مقابله با باج افزارها

بررسی تکنیک های مقابله با جرایم سایبری مبتنی بر باج افزار

جامعه مدرن امروز در حال تبدیل شدن به یک جامعه اطلاعاتی وسیع است. در گذشته کاربران جهت انتقال اطلاعات شخصی خود از ابزارهای ذخیره سازی سنتی همچون هارد دیسک و … بهره می بردند لیکن امروزه محیط های پردازشی و فضای شبکه و همچنین تکنولوژی های ذخیره سازی remote مانند هارد درایو تحت وب و سرویس های مبتنی بر ابر، در شرف توسعه و ادغام هستند. این مساله امکان پردازش big data را فراهم کرده است.

مقابله با باج افزارها
مقابله با باج افزارها

مهمترین المان در برخورد با big data اطمینان از حفظ دیتا بدون هیچ گونه تغییر در آن است، لیکن اطمینان از صحت اطلاعات با توجه به انواع حملات ناشی از جعل اطلاعات که نمونه واضحی از حملات سایبری است، مساله ای چالش برانگیز خواهد بود. امروزه حملات سایبری به ابزاری جهت انتقام جویی، اخاذی و جنگ های سایبری تبدیل شده است، بنابراین جرایم سایبری به نوعی سرویس crime as a service) CaaS) تبدیل شده است. یکی از مهمترین نمونه های این نوع از تهدیدات در فوریه سال ۲۰۱۶ در مرکز مراقبت های پزشکی Hollywood Presbyterian اتفاق افتاد، که در این حمله اطلاعات پزشکی بیماران توسط باج افزار رمزنگاری شده و غیر قابل استفاده شدند. بنابراین با توجه اهمیت موضوع در این مقاله به بررسی تکنیک های مقابله با جرایم سایبری مبتنی بر باج افزار پرداخته شده است.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای ESA را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

بررسی اجمالی باج افزار

باج افزار نوعی Trojan horse است که پس از نفوذ به سیستم فایل ها و منابع، سیستم قربانی را رمزنگاری می کند. اغلب هدف از حملات باج افزارها، مسائل مالی است، عناصر پرداخت با توجه به پیچیدگی بدافزار و ضرورت بازیابی سریع اطلاعات، تعیین می شود. تسلط بر داده و روش پرداخت دو عامل مهم در حملات باج افزارها محسوب می شود. از منظر شیوه های پرداخت، حملات در گروه های پرداخت آنلاین، irregular funding و خریدهای آنلاین قرار می گیرد. در گروه پرداخت های آنلاین، از طریق اکانت های آنلاین با استفاده از PayPal, E-Gold, Bitcoin , Webmoney صورت می گیرد. در گروه irregular funding کاربر مبالغ مالی غیر قانونی را از طریق یک سرویس یا کسب و کار قانونی انتقال می دهد. در گروه بعدی یعنی گروه خریدهای آنلاین، مهاجم قربانی را وادار به خرید کالا از وب سایت های مشخص می کند. در کلیه روش های فوق از پول شویی به منظور استتار منبع مالی بدست آمده، استفاده می شود.
شکل شماره ۱ سرعت رشد باج افزارها و میزان خسارت هر یک را در بازه های زمانی سه ماهه در سال های ۲۰۱۴ و ۲۰۱۵ نمایش می دهد:

شکل شماره ۱

با توجه به اینکه پس از نفوذ باج افزار خطر رمزنگاری فایل ها، قفل سیستم وجود دارد و کاربران، کلیدی جهت بازیابی اطلاعات خود ندارند، علاوه بر این کاربران و آنتی ویروس ها به سختی قادر به شناسایی حملات و فعالیت های باج افزارها هستند، از این رو مهاجمان به سادگی خود را پنهان می کنند و تضمینی جهت بازگشت اطلاعات پس از پرداخت وجود ندارد. این مشکلات مهمترین دلایل اتخاذ رویکرد قاطعانه در برخورد با باج افزارها است.
باج افزارها از حیث عملکرد به دو دستهnon-cryptographic ransomware) NCR) و  CGR تقسیم می شوند. همان طور که در جدول شماره ۱ نمایش داده شده است، NCR برای محدودسازی تعامل میان کاربر و سیستم طراحی شده است و عمل رمزنگاری فایل ها را انجام نمی دهد. این روش ها شامل قفل صفحه و تغییر جدول پارتیشن MBR است، که در نتیجه این نوع حملات کاربر قادر به استفاده از سیستم خود نخواهد بود. CGR با استفاده از رمزنگاری داده ها دسترسی کاربر را به اطلاعات حیاتی محدود می کند. CGR در دستهprivate-key cryptosystem ransomware) PrCR) و public-key cryptosystem ransomware) PuCR)قرار می گیرد. همان گونه که در جدول شماره ۲ نشان داده است، PrCR از الگوریتم های مبتنی بر کلید خصوصی به منظور رمزنگاری دادهها استفاده می کند، در حالی که همانطور که در جدول شماره ۳ نمایش داده شده است، PuCR از الگوریتم های مبتنی بر کلید عمومی به منظور رمزنگاری بهره می گیرند.

جدول شماره ۱

Description Name
This ransomware emerged in 1989, and it is the first ransomware. This ransomware replaced the autoexec.bat file; when an infected system boots 90 times, the ransomware encrypts all of the file names of the root directory. PC CYBORG/AIDS Trojan
This ransomware displays the warning message “Your files and the software will be restricted due to violation of the law,” allegedly from a law enforcement agency, to deceive the user and demands money. This ransomware contains the Pony module. As the most used password stealing module, this module performs the theft feature of the information. This feature is able to restore various types of encrypted passwords as plain-text format. Examples include FTP password, VPN, and e-mail client.. Reveton
This ransomware emerged in 2006, and it generates password-protected zip files based on a commercial zip library without the cryptographic operation. This ransomware is a dll file, so it attaches all running processes and stores original files in the zip files protected by password. CryZip
This ransomware emerged in 2006; it demands funds for business not demanding fees from users. This ransomware generates password-protected compressed files without the cryptographic operation. MayArchive
This ransomware is trying to impersonate anti-malware software, and it displays fake scanning results. Users want to clean them, so they pay money for cleaning Fake AV
This ransomware contains malicious JavaScript code and locks the web browser with it. The locked web browser displays a warning massage containing a phone number, so users pay money to recover it. FastBsod

جدول شماره ۲

Description Name
This ransomware encrypts MS office files, document files, compressed files, video files, and picture files except system files and informs the users that their PCs are infected by generating txt or html file. After that, this ransomware displays the screen for payment. Nevertheless, it does not decrypt files even after money is paid, and an attacker demands more money. CryptoLocker
This ransomware emerged in 2005, and there are a lot of variants. The first version contains only one cryptographic algorithm, but the last version contains the RSA algorithm, which is one of the public key cryptographic algorithms. GPCoder
This ransomware is mobile ransomware, and it impersonates a normal app using iGO icon or flash player on the android platform. When the app is installed, it encrypts all of the files on the smart phone, and it demands money. In this process, the app steals the device information as IMEI; after that, it encrypts stored document files, image files, and video files based on a key as jddlasssadxc322323sfo74hr. Finally, the encrypted files are given an .enc extension, and the original files are erased. SimpleLocker
This ransomware is known as RSA-2048 encryption, but it performs encryption based actually on AES-CBC. This ransomware encrypts files with specific extensions such as .doc, .ppt, .js, and .txt on the fixed drive. TeslaCrypt
This ransomware emerged in 2013, and it encrypts the first 512 bytes of a file based on polyalphabetic substitution. CryptorBit
This ransomware performs encryption based on private key-based cryptographic algorithm. Unlike the other private key-based encryption algorithms, however, it uses parts of files as a key instead of generating the key separately. Trojan.Win32.Filecode

