martedì 19 aprile 2016

Ransomware Petya decriptare il disco e recuperare i dati

Il ransomware Petya ha un comportamento molto diverso rispetto ai comuni ransomware visti fin'ora: Petya non cifra i file ma porzioni del disco fisso impedendo l'accesso a qualsiasi file in esso contenuto. Anche in questo caso per lo sblocco del sistema viene richiesto un riscatto.

Il ransomware viene diffuso prevalentemente tramite email all'interno della quale è presente in allegato un link che provvede a scaricare e installare Petya sul sistema. Una volta installato, il ransomware provvede a sostituire il Master Boot Record (MBR) del disco fisso con un proprio loader quindi procede al riavvio di Windows dopo aver visualizzato una schermata BSOD (Blue Screen of Death). All'avvio viene eseguito il loader di Petya che visualizza una schermata del tutto analoga al CHKDSK di Microsoft al fine di rassicurare l'utente. In questa fase il ransomware procede a cifrare la Master File Table (MFT) rendendo i file del disco inaccessibili.
Petya CHKDSK
FIG 1 - Petya CHKDSK

Terminato il finto CHKDSK ci si trova di fronte alla schermata di blocco visualizzata in FIG 2 (verrà visualizzata ad ogni avvio).
Petya schermata di blocco
FIG 2 - Petya schermata di blocco

Premendo un qualsiasi tasto viene visualizzata la schermata con le istruzioni su come pagare il riscatto utilizzabile anche per l'inserimento della chiave di sblocco.
Petya istruzioni per il riscatto
FIG 3 - Petya istruzioni per il riscatto


Decriptare il proprio Hard Disk

L'utente di Twitter leostone  ha creato una pagina Web che permette di generare la chiave per decriptare il disco, prima, però, è necessario estrarre alcuni dati dal disco: 512 byte di verifica dal settore 55 (0x37) offset 0 (0x0) e 8 byte dal settore 54 (0x36) offset 33(0x21) codificati in Base 64. Vediamo in dettaglio come procedere:
  • L'hard disk va smontato e collegato ad un'altro PC (tramite USB oppure montato all'interno della macchina);
  • Scaricare ed eseguire il tool Petya Sector Extractor  creato da Fabian Wosar;
  • Il tool esegue la scansione del sistema per individuare, tra gli hard disk connessi, il disco infettato da Petya. Una volta individuato il disco infetto viene automaticamente selezionato.

    Petya Sector Extractor
    FIG 4 - Petya Sector Extractor
  • Dal proprio browser aprire la pagina https://petya-pay-no-ransom.herokuapp.com/ (nel caso in cui la pagina non fosse raggiungibile è possibile provare ad accedere al mirror https://petya-pay-no-ransom-mirror1.herokuapp.com/). All'interno di tale pagina ci sono due caselle di testo denominate Base64 encoded 512 bytes verification data e Base64 encoded 8 bytes nonce nella quali andranno inseriti i dati estratti dal tool.

    Petya estrazione della chiave
    FIG 5 - Petya estrazione della chiave
  • Dal tool Petya Sector Extractor cliccare sul pulsante Copy Sector per copiare i dati estratti dal disco all'interno della clipboard quindi, sulla pagina web indicata nel passo precedente, cliccare all'interno della casella di testo denominata Base64 encoded 512 bytes verification data e incollare il testo tramite la combinazione di tasti CTRL+V
  • Ritornare al tool Petya Sector Extractor e questa volta cliccare sul pulsante Copy Nonce. Sulla pagina web cliccare all'interno della casella denominata Base64 encoded 8 bytes nonce e incollare i dati con CTRL+V
  • Sempre sulla pagina Web cliccare sul pulsante Submit per procedere all'estrazione della chiave. Prendere nota della chiave che viene visualizzata.
  • Rimontare l'hard disk sul PC originale e avviare il sistema. Alla schermata di blocco di Petya (quella che visualizza il disegno del teschio) premere un tasto e, nella schermata successiva (FIG 3), inserire la chiave che è stata calcolata. A questo punto il ransomware inizia a decriptare il disco
  • Quando l'operazione è terminata verrà chiesto di riavviare e il sistema si avvierà normalmente.


lunedì 18 aprile 2016

Ransomware Jigsaw, come decriptare i dati

Il ransomware Jigsaw prende il nome dall'immagine visualizzata all'interno del messaggio del riscatto ispirata al film SAW.
Il ransomware, oltre a crittografare i dati dell'utente, provvede ad eliminare definitivamente i file ad ogni ora o al riavvio del programma (ad ogni avvio vengono eliminati 1000 files) finché non verrà pagato il riscatto. Allo scadere della prima ora il ransomware cancella un file presente sul PC e incrementa un contatore. Ad ogni incremento del contatore aumentano i file cancellati nell'ora successiva.

Come è possibile immaginare questo modo di operare da parte del ransomware può essere molto distruttivo.


Dettagli sul funzionamento di Jigsaw


I file creati dal ransomware sono:
%UserProfile%\AppData\Roaming\Frfx\
%UserProfile%\AppData\Roaming\Frfx\firefox.exe
%UserProfile%\AppData\Local\Drpbx\
%UserProfile%\AppData\Local\Drpbx\drpbx.exe
%UserProfile%\AppData\Roaming\System32Work\
%UserProfile%\AppData\Roaming\System32Work\Address.txt
%UserProfile%\AppData\Roaming\System32Work\dr
%UserProfile%\AppData\Roaming\System32Work\EncryptedFileList.txt


Una volta infettato il sistema della vittima il ransomware effettua una scansione dei drive connessi alla ricerca dei file con le seguenti estensioni:
.jpg, .jpeg, .raw, .tif, .gif, .png, .bmp , .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf, .c, .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa, .wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .dat, .csv, .efx, .sdf, .vcf, .xml, .ses, .Qbw, .QBB, .QBM, .QBI, .QBR  , .Cnt, .Des, .v30, .Qbo, .Ini, .Lgb, .Qwc, .Qbp, .Aif, .Qba, .Tlg, .Qbx, .Qby  , .1pa, .Qpd, .Txt, .Set, .Iif  , .Nd, .Rtp, .Tlg, .Wav, .Qsm, .Qss, .Qst, .Fx0, .Fx1, .Mx0, .FPx, .Fxr, .Fim, .ptb, .Ai, .Pfb, .Cgn, .Vsd, .Cdr, .Cmx, .Cpt, .Csl, .Cur, .Des, .Dsf, .Ds4, , .Drw, .Dwg.Eps, .Ps, .Prn, .Gif, .Pcd, .Pct, .Pcx, .Plt, .Rif, .Svg, .Swf, .Tga, .Tiff, .Psp, .Ttf, .Wpd, .Wpg, .Wi, .Raw, .Wmf, .Txt, .Cal, .Cpx, .Shw, .Clk, .Cdx, .Cdt, .Fpx, .Fmv, .Img, .Gem, .Xcf, .Pic, .Mac, .Met, .PP4, .Pp5, .Ppf, .Xls, .Xlsx, .Xlsm, .Ppt, .Nap, .Pat, .Ps, .Prn, .Sct, .Vsd, .wk3, .wk4, .XPM, .zip, .rar  

I file vengono cifrati con l'algoritmo AES e viene aggiunta, a seconda della versione del ransomware, una delle seguenti estensioni .FUN, .KKK,  .GWS, o .BTC
Il nome dei file cifrati viene memorizzato, in chiaro, all'interno del file %UserProfile%\AppData\Roaming\System32Work\EncryptedFileList.txt mentre l'indirizzo bitcoin a cui pagare il riscatto viene memorizzato all'interno del file %UserProfile%\AppData\Roaming\System32Work\Address.txt

Terminata la cifratura dei file, Jigsaw provvede ad inserire le chiavi di registro per essere eseguito ad ogni avvio. La chiave di registro modificata è la seguente:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\firefox.exe  %UserProfile%\AppData\Roaming\Frfx\firefox.exe
come è possibile notare dall'eseguibile richiamato, il ransomware cerca di spacciarsi per il browser firefox.

Terminate queste operazioni il ransomware provvede a visualizzare il messaggio relativo al riscatto.


