web analytics

Ransomware op Linux – via CLI !!

Print Friendly, PDF & Email

De stelling dat Linux gebruikers op hun beide oren mochten slapen omdat Linux (bijna) geen virussen had wordt met de dag moeilijker te verdedigen.
Het klopt dat Windows executables, Active-X code en andere voor Windows geschreven malware afketsen op Linux, maar door het toenemend succes van Linux op de desktop en het feit dat steeds meer grote bedrijven gebruik maken van Linux leidt ertoe dat hackers langzaam maar zeker ook de Linux gemeenschap in het vizier nemen. De aanvallen zijn meestal gericht op Linux servers, maar aangezien een Linux server en een Linux desktop in feite grotendeels identiek zijn, maakt dat wij als modale Linux Desktop gebruikers plots ook van de klappen zouden kunnen delen.

Hieronder heb ik een artikeltje vertaald en wat minder technisch gemaakt van SophosLabs over ransomware die specifiek voor Linux geschreven is en die je een idee geeft van de manier van werken van die lui alsook wat je ertegen kan doen.


SophosLabs geeft meer uitleg over de Linux/Ransm-C een encryption toolkit malware voor Linux.

Het Linux/Ransm-C ‘product’ is simpelweg ransomware ingebakken in een klein commandolijn programma ontwikkeld om oplichters op weg te helpen bij blackmailen door encryptie van bestanden van Linux gebruikers.

Als je kijkt op welke mappen deze ransomware het gemunt heeft, zie je dat de Linux Desktop gebruiker niet het hoofddoel is van deze malware, maar jammer genoeg werkt die malware evengoed op een werkstation.
Het doelen van de ramsonware zijn duidelijk web- en database servers. Er wordt een soort Denial of Service (DoS) attack op de servers losgelaten terwijl de gegevens en zelfs de software op de server gegijzeld wordt door ze te vercijferen.

Er versies gezien die volgende vijf systemen kunnen besmetten:

  • 32-bit Linux
  • 32-bit System V Unix
  • 64-bit FreeBSD
  • 64-bit Linux
  • 64-bit System V Unix

Wat ongewoon is voor een hedendaags Linux/Unix program is het feit dat het programma statisch gelinkt is, wat betekent dat het programma zelf echt alles bevat om zijn vuile werk te doen. Dat behelst de runtime library code die het schrijven en lezen van bestanden toelaat tot en met de encryptie algoritmes om de gegevens te vercijferen en te ontcijferen.

Veel, zo niet all normale encryptie tools zijn dezer dagen dynamisch gelinkt, wat betekent dat ze gebruik maken van software componenten die reeds op het systeem geïnstalleerd zijn. Deze zijn beter gekend als shared libraries op Unix, of DLLs op Windows.

→ Door het delen van een centrale kopie van een gedeelde bibliotheek met meerdere producten win je niet enkel aan schijfruimte (ze gebruiken allen hetzelfde bestand) en geheugen (er moet maar één kopie van de gedeelde code ingeladen worden), maar het maakt ook bijwerken en versie controle gemakkelijker. Het nadeel van deze methode is dat een bug in een gedeelde bibliotheek veel software ineens raakt, maar aan de andere kant na het patchen van de gedeelde kopie fix je ook ineens alle programma’s die van die gedeelde bibliotheek gebruik maken.

Compact en alles in één bestand

Door alle componenten in één bestand te plaatsen maakt Linux/Ransm-C zichzelf veel gevaarlijker: zodra oplichters de code op je systeem krijgen, is de code niet afhankelijk van andere componenten die je geïnstalleerd hebt, omdat de code alle software onderdelen die het nodig heeft reeds in één bestand – zichzelf namelijk – bij de hand heeft.

Door deze aanpak zal de oplichter, zelfs als hij er maar in slaagt om in een beperkte omgeving waar de rechten heel strikt zijn de code te draaien, zal het ook daar heel veel schade aanrichten, of als het toegang krijgt tot enkele HTML pagina’s van je website of je login database kan dat al genoeg zijn om potentiële klanten te beletten online zaken te doen met je.

Om ruimte te besparen maakt Linux/Ransm-C geen gebruik van de populaire OpenSSL library, die een nogal groot project is, maar het gebruikt mbed TLS een encryptie bibliotheek die specifiek ontwikkeld was om klein en gemakkelijk in gebruik te zijn. (Een populair gebruik is bij embedded apparaten zoals routers, waar schijf- en geheugenruimte meestal beperkt zijn.)

Hoe werkt het

Als de oplichters de “tool” als volgt draait…

$ ./ransom encrypt publickeyfile

… dan zal het alle beschrijfbare bestanden op je computer vercijferen gebruik makend van een publieke sleutel voor de encryptie in een apart bestandje.

Vercijferde bestanden kun je er zo uitpikken: ze hebben allemaal de tekst .encrypted op het einde van de bestandsnaam.

Als de oplichter daarenboven een bestandje genaamd readme.crypto meelevert, zal je een kopie van dat bestandje onder de naam README_FOR_DECRYPT.txt terugvinden in iedere map waar de malware schade aangericht heeft.

Dat bestandje is de losgeld nota, die de oplichter gebruikt om je mee te delen hoe en hoeveel je moet betalen.

Later, als je er in geslaagd bent de corresponderende private sleutel te verkrigjen van de oplichter conform de richtlijnen die hij/zij je doorspeelde kan je het volgende doen…

$ ./ransom decrypt privatekeyfile

…om de vercijfering ongedaan te maken.

De details over hoe de oplichter de publieke-private sleutels aanmaakt, waar hij ze plaatst, hoe hij ze verkoopt en hoeveel hij vraagt is volledig door hem te bepalen.

Linux/Ransm-C geeft hem enkel het kwaadaardige mechanisme die hij nodig heeft voor de vercijfering, zodat hij je kan dwingen hem te betalen.

Ouch.

Wat kan je doen

De klassieke raadgevingen gelden hier dus natuurlijk:

  • Patch! Om die malware te gebruiken moet de oplichter juist twee kleine bestandjes op je systeem kunnen plaatsen:het malware programma en de publieke sleutel. Eender welk lek om van op afstand code te draaien is genoeg om je buiten je eigen systeem te sluiten.
  • Backup! Als je een betrouwbare manier hebt om je gecompromitteerde server of werkstation te restoren, zelf al verlies enkele last-minute aanpassingen, kan je herstellen van dit type aanval, zonder met de oplichters in contact te moeten komen.
  • Protect! Ja, een Linux anti-virus kan helpen. Op een Linux server of werkstation beschermd met Sophos Antivirus bijvoorbeeld zou Linux/Ransm-C een alarm genereren zodra de oplichter de code geüpload zou hebben en zou hij het niet kunnen opstarten omdat de anti-virus het zou blokkeren.

sav-for-linux

Origineel: https://nakedsecurity.sophos.com/2015/11/11/ransomware-meets-linux-on-the-command-line/

 

667 totaal aantal vertoningen, 2 aantal vertoningen vandaag

Beoordeling

1 Reactie

  1. François

    Canonical het bedrijf achter Ubuntu heeft mijns insziens de verkeerde beslissing genomen om met Microsoft gaan samen in zee te gaan.
    Door Bash in Windows te integreren zal Ransomware in Linux doen toenemen mijns insziens.
    http://tweakers.net/nieuws/109807/microsoft-en-canonical-brengen-bash-naar-windows.html

    Reageren

Geef een reactie

%d bloggers liken dit: