Πριν πολλά χρόνια, τα malware και οι ιοί ξεκίνησαν σαν αστεία, σαν «proof of points», σαν φάρσες. Κάποια έβγαζαν αστεία ASCII μηνύματα, κάποια έκαναν τις οπτικές μονάδες δίσκων να ανοιγοκλείνουν, μετονόμαζαν τα αρχεία μας ή τα έκρυβαν.
Γιάννης Παυλίδης
Presales Engineer, ESET Hellas
www.esetgr.com
Αυτοί οι καιροί έχουν όμως περάσει και πλέον τα malware έχουν μετατραπεί, μεταξύ άλλων, σε ένα τρόπο απόσπασης χρημάτων, με την ειδική κατηγορία των Ransomware. Ένα πρόγραμμα, ένα κομμάτι κώδικα, ένα script, φτιαγμένο ώστε να κρυπτογραφήσει το συντομότερο δυνατόν όσο περισσότερα δεδομένα μπορέσει. Τα malware της κατηγορίας αυτής, θα φροντίσουν έτσι ώστε να αφήσουν πίσω τους μηνύματα επικοινωνίας και οδηγίες πληρωμής των λύτρων. Μόλις ολοκληρώσουν το έργο τους, θα εξαφανίσουν τα ίχνη τους, ώστε να προλάβουν να επιτεθούν σε περισσότερους υπολογιστές πριν τα ανιχνεύσουν τα antivirus που είναι εγκατεστημένα στους υπολογιστές του δικτύου.
Ποιοι βρίσκονται πίσω από αυτά; Hackers, hacktivists, προγραμματιστές, ή απλά script kiddies, δηλαδή κάποιοι «enthusiasts», που πειραματίζονται αγοράζοντας έτοιμα malicious scripts από το Dark Web αποσκοπώντας σε εύκολο χρήμα. Εκεί υπάρχουν έτοιμα εργαλεία σύνθεσης ενός malware, καθώς και έτοιμα εργαλεία εξάπλωσης με διάφορες μεθόδους, όπως τα Exploit kits και το Social Engineering.
Βασιζόμενοι πάνω σε exploits, δηλαδή στις ευπάθειες λειτουργικών και προγραμμάτων καθημερινής χρήσης, οι δημιουργοί τους βρίσκουν τρόπους παρείσφρησης σε μηχανήματα, ώστε να προχωρήσουν σε επιπλέον ενέργειες. Ποτέ δεν πρόκειται για ένα ολοκληρωμένο και αυτούσιο πρόγραμμα. Αντίθετα, είναι κομματάκια κώδικα με σκοπό την εύκολη εισαγωγή στο σύστημα, π.χ. μέσω ενός απλού και μικρού macro μέσα σε ένα αρχείο Word. Αυτό το macro θα ξεκινήσει μία διαδικασία, που συνθέτει επιτόπου scripts και άλλα τμήματα κώδικα, τα οποία μάλιστα χρησιμοποιούν εφαρμογές του συστήματος και συχνά εκτελούν κρυπτογραφημένο κώδικα.
Σχετικά πρόσφατα, στα μέσα Απριλίου, κυκλοφόρησε στη δημοσιότητα η ιστορία του EternalBlue, ένα exploit το οποίο φημολογείται ότι αναπτύχθηκε από την NSA με σκοπό την απομακρυσμένη εκτέλεση οποιουδήποτε κώδικα από έναν υπολογιστή με/σε οποιαδήποτε έκδοση των Windows. Ο κόσμος δεν θορυβήθηκε αρκετά, ίσως γιατί ήταν άλλο ένα exploit από τα πολλά που ήδη υπάρχουν.
Όταν όμως το EternalBlue χρησιμοποιήθηκε, περίπου ένα μήνα μετά, για την εξάπλωση του WannaCry ή WannaCryptor, τότε μάθαμε κάτι πολύ σημαντικό. Πως όταν εμείς μαθαίνουμε ένα σοβαρό κενό ασφαλείας που υπάρχει στα συστήματά μας, το ίδιο μαθαίνουν και οι κυβερνοεγκληματίες. Και αποτελεί και για τις δύο πλευρές μία ευκαιρία. Για εμάς, τους χρήστες, να βελτιώσουμε την προστασίας μας, και στους κυβερνοεγκληματίες για την εξάπλωση σε περισσότερα σημεία.
Το WannaCryptor ευτυχώς δεν έκανε πολύ μεγάλη ζημιά, καθώς εμπεριείχε ένα kill switch, το οποίο ανιχνεύθηκε γρήγορα και σταμάτησε σε παγκόσμιο επίπεδο. Όμως, πρόλαβε και χτύπησε αρκετές εταιρίες, υπηρεσίες, νοσοκομεία και κρυπτογράφησε ευαίσθητα δεδομένα. Όσοι είχαν ήδη μεριμνήσει για το updating των λειτουργικών Windows είχαν εξαλείψει την ευπάθεια του EternalBlue, οπότε δεν είχαν λόγο ανησυχίας. Το exploit είναι τόσο σοβαρό, που η Microsoft εξέδωσε patch μέχρι και για τα Windows XP.
Στην ESET, ανιχνεύαμε ήδη το exploit EternalBlue μέσω της λειτουργίας Network protection που διαθέτουν οι λύσεις Security/Internet Security κι έτσι δεν του δόθηκε καν η ευκαιρία να να εκμεταλλευτεί τη συγκεκριμένη ευπάθεια. Επίσης, το WannaCryptor ανιχνεύθηκε πολύ γρήγορα από το Cloud Malware Protection System της ESET και μέσω του ESET LiveGrid υπήρξε άμεση ενημέρωση για το νέο malware σε παγκόσμιο επίπεδο. Περιγράφοντας το απλοϊκά, κάθε πελάτης/χρήστης/συσκευή που προστατεύεται από ESET client, είναι ταυτόχρονα και ένας «αισθητήρας» ανίχνευσης και αρωγός στο Cloud Malware Protection System της ESET.
Η εικόνα που εμφανιζόταν στα συστήματα που είχαν μολυνθεί από το KillDisk malware το Δεκέμβριο του 2016.
Το CMPS της ESET είναι ένα data center με πολλαπλές μηχανές και τεχνολογίες, όπως Auto-sample analysis, DNA matching, Machine Learning, Sandboxing, Botnet analysis και άλλα, όπου με δυναμική Big Data analysis υπάρχει η δυνατότητα αναλύσεων σε μεγάλη κλίμακα μέσα από την άντληση feeds από όλους αυτούς τους sensors/αισθητήρες. Τα παραπάνω, σε συνδυασμό με τους Αναλυτές Malware της ESET, δίνουν συνεχώς άμεσες και εύστοχες λύσεις στις νεότερες απειλές.
Στην πλευρά του client, κάποιες από τις πολλές λειτουργίες των λύσεων Endpoint αναλαμβάνουν το υπόλοιπο κομμάτι προστασίας, όπως το HIPS, τα Advanced Heuristics με το DNA matching και τέλος, το Advanced Memory Scanner, που εκτελεί behavioral analysis ειδικά για ransomware και κρυπτογραφημένα malware.
Απ’ ότι φαίνεται όμως, η απότομη εξάλειψη του WannaCryptor και οι άμεσες αντιδράσεις των detection engines καθησύχασαν αρκετά τον κόσμο. Έτσι, πολύ σύντομα, η ιστορία επαναλαμβάνεται και πλέον στο στόχαστρο είναι κι άλλα ransomware που χρησιμοποιούν το EternalBlue exploit, όπως το Petya, το οποίο κρυπτογραφεί το MBR του δίσκου και αποτρέπει πλήρως την είσοδο στο σύστημα.
Οι αντιδράσεις της ESET ήταν και πάλι άμεσες, αλλά η ιστορία αυτή θα επαναληφθεί ξανά και ξανά. Με αυτό το exploit, ή κάποιο άλλο, παλαιότερο ή νεότερο.
Σαν Administrators, Security experts ή γενικά υπεύθυνοι ασφάλειας και προστασίας των δεδομένων μας, οφείλουμε να παρακολουθούμε αυτές τις τάσεις και να κάνουμε τα απαραίτητα. Στην περίπτωση αυτή, είναι το updating/patching.
Άλλη μία πολύ σωστή τακτική που εφαρμόζουμε στους πελάτες μας, είναι το hardening των συστημάτων Windows μέσω HIPS rules, το οποίο αφαιρεί τη δυνατότητα μίας μεθόδου scripting μη κοινής χρήσης, π.χ. ένα office macro, από το να ξεκινήσει την αλληλουχία που θέλει ώστε να καταλήξει στο χτίσιμο του κώδικα malware και την επιτόπου εκτέλεση ενός ransomware. Είναι μία αποτελεσματική μέθοδος, η οποία μάλιστα δεν εμποδίζει την καθημερινότητα του χρήστη.
Θεωρώ πολύ σημαντικό όμως το ότι, εφόσον τα περισσότερα ransomware ξεκινούν από ένα document, ή ένα αρχείο text, πρέπει να εκπαιδεύουμε τους χρήστες μας σε αυτό. Είναι το πρώτο βήμα και παράλληλα ο μοναδικός παράγοντας, ο οποίος δεν επιδέχεται patching ή αυτοματοποίηση.