spacer.png, 0 kB
Bilgi için: bilgi at bilgiguvenligi gov tr   

 

spacer.png, 0 kB
spacer.png, 0 kB
Kripto kilit yöntemini kullanan şantajcı zararlı yazılım Yazdır E-posta
Osman PAMUK, Emir ÜNER, Alican AKYOL, TÜBİTAK BİLGEM   
20.02.2014

Son günlerde, çok sayıda kullanıcının bilgisayarına bulaşıp, kullanıcılara ait verileri şifreleyen ve verilere ulaşım için para isteyerek kullanıcılara şantaj yapan bir zararlı yazılım, normal bilgisayar kullanıcılarını ciddi bir şekilde tehdit etmektedir. Bu zararlı yazılımın görevi tamamlandıktan sonra, şifrelenen verilere, saldırganın yardımı olmadan ulaşmanın bir yolu maalesef henüz bulunmamaktadır.  Fakat şifreleme işlemi bitmeden önce zararlı yazılımın varlığı anlaşılabilirse gerekli şifrelere ulaşıp, şifrelenmiş verileri açmak mümkün olabilmektedir. Bu yazımızda, şantajcı zararlı yazılımı hakkında genel bilgi verdikten sonra, bu muhtemel şifreli verilere ulaşma yönteminden bahsedeceğiz. 

Nasıl Bulaşıyor:

Şantajcı zararlı yazılımı hiç de yabancı olmadığımız fatura epostaları ile bulaşmaya çalışmakta:

1.png

Gelen bu yüksek fatura hakkında bilgi edinmek isteyen kullanıcı "Faturanızla ilgili detaylı bilgi" edinme bağlantısına tıkladığında ise:

hxxp://csi.efatura-turkcell.net/amserver/UI/Login.php?locale=tr&goto=https://csi.turkcell.com.tr/csi/login?csiEntranceId=0101?banner=oim_7536579345_onlineIslemBireysel&app=ccsi&ref=1

Adresine yönlendirilmekte:

2.jpg

Bu sayfada kapça girilip "Fatura İndir" dendiğinde ise zararlı yazılımı barındıran "zip" arşiv dosyası kullanıcının bilgisayarına inmektedir. Bu arşiv dosyasının içinde ise ikonuna bakıldığında "pdf" dokümanı olduğu izlenimi veren, "exe" uzantılı bir PE dosya bulunmaktadır. (Elimizdeki örneğin MD5 özeti 97FB2DFD447C5C6DBE0FC76EE0EFEB67)

 3.png

Kullanıcı bu dosyaya çalıştırdığında ise zararlı yazılım aktif olmakta. 

Yeniden çalışma yöntemi:

Zararlı yazılım ilk çalıştığında, kendi kopyasını oluşturduğu rasgele bir isim ile "C:\Windows" klasörünün (yerel yönetici hakları varsa) altına atmakta. Bu dosyanın her bilgisayar açıldığında otomatik olarak çalıştırılması için de  "HKLM\SOFTWARE\Microsoft\Windows\Currentversion\Run" (yerel yönetici hakları varsa) anahtarı altında bir girdi oluşturmaktadır. Dikkat çeken diğer bir bulgu ise, kopya PE dosyasının açıklama (description) kısmında "MapMark Microsoft" şekilde bir verinin bulunması. Bu açıklama bilgisi ve rasgele dosya ismi zararlı yazılımı tespit etmek için kullanılabilmektedir. 

4.png

Dosyaların Şifrelenmesi:

Bu zararlı yazılımın en önemli özelliği, bilgisayarda belli bir kritere uyan dosyaların hepsini şifreli kopyaları ile değiştirmesidir (.sifreli uzantılı). Şantajcı zararlı yazılımı dosyaları şifreleme işlemi için, AES şifreleme algoritmasını kullanırken; AES şifrelemesinde kullandığı anahtarı ise çalıştırıldığı bilgisayarda rasgele olarak üretmektedir. Bu anahtar, yazılım içinde bulunan bir açık (public) anahtar ile şifrelenmektedir. Aynı zamanda AES anahtarının RSA açık anahtarı ile şifrelenmiş bu hali, bir kayıt anahtarı altında kayıt edilmektedir. Diğer taraftan bu bilgi, zararlı yazılımın kullanıcıyı uyarmak için kullandığı pencerede "Encrypted Session Key" altında verilen bilginin aynısıdır.  

5.png
 
6.png
 

Komuta kontrol sunucu ile bağlantı:

Dosyaların şifleme işlemi bittikten sonra şantajcının "hxxps://cryptdomain.dp.ua/gate.php" adresi ile iletişim kurduğu anlaşılmıştır. Elimizdeki örnekte, ekranda çıkan uyarı mesajında verilen bilginin aksine, şantajcı zararlı yazılımın bu sunucuya herhangi bir veri göndermediği gözlenmiştir. 

Şifreleme detayları:

Şantajcı zararlı yazılımı şifreleme algoritmaları için açık kaynak olan "tomcrypt" kütüphanesini kullanmaktadır. Dosyaları şifrelemek için kullanılacak AES anahtarı "yarrow prng" algoritması ile oluşturulan 32 byte'lık bir veri ile geliştirilmiştir.  

7.png

Şantajcı daha sonra bütün dosyaları şifrelemek için bu AES anahtarını kullanmaktadır. Bu sebeple, bir şekilde bu anahtar zararlı yazılım hafıza alanından alınabilirse, şifrelenen dosyaların açılması mümkün olabilmektedir. Fakat zararlı yazılım dosyaların şifreleme işlemini bitirip uyarı mesajını verdiğinde, yazılım gerekli hafıza temizliğini de yaptığı için, proses hafıza alanında bu anahtarlara rastlanmamaktadır. Bundan dolayı, şantajcı yazılım, dosyaların şifreleme işlemini bitirmeden önce hafıza alanının bir kopyasını almak gerekmektedir.

