Hlavní navigace

Analýza napadení ransomware: stačí otevřený port RDP a slabé heslo

Redakce

Počátkem letošního roku byl proveden útok ransomwaru na Windows servery několika desítek firem. Situace byla vždy hodně podobná, ráno se začali ozývat uživatelé, že počítačové systémy jsou nedostupné.

Autor článku je linuxový nadšenec, který se dlouhodobě věnuje bezpečnosti počítačových systémů a bezpečnosti na internetu. Autor si kvůli svému zaměstnání přál zůstat v anonymitě, redakce jeho identitu zná.

Jak probíhalo napadení

Povolaní administrátoři systémů následně zjistili, že veškeré soubory jako dokumenty, obrázky, pdf, txt, rar, zip, kupodivu i exe, atd. ve všech adresářích (mimo adresáře Windows), včetně všech připojených síťových jednotek, jsou zašifrované. Protože většina administrátorů neodpojovala zálohovací zařízení, došlo i na zašifrování záloh. Koncovka upravených souborů se u každé napadené firmy lišila. Někde byla náhodně vygenerovaná, někde měla podobu .wallet. Na ploše serveru Windows bylo upozornění podobného znění:

ALL YOUR IMPORTANT FILES ARE ENCRYPTED. For more information, open the file „HOW TO DECRYPT FILES.html“ on the desktop or any other folder with encrypted files.

Tento soubor dále obsahoval kontaktní e-mail umístěný na nějaké exotické doméně (india.com, asia.com a další) a číslo bitcoinové peněženky, pro každý útok jedinečné. Při rozhovoru s administrátory těchto napadených systémů většina tvrdila, že jediný způsob, jak jejich systémy mohly být napadeny, byl přes e-mail. Incident se prý odehrál tak, že sekretářka otevřela zavirovaný e-mail a neštěstí bylo na světě. Bohužel, skutečnost byla jiná. Společným jmenovatelem asi 15 napadených serverů, které jsem měl možnost analyzovat, byl operační systém MS Windows ve verzích 2008, 2008R2, 2012 Server a Small Business Server. Dále byla spuštěna vzdálená plocha RDP na portu 3389.

Některé napadené firmy se pokusily kontaktovat útočníka na uvedeném e-mailu. Komunikace probíhala vždy v angličtině a vždy byla krátká, proto z ní nelze určit, zda angličtina je rodným jazykem útočníka. Reakční doba na e-mail byla vždy hodinu až dvě. Částka v bitcoinech byla různá, od 2 do 4 bitcoinů. Jedna z napadených firem dokázala usmlouvat částku za dešifrování souborů na 0,8 bitcoinu. Zaplatit či nezaplatit, je věčné dilema. Obecně je doporučováno neplatit a tím nepodporovat autory malwaru. Bohužel, pro některé firmy byla data natolik významná, že se rozhodly zaplatit.

Po zaplacení domluvené finanční částky v bitcoinech poškozené firmy obdržely e-mailem binární exe soubor, který administrátoři měli na napadeném systému spustit a tím zjistit jedinečné ID, které se mělo zaslat na útočníkům e-mail. Poté jim byl vygenerován unikátní binární exe soubor na dešifrování souborů. Číselné ID byl pravděpodobně veřejný klíč použité asymetrické kryptografie. Jak pachatelé slíbili, tak i splnili a firmy, které zaplatily, získaly zpět své soubory. Tím, že distribuoval soubory pro dešifrování přes email, vyhnul se útočník vytváření řídicích C&C serverů a tím v podstatě ušetřil.

Analýza dat

Od napadených firem byly vyžádány disky ze serverů (případně virtuální disky), netflow, log z hraničního routeru, případně další individuální data. Bohužel většina napadených firem neshromažďovala netflow, hraniční routery byly SOHO zařízení (případně VDSL modemy od operátora), takže síťových logů moc nebylo. Některé firmy byly omezeny kapacitou diskového prostoru, a proto smazaly napadené servery dříve, než se z nich mohla vytvořit záloha pro analýzu. Jak jsem již zmínil výše, ransomware vynechal adresář C:\Windows a díky tomu byly k dispozici Event Log EVTX (prohlížeč událostí).

Analýzou dat (celá probíhala v Linuxu) bylo zjištěno, že slabé místo napadených serverů byl otevřený port 3389, na který útočník provedl slovníkový útok. V několika případech byl před lety nainstalován čistý operační systém se slabým administrátorským heslem a poté byl stroj přidán do domény. Bohužel, slabé heslo administrátora již zůstalo. Dále v několika případech byla na pokyn vedení firmy vypnutá bezpečnostní politika hesel (složitost, uzamykání hesla apod.). V průběhu analýzy všech dat bylo zjištěno, že k těmto útokům kupodivu došlo již v průběhu října až prosince loňského roku, ale samotné šifrování dat proběhlo až z počátku roku 2017. První útok byl zaznamenán již v srpnu, kdy díky všímavosti administrátora systému nebyl dokončen.

Také bylo vidět, jak se útočník postupně zlepšuje. Ze začátku využíval účtu administrator nebo admin a postupně zjišťoval, že by se tím mohl lehce prozradit. Začal si vytvářet různé nové uživatele s různé názvy jako test, ss, system, adm.smallbusiness, diablo, ssystem, sbs1 a podobně.

Po úspěšném překonání hesla útočník využil napadený server ke svým účelům a nesnažil se po sobě ani příliš uklízet. Díky tomu byly nalezeny na ploše Windows různé nástroje jako aplikace na proklik reklam, nástroj pro distribuovaný útok na bitcoinovou směnárnu, IP skenery pro skenování rozsahu adres, nástroje RDPBrute pro slovníkový útok, GeoIP databáze s rozsahy IP adres pro sken, různé slovníky vhodné pro slovníkový útok a dále seznam proxy serverů pro anonymizaci. Některé tyto soubory měly názvy psané azbukou. Při vyhledání názvů v Google byly nalezeny odkazy ke stažení těchto souborů na ruských diskuzních fórech.

Aby nebyl útočník obtěžován hláškami antiviru, byly použity unlockery na odblokování zamčených souborů v systému. Díky tomu pak bylo možné smazat jakýkoliv zamčený soubor a tím mohl útočník jednoduše poškodit antivir tak, aby byl nefunkční. V okamžiku, kdy útočník server již nepotřeboval, vypnul službu shadow copy service (aby nebylo možné jednoduše obnovit soubory) a spustil ručně proces šifrování.

I zde v průběhu času došlo k vývoji. Ruční spouštění aplikací postupně nahrazovaly různé cmd a powershellové skripty. Samotný cryptoransomware potřeboval ke své činnosti nainstalované knihovny MS Visual C++ 2010 nebo novější. V jednom případě byl napaden hypervisor VMWaru, na kterém běžely jak MS Windows, tak i Linux. A jelikož pro linux neměl útočník funkční cryptoransomware, vymazal jednoduše celý virtuální server včetně virtuálního disku.

Všechny IP adresy, ze kterých byl proveden jak úspěšný, tak neúspěšný útok, byly analyzovány mimo jiné i v Shodanu, kdy bylo zjištěno, že většina útočících IP adres má otevřený port 3389 a tudíž se jedná o stejně napadené servery. IP adresy byly z celého světa, převládaly IP adresy z Ruska a Ukrajiny a dále z USA, Kanady, Iránu, Seychel atd. Dále byly využity anonymizéry StrongVPN a CyberGhost. Jedna IP adresa patřila lékařskému zařízení na ozařování onkologicky nemocných kdesi v Indonésii.

Poučení pro příště

Jelikož je provedení podobného útoku velmi jednoduché, mezi touto sérií se objevily dva odlišné případy, kdy byl po úspěšném ovládnutí systému spuštěn open-source software Diskcryptor, který se běžně používá pro legitimní šifrování diskového oddílu. Poté i tento útočník vyžadoval platbu v bitcoinech. Po úspěšném převodu peněz zaslal hesla, která byla ručně zadaná při šifrování oddílu. Složitost takových hesel nebyla nijak vysoká (max. 6 znaků), v jednom případě obsahovalo toto heslo dokonce pouze čísla.

Poučení pro všechny: Dle mého názoru nepatří žádná služba pro administraci celého firemního systému na veřejnou IP adresu. Pokud je nutný přístup z internetu, je potřeba použít VPN se silným ověřováním pomocí certifikátu (OpenVPN, L2TP/IPSec …). Dále je důležité se zamyslet nad zálohováním. Nestačí jen zálohovat, ale zároveň přemýšlet nad bezpečností a také integritou uložených záloh.

V době, kdy se tyto útoky rozeběhly (tj. leden 2017), jsem si udělal přehled v Shodan.io. Vyhledal jsem si IP adresy s otevřeným port 3389 v lokalitě jednoho krajského města. Ve výsledcích lze v Shodanu u některých IP adres vidět i uživatelská jména. Tím má potenciální útočník významně usnadněnou činnost. Stejné vyhledávání v Shodanu jsem zopakoval za tři měsíce a zjistil jsem nárůst otevřených portů 3389 (RDP) o 30 %, což je hodně znepokojivé. Pokud nezačnou administrátoři dbát více na bezpečnost, můžeme se v budoucnu dočkat dalších podobných útoků.

Našli jste v článku chybu?