Yeni bir ‘White Phoenix’ fidye yazılımı şifre çözücü, kurbanların aralıklı şifreleme kullanan fidye yazılımı türleri tarafından şifrelenen dosyaları kısmen kurtarmasına olanak tanır.
Aralıklı şifreleme, birkaç fidye yazılımı grubu tarafından veri parçalarını şifrelemek ve şifrelememek arasında geçiş yapan bir stratejidir. Bu yöntem, bir dosyanın çok daha hızlı şifrelenmesini sağlarken, verileri kurban tarafından kullanılamaz hale getirmeye devam eder.
Eylül 2022’de Sentinel Labs, aralıklı şifrelemenin fidye yazılımı alanında çekiş kazandığını bildirdi; tüm büyük RaaS bunu en azından bağlı kuruluşlara bir seçenek olarak sunuyor ve BlackCat/ALPHV görünüşte en gelişmiş uygulamaya sahip.
Ancak, ‘Beyaz Anka Kuşu’nu geliştiren ve yayınlayan CyberArk’a göre, orijinal dosyaların bazı kısımlarını şifrelenmemiş halde bırakmak, ücretsiz veri kurtarma potansiyeli oluşturduğundan, bu taktik şifrelemeye zayıflıklar getiriyor.
Aralıklı şifreleme kullanan fidye yazılımı işlemleri arasında BlackCat, Play, ESXiArgs, Qilin/Agenda ve BianLian bulunur.
Kısmen şifrelenmiş dosyaları kurtarma
CyberArk, White Phoenix’i kısmen şifrelenmiş PDF dosyalarıyla deneyler yaptıktan ve akış nesnelerinden metin ve görüntüleri kurtarmaya çalıştıktan sonra geliştirdi.
Araştırmacılar, belirli BlackCat şifreleme modlarında, PDF dosyalarındaki birçok nesnenin etkilenmeden kaldığını ve verilerin çıkarılmasına izin verdiğini buldu.
Görüntü akışları söz konusu olduğunda, bunları kurtarmak, uygulanan filtreleri kaldırmak kadar basittir.
Metin kurtarma durumunda, geri yükleme yöntemleri, akışlardaki metin parçalarını tanımlamayı ve bunları birleştirmeyi veya onaltılık kodlamayı ve CMAP (karakter eşleme) karıştırmayı tersine çevirmeyi içerir.
White Phoenix aracını kullanarak PDF dosyalarını başarıyla kurtardıktan sonra CyberArk, ZIP arşivlerine dayalı dosyalar da dahil olmak üzere diğer dosya formatları için benzer geri yükleme olanakları buldu.
ZIP biçimini kullanan bu dosyalar arasında Word (docx, docm, dotx, dotm, odt), Excel (xlsx, xlsm, xltx, xltm, xlsb, xlam, ods) ve PowerPoint (pptx, pptm, ptox, potm, ppsx, ppsm, odp) belge biçimleri.
Bu dosya türleri için geri yükleme, etkilenen belgelerin şifrelenmemiş XML dosyalarını çıkarmak ve veri değiştirmeyi gerçekleştirmek için 7zip ve bir hex düzenleyici kullanılarak gerçekleştirilir.
White Phoenix, desteklenen dosya türleri için yukarıdaki tüm adımları otomatik hale getirir, ancak bazı durumlarda manuel müdahale gerekebilir.
Araç, CyberArk’ın halka açık GitHub deposundan ücretsiz olarak indirilebilir.
pratik sınırlamalar
Analistler, otomatik veri kurtarma araçlarının, aşağıdaki fidye yazılımı türleri tarafından şifrelenen belirtilen dosya türleri için iyi çalışması gerektiğini bildiriyor:
- KaraKedi/ALPHV
- Fidye yazılımı oyna
- Qilin/Gündem
- Bian Lian
- DarkBit
Bununla birlikte, Beyaz Anka Kuşu’nun teorik olarak desteklense bile her durumda iyi sonuçlar vermeyeceğini belirtmek gerekir.
Örneğin, kritik bileşenleri de dahil olmak üzere bir dosyanın büyük bir bölümü şifrelenmişse, kurtarılan veriler eksik veya işe yaramaz olabilir. Bu nedenle, aracın etkinliği doğrudan dosyaya verilen hasarın boyutuyla bağlantılıdır.
Metnin PDF dosyalarında CMAP nesneleri olarak depolandığı durumlarda, onaltılık kodlamanın orijinal karakter değerleriyle eşleştiği ender durumlar dışında, kurtarma yalnızca ne metin ne de CMAP nesneleri şifrelenmemişse mümkündür.
BleepingComputer, White Phoenix’i ALPHV ile şifrelenmiş PDF dosyalarının ve Play ile şifrelenmiş PPTX ve DOCX dosyalarının küçük bir örneğiyle test etti ve aracı kullanarak hiçbir veriyi kurtaramadı.
Ancak CyberArk, bunun örneklerini aldığımız saldırılarda aralıklı şifrelemenin kullanılmamasından veya dosyaların düzgün bir şekilde ayrıştırılamayacak kadar yoğun şekilde şifrelenmiş olmasından kaynaklanabileceğini açıkladı.
“Kullanılmakta olan belirli fidye yazılımı örneğine bağlı olarak, farklı dosya boyutları veri kurtarmak için fazla şifrelenmiş olabilir. Aşağıdaki karakterler dosyada görünmüyorsa büyük olasılıkla tamamen şifrelenmiştir ve White Phoenix yardımcı olamayacaktır. ” CyberArk, BleepingComputer’a söyledi.
White Phoenix’in düzgün çalışması için, Zip/Office formatlarının desteklenecek dosyada “PK\x03\x04” dizesini içermesi gerekir. Ayrıca, kısmen kurtarılabilmesi için PDF’lerin “0 obj” ve “endobj” dizeleri içermesi gerekir.
White Phoenix bu dizileri bulamazsa, sınırlı testlerimizde aşağıda gösterildiği gibi dosya türünün desteklenmediğini belirtir.
Bu şifre çözücü tüm dosyalar için çalışmayabilir, ancak kritik dosyalardan “bazı” verileri kurtarmaya çalışmak kurbanlar için çok yararlı olabilir.
CyberArk, tüm güvenlik araştırmacılarını aracı indirip denemeye ve aracı geliştirme çabalarına katılmaya ve desteğini daha fazla dosya türüne ve fidye yazılımı türlerine genişletmeye davet ediyor.