[Ñóúv~éllé~ étúdé~ : étúdé~ súr l~é cóût~ móñd~íál d~és rá~ñçóñg~ícíé~ls. Déc~óúvr~éz cé~ qúé l~és br~éách~és vó~ús có~ûtéñt~.]
[Téléch~árgé~r lé r~áppó~rt]

[Vóús~ ávéz~ été víc~tímé~ d'úñ~é Bré~ách ¿~]

|
[Ñóús~ cóñt~ácté~r]
|
[+1 855 426 3983]
[Blóg~úé]
/
[Cóñf~íñém~éñt d~és rá~ñsóm~wáré~s]

[Démýs~tífí~ér lé~s téc~hñíq~úés d~é ráñ~sómw~áré à l~'áíd~é d'á~ssém~blág~és .Ñé~t : 5 téc~hñíq~úés p~ríñc~ípál~és]

[Mích~áél Á~djéí~]
,
[Íñgéñ~íéúr~ sýst~èmé sé~ñíór~]
[Máý 1, 2023]
[23 míñ. d~é léc~túré~]

[Ráñsómwáré áttácks thrívé óñ évádíñg détéctíóñ áñd théñ éñcrýptíñg dátá óñ á sýstém. Íñ thé áñálýsís áftér á ráñsómwáré áttáck, wé óftéñ réád ábóút hów thé áttáck úséd á cómbíñátíóñ óf dífféréñt týpés óf fílés tógéthér wíth á váríétý óf téchñíqúés.]  

[Só, wh~át dó~és ít~ áll á~ctúá~llý m~éáñ¿~ Íñ th~ís sé~ríés~, wé wí~ll br~éák í~t áll~ dówñ~ úsíñ~g thé~ .Ñét s~óftw~áré f~rámé~wórk~ tó sh~ów hó~w thé~sé cá~pábí~lítí~és óf~ ráñs~ómwá~ré ár~é mád~é pós~síbl~é.]

[Íñ mý prévíóús thréé-párt séríés óñ Málwáré Páýlóáds áñd Béácóñs, thé fócús wás óñ thé Métásplóít Péñétrátíóñ Téstíñg Fráméwórk. Wé úséd íts réádý-mádé métérprétér málwáré páýlóád tó shów váríóús áttáckér téchñíqúés. Thé fírst ártíclé éxámíñéd hów málícíóús cómmúñícátíóñs stárt, thé áttáckér’s íñfrástrúctúré, áñd fóréñsíc áñálýsís óf áñ áttáck. Thé sécóñd ártíclé lóókéd át cátégóríés áñd týpés óf páýlóáds tógéthér wíth sómé íñ-mémórý máñípúlátíóñ téchñíqúés. Thé fíñál párt óf thát séríés fócúséd óñ évásíóñ áñd mítígátíóñ téchñíqúés.]

[Íñ thís séríés, wé wíll créáté óúr ówñ íñdívídúál páýlóád fílés (álsó kñówñ ás ássémblíés) lévérágíñg thé .Ñét sóftwáré fráméwórk bút wíth á fócús óñ ráñsómwáré. Wé sháll bégíñ bý bréákíñg dówñ ráñsómwáré áñd málwáré cápábílítíés íñtó íñdívídúál éxámplé téchñíqúés tó úñdérstáñd hów théý wórk óñ théír ówñ. Sómé óf thésé íñdívídúál téchñíqúés áré últímátélý whát ís cómbíñéd íñtó á síñglé málícíóús ráñsómwáré páýlóád tó óftéñ dévástátíñg éfféct.]

[Téch~ñíqú~é 1: Dów~ñlóá~dérs~, dróp~pérs~, áñd l~óádé~rs]

[Wé stárt óff bý lóókíñg át hów ráñsómwáré ór málwáré cáñ cóññéct óút fróm áñ íñféctéd ñétwórk. Thís ís thé ábílítý tó cóññéct tó á rémóté sýstém, dówñlóád áddítíóñál páýlóáds, dróp ít óñ thé cómprómíséd sýstém, áñd rúñ ít (í.é., hávé ít lóádéd íñtó mémórý).]

[Béló~w ís á~ñ éxá~mplé~ óf á .Ñ~ét có~mmáñ~d líñ~é (cóñ~sólé~) áppl~ícát~íóñ w~hích~:]

  • [Ácts~ ás á d~ówñl~óádé~r bý d~ówñl~óádí~ñg áñ~óthé~r rém~óté é~xécú~tábl~é ápp~lícá~tíóñ~ (pútt~ý.éxé~) fróm~ thé Í~ñtér~ñét]
  • [Dróp~s thé~ dówñ~lóád~éd áp~plíc~átíó~ñ íñt~ó á té~mp fó~ldér~ óñ dí~sk óñ~ thé c~ómpú~tér]
  • [Réñá~més t~hé áp~plíc~átíó~ñ tó p~úttý~_ñéw~.éxé‍]
  • [Áútó~mátí~cáll~ý rúñ~s thé~ dówñ~lóád~éd áp~plíc~átíó~ñ óñ t~hé có~mpút~ér só~ ít ís~ lóád~éd íñ~tó mé~mórý~]

[Whéñ páýlóád stágíñg ís úséd, whích méáñs hávíñg múltíplé málícíóús fílés dóíñg dífféréñt thíñgs, thé Stágér (íñítíál smáll páýlóád) máý bécómé bóth thé dówñlóádér áñd álsó, lóósélý, thé dróppér fór thé Stágé (máíñ lárgér páýlóád). Ít cóúld álsó bé thé stágé’s lóádér. Thé téchñíqúés émplóýéd wíll dépéñd óñ thé thréát áctór’s ásséssméñt óf thé rísk óf détéctíóñ álsó kñówñ ás ópérátíóñál sécúrítý cóñsídérátíóñs.]

dówñlóádér ís réspóñsíblé fór púllíñg dówñ á páýlóád fróm á rémóté sóúrcé súch ás á wéb sérvér ór FTP sérvér. Thís ís úsúállý óvér thé Íñtérñét. Á dówñlóádér wíll théréfóré réqúíré thát sómé ñétwórk cóññéctíóñ bé áttémptéd íñ órdér tó réách thé rémóté sóúrcé.]

dróppér, óñ thé óthér háñd, ís prímárílý réspóñsíblé fór délívéríñg ór dróppíñg á páýlóád óñtó á víctím sýstém. Théréfóré, á dówñlóádér cáñ álsó bé á dróppér, bút á dróppér máý ñót ñécéssárílý bé á dówñlóádér bécáúsé á dróppér máý álréádý hávé thé málícíóús páýlóád émbéddéd íñ ít ás pórtáblé éxécútáblé (PÉ) fílés ór DLLs. Thésé fílé týpés wíll bé díscússéd látér. Dróppérs áré cómmóñlý úséd íñ áttácks; pópúlár éxámplés béíñg thé Sólárwíñds áñd Káséýá súpplý cháíñ áttácks. Bóth íñvólvéd thé úsé óf cómprómíséd súpplíér ágéñt sóftwáré úséd ás dróppérs fór málícíóús páýlóáds. Thé láttér béíñg úséd bý thé RÉvíl ráñsómwáré gróúp.]

lóádér ís réspóñsíblé fór séttíñg úp thé víctím sýstém tó rúñ áñóthér málícíóús páýlóád, éspécíállý íñ thé cásé óf mémórý-óñlý páýlóáds. Héré, séttíñg úp méáñs éñsúríñg thé ñécéssárý mémórý spácé állócátíóñ óftéñ víá íñjéctíñg á DLL íñtó áñóthér prócéss’s mémórý spácé, théñ séttíñg úp thé ríght mémórý pérmíssíóñs. Thé lóádér théñ láúñchés thé páýlóád ór éxécútés thé ñécéssárý thréáds.]

[Téch~ñíqú~é 2: ÉXÉ~ lóád~íñg á~ DLL f~ílé]

[Ráñs~ómwá~ré pá~ýlóá~ds cá~ñ bé í~ñ thé~ fórm~ óf áñ~ ÉXÉ f~ílé ó~r á DL~L fíl~é. Ñéx~t, wé l~óók á~t hów~ á Wíñ~dóws~ éxéc~útáb~lé fí~lé, ál~só kñ~ówñ á~s áñ É~XÉ fí~lé, cá~ñ lóá~d whá~t ís k~ñówñ~ ás á d~ýñám~íc lí~ñk lí~brár~ý (DLL~) fílé~ tó lé~vérá~gé th~é cód~é ít c~óñtá~íñs.]

[ÉXÉ áñd á DLL áré twó týpés óf .Ñét ássémblíés whích cóñtáíñ cómpútér prógrámmíñg códé íñstrúctíóñs áñd ássócíátéd íñfórmátíóñ (métádátá). Thésé íñstrúctíóñs áñd métádátá áré ássémbléd tógéthér íñtó á síñglé résúltíñg fílé – ÉXÉ ór DLL .Ñét ássémblý. Thésé twó týpés óf fílés állów cómpútér prógrámmíñg códé tó bé éxécútéd (ÉXÉ) óñ á Wíñdóws sýstém ór stóréd ás á líbrárý fílé (DLL) whích cáñ théñ bé ‘bórrówéd’ áñd réád bý óthér fílés. Íñ thé cásé óf á DLL, thís prócéss ís múch líké hów múltíplé péóplé cáñ bórrów thé sámé bóók fróm á líbrárý át dífféréñt tímés tó réád íts cóñtéñts. Íñ thé sécóñd párt óf thís séríés, wé wíll éxplóré thésé twó ássémblíés íñ móré détáíl íñ rélátíóñ tó thé .Ñét. sóftwáré fráméwórk.]

[Fór ñów, héré ís á vérý símplé éxámplé tó démóñstráté thé úsé óf thésé twó týpés óf .Ñét ássémblíés – áñ éxécútáblé (ÉXÉ) whích éxécútés íts ówñ códé áñd théñ góés óñ tó lóád áñd réád éxtérñál códé fróm á DLL fílé. Thé éxécútáblé théñ pássés sómé íñpút íñtó thé lóádéd DLL códé. Fíñállý, thé DLL úsés thé íñpút récéívéd fróm thé ÉXÉ tó díspláý á mésságé báck tó thé úsér whó rúñ thé ápplícátíóñ. Bélów ís thé códé íñ áctíóñ:]

[Thís símplé ápplícátíóñ álsó démóñstrátés thé rélátíóñshíp bétwééñ ÉXÉ áñd á DLL .Ñét ássémblíés. Thís týpé óf rélátíóñshíp ís úséd légítímátélý bý máñý ápplícátíóñs áñd ópérátíñg sýstéms (sháréd líbráríés), íñclúdíñg thé Wíñdóws ópérátíñg sýstém ítsélf. Wíñdóws páckágés á lót óf íts ówñ códé ás DLLs só thát ít cáñ bé sháréd bý dífféréñt ápplícátíóñs.]

[Thé ímágé bélów shóws thé prógrámmíñg códé fór bóth thé ÉXÉ áñd DLL íñ thé éárlíér éxámplé. Thé códé ís wríttéñ úsíñg thé C# prógrámmíñg láñgúágé whích ís óñé óf thé láñgúágés súppórtéd bý .Ñét. Íñ thé ímágé, thé DLL códé référéñcés áré híghlíghtéd fór émphásís:]

[DLLs áré áñ éfféctívé méáñs óf wrítíñg á píécé óf códé óñcé íñ á wáý thát cáñ théñ bé úséd máñý tímés bý dífféréñt éxécútáblés ás á sháréd ór dýñámíc líbrárý. Ás á résúlt óf thís, ít ís álsó héávílý úséd bý máñý málwáré áñd ráñsómwáré fámílíés. Téchñíqúés súch ás DLL Sídé Lóádíñg áñd DLL Híjáckíñg áré cómmóñ málícíóús téchñíqúés whích lévérágés thé rélátíóñshíp bétwééñ thésé .Ñét ássémblíés.]

[Téch~ñíqú~é 3: Réc~óñ áñ~d láú~ñchí~ñg lí~víñg~ óff t~hé lá~ñd bí~ñárí~és‍]

[Wé cóñtíñúé wíth á cómbíñátíóñ óf ímpórtáñt téchñíqúés: thé ábílítý tó gáthér úséfúl íñfórmátíóñ ábóút á tárgét sýstém (Díscóvérý) áñd át thé sámé tímé láúñch óthér bíñáríés ór éxécútáblés óñ thát sýstém (Spáwñíñg). Íñ thé ímágé héré, óúr íñítíál cústóm éxécútáblé láúñchés á ñátívé éxécútáblé ór bíñárý óñ thé tárgét Wíñdóws sýstém, shówíñg á lívíñg óff thé láñd (LótL) áttáck.]

[Thé éxámplé shóws óúr íñítíál C# ápplícátíóñ rúññíñg áñd théñ prócéédíñg tó gáthér sómé úséfúl íñfórmátíóñ ábóút thé tárgét sýstém, shówñ bý thé grééñ téxt íñ thé óútpút. Ñótícé thé drívé íñfórmátíóñ thát ís gáthéréd. Thís íñfórmátíóñ cáñ bé lévérágéd bý ráñsómwáré tó tárgét fílés óñ thésé drívés áñd théñ bé éxfíltrátéd béfóré éñcrýptíóñ fór á úsúállý héftý ráñsóm démáñd.]

[Thé ápplícátíóñ cóñtíñúés bý láúñchíñg áñ éxtérñál sýstém éxécútáblé – thé Wíñdóws cómmáñd prómpt (cmd.éxé) éxécútáblé. Thé cústóm ápplícátíóñ théñ pássés sómé Wíñdóws cómmáñds tó thé Wíñdóws cmd.éxé prócéss tó díspláý (shówñ íñ réd téxt), íñ thís cásé vérsíóñ íñfórmátíóñ óf thé Wíñdóws sýstém. Fór thé béñéfít óf thís ártíclé, thé cústóm C# ápplícátíóñ díspláýs thé óútpút óf thé áctíóñs ít pérfórms ás wéll ás íñfórmátíóñ ábóút thé láúñchéd prócéss. Thís ábílítý tó láúñch óthér éxtérñál ápplícátíóñs ís álsó úséfúl fór stártíñg víctím prócéssés tó évéñtúállý íñjéct málícíóús códé íñtó.]

[‍Téch~ñíqú~é 4: Dát~á éñc~ódíñ~g‍]

[Áñóthér úséfúl téchñíqúé ís dátá éñcódíñg. Thís ís thé prócéss óf úsíñg áñ álgóríthm tó répréséñt dátá íñ á dífféréñt fórm. Fór éxámplé, óñé týpé óf éñcódíñg, básé64, ís légítímátélý úséd íñ sómé wéb réqúésts tó páss dátá báck áñd fórth súch ás HTTP áúthórízátíóñ áñd básíc áúthéñtícátíóñ íñ ÁPÍ cálls. Hówévér, thé sámé básé64 éñcódíñg éxámplé cáñ álsó hélp tó hídé cértáíñ téxt áñd cómmáñds úséd bý á málícíóús prógrám ór páýlóád. Ít cáñ bé úséd tó óbfúscáté párts óf códé súch ás cállbáck ÚRLs ór á fílé. Súch á téchñíqúé ís shówñ bélów íñ óúr stáñdálóñé C# prógrám.]

[Íñ thís spécífíc ápp éxámplé, thé códé tákés sómé téxt whích íñ thís cásé ís thé ÚRL  “https://lístéñér.málwáré.bád”, cóñvérts ít tó áñ árráý óf cómpútér býtés, áñd théñ rúñs thé básé64 éñcódíñg álgóríthm óñ thé býtés tó cóñvért ít tó thé álphá-ñúméríc ÁSCÍÍ téxt óf “áHR0cHM6Lý9sáXÑ0ZW5lcí5tÝWx3ÝXJlLmJhZÁ==” shówñ úñdér thé éñcódér séctíóñ óf thé ápplícátíóñ díspláý ábóvé. Thís prócéss cáñ bé prógrámmátícállý révérséd tó gét báck thé órígíñál téxt ás shówñ íñ thé décódér séctíóñ. Íñ só dóíñg, thé ÚRL ís híddéñ íñ pláíñ síght áñd cáññót bé ímmédíátélý détérmíñéd fór whát ít ís – á málícíóús ÚRL.]

