Σε αντίθεση με σχεδόν κάθε άλλο malware, το Ramsay έχει τη δυνατότητα να ξεπερνά τα air gaps στο δίκτυο ενός οργανισμού για να μολύνει υπολογιστές.
Παρακάτω θα δείτε αναλυτικά τις λεπτομέρειες σχετικά με το τι είναι, πώς λειτουργεί και τι να κάνετε για να προστατευτείτε. Αυτή η προηγμένη λειτουργικότητα καθιστά το Ramsay ιδιαίτερα σημαντικό για τις μελέτες των ερευνητών κακόβουλων λογισμικών που μπορεί να παρέχουν χρήσιμες γνώσεις για την αποτροπή των malware με αυτήν τη λειτουργικότητα στο μέλλον.
Τι είναι το Ramsay;
Τον Σεπτέμβριο του 2019, οι ερευνητές στο ESET ανακάλυψαν ένα πλαίσιο malware που ονομάστηκε Ramsay. Αυτό το malware σχεδιάστηκε για να ξεπερνά τα gaps στο δίκτυο ενός οργανισμού για να μολύνει υπολογιστές που διαφορετικά θα ήταν απομονωμένοι από κάποιο κακόβουλο λογισμικό (εκτός εάν ένας χρήστης εγκαταστήσει μια μολυσμένη συσκευή, όπως μια μονάδα USB).
Τα air gaps θεωρούνται γενικά ως ένα από τα πιο αποτελεσματικά και αυστηρά μέτρα ασφάλειας πληροφοριών και χρησιμοποιούνται εκτενώς τόσο στην κατασκευή όσο και στην κρίσιμη υποδομή. Οι επιτιθέμενοι το γνωρίζουν αυτό, και γι ‘αυτό η συγκεκριμένη είσοδος σε ένα δίκτυο έχει χαρακτηριστεί ως το «Άγιο Δισκοπότηρο» των παραβιάσεων ασφαλείας.
Οι ερευνητές έχουν παρατηρήσει τρεις διαφορετικές εκδόσεις του Ramsay. Η έκδοση 1 διανεμήθηκε μέσω κακόβουλων συνημμένων εγγράφων του Office σε email που εκμεταλλεύτηκαν το CVE-2017-0199, ένα ελάττωμα απομακρυσμένης εκτέλεσης του Microsoft Word, για τη διευκόλυνση της εγκατάστασης του malware. Αυτή η εκμετάλλευση επιτρέπει στους εισβολείς να “διασπείρουν” κακόβουλο κώδικα κατά την εκκίνηση ενός εγγράφου RTF. Το VirusTotal ανακάλυψε αρκετές διαφορετικές εκδόσεις αυτών των εγγράφων με ενδείξεις που μπορεί να έχουν χρησιμοποιηθεί για να δοκιμάσουν την απόδοση του Ramsay.
Οι νεότερες εκδόσεις Ramsay, v2.a και v2.b, παρατηρήθηκαν να διανέμονται ως κακόβουλοι installers που μεταμφιέζονται ως δημοφιλείς εφαρμογές, συμπεριλαμβανομένου του 7zip. Αυτές οι εκδόσεις επέτρεψαν την πιο επιθετική εξάπλωση μέσω της μόλυνσης φορητών εκτελέσιμων αρχείων (PE) που βρίσκονται σε συνδεδεμένους αφαιρούμενους drives. Έχει παρατηρηθεί ότι το Ramsay v2.b εκμεταλλεύεται το CVE-2017-11882, το οποίο επιτρέπει την αυθαίρετη εκτέλεση κώδικα σε διαφορετικές εκδόσεις του MS Office ως τον τρέχοντα χρήστη και αποτελεί ένα σημαντικό βήμα κακόβουλης λειτουργικότητας.
Θα πρέπει να σημειωθεί ότι οι ερευνητές έχουν παρατηρήσει ορισμένα κοινά σημεία στο Ramsay που χρησιμοποιούνται επίσης στο Retro backdoor. Παρόλο που δεν είναι ακόμα γνωστό ποιος είναι πίσω από το Ramsay malware, οι ομοιότητες που έχει με το Retro μπορεί να υποδηλώνουν ότι το Darkhotel, μια APT που θεωρείται ότι λειτουργεί προς το συμφέρον της κυβέρνησης της Νότιας Κορέας, βρίσκεται πίσω από αυτό.