Şifrenin elde edilmesi: 

Yukarıda da bahsedildiği üzere, gerekli şifrelere ulaşılması için, zararlı yazılım prosesi şifreleme işlemini bitirmeden önce prosesin hafıza alanından şifrelerin alınması gerekmektedir. Bu amaçla, prosesin dökümünü (dump) almadan önce prosesi durdurmakta (suspend)  fayda görülmektedir. Prosesin çalışmasını durdurmak için: "Process Hacker", "Process Explorer" veya Windows 7 ve üstü sürümlerde "Resource Monitor" araçları kullanılabilir. Diğer taraftan bu tür araçlar sistemde hazır değilse ilk yapılacak iş, bilgisayarı uyku (sleep) veya "hibernate" konuma getirmek olmalıdır. Proses hafızasının dökümünü almak için ise "Process Hacker", "Procdump", "ProcessExplorer" veya windows 7 ve üstü sürümler için "Task Manager" kullanılabilir. 

8.png

Elimizde hafıza dökümü olduğunda ise bu döküm içerisinde şifrenin bulunabilmesi için şifrenin bulunduğu adresin bilinmesi veya şifrenin içerisinde hiç değişmeyen bir verinin bütün hafıza alanında aranması gerekmektedir. Şantajcı zararlı yazılımın kullandığı CTR blok cipher verilerinin tutulduğu yapı şu şekildedir:

9.png
 

Bu yapıda "ctr" elemanında bulun "IV" değeri zararlı yazılımımız da sabit bir değer olduğu için, hafızada bu değer arandığında bizim için gerekli olan "pad" ve "symmetric_key" elemanlarına ulaşmak mümkün olmaktadır. Bu aşamadan sonrası ise bu veriler ile şifreli dosyaların açılabilir. 

Hafıza dökümünden şifreyi bulma ve bu şifre ile dosyayı açma işlemini otomatik olarak gerçekleştirebilmek için KriptoRipper uygulaması tarafımızdan geliştirilmiştir. Eğer şifreleme bitmeden önce prosesin hafıza dökümü alınabildiyse, bu uygulama şifrelenmiş dosyaları açmak için kullanılabilir.

10.png

Zararlı Yazılımı Temizleme:

Şantajcı zararlı yazılımı temizlemek için: 

  • çalışan prosesini durdurma,

  • kayıt defterinde yaptığı ayarları silme

  • oluşturduğu kopya dosyalarını silme

yeterli olacaktır. Fakat zararlı yazılımı temizlemeniz, şifrelenmiş dosyalarınızı kurtarmanıza yardımcı olmayacaktır. Hatta kayıt defterinde bulunan oturum anahtarını şifrelenmiş halini (Encrypted Session Key) silecekseniz, mutlaka bir kopyasını almanızı tavsiye ederim. Bir şekilde, sadece saldırganda olduğunu varsaydığımız gizli anahtara ileride ulaşılabilirse, dosyalarınızı açabilmek için "Encrypted Session Key"'e ihtiyaç duyacaksınız. 

XP, Win7 (Yerel yönetici hakları ile) için kayıt defteri ve dosya yolu: 
  • "HKLM\SOFTWARE\Microsoft\Windows\Currentversion\Run\[Rasgeleİsim]"

  •  "C:\Windows\[Rasgeleİsim].exe" 

Win7 (yerel yönetici hakları yoksa):

  •  "HKCU\SOFTWARE\Microsoft\Windows\Currentversion\Run\[Rasgeleİsim]" 

  • "C:\Programdata\[Rasgeleİsim].exe"

Korunma önlemleri:

1. En önemli ve genel geçer uyarımız: güvenilir kaynaklardan gelmeyen dosyaları kesinlikle açmayın. Özellikle de bu dosyaların uzantıları "exe" ise. Dosyalarda "exe" uzantısını göremiyorsanız, klasör ayarlarınızda, bilinen dosya türleri için uzantıları gösterme ayarını değiştirmenizde fayda olacaktır.

 
11.png

2. Eğer zararlı yazılımı çalıştırdığında dosyalarınız şifrelendiğini fark ederseniz ki bu işlem sisteminizin performansına ve dosyalarınızın çokluğuna göre gayet uzun sürebilir, bilgisayarınızı hızlı bir şekilde uyku (sleep veya hibernate) moduna almanızda fayda olacaktır. Daha sonra yukarıda da açıklandığı üzere, daha hazırlıklı bir şekilde, çalışan zararlı yazılım prosesinin hafıza dökümünü alıp, şifrelenmiş dosyalarınızı geri kurtarmayı KriptoRipper uygulaması ile deneyebilirsiniz.

NOT: KriptoRipper arşiv dosyasının şifresi "SGE", MD5 özeti ise 16A5A2471CB28DF20BFA7E98D76BA0A3 dir. Programı indirmek için tıklayınız .


Favori olarak ekle (2) | Görüntüleme sayısı: 44955

Bu yazıya ilk yorumu yazın

Sadece kayıtlı kullanıcılar yorum yazabilir.
Lütfen sisteme giriş yapın veya kayıt olun.

 
spacer.png, 0 kB
spacer.png, 0 kB
Copyright 2017 TÜBİTAK-BİLGEM. Sitenin teknik altyapısında Joomla kullanılmıştır. Yazar ve site referans gösterilmeden alıntı yapılamaz. Görüşleriniz
spacer.png, 0 kB