In den letzten Jahren hat die Cyber-Welt verschiedene Trends in der Malware-Landschaft erlebt. Von einfachen Viren und Würmern über DDoS-Botnets bis hin zu Banking-Trojanern stecken kriminelle Organisationen und Malware-Autoren ihre Ziele immer höher. Stets sind sie darum bemüht, ihre ausgefeilten Angriffstaktiken den ebenfalls immer besseren Fähigkeiten der Sicherheitslösungen anzupassen. Die Cyber-Kriminellen wollen den Technologien für Erkennung und Prävention immer möglichst einen Schritt voraus sein. Eine der jüngsten Entwicklungen dieses Katz-und-Maus-Spiels ist die Verschlüsselung fremder Daten durch Ransomware, die in letzter Zeit von den Cyber-Kriminellen immer häufiger herangezogen wird, um von den Betroffenen "Lösegeld" zu erpressen.
Eine Verschlüsselungs-Ransomware ist eine bösartige Software, die einen Computer infiziert und alle wertvollen Dateien verschlüsselt. Die Ransomware erreicht den Computer über eine Sicherheitslücke - in der Regel in einem Browser oder einem Dokumentenleser - oder über eine durch den ahnungslosen Benutzer heruntergeladene ausführbare Datei. Der Schadcode verschlüsselt dann wertvolle Dateien auf dem Rechner, etwa Dokumente, Bilder, Zertifikate etc. Daraufhin erhält der User eine "Lösegeld"-Forderung für die Entschlüsselung der Daten.
Der für die Entschlüsselung benötigte Schlüssel wird auf einen Remote-C&C-Server hochgeladen und nicht auf dem lokalen Computer gespeichert, so dass eine Sanierung sehr schwierig ist. Das Entfernen der Malware reicht nicht, da der Großteil der Dateien des Benutzers bereits verschlüsselt ist und ohne den Schlüssel nicht wiederhergestellt werden kann. Wenn das Opfer nicht innerhalb eines vorgegebenen Zeitrahmens zahlt, sind die Chancen für eine Wiederherstellung gering. Die Wirksamkeit dieser Taktik hat zur steigenden Beliebtheit bei den Cyber-Kriminellen beigetragen, die es damit auf Einzelpersonen und Unternehmen gleichermaßen abgesehen haben.
Ransomware aus einem anderen Blickwinkel
Die meisten Beiträge zum Thema Ransomware-Verschlüsselung fokussieren sich auf die Infektionsmethoden, den Verschlüsselungsalgorithmus oder die C&C-Server-Kommunikation. Ransomware lässt sich aber auch aus einem anderen Blickwinkel betrachten: die Analyse der Dateioperationen, die Ransomware auf den zu verschlüsselnden Dateien vornimmt. Eine allgemeine Übersicht mit einfachen Methoden kann den nötigen Einblick in das Verhalten der Malware liefern, bevor man sich in kleinen Details verliert.
Verschlüsselungs-Ransomware lässt sich in drei Kategorien unterteilen, basierend auf der Art, wie sie auf Dateien zugreift und diese verändert: Erstens "Write-in-place", also Schreiben an Ort und Stelle, zweitens "Rename-and-encrypt", also Umbenennen und Verschlüsseln - und drittens - "Create-encrypt-and-delete", also Erstellen, Verschlüsseln und Löschen.
"Im Rahmen unserer Forschung zur Bekämpfung von Ransomware haben wir viele Samples und Varianten unterschiedlicher Herkunft analysiert. Darauf basierend haben wir einige Samples näher untersucht, um die Unterschiede bei den oben genannten Techniken zu verdeutlichen", erklärt Ryan Olson, Intelligence Director bei Unit 42, dem Malware-Analyseteam von Palo Alto Networks.
Kategorie Eins: Write-in-place
Die Ransomware dieser Kategorie geht folgendermaßen vor:
1. Erstellen einer temporären Datei.
2. Lesen der Originaldatei.
3. Verschlüsseln und Schreiben der Daten in die temporäre Datei.
4. Lesen der verschlüsselten Daten aus der temporären Datei.
5. Schreiben der Daten zurück auf die Originaldatei.
6. Löschen der temporären Datei.
Zu Ransomware dieser Art zählen CryptoLocker, Cryptowall, CryptoDefence und DirCrypt. Als temporärer Speicherbereich kann dabei auch Prozessspeicher anstatt einer temporären Datei verwendet werden, wobei die Malware in diesem Fall immer noch zu dieser Kategorie gehört. Ein Beispiel wäre ein analysiertes Sample der DirCrypt Ransomware, die auf Prozessspeicher als temporären Arbeitsbereich zurückgreift, wie im Folgenden dargestellt:
1. Öffnen der Datei mit Createfile.