[‍Téch~ñíqú~é 5: Éñc~rýpt~íóñ‍]

[Fíñállý, wé lóók át éñcrýptíóñ. Éñcrýptíñg fílés óñ á cómprómíséd sýstém ís whát ráñsómwáré hás bécómé sýñóñýmóús wíth. Thís ágáíñ ís á légítímáté cápábílítý fór sécúríñg dátá át rést whích, líké móst óf thé óthér téchñíqúés, hás cómé tó bé úséd fór málícíóús púrpósés íñ ráñsómwáré.]

[Dáñs~ l'éx~émpl~é cí-d~éssó~ús, ñó~ús áv~óñs ú~ñé áp~plíc~átíó~ñ dé c~híff~rémé~ñt C#. Í~l fáí~t d'á~bórd~ úñé c~ópíé~ dú fí~chíé~r dés~tíñé á~ú crý~ptág~é, púí~s chí~ffré~ lá có~píé é~ñ láí~ssáñ~t l'ó~rígí~ñál í~ñtác~t.]

[Ící, l~é cóñ~téñú~ óríg~íñál~ dú fí~chíé~r d'ó~rígí~ñé, Dá~tá1.tx~t, sóñ~t cóp~íés dá~ñs úñ~ áútr~é fíc~híér~, Dátá~1-Éñcr~ýpté~d.txt~, púís~ cé ñó~úvéá~ú fíc~híér~ ést c~híff~ré.]

[Lé chíffréméñt ést l'úñé dés príñcípálés téchñíqúés útílíséés pár lés ráñçóñgícíéls ét cóñstítúé lá básé dé lá détéñtíóñ dé sýstèmés cómprómís cóñtré ráñçóñ. Íl péút égáléméñt êtré útílé póúr másqúér lés chárgés útílés óú lés chárgéúrs dé lógícíéls málvéílláñts éñ tráñsít óú áú répós áfíñ d'écháppér à lá détéctíóñ.]

[Lísé~z lá d~éúxí~èmé pá~rtíé~ dé lá~ séríé~ lé 22 má~í]

[Lé pr~óchá~íñ ár~tícl~é éxp~lóré~rá lé~s .Ñét~ cádr~é lóg~ícíé~l ét l~áñgá~gé dé~ próg~rámm~átíó~ñ C# ás~sócí~é cómm~é référ~éñcé~ póúr~ cért~áíñé~s dés~ táct~íqúé~s ét t~échñ~íqúé~s prés~éñtéé~s ící~ ét có~mméñ~t éll~és só~ñt fí~ñálé~méñt~ fácí~lítéé~s.]

[Éñ sá~vóír~ plús~ súr l~á fáçó~ñ dóñ~t Íll~úmíó~ Zéró~ Trús~t Ség~méñt~átíó~ñ péú~t vóú~s áíd~ér à có~ñtéñ~ír lé~s víó~látí~óñs d~é ráñ~çóñgí~cíél~s.
]

[Sújé~ts có~ññéx~és]

[Áúcú~ñ árt~íclé~ ñ'á ét~é tróú~vé.]

[Ártí~clés~ cóññ~éxés~]

[Lés r~áñçóñ~gící~éls f~óñt m~ál : vó~ící c~ómmé~ñt Zé~ró Tr~úst p~éút á~ídér~ à áttéñ~úér l~és rí~sqúé~s]
[Cóñf~íñém~éñt d~és rá~ñsóm~wáré~s]

[Lés r~áñçóñ~gící~éls f~óñt m~ál : vó~ící c~ómmé~ñt Zé~ró Tr~úst p~éút á~ídér~ à áttéñ~úér l~és rí~sqúé~s]

[Cómm~éñt l~á ség~méñt~átíó~ñ Zér~ó Trú~st d'~Íllú~míó, b~áséé s~úr úñ~é vís~íbíl~íté có~mplèt~é, péú~t cóñ~tríb~úér à á~ttéñú~ér lé~s rís~qúés~ líés á~úx rá~ñçóñg~ícíé~ls.]

[Éñ sá~vóír~ plús~]
[Ráñs~ómwá~ré : có~mméñ~t lés~ pétí~tés é~t móý~éññé~s éñt~répr~ísés~ péúv~éñt á~rrêté~r sá p~rópá~gátí~óñ]
[Cóñf~íñém~éñt d~és rá~ñsóm~wáré~s]

[Ráñs~ómwá~ré : có~mméñ~t lés~ pétí~tés é~t móý~éññé~s éñt~répr~ísés~ péúv~éñt á~rrêté~r sá p~rópá~gátí~óñ]

[Éñ sá~vóír~ plús~]
[Qúé f~áíré~ éñ cá~s dé c~ýbér~íñcí~déñt~ : répóñ~sé té~chñí~qúé]
[Cóñf~íñém~éñt d~és rá~ñsóm~wáré~s]

[Qúé f~áíré~ éñ cá~s dé c~ýbér~íñcí~déñt~ : répóñ~sé té~chñí~qúé]

[Éñ sá~vóír~ plús~]
[Chár~gés ú~tílé~s ét b~álís~és má~lvéí~lláñ~tés : t~ýpés~ dé ch~árgé~s útí~lés m~álvé~íllá~ñtés~]
[Cýbé~r-résí~líéñ~cé]

[Chár~gés ú~tílé~s ét b~álís~és má~lvéí~lláñ~tés : t~ýpés~ dé ch~árgé~s útí~lés m~álvé~íllá~ñtés~]

[Cómp~réñd~ré lé~s díf~féréñ~ts tý~pés d~é chá~rgés~ útíl~és ét~ éxám~íñér~ úñ éx~émpl~é dé c~ódé m~álvé~íllá~ñt qú~'íls~ péúv~éñt ú~tílí~sér.]

[Éñ sá~vóír~ plús~]
[Chár~gés ú~tílé~s ét b~álís~és má~lvéí~lláñ~tés : c~ómmé~ñt dém~árré~ñt lé~s cóm~múñí~cátí~óñs m~álvé~íllá~ñtés~]
[Cýbé~r-résí~líéñ~cé]

[Chár~gés ú~tílé~s ét b~álís~és má~lvéí~lláñ~tés : c~ómmé~ñt dém~árré~ñt lé~s cóm~múñí~cátí~óñs m~álvé~íllá~ñtés~]

[Lés b~álís~és dé~ próg~rámm~és má~lvéí~lláñ~ts pé~rmét~téñt~ à úñ át~táqú~áñt d~'éxéc~útér~ úñ pr~ógrá~mmé m~álvé~íllá~ñt pá~r lé b~íáís~ d'úñ~ scrí~pt. Lé~s réc~óññá~îtré p~érmé~t dé d~évéló~ppér~ dés s~trát~égíés~ dé dét~éctí~óñ ét~ dé có~ñfíñ~éméñ~t.]

[Éñ sá~vóír~ plús~]
[Chár~gés ú~tílé~s ét b~álís~és dé~ málw~árés~ : téch~ñíqú~és pó~úr át~téñúé~r l'í~mpác~t]
[Cýbé~r-résí~líéñ~cé]

[Chár~gés ú~tílé~s ét b~álís~és dé~ málw~árés~ : téch~ñíqú~és pó~úr át~téñúé~r l'í~mpác~t]

[Dáñs~ lá dé~rñíèr~é pár~tíé d~é cét~té sér~íé, ñó~ús ñó~ús có~ñcéñ~tróñ~s súr~ cért~áíñé~s téc~hñíq~úés d~'óbf~úscá~tíóñ~ útíl~íséés~ póúr~ másq~úér l~és ch~árgé~s útí~lés d~és má~lwár~és ét~ éxám~íñóñ~s lés~ téch~ñíqú~és d'~áttéñ~úátí~óñ qú~é lés~ éñtr~éprí~sés p~éúvé~ñt út~ílís~ér.]

[Éñ sá~vóír~ plús~]

[Ássú~mé Br~éách~.
Míñí~mísé~z l'í~mpác~t.
Áúg~méñt~éz lá~ résíl~íéñc~é.]

[Vóús~ sóúh~áíté~z éñ s~ávóí~r plú~s súr~ lá sé~gméñ~tátí~óñ Zé~ró Tr~úst ¿~]

[Éñ sá~vóír~ plús~]