W poprzedniej części cyklu zakończyliśmy pracę nad częścią programu odpowiedzialną za „core business”, czyli właściwe szyfrowanie danych i odpowiednio długie unikanie wykrycia. Do programu wrócimy jeszcze w części dziewiątej, mówiąc o komunikacie dla użytkownika.
Teraz jednak przejdźmy do całkiem innego obszaru, jakim jest bezpieczne rozpoczęcie dystrybucji tego programu, a wcześniej zaplanowanie całej operacji. Trzeba bowiem postawić sprawę jasno: zajmując się ransomware robisz coś, co nie podoba się państwu i wręcz może być ścigane przez organy tego państwa jako przestępstwo. A w dodatku, o ile w poprzednich odcinkach tego cyklu skupialiśmy się wyłącznie na programowaniu, o tyle dziś będzie mowa o dwóch rzeczach, których nie unikniesz, a które są bardzo częstymi powodami wpadek: o działaniach „w realu” i o aktywnych kontaktach z innymi osobami. Dlatego właśnie dobre planowanie jest absolutnie niezbędne.
Intencją autorów ani wydawcy treści prezentowanych w magazynie PAYLOAD nie jest namawianie bądź zachęcanie do łamania prawa. Jeśli popełniłeś lub masz zamiar popełnić przestępstwo, bądź masz wątpliwości, czy Twoje działania nie będą łamać prawa, powinieneś skonsultować się z najbliższą jednostką Policji lub Prokuratury, a jeśli są one związane z pieniędzmi, dla pewności również z Urzędem Skarbowym.
Nie zezwala się na użycie treści prezentowanych w magazynie PAYLOAD, ani produktów dostępnych w sklepie PAYLOAD, do celów popełniania przestępstw lub przestępstw skarbowych.
Przystępujemy do działania
Jeśli opanowałeś już kwestie planowania, omówmy po kolei kilka przykładowych scenariuszy manualnej dystrybucji Twojego programu, od najmniej do najbardziej ryzykownego.
- phishing – czyli socjotechnika, ale prowadzona zdalnie, wobec mniej spostrzegawczych i świadomych odbiorców
- spear phishing – a więc dużo mniej maili, za to porządnie spersonalizowanych, z konkretnymi, wiarygodnie i atrakcyjnie brzmiącymi propozycjami (co wymaga odpowiedniego rekonesansu)
- zakup gotowych, działających dostępów do X losowych komputerów na forach hakerskich
- skanowanie i użycie serwerów z otwartym dostępem (celowo lub przez błąd w konfiguracji)
- skanowanie i eksploitacja znanych luk w oprogramowaniu
- podrzucenie nośnika (płyta, pen drive, dysk twardy) ze spreparowanym programem lub innymi danymi
- podrzucenie danych na czyjś nośnik za pomocą narzędzi typu Funkcjonariusz Mobilny
- dostanie się do czyjegoś komputera za pomocą socjotechniki i/lub odpowiednio przygotowanych dokumentów lub stroju (ekipa sprzątająca, dostawca pizzy, elektryk, technik do naprawy komputera, klimatyzacji lub innego uszkodzonego sprzętu, wdrożeniowiec jakiegoś konkretnego programu, praktykant/stażysta itd.)
Phishing
Phishing to najprostsza z technik dotarcia do potencjalnych ofiar, polegająca po prostu na wysyłaniu maili zawierających linki do złośliwego oprogramowania (lub czasem to oprogramowanie w formie załącznika). Zaletą tej techniki jest największa ze wszystkich technik pasywność (tj. brak konieczności nawiązywania kontaktów z innymi specjalistami od bezpieczeństwa ofensywnego, oraz brak konieczności działań „w realu”).
Wadą jest natomiast bardzo ograniczona skuteczność – na phishing nabierają się najczęściej osoby starsze, oraz początkujący użytkownicy komputerów, a więc osoby, których najprawdopodobniej i tak nie będzie stać na zapłacenie choćby niewielkiego okupu.
Istnieje kilka szkół „zwykłego” (tj. masowego, zasięgowego) phishingu, w tym w Polsce najskuteczniejsze wydają się być trzy z nich:
- motyw blokady konta bankowego, karty kredytowej, czy innej formy dostępu do pieniędzy – generalnie nastawiony na podniesienie odbiorcy ciśnienia i zmuszenie go do natychmiastowej reakcji (zanim zdąży przemyśleć sprawę)
- podszywanie się pod znane instytucje (np. krążące od wielu lat maile o różnych prywatnych „ewidencjach” udających CEIDG, napisane bardzo formalnym językiem) – ten typ maili jest zaskakująco skuteczny wobec świeżych przedsiębiorców, którzy w pierwsze kilka tygodni-miesięcy po zarejestrowaniu Działalności Gospodarczej są zalewani różnymi mailami i listami papierowymi
- motywy prawne z użyciem „szokujących” fraz, np. „pozew o rozwód” – po wstępnym szoku dla większości odbiorców nie ma znaczenia, że mail trafił do niewłaściwej osoby, większość takie załączniki lub linki otwiera (z wyjątkiem fraz finansowych typu „wezwanie do zapłaty”, „egzekucja komornicza” itp., które spora część odbiorców od razu traktuje z podejrzliwością)
Przy czym oczywiście trendy skuteczności phishingu co jakiś czas się zmieniają, reagując na zmiany społeczne, ekonomiczne lub inne – w szczególności w kwietniu-maju 2020 można było obserwować drastyczne zmiany, związane z pandemią COVID-19 i pierwszym lockdownem, o czym opowiadał Adam Lange podczas XII Konferencji Naukowej Bezpieczeństwo w Internecie Cyberpandemia:
Więcej o skutecznym phishingu napiszemy w kolejnej części cyklu, która ukaże się już za 3 tygodnie.
Spear phishing
Spear phishing to odmiana phishingu wycelowana w konkretne osoby lub firmy, a więc maile są porządnie spersonalizowane, kierowane od konkretnej (istniejącej) osoby, również do konkretnej osoby lub grupy osób, w konkretnej sprawie – tutaj przykład ciekawej kampanii z 2015 roku.
Zaletą dobrze zrealizowanego spear phishingu jest bardzo wysoka skuteczność – wprost proporcjonalna do stopnia zadbania o wszystkie szczegóły, nawet te pozornie mało istotne. Wadą – konieczność przeprowadzenia rekonesansu blisko celu (nie zawsze rekonesansu głębokiego, ale jednak prowadzi to do zostawiania po sobie pewnych śladów i wymaga sporego opanowania) oraz relatywnie wysoki koszt zadbania o wspomniane szczegóły. Z drugiej strony, dobrze przeprowadzona akcja tego typu robi niesamowite wrażenie.
Zakup gotowych danych dostępowych
Na forach hakerskich można bez problemu znaleźć oferty zakupu np. 10..100..1000 działających dostępów na Zdalny Pulpit na losowych komputerach – z całego świata, z Europy, z Polski – cokolwiek sobie wymyślimy. Na takie Zdalne Pulpity można się potem po kolei logować i dowolną techniką uruchamiać ataki.
Dlatego ta opcja nie została wymieniona jako najłatwiejsza? Jej wady to dość spora czasochłonność zacierania śladów (trzeba w końcu czymś zapłacić, te Bitcoiny trzeba najpierw gdzieś kupić, wcześniej mieć konto na jakiejś giełdzie itd.).
Pozornie bardziej anonimowy może być zakup waluty w automatach typu Bitcoin Embassy (lub podobnych), jakie pojawiły się niedawno w galeriach handlowych – nic bardziej mylnego! Jeśli nawet zachowasz anonimowość na poziomie samego zakupu waluty, to cała Twoja wizyta w takim miejscu zostanie uwieczniona na kilkudziesięciu kamerach.
Dlatego też bardzo dobrym pomysłem jest płacenie walutą nabytą kilka lat temu, albo wręcz samodzielnie wykopaną. Albo po prostu użycie kryptowaluty, która naprawdę zapewnia anonimowość, np. Monero. O ile któryś z tych scenariuszy jest w Twoim przypadku wykonalny.
Serwery z otwartym dostępem
Z roku na rok protokół FTP staje się coraz bardziej egzotyczny – nadal jednak jest wiele nisz, w których FTP jest masowo używane w połączeniu z otwartym na cały świat dostępem do zapisu (często ze względu na konkretne oprogramowanie komercyjne używane w danej branży, np. dentystyczne w USA), względnie ze stałym i udostępnianym wszystkim zainteresowanym hasłem.
Przykładowo w Polsce działa tak większość drukarni oferujących swoje usługi na Allegro – klienci mają wgrywać gotowe projekty na serwer FTP, do którego hasło dostają po zakupie. Wystarczy więc zakupić usługę wydruku, aby następnie podrzucić odpowiednio spreparowany plik…
Innym wariantem jest dostęp do zapisu otwarty przez pomyłkę (albo w ramach „security by obscurity”), niekoniecznie też do całego serwera, ale wyłącznie do niektórych katalogów. Jednak wykrywanie takich podatności wymaga dokładnego skanowania konkretnych serwerów – jest więc bardzo kosztowne, gdybyśmy chcieli takie skany prowadzić na szerszą skalę.
Eksploitacja znanych luk
Od czasu do czasu pojawiają się informacje o nowych lukach bezpieczeństwa – np. mniej więcej tydzień przed napisaniem tych słów została ujawniona bardzo obiecująca podatność o nazwie Zerologon – a chwilę później obsługa tej podatności została dodana do znanego narzędzia Mimikatz.
Wykorzystywanie tego typu luk jest obarczone dwoma komplikacjami:
- często, tak jak w przypadku Zerologon, są to luki pozwalające na atak tylko od wewnątrz sieci firmowej (a więc potrzebne są narzędzia typu LAN Turtle i możliwość podpięcia ich do tej sieci) – a często też wymagające posiadania co najmniej konta domenowego
- luki tego typu dają naprawdę dobre efekty przez krótki czas – potem działają jedynie w firmach, które nie aktualizują na bieżąco oprogramowania (a to często wiąże się z cięciem kosztów i brakiem środków na zapłatę potencjalnego okupu)
Podrzucenie spreparowanego nośnika
W 2016 badacze z Uniwersytetu Illinois zostawili 297 nieoznaczonych pen drive’ów na terenie kampusu uniwersyteckiego, żeby przekonać się, co z tego wyniknie. 98% podrzuconych urządzeń zostało zabranych przez personel i studentów, z czego co najmniej połowa została wpięta do komputerów w celu przejrzenia zawartości bez żadnych dodatkowych zabezpieczeń – tj. w taki sposób, że uruchomiona zawartość była w stanie połączyć się z serwerem i poinformować o swoim uruchomieniu – a więc równie dobrze możliwe było np. zaszyfrowanie zawartości komputera. Wyniki tego eksperymentu dobrze pokazują typową skuteczność takiego ataku.
Mimo to atak polegający na podrzuceniu spreparowanego nośnika jest jednym z trudniejszych do przeprowadzenia przy założeniu, że ma to być „prawdziwy” atak (gdzie realny cel działań nigdy nie wypłynie, a sprawca nigdy nie zostanie zidentyfikowany), a nie badanie naukowe, w którym większość kwestii związanych z tzw. OPSEC można po prostu zignorować.
Z uwagi na ilość możliwych komplikacji i problemów związanych z tym atakiem, zdecydowaliśmy się poświęcić mu osobny artykuł.
Podrzucenie danych na czyjś nośnik (lub komputer)
Sama operacja techniczna takiego podrzucenia jest bardzo prosta i szybka, o ile dysponujemy właściwymi narzędziami (np. Funkcjonariuszem Mobilnym) – ale już wejście w choćby chwilowe posiadanie czyjego nośnika jest sprawą dużo trudniejszą i w większości przypadków wymagającą perfekcyjnego opanowania, oraz rozwiniętych umiejętności interpersonalnych lub aktorskich. Albo współpracy z taką osobą.
Ta metoda, a właściwie zbiór różnych metod, to temat rzeka. Dlatego również zdecydowaliśmy się poświęcić jej osobny artykuł.
W kolejnej części – dystrybucja przez złośliwe maile.
Intencją autorów ani wydawcy treści prezentowanych w magazynie PAYLOAD nie jest namawianie bądź zachęcanie do łamania prawa. Jeśli popełniłeś lub masz zamiar popełnić przestępstwo, bądź masz wątpliwości, czy Twoje działania nie będą łamać prawa, powinieneś skonsultować się z najbliższą jednostką Policji lub Prokuratury, a jeśli są one związane z pieniędzmi, dla pewności również z Urzędem Skarbowym.
Nie zezwala się na użycie treści prezentowanych w magazynie PAYLOAD, ani produktów dostępnych w sklepie PAYLOAD, do celów popełniania przestępstw lub przestępstw skarbowych.