جدول شماره ۳

Description

Name
This ransomware emerged in March 2016, and it is the first ransomware targeting the OS X operating system. This ransomware generates a random number based on RSA, and a private key is stored in the attacker’s server. The AES key is used to combine a generated random number with IV, and it performs encryption based on the generated AES key. After that, it generates a readmetodecrypt.txt file and informs the user of the payment method, which is Bitcoin. KeRanger
This ransomware emerged in April 2014, and it propagates via spam mail, malicious Ads, infected sites, and so on. This ransomware generates a private key based on RSA-2048 and sends it to the server; after that, it encrypts files based on the generated private key. It informs the user that the “Decryption key will be deleted” after a specific period of time in order to pressure the user into paying. CryptoWall

نمونه های حملات اولیه باج افزارها با استفاده از ایمیل و ارسال اسپم صورت گرفت. با توسعه تکنولوژی، باج افزارها گسترش حملاتی مبتنی برSocial networking service) SNS) و پیغامهای تلفنهای هوشمند هستند. همچنین با استفاده از تکنیکهای مهندسی اجتماعی درصدد ایجاد حملاتی با جوامع هدف بزرگتر به منظور تحت تاثیر قرار دادن افراد بیشتری هستند. باتوجه به اینکه توسعه فناوری باج افزار سریعتر از توسعه امنیتی سیستمها به وقوع پیوسته است همواره استفاده از ضعفهای سیستم، به یکی از ابزارهای باج افزارها تبدیل شده است به عنوان مثال حملاتی با استفاده از Internet Explorer و Flash player و حملاتی ترکیبی با distributed denial-of-service) DDoS )، از آن جمله است. در این حملات مهاجم با استفاده از ارتباط با سرورهای command-and-control) C&C ) قصد توسعه حملات را دارد. با توجه با اینکه پرداختها به صورت آنلاین و اغلب بیت کوین صورت میگیرد و هویت مهاجمان فاش نمیشود انتظار میرود حملاتی از این دست توسعه و تنوع بیشتری پیدا کنند.
باج افزارها از تکنیک ها سنتی مانند انتشار کدهای مخرب در سیستم قربانی به منظور انتشار، استفاده می کنند. یکی از معمولترین این روشها از طریق دانلود صفحه وب است، زمانیکه کاربر وبسایت مخربی را باز میکند، باج افزار با استفاده از ضعف سیستم به صورت خودکار در سیستم منتشر میشود. باتوجه به اینکه باج افزارها از تکنیک های سنتی code injection بهره می برند، بنابراین حتی چنانچه قربانی تنها از وبسایت بازدید کند باج افزار در سیستم منتشر میشود.
فرآیند انتشار باج افزار شامل پنج مرحله است:
i. جستجوی قربانی، که باج افزار از طریق اسپم و یا سایر روشها منتشر شده و به شناسایی او می پردازد.
ii. مرحله اجرا، که در آن باج افزار منتشر شده با استفاده از تکنیک های مهندسی اجتماعی بدون آگاهی قربانی، در سیستم او اجرا میشود؛ به عنوان مثال CryptoLocker بصورت آیکون فایلهای PDF نمایش داده شده درحالیکه یک فایل اجرایی است و با کلیک بر آن فایلی نمایش داده نمی شود بلکه باج افزار اجرا شده و شروع به فعالیت می کند. زمانیکه باج افزار اجرا میشود یک Session key و Internal Verification) IV )به منظور ایجاد ارتباط با تهیه کننده حمله ایجاد میشود.
iii. مرحله سوم تولید کلید رمزنگاری فایلها است. در روش رمزنگاری بر مبنای کلید عمومی، باج افزار secret key ای جهت رمزنگاری فایلها تولید و کلید تولید شده بر مبنای کلید عمومی مهاجم رمزنگاری و به او ارسال می شود. سپس مهاجم با استفاده از آن secret key فایلهای قربانی را رمزنگاری میکند. در حالت رمزنگاری بر مبنای کلید خصوصی، باج افزار بر مبنای secret key تولید شده فایلها را رمزنگاری کرده و secret key را از طریق session key تولید شده رمزنگاری کرده و به مهاجم ارسال میکند.
iv. مرحله اصلی رمزنگاری است که در آن باج افزار بر مبنای کلید رمزنگاری تولید شده فایلها را رمزگذاری میکند.
v. نمایش پیغام درخواست پرداخت است. معمولا به صورت یک فایل متنی و یا به صورت یک تصویر در صفحه نمایش قربانی دیده میشود.
 

اقداماتی که در گدشته صورت می گرفت

آنتی ویروس های سنتی از روشهای مبتنی بر امضا به منظور شناسایی و مقابله با بدافزارها استفاده می کنند، به همین علت شناسایی کدهای مخرب جدید در این محصولات مشکل خواهد بود.در عمل شناسایی باج افزارها به دلیل عملیت رمزنگاری پس از اجرا و نصب مشکل است. در این بخش به معرفی اقداماتی که به منظور حل مسایل بیان شده ارایه شده است، پرداخته می شود.
– شناسایی مبتنی بر فایل: این روش بر مبنای شناسایی امضا منحصربفرد برخی اقدامات مخرب در فرمت خاص است( به عنوان مثال فایلهای Portable excutable) PE) ). مزیت این روش شناسایی سریع است لیکن احتمال تشخیص نادرست، عدم شناسایی فرمت های جدید و کدهای مخرب ناشناخته وجود دارد.
– شناسایی مبتنی بر سیستم: در این روش به شناسایی رفتارهای مخرب در یک سیستم پرداخته و همچنین بررسی های یکپارچگی و بلوکه سازی برخی رفتارها نیز صورت میگیرد. بررسی های یکپارچگی به صورت تست دوره ای فایلها به منظور تایید یکپارچگی آنها، با توجه به مقدار هش فایلهای اجرایی و دایرکتوری های یک سیستم پاک صورت می گیرد. بلوکه سازی رفتارهای مخرب، بر مبنای پایش رفتار کل سیستم انجام می شود. بنابراین زمانیکه رفتار مخربی شناسایی می شود، با استفاده از یک آنتی ویروس فرآیند ردیابی و بلوکه می شود.
– روشهای تشخیص مبتنی بر منابع: این روش شامل پایش یک منبع مشخص، به منظور شناسایی رفتارهای مخرب است. منابع هدف پایش شامل میزان مصرف پردازنده و I/O است. شناسایی رفتار مخرب از طریق بررسی اطلاعات منابع در یک سیستم پاک توسط آنتی ویروس و جمع آوری آنها و سپس شناسایی رفتارهایی که مطابق با این الگو نبوده است.
– روشهای شناسایی مبتنی بر ارتباطات: این روش شامل بررسی وضعیت اتصالات است. در باج افزارهای مبتنی بر کلید عمومی، باج افزار یک secret key رمزنگاری از سرور مهاجم مانند C&C دریافت میکند؛ بنابراین باج افزار درصدد برقراری ارتباط با این سرور خواهد بود. چنانچه آنتی ویروس این ارتباطات را شناسایی و مسدود کند، باج افزار امکان ارتباط با سرور و رمزنگاری فایلها را نخواهد داشت زیرا کلید رمزنگاری دریافت نشده است.
– مهندسی معکوس: این روش شامل بازیابی فایلهای رمزنگاری شده و یا کشف کلید ذخیره شده در باج افزار با استفاده از مهندسی معکوس آن است. مزیت این روش در بازیابی فایلهایی است که مورد هجوم باج افزارهایی که آنتی ویروسها قادر به شناسایی آن نبوده اند، است. ایراد بزرگ ایم روش در عدم امکان بازیابی فایلهایی است که حاوی کلید رمزنگاری نیستند.

