Hoeflertext_NIL_Ransomeware
24.3.2017

Ransomware (ang.) oziroma izsiljevalska programska oprema (virusi) je skoraj prevečkrat slišana beseda, ki jo ponudniki varnostnih rešitev zadnji dve leti dnevno predstavljamo kot največjo grožnjo človeštvu, da bi svoje stranke motivirali za nakup čim boljših varnostnih rešitev. Naj ne bo pomote – grožnja, ki jo izsiljevalski virusi predstavljajo, je še kako resnična, le beseda je že tako obrabljena, da ji običajno ne posvečamo več veliko pozornosti.

Kljub temu pa me je zadnja različica napada, na katero smo naleteli v teh dneh, tako navdušila s svojim načinom distribucije in sposobnostjo izogibanja zaznavi, da sem se odločil o njej pisati. Grožnja je še toliko bolj aktualna, ker smo zaznali njeno širjenje s spletnih strani v Sloveniji.

Kako se okužimo?

S svojim priljubljenim brskalnikom Google Chrome obiščem spletno stran. Stran se prikaže, le črke niso prikazane pravilno. So to kitajske pismenke? Ne, drugačni znaki so. Še dobro, da uporabljam Google Chrome, ki je tako priročen in uporabniku prijazen, da mi takoj ponudi namestitev manjkajoče pisave. Na hitro pregledam ponujeno okno, vse deluje verodostojno, zato ni razloga, da ne bi kliknil na gumb za posodobitev brskalnika. V naslednjem trenutku osuplo ugotavljam, da so moje datoteke zašifrirane, in obžalujem, da nisem ustvarjal varnostnih kopij datotek na računalniku.

Hoeflertext_NIL_Ransomeware

Kako je to sploh mogoče?

Napadalec najprej izbere strežnik, na katerem se nahaja verodostojna spletna stran, in nad njim prevzame nadzor. V konkretnem zaznanem primeru je napadalec izkoristil ranljivost zastarele platforme WordPress. Napadalec nato vsebino spletne strani spremeni tako, da v HTML-kodo vrine kodo JavaScript, ki se izvede v brskalniku in spremeni kodiranje posameznih znakov (pisave) ter s tem popači izpis vsebine. Koda popači vsebino spletne strani le v primeru, če obiskovalec strani uporablja brskalnik Google Chrome. V naslednjem koraku se prikaže pojavno okno, ki uporabnika obvesti o tem, da pisava HoeflerText ni nameščena, in mu ponudi namestitev (ang. »The 'HoeflerText' font wasn't found«). S klikom na gumb za začetek posodobitve (ang. »Update«) uporabnik k sebi prenese izvršljivo datoteko .exe, ki mu obljublja namestitev manjkajoče pisave. V resnici gre za zlonamerno kodo, ki ima lahko poljubne učinke, v konkretnem primeru pa je šlo za  izsiljevalski virus Spora. 

Tipični primer izsiljevalskega virusa pred začetkom šifriranja datotek vzpostavi povezavo s svojim nadzornim strežnikom (ang. command and control server) in se z njim dogovori za ključ, ki kasneje izvede šifriranje datotek. Če virus ključa ne uspe pridobiti, se šifriranje ne izvede. Za tiste, ki poskušamo napade preprečiti, to pomeni dodatno priložnost za preprečitev škode, saj lahko na primer na nivoju požarnih pregrad uspešno blokiramo povratno povezavo do nadzornega strežnika, četudi nam spodleti pri preprečitvi vnosa škodljive kode v omrežje.

Spora je nova vrsta izsiljevalskega programa, ki je bila prvič zaznana v začetku letošnjega leta. Od ostalih sorodnih groženj se razlikuje po tem, da ne proizvede mrežnega prometa in ne vzpostavlja povezave z nadzornim strežnikom. Ključ, ki je potreben za odklepanje zaklenjenih datotek, se ustvari na okuženi delovni postaji, zaklene z javnim ključem izsiljevalca in zapiše v lokalno datoteko. Če se uporabnik odloči, da bo plačal odkupnino, izsiljevalcu poleg dragocenih bitcoinov posreduje tudi datoteko s ključem. Izsiljevalec nato zašifrirani ključ dešifrira s svojim zasebnim ključem in uporabniku posreduje ključ za odklepanje datotek.

Zakaj je napad učinkovit?

Napad je tako učinkovit, ker na uporabnika preži na verodostojni spletni strani, na kateri ga ta ne pričakuje. Uporabnik je spletno stran v preteklosti verjetno že večkrat obiskal in ji zaupa. Pojavno okno pa na prvi pogled deluje avtentično, zato uporabnik težko zazna, da gre za napad. Uporabnik bi lahko postal sumničav, ko ga brskalnik opozori, da je bila datoteka redko prenesena, ker pa gre za verodostojno spletno stran, so tudi naprednejši uporabniki spleta manj pozorni.

Tehnično se je pred grožnjo težko zaščititi, saj pogosto samodejno spreminja obliko. Del kode, ki izvaja šifriranje datotek, je zašifriran in se dešifrira šele med samim izvajanjem. Zaradi tega antivirusni programi zlonamerno kodo zelo težko zaznajo.

