Breve Estudo Sobre Ransomwares e Análise Estática/Dinâmica do WannaCry

Os ransomwares são malwares que impedem que o detentor legítimo dos arquivos de acessar seus dados. A liberação dos dados só é efetivada mediante pagamento, normalmente realizado em Bitcoins por não ser rastreável. Esta categoria de malware explora vulnerabilidades específicas do sistema alvo, buscando criptografar recursivamente os dados e bloquear o acesso a eles.

[ Hits: 12.393 ]

Por: Acquila Santos Rocha em 23/07/2019 | Blog: https://www.linkedin.com/in/acquila-santos-rocha-b8305a134/


Prefácio



Os ransomwares são malwares que impedem que o detentor legítimo dos arquivos de acessar seus dados. A liberação dos dados só é efetivada mediante pagamento, normalmente realizado em Bitcoins por não ser rastreável. Esta categoria de malware explora vulnerabilidades específicas do sistema alvo, buscando criptografar recursivamente os dados e bloquear o acesso a eles.

Nos últimos anos, esse assunto ficou em evidência devido ao impacto causado pelo Ransomware WannaCry, em 2017. Esse ransomware possui a particularidade de se espalhar proativa e rapidamente na rede, focando em sistemas com uma falha do protocolo SMB de compartilhamento de arquivos no Windows.

Essa falha permitia a execução de código remoto, ponto do qual malware se aproveitava. O dano econômico do WannaCry, em apenas 4 dias, passou de U$ 1 Bi. Ataques com a utilização de ransomware tem crescido 350% por ano, porém, as formas de prevenção a essa categoria de ataque são relativamente simples.

Para algumas corporações/empresas, o impacto econômico dos ransomwares é considerável, que dependendo do cenário, o sistema não pode parar em momento algum (como hospitais, servidores centrais etc). É importante estudar o funcionamento desta categoria de malware, bem como as formas de prevenção.

Introdução

Vivemos na era da informação, algo completamente diferente de qualquer parte da história da humanidade. Diante desse novo modelo de sociedade, o conceito sobre o que é valioso se transformou. Surgiram tecnologias que revolucionaram a forma com a qual a sociedade funciona e como ela se interage, criando um novo bem valioso para o mundo contemporâneo, a informação.

A informação está presente na nossa realidade de várias formas, seja ela escrita, digitalizada ou até mesmo falada [1]. Com o valor atribuído à informação, ela acaba se tornando alvo de indivíduos mal intencionados, que utilizam de variados métodos para roubar, danificar ou simplesmente obter acesso à informação. Para compreender as possíveis maneiras de nos protegermos, necessitamos primeiro entender como esses indivíduos mal intencionados agem. Para o trabalho em voga, nos limitamos aos Ransomwares.

Os Ransomwares são malwares que bloqueiam o acesso da vítima aos seus arquivos, geralmente através de criptografia. A liberação destes arquivos é só efetivada mediante pagamento, normalmente realizado em Bitcoins devido a não rastreabilidade dessa moeda virtual. Essa categoria de malware explora vulnerabilidades específicas do sistema alvo, buscando criptografar recursivamente os dados e bloquear o acesso a eles.

Nos últimos anos, esse assunto ficou em evidência devido ao impacto causado pelo Ransomware WannaCry em 2017 [2]. Esse ransomware possui a particularidade de se espalhar proativa e rapidamente na rede, focando em sistemas com uma falha do protocolo SMB de compartilhamento de arquivos no Windows. Essa falha permitia a execução de código remoto, ponto do qual malware se aproveitava. O dano econômico do WannaCry, em apenas 4 dias, passou 1 bilhão de dólares [4].

Nos primeiros 6 meses do ano de 2018, foram registradas mais de 181.5 milhões de ocorrências de ataques utilizando ransomware. Ataques com a utilização de ransomware tem crescido 350% por ano [3], porém, as formas de prevenção a essa categoria de ataque são relativamente simples [5].

Para algumas corporações/empresas, o impacto econômico dos ransomwares é considerável visto que, dependendo do cenário, o sistema não pode permanecer inativo por um grande período de tempo, como em hospitais, servidores centrais, entre outros. É importante estudar o funcionamento desta categoria de malware bem como as formas de prevenir a sua ocorrência.

Buscamos informar os profissionais da computação sobre os perigos aos quais estamos expostos, caso não consideremos a segurança um fator delimitante nos projetos e no dia a dia. Percorremos os conceitos básicos sobre criptografia e segurança (vulnerabilidades, infecção, virulência) necessários para o entendimento dos ransomwares. Apresentamos uma análise sobre o WannaCry e através deste estudo estabelecemos os planos e medidas disciplinares cabíveis numa situação cotidiana de trabalho.

Na Seção 2, foi introduzido o conceito de ransomware, bem como identificar seus mecanismos e princípios fundamentais. Na Seção 3, constrói-se uma visão geral sobre as principais formas de transmissão e infecção dessa categoria de ataque. Na Seção 4, foi exemplificado, através de provas de conceito, (PoC - Proof of Concept) o funcionamento geral dos Ransomwares, servindo de base para a análise estática/dinâmica do ransomware WannaCry. FInalmente, na Seção 5, foi colocada a conclusão do trabalho.

    Próxima página

Páginas do artigo
   1. Prefácio
   2. Ransomware
   3. Fatores Históricos
   4. Formas de propagação
   5. Análise WannaCry
   6. Crypto Ransomwares (Prova de Conceito)
   7. Conclusão
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada

Embutindo imagens nos scripts Python para aplicações Tkinter

Introdução ao clib (Command Line Book)

Redes definidas por Software com Mininet e POX - Criando meu primeiro Controlador

Pydev - Preparando o Eclipse para o Python

PEP 8 - Guia de estilo para código Python

  
Comentários
[1] Comentário enviado por cizordj em 25/07/2019 - 08:56h

Meus parabéns pelo artigo, isso me fez refletir sobre como o meu ambiente de trabalho está implementado, mas me surgiu uma dúvida, se usarmos outro protocolo em um ambiente de trabalho que não seja o Samba o ransomware ainda pode se espalhar pela rede? ou isso depende do ransomware?

<---------------------------------------------------------------->
O seu tempo é o único bem que você não recupera

[2] Comentário enviado por acquila em 25/07/2019 - 11:10h


[1] Comentário enviado por Cizordj em 25/07/2019 - 08:56h

Meus parabéns pelo artigo, isso me fez refletir sobre como o meu ambiente de trabalho está implementado, mas me surgiu uma dúvida, se usarmos outro protocolo em um ambiente de trabalho que não seja o Samba o ransomware ainda pode se espalhar pela rede? ou isso depende do ransomware?

&lt;----------------------------------------------------------------&gt;
O seu tempo é o único bem que você não recupera


Obrigado! Cada ransomware explora uma vulnerabilidade específica, de acordo com o objetivo do malware. Se não me engano, todas as versões do Samba a partir da 3.5.0 estão sujeitas a execução de código remoto, possibilitando que um cliente malicioso carregue e execute uma biblioteca através do servidor. Até onde tenho conhecimento em questão de Ransomware, somente o WannaCry explora essa vulnerabilidade, mas posso estar enganado. Os detalhes sobre essa vulnerabilidade podem ser observados nesse link: https://www.samba.org/samba/security/CVE-2017-7494.html

Espero ter ajudado, até mais!


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts