چگونه کارشناسان امنیتی باج افزار را کشف می کنند
معمولاً اجرای قانون یا اشتباه باجافزار است که به آنها اجازه میدهد روند را معکوس کنند.
به گزارش اپست به نقل از اینجگت، هکرها از باجافزار برای تعقیب هر صنعتی استفاده میکنند و تا آنجا که میتوانند برای دسترسی به فایلهای قربانی پول دریافت میکنند. در شش ماه اول سال ۲۰۲۳، باج افزارهای باج افزار ۴۴۹ میلیون دلار از اهداف خود خارج کردند، حتی اگر اکثر دولت ها توصیه می کنند باج نپردازند. به طور فزایندهای، متخصصان امنیتی با مجریان قانون گرد هم میآیند تا ابزارهای رمزگشایی رایگان را فراهم کنند – فایلهای قفل شده را آزاد میکنند و وسوسه قربانیان را از بین میبرند.
چند راه اصلی وجود دارد که رمزگشاهای باجافزار به ابزارهایی دست مییابند: مهندسی معکوس برای اشتباهات، کار با مجریان قانون و جمعآوری کلیدهای رمزگذاری در دسترس عموم. طول فرآیند بسته به پیچیدگی کد متفاوت است، اما معمولاً به اطلاعاتی در مورد فایل های رمزگذاری شده، نسخه های رمزگذاری نشده فایل ها و اطلاعات سرور از گروه هک نیاز دارد. «فقط داشتن فایل رمزگذاری شده خروجی معمولاً بی فایده است. Jakub Kroustek، مدیر تحقیقات بدافزار در کسب و کار آنتی ویروس Avast، گفت: شما به خود نمونه، فایل اجرایی نیاز دارید. این کار آسانی نیست، اما زمانی که کار می کند به قربانیان آسیب دیده سود می دهد.
ابتدا باید بفهمیم که رمزگذاری چگونه کار می کند. برای یک مثال بسیار ابتدایی، فرض کنید یک قطعه داده ممکن است به عنوان یک جمله قابل شناخت شروع شده باشد، اما زمانی که رمزگذاری شد مانند “J qsfgfs dbut up epht” ظاهر می شود. اگر بدانیم که یکی از کلمات رمزگذاری نشده در “J qsfgfs dbut up epht” قرار است “cats” باشد، میتوانیم تعیین کنیم که برای دریافت نتیجه رمزگذاری شده چه الگوی روی متن اصلی اعمال شده است. در این مورد، فقط الفبای استاندارد انگلیسی است که هر حرف یک جا به جلو حرکت می کند: A تبدیل به B، B تبدیل به C، و “من گربه ها را به سگ ها ترجیح می دهم” به رشته مزخرفات بالا تبدیل می شود. برای انواع رمزگذاری که توسط گروههای باجافزار استفاده میشود، بسیار پیچیدهتر است، اما اصل یکسان است. الگوی رمزگذاری به عنوان “کلید” نیز شناخته می شود و با استنباط کلید، محققان می توانند ابزاری ایجاد کنند که بتواند فایل ها را رمزگشایی کند.
برخی از اشکال رمزگذاری، مانند استاندارد رمزگذاری پیشرفته کلیدهای ۱۲۸، ۱۹۲ یا ۲۵۶ بیتی، عملاً غیرقابل شکستن هستند. در پیشرفتهترین سطح، بیتهایی از دادههای «متن ساده» رمزگذارینشده، که به تکههایی به نام «بلوک» تقسیم میشوند، در ۱۴ دور تبدیل قرار میگیرند و سپس به شکل رمزگذاریشده – یا «متن رمز» – خروجی میشوند. جان کلی، معاون اطلاعات تهدید در شرکت نرمافزار امنیتی Trend Micro، میگوید: «ما هنوز فناوری محاسبات کوانتومی که بتواند فناوری رمزگذاری را بشکند، نداریم. اما خوشبختانه برای قربانیان، هکرها همیشه از روشهای قوی مانند AES برای رمزگذاری فایلها استفاده نمیکنند.
در حالی که برخی از طرحهای رمزنگاری عملاً غیرقابل شکستن هستند، تکمیل آن علمی دشوار است و هکرهای بیتجربه احتمالاً اشتباه خواهند کرد. اگر هکرها از یک طرح استاندارد مانند AES استفاده نکنند و به جای آن تصمیم بگیرند که طرح خود را بسازند، محققان می توانند خطاها را جستجو کنند. چرا انها باید این کار را انجام دهند؟ بیشتر منیت Jornt van der Wiel، محقق امنیت سایبری در Kaspersky، میگوید: «آنها میخواهند کاری را خودشان انجام دهند زیرا آن را دوست دارند یا فکر میکنند برای اهداف سرعت بهتر است».
به گفته کروستک، رمزگشاهای باجافزار از دانش خود در زمینه مهندسی نرمافزار و رمزنگاری برای دریافت کلید باجافزار و ایجاد ابزار رمزگشایی استفاده میکنند. فرآیندهای رمزنگاری پیشرفتهتر ممکن است به اجبار بیرحمانه یا حدسهای دقیق بر اساس اطلاعات موجود نیاز داشته باشند. گاهی اوقات هکرها از یک تولید کننده اعداد شبه تصادفی برای ایجاد کلید استفاده می کنند. یک RNG واقعی تصادفی خواهد بود، اما این بدان معناست که به راحتی قابل پیش بینی نیست. یک شبه RNG، همانطور که توسط van der Wiel توضیح داده شده است، ممکن است به یک الگوی موجود تکیه کند تا تصادفی ظاهر شود در حالی که واقعاً اینطور نیست – برای مثال، الگو ممکن است بر اساس زمان ایجاد آن باشد. اگر محققین بخشی از آن را بدانند، می توانند مقادیر زمانی مختلف را تا زمانی که کلید را استنباط کنند، امتحان کنند.
اما دریافت این کلید اغلب به همکاری با مجریان قانون برای به دست آوردن اطلاعات بیشتر در مورد نحوه کار گروه های هک متکی است. اگر محققان بتوانند آدرس IP هکر را دریافت کنند، می توانند از پلیس محلی درخواست کنند تا سرورها را توقیف کند و محتوای آنها را ذخیره کند. یا،به گفته ون در ویل، اگر هکرها از یک سرور پراکسی برای پنهان کردن مکان خود استفاده کرده باشند، پلیس ممکن است از تحلیلگرهای ترافیک مانند NetFlow برای تعیین اینکه ترافیک به کجا می رود و اطلاعات را از آنجا دریافت کند، استفاده کند. کنوانسیون بوداپست در مورد جرایم سایبری این امکان را در سراسر مرزهای بینالمللی فراهم میکند، زیرا به پلیس اجازه میدهد تا زمانی که منتظر درخواست رسمی است، فوراً تصویر یک سرور در کشور دیگری را درخواست کند.
سرور اطلاعاتی درباره فعالیتهای هکر ارائه میکند، مانند اینکه چه کسی ممکن است مورد هدف قرار بگیرد یا فرآیند آنها برای باجگیری. این میتواند به رمزگشاهای باجافزار فرآیندی را که هکرها برای رمزگذاری دادهها، جزئیات کلید رمزگذاری یا دسترسی به فایلهایی که میتواند به آنها در مهندسی معکوس فرآیند کمک میکند، طی کنند، بگوید. محققان گزارشهای سرور را برای جزئیات جستجو میکنند، به همان روشی که ممکن است به دوستتان کمک کنید تا جزئیات را در تاریخ Tinder خود بیابد تا از درستی آنها مطمئن شود، و به دنبال سرنخها یا جزئیاتی در مورد الگوهای مخربی هستند که میتوانند به کشف مقاصد واقعی کمک کنند. برای مثال، محققان ممکن است بخشی از فایل متنی ساده را کشف کنند تا با فایل رمزگذاری شده مقایسه کنند تا فرآیند مهندسی معکوس کلید را آغاز کنند، یا شاید قسمت هایی از شبه RNG را پیدا کنند که بتواند الگوی رمزگذاری را توضیح دهد.
همکاری با مجریان قانون به Cisco Talos کمک کرد تا یک ابزار رمزگشایی برای باج افزار Babuk Tortilla ایجاد کند. این نسخه از باجافزار مراقبتهای بهداشتی، تولیدی و زیرساختهای ملی، رمزگذاری دستگاههای قربانیان و حذف پشتیبانهای ارزشمند را هدف قرار داده است. Avast قبلاً یک رمزگشای عمومی بابوک ایجاد کرده بود، اما شکست سویه Tortilla دشوار بود. پلیس هلند و سیسکو تالو با هم برای دستگیری فرد پشت فشار همکاری کردند و در این فرآیند به رمزگشای Tortilla دسترسی پیدا کردند.
اما اغلب سادهترین راه برای دستیابی به این ابزارهای رمزگشایی از خود گروههای باجافزار سرچشمه میگیرد. شاید آنها در حال بازنشستگی هستند یا فقط احساس سخاوت می کنند، اما مهاجمان گاهی اوقات کلید رمزگذاری خود را به صورت عمومی منتشر می کنند. سپس کارشناسان امنیتی می توانند از کلید برای ایجاد یک ابزار رمزگشایی استفاده کرده و آن را برای قربانیان آزاد کنند تا از آینده استفاده کنند.
به طور کلی، متخصصان نمیتوانند اطلاعات زیادی در مورد این فرآیند بدون ارائه باندهای باجافزار به اشتراک بگذارند. اگر اشتباهات رایج خود را فاش کنند، هکرها می توانند از آن برای بهبود تلاش های بعدی باج افزار خود استفاده کنند. اگر محققان به ما بگویند که اکنون روی چه فایلهای رمزگذاری شدهای کار میکنند، باندها متوجه میشوند که با آنها درگیر هستند. اما بهترین راه برای جلوگیری از پرداخت، فعال بودن است. Clay گفت: «اگر در پشتیبانگیری از دادههای خود کار خوبی انجام دادهاید، فرصت بسیار بیشتری برای پرداخت نکردن دارید.