Petyaと遊ぼう(3)

💀:PCどうなったん?
MBRが書き換えられてOSが起動しなくなった。
またファイルを暗号化されてしまっている。

💀:なんでこんなことするん?
ファイルを人質に取って身代金をせしめるのが目的のようだ。

💀:儲かるん?
これがどうも結構儲かるらしいんだ。。
過去のランサムウェアの例では身代金で何百億もの金を集めた例が存在する。
http://www.security-next.com/063951

💀:直るん?
「無理」※だ。
例えば数字4桁の鍵なら0000~9999まで全部試せばいつかは開くが、
petyaはファイルの暗号化にAES128やsalsa20という暗号化技術が用いられている。
計算が得意であるコンピュータを使っても、復号に何十年、何百年とかかる代物だ。

今回のサンプルに至っては、暗号化に使った鍵(ランダムに生成された)を捨てちまうため暗号化した側も元に戻せないんだとさ!
つまりファイルを復号するのはまず不可能というわけだ。。
https://blog.trendmicro.co.jp/archives/15353

💀:でも鍵買えって、、
鍵買っても直る保証はないよね。。上記の通り鍵捨てちゃうやつもいるし。
今回のpetyaの例では攻撃者とのやりとりに使われる予定だったメールアカウントが速攻でBANされたため、
金を払ったところで攻撃者側は誰が払ってくれたかわからんし、被害者側は攻撃者と連絡つかんし、、な状態だったらしい。
そもそも直してくれたかもわからんよね。

💀:どうすりゃいいん?
覆水盆に返らずインジャパニーズっすわ。。。

よく言われることとして、、
  • 重要なファイルはバックアップ取っておこう
  • ウイルス対策やっとこう
  • メールの添付ファイルはむやみに開かないこと
  • OSやソフトウェアの脆弱性を攻撃して勝手に入ってくることもあるため、バージョンアップやパッチの適用はこまめにやろう
とかですかね。。。

さて、次回はドクロピカピカどうやってるかを調べて行くぞ~
本線の方が脱線してる感じあるなこれ(;´Д`)


※初期に登場したpetyaに対してはスーパーハカーがファイルの復号方法を発見公開している。
https://blog.kaspersky.co.jp/petya-decryptor/10990/
http://blog.f-secure.jp/archives/50766383.html
https://github.com/leo-stone/hack-petya

Comments

Post a Comment

Popular posts from this blog

Firmware dumping via SPI

Image
I tried firmware dumping via SPI with Attify badge and Attify OS. Target camera is this one.. This camera seems to be famous among the IoT hackers. You would find many IoT hacking blogs about this camera. After the preview, I have extracted board. This time, I'd like to focus on Flash memory. It looks mxic mx25l12835f. From model number, we can find data-sheet. MX25L12835F . Now, let's connect flash memory pin and Attify Badge. Attify badge pin layout is.. D0 : SCK D1 : MISO  D2 : MOSI  D3 : CS  I have connected flash memory and Attify badge like this. D0 - SCLK(6) D1 - SI(5)  D2 - SO(2)  D3 - CS(1)  GND - GND(4)  3.3V - VCC(8)  3.3V - RESET(7)  3.3V - WP(3)  We dont need to connect power plug to camera. It is supplied via badge. For testing, trying spiflash.py and -i parameter. According to the python code, it returns ChipID. This command can be used for connectivity tesingt. "00 00 00" or "FF FF FF" seem to mean fai
Read more

BochsでMBR debugging

Image
今回は前回取り出したPetyaに書き換えられてしまったMBRをBochsで動かしてみよう。 https://ja.wikipedia.org/wiki/Bochs Bochsはここから入手できる。 http://bochs.sourceforge.net/getcurrent.html Bochsも前に出てきたVMware同様PCエミュレータなのだけど、 こいつはMBRのdebugができてしまうんだ。 OSが起動するより前のコードを追えるってわけだね。 そりゃ面白そうだ~笑 キモは設定ファイルの書き方くらいかなと。 サンプルの設定ファイルがあるのでチェックしてみて。 Bochs-2.6.9\bochsrc-sample.txt   多分もっとシンプルにもできるんだと思うんだけど、、 筆者のはこんな感じ。 romimage: file=$BXSHARE/BIOS-bochs-latest vgaromimage: file=$BXSHARE/VGABIOS-lgpl-latest megs: 16 ata0: enabled=1, ioaddr1=0x1f0, ioaddr2=0x3f0, irq=14 ata0-master: type=disk, path="petya.img", mode=flat, cylinders=1, heads=16, spt=63 boot: disk vga: extension=vbe mouse: enabled=0 log: nul logprefix: %t%e%d panic: action=fatal error: action=report info: action=report debug: action=ignore   こいつをファイル名を変えてbochsrcとして保存。.txtもいらない。 Bochs-2.6.9\bochsrc 設定ファイルのポイントは赤文字のところ!! path="" には取り出したMBRのパスを記入する。 そして、もうひとつ重要なのが、Bochsに読み込ませるディスクイメージのサイズは512の倍数でなければいけないんだ。 どういうこっちゃ??なのだけど、、 切り出したMBRをバイナリエディタで読み
Read more

Petyaのドクロのコードが見たい

Image
いよいよMBRの中のコードを覗いてみる…。 のだけどどうやって??? IDA proってツールを使います。 ベルギーのhex-raysって会社が出しているdisassembler。 フリーウェア版でも十分使える。 ライセンス版は2000ドル(!)くらいするのだが、x64も読めちゃう。 supports more than 50 processor families なんて書いてあるが、世の中にはそんなにプロセッサの種類あるんだね草。 よりマニアックなcpu instructionが見たいぜ!!という諸兄には必携かと。 https://www.hex-rays.com/products/ida/support/download_freeware.shtml 保存したpetya.imgの拡張子を.comに変えてから読み込むと捗る。 アセンブラの命令を一個一個解説していくことは困難なためさわりだけでオナシャス。。 bochsでステップ実行しながら、表示を比較していくとよい。 http://bochs.sourceforge.net/doc/docbook/user/internal-debugger.html 以下のコードで一文字づつ画面に書き込み。 https://en.wikipedia.org/wiki/INT_10H によると、、Teletype output てので出力してるみたいだね。 seg000:4C26 WRITE_CHAR_ANDADVANCE_CURSOR proc near ; CODE XREF: WRITE_CHAR_ANDADVANCE_CURSOR_0+E p seg000:4C26 ; sub_14C54+57 p ... seg000:4C26 seg000:4C26 arg_0 = byte ptr 4 seg000:4C26 seg000:4C26 55 push bp seg000:4C27 8B EC mov
Read more