چگونه کارشناسان امنیتی باج افزار را کشف می کنند

چگونه کارشناسان امنیتی باج افزار را کشف می کنند

معمولاً اجرای قانون یا اشتباه باج‌افزار است که به آنها اجازه می‌دهد روند را معکوس کنند.

به گزارش اپست به نقل از اینجگت، هکرها از باج‌افزار برای تعقیب هر صنعتی استفاده می‌کنند و تا آنجا که می‌توانند برای دسترسی به فایل‌های قربانی پول دریافت می‌کنند. در شش ماه اول سال ۲۰۲۳، باج افزارهای باج افزار ۴۴۹ میلیون دلار از اهداف خود خارج کردند، حتی اگر اکثر دولت ها توصیه می کنند باج نپردازند. به طور فزاینده‌ای، متخصصان امنیتی با مجریان قانون گرد هم می‌آیند تا ابزارهای رمزگشایی رایگان را فراهم کنند – فایل‌های قفل شده را آزاد می‌کنند و وسوسه قربانیان را از بین می‌برند.

چند راه اصلی وجود دارد که رمزگشاهای باج‌افزار به ابزارهایی دست می‌یابند: مهندسی معکوس برای اشتباهات، کار با مجریان قانون و جمع‌آوری کلیدهای رمزگذاری در دسترس عموم. طول فرآیند بسته به پیچیدگی کد متفاوت است، اما معمولاً به اطلاعاتی در مورد فایل های رمزگذاری شده، نسخه های رمزگذاری نشده فایل ها و اطلاعات سرور از گروه هک نیاز دارد. «فقط داشتن فایل رمزگذاری شده خروجی معمولاً بی فایده است. Jakub Kroustek، مدیر تحقیقات بدافزار در کسب و کار آنتی ویروس Avast، گفت: شما به خود نمونه، فایل اجرایی نیاز دارید. این کار آسانی نیست، اما زمانی که کار می کند به قربانیان آسیب دیده سود می دهد.

ابتدا باید بفهمیم که رمزگذاری چگونه کار می کند. برای یک مثال بسیار ابتدایی، فرض کنید یک قطعه داده ممکن است به عنوان یک جمله قابل شناخت شروع شده باشد، اما زمانی که رمزگذاری شد مانند “J qsfgfs dbut up epht” ظاهر می شود. اگر بدانیم که یکی از کلمات رمزگذاری نشده در “J qsfgfs dbut up epht” قرار است “cats” باشد، می‌توانیم تعیین کنیم که برای دریافت نتیجه رمزگذاری شده چه الگوی روی متن اصلی اعمال شده است. در این مورد، فقط الفبای استاندارد انگلیسی است که هر حرف یک جا به جلو حرکت می کند: A تبدیل به B، B تبدیل به C، و “من گربه ها را به سگ ها ترجیح می دهم” به رشته مزخرفات بالا تبدیل می شود. برای انواع رمزگذاری که توسط گروه‌های باج‌افزار استفاده می‌شود، بسیار پیچیده‌تر است، اما اصل یکسان است. الگوی رمزگذاری به عنوان “کلید” نیز شناخته می شود و با استنباط کلید، محققان می توانند ابزاری ایجاد کنند که بتواند فایل ها را رمزگشایی کند.

برخی از اشکال رمزگذاری، مانند استاندارد رمزگذاری پیشرفته کلیدهای ۱۲۸، ۱۹۲ یا ۲۵۶ بیتی، عملاً غیرقابل شکستن هستند. در پیشرفته‌ترین سطح، بیت‌هایی از داده‌های «متن ساده» رمزگذاری‌نشده، که به تکه‌هایی به نام «بلوک» تقسیم می‌شوند، در ۱۴ دور تبدیل قرار می‌گیرند و سپس به شکل رمزگذاری‌شده – یا «متن رمز» – خروجی می‌شوند. جان کلی، معاون اطلاعات تهدید در شرکت نرم‌افزار امنیتی Trend Micro، می‌گوید: «ما هنوز فناوری محاسبات کوانتومی که بتواند فناوری رمزگذاری را بشکند، نداریم. اما خوشبختانه برای قربانیان، هکرها همیشه از روش‌های قوی مانند AES برای رمزگذاری فایل‌ها استفاده نمی‌کنند.

در حالی که برخی از طرح‌های رمزنگاری عملاً غیرقابل شکستن هستند، تکمیل آن علمی دشوار است و هکرهای بی‌تجربه احتمالاً اشتباه خواهند کرد. اگر هکرها از یک طرح استاندارد مانند AES استفاده نکنند و به جای آن تصمیم بگیرند که طرح خود را بسازند، محققان می توانند خطاها را جستجو کنند. چرا انها باید این کار را انجام دهند؟ بیشتر منیت Jornt van der Wiel، محقق امنیت سایبری در Kaspersky، می‌گوید: «آنها می‌خواهند کاری را خودشان انجام دهند زیرا آن را دوست دارند یا فکر می‌کنند برای اهداف سرعت بهتر است».

