Bir ekip, hackerların taleplerine yenilmeden Linux/ESXI sistemlerindeki Akira fidye yazılımlarının bir örneğini başarıyla çözdü.
Bu başarı sadece siber güvenlik uzmanlarının yaratıcılığının altını çizmekle kalmaz, aynı zamanda savunmasız işletmelerden ve bireylerden zorlamaya güvenenlere güçlü bir mesaj görevi görür.
Karmaşık şifreleme mekanizmaları ile bilinen Akira fidye yazılımı zamanla gelişti ve daha yeni varyantlar siber güvenlik profesyonellerine önemli zorluklar ortaya koyuyor.
Burada tartışılan varyant, 2023’ün sonlarından beri aktif, şifrelemesini atlamak için yenilikçi yaklaşımlar gerektiriyordu.
Akira fidye yazılımında arka plan
Akira fidye yazılımı, yıllar içinde birden fazla versiyonun ortaya çıkmasıyla dikkate değer bir tehdit olmuştur.
Avast’ın bir şifreleme aracı geliştirmesine izin veren bir hata içeren önceki bir versiyon, bir kez maruz kaldıktan sonra saldırganlar tarafından etkili bir şekilde yamalandı. Bu model, güvenlik araştırmacıları tarafından yapılan bir rapora göre, kötü amaçlı yazılımın güvenlik çabalarına yanıt olarak gelişmeye devam ettiğini göstermektedir.
En son yinelemeyle mücadele etmek için araştırmacılar şifreleme sürecini anlamaya odaklandı. Fidye yazılımı, Yarrow256 algoritmasını tohumlamak için nanosaniye-çözünürlük zaman damgalarını kullanır ve her dosya için benzersiz şifreleme anahtarları oluşturur.
Bu süreç, birden fazla SHA-256 karma turu içerir ve kaba kuvvet saldırılarını göz korkutucu görünür.
Kırıştırma süreci: şifrelemeyi anlamak
Şifreleme işlemi aşağıdaki gibi özetlenebilir:
- Rastgele anahtar üretimi: Fidye yazılımı, tohum olarak nanosaniye içinde mevcut saati kullanarak rastgele anahtarlar üretir. Bu tohum, birden çok kez tohumlanan ve yeniden üretilen Yarrow256 algoritması ile birlikte kullanılır.
void generate_random(char *buffer, int size) {
uint64_t t = get_current_time_nanosecond();
char seed[32];
snprintf(seed, sizeof(seed), "%lld", t);
struct yarrow256_ctx ctx;
yarrow256_init(&ctx, 0, NULL);
yarrow256_seed(&ctx, strlen(seed), seed);
yarrow256_random(&ctx, size, buffer);
}
- Şifreleme işlemi: Her dosya bloklara ayrılmıştır. Her bloğun ilk kısmı KCIPHER2 kullanılarak şifrelenirken, geri kalanı Chacha8 ile şifrelenir. Oluşturulan tuşlar daha sonra RSA-4096 kullanılarak şifrelenir ve dosyanın sonunda kaydedilir.
- Kaba kuvvet yaklaşımı: Şifrelemenin karmaşıklığı göz önüne alındığında, bir kaba kuvvet yöntemi benimsenmiştir. Bu, şifreleme meydana geldiğinde olası nanosaniye zaman damgalarını tahmin etmek, bu zaman damgalarına dayanan anahtarlar üretmeyi ve bunları düz VMDKS gibi dosyalardan bilinen düz metinlere karşı test etmeyi içeriyordu.
VMware Dosya Türleri: düz metin tanımlama
Brute-force saldırılarını verimli bir şekilde gerçekleştirmek için düz metin örnekleri gereklidir. VMware dosyaları için aşağıdaki stratejiler kullanılmıştır:
- Düz vmdks: Bu dosyalar, kaba zorlayıcı KCIPHER2 şifrelemesi için gereken ilk 8 baytı sağlayabilir. Bunları tanımlamak, VMX dosyalarından çıkarılabilen orijinal VM’nin işletim sistemini bilmeyi gerektirir.
- Yıkamak: Bu dosyaların benzersiz bir başlığı vardır ve ofset 65.535, chacha8 şifrelemesi için ek düz metin sağlayan sıfırlar içerir.
Fizibilite ve optimizasyon
Brute zorlama ilk başta mümkün görünmese de, optimizasyonlar onu daha pratik hale getirdi.
İlk tahminler, tek bir CPU’da saniyede yaklaşık 100.000 zaman damgası-rastgele bayt dönüşümünün işlem süresini önerdi. Bu, GPU’lar kullanılarak önemli ölçüde iyileştirildi ve dönüşüm sürelerini saatlerden dakikalara düşürdü.
Aramayı daha da hassaslaştırmak için, şifreleme gerçekleştiğinde tahmin etmek için ESXI ana bilgisayarlarından gelen günlük dosyaları kullanıldı. Bu günlükler yalnızca ikinci düzey hassasiyet sunsa da, arama alanını daraltmaya yardımcı olurlar.
Brute zorlamayı optimize etmek için aşağıdaki adımlar atıldı:
- Numaralandırma: Dört zaman damgasını doğrudan tahmin etmenin karmaşıklığı göz önüne alındığında, kötü amaçlı yazılımların yürütme süresine ve sistem değişkenliğine dayalı olarak aralıkları tahmin etmek için bir strateji geliştirilmiştir.
- GPU Hızlanma: GPU hızlanmasıyla, işlem hızı önemli ölçüde arttı ve olası zaman damgası çiftlerinin daha hızlı numaralandırılmasına izin verdi.
- Bilinen düz metin: Flat-VMDKS gibi ilk 8 bayt kritik düz metin olarak hizmet etti. Daha büyük dosyalar için, ofset 65.535’teki ek düz metin kullanıldı.
Bu kurtarma çabasında kullanılan kaba kuvvet aracı için tam kaynak kodu, GitHub’da mevcuttur ve benzer zorluklarla karşılaşanlar için kapsamlı bir çerçeve sağlar:
https://github.com/yohanes/akira-bruteforce
Bu başarı, fidye yazılımının vurduğu kuruluşlar için bir umut ışığı görevi görür. Şifreleme sürecindeki güvenlik açıklarını anlayarak ve kullanarak, siber güvenlik uzmanları genellikle bilgisayar korsanlarıyla etkileşime girmeye gerek kalmadan etkili karşı önlemler geliştirebilirler.
Bununla birlikte, her başarı ile bu tehditlerin geliştiğini ve dijital güvenlikte devam eden uyanıklık ve yenilikçiliğe duyulan ihtiyacı vurgulamak çok önemlidir.
Burada özetlenen yaklaşım, Akira fidye yazılımının belirli sürümleri için geçerlidir. Kötü amaçlı yazılım geliştikçe, güncellenmiş şifreleme tekniklerini ele almak için yeni yöntemler gerekebilir.
Teknolojik gelişmelerden ve işbirlikçi çabalardan yararlanarak, fidye yazılımlarına karşı mücadele ivme kazanmaya devam ediyor. Siber tehditlere karşı savaşta esneklik ve yenilik çok önemli kalacaktır.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.