Kompleksowe szkolenie: wprowadzenie do bezpieczeństwa IT od sekuraka z rabatem 50%. Jedyna taka okazja w tym roku. Nie przegap! :-)

Ransomware – zapiski z placu boju.

27 marca 2021, 18:46 | Teksty | komentarzy 11

Zgodnie z zapowiedzią, publikujemy pierwszy artykuł z serii o ransomware. Niniejsza seria artykułów publikowana jest z intencją, aby stała się poradnikiem dla osób, które chcą dowiedzieć się więcej o ransomware, prewencji ransomware-owej oraz prawidłowej obsłudze incydentu, jeśli na prewencję jest już za późno.

Obserwowane incydenty naruszenia bezpieczeństwa systemów informatycznych coraz częściej związane są z oprogramowaniem szyfrującym i wymuszającym okup. W związku z powszechnością tych ataków, w sieci pojawia się również coraz więcej materiałów edukacyjnych na ten temat. Są to materiały różnej jakości, w których czasami (naszym zdaniem) pojawiają się informacje nie do końca prawdziwe, powielające mity, które na koniec dnia wnoszą wartość ujemną nie tylko do do obsługi incydentów, ale również do prewencji ransomware’owej. Negatywnych dla ofiar skutków większości z tych błędów – od prewencji (np. przekonania, że backup wystarczy – bo nie wystarczy), przez obsługę incydentów (restart, skanowanie anty-wiruso-anty-malwarem- bo nie pomoże i uniemożliwi niesienie pomocy przez profesjonalistów) i wielu innych – nie da się odwrócić, ale mamy nadzieję, że seria artykułów na Sekuraku pomoże ich uniknąć.

Nie jest też tak, że publikowane materiały są przez nas wymyślone od początku, ponieważ wiemy lepiej – już dostępne merytorycznie poprawne (naszym zdaniem) poradniki i rekomendacje, opatrzyliśmy własnymi komentarzami, a tam gdzie brakowało treści – po prostu ją dodaliśmy, za zgodą autorów. Tam, gdzie treści nie było lub była niskiej jakości – staramy się faktami z naszej codziennej pracy obalić mity i uzupełnić treść. Będziemy publikować również materiały zagranicznych partnerów – przetłumaczone na język polski i dostosowane do obowiązujących w Polsce przepisów (np. RODO, UoKSC).

Typowe zauważenie ataku ransomwarowego

Organizacje-ofiary zauważają atak ransomware w momencie, w którym jest już za późno – dane, które miały wyciec, już wyciekły, a zasoby organizacji zostały zaszyfrowane. Data pierwszej wiadomości DarkSide nt. wycieku PEKAES, o którym pisaliśmy 25 marca br. – 07 lutego br., a także najpóźniejsza data znaleziona w wycieku – 06 lutego br. – mogą wskazywać, że do wycieku doszło przed 12 lutego, czyli zanim – zgodnie z komunikatem – PEKAES odnotował awarię systemu informatycznego

Nie jest to zaskoczeniem – technika T1486 (MITRE ATT&CK) zaszyfrowanie danych w celu zmuszenia ofiary do określonego działania, dostrzegana jest przez ofiarę zazwyczaj jako pierwsza, chociaż przez sprawców realizowana jest jako ostatni etap ataku. 

Dla większości ofiar, które powiadomiły NCSC, ich priorytetem jest – co zrozumiałe – odzyskanie danych oraz przywrócenie ciągłości działania. Jednak prawdziwym problemem jest to, że ransomware jest najczęściej wyłącznie widocznym objawem znacznie poważniejszego naruszenia sieci, które mogło trwać przez dni, a prawdopodobnie nawet dłużej.
Toby L., brytyjskie National Cyber Security Centre

Trzeba pamiętać, że wcześniej atakujący starają się m.in. zdobyć dostęp do infrastruktury organizacji-ofiary, pozyskać poświadczenia do kolejnych systemów, usiłują rozprzestrzenić się po infrastrukturze (ang. lateral movement), omijają stosowane przez organizację-ofiarę zabezpieczenia, aby możliwe było przeszukanie jej zasobów w celu pozyskania potencjalnie interesujących informacji, a dopiero na ostatnim etapie następuje zaszyfrowanie danych i żądanie okupu za przywrócenie do nich dostępu oraz nieujawnianie faktu, że atak został przeprowadzony skutecznie i doszło do nieuprawnionego pozyskania danych. 