Jigsaw Ransomware
FIG 1 - Jigsaw Ransomware


Your computer files have been encrypted. Your photos, videos, documents, etc....
But, don't worry! I have not deleted them, yet.
You have 24 hours to pay 150 USD in Bitcoins to get the decryption key.
Every hour files will be deleted. Increasing in amount every time.
After 72 hours all that are left will be deleted.
If you do not have bitcoins Google the website localbitcoins.
Purchase 150 American Dollars worth of Bitcoins or .4 BTC. The system will accept either one.
Send to the Bitcoins address specified.
Within two minutes of receiving your payment your computer will receive the decryption key and return to normal.
Try anything funny and the computer has several safety measures to delete your files.
As soon as the payment is received the crypted files will be returned to normal.
       Thank you


Un'altra parte del messaggio spiega che i messaggi cancellati ogni ora aumenteranno in maniera esponenziale finché non verrà pagato il riscatto.

I want to play a game with you. Let me explain the rules:
All your files are being deleted. Your photos, videos, documents, etc...
But, don't worry! It will only happen if you don't comply.
However I've already encrypted your personal files, so you cannot access them.
Every hour I select some of them to delete permanently,
therefore I won't be able to access them, either.
Are you familiar with the concept of exponential growth? Let me help you out.
It starts out slowly then increases rapidly.
During the first 24 hour you will only lose a few files,
the second day a few hundred, the third day a few thousand, and so on.
If you turn off your computer or try to close me, when I start next time
you will get 1000 files deleted as a punishment.
Yes you will want me to start next time, since I am the only one that
is capable to decrypt your personal data for you.
       Now, let's start and enjoy our little game together!  

  

Come decriptare i file


Prima di procedere a decriptare i dati è necessario rimuovere il ransomware dal sistema. Per farlo manualmente basta terminare da Gestione attività (Task Manager) i processi firefox.exe e drpbx.exe ed eliminare i file e le chiavi di registro create dal ransomware. 
Il ransomware può essere rimosso anche effettuando una scansione approfondita con un antivirus e un antimalware (come Malwarebytes) aggiornati.

Per decriptare i dati è possibile utilizzare JigSaw Decrypter 

Il tool è stato sviluppato da Demonslay335 grazie all'analisi effettuata di concerto con MalwareHunterTeam​ e Lawrence Abrams (BleepingComputer)

  • Una volta effettuato il download del file .ZIP, estrarre l'eseguibile al suo interno ed eseguirlo.

    JigSaw Decrypter
    FIG 2 - JigSaw Decrypter
  • Apparirà la finestra mostrata in FIG 2. Cliccare su Select Directory e selezionare la cartella contenete i dati cifrati. Nel caso in cui si intenda decriptare i dati di un intero disco basta selezionarlo nell'apposita finestra.
  • Cliccare su Decrypt My Files per avviare il recupero. Selezionando l'opzione Delete Encrypted Files? I file cifrati verranno eliminati una volta decriptati
  • Al termine verrà visualizzato il messaggio che ci informa del numero di file recuperati.

mercoledì 13 aprile 2016

Windows Quick Tip: Identificare il processo che utilizza un file tramite Monitoraggio Risorse

Monitoraggio risorse (Resource Monitor) è uno strumento avanzato, introdotto in Windows 7 e Windows Server 2008 R2, che consente di avere informazioni approfondite sull'utilizzo delle risorse di sistema da parte dei processi e servizi. Resource Monitor può essere utile anche nel caso in cui bisogna identificare quale processo sta utilizzando un determinato file:
  • Avviare Monitoraggio risorse (WIN+R e digitare resmon seguito da invio);
  • Selezionare la scheda CPU;
  • Nella casella Cerca Handle, presente sulla barra del titolo Handle Associati, digitare il nome del file che si intende verificare e premere invio (o cliccare sul relativo pulsante cerca);
  • A questo punto, tra i risultati della ricerca, è possibile individuare il processo che sta utilizzando il file.
Monitoraggio risorse - Handle associati
FIG 1 - Monitoraggio risorse - Handle associati

mercoledì 6 aprile 2016

Windows: Rendere un utente amministratore locale utilizzando Offline NT Password & Registry Editor

Nell'articolo Windows: Resettare/eliminare la password di Windows tramite Offline NT Password & Registry Editor ho mostrato come resettare la password di un account utilizzando il tool Offline NT Password & Registry Editor. Questo tool è utile anche in altre situazioni come ad es. nel caso in cui si voglia fornire ad un account i permessi di amministratore locale della macchina. Se si dispone già di un account amministratore di sistema il problema non si pone: basta agire tramite il pannello di controllo di Windows per fornire i privilegi amministrativi anche ad altri account della macchina. In caso contrario possiamo utilizzare il tool Offline NT Password & Registry Editor per resettare la password dell'amministratore del sistema (e avere accesso al sistema con tale account) oppure, come mostrerò di seguito, fornire i privilegi di amministratore di sistema ad un qualsiasi account con permessi limitati. I passaggi sono analoghi a quelli visti per il reset della password.


ATTENZIONE:
Danneggiare o violare un sistema informatico (anche da remoto) rappresenta un reato penale. Le informazioni presenti in quest'articolo vanno utilizzate solo per testare/verificare sistemi di cui si è titolari. Declino ogni responsabilità civile e penale derivante da un utilizzo non legale delle informazioni presentate in questo articolo a solo scopo didattico.

La prima operazione da eseguire è quella di procurarsi il tool: da http://pogostick.net/~pnh/ntpasswd/ è possibile scaricare sia l'immagine ISO che i file per creare una pendrive USB bootable. I file vengono scaricati in formato compresso .zip quindi dovranno essere scompattati prima di poterli utilizzare.

Download Offline NT Password & Registry Editor
FIG 1 - Download Offline NT Password & Registry Editor
L'immagine ISO può essere masterizzata su cd/dvd tramite un programma di masterizzazione mentre scaricando i file per la creazione di una pendrive, è necessario copiare tutti i file sul supporto usb, aprire un prompt dei comandi come amministratore e digitare il seguente comando
X:\syslinux.exe -ma X:
dove al posto della X va indicata la lettera della nostra pendrive.


Fornire ad un account i privilegi di amministratore:
  • Eseguire il boot dal supporto creato (CD/DVD o pendrive) e quando a video appare boot: come mostrato in figura FIG 2, premere invio per proseguire.
    Offline NT Password & Registry Editor, Boot
    FIG 2 - Offline NT Password & Registry Editor, Boot
  • Il tool cerca di individuare la partizione dove è installato il sistema operativo e, al termine dell'analisi, ci propone le installazioni di Windows che ha individuato. Digitare il numero dell'installazione di Windows su cui si intende agire e premere invio. L'opzione di default, e più probabile, è indicata tra parentesi quadre (ad es. [1]). Premendo solo invio viene accettata l'opzione di default proposta dal tool.
    Offline NT Password & Registry Editor, installazioni di Windows
    FIG 3 - Offline NT Password & Registry Editor, installazioni di Windows
  • Nel caso in cui venisse richiesto, confermare il percorso del registro di sistema (Windows/System32/config) premendo invio.
  • Confermare l'opzione [1] Password reset [sam] premendo invio per procedere
    Offline NT Password & Registry Editor, Password reset [sam]
    FIG 4 - Offline NT Password & Registry Editor, Password reset [sam]
  • Premere nuovamente invio per confermare l'opzione 1 - Edit user data and passwords
    
    Offline NT Password & Registry Editor, Edit user data and passwords
    FIG 5 - Offline NT Password & Registry Editor, Edit user data and passwords
  • Digitare il RID dell'account a cui si intende fornire i privilegi di amministratore e premere invio (ad es. in figura FIG 6 per rendere l'account Utente2  amministratore della macchina digitare 03ea seguito da invio)
    Offline NT Password & Registry Editor, RID user account
    FIG 6 - Offline NT Password & Registry Editor, RID user account
  • Digitare 3 per l'opzione Promote user (make user an administrator) e premere invio
    Offline NT Password & Registry Editor, Promote user (make user an administrator)
    FIG 7 - Offline NT Password & Registry Editor, Promote user (make user an administrator)
  • Confermare l'operazione digitando y seguito da invio 
    Offline NT Password & Registry Editor, conferma promozione ad amministratore
    FIG 8 - Offline NT Password & Registry Editor, conferma promozione ad amministratore
  • A questo punto digitare q seguito da invio per ritornare alla selezione utente (FIG 9) e al menu successivo ancora q seguito da invio per selezionare la voce Quit (you will be asked if there is something to save) (FIG 10)
    Offline NT Password & Registry Editor, Quit editing user, back to user select
    FIG 9 - Offline NT Password & Registry Editor, Quit editing user, back to user select
    Offline NT Password & Registry Editor, Quit (you will be asked if there is something to save)
    FIG 10 - Offline NT Password & Registry Editor, Quit (you will be asked if there is something to save)
  • Viene chiesto se si intende salvare le modifiche effettuate (FIG 11). Confermare digitando y seguito da invio.
    Offline NT Password & Registry Editor, About to write file(s) back! Do it?
    FIG 11 - Offline NT Password & Registry Editor, About to write file(s) back! Do it?
  • Terminata la scrittura del file SAM ci verrà richiesto se effettuare una nuova operazione o uscire. Premere invio per terminare il tool. Non resta che riavviare normalmente il sistema dopo aver rimosso il supporto (CD/DVD o pendrive). Al successivo avvio l'account che abbiamo indicato nei passi precedenti sarà amministratore della macchina.

    Offline NT Password & Registry Editor, New Run?
    FIG 12 - Offline NT Password & Registry Editor, New Run?


mercoledì 30 marzo 2016

Trojan Nemucod e ransomware .CRYPTED

ATTENZIONE:
Danneggiare un sistema informatico (anche da remoto) rappresenta un reato penale. Le informazioni presenti in quest'articolo vanno utilizzate solo per testare/verificare sistemi di cui si è titolari. Declino ogni responsabilità civile e penale derivante da un utilizzo non legale delle informazioni presentate in questo articolo a solo scopo didattico.

Nemucod è un trojan, realizzato in Javascript, che provvede a scaricare e ad eseguire altri malware sulla macchina infetta. Inizialmente Nemucod è stato utilizzato per scaricare e installare i ransomware TeslaCrypt e Locky sui PC delle vittime ma di recente viene utilizzato per installare un altro tipo di ransomware che provvede a criptare i dati degli utenti aggiungendo l'estensione .crypted e creando un file DECRYPT.txt sul desktop della vittima. Nel file DECRYPT.txt il malfattore avvisa l'utente che i suoi file sono stati crittografati utilizzando l'algoritmo RSA-1024 inoltre contiene informazioni sul riscatto e su come ed entro quando pagarlo. In realtà il ransomware utilizza un semplice algoritmo XOR (algoritmo simmetrico) per la crittografia dei dati ed è possibile decriptare i file senza pagare alcun riscatto, per di più le copie shadow e i punti di ripristino non vengono cancellati.

Nemucod si diffonde tramite email: la vittima riceve un email che ha tutta l'aria di un messaggio legittimo (ad uno sguardo superficiale il mittente sembra attendibile/conosciuto e persino il contenuto spesso risulta convincente). Aprendo l'allegato Javascript (.JS) presente all'interno del messaggio lo script lancia una serie di comandi, crea alcuni file batch (.bat) e provvede a scaricare l'eseguibile del ransomware nella cartella temporanea dell'account utente ( %TEMP%\<numeri_casuali>.exe). 
Dal seguente link è possibile scaricare una delle varianti di Nemucod, si tratta di un file di testo contenente il codice Javascript utilizzato dal Trojan (ATTENZIONE a non renderlo eseguibile ed eseguirlo sulla propria postazione!).
DOWNLOAD NEMUCOD .JS
Nemucod Javascript - Download del ransomware
FIG 1 - Nemucod Javascript - Download del ransomware

Una volta che Nemucod ha completato il download del file eseguibile del ransomware, provvede a preparare un file di testo contenente il messaggio da visualizzare alla vittima e lancia uno script CMD che esegue la scansione del sistema alla ricerca dei file da cifrare. I file interessati dal ransomware sono quelli con le seguenti estensioni
*.zip *.rar *.7z *.tar *.gz *.xls *.xlsx *.doc *.docx *.pdf *.rtf *.ppt *.pptx *.sxi *.odm *.odt *.mpp *.ssh *.pub *.gpg *.pgp *.kdb *.kdbx *.als *.aup *.cpr *.npr *.cpp *.bas *.asm *.cs *.php *.pas *.vb *.vcproj *.vbproj *.mdb *.accdb *.mdf *.odb *.wdb *.csv *.tsv *.psd *.eps *.cdr *.cpt *.indd *.dwg *.max *.skp *.scad *.cad *.3ds *.blend *.lwo *.lws *.mb *.slddrw *.sldasm *.sldprt *.u3d *.jpg *.tiff *.tif *.raw *.avi *.mpg *.mp4 *.m4v *.mpeg *.mpe *.wmf *.wmv *.veg *.vdi *.vmdk *.vhd *.dsk

Ai file viene aggiunta l'estensione .crypted e viene richiamato l'eseguibile del ransomware che provvede a cifrare i primi 2048 bytes del file (anche se in alcune varianti il file viene cifrato per intero) utilizzando l'algoritmo XOR. Questo modo di operare spiega il perchè, in alcuni casi, basta rimuovere l'estensione .crypted per poter aprire nuovamente i file. Può capitare, infatti, che l'eseguibile non venga scaricato o eseguito correttamente e, pertanto, i file non vengono effettivamente cifrati.
Lo script CMD si autoelimina dopo aver aggiunto alcune chiavi di registro in modo tale che il ransomware venga eseguito ad ogni logon dell'utente. Una volta terminata la cifratura dei file viene visualizzato a video il contenuto del file DECRYPT.txt con le informazioni e istruzioni su come pagare il riscatto. Il contenuto del file è simile a quello mostrato in FIG 2
Nemucod - DECRYPT.txt
FIG 2 - Nemucod - DECRYPT.txt
Lo script .JS di Nemucod continua la sua opera tentando di scaricare altri malware/virus sulla postazione infetta.

I file relativi a Nemucod sono:
%Temp%\<numeri_casuali>.txt
%Temp%\<numeri_casuali>.exe
%LocalAppData%\evum\
%LocalAppData%\evum\1QGNQ.2MGvFO
%AppData%\BlastoffCounterpoiseDissimilitude
%AppData%\ForesideDopattaEmpyrean
%AppData%\gangbang.dll
%AppData%\htmlhelp.title.xml
%AppData%\libertine.dll
%AppData%\minimize_hover.png
%AppData%\System.dll
%Desktop%\Decrypt.txt

Le chiavi e i valori di registro creati da Nemucod sono:
HKCU\Software\Classes\.2MGvFO
HKCU\Software\Classes\.2MGvFO\ ayC5
HKCU\Software\Classes\ayC5
HKCU\Software\Classes\ayC5\shell
HKCU\Software\Classes\ayC5\shell\open
HKCU\Software\Classes\ayC5\shell\open\command
HKCU\Software\3c1cee05f3
HKCU\Software\Classes\ayC5\shell\open\command\
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ [caratteri_illeggibili]
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Crypted %Temp%\502105.txt
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ [caratteri_illeggibili]

Per eliminare il Nemucod ed altri malware dalla macchina infetta, eseguire la scansione con un antivirus  (come ad es. Kaspersky Rescue Disk) e un antimalware (come Malwarebytes) aggiornati.


Recuperare i dati .CRYPTED


Uno strumento per decriptare i dati era stato inizialmente fornito dall'utente macomaco su bleepingcomputer, tuttavia il fatto di richiedere l'installazione di Python lo rendeva poco adatto agli utenti meno esperti. Un nuovo strumento è stato rilasciato da Fabian Wosar di Emsisoft.

Il tool può essere scaricato da https://decrypter.emsisoft.com/nemucod

Passo 1: 
Creare una cartella sul desktop e inserire all'interno il tool appena scaricato. Copiare all'interno della cartella un file cifrato e lo stesso file non cifrato. Se non si dispone di un file non cifrato è possibile provare a cercare tra le immagini della cartella %public%.
Nemucod - Creazione cartella sul desktop
FIG 3 - Nemucod - Creazione cartella sul desktop

Passo 2: 
Selezionare i 2 file e trascinarli sull'eseguibile decrypt_nemucod.exe. Nel caso venga visualizzata la finestra UAC (avviso di sicurezza) proseguire cliccando su OK. Il tool tenterà di ricavare la chiave di cifratura e al termine visualizzerà una finestra con la chiave trovata. Cliccare su OK per proseguire.
Nemucod - Decryption Key
FIG 4 - Nemucod - Decryption Key

Passo 3: 
Accettare la licenza di utilizzo cliccando su per proseguire e visualizzare la finestra Emsisoft Decrypter for Nemucod.
Nemucod - License terms
FIG 5 - Nemucod - License terms

