چگونه کارشناسان امنیتی باج افزار را کشف می کنند

Bia2 Host
چگونه کارشناسان امنیتی باج افزار را کشف می کنند

هکرها از باج افزار برای تعقیب هر صنعتی استفاده می کنند. برای بازگرداندن دسترسی به فایل های قربانی. این یک تجارت پرسود است. در شش ماه اول سال ۲۰۲۳، باج افزارهای باج افزار حتی اگر اکثر دولت ها . به طور فزاینده‌ای، متخصصان امنیتی با مجریان قانون گرد هم می‌آیند تا ابزارهای رمزگشایی رایگان را فراهم کنند – فایل‌های قفل شده را آزاد می‌کنند و وسوسه قربانیان را از بین می‌برند.

چند راه اصلی وجود دارد که رمزگشاهای باج‌افزار به ابزارهایی دست می‌یابند: مهندسی معکوس برای اشتباهات، کار با مجریان قانون و جمع‌آوری کلیدهای رمزگذاری در دسترس عموم. طول فرآیند بسته به پیچیدگی کد متفاوت است، اما معمولاً به اطلاعاتی در مورد فایل های رمزگذاری شده، نسخه های رمزگذاری نشده فایل ها و اطلاعات سرور از گروه هک نیاز دارد. Jakub Kroustek، مدیر تحقیقات بدافزار در تجارت آنتی ویروس Avast، گفت: “فقط داشتن فایل رمزگذاری شده خروجی معمولاً بی فایده است. شما به خود نمونه، فایل اجرایی نیاز دارید.”

ابتدا باید بفهمیم که رمزگذاری چگونه کار می کند. برای یک مثال بسیار ابتدایی، فرض کنید یک قطعه داده ممکن است به عنوان یک جمله قابل تشخیص شروع شده باشد، اما زمانی که رمزگذاری شد مانند “J qsfgfs dbut up epht” ظاهر می شود. اگر بدانیم که یکی از کلمات رمزگذاری نشده در “J qsfgfs dbut up epht” قرار است “cats” باشد، می‌توانیم تعیین کنیم که برای دریافت نتیجه رمزگذاری شده چه الگوی روی متن اصلی اعمال شده است. در این مورد، فقط الفبای استاندارد انگلیسی است که هر حرف یک جا به جلو حرکت می کند: A تبدیل به B، B تبدیل به C، و “من گربه ها را به سگ ها ترجیح می دهم” به رشته مزخرفات بالا تبدیل می شود. برای انواع رمزگذاری که توسط گروه‌های باج‌افزار استفاده می‌شود، بسیار پیچیده‌تر است، اما اصل یکسان است. الگوی رمزگذاری به عنوان “کلید” نیز شناخته می شود و با استنباط کلید، محققان می توانند ابزاری ایجاد کنند که بتواند فایل ها را رمزگشایی کند.

برخی از اشکال رمزگذاری، مانند استاندارد رمزگذاری پیشرفته کلیدهای ۱۲۸، ۱۹۲ یا ۲۵۶ بیتی، عملاً غیرقابل شکستن هستند. در پیشرفته‌ترین سطح، بیت‌هایی از داده‌های «متن ساده» رمزگذاری‌نشده، که به تکه‌هایی به نام «بلوک» تقسیم می‌شوند، در ۱۴ دور تبدیل قرار می‌گیرند و سپس به شکل رمزگذاری‌شده – یا «متن رمز» – خروجی می‌شوند. جان کلی، معاون اطلاعات تهدید در شرکت نرم‌افزار امنیتی Trend Micro، می‌گوید: «ما هنوز فناوری محاسبات کوانتومی که بتواند فناوری رمزگذاری را بشکند، نداریم. اما خوشبختانه برای قربانیان، هکرها همیشه از روش های قوی مانند AES برای رمزگذاری فایل ها استفاده نمی کنند.

در حالی که برخی از طرح های رمزنگاری عملا غیرقابل شکستن هستند و هکرهای بی تجربه احتمالاً مرتکب اشتباه می شوند. اگر هکرها از یک طرح استاندارد مانند AES استفاده نکنند و به جای آن تصمیم بگیرند که طرح خود را بسازند، محققان می‌توانند خطاها را جستجو کنند. چرا انها باید این کار را انجام دهند؟ بیشتر منیت Jornt van der Wiel، محقق امنیت سایبری در Kaspersky می‌گوید: «آنها خودشان می‌خواهند کاری را انجام دهند زیرا آن را دوست دارند یا فکر می‌کنند برای اهداف سرعت بهتر است».

برای مثال، در اینجا نحوه رمزگشایی Kaspersky آمده است سویه باج افزار این یک نوع هدفمند بود که شرکت‌های خاصی را هدف گرفت، با لیست ناشناخته‌ای از قربانیان. Yanluowang از رمز جریان Sosemanuk برای رمزگذاری داده ها استفاده کرد: یک فرآیند رایگان برای استفاده که فایل متن ساده را هر بار یک رقم رمزگذاری می کند. سپس، کلید را با استفاده از الگوریتم RSA، نوع دیگری از استاندارد رمزگذاری، رمزگذاری کرد. اما یک نقص در الگو وجود داشت. همانطور که در بالا توضیح داده شد، محققان توانستند متن ساده را با نسخه رمزگذاری شده مقایسه کنند و ابزار رمزگشایی را مهندسی معکوس کنند. . در واقع تن هایی هستند که دارند .

به گفته کروستک، رمزگشاهای باج‌افزار از دانش خود در زمینه مهندسی نرم‌افزار و رمزنگاری برای دریافت کلید باج‌افزار و ایجاد ابزار رمزگشایی استفاده می‌کنند. فرآیندهای رمزنگاری پیشرفته‌تر ممکن است به اجبار بی‌رحمانه یا حدس‌های دقیق بر اساس اطلاعات موجود نیاز داشته باشند. گاهی اوقات هکرها از یک تولید کننده اعداد شبه تصادفی برای ایجاد کلید استفاده می کنند. یک RNG واقعی تصادفی خواهد بود، اما این بدان معناست که به راحتی قابل پیش بینی نیست. یک شبه RNG، همانطور که توسط van der Wiel توضیح داده شده است، ممکن است به یک الگوی موجود تکیه کند تا تصادفی ظاهر شود در حالی که واقعاً اینطور نیست – برای مثال، الگو ممکن است بر اساس زمان ایجاد آن باشد. اگر محققان بخشی از آن را بدانند، می توانند مقادیر زمانی مختلف را تا زمانی که کلید را استنباط کنند، امتحان کنند.

اما دریافت این کلید اغلب به همکاری با مجریان قانون برای به دست آوردن اطلاعات بیشتر در مورد نحوه کار گروه های هک متکی است. اگر محققان بتوانند آدرس IP هکر را دریافت کنند، می توانند از پلیس محلی درخواست کنند تا سرورها را توقیف کند و محتوای آنها را ذخیره کند. به گفته ون در ویل، یا اگر هکرها از یک سرور پراکسی برای پنهان کردن مکان خود استفاده کرده باشند، پلیس ممکن است از تحلیلگرهای ترافیکی مانند NetFlow برای تعیین محل عبور ترافیک و دریافت اطلاعات از آنجا استفاده کند. را این امر را در سراسر مرزهای بین‌المللی ممکن می‌سازد، زیرا به پلیس اجازه می‌دهد تا زمانی که منتظر درخواست رسمی است، فوراً تصویر یک سرور در کشور دیگری را درخواست کند.

سرور اطلاعاتی درباره فعالیت‌های هکر ارائه می‌کند، مانند اینکه چه کسی ممکن است مورد هدف قرار گیرد یا فرآیند آنها برای باج‌گیری. این می‌تواند به رمزگشاهای باج‌افزار فرآیندی را که هکرها برای رمزگذاری داده‌ها، جزئیات کلید رمزگذاری یا دسترسی به فایل‌هایی که می‌تواند به آنها در مهندسی معکوس فرآیند کمک می‌کند، طی کنند، بگوید. محققان گزارش‌های سرور را برای جزئیات بررسی می‌کنند، به همان روشی که ممکن است به دوستتان کمک کنید تا جزئیات را در تاریخ Tinder خود بیابد تا مطمئن شود که آنها درست هستند، و به دنبال سرنخ‌ها یا جزئیاتی در مورد الگوهای مخرب هستند که می‌توانند به کشف مقاصد واقعی کمک کنند. برای مثال، محققان ممکن است بخشی از فایل متنی ساده را کشف کنند تا با فایل رمزگذاری شده مقایسه کنند تا فرآیند مهندسی معکوس کلید را آغاز کنند، یا ممکن است قسمت هایی از شبه RNG را پیدا کنند که بتواند شروع به توضیح الگوی رمزگذاری کند.

کار با یک ابزار رمزگشایی برای باج افزار Babuk Tortilla ایجاد کنید. این نسخه از باج‌افزار مراقبت‌های بهداشتی، تولیدی و زیرساخت‌های ملی، رمزگذاری دستگاه‌های قربانیان و حذف پشتیبان‌های ارزشمند را هدف قرار داده است. Avast قبلاً یک رمزگشای عمومی بابوک ایجاد کرده بود، اما شکست سویه Tortilla دشوار بود. پلیس هلند و سیسکو تالو با هم برای دستگیری فرد پشت فشار همکاری کردند و در این فرآیند به رمزگشای Tortilla دسترسی پیدا کردند.

اما اغلب ساده‌ترین راه برای دستیابی به این ابزارهای رمزگشایی از خود گروه‌های باج‌افزار سرچشمه می‌گیرد. شاید آنها در حال بازنشستگی هستند، یا فقط احساس سخاوتمندی می کنند، اما مهاجمان گاهی اوقات این کار را می کنند . سپس کارشناسان امنیتی می توانند از کلید برای ایجاد یک ابزار رمزگشایی استفاده کرده و آن را برای قربانیان آزاد کنند تا از آینده استفاده کنند.

به طور کلی، متخصصان نمی‌توانند اطلاعات زیادی در مورد این فرآیند بدون ارائه باج‌افزارها به اشتراک بگذارند. اگر اشتباهات رایج خود را فاش کنند، هکرها می توانند از آن برای بهبود تلاش های بعدی باج افزار خود استفاده کنند. اگر محققان به ما بگویند که اکنون روی چه فایل‌های رمزگذاری شده‌ای کار می‌کنند، باندها متوجه می‌شوند که در حال انجام آنها هستند. اما بهترین راه برای جلوگیری از پرداخت، فعال بودن است. Clay می‌گوید: «اگر کار پشتیبان‌گیری از داده‌های خود را به خوبی انجام داده‌اید، شانس بسیار بیشتری برای عدم پرداخت هزینه دارید.

این مقاله در ابتدا در Engadget در https://www.engadget.com/how-security-experts-unravel-ransomware-184531451.html?src=rss ظاهر شد


منبع: https://www.engadget.com/how-security-experts-unravel-ransomware-184531451.html?src=rss

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *