Il ransomware è l'attacco che fa più notizia mediatica, un artefatto che fa delle azioni semplici, con un impatto severo. Creare un ransomware è un gioco da ragazzi. Dai ad una scimmia una macchina da scrivere, essa a furia di sbagliare e ritentare alla fine scriverà un poema.
Come possiamo dedurre dall'immagine seguente, abbiamo di fronte un noto EDR che blocca i permessi di modifica/cancellazione per i file collocati nelle cartelle protette, che nel mio caso ho selezionato manualmente.
Il mio obiettivo è stato quello di emulare il comportamento di un ransomware, fileless attack, sfruttando una semplice reverse shell.
-> [LOCALMENTE] Injection di shellcode in PE legit di MS Office (FUD). La firma digitale dell'artefatto finale è stata invalidata, tuttavia l'EDR si è fidato, garantendo write permission alla cartella protetta. Inviare il PE al target OS;
-> [TARGET] Download dei file collocati nelle folder del target all'OS dell'attaccante;
-> [LOCALMENTE] Compressione dei contenuti in un archivio SFX generato con 7zip, AES256 e password;
-> [TARGET] Cancellazione del contenuto nella cartella protetta, e sostituito con l'archivio SFX;
-> [TARGET] 2 copie di una nota ransom
-> [TARGET] Riavvio del sistema. Al riavvio i contenuti sono spariti, sostituiti dall'archivio SFX e dalla nota ransom.
Come potete osservare da quest'esperimento, il ransomware non è neppure il ransomware. E' solo cattiveria. In qualunque modo è possibile emulare quest'attacco, anche con una semplice reverse shell e 7zip, bypassando l'EDR con facilità. Pensare che quest'attacco sia necessariamente condotto da un payload che cripta tutto quando l'user ci clicca sopra è... Insufficente, altrimenti Avast mi avrebbe fermato.
Come possiamo dedurre dall'immagine seguente, abbiamo di fronte un noto EDR che blocca i permessi di modifica/cancellazione per i file collocati nelle cartelle protette, che nel mio caso ho selezionato manualmente.
Il mio obiettivo è stato quello di emulare il comportamento di un ransomware, fileless attack, sfruttando una semplice reverse shell.
-> [LOCALMENTE] Injection di shellcode in PE legit di MS Office (FUD). La firma digitale dell'artefatto finale è stata invalidata, tuttavia l'EDR si è fidato, garantendo write permission alla cartella protetta. Inviare il PE al target OS;
-> [TARGET] Download dei file collocati nelle folder del target all'OS dell'attaccante;
-> [LOCALMENTE] Compressione dei contenuti in un archivio SFX generato con 7zip, AES256 e password;
-> [TARGET] Cancellazione del contenuto nella cartella protetta, e sostituito con l'archivio SFX;
-> [TARGET] 2 copie di una nota ransom
.txt. Una collocata accanto all'archivio, la seconda in Startup-> [TARGET] Riavvio del sistema. Al riavvio i contenuti sono spariti, sostituiti dall'archivio SFX e dalla nota ransom.
Come potete osservare da quest'esperimento, il ransomware non è neppure il ransomware. E' solo cattiveria. In qualunque modo è possibile emulare quest'attacco, anche con una semplice reverse shell e 7zip, bypassando l'EDR con facilità. Pensare che quest'attacco sia necessariamente condotto da un payload che cripta tutto quando l'user ci clicca sopra è... Insufficente, altrimenti Avast mi avrebbe fermato.