SlideShare uma empresa Scribd logo
1 de 47
Baixar para ler offline
Integridade, confidencialidade,
disponibilidade, ransomware
André Grégio
Federal University of Paraná, BR
@abedgregio
1
Marcus Botacin
Federal University of Paraná, BR
@MarcusBotacin
1
GTER 49 | GTS 35
30 DE NOVEMBRO A 1º DE DEZEMBRO DE 2020
EDIÇÃO ON-LINE
SECurity & Reverse Engineering Team (SECRET)
SECRET.INF.UFPR.BR
Agenda
2
● Motivação
● Histórico de ransomware
● Funcionamento com hands-on
○ Demonstração de exemplares
● Lições aprendidas
Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
Introdução
3
Motivar é preciso...
RANSOMWARE - Definição
4
● Código malicioso que viola a disponibilidade de arquivos ou dispositivos
de suas vítimas (cifrando-os) e demanda quantia para decifragem.
● Tipos principais:
○ CRYPTO ransomware: criptografa arquivos/diretórios selecionados do usuário
comprometido e solicita um resgate, geralmente em criptomoeda, para liberação de chave
○ LOCKER ransomware: tranca o usuário para fora de seu dispositivo, impedindo que a
vítima o utilize. O resgate demandado é para liberar o acesso ao dispositivo.
https://www.kaspersky.com/resource-center/threats/ransomware-examples
Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
RANSOMWARE - Comportamento padrão
5
1. ENTREGA
a. Phishing (links, anexos), Ads (inclusive em mídias sociais e grandes sites), Pay-per-Install,
exploração de vulnerabilidades (Java, Windows, etc.) para se propagar
2. EXECUÇÃO
a. Procura arquivos de determinados tipos, nomes de diretórios, drives de rede
b. Acessa e criptografa os objetos-alvo e exibe o aviso de resgate
3. PAGAMENTO
a. Em geral, em USD ou BTC, com destino a uma ou mais carteiras virtuais
b. Não é garantido que a chave (ou outro meio de decifragem) seja fornecida
4. DECIFRAGEM
a. Se houver, pode ser feita por um binário a ser baixado após confirmação de pagamento
https://ieeexplore.ieee.org/abstract/document/8418627
Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
RANSOMWARE - Estatísticas
6
https://www.mcafee.com/enterprise/en-us/assets/reports/rp-quarterly-threats-nov-2020.pdf
https://www.researchgate.net/publication/330734778_Understanding_t
he_Evolution_of_Ransomware_Paradigm_Shifts_in_Attack_Structures
Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
Malware x Não-Malware
7
● Tudo é código, a diferença é a intenção…
● Detecção acadêmica vs. Detecção industrial
○ Teoria é offline
○ Prática é inexistente
● Há décadas sabemos os princípios básicos
○ Proteger a integridade, disponibilidade, confidencialidade
○ Realizar prevenção, detecção, reação
○ Implantar políticas, manter tudo atualizado, compartimentalizar
Por que isso não tem funcionado?
Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
De Onde Viemos
8
Evolução de ransomware ao longo do tempo
Linha do Tempo
9
https://www.immersivelabs.com/resources/blog/the-evolution-of-ransomware/
Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
A primeira vez a gente nunca esquece...
10
Autor: Dr. Popps, biólogo
Nome, Ano: PC Cyborg, 1989
Vetor: (!e-)mail + disquete com
questionário sobre AIDS
Comportamento:
1. 2 arquivos (1 questionário, 1 instalador)
2. Infecta C: e sequestra AUTOEXEC.BAT
3. Implementa contador de reboot (90x)
4. Criptografa simetricamente os nomes de
todos os arquivos do drive
a. Alteração na extensão impedia a
execução dos arquivos
FONTES:
https://www.sdxcentral.com/security/definitions/case-study-aids-trojan-ransomware/
https://www.vice.com/en/article/nzpwe7/the-worlds-first-ransomware-came-on-a-floppy-disk-in-19
89
Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
A primeira vez a gente nunca esquece...
11
Resultado:
1. ~20k pessoas infectadas)
2. Envio de $ para Caixa Postal no Panamá
3. Pânico fez com que usuários e organiza-
ções médicas/de pesquisa apagassem HDs
4. Malware como peça de influência
5. Autor indiciado à prisão/processado, mas considerado não-julgável...
6. Jim Bates criou “vacinas” AIDSOUT e CLEARAIDS em 1990 (VirusBulletin)
FONTES:
https://en.wikipedia.org/wiki/AIDS_(Trojan_horse)
https://www.virusbulletin.com/uploads/pdf/magazine/1992/199201.pdf
Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
Saudades do AIDS Trojan!
12
Análises do Trojan explicitaram falhas e
melhoraram a área (de ransomware):
● IEEE S&P 1996, Yong e Yung implementaram um
vírus com criptografia de chaves públicas
● Cryptovirology: extortion-based security threats and
countermeasures
● https://ieeexplore.ieee.org/document/502676
https://www.virusbulletin.com/uploads/pdf/magazine/1990/199002.pdf
Lições Aprendidas
● Desenvolvedores de malware:
○ Não usar criptografia simétrica!
● Usuários/organizações:
○ Backup é importante!
Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
Dados sobre Ransomware
13
Kharraz et al. Cutting the Gordian Knot: A Look Under the Hood of Ransomware
Attacks. DIMVA, 2015.
http://www.eurecom.fr/en/publication/4548/download/rs-publi-4548.pdf
Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
CryptoLocker e CryptoLocker 2.0
14
Vetor de entrada: e-mail
Comportamento:
1. Usuário executa o artefato
2. Processo inicia varredura em busca de drives de rede
3. Arquivos e diretórios são renomeados e cifrados
Diferenças:
1. De C++ foi para C# (grupos diferentes? Imitação?)
2. 2.0 criptografa mais tipos de arquivo (música, imagem, vídeo)
3. Inflação (USD 300 para 500) FONTE: https://www.knowbe4.com/cryptolocker-2
Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
Linha do Tempo
15
https://www.immersivelabs.com/resources/blog/the-evolution-of-ransomware/
Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
Cryptowall
16
Vetor de entrada: phishing, exploit kits,
propagandas maliciosas
Comportamento:
1. Injeta código no Explorer.exea
e
SVCHost.exeb
para manutenção
a. Instala malware, remove shadow copies, desabilita
serviços, inicializa um novo svchost...
b. Comunica com a “base” via rede, cifra arquivos,
remove o malware após serviço feito!
2. Persiste via Registro e Startup
FONTE:
https://www.varonis.com/blog/cryptowall/
Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
Ransomware as a Service
17
● Similar aos malware kits em usabilidade
○ Qualquer pessoa pode extorquir outras!
● Criador é comissionado com o resgate
○ Provê o código, leva 5-30%
FONTE: https://www.businessinsider.com/ransomware-as-a-service-is-the-next-big-cyber-crime-2015-12
https://www.researchgate.net/publication/330734778_Understanding_the_Evolution
_of_Ransomware_Paradigm_Shifts_in_Attack_Structures
Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
Tipo de chantagem: doxing (autores prometeram disponibilizar publicamente
os arquivos das vítimas caso o resgate não fosse pago...)
Vem pro time, fera!
Chimera
18
https://blog.malwarebytes.com/threat-analysis/2015/12/inside-chimera-ransomware-the-first-doxingware-in-wild/
Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
Linha do Tempo
19
https://www.immersivelabs.com/resources/blog/the-evolution-of-ransomware/
Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
Tendências de 2020
20
https://www.immersivelabs.com/resources/blog/the-evolution-of-ransomware/
Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
Brasil, Novembro de 2020
21
22
23
24
25
Links
26
● https://thehack.com.br/stj-e-vitima-de-ransomware-e-tem-seus-dados-e-os-backups-criptografa
dos/
● https://www.uol.com.br/tilt/noticias/redacao/2020/11/07/ransomexx-virus-que-atingiu-stj-tam
bem-atacou-tj-pe-e-outros-paises.htm
● https://olhardigital.com.br/fique_seguro/noticia/ransomware-que-afeta-stj-ja-atingiu-empresas-
e-governos-fora-do-brasil/109866
● https://tecnoblog.net/381722/stj-confirma-ataque-de-ransomware-e-recebe-ajuda-da-microsoft/
● https://minutodaseguranca.blog.br/possiveis-falhas-no-caso-do-ransomware-do-stj/
● https://olhardigital.com.br/fique_seguro/noticia/stj-se-restabelece-apos-ransomware-mas-pf-in
vestiga-copia-de-dados/110209
Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
Modus Operandi
27
Simplicidade acima de tudo...
Modus Operandi
● Obtivemos dois exemplares:
○ Notepad.exe (https://corvus.inf.ufpr.br/reports/12243/)
■ MD5: 80cfb7904e934182d512daa4fe0abbfb
■ SHA1: 9df15f471083698b818575c381e49c914dee69de
○ Arquivo ELF (https://corvus.inf.ufpr.br/reports/12244/)
■ MD5: aa1ddf0c8312349be614ff43e80a262f
■ SHA1: 91ad089f5259845141dfb10145271553aa711a2b
● O PE é um loader
○ Detalhes a seguir…
● O ransomware é o arquivo ELF, com execução “manual”
○ Ao se passar um diretório como argumento, a cifragem acontece...
○ Mesmo artefato (RansomEXX) esteve envolvido nos ataques ao TXDoT em maio/2020!
■ https://www.bleepingcomputer.com/news/security/new-ransom-x-ransomware-used-in-texas-txdot-cyberattack/
28
Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
Demonstração & Análise
29
Proof of Concept or...
RansomExx
30
Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
RansomExx
31
Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
RansomExx
32
Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
RansomExx
33
Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
RansomExx
34
Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
RansomExx
35
Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
RansomExx
36
Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
RansomExx
37
Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
RansomExx
38
Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
Para Onde Vamos?
39
Educação ainda é a chave...
PoS Ransomware
40
Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
● Não negligencie seu BACKUP!
Como se proteger
41
https://cartilha.cert.br/ransomware/ransomware-folheto.pdf
Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
● Não negligencie seu BACKUP!
● Além disso:
○ Evite acesso desmedido a links e anexos em e-mails
○ Preste atenção em malvertising e use um bloqueador de ads
○ Desabilite funcionalidades desnecessárias/extras em leitores de PDF,
como execução de JavaScript
○ Mantenha SO, browsers, aplicativos, plug-ins, serviços e mecanismos
de segurança atualizados
○ Desenvolva políticas de segurança e as implemente na prática
○ Verifique o uso das políticas e o nível de alerta de seus usuários
Como se proteger
42
Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
Considerações Finais
43
Backups everywhere
● Faça BACKUP!
● Certifique-se de que seu BACKUP restaure
● Proteja seu BACKUP que está na rede
● Tenha um BACKUP offline das coisas mais importantes do seu BACKUP…
Como se proteger
44
https://cartilha.cert.br/fasciculos/backup/fasciculo-backup.pdf
Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
Lembrem-se:
45
https://www.trinustech.com/wp-content/uploads/2019/03/In-case-of-cyber-attack-please-break-glass-and-pull-cables.jpg
Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
Conclusion
● Leituras
○ “The other guys: automated analysis of marginalized malware”:
https://secret.inf.ufpr.br/papers/behemot.pdf
○ “A Ransomware in a Brazilian Justice Court”:
https://secret.inf.ufpr.br/2020/11/06/a-ransomware-in-a-brazilian-justice-court/
○ “Brazilian Justice Court Ransomware: Another piece in the Puzzle”:
https://secret.inf.ufpr.br/2020/11/17/brazilian-justice-court-ransomware-another-piece-
in-the-puzzle/
○ “An Obfuscation Tour”: https://secret.inf.ufpr.br/2020/05/08/an-obfuscation-tour/
○ “Ransomware in Times of Coronavirus”:
https://secret.inf.ufpr.br/2020/05/08/ransomware-in-times-of-coronavirus/
46
Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
47
Integridade, confidencialidade,
disponibilidade, ransomware
Contato: {gregio, mfbotacin}@inf.ufpr.br
Website: secret.inf.ufpr.br
GTER 49 | GTS 35
30 DE NOVEMBRO A 1º DE DEZEMBRO DE 2020
EDIÇÃO ON-LINE
André Grégio
Federal University of Paraná, BR
@abedgregio
Marcus Botacin
Federal University of Paraná, BR
@MarcusBotacin
SECurity & Reverse Engineering Team (SECRET)
SECRET.INF.UFPR.BR

Mais conteúdo relacionado

Semelhante a Integridade, confidencialidade, disponibilidade, ransomware

Semelhante a Integridade, confidencialidade, disponibilidade, ransomware (20)

Segurança no Android
Segurança no AndroidSegurança no Android
Segurança no Android
 
Conscientização sobre SI
Conscientização sobre SIConscientização sobre SI
Conscientização sobre SI
 
Palestra: Tendências e Desafios da Segurança na Internet
Palestra: Tendências e Desafios da Segurança na InternetPalestra: Tendências e Desafios da Segurança na Internet
Palestra: Tendências e Desafios da Segurança na Internet
 
Análise de malware com software livre
Análise de malware com software livreAnálise de malware com software livre
Análise de malware com software livre
 
PHP Sob Ataque - Técnicas de Programação Defensiva - FISL 12 - Rafael Jaques
PHP Sob Ataque - Técnicas de Programação Defensiva - FISL 12 - Rafael JaquesPHP Sob Ataque - Técnicas de Programação Defensiva - FISL 12 - Rafael Jaques
PHP Sob Ataque - Técnicas de Programação Defensiva - FISL 12 - Rafael Jaques
 
Deep fake e #trakinagens para fugir das IA(s)
Deep fake e #trakinagens para fugir das IA(s)Deep fake e #trakinagens para fugir das IA(s)
Deep fake e #trakinagens para fugir das IA(s)
 
Desafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhãDesafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhã
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
 
Aula de seguranca (1)
Aula de seguranca (1)Aula de seguranca (1)
Aula de seguranca (1)
 
Palestra alcyon junior - LatinoWare 2016
Palestra alcyon junior - LatinoWare 2016Palestra alcyon junior - LatinoWare 2016
Palestra alcyon junior - LatinoWare 2016
 
Ransomware como proteger sua empresa
Ransomware como proteger sua empresa Ransomware como proteger sua empresa
Ransomware como proteger sua empresa
 
Aula import seg
Aula import segAula import seg
Aula import seg
 
Análise de Malware
Análise de MalwareAnálise de Malware
Análise de Malware
 
Desafios da transformação digital
Desafios da transformação digitalDesafios da transformação digital
Desafios da transformação digital
 
Auditoria em Mainframe. (Eugênio Fernandes)
Auditoria em Mainframe. (Eugênio Fernandes)Auditoria em Mainframe. (Eugênio Fernandes)
Auditoria em Mainframe. (Eugênio Fernandes)
 
7 Segredos sobre o PenTest e o Softeware Livre que todos deveriam saber - Con...
7 Segredos sobre o PenTest e o Softeware Livre que todos deveriam saber - Con...7 Segredos sobre o PenTest e o Softeware Livre que todos deveriam saber - Con...
7 Segredos sobre o PenTest e o Softeware Livre que todos deveriam saber - Con...
 
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
 7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber 7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
 
Palestra - FACSENAC - De Hacker e louco, todo mundo tem um pouco
Palestra - FACSENAC - De Hacker e louco, todo mundo tem um poucoPalestra - FACSENAC - De Hacker e louco, todo mundo tem um pouco
Palestra - FACSENAC - De Hacker e louco, todo mundo tem um pouco
 
Facsenac - De hacker e louco, todo mundo tem um pouco
Facsenac - De hacker e louco, todo mundo tem um poucoFacsenac - De hacker e louco, todo mundo tem um pouco
Facsenac - De hacker e louco, todo mundo tem um pouco
 

Mais de Marcus Botacin

Mais de Marcus Botacin (20)

Machine Learning by Examples - Marcus Botacin - TAMU 2024
Machine Learning by Examples - Marcus Botacin - TAMU 2024Machine Learning by Examples - Marcus Botacin - TAMU 2024
Machine Learning by Examples - Marcus Botacin - TAMU 2024
 
Near-memory & In-Memory Detection of Fileless Malware
Near-memory & In-Memory Detection of Fileless MalwareNear-memory & In-Memory Detection of Fileless Malware
Near-memory & In-Memory Detection of Fileless Malware
 
GPThreats-3: Is Automated Malware Generation a Threat?
GPThreats-3: Is Automated Malware Generation a Threat?GPThreats-3: Is Automated Malware Generation a Threat?
GPThreats-3: Is Automated Malware Generation a Threat?
 
[HackInTheBOx] All You Always Wanted to Know About Antiviruses
[HackInTheBOx] All You Always Wanted to Know About Antiviruses[HackInTheBOx] All You Always Wanted to Know About Antiviruses
[HackInTheBOx] All You Always Wanted to Know About Antiviruses
 
[Usenix Enigma\ Why Is Our Security Research Failing? Five Practices to Change!
[Usenix Enigma\ Why Is Our Security Research Failing? Five Practices to Change![Usenix Enigma\ Why Is Our Security Research Failing? Five Practices to Change!
[Usenix Enigma\ Why Is Our Security Research Failing? Five Practices to Change!
 
Hardware-accelerated security monitoring
Hardware-accelerated security monitoringHardware-accelerated security monitoring
Hardware-accelerated security monitoring
 
How do we detect malware? A step-by-step guide
How do we detect malware? A step-by-step guideHow do we detect malware? A step-by-step guide
How do we detect malware? A step-by-step guide
 
Among Viruses, Trojans, and Backdoors:Fighting Malware in 2022
Among Viruses, Trojans, and Backdoors:Fighting Malware in 2022Among Viruses, Trojans, and Backdoors:Fighting Malware in 2022
Among Viruses, Trojans, and Backdoors:Fighting Malware in 2022
 
Extraindo Caracterı́sticas de Arquivos Binários Executáveis
Extraindo Caracterı́sticas de Arquivos Binários ExecutáveisExtraindo Caracterı́sticas de Arquivos Binários Executáveis
Extraindo Caracterı́sticas de Arquivos Binários Executáveis
 
On the Malware Detection Problem: Challenges & Novel Approaches
On the Malware Detection Problem: Challenges & Novel ApproachesOn the Malware Detection Problem: Challenges & Novel Approaches
On the Malware Detection Problem: Challenges & Novel Approaches
 
All You Need to Know to Win a Cybersecurity Adversarial Machine Learning Comp...
All You Need to Know to Win a Cybersecurity Adversarial Machine Learning Comp...All You Need to Know to Win a Cybersecurity Adversarial Machine Learning Comp...
All You Need to Know to Win a Cybersecurity Adversarial Machine Learning Comp...
 
Near-memory & In-Memory Detection of Fileless Malware
Near-memory & In-Memory Detection of Fileless MalwareNear-memory & In-Memory Detection of Fileless Malware
Near-memory & In-Memory Detection of Fileless Malware
 
Does Your Threat Model Consider Country and Culture? A Case Study of Brazilia...
Does Your Threat Model Consider Country and Culture? A Case Study of Brazilia...Does Your Threat Model Consider Country and Culture? A Case Study of Brazilia...
Does Your Threat Model Consider Country and Culture? A Case Study of Brazilia...
 
An Empirical Study on the Blocking of HTTP and DNS Requests at Providers Leve...
An Empirical Study on the Blocking of HTTP and DNS Requests at Providers Leve...An Empirical Study on the Blocking of HTTP and DNS Requests at Providers Leve...
An Empirical Study on the Blocking of HTTP and DNS Requests at Providers Leve...
 
On the Security of Application Installers & Online Software Repositories
On the Security of Application Installers & Online Software RepositoriesOn the Security of Application Installers & Online Software Repositories
On the Security of Application Installers & Online Software Repositories
 
UMLsec
UMLsecUMLsec
UMLsec
 
The Internet Banking [in]Security Spiral: Past, Present, and Future of Online...
The Internet Banking [in]Security Spiral: Past, Present, and Future of Online...The Internet Banking [in]Security Spiral: Past, Present, and Future of Online...
The Internet Banking [in]Security Spiral: Past, Present, and Future of Online...
 
Análise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou?
Análise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou?Análise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou?
Análise do Malware Ativo na Internet Brasileira: 4 anos depois. O que mudou?
 
Towards Malware Decompilation and Reassembly
Towards Malware Decompilation and ReassemblyTowards Malware Decompilation and Reassembly
Towards Malware Decompilation and Reassembly
 
Reverse Engineering Course
Reverse Engineering CourseReverse Engineering Course
Reverse Engineering Course
 

Último

Último (8)

ATIVIDADE 1 - CÁLCULO DIFERENCIAL E INTEGRAL II - 52_2024.docx
ATIVIDADE 1 - CÁLCULO DIFERENCIAL E INTEGRAL II - 52_2024.docxATIVIDADE 1 - CÁLCULO DIFERENCIAL E INTEGRAL II - 52_2024.docx
ATIVIDADE 1 - CÁLCULO DIFERENCIAL E INTEGRAL II - 52_2024.docx
 
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docxATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
 
Entrevistas, artigos, livros & citações de Paulo Pagliusi
Entrevistas, artigos, livros & citações de Paulo PagliusiEntrevistas, artigos, livros & citações de Paulo Pagliusi
Entrevistas, artigos, livros & citações de Paulo Pagliusi
 
Aula 01 - Introducao a Processamento de Frutos e Hortalicas.pdf
Aula 01 - Introducao a Processamento de Frutos e Hortalicas.pdfAula 01 - Introducao a Processamento de Frutos e Hortalicas.pdf
Aula 01 - Introducao a Processamento de Frutos e Hortalicas.pdf
 
ATIVIDADE 1 - GESTÃO DE PESSOAS E DESENVOLVIMENTO DE EQUIPES - 52_2024.docx
ATIVIDADE 1 - GESTÃO DE PESSOAS E DESENVOLVIMENTO DE EQUIPES - 52_2024.docxATIVIDADE 1 - GESTÃO DE PESSOAS E DESENVOLVIMENTO DE EQUIPES - 52_2024.docx
ATIVIDADE 1 - GESTÃO DE PESSOAS E DESENVOLVIMENTO DE EQUIPES - 52_2024.docx
 
Palestras sobre Cibersegurança em Eventos - Paulo Pagliusi
Palestras sobre Cibersegurança em Eventos - Paulo PagliusiPalestras sobre Cibersegurança em Eventos - Paulo Pagliusi
Palestras sobre Cibersegurança em Eventos - Paulo Pagliusi
 
Convergência TO e TI nas Usinas - Setor Sucroenergético
Convergência TO e TI nas Usinas - Setor SucroenergéticoConvergência TO e TI nas Usinas - Setor Sucroenergético
Convergência TO e TI nas Usinas - Setor Sucroenergético
 
COI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINAS
COI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINASCOI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINAS
COI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINAS
 

Integridade, confidencialidade, disponibilidade, ransomware

  • 1. Integridade, confidencialidade, disponibilidade, ransomware André Grégio Federal University of Paraná, BR @abedgregio 1 Marcus Botacin Federal University of Paraná, BR @MarcusBotacin 1 GTER 49 | GTS 35 30 DE NOVEMBRO A 1º DE DEZEMBRO DE 2020 EDIÇÃO ON-LINE SECurity & Reverse Engineering Team (SECRET) SECRET.INF.UFPR.BR
  • 2. Agenda 2 ● Motivação ● Histórico de ransomware ● Funcionamento com hands-on ○ Demonstração de exemplares ● Lições aprendidas Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 4. RANSOMWARE - Definição 4 ● Código malicioso que viola a disponibilidade de arquivos ou dispositivos de suas vítimas (cifrando-os) e demanda quantia para decifragem. ● Tipos principais: ○ CRYPTO ransomware: criptografa arquivos/diretórios selecionados do usuário comprometido e solicita um resgate, geralmente em criptomoeda, para liberação de chave ○ LOCKER ransomware: tranca o usuário para fora de seu dispositivo, impedindo que a vítima o utilize. O resgate demandado é para liberar o acesso ao dispositivo. https://www.kaspersky.com/resource-center/threats/ransomware-examples Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 5. RANSOMWARE - Comportamento padrão 5 1. ENTREGA a. Phishing (links, anexos), Ads (inclusive em mídias sociais e grandes sites), Pay-per-Install, exploração de vulnerabilidades (Java, Windows, etc.) para se propagar 2. EXECUÇÃO a. Procura arquivos de determinados tipos, nomes de diretórios, drives de rede b. Acessa e criptografa os objetos-alvo e exibe o aviso de resgate 3. PAGAMENTO a. Em geral, em USD ou BTC, com destino a uma ou mais carteiras virtuais b. Não é garantido que a chave (ou outro meio de decifragem) seja fornecida 4. DECIFRAGEM a. Se houver, pode ser feita por um binário a ser baixado após confirmação de pagamento https://ieeexplore.ieee.org/abstract/document/8418627 Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 7. Malware x Não-Malware 7 ● Tudo é código, a diferença é a intenção… ● Detecção acadêmica vs. Detecção industrial ○ Teoria é offline ○ Prática é inexistente ● Há décadas sabemos os princípios básicos ○ Proteger a integridade, disponibilidade, confidencialidade ○ Realizar prevenção, detecção, reação ○ Implantar políticas, manter tudo atualizado, compartimentalizar Por que isso não tem funcionado? Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 8. De Onde Viemos 8 Evolução de ransomware ao longo do tempo
  • 9. Linha do Tempo 9 https://www.immersivelabs.com/resources/blog/the-evolution-of-ransomware/ Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 10. A primeira vez a gente nunca esquece... 10 Autor: Dr. Popps, biólogo Nome, Ano: PC Cyborg, 1989 Vetor: (!e-)mail + disquete com questionário sobre AIDS Comportamento: 1. 2 arquivos (1 questionário, 1 instalador) 2. Infecta C: e sequestra AUTOEXEC.BAT 3. Implementa contador de reboot (90x) 4. Criptografa simetricamente os nomes de todos os arquivos do drive a. Alteração na extensão impedia a execução dos arquivos FONTES: https://www.sdxcentral.com/security/definitions/case-study-aids-trojan-ransomware/ https://www.vice.com/en/article/nzpwe7/the-worlds-first-ransomware-came-on-a-floppy-disk-in-19 89 Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 11. A primeira vez a gente nunca esquece... 11 Resultado: 1. ~20k pessoas infectadas) 2. Envio de $ para Caixa Postal no Panamá 3. Pânico fez com que usuários e organiza- ções médicas/de pesquisa apagassem HDs 4. Malware como peça de influência 5. Autor indiciado à prisão/processado, mas considerado não-julgável... 6. Jim Bates criou “vacinas” AIDSOUT e CLEARAIDS em 1990 (VirusBulletin) FONTES: https://en.wikipedia.org/wiki/AIDS_(Trojan_horse) https://www.virusbulletin.com/uploads/pdf/magazine/1992/199201.pdf Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 12. Saudades do AIDS Trojan! 12 Análises do Trojan explicitaram falhas e melhoraram a área (de ransomware): ● IEEE S&P 1996, Yong e Yung implementaram um vírus com criptografia de chaves públicas ● Cryptovirology: extortion-based security threats and countermeasures ● https://ieeexplore.ieee.org/document/502676 https://www.virusbulletin.com/uploads/pdf/magazine/1990/199002.pdf Lições Aprendidas ● Desenvolvedores de malware: ○ Não usar criptografia simétrica! ● Usuários/organizações: ○ Backup é importante! Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 13. Dados sobre Ransomware 13 Kharraz et al. Cutting the Gordian Knot: A Look Under the Hood of Ransomware Attacks. DIMVA, 2015. http://www.eurecom.fr/en/publication/4548/download/rs-publi-4548.pdf Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 14. CryptoLocker e CryptoLocker 2.0 14 Vetor de entrada: e-mail Comportamento: 1. Usuário executa o artefato 2. Processo inicia varredura em busca de drives de rede 3. Arquivos e diretórios são renomeados e cifrados Diferenças: 1. De C++ foi para C# (grupos diferentes? Imitação?) 2. 2.0 criptografa mais tipos de arquivo (música, imagem, vídeo) 3. Inflação (USD 300 para 500) FONTE: https://www.knowbe4.com/cryptolocker-2 Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 15. Linha do Tempo 15 https://www.immersivelabs.com/resources/blog/the-evolution-of-ransomware/ Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 16. Cryptowall 16 Vetor de entrada: phishing, exploit kits, propagandas maliciosas Comportamento: 1. Injeta código no Explorer.exea e SVCHost.exeb para manutenção a. Instala malware, remove shadow copies, desabilita serviços, inicializa um novo svchost... b. Comunica com a “base” via rede, cifra arquivos, remove o malware após serviço feito! 2. Persiste via Registro e Startup FONTE: https://www.varonis.com/blog/cryptowall/ Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 17. Ransomware as a Service 17 ● Similar aos malware kits em usabilidade ○ Qualquer pessoa pode extorquir outras! ● Criador é comissionado com o resgate ○ Provê o código, leva 5-30% FONTE: https://www.businessinsider.com/ransomware-as-a-service-is-the-next-big-cyber-crime-2015-12 https://www.researchgate.net/publication/330734778_Understanding_the_Evolution _of_Ransomware_Paradigm_Shifts_in_Attack_Structures Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 18. Tipo de chantagem: doxing (autores prometeram disponibilizar publicamente os arquivos das vítimas caso o resgate não fosse pago...) Vem pro time, fera! Chimera 18 https://blog.malwarebytes.com/threat-analysis/2015/12/inside-chimera-ransomware-the-first-doxingware-in-wild/ Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 19. Linha do Tempo 19 https://www.immersivelabs.com/resources/blog/the-evolution-of-ransomware/ Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 20. Tendências de 2020 20 https://www.immersivelabs.com/resources/blog/the-evolution-of-ransomware/ Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 22. 22
  • 23. 23
  • 24. 24
  • 25. 25
  • 26. Links 26 ● https://thehack.com.br/stj-e-vitima-de-ransomware-e-tem-seus-dados-e-os-backups-criptografa dos/ ● https://www.uol.com.br/tilt/noticias/redacao/2020/11/07/ransomexx-virus-que-atingiu-stj-tam bem-atacou-tj-pe-e-outros-paises.htm ● https://olhardigital.com.br/fique_seguro/noticia/ransomware-que-afeta-stj-ja-atingiu-empresas- e-governos-fora-do-brasil/109866 ● https://tecnoblog.net/381722/stj-confirma-ataque-de-ransomware-e-recebe-ajuda-da-microsoft/ ● https://minutodaseguranca.blog.br/possiveis-falhas-no-caso-do-ransomware-do-stj/ ● https://olhardigital.com.br/fique_seguro/noticia/stj-se-restabelece-apos-ransomware-mas-pf-in vestiga-copia-de-dados/110209 Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 28. Modus Operandi ● Obtivemos dois exemplares: ○ Notepad.exe (https://corvus.inf.ufpr.br/reports/12243/) ■ MD5: 80cfb7904e934182d512daa4fe0abbfb ■ SHA1: 9df15f471083698b818575c381e49c914dee69de ○ Arquivo ELF (https://corvus.inf.ufpr.br/reports/12244/) ■ MD5: aa1ddf0c8312349be614ff43e80a262f ■ SHA1: 91ad089f5259845141dfb10145271553aa711a2b ● O PE é um loader ○ Detalhes a seguir… ● O ransomware é o arquivo ELF, com execução “manual” ○ Ao se passar um diretório como argumento, a cifragem acontece... ○ Mesmo artefato (RansomEXX) esteve envolvido nos ataques ao TXDoT em maio/2020! ■ https://www.bleepingcomputer.com/news/security/new-ransom-x-ransomware-used-in-texas-txdot-cyberattack/ 28 Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 30. RansomExx 30 Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 31. RansomExx 31 Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 32. RansomExx 32 Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 33. RansomExx 33 Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 34. RansomExx 34 Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 35. RansomExx 35 Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 36. RansomExx 36 Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 37. RansomExx 37 Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 38. RansomExx 38 Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 39. Para Onde Vamos? 39 Educação ainda é a chave...
  • 40. PoS Ransomware 40 Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 41. ● Não negligencie seu BACKUP! Como se proteger 41 https://cartilha.cert.br/ransomware/ransomware-folheto.pdf Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 42. ● Não negligencie seu BACKUP! ● Além disso: ○ Evite acesso desmedido a links e anexos em e-mails ○ Preste atenção em malvertising e use um bloqueador de ads ○ Desabilite funcionalidades desnecessárias/extras em leitores de PDF, como execução de JavaScript ○ Mantenha SO, browsers, aplicativos, plug-ins, serviços e mecanismos de segurança atualizados ○ Desenvolva políticas de segurança e as implemente na prática ○ Verifique o uso das políticas e o nível de alerta de seus usuários Como se proteger 42 Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 44. ● Faça BACKUP! ● Certifique-se de que seu BACKUP restaure ● Proteja seu BACKUP que está na rede ● Tenha um BACKUP offline das coisas mais importantes do seu BACKUP… Como se proteger 44 https://cartilha.cert.br/fasciculos/backup/fasciculo-backup.pdf Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 46. Conclusion ● Leituras ○ “The other guys: automated analysis of marginalized malware”: https://secret.inf.ufpr.br/papers/behemot.pdf ○ “A Ransomware in a Brazilian Justice Court”: https://secret.inf.ufpr.br/2020/11/06/a-ransomware-in-a-brazilian-justice-court/ ○ “Brazilian Justice Court Ransomware: Another piece in the Puzzle”: https://secret.inf.ufpr.br/2020/11/17/brazilian-justice-court-ransomware-another-piece- in-the-puzzle/ ○ “An Obfuscation Tour”: https://secret.inf.ufpr.br/2020/05/08/an-obfuscation-tour/ ○ “Ransomware in Times of Coronavirus”: https://secret.inf.ufpr.br/2020/05/08/ransomware-in-times-of-coronavirus/ 46 Introdução De Onde Viemos Modus Operandi Demonstração & Análise Para Onde Vamos? Considerações Finais
  • 47. 47 Integridade, confidencialidade, disponibilidade, ransomware Contato: {gregio, mfbotacin}@inf.ufpr.br Website: secret.inf.ufpr.br GTER 49 | GTS 35 30 DE NOVEMBRO A 1º DE DEZEMBRO DE 2020 EDIÇÃO ON-LINE André Grégio Federal University of Paraná, BR @abedgregio Marcus Botacin Federal University of Paraná, BR @MarcusBotacin SECurity & Reverse Engineering Team (SECRET) SECRET.INF.UFPR.BR