Kaj pa peskovniki?

Najnaprednejša oblika zaščite pred zlonamerno kodo, ki jo poznamo danes, so tako imenovani peskovniki (ang. sandbox). Peskovniki so namenske naprave, na katerih v izoliranem okolju tečejo virtualne instance naprav v omrežju (npr. tipski Windows Server 2012). Vsaka nepoznana datoteka, ki jo želimo v peskovniku preveriti, se izvede na virtualni napravi. Na podlagi zaznanih posledic izvedbe datoteke (vzpostavljanje povezav, kreiranje procesov, spreminjanje datotek, spreminjanje ključev v registru ipd.) peskovnik določi, ali gre za zlonamerno datoteko ali ne.

Naprednejše škodljive datoteke pogosto vsebujejo ukaze, ki izvajanje v peskovniku zaznajo. Primer: običajno se v peskovniku za vsako preverjeno datoteko zažene nova instanca virtualne naprave in takoj izvede datoteko. Napadalci so to ugotovili in v škodljivo kodo dodali kontrolo, ki zazna, koliko časa je sistem aktiven. Če je sistem aktiven le nekaj minut, ne izvede šifriranja datotek, zaradi česar peskovnik lahko določi, da datoteka ni škodljiva. Opisana ranljivost je bila seveda odpravljena, vendar so avtorji škodljivih datotek neverjetno iznajdljivi in odkrivajo vedno nove načine zaznavanja izvajanja v peskovniku.

Spora je primer grožnje, ki vsebuje ukaze za zaznavanje peskovnikov, zaradi česar je njeno blokiranje oteženo.

Kdo je žrtev in kdo napadalec?

Pri napadih, v katerih se škodljiva koda širi prek elektronske pošte, je lažje enoznačno določiti napadalca in žrtev napada. V opisanem primeru pa je lastnik spletne strani najprej žrtev napada, po spremembi vsebine spletne strani pa postane napadalec, ki škodljivo kodo posreduje končnim žrtvam. Škoda, ki jo lastnik spletne strani utrpi zaradi upada ugleda pri poslovnih partnerjih in strankah, je pogosto lahko višja od škode, ki jo končne žrtve utrpijo zaradi plačevanja odkupnine napadalcem.

Kako se zaščititi?

Lastniki spletnih strani lahko slednje zaščitijo pred nepooblaščenimi spremembami z rednim posodabljanjem programske opreme in z dodatnimi varnostnimi mehanizmi (požarne pregrade naslednje generacije, Web Application Firewall). V omenjenem primeru spletna stran temelji na platformi WordPress, ki vključuje standardne strani za dostop do administracijskega vmesnika strani. Pri takšnih spletnih straneh je ključni varnostni ukrep ta, da se dostop do administracijskih strani omeji na uporabnike znotraj poslovnega omrežja podjetja. To onemogoči številne avtomatizirane sisteme (bote), ki na spletu poskušajo vsepovprek identificirati razširjene spletne platforme in v njih vdreti prek znanih varnostnih lukenj.

Težje je grožnjo prepoznati na strani uporabnikov, saj so lahko tehnične zaščite pogosto neučinkovite. Uporabniki lahko storijo največ, če so sumničavi tudi do pogosto obiskanih in znanih spletnih strani. Posebno pozornost priporočamo pri delu z izvršljivimi datotekami, še posebej takrat, ko brskalnik opozarja na različne pomanjkljivosti prenesene datoteke (datoteka ni podpisana, je redko prenesena itd.). Na spletu sicer obstajajo brezplačna orodja za analizo datotek v peskovniku, s katerimi lahko uporabnik ugotavlja škodljivost posameznih datotek, vendar pri čedalje višji stopnji sofisticiranosti naprednih groženj ti rezultati niso 100-odstotno zanesljivi. Ko naletite na sumljiv pojav, je najbolje, da poiščete pomoč. Bodisi pri skrbnikih IT-omrežja v svoji organizaciji bodisi pri zunanjih IT-strokovnjakih ali pa na spletu preverite, ali obstaja zapis o reševanju podobnih težav. Že prvi rezultati poizvedbe »HoeflerText« bodo na primer pokazali, da gre za izsiljevalski virus. Najslabše je slepo klikanje na gumbe »Next«, »Yes« in »OK«.

 Varnostno okolje se v zadnjem letu izjemno hitro razvija, zato sta dve od ključnih obramb pred nevarnostmi poznavanje sprememb na tem področju in poznavanje novih oblik napadov na aplikacije in uporabnike.

Napad je najboljša obramba

Ko govorimo o obrambi pred izsiljevalskimi virusi, je napad vaša najboljša obramba. Toda ali imate izdelane procese za protinapad? Ali vsaj obrambo? Pripravili smo vam seznam 10 učinkovitih (in nujnih) ukrepov, s katerimi se boste uspešno zoperstavili izsiljevanju!

PRENESITE SI PRIPOROČILA