Jak registrace domény pomohla zastavit útok ransomware
16.5.2017, Jan Vítek, aktualita
Že by registrace domény mohla pomoci zastavit útok ransomwaru, nebo prostě malwaru, vypadá na první pohled jako čirý nesmysl. Ovšem přesně to se stalo právě před několika dny, když zaútočil WannaCry po celém světě.
Tomuto útoku jsme se nedávno věnovali z pohledu Microsoftu, který je označil za budíček především pro světové vlády, které se mají začít mnohem více věnovat tomu, aby jejich organizace provozovaly aktualizované systémy, jež nebude tak snadné ovládnout. Před několika dny to poznalo nejdříve britské zdravotnictví a španělská Telefónica, ale pak se útok malwaru WannaCry (známý i jako WanaCrypt0r 2.0) rozšířil do celého světa nás nevyjímaje.
WannaCry je udělán tak, aby po proniknutí do cizího systému zašifroval soubory s vybranými příponami a po této skryté akci pak ukáže uživateli výzvu k zaplacení. Po uplynutí jisté lhůty je pak už opětovné rozšifrování nemožné, takže uživatel je nucen konat rychle. Má tak na výběr dvě prosté možnosti: zaplatit a doufat, že mu útočníci umožní soubory rozšifrovat, nebo se spokojit s tím, že o zašifrované kopie dat přišel, což je další důvod k provádění záloh.
Útok WannaCry přirozeně vyvolal zájem mnoha lidí zabývajících se zabezpečením v IT a mezi nimi byl i jistý MalwareTech. Ten si v malwaru všiml neobvyklých domén složených z náhodných znaků, ale ty vždy končily řetězcem "gwea.com". Tato doména byla dosud neregistrována, a tak si ji MalwareTech sám registroval za 10 dolarů v naději, že tak zjistí o WannaCry více informací. Veškerý provoz adresovaný na tuto doménu pak přesměroval na server určený k odchytávání dat malwaru, který se obvykle označuje jako jímka (sinkhole). Stalo se ale něco neočekávaného. WannaCry po zjištění, že gwea.com je už živá doména, přestal útočit na další počítače.
Ukázalo se, že každá nová instance WannaCry před zašifrováním souborů na počítači nejdříve zkusí kontaktovat danou doménu a pokud se jí to podaří, vypne se. Na gwea.com tak v průběhu útoku přicházely pingy z celého světa hned jak se tato doména aktivovala, takže se dá říci, že právě to zastavilo šíření tohoto ransomware. Otázka je, proč byl takto napsán a nabízí se prostý fakt, že jde o zabudovanou pojistku a jakýsi generální stop pro všechny případy. Ale spíše jde o jinou věc, a sice o ochranu proti analýze v prostředí sandboxu. Malware je totiž obvykle zkoumán v tomto chráněném prostředí, kde jsou mu podstrkovány virtuální adresy, pokud si o ně řekne. A právě proto, že doména gwea.com by neměla existovat, jejím dosažením si kopie WannaCry najednou začaly myslet, že běží v sandboxu. V takovém případě se deaktivují, aby ransomware nešlo tak snadno analyzovat.
Příští verze tohoto ransomware, které stále mají ve světě mnoho cílů, ale už tuto pojistku mít nemusí. Vedle toho MalwareTech udává, že dle jeho informací lidé po zaplacení výkupného mnohdy nedostávají možnost rozšifrování svých dat. Je možné, že útočníci se na ně prostě vykašlali, ale také to může znamenat prostě jen to, že požadavky nestačí vyřizovat, neboť ransomware nevypadá v tomto ohledu jako automatizovaný. Ostatně pokud by mělo být pravidlem, že po zaplacení za rozšifrování dat nepřijde žádná reakce, mohlo by se to brzy rozkřiknout a o to méně by ransomware "vydělal".
Zdroj: Extremetech
WannaCry je udělán tak, aby po proniknutí do cizího systému zašifroval soubory s vybranými příponami a po této skryté akci pak ukáže uživateli výzvu k zaplacení. Po uplynutí jisté lhůty je pak už opětovné rozšifrování nemožné, takže uživatel je nucen konat rychle. Má tak na výběr dvě prosté možnosti: zaplatit a doufat, že mu útočníci umožní soubory rozšifrovat, nebo se spokojit s tím, že o zašifrované kopie dat přišel, což je další důvod k provádění záloh.
Útok WannaCry přirozeně vyvolal zájem mnoha lidí zabývajících se zabezpečením v IT a mezi nimi byl i jistý MalwareTech. Ten si v malwaru všiml neobvyklých domén složených z náhodných znaků, ale ty vždy končily řetězcem "gwea.com". Tato doména byla dosud neregistrována, a tak si ji MalwareTech sám registroval za 10 dolarů v naději, že tak zjistí o WannaCry více informací. Veškerý provoz adresovaný na tuto doménu pak přesměroval na server určený k odchytávání dat malwaru, který se obvykle označuje jako jímka (sinkhole). Stalo se ale něco neočekávaného. WannaCry po zjištění, že gwea.com je už živá doména, přestal útočit na další počítače.
Ukázalo se, že každá nová instance WannaCry před zašifrováním souborů na počítači nejdříve zkusí kontaktovat danou doménu a pokud se jí to podaří, vypne se. Na gwea.com tak v průběhu útoku přicházely pingy z celého světa hned jak se tato doména aktivovala, takže se dá říci, že právě to zastavilo šíření tohoto ransomware. Otázka je, proč byl takto napsán a nabízí se prostý fakt, že jde o zabudovanou pojistku a jakýsi generální stop pro všechny případy. Ale spíše jde o jinou věc, a sice o ochranu proti analýze v prostředí sandboxu. Malware je totiž obvykle zkoumán v tomto chráněném prostředí, kde jsou mu podstrkovány virtuální adresy, pokud si o ně řekne. A právě proto, že doména gwea.com by neměla existovat, jejím dosažením si kopie WannaCry najednou začaly myslet, že běží v sandboxu. V takovém případě se deaktivují, aby ransomware nešlo tak snadno analyzovat.
Příští verze tohoto ransomware, které stále mají ve světě mnoho cílů, ale už tuto pojistku mít nemusí. Vedle toho MalwareTech udává, že dle jeho informací lidé po zaplacení výkupného mnohdy nedostávají možnost rozšifrování svých dat. Je možné, že útočníci se na ně prostě vykašlali, ale také to může znamenat prostě jen to, že požadavky nestačí vyřizovat, neboť ransomware nevypadá v tomto ohledu jako automatizovaný. Ostatně pokud by mělo být pravidlem, že po zaplacení za rozšifrování dat nepřijde žádná reakce, mohlo by se to brzy rozkřiknout a o to méně by ransomware "vydělal".
Zdroj: Extremetech