Płacenie okupów

Zazwyczaj systemy i dane przywracane są z backupów, o ile takie istnieją, są więc aktualne i nie zostały uszkodzone, albo są odtwarzane w inny sposób – na przykład po zapłaceniu za odszyfrowanie danych firmom świadczącym takie usługi lub bezpośrednio przestępcom zgodnie z przekazywanymi przez nich wskazówkami. Płacenie okupów może wiązać się z negatywnymi konsekwencjami prawnymi dla ofiar i pośredników, ponieważ istnieje ryzyko naruszenia sankcji, np. amerykańskich lub unijnych, nałożonych na osoby i organizacje działające na szkodę państwa lub grupy państw, czasem wprost na zlecenie wrogich reżimów, o czym w październiku ub. roku przypominał amerykański Office of Foreign Assets Control. Amerykanie wyjaśniają, że ofiary mogą nieświadomie przekazywać środki na rzecz osób objętych lub państw objętych sankcjami, gdzie mogą być wykorzystane do finansowania działań, które są wymierzone przeciwko interesom Stanów Zjednoczonych.

Przeprowadzanie płatności ransomware’owej, jak jest to żądane w wyniku złośliwych cyber przedsięwzięć, może pozwolić przestepcom i adwersarzom powiązanym z podmiotami objętymi sankcjami, czerpanie korzyści z czynów zabronionych. Na przykład, płatność ransomware’owa wykonana na rzecz osób sankcjonowanych osób, albo do całościowo sankcjonowanych jurysdykcji, może być wykorzystana do sponsorowania działań naruszających bezpieczeństwo narodowe oraz politykę zagraniczną Stanów Zjednoczonych. Dodatkowo, płatności ransomware’owe zachęcają cyber-aktorów do przeprowadzania ataków w przyszłości. 

(… ) Z tego powodu, wnioski o przeprowadzenie płatności ransomware’owych, będące wynikiem żadań złośliwych cyber aktywności, będą oceniane przez OFAC indywidualnie z założeniem odmowy. 

Jako działania, z którymi nie jest związane ryzyko naruszenia sankcji, można podejmować próby naprawy uszkodzonych plików, ponieważ oprogramowanie szyfrujące czasami szyfruje tylko ich początek i fragmenty w środku, co pozwala na odtworzenie np. baz danych z niewielkimi stratami. Należy jednak pamiętać, że nie da się naprawić plików, które są zaszyfrowane w całości.

Sukcesy – studium przypadku: UG Kościerzyna

Niezwykle rzadko równolegle z obsługą incydentu, tworzone są ad hoc narzędzia deszyfrujące – aby ofiary nie musiały kupować ich od przestępców. Dzieje się tak zazwyczaj w przypadku mało znanych i słabo przebadanych rodzin ransomware’ów, w których analitycy znajdują podatności w oprogramowaniu szyfrującym, takie jak błędy w autorskiej-przestępczej implementacji kryptografii, pozwalające na alternatywne niż pochodzące od przestępców – uzyskanie klucza deszyfrującego. 

Zdarza się stworzenie narzędzia deszyfrującego, tak jak w przypadku Urzędu Gminy Kościerzyna przez specjalistów Macieja Kotowicza i zespół CERT Polska, choć – aby to było możliwe, poza podatnościami w samym ransomware – niezbędne jest sprawne współdziałanie osób reversujących ransomware z zespołem obsługującym incydent, ponieważ potrzebne są nie tylko złośliwe binarki szyfrujące i ransomnoty, ale również m.in. szczegółowe informacje o uruchomieniu i samej maszynie. 

Napisanie dekryptora na ransomware Mapo, który zaszyfrował zasoby UG Kościerzyna, to nie jest indywidualny sukces poszczególnych specjalistów, tylko sukces grupy wielu osób, z których każda była potrzebna i niezbędna:

  • bez podjęcia przez Wójta Gminy Kościerzyna niepopularnej decyzji o niepłaceniu okupu – pomimo pierwszych informacji, że zespół CERT Polska nie widzi możliwości odszyfrowania plików, cała społeczność samorządowa województwa pomorskiego skupiona wokół pomorskiego Forum Sekretarzy nie poszukiwałaby alternatywnych sposobów przywrócenia dostępu do danych;
  • bez zaangażowania nieustępliwego koordynatora niemożliwa byłaby obsługa incydentu;
  • bez sprawnych działań informatyków śledczych z VS DATA nie udałoby się pozyskać złośliwej binarki, która została przesłana do analizy z CERT Polska i Maćka Kotowicza (wtedy Kaspersky GReAT);
  • bez informacji zwrotnej z UG Kościerzyna nie można byłoby udoskonalić dekryptora tak, aby wyeliminować problem spójności plików, np. bazodanowych, oraz potwierdzić integralności przywracanych danych (czyli poprawność działania dekryptora). 

Warto również dodać, że w obsłudze incydentu w Kościerzynie brali udział specjaliści z innych obszarów, np. bezpieczeństwa (utwardzający infrastrukturę) i pentestów (Securitum), a także dostawcy oprogramowania dziedzinowego (na etapie przywracania ciągłości działania) i wypożyczający serwery (Cisco). 

Stworzony dekryptor pomógł nie tylko UG Kościerzyna, ale również kilku innym podmiotom krajowym, indywidualnym ofiarom, które znajdowały pomoc na forum BleepingComputer oraz np. ofiarom brytyjskim, którym pomagało brytyjskie NCSC, nieznacznie modyfikując polski dekryptor. Powiodło się, pomimo przedwczesnych opinii ekspertów z BleepingComputer, których zdaniem nie można było odszyfrować danych bez zapłacenia okupu:

Unfortunately, there is no known method to decrypt files encrypted by GarrantyDecrypt (Outsider) Ransomware without paying the ransom and obtaining the private keys from the criminals who created the ransomware unless they are leaked or seized & released by authorities. Without the master private RSA key that can be used to decrypt your files, decryption is impossible. That usually means the key is unique (specific) for each victim and generated in a secure way that cannot be brute-forced.
quiteman7 

Granice naszych możliwości

Nasze kung fu kończy się tam, gdzie matematyka, informatyka i fizyka jednoznacznie i bezwzględnie określają granice naszych możliwości obliczeniowych, nie pozostawiając złudzeń – czasami chociaż wiemy, jak coś zrobić, to wiemy również, że jest to niewykonalne z komputerami, które mamy do dyspozycji i nawet gdybyśmy wykorzystali wszystkie zasoby GCP świata to nie policzymy kluczy w skończonym i rozsądnym czasie.

Phobos – fragment kodu odpowiedzialny za generowanie klucza

Czasami, jak na powyższym przykładzie jednego z wariantów Phobosa, sposób generowania klucza szyfrującego pliki jest znany. Znane jest nawet miejsce przechowywania tego klucza, ponieważ często jest on dołączany jako metadane na końcu każdego szyfrowanego pliku. W przypadku Phobosa, szyfrowanie samych plików jest symetryczne, co w dużym uproszczeniu oznacza, że wystarczy zaszyfrować pliki drugi raz tym samym kluczem, aby je przywrócić.

Najczęściej jednak nie można tego klucza szyfrującego wygenerować samemu, ponieważ aby go odgadnąć, należy sprawdzić zbyt dużą liczbę kombinacji wielu zmiennych, nie wiadomo jakie mają lub mogą mieć wartość, co więcej – często nawet nie można ściśle określić zakresu wartości, które one przyjmują, czy szczególnych własności (np. podzielności przez 4 dla PID i TID). Dodatkowo często należy odgadnąć więcej niż jeden klucz szyfrujący pliki, ponieważ klucze rotują, np. w zależności od rozszerzenia lub rozmiaru pliku. 