2. Erfassen der Dateigröße und Datenlänge mit GetFileInformationByHandle.
3. Lesen der Daten der Datei, Verschlüsseln der Daten im Speicher und Schreiben der Daten auf die gleiche Datei.
4. Schließen der Datei.
Kategorie Zwei: Rename-and-encrypt
Bei Ransomware dieser Kategorie ist die Vorgehensweise wie folgt:
1. Umbenennen der Originaldatei.
2. Lesen der umbenannten Datei.
3. Verschlüsseln der Daten und Schreiben in die umbenannte Datei.
4. Umbenennen der Datei wieder mit dem ursprünglichen Namen (und einer Extension).
Ransomware wie Onion, CBT und Critroni geht nach dieser Methode vor. Diese Art der Abfolge ist komplexer als die erste Technik, da die Datei vor der Verschlüsselung umbenannt wird. Bei der Verteidigung müsste man daher den Überblick über alle verschiedenen Namen, die eine Datei haben kann, behalten. Die Analyse eines Onion-Ransomware-Samples zeigt die folgenden Aktionen, die auf den Dateien durchgeführt werden.
1. Öffnen der Datei mit Createfile.
2. Umbenennen der Datei mit SetFileInformationByHandle in eine Datei in einem temporären Verzeichnis mit der Bezeichnung 0.tmp
3. Erfassen der Dateigröße und Datenlänge mit GetFileInformationByHandle.
4. Lesen der umbenannten temporären Datei, Verschlüsseln der gelesenen Daten und erneutes Schreiben auf die gleiche Datei.
5. Festlegen einer neuen Dateigröße mit SetFileInformationByHandle.
6. Erneutes Umbenennen der Datei, diesmal auf den ursprünglichen Namen, im ursprünglichen Pfad, mit der Extension ".ctb2" mithilfe von SetFileInformationByHandle.
Beachtenswert ist dabei, dass die Malware GetFileInformationByHandle und SetFileInformationByHandle nutzt, um die ursprünglichen Zeitattribute der Datei zu erhalten.
Nachdem alle Dateien, die von Interesse sind, verschlüsselt wurden, erscheint die folgende Meldung:
Kategorie Drei: Create-encrypt-and-delete
Die von der Malware in dieser Kategorie vollzogenen Operationen sind:
1. Erstellen einer neuen Datei.
2. Schreiben der verschlüsselten Daten in die neue Datei.
3. Löschen der Originaldatei.
Ransomware wie ZeroLocker und TorrentLocker verwenden diese Methode zur Verschlüsselung von Dateien. Diese Technik ist am schwierigsten als bösartige Aktivität zu identifizieren, da die API-Aufrufe die Ereignisse von Erstellen, Schreiben und Löschen nicht anzeigen, dass sie die gleiche Datei betreffen. Darüber hinaus könnten legitime Operationen, wie das Verschieben von Dateien zwischen verschiedenen Festplatten, ähnliche Protokolle produzieren.
Die Analyse eines Samples der ZeroLocker-Ransomware-Variante zeigt, dass für jede der Dateien in einem Satz von vorbestimmten Verzeichnissen die folgenden Aktionen vorkommen:
1. Öffnen der Datei mit Createfile.
2. Erstellen einer neuen Datei an der gleichen Stelle, mit dem gleichen Namen und einer zusätzlichen ".encrypt"-Erweiterung.
3. Erfassen der Dateigröße und Datenlänge mit GetFileInformationByHandle.
4. Lesen der Originaldatei, Verschlüsseln und Schreiben auf die neu erstellte Datei.
5. Löschen der Originaldatei mit SetFileInformationByHandle.
Am Ende dieses Verfahrens erstellt die Ransomware ein Verzeichnis namens "ZeroLocker" mit zwei Dateien. Eine der Dateien enthält die folgende Meldung:
Fazit
Zusammenfassend lässt sich schlussfolgern: Die erste Methode, "Write-in-place", ist die simpelste Methode im Hinblick auf die Dateioperationen. Die zweite Methode, "Rename-and-encrypt", ist der ersten Methode sehr ähnlich, fügt aber durch das Tracking aller unterschiedlichen Namen, die eine Datei besitzen kann, ein gewisses Maß an Komplexität hinzu.
Die letzte Methode schließlich, "Create-encrypt-and-delete", ist die von Ransomware verwendete Dateioperationsweise, die am schwierigsten zu identifizieren ist. Dies beruht auf der Tatsache, dass die involvierten Dateioperationen auch bei täglichen Anwendungsfällen vorkommen. Dies macht es umso schwerer, diese Operationen als bösartige Aktivitäten zu erkennen, die darauf abzielen, Dateien auf dem Computer zu verschlüsseln. (sh/hal)