Ransomware to termin, który często pojawia się w artykułach na Kapitanie i w całej społeczności Cybersec. Tę odmianę malware wykorzystują organizacje cyberprzestępcze w celu przeprowadzania wyłudzeń okupów od firm i nie tylko. Faktem jest, iż organizacje nie przechodzą już obok niego obojętnie, ponieważ wiedzą, jak duże szkody może wyrządzić i czym może się skończyć atak.
Dzisiaj opiszemy antyransomware, czyli narzędzie do zwalczania ransomware oraz innego złośliwego oprogramowania, które robi to trochę w nietypowy sposób (inny niż systemu do bezpieczeństwa różnej maści).
RansomLord – czyli jak zhakować program do szyfrowania i hakowania danych
RansomLord (wcześniejsza nazwa Malvuln) to narzędzie typu open source, które automatyzuje tworzenie plików PE, służących do wykorzystywania wstępnego szyfrowania systemu ransomware. Jego twórcą jest badacz John Page (aka hyp3rlinx).
Wygenerowane przez RansomLord pliki PE są zapisywane na dysku w katalogach x32 lub x64, z których uruchamiany jest złośliwy program (ransomware).
Celem jest wykorzystanie luk adekwatnych dla niektórych odmian systemu ransomware poprzez wdrożenie exploitów w celu ochrony sieci.
Program ma swoją bazę danych, zawierającą informacje opisujące luki wykryte w rodzinach ransomware, miedzy innymi takimi jak: Conti, REvil, Loki Locker, Black Basta, AvosLocker, LockBit i WannaCry.
Badacz odkrył, iż te i prawdopodobnie inne rodziny ransomware są podatne na przejmowanie bibliotek DLL. Tego typu wady można zwykle wykorzystać do wykonania dowolnego kodu i eskalacji uprawnień poprzez umieszczenie specjalnie spreparowanego pliku w lokalizacji, w której zostałby wykonany przed legalną biblioteką DLL.
W przypadku systemu ransomware osoba atakująca może utworzyć plik DLL o tej samej nazwie co plik DLL, który będzie wyszukiwany i ostatecznie ładowany przez ransomware. jeżeli nowa biblioteka DLL zostanie umieszczona obok pliku wykonywalnego ransomware, zostanie wykonana zamiast złośliwego oprogramowania. Można to wykorzystać do przechwycenia złośliwego systemu i usunięcia go, zanim zdąży zaszyfrować jakiekolwiek pliki.
Biblioteki DLL mogą również zapewniać dodatkową ochronę przed złośliwym oprogramowaniem ogólnym i kradnącym informacje. Dla przykładu biblioteka cryptsp.dll pokonuje piętnaście różnych ransomware: Yanluowang, Conti, LokiLocker, BlueSky, Haron, Thanos, AvosLocker, Meow, BabukLocker, Cerber, Clop, Play, LockerGoga, Jaff, a także RuRansom.
Należy przy tym pamiętać, iż narzędzie RansomLord i jego wyeksportowane biblioteki DLL NIE są złośliwe.
Demo RansomLord
Badacz opublikował także filmy demonstrujące wykorzystanie luk w każdym oprogramowaniu ransomware. Prezentują, iż złośliwe oprogramowanie nie może szyfrować plików, jeżeli specjalnie spreparowany plik DLL zostanie umieszczony w tym samym folderze, co plik wykonywalny ransomware.
Demo poniżej (uwaga – muzyka trochę oldskulowa, więc polecamy wyłączenie dźwięku na początku;))
Tak o swoim narzędziu mówi autor: „Stworzyłem RansomLord, aby pokazać, iż ransomware nie jest niepokonane, ma luki w zabezpieczeniach, a jego twórcy popełniają błędy i potrafią pisać zły kod tak jak wszyscy inni”.
Ostrzega przy tym, iż „wymienione rodziny ransomware i/lub próbki NIE gwarantują pomyślnego wyniku. Wiele czynników może zaburzyć pozytywny wynik: różne warianty, wersje systemu operacyjnego, lokalizacja złośliwego systemu itp. Dlatego należy zachować ostrożność, ponieważ przebieg może się różnić”.
Funkcjonalności RansomLord
Warto przyjrzeć się poniższym cechom narzędzia, które czynią go potężną bronią ofensywną.
- Wykorzystuje taktykę przechwytywania bibliotek DLL często stosowaną przez cyberprzestępców.
- Wdraża exploity w celu ochrony sieci. To nowatorska strategia zwalczania systemu ransomware. Pierwsze publiczne ujawnienie: Lockbit MVID-2022-0572.
- Analizuje luki w oprogramowaniu złośliwym; flaga „-m” odwzorowuje zagrożenia na podatne biblioteki DLL, aby celować w określone zagrożenia, które Twoim zdaniem mogą atakować Twoją organizację lub branżę.
- Jego celem są narzędzia ransomware w celu ujawnienia luk, co może spowodować, iż przeciwnicy będą refaktoryzowali kod w celu załatania luk.
- Oszczędza czas i wysiłek, pomaga wypełnić luki w wiedzy wymagane przy tworzeniu plików PE wykorzystujących luki w oprogramowaniu ransomware.
- Udostępnia dwanaście plików DLL do celów ochrony przed 49 rodzinami systemu ransomware. Sam cryptsp.dll pokonuje piętnaście różnych ransomware: Yanluowang, Conti, LokiLocker, BlueSky, Haron, Thanos, AvosLocker, Meow, BabukLocker, Cerber, Clop, Play, LockerGoga, Jaff i RuRansom.
- Wykorzystuje wysoki odsetek złośliwego systemu będącego ofiarą tego wektora ataku. Trojany i osoby kradnące informacje mogą również zostać pokonane, np. poprzez Emotet MVID-2024-0684.
Podsumowanie
RansomLord jest bezpłatny i dostępny na GitHubie. Warto dodać go do swojego arsenału narzędzi ofensywnych.
Program udowadnia, iż ransomware nie jest idealne, a jego twórcy popełniają błędy jak inni.
Badacz twierdzi, iż narzędzie to może być przydatne w starciach czerwonych drużyn. Tester może na przykład wyszukać urządzenia zawierające złośliwe oprogramowanie i wykorzystać jego luki w zabezpieczeniach, aby zwiększyć uprawnienia.