Πώς λειτουργεί το Ramsay
Ο κύριος ρόλος του Ramsay είναι η συλλογή αρχείων ZIP, Word και PDF, η απόκρυψή τους σε έναν κρυφό φάκελο και, στη συνέχεια, η εξαγωγή τους αργότερα. Αυτό που ενδιαφέρει περισσότερο είναι πως το Ramsay προσπερνάει τα air gaps για να μολύνει τους υπολογιστές. Αν και δεν είναι ακόμη πλήρως γνωστό πώς το κάνει αυτό, γνωρίζουμε κάποια πράγματα.
Οι ερευνητές βρίσκουν επί του παρόντος ότι ο πιο πιθανός τρόπος που το Ramsay ξεπερνάει τα air gaps είναι να μολύνει PE σε αφαιρούμενες μονάδες, όπου γίνεται λήψη του malware κατά την εκτέλεση του αρχείου. Αυτός ο μηχανισμός εξάπλωσης παρατηρήθηκε στις νεότερες εκδόσεις αυτού του πλαισίου malware και έχει χαρακτηριστεί ως εξαιρετικά επιθετικός.
Μετά τη μόλυνση, εκτελούνται διάφορα λειτουργικά modules, τα οποία απελευθερώνουν τις βασικές δυνατότητες του κακόβουλου λογισμικού. Αυτές οι δυνατότητες συγκεντρώνουν όλα τα αρχεία ZIP, έγγραφα Microsoft Word και αρχεία PDF. Στη συνέχεια, το Ramsay επιτρέπει την κλιμάκωση προνομίων, την σάρωση για αφαιρούμενες μονάδες drive και την λήψη στιγμιότυπων οθόνης.
Προς το παρόν δεν είναι γνωστό ακριβώς πώς Ramsay εξάγει τα αρχεία που συλλέγει από τα μολυσμένα συστήματα. Οι ερευνητές στο ESET πιστεύουν ότι το Ramsay χρησιμοποιεί ένα component που σαρώνει το σύστημα αρχείων του μολυσμένου υπολογιστή για να προσδιορίσει πού βρίσκονται τα αρχεία.
Το Ramsay δεν διαθέτει πρωτόκολλο κεντρικής επικοινωνίας βάσει δικτύου, όπως ο C2 server. Αντίθετα, χρησιμοποιεί ένα αποκεντρωμένο πρωτόκολλο ελέγχου που φαίνεται προσαρμοσμένο για λειτουργία σε ένα air-gapped σύστημα.
Όσον αφορά το persistence, το malware χρησιμοποιεί διάφορους μηχανισμούς. Αυτοί οι μηχανισμοί περιλαμβάνουν:
- Κλειδί μητρώου AppInit DLL
- Phantom DLL hijacking
- Προγραμματισμένο task μέσω COM API
Πώς να αποτρέψετε το Ramsay
Μέχρι στιγμής, τα θύματα του Ramsay είχαν προφίλ χαμηλού visibility. Αυτό είναι πιθανό επειδή βρίσκονται σε air-gapped δίκτυα. Αυτό βέβαια δεν σημαίνει ότι ο αριθμός των θυμάτων είναι πραγματικά τόσο μικρός όσο φαίνεται. Αυτό συμβαίνει επειδή τα τμήματα του malware είναι ακόμη υπό ανάπτυξη, οπότε πραγματικά δεν το έχουμε δει σε πλήρη εξέλιξη.
Για όσους ενδιαφέρονται να αποτρέψουν το Ramsay, οι πιο καλές λύσεις AV και anti-malware μπορούν να το εντοπίσουν. Συνιστάται η σάρωση των αφαιρούμενων drive και όταν δεν τους χρησιμοποιείτε – απλώς αποσυνδέστε τους από τον υπολογιστή σας. Ενώ το Ramsay μπορεί να “ξεπεράσει” ένα air gap, δεν μπορεί να ξεπεράσει το κενό ενός αποσυνδεδεμένου αφαιρούμενου drive.