به گفته کروستک، رمزگشاهای باج‌افزار از دانش خود در زمینه مهندسی نرم‌افزار و رمزنگاری برای دریافت کلید باج‌افزار و ایجاد ابزار رمزگشایی استفاده می‌کنند. فرآیندهای رمزنگاری پیشرفته‌تر ممکن است به اجبار بی‌رحمانه یا حدس‌های دقیق بر اساس اطلاعات موجود نیاز داشته باشند. گاهی اوقات هکرها از یک تولید کننده اعداد شبه تصادفی برای ایجاد کلید استفاده می کنند. یک RNG واقعی تصادفی خواهد بود، اما این بدان معناست که به راحتی قابل پیش بینی نیست. یک شبه RNG، همانطور که توسط van der Wiel توضیح داده شده است، ممکن است به یک الگوی موجود تکیه کند تا تصادفی ظاهر شود در حالی که واقعاً اینطور نیست – برای مثال، الگو ممکن است بر اساس زمان ایجاد آن باشد. اگر محققین بخشی از آن را بدانند، می توانند مقادیر زمانی مختلف را تا زمانی که کلید را استنباط کنند، امتحان کنند.

اما دریافت این کلید اغلب به همکاری با مجریان قانون برای به دست آوردن اطلاعات بیشتر در مورد نحوه کار گروه های هک متکی است. اگر محققان بتوانند آدرس IP هکر را دریافت کنند، می توانند از پلیس محلی درخواست کنند تا سرورها را توقیف کند و محتوای آنها را ذخیره کند. یا،به گفته ون در ویل، اگر هکرها از یک سرور پراکسی برای پنهان کردن مکان خود استفاده کرده باشند، پلیس ممکن است از تحلیلگرهای ترافیک مانند NetFlow برای تعیین اینکه ترافیک به کجا می رود و اطلاعات را از آنجا دریافت کند، استفاده کند. کنوانسیون بوداپست در مورد جرایم سایبری این امکان را در سراسر مرزهای بین‌المللی فراهم می‌کند، زیرا به پلیس اجازه می‌دهد تا زمانی که منتظر درخواست رسمی است، فوراً تصویر یک سرور در کشور دیگری را درخواست کند.

سرور اطلاعاتی درباره فعالیت‌های هکر ارائه می‌کند، مانند اینکه چه کسی ممکن است مورد هدف قرار بگیرد یا فرآیند آنها برای باج‌گیری. این می‌تواند به رمزگشاهای باج‌افزار فرآیندی را که هکرها برای رمزگذاری داده‌ها، جزئیات کلید رمزگذاری یا دسترسی به فایل‌هایی که می‌تواند به آنها در مهندسی معکوس فرآیند کمک می‌کند، طی کنند، بگوید. محققان گزارش‌های سرور را برای جزئیات جستجو می‌کنند، به همان روشی که ممکن است به دوستتان کمک کنید تا جزئیات را در تاریخ Tinder خود بیابد تا از درستی آن‌ها مطمئن شود، و به دنبال سرنخ‌ها یا جزئیاتی در مورد الگوهای مخربی هستند که می‌توانند به کشف مقاصد واقعی کمک کنند. برای مثال، محققان ممکن است بخشی از فایل متنی ساده را کشف کنند تا با فایل رمزگذاری شده مقایسه کنند تا فرآیند مهندسی معکوس کلید را آغاز کنند، یا شاید قسمت هایی از شبه RNG را پیدا کنند که بتواند الگوی رمزگذاری را توضیح دهد.

همکاری با مجریان قانون به Cisco Talos کمک کرد تا یک ابزار رمزگشایی برای باج افزار Babuk Tortilla ایجاد کند. این نسخه از باج‌افزار مراقبت‌های بهداشتی، تولیدی و زیرساخت‌های ملی، رمزگذاری دستگاه‌های قربانیان و حذف پشتیبان‌های ارزشمند را هدف قرار داده است. Avast قبلاً یک رمزگشای عمومی بابوک ایجاد کرده بود، اما شکست سویه Tortilla دشوار بود. پلیس هلند و سیسکو تالو با هم برای دستگیری فرد پشت فشار همکاری کردند و در این فرآیند به رمزگشای Tortilla دسترسی پیدا کردند.

اما اغلب ساده‌ترین راه برای دستیابی به این ابزارهای رمزگشایی از خود گروه‌های باج‌افزار سرچشمه می‌گیرد. شاید آنها در حال بازنشستگی هستند یا فقط احساس سخاوت می کنند، اما مهاجمان گاهی اوقات کلید رمزگذاری خود را به صورت عمومی منتشر می کنند. سپس کارشناسان امنیتی می توانند از کلید برای ایجاد یک ابزار رمزگشایی استفاده کرده و آن را برای قربانیان آزاد کنند تا از آینده استفاده کنند.

به طور کلی، متخصصان نمی‌توانند اطلاعات زیادی در مورد این فرآیند بدون ارائه باندهای باج‌افزار به اشتراک بگذارند. اگر اشتباهات رایج خود را فاش کنند، هکرها می توانند از آن برای بهبود تلاش های بعدی باج افزار خود استفاده کنند. اگر محققان به ما بگویند که اکنون روی چه فایل‌های رمزگذاری شده‌ای کار می‌کنند، باندها متوجه می‌شوند که با آن‌ها درگیر هستند. اما بهترین راه برای جلوگیری از پرداخت، فعال بودن است. Clay گفت: «اگر در پشتیبان‌گیری از داده‌های خود کار خوبی انجام داده‌اید، فرصت بسیار بیشتری برای پرداخت نکردن دارید.