روشهای پیشنهادی مقابله با باج افزارها

در بخش پیش در ارتباط با مشکلاتی که در مقابله با باج افزارها مطرح است، پرداخته شد. یک روش برای کاهش آسیب ها، بازیابی کلید رمزنگاری است. باج افزار رمزنگاری و رمزگشایی فایلها را براساس یک کلید اشتراکی انجام میدهد، معمولا با توجه به مشکلات پیاده سازی دو کلید از یک کلید مجزا برای رمزنگاری و رمزگشایی استفاده نمیکند. علت این امر مشکلات مهاجمان در مدیریت کلیدهای مختلف در زمان حملات گسترده ایست که تعداد قربانیان بالایی دارد. بنابراین چنانچه یکی از قربانیان با پرداخت مبلغ مورد نظر مهاجم کلید رمزنگاری را دریافت کند، با به اشتراک گذاشتن کلید سایر قربانیان نیز امکان رمزگشایی فایلهای خود را خواهند داشت. برای حل این مشکل تکنیک پیشگیری از طریق کلید پشتیبان ارایه شده است.

مفاهیم و ساختار این رویکرد

مهاجمان برای اجرای حمله باج افزاری موفق ملزم به تامین پیش نیازهایی هستند. اولین مساله وجود یک راه مطمعن جهت ورود به سیستم قربانی است. معمولا افراد با استفاده از نصب آنتی ویروسها از سیستم خود محافظت میکنند، بنابراین سازندگان باج افزار ملزم به استفاده از تکنیک های خاصی مانند zero-day attack و یا استفاده از ضعفهای سیستم به منظور عبور از سیستم های دفاعی هستند. مساله دوم، پس از ورود باج افزار، رمزنگاری فایلها و یا Rootkit، باید بگونه ای که صورت گیرد که آنتی ویروسها قادر به شناسایی آن نباشند. سوم، سازندگان باج افزار معمولا از کدهای ساخت خود و یا از library سیستم عامل به منظور رمزنگاری فایلها استفاده می کنند. الگوریتمی رمزنگاری مهمترین بخش این حمله است. به عنوان مثال الگوریتم های رمزگذاری و رمزگشایی سیستم ها، قابلیت بازیابی کلید در صورت پیاده سازی نارکارآمد رمزنگاری. با توجه با اینکه تامین الزامات براس سازندگان باج افزار مشکل است برخی از آنها جهت اطمینان از cryptography libraries استفاده می کنند. گام نهایی، تعداد کلیدها تولید شده معادل تعداد سیستمهای آلوده خواهد بود، البته سازندگان از یک کلید برای مدیریت ساده کلیدها استفاده می-کنند.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای ESA را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

فرض

در این بخش تمرکز ویژه، بر تامین الزامات مراحل سوم و چهارم بیان شده در مرحله پیش است. همانگونه که پیشتر بیان شد، سازندگان باج افزارها به دلیل اطمینان بالاتر استفاده از cryptography libraries، تمایل به استفاده از آنها در عوض کدهای خود دارند. سیستم های مبتنی بر ویندوز از چندین cryptography libraries تجاری استفاده می کنند و جدیدترین نسخه آن CNG library است که در نسخه های ویندوز ۷، vista و ۸ استفاده شده است. با این فرض باج افزار با استفاده از CNG library و یا دانلود کدهای رمزنگاری از یک سرور خارجی، فایلها را رمزگذاری میکند. از منظر کلید رمزنگاری باج افزار ملزم به تولید یک کلید و یا دریافت کلید از یک سرور خارجی است.
– تولید و ورود توابع مورد نیاز جهت ایجاد کلید: BCryptGenerateSymmetricKey و BCryptGenerateKeyPair توابعی به منظور تولد کلید و BCryptImportKey و BCryptImportKeyPair توابعی به منظور ورود کلید مورد استفاده قرار میگیرد
– رمزنگاری و رمزگشایی:تابع BCryptEncrypt function به منظور رمزگذاری و تابع BCryptDecrypt به منظور رمزگشایی مورد استفاده قرار میگیرد. در این مقاله فرض بر استفاده از CNG library به منظور رمزنگاری استفاده شده است، بنابراین برنامه های مقابله با باج افزار، از کلید تولید شده و تابع ورود کلید پشتیبان گیری کرده و کلید بدست آمده در محلی امن در سیستم قربانی و یا به سرور احراز هویت و یا CA ارسال میشود. چنانچه مراحل تولید کلید و ورود آن اجرا نشوند، در اینصورت باج افزار کلید رمزنگاری را در داخل فایل خود قرار دهد، بنابراین برنامه های مقابله با این قبیل حملات از کلیدها در حین رمزنگاری پشتیبان تهیه می کنند. شکل شماره ۲ ساختار رمزنگاری باج افزار مبتنی بر استفاده ازCNG library نمایش میدهد.
• گام اول: باج افزار نفوذ به سیستم قربانی را آغاز و روند رمزنگاری را آغاز میکند
• گام دوم: باج افزار CNG library را جهت اجرای روند رمزنگاری لود میکند، این مرحله با تولید کلد رمزنگاری ادامه می یابد.
• گام سوم: باج افزار فایلهای سیستم قربانی مانند فرمتهای .JPG و .DOC را رمزنگاری میکند.

 راهکاری مقابله با باج افزارها
ساختار باج افزار در بخش پیشین شرح داده شد. این ساختار بر مبنای استفاده از تابع BCryptGenerateSymmetricKey از CNG library، secret key را تولید و یا با استفاده از تابع BCryptGenerateKeyPair از CNG library یک جفت کلید عمومی خصوصی تولید میشود. راهکارهای مقابله با استفاده از جستجوی CNG library به تهیه فایل پشتیبان از secret key از تابع BCryptGenerateSymmetricKey function و همچنین تهیه پشتیبان از کلید عمومی-خصوصی از تابع BCryptGenerateKeyPair می پردازند. سپس زمانیکه باج افزار کلید رمزنگاری را اجرا کند، کد به دست آمده توسط برنامه های پیشگیری شناسایی میشود. درصورتیکه باج افزار کلیدی تولید نکرده و از کلید داخلی خود استفادذه کند، برنامه ها در حین عملیات رمزنگاری کلید را شناسایی و ذخیره میکنند. به منظور ورود کلید، باج افزار توابع BCryptImportKey در شرایط رمزنگاری بر مبنای secret-key و تابع BCryptImportKeyPair در شرایط رمزنگاری public-key، فراخوانی میکند، بنابراین برنامه ها دسترسی باج افزار به این توابع را در شرایط فراخوانی تابع مسدود میکنند. با این حال چنانچه برنامه های پیشگیری کلید رمزنگاری را در مراحل فوق به دست نیاورند، سعی در کسب آن درحین عملیت رمزنگاری خواهند داشت. شکل شکاره ۳ تکنیک مورد استفاده برنامه های پیشگیری را نمایش میدهد:
• گام اول:در این مرحله نفوذ باج افزار در سیستم قربانی و اجرای عملیات رمزنگاری آغاز شده است، در این مرحله برنامه های پیشگیری اجازه اجرای عملیات رمزنگاری را میدهند و تلاشی برای مسدودسازی آن انجام نمی دهند زیرا امکان تشخیص برنامه های سیستم مانند IE و Outlook از برنامه های باج افزار در این مرحله ممکن نیست.
• گام دوم: زمانیکه باج افزار درصدد تولید کلید و یا ورود آن توابع موجود در CNG library را فراخوانی میشود، در این مرحله کد دریافتی توسط باج افزار وارد فرآیند کنترل و پیشگیری میشود. کلید ایجاد شده در بخش امن ( که میتواند بصورت یک ماژول در آنتی ویروس باشد) نگهداری میشود. کلید استخراج شده که در محلی امن همچون سرورهای احراز هویت و یا CA نگهداری شده .و الگوریتم های مبتنی بر رمزنگاری و یا certificate، به منظور حفاظت از آن استفاده میشود. حال سیستم قربانی با استفاده از این کلید امکان بازیابی فایلهای سیستم را خواهد داشت.
• گام سوم: چنانچه برنامه های پیشگیری کلید رمزنگاری را به دست نیاورند، در طول عملیات رمزنگاری سعی در شناسایی کلید خواهند داشت. که مراحل ذخیره سازی و بازیابی این کلید نیز مطابق گام دوم خواهد بود.

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *