Friday, 2 May 2014

Android Hacking dan Keamanan, Bagian 3: Pemanfaatan Penerima Broadcast


Dalam dua artikel pertama, kita membahas serangan terkait dengan Kegiatan komponen, kebocoran konten provider dan cara-cara untuk mengamankan mereka. Pada artikel ini, kita akan membahas serangan terhadap penerima broadcast.

Apa itu Penerima Broadcast?

Sebuah penerima Broadcast merupakan komponen penting dari sistem Android. Penerima broadcast terdaftar spesific untuk acara tertentu. Ketika peristiwa itu terjadi, penerima akan dipanggil dan melakukan tugas-tugas, seperti menampilkan pesan ke pengguna. Apa yang dapat kita lakukan dengan penerima broadcast terserah kreativitas pengembang, karena banyak hal dapat dilakukan dengan mereka.

Risiko Keamanan

Untuk memahami risiko keamanan yang terkait dengan penerima broadcast, kita harus tahu bagaimana peristiwa tersebut dibroadcasted. Ada dua jenis peristiwa.


1. Sistem Events
Sebuah aplikasi dapat didaftarkan untuk menerima broadcast occurred oleh aktivitas sistem seperti BOOT COMPLETE, SMS RECEIVED, BATTERY LOW, etc. Ketika aplikasi terdaftar untuk acara SMS RECEIVED, receiver yang akan dipanggil setiap kali SMS baru diterima.

2. Kustom Broadcasts
Terlepas dari peristiwa yang dihasilkan sistem, aplikasi juga dapat menghasilkan maksud kustom broadcast yang kami dapat mendaftarkan penerima.

Sekarang, mari kita bertanya pada diri sendiri dengan beberapa pertanyaan.
  • Ketika aplikasi kita mengirim broadcasts intent, apakah diterima hanya oleh aplikasi yang dimaksud, atau bisa semua aplikasi menerimanya?
  • Ketika kita mendaftar penerima, kita menerima broadcasts hanya dari sumber yang sah, atau dapat dari setiap aplikasi berbahaya lainnya yang mem-broadcasts?

Jika pengembang tidak menegakkan kontrol atas siapa yang dapat broadcasts dan yang tidak bisa broadcasts, jelas jawabannya adalah YA. Jika penerima menerima broadcasts dari sumber terpercaya, mungkin menempatkan aplikasi kita pada risiko serius.

Untuk menunjukkan bagaimana seseorang dapat memanfaatkan skenario seperti ini, saya telah mengembangkan sebuah aplikasi sederhana.

InfoSec Institute File Download

After completing this form you will have access to all practice exercises and lab files. 

Prasyarat untuk mengikuti langkah-langkah :
  1. Komputer dengan Android SDK Dipasang
  2. Dua Emulator (Dalam kasus saya, emulator-5554 adalah di mana aplikasi rentan terinstal, emulator-5556 adalah untuk menerima SMS dari aplikasi rentan).

Uji fungsi Aplikasi ini

Setelah men-download aplikasi tes dan menginstalnya dalam sebuah emulator untuk menguji dan exploit it.

Hal ini dapat diinstal dengan adb menggunakan perintah berikut:

adb install <name of the apk>.apk

Ketika kami meluncurkan aplikasi, tampak seperti yang ditunjukkan pada gambar di bawah. Kita perlu mendaftarkan nomor ponsel tertentu menggunakan aktivitas pendaftaran seperti yang ditunjukkan pada gambar. Sekali, setelah menekan tombol kirim, kustom broadcasts akan dikirim dan kami akan menerima SMS konfirmasi ke nomor yang terdaftar (emulator-5556 dalam kasus saya).
App berjalan pada Emulator-5554

Tujuannya adalah untuk mengirim broadcasts intent palsu dan melihat apakah aplikasi tersebut menerima mereka. Jika ya, kami akan memanfaatkan aplikasi untuk mengirim SMS ke beberapa nomor ponsel acak menggunakan broadcasts palsu.

Topik Terlibat
  • Memahami fungsi aplikasi
  • Menyerang penerima broadcasts yang rentan
  • Mengamankan aplikasi

Memahami Fungsi Aplikasi

Sebuah penerima broadcasts "MyBroadCastReceiver" terdaftar dalam file AndroidManifest.xml.

Penerima broadcasts umumnya terdaftar dalam format berikut. Kode tampaknya tidak aman karena penerima diekspor.

Aplikasi ini mengirimkan niat menggunakan potongan kode berikut, di mana " input " adalah nomor ponsel kita yang menerima sebagai input pengguna.
Berikut potongan kode mengambil nomor ponsel dari broadcasts dan mengirimkan SMS konfirmasi ke nomor yang terdaftar.
Pada bagian berikutnya, kita akan mencoba untuk mengeksploitasi fungsi di atas dengan mengirimkan broadcasts dari sumber terpercaya.

Menyerang  Penerima Broadcast yang Rentan

Mari kita sekarang mencoba untuk mengirim beberapa broadcasts palsu ke penerima di atas. Hal ini dapat dilakukan dalam berbagai cara.
  • Menggunakan am alat yang tersedia di adb
  • Menggunakan aplikasi berbahaya untuk query
  • Menggunakan Mercury Framework
Menggunakan adb

Dapatkan shell adb pada perangkat dan ketik perintah berikut untuk mengirim broadcast palsu.

am broadcast -a MyBroadcast -n com.isi.vul_broadcastreceiver/.MyBroadCastReceiver

Perintah di atas mengirimkan broadcast , tetapi tidak memiliki nomor ponsel yang disertakan. Kita bisa melewati nomor ponsel sebagai string menggunakan -es pilihan yang tersedia dengan am tool. Sekarang, perintah di atas menjadi:

am broadcast -a MyBroadcast -n com.isi.vul_broadcastreceiver/.MyBroadCastReceiver –es number 5556.

Hal yang sama ditunjukkan pada gambar di bawah.

Sekarang, broadcast event dikirim di background, dan karena aplikasi tidak memvalidasi sumber input, SMS akan dikirimkan ke emulator-5556 tanpa campur tangan pengguna.

Menggunakan aplikasi berbahaya untuk query

Kita juga bisa menulis sebuah aplikasi berbahaya untuk mengirim broadcast dan memanfaatkan fungsionalitas dari aplikasi yang rentan. Bagian yang terbaik adalah, aplikasi berbahaya tidak perlu izin SEND_SMS karena menggunakan izin yang didaftarkan oleh aplikasi yang rentan.

Menggunakan Mercury Framework

Seluruh proses dapat dilakukan dengan menggunakan  Mercury framework bahkan lebih efisien dan sederhana caranya.

Mengamankan Aplikasi

1. Menetapkan android: atribut value diekspor ke false
Dalam file AndroidManifest.xml dari aplikasi kita, kita harus menambahkan atribut berikut ke penerima yang harus diamankan.

2. Membatasi akses dengan izin kustom
Kami juga dapat memberlakukan pembatasan izin berbasis dengan mendefinisikan hak akses kustom untuk setiap penerima. Hal ini berguna jika pengembang ingin membatasi akses ke komponen app nya kepada aplikasi-orang yang memiliki izin.

Ini adalah alasan mengapa kita perlu menentukan " android.permission.RECEIVE_SMS "izin pada file AndroidManifest.xml jika aplikasi apapun want to listen untuk Menerima SMS event menggunakan tindakan" android.provider.Telephony.SMS_RECEIVED "

Akhir Kata

Di Android, penerima broadcast menyediakan fungsionalitas yang besar untuk mengembangkan aplikasi kreatif. Tapi ketika kontrol keamanan yang tepat tidak ditegakkan, yang dapat menyebabkan serangan serius. Jadi, itu selalu merupakan ide yang baik untuk menguji semua komponen aplikasi selama pentest.

Monday, 28 April 2014

Overview Analisis Malware Android



            Malware adalah perangkat lunak yang digunakan untuk mengganggu dan mengumpulkan informasi sensitif atau mendapatkan akses ke sistem swasta. Setiap program atau software yang mempengaruhi kerja perangkat dapat disebut malware.

Saat ini, Ponsel telah menjadi korban serangan malware. Di antara serangan malware ponsel, ponsel pintar Android yang sebagian besar ditargetkan oleh hacker. Hal ini terutama karena alasan bahwa pasar aplikasi Android menyediakan platform terbuka untuk aplikasi. Faktor utama lainnya adalah bahwa lebih dari lima puluh perusahaan ponsel memproduksi smartphone dengan sistem operasi Android.



Ini basis pengguna besar android telah menarik perhatian penjahat cyber, yang telah mulai double down pada upaya mereka untuk memperoleh informasi pribadi secara ilegal dari pemilik Android. Malware ponsel dapat memungkinkan penjahat cyber untuk mencegat pesan, memonitor panggilan, mencuri informasi pribadi, dan bahkan mendengarkan dengan perangkat microfon.

Aplikasi BBM palsu adalah contoh yang bagus, dan itu berhasil mengamankan lebih dari 100.000 download sebelum dihapus.


Android Fundamentals

Lapisan arsitektur Android adalah sebagai berikut:

Sebuah Kernel Linux yang mendukung multi-proses dan multi-thread. Setiap aplikasi memiliki ID Linux sendiri dan berjalan dalam proses terpisah. Dua aplikasi dengan ID yang sama dapat bertukar data antara mereka.


  • Beberapa librari opensource.
  • Android  run-time environtment, dimana Dalvik Virtual Machine menjalankan aplikasi dalam format biner dex.
  • Sebuah  aplikasi framework yang memiliki Java Interface. Lapisan ini terdiri dari  Android NDK dan SDK.
  • Beberapa aplikasi inti pra-instal

Sebagian besar aplikasi Android ditulis dalam bahasa pemrograman Java. Kode Java dikompilasi, bersama dengan data dan file sumber daya yang dibutuhkan oleh aplikasi, dibundel ke dalam paket Android.

Setiap aplikasi Android terdiri dari beberapa komponen yang dapat berkomunikasi antara satu sama lain menggunakan pesan Intent. Berikut adalah daftar dari komponen-komponen dan deskripsi singkat dari masing-masing:


  • Kegiatan : Suatu kegiatan merupakan satu layar dengan user interface. Salah satu aplikasi mungkin terdiri dari beberapa kegiatan.
  • Layanan : layanan A tidak memiliki antarmuka pengguna visual, melainkan berjalan di latar belakang untuk waktu yang tidak terbatas.
  • Broadcast Receiver : Sebuah penerima siaran mendengarkan pesan khusus yang disiarkan oleh sistem atau aplikasi individual. Sebagai contoh, bila telepon menerima SMS, pesan broadcast yang dikirim oleh sistem untuk memberitahukan bahwa pesan tersedia.
  • Content Provider : Sebuah penyedia konten adalah semacam database di mana sebuah aplikasi membuat data yang tersedia untuk aplikasi lain. Anda dapat menyimpan data dalam sistem file, database SQLite, di web, atau lokasi penyimpanan persisten lainnya aplikasi Anda dapat mengakses.


Analisis Malware

Untuk meng-analisis malware dari Android, disini menggunakan Santoku, dibuat oleh viaForensics, memiliki tiga tujuan, yaitu Ponsel Forensik, Mobile Forensik dan Mobile Security.

Santoku memiliki alat yang paling terkenal untuk memeriksa malware mobile dan berisi emulator perangkat mobile, Utilitas untuk mensimulasikan layanan jaringan untuk analisis dinamis, dekompilasi dan alat pembongkaran. Ada dua pendekatan untuk analisis malware android , statis dan dinamis.

Aplikasi AndApp.apk adalah aplikasi Android berbahaya untuk tujuan demonstrasi.


Analisis Statis

Analisis statis dapat menghasilkan banyak informasi yang berguna tentang APK seperti izin yang diminta, yang disebut API dll. Untuk analisis statis, kita menggunakan disassembler, yang digunakan untuk mengubah kode ke dalam format yang mudah dimengerti. Kita harus mulai dengan Analisis Kode untuk memahami kerja dengan benar. Untuk ini, kita harus menggunakan pendekatan sebagai berikut.



Ketika seorang pengguna menginstal apk pada perangkat, file apk diekstrak dan ketika aplikasi yang diinisialisasi, itu memicu suatu kegiatan. Kegiatan ini disebutkan dalam file Android Manifest.

Apktool dapat decode kode berbahaya ke kode aslinya. Apktool digunakan untuk mengkonversi AndroidManifest biner file XML ke xml dibaca untuk memiliki informasi tentang komponen aplikasi dan izin yang diminta oleh aplikasi ini selama menginstal.

Buka jendela command prompt dan arahkan ke direktori root dari ApkTool. Kami menguraikan file AndApp.apk menggunakan perintah berikut seperti yang ditunjukkan:


The AndroidManifest.xml file shows suspicious file permission granted to the application.


Berikut ini adalah izin yang digunakan oleh aplikasi ini.


