I settori successivi, dal 0x0022 al 0x0035, risultano occupati dal codice malevolo di Petya da cui è possibile leggere visivamente le stringhe che appariranno come messaggio per l’ utente nella FASE 2.
  • 31. Petya analysis [STEP 1] - Boot loader ● Il settore 0x0036 conserva le informazioni più preziose, quelle che il boot loader utilizzerà nella FASE 2. ● Il primo byte è utilizzato per siglare lo stato del disco; il valore 0 indica che Petya si trova ancora nella prima fase, mentre diventerà 1 quando la FASE 2 sarà stata ultimata. ● Nei successivi 32 byte viene memorizzata la chiave per la cifratura dell’MFT. A seguire altri 8 byte individuano il vettore da utilizzare per la cifratura e in base al quale verranno effettuate le permutazioni; ● Successivamente è possibile individuare le url onion e una stringa alfanumerica di 90 byte che rappresenta un codice identificativo dell’host compromesso.
  • 32. Petya analysis [STEP 1] - Original MBR ● Il settore 0x0038 contiene una copia dell’ MBR originale codificato con XOR 0x37. ● Il motivo per cui Petya effettua una copia dell’MBR originale è legato al fatto che il dropper contiene già un MBR, quello infetto, portarsi dietro anche un MBR pulito incrementerebbe inutilmente le dimensioni del file.
  • 33. Petya analysis [STEP 2] - Fake Chkdsk Al primo riavvio della macchina compromessa verranno eseguite le istruzioni contenute nell’MBR infetto. Carica in memoria le informazioni memorizzate nel settore 0x0022 del disco in cui è presente il core di Petya. Quest’ultimo verifica lo stato del disco leggendo il primo byte del settore 0x0036, se risulta settato a 0 simula un check disk di pochissimi secondi, tempo necessario per compiere una serie di operazioni.
  • 34. Petya analysis [STEP 2] - Operazioni ● Copia della chiave di 32 byte dal settore 0x0036; ● Cifratura dell’MFT usando una variante dell’algoritmo salsa20; ● Scrittura dell’MFT cifrato nei settori compresi tra 0x0001 e 0x0021; ● Sostituzione con zeri del valore della key nel settore 0x0036; ● Sostituzione del valore del primo byte da 0 a 1 nella sezione 0x0036 in modo da non ripetere la stessa operazione ai successivi reboot. ● Essendo stati azzerati i 32 byte della sezione 0x0036, Petya utilizzerà la chiave caricata in memoria e il vettore di 8 byte (che resterà leggibile nel settore 0x0036) per eseguire le permutazioni e quindi cifrare e riscrivere interamente il settore 0x0037. ● Questo settore sarà utilizzato successivamente per verificare che la chiave inserita dall’utente per liberare il disco sia quella corretta.
  • 35. Petya analysis [STEP 2] - Cifratura MFT Completate le operazioni precedenti, Petya mostrerà una schermata rossa con un teschio che resterà visibile finp alla pressione di un tasto qualunque. Successivamente verranno mostrate le condizioni per ottenere il riscatto. Esattamente le stesse memorizzate nello STEP 1 (settore 0x0036). CERT-PA-B011-160407 - https://www.cert-pa.it/
  • 36. {Code}Il problema non risiede nella complessità del codice ma nei tempi di risposta dell’ IT Security.
  • 37. Domande ? Grazie per l’attenzione! ● Author: Gianni Amato ● Web: www.gianniamato.it ● Twitter: @guelfoweb