Passo 4: 
Per default il tool provvede a decriptare solo i file presenti sul disco C:. Per aggiungere altri dischi cliccare sul pulsante Add File(s) e indicare il disco da aggiungere alla lista. Quando pronti, cliccare sul pulsante Decrypt per avviare l'operazione. Al termine verrà visualizzato il log delle operazioni effettuate che è possibile salvare (cliccando su Save log) e consultare in seguito.
Nemucod - Emsisoft Decrypter
FIG 6 - Nemucod - Emsisoft Decrypter
Nemucod - Emsisoft Decrypter, risultati
FIG 7 - Nemucod - Emsisoft Decrypter, risultati


lunedì 21 marzo 2016

Windows: Estrarre e analizzare i dati contenuti nella RAM

La RAM di un PC è una memoria volatile, quando il sistema viene spento tutte le informazioni in essa contenute vengono perse. Tra le informazioni presenti in RAM è possibile trovare password, informazioni relative ai socket aperti, il contenuto della clipboard, parti di un documento non ancora salvato su disco, ecc.  Tali informazioni non sono utili solo nel campo dell'informatica forense ma possono essere utili anche a chi si occupa di sicurezza informatica per scoprire vulnerabilità di alcuni software oppure per recuperare la chiave privata da utilizzare per decriptare i dati cifrati da un ransomware (ultimamente molto diffusi).

Ci sono molti tool in grado di catturare i dati presenti in memoria tuttavia uno dei più utilizzati è il Forensic Tool Kit (FTK) messo a disposizione da AccessData. In particolare utilizzerò il tool FTK Imager di AccessData scaricabile gratuitamente dal seguente link
DOWNLOAD FTK Imager



Installazione di AccessData FTK Imager

  1. Una volta scaricato FTK Imager possiamo procedere alla sua installazione cliccando sul file eseguibile. Nella prima schermata di benvenuto basta cliccare su Next per proseguire con l'installazione.

    Installazione AccessData FTK Imager
    FIG 1 - Installazione AccessData FTK Imager
  2. Accettiamo i termini della licenza selezionando l'apposita opzione e clicchiamo sul pulsante Next per proseguire.

    AccessData FTK Imager, Termini di licenza
    FIG 2 - AccessData FTK Imager, Termini di licenza
  3. Nella schermata successiva verifichiamo il percorso di installazione del Toolkit e clicchiamo su Next.

    AccessData FTK Imager, Percorso di installazione
    FIG 3 - AccessData FTK Imager, Percorso di installazione
  4. A questo punto siamo pronti per procedere con l'installazione del Toolkit. Cliccare sul pulsante Install per dare seguito all'installazione.

    AccessData FTK Imager, Installazione
    FIG 4 - AccessData FTK Imager, Installazione
  5. Al termine dell'installazione, lasciando la spunta all'opzione Launch AccessData FTK Imager e cliccando su Finish possiamo avviare il toolkit

    AccessData FTK Imager, Fine installazione e avvio
    FIG 5 - AccessData FTK Imager, Fine installazione e avvio



Eseguire il dump della memoria con FTK Imager

  1. Una volta avviato FTK Imager, per catturare l'intero contenuto della memoria RAM, cliccare sul menu File quindi selezionare Capture memory

    AccessData FTK Imager, Capture Memory...
    FIG 6 - AccessData FTK Imager, Capture Memory...
  2. Nella finestra successiva indicare il nome da assegnare al file di dump della memoria, il percorso dove si intende salvare il file  e specificare se si intende salvare anche il file della memoria virtuale (pagefile.sys) quindi cliccare su Capture Memory.

    AccessData FTK Imager, Memory Capture
    FIG 7 - AccessData FTK Imager, Memory Capture
  3. Non resta che attendere la fine dell'operazione. 

    AccessData FTK Imager, Memory Progress
    FIG 8 - AccessData FTK Imager, Memory Progress
Per analizzare il file di dump creato è possibile utilizzare il tool Volatility (scaricabile da QUI ) oppure utilizzare Kali Linux che lo include già al suo interno. Di seguito mostrerò proprio come utilizzare Kali Linux per analizzare il file di dump creato con FTK Imager.



Analizzare il file di dump creato con FTK Imager utilizzando Kali Linux

  1. Da Kali Linux, avviare la finestra terminale
  2. Posizionarsi su /usr/share/volatility utilizzando il comando 
    cd /usr/share/volatility

    Kali Linux, Volatility
    FIG 9 - Kali Linux, Volatility
  3. Lanciando il comando python vol.py -h è possibile visualizzare l'elenco delle opzioni e dei plugin che è possibile utilizzare con Volatility. I plugin ci consentono di estrarre dal file di dump diverse informazioni.
  4. Per visualizzare le informazioni del file .mem è necessario lanciare il comando python vol.py imageinfo -f /<percorso_e_nome_file.mem> indicando il percorso e il nome del file .mem creato con FTK Imager. Supponiamo di aver copiato tale file, nominato memdump.mem, sul desktop di Kali Linux, in questo caso il comando da lanciare è il seguente 
    python vol.py imageinfo -f /root/Desktop/memdump.mem

    Kali Linux, Volatility - Imageinfo
    FIG 10 - Kali Linux, Volatility - Imageinfo
    Dall'analisi del file di dump possiamo estrarre diverse informazioni come la versione del sistema operativo, il numero di CPU, gli indirizzi fisici per ciascun processore, la data e ora relativa alla creazione del dump, ecc.
  5. Un'altra informazione utile che possiamo estrapolare dal file di dump della RAM è quella relativa ai processi che erano in esecuzione sulla macchina. Il comando da eseguire da terminale è il seguente
    python vol.py pslist --profile=Win10x64 -f /root/Desktop/memdump.mem

    Dove al posto di Win10x64 va indicato il profilo (Suggested Profile) visualizzato dal comando visto nel punto 4
    Kali Linux, Volatility - pslist
    FIG 11 - Kali Linux, Volatility - pslist
  6. Anche il plug-in pstree permette di visualizzare i processi che erano in esecuzione e l'output viene formattato evidenziando la struttura ad albero.
    python vol.py pstree --profile=Win10x64 -f /root/Desktop/memdump.mem


    FIG 12 - Kali Linux, Volatility - pstree
  7. Per visualizzare l'elenco dei driver che erano caricati è possibile utilizzare il plugin driverscan
    python vol.py driverscan --profile=Win10x64 -f /root/Desktop/memdump.mem


    Kali Linux, Volatility - driverscan
    FIG 13 - Kali Linux, Volatility - driverscan
  8. Per conoscere le ultime console eseguite sulla workstation
    python vol.py consoles --profile=Win10x64 -f /root/Desktop/memdump.mem
  9. Per visualizzare i servizi che erano in esecuzione
    python vol.py svcscan --profile=Win10x64 -f /root/Desktop/memdump.mem

    Kali Linux, Volatility - svcscan
    FIG 14 - Kali Linux, Volatility - svcscan
  10. Per visualizzare i driver installati e relative periferiche. 
    python vol.py devicetree --profile=Win7SP1x64 -f /root/Desktop/memdump.mem

    Kali Linux, Volatility - devicetree
    FIG 15 - Kali Linux, Volatility - devicetree
  11. Per visualizzare gli Hive del registro caricati in memoria 
    python vol.py hivelist --profile=Win7SP1x64 -f /root/Desktop/memdump.mem

    Kali Linux, Volatility - hivelist
    FIG 16 - Kali Linux, Volatility - hivelist
    I due indirizzi evidenziati in figura sono indirizzi virtuali del hive di SAM e SYSTEM. Questi 2 Hive contengono informazioni sufficienti ad estrarre l'hash delle password di Windows (utilizzando il plugin hasdump mostrato di seguito)
  12. Con le informazioni recuperate al punto 11, possiamo eseguire il plugin hashdump per risalire all'hash delle password di Windows. 
    python vol.py hashdump --profile=Win7SP1x64 -f /root/Desktop/memdump.mem -y 0xfffff8a000024010 -s 0xfffff8a001f2f010

    Kali Linux, Volatility - hashdump
    FIG 17 - Kali Linux, Volatility - hashdump


L'hash delle password può essere utilizzato per risalire alla password in chiaro degli account di Windows. Dall'output fornito da hashdump, individuare l'account par il quale si intende risalire alla password (in FIG 18 l'account di nostro interesse è Virtual) e copiare l'hash della password (evidenziato in FIG 18).
Una volta trovato l'hash si può tentare di risalire alla password di Windows tramite l'utilizzo di appositi tool, tabelle già compilate o servizi web come https://crackstation.net/


FIG 18 - Kali Linux, Hash della password

Come si intuisce l'argomento è molto vasto e per trattarlo completamente richiederebbe la stesura di un libro. L'articolo vuole essere solo uno spunto indicando le operazioni basilari che è possibile effettuare.