Zazwyczaj nie można wykorzystać ponownie klucza wyciągniętego z metadanych z końca pliku, ponieważ jest zaszyfrowany i aby go odszyfrować potrzebny jest klucz prywatny przestępców, którego prawie nigdy nie można pozyskać ze złośliwej binarki i konieczne jest zapłacenie okupu. Przestępcy najczęściej odszyfrowują wyłącznie klucze szyfrujące poszczególne pliki i raczej nie przekazują ofierze swojego klucza prywatnego, więc prawdopodobieństwo, że dekryptor (zestaw kluczy) zakupiony przez jedną ofiarę, będzie pozwalał przywrócić (odszyfrować) pliki innej ofiary, jest bardzo niskie. 

Nieodwracalne błędy

Organizacje-ofiary zgłaszają się również do podmiotów odzyskujących dane. Podmioty te nie pomogą jednak odszyfrować danych. Bardzo rzadko zdarza się, że jest to technicznie możliwe, ponieważ oprogramowanie szyfrujące nadpisuje, a nie kopiuje pliki, szyfruje i usuwa pliki źródłowe, które ewentualnie mogłyby być odzyskane. Usuwane są pliki takie jak logi, pliki rejestru, pliki tymczasowe, które zainteresują specjalistów z zakresu informatyki śledczej, a nie samego użytkownika. Jeśli organizacja-ofiara przekazuje firmie odzyskującej dane oryginalne nośniki, dodatkowo zacierane są ślady i obniżana jest jakość (wartość) materiału źródłowego, na którym analizy przeprowadzają później specjaliści z zakresu informatyki śledczej.

Jeśli zebranie dowodów przeprowadzone jest poprawnie, jest to znacznie bardziej pomocne w ustalaniu sprawcy, oraz jest znacznie bardziej prawdopodobne, że zostanie dopuszczone jako dowód w ewentualnym postępowaniu przygotowawczym..

RFC 3227 – Guidelines for Evidence Collection and Archiving 

Oryginał w języku angielskim dostępny na stronach NIST 

Rozpoczęcie obsługi incydentu od końca, czyli od przywracania ciągłości działania organizacji-ofiary, nierzadko poprzedzonego odzyskiwaniem danych, skanowaniem oprogramowaniem anty-wirusowym, anty-malwarowym, czyli działania anty-de-facto-forensicowe, zazwyczaj nie pozwalają przywrócić danych ani wyczyścić oraz utwardzić infrastruktury, a znacząco utrudniają pracę zespołowi obsługującemu incydent, obniżają jakość materiału, na podstawie którego specjaliści z zakresu analizy powłamaniowej rozpoznają ten incydent, jego zasięg i wpływ na organizację. Najczęściej nieumiejętne działania prowadzone intuicyjnie przez organizację-ofiarę są nieodwracalne, znacznie utrudniają i wydłużają proces prawidłowej obsługi incydentu. Z wyczyszczonych komputerów trudno uzyskać wysokiej jakości materiał do dalszych analiz – tracona jest bezpowrotnie zawartość pamięci RAM, usuwane są złośliwe pliki, trudniej analizować logi i rejestry. Bardziej pracochłonne i czasochłonne jest też ustalenie wektora i przebiegu ataku, a także pacjenta zero, którym najczęściej jest końcówka użytkownika/administratora, rzadziej serwer. Można wtedy typować pacjenta zero, ale ustalenie na podstawie wyczyszczonych komputerów ponad wszelką wątpliwość, że to ten komputer i ten użytkownik, bywa po prostu niemożliwe.

Niewłaściwe podejście

Niestety, nawet wśród specjalistów z branży bezpieczeństwa, w tym wśród profesjonalistów zajmujących się bezpieczeństwem systemów Windows i bezpieczeństwem danych, nadal funkcjonuje błędne przekonanie, które jest również powielane w przestrzeni publicznej, że sposobem radzenia sobie z atakami ransomware, jest posiadanie backupów. Należy pamiętać, że posiadanie backupów i procedur backupowych ogranicza jedynie ryzyko związane z brakiem dostępu do danych i ułatwia przywrócenie ciągłości działania. 

Jaką gwarancję ma organizacja-ofiara, że backupy, z których przywracane są zainfekowane systemy oraz końcówki, które podpina do już przywróconej infrastruktury, nie są podatne lub nawet zainfekowane, a sama infrastruktura nie jest skompromitowana? Brytyjskie National Cyber Security Centre twierdzi, że takiej pewności nigdy nie ma i jako przykład podaje organizację-ofiarę, która zapłaciła okup o równowartości ponad 30 mln złotych, przywróciła swoje systemy, ale ani nie przeanalizowała ataku, ani nie utwardziła infrastruktury i w rezultacie ponownie padła ofiarą ataku ransomware’owego. 

Jak dobitnie pokazuje przykład PEKAES-u, atak ransomware angażuje o wiele więcej taktyk i technik, niż tylko zaszyfrowanie danych. Z tego powodu prewencja i obrona przed takim  zagrożeniem powinna być wielowarstwowa i nie bazować wyłącznie na backupach. Przywracanie ciągłości działania jest jednym z ostatnich kroków obsługi incydentu, a posiadanie backupów jest zabezpieczeniem przeciwko ostatniej stosowanej  w ataku ransomware technice: zaszyfrowaniu danych. 

Dla szukających bardziej szczegółowych, wysokiej jakości porad interesujące będą informacje z  poradnika CISA z września 2020 r.  CISA rekomenduje 19 punktów obsługi incydentu ransomware’owego, z których pierwsze trzy są według CISA krytyczne i muszą być wykonane we właściwej kolejności:

1. Określ które systemy są dotknięte i natychmiast je odizoluj.

  • Jeśli wiele systemów lub podsieci wydaje się być dotkniętych, połóż sieć offline na poziomie przełączników. Odłączenie wszystkich systemów pojedynczo może nie być wykonalne podczas incydentu.
  • Jeśli tymczasowe położenie sieci offline nie jest natychmiast możliwe, zlokalizuj kabel sieciowy (np. Ethernet) i odłącz dotknięte urządzenia od sieci lub usuń je z Wi-Fi, aby wyizolować infekcję.
  •  Po początkowej kompromitacji, atakujący mogą monitorować aktywność twojej organizacji lub komunikację, aby zrozumieć czy ich aktywność została wykryta. Upewnij się, że izolujesz systemy w sposób skoordynowany i korzystasz z alternatywnych metod komunikacji, takich jak połączenia telefoniczne lub inne środki, aby uniknąć ujawnienia atakującym, że zostali zdemaskowani i że zostały podjęte środki ograniczające. Nie zastosowanie się do tego może spowodować przemieszczenie się sprawców w celu zabezpieczenia ich dostępu do twojej organizacji-co jest obecnie powszechną taktyką- lub uruchomienie ransomware możliwie szeroko, zanim sieć zostanie położona.

Uwaga: Krok 2 uniemożliwi zachowanie artefaktów infekcji ransomware’m i potencjalnych dowodów przechowywanych w ulotnej pamięci (RAM). Powinien być wykonywany wtedy tylko wtedy, gdy nie jest możliwe tymczasowe wyłączenie sieci lub odłączenie hostów, których dotyczy problem, od sieci w inny sposób.

2. Tylko w przypadku, kiedy nie masz możliwości odłączenia urządzeń od sieci, odłącz je od zasilania, aby uniknąć dalszego rozprzestrzeniania infekcji ransomware.

3. Triaguj zainfekowane systemy na potrzeby przywrócenia i odtworzenia.

  • Zidentyfikuj i priorytetyzuj krytyczne systemy na potrzeby przywrócenia, a także potwierdź charakter danych przechowywanych w dotkniętych systemach.

Nadaj priorytet przywrócenia i odtworzenia w oparciu o predefiniowaną listę krytycznych zasobów, która zawiera informacje o systemach krytycznych dla zdrowia i bezpieczeństwa, generowania zysku, oraz dla innych krytycznych usług, jak również systemów, od których one zależą.

  • Śledź systemy i urządzenia, które nie wydają się być dotknięte, aby można było je depriorytetyzować z przywrócenia i odtwarzania. Umożliwia to organizacji powrotu do w bardziej wydajny sposób.

Parafrazując klasyka – co zrobić? jak żyć?

Zgodnie z Ustawą o Krajowym systemie cyberbezpieczeństwa niektóre organizacje-ofiary o szczególnym statusie mają obowiązek zgłaszania incydentów do właściwych CSIRT (zespołów reagowania) na poziomie krajowym. Dodatkowo na niektóre instytucje inne akty prawne, takie jak np. kodeks postępowania karnego na instytucje państwowe i samorządowe, nakładają obowiązek zawiadomienia o przestępstwie i zabezpieczenia dowodów z nim związanych.

Obowiązek zawiadomienia o przestępstwie dotyczy nie wszystkich przestępstw ściganych z urzędu, ale tylko tych, o których dowiedziały się w związku ze swą działalnością; przestępstwo to musi pozostawać w związku z działalnością danej instytucji, aczkolwiek nie musi być popełnione na jej szkodę.

prof. Ryszard Stefański

Instytucje te mają nie tylko obowiązek zawiadomienia o przestępstwie, ale również zabezpieczenia dowodów:

[Instytucje] są obowiązane niezwłocznie zawiadomić o tym prokuratora lub Policję oraz przedsięwziąć niezbędne czynności do czasu przybycia organu powołanego do ścigania przestępstw lub do czasu wydania przez ten organ stosownego zarządzenia, aby nie dopuścić do zatarcia śladów i dowodów przestępstwa.

– art. 304 §2 KPK

Dodatkowo, Prezes Urzędu Ochrony Danych przypomina, że nawet jeśli nie doszło do wycieku danych osobowych to sam brak dostępu do danych jest również naruszeniem ochrony danych osobowych, za które może zostać nałożona kara. Formularz zgłoszeniowy zawiera szczegółowe pola dotyczące naruszenia danych, a Urząd interesują bardzo szczegółowe dane o zidentyfikowanym złośliwym oprogramowaniu i uiszczaniu okupu przez ofiarę. 

Formularz zgłoszenia naruszenia ochrony danych osobowych

W Polsce zdecydowana większość ofiar ma możliwość zgłoszenia się do zespołu CERT Polska – CSIRT NASK, który jest dla nich CERT-em ostatniej szansy, pod adresem www.incydent.cert.pl

O tym, co powinna zrobić (i czego absolutnie nie powinna robić) ofiara ransomware – opiszemy w kolejnym wpisie.

-as, ks, ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Dziendobry

    VS Data największe laboratorium i najlepsze ?
    Haha, próbują robić studia co roku i nikt się nie zgłasza. Super reklama.

    Odpowiedz
    • GABS

      O jakich studiach mówisz? Osobiście jestem zadowolony ze studiów podyplomowych na AMW „Cyberbezpieczeństwo”.
      Skąd masz informację, że „nikt” się nie zgłasza?

      Odpowiedz
  2. Let’s encrypt

    Jak firma z zabezpieczeniami współpracuje z labem bez SSL na stronie, dziurawym formularzem i wielu innych nie smaczkach ?

    Chyba czas na pentesty XD

    Klękajcie narody. Opinie w necie są jednoznaczne co do tej firmy.

    Odpowiedz
  3. Dobrywieczór

    W tej chwili na AMW trwa VII edycja, na której jest 120 osób.

    Odpowiedz
  4. asdsad

    Sekuraku, piszecie, że „wiecie więcej”… Czy to znaczy, że znacie więcej przypadków zaszyfrowania, niż dostaje się do mediów?
    Czy często firmy zwracają się o pomoc po zaszyfrowaniu? Jakie działania podejmujecie? Zdarzyło się coś rozszyfrować własnym dekoderem albo coś dobrać? Czy raczej tylko zamiatanie po totalnej demolce, w sensie odtworzenie pustego środowiska, ale już bez podatności?

    Odpowiedz
    • Oczywiście że wiemy. Ale: NDA.

      Odpowiedz
      • asdsad

        Nie pytam o nazwy firm. Zanonimizujcie :)

        [no cóż, spodziewam się braku odpowiedzi :) ]

        Odpowiedz
    • as

      Tak. ;-)

      Odpowiedz
  5. Seba

    Wielkie dzięki za artykuł ale kiedy poradnik dla Kowalskiego?

    Jak krok po kroku zabezpieczyć sieć 5-10 komputerów w swojej firemce – windows 7 lub 10 grupa robocza a nie domain…

    Odpowiedz
  6. Marek P., Opole

    Świetny, merytoryczny artykuł. Dzięki!!!

    Odpowiedz

Odpowiedz na Dziendobry