  • INTERNET : Memungkinkan aplikasi untuk membuat soket jaringan.
  • READ_PHONE_STATE : Memungkinkan hanya membaca akses ke negara telepon (nomor telepon ex.)
  • ACCESS_COARSE_LOCATION : Location berdasarkan WIFI
  • ACCESS_FINE_LOCATION : Location berdasarkan GPS
  • SEND_SMS : Kirim SMS
  • READ_SMS : Baca SMS


Unzip isi dari file terkompresi AndApp.apk untuk analisis.


  1. Meta INF Folder: Folder ini terdiri dari informasi yang memungkinkan pengguna untuk memastikan keamanan sistem dan integritas aplikasi APK.
  2. Folder res: Folder ini berisi XML mendefinisikan tata letak, atribut dll
  3. Android Manifest File: Ini adalah salah satu dari file XML yang paling penting, yang berisi informasi tentang izin kebutuhan aplikasi atau mengakses, nama paket, versi dll
  4. Classes.dex: File ini berisi semua sumber kode Java yang dikompilasi. File ini dijalankan pada Machine Dalvik. File ini terdiri dari kode byte lengkap, Mesin Dalvik yang akan menafsirkan.
  5. Resources.arsc: File ini adalah file sumber daya biner yang diperoleh setelah kompilasi.


Kita perlu kode java untuk kejelasan yang lebih baik untuk itu kita perlu mengkonversi file ke file jar classes.dex.. Dex2Jar adalah alat yang digunakan untuk mengubah kode dex ke jar Java *.. Untuk membuka Dex2Jar kita harus pergi ke Santoku menu-> Reverse Engineering-> Dex2Jar.

Conversion of classes.dex file to .jar file can be done by the command given below:

Setelah file jar dihasilkan, kita memerlukan alat bernama JD-GUI yang akan memuat tabung dan daftar keluar paket java dan file yang sesuai. JD-GUI adalah alat yang digunakan untuk melihat file classes_dex2jar.jar. Ini menyediakan GUI yang dapat memuat semua paket tertanam dalam file jar dan daftar kode classes_dex2jar.jar.

Untuk membuka JD-GUI kita harus pergi ke Santoku menu-> Reverse Engineering-> JD-GUI.


Menggunakan alat ini, kita dapat menelusuri kode sumber direkonstruksi untuk akses cepat ke metode dan field.
File MyActivity.class menetapkan alarm untuk lokasi berdasarkan WIFI, GPS, Kirim SMS, Baca SMS dll dan alarm akan dipicu / sinyal siaran, setelah waktu tertentu.

Kegiatan asli akan dimulai pada perangkat dan pengguna tidak dapat melihat  Kegiatan  mencurigakan yang berjalan di latar belakang.
Paket com.org.andapp.listner berisi semua Broadcast kelas pendengar, yang mendengarkan pesan broadcast. Ketika pesan broadcast dipicu, kelas mendaftar mulai mendengarkan acara tersebut dan mulai bekerja di latar belakang.

GetGPSReciver mengatur alarm (lihat localGregorianCalander.add (12,15)) dari MainActivity.class. Bila alarm dipicu metode OnReceive dipanggil dan informasi jaringan dengan akun Google dikirim ke server.

SMSReciver.class register sendiri dengan layanan broadcast SMS ketika aplikasi diinstal pada perangkat. Bila perangkat menerima SMS, semua kelas pendengar akan dipanggil dan metode OnReceive salinan SMS dan mengirimkannya ke server.

SmsReceiver.class uploads the user data into the remote server using HTTP calls.

Dengan melihat kode sumber dari SmsReceiver.class, diamati bahwa file bernama SmsReceiver.class tampak mencurigakan karena ini adalah tampilan aplikasi teks sederhana dan karena itu SmsReceiver tidak diperlukan.


Analisis Dinamis

Satu set teknik, yang melibatkan menjalankan aplikasi dalam lingkungan yang terkendali dan memantau perilakunya, yang dikenal sebagai analisis dinamis.

Langkah pertama yang terlibat dalam analisis dinamis malware yang menginstal SDK android dalam rangka menciptakan perangkat virtual. Untuk membuat perangkat virtual kita harus pergi ke menu Santoku -> Development Tools -> Android SDK Manajer


Klik Tools dan kemudian pilih Manage AVDs dalam rangka menciptakan sebuah perangkat Android virtual.


Setelah kita klik di Menage AVDs, kita pilih New, dan mengisi bidang yang diperlukan seperti yang ditunjukkan di bawah ini dan pilih ok.

Setelah AVD baru dibuat, kita kemudian pilih AVD itu dan klik Start untuk menjalankan virtual device / emulator.


Untuk memeriksa apakah Santoku benar berkomunikasi dengan perangkat emulator kita atau tidak kita akan menggunakan adb yaitu Android Debug Bridge.

Kami akan menggunakan  perintah perangkat adb dan harus kembali dengan nomor seri dan perangkat. Jika tidak bisa maka akan menunjukkan beberapa pesan error berarti itu tidak berkomunikasi dengan benar.

Bila sambungan dibuat berhasil maka kita harus menginstal aplikasi berbahaya yaitu AndApk.apk oleh perintah yang diberikan di bawah ini. Setelah output dari perintah ini adalah Sukses, aplikasi berhasil diinstal pada emulator.

Ketika malware tersebut berhasil terinstal, dapat dilihat di layar menu emulator.

Tcpdump digunakan untuk menangkap lalu lintas jaringan. Hal ini memungkinkan kita untuk mencegat dan menampilkan TCP / IP dan paket-paket lain yang sedang dikirim atau diterima melalui jaringan. Untuk membuka tcpdump kita harus pergi ke menu Santoku -> Wireless analyzer -> tcpdump.


Untuk mulai menangkap paket-paket kita dapat menggunakan perintah disebutkan di bawah ini:


Dimana:
Opsi-i, memungkinkan Anda untuk menyaring pada antarmuka ethernet tertentu.

-W option menulis paket ke dalam sebuah file yang diberikan. Ekstensi file harus pcap., Yang dapat dibaca oleh wireshark .

Setelah semua hal tersebut dilakukan, kami siap untuk memulai aplikasi berbahaya kami.

Fronthand aplikasi berisi hanya dua kata "hello world" bersandar layanan dijalankan dalam backhand. Untuk memuat emulator saya dengan rincian uji pengguna seperti SMS, saya menggunakan pendekatan berikut:

Buka terminal, kemudian Ketik "telnet localhost 5554" dimana 5554 adalah nomor port emulator android (Anda dapat menemukan port number dalam title emulator). Lalu ketik, "sms send sender_Phone_Number test_message" lalu tekan enter.

Ketika semuanya berjalan benar Anda akan mendapat jawaban: OK

Kemudian kita buka file pacp. Untuk menganalisis yang diciptakan oleh tcpdump menggunakan wireshark.

Sementara menganalisa file yang ditangkap kita melihat bahwa ada sejumlah besar permintaan yang timbul dari mesin sumber host (192.168.30.148) ke server tujuan, yang terlihat mencurigakan.

Untuk menemukan daerah di mana domain ini di-host kita hanya pergi ke ip2location.com dan mencari IP dari server:


Kami memeriksa aliran TCP dari permintaan disebutkan kami menemukan bahwa aplikasi berbahaya mengirimkan data ke server mana sumbernya adalah mesin host.


Setelah analisis, kami memahami bahwa AndApk.apk adalah aplikasi berbahaya yang meng-ekstrak informasi pengguna seperti lokasi, pesan dan meng-upload data pengguna yang diekstraksi ke dalam web server jauh, yang terletak di Amerika Serikat, North Carolina.


Melindungi Telepon Android Anda dari Malware

Malware ponsel terus meningkat dan perangkat mobile bisa beresiko. Berikut adalah langkah yang dapat diambil terhadap ancaman software mobile


  • Menginstal aplikasi hanya dari official Google Play Store, atau dari toko aplikasi yang sah.
  • Lindungi ponsel Anda dengan Sandi
  • Perhatikan baik-baik program apapun sebelum Anda menginstalnya untuk memastikan itu sah dan hanya meminta izin yang diperlukan
  • Hindari memungkinkan opsi debugging USB pada perangkat Anda
  • Fitur seperti Wi-Fi, Bluetooth, dll yang tidak digunakan harus dinonaktifkan.
  • Upgrade, jika mungkin, untuk versi terbaru dari Android.


Kesimpulan

Dalam beberapa tahun terakhir, pengguna smartphone telah meningkat secara eksponensial. Kami melihat pertumbuhan konstan dengan adanya risiko keamanan antara aplikasi Android dan penyerang secara terus-menerus menemukan metode baru untuk menerobos ke dalam perangkat.

Tantangan dan masalah analisis malware tersebut adalah bahwa penyerang menggunakan bahasa pemrograman yang berbeda, pengepakan untuk menyembunyikan kode lebih besar atas penggunaan enkripsi dan teknik membingungan untuk mencegah dari mendapatkan sumber kode.

Aplikasi Android dapat dinilai untuk aktivitas berbahaya dalam dua cara: melalui analisis statis dan dinamis. Dalam statis, kita melakukan Analisis Kode oleh decompiling file aplikasi dan dinamis; kita melakukan analisis perilaku dengan mengeksekusi aplikasi di emulator.



Referensi

Sunday, 13 April 2014

Internet Download Manager 7 Full Version tanpa registrasi dan Serial Number




Internet Download Manager atau biasa disingkat IDM , adalah perangkat lunak yang mampumengunduh data-data yang ada di internet dan meneruskan kembali. Perangkat buatan New York, Amerika ini menempati posisi teratas dalam memaksimalkan kecepatan mengunduh data. Tampilan dan grafis yang sederhana membuat IDM lebih bersahabat dengan penggunanya.

IDM didukung dengan fitur meneruskan kembali, yaitu untuk mengunduh ulang berkas-berkas yang sebelumnya terputus karena masalah teknis maupun nonteknis. IDM juga memiliki fitur unduh yang cepat dengan kemampuan melakukan segmentasi berkas secara otomatis dan didukung dengan teknologi yang aman.

Perangkat lunak ini memiliki kemampuan yang lebih baik daripada peranti lunak sejenis yang ada saat ini, karena fitur yang dimiliki dalam membagi data yang sedang diunduh menjadi beberapa bagian terpisah untuk kemudian disatukan kembali setelah proses mengunduh selesai. Proses ini dinamakan multipart. Akan tetapi, IDM berbeda dengan perangkat sejenisnya karena proses multipart ini dilakukan secara bersamaan dan kecepatannya hingga 500% atau lima kali lipat lebih baik sebagaimana diklaim oleh pembuat IDM ini.

IDM mampu membagi sebuah berkas saat proses mengunduh berlangsung hingga menjadi tujuh sampai delapan bagian atau  Sebuah berkas yang diunduh dan terbagi menjadi delapan bagian selanjutnya ditangani oleh IDM yakni dengan membagi kecepatan yang sama besar per bagiannya. Namun jika bagian-bagian tadi ada yang mengalami hambatan dalam proses unduh maka kecepatan pada bagian lain akan digunakan untuk membantu bagian yang lambat tadi.

Versi terbaru IDM download  menambahkan panel  yang dapat digunakan untuk mengunduh flash video dari situs seperti YouTube, MySpaceTV, dan Google Video. Fitur ini juga dilengkapi oleh Vista support, YouTube grabber, scheduler, dan MMS dukungan protokol. Versi baru juga menambahkan integrasi untuk Internet Explorer dan browser berbasis Internet Explorer, didesain ulang dan, peningkatan toolbar, dan perbaikan fitur baru lainnya.


Sunday, 6 April 2014

Cryptolocker


Cryptolocker

             Dirilis pada September 2013, CryptoLocker adalah program ransomware yang menargetkan semua versi Windows, termasuk Windows XP, Windows Vista, Windows 7, dan Windows 8. Trojan ini mengenkripsi hampir semua file menggunakan kombinasi RSA & enkripsi AES. Ketika enkripsi selesai, maka akan muncul program pembayaran CryptoLocker yang meminta Anda untuk mengirim uang tebusan sebesar $ 300 atau 300 Euro atau setara dalam mata uang lainnya dalam rangka untuk mendekripsi file. Kemudian tebusan dapat dibayar baik dengan Bitcoin atau mode Moneypak kepada pembuat malware. Sebuah batas waktu 72 jam yang diberikan untuk membayar uang tebusan;  kunci dekripsi akan dihapus dari salah satu server rahasia. Setelah pembayaran diverifikasi, program ini akan mendekripsi file yang dienkripsi dengan menggunakan kunci privat RSA.

Tampilan Layar Yang Terinfeksi CryptoLocker

Sekarang, CryptoLocker telah menginfeksi lebih dari 250K komputer dan menghasilkan jutaan dolar yang hilang di seluruh dunia. Karakteristik yang paling mengganggu adalah kemampuannya untuk membodohi software perlindungan virus standar. Bahkan dengan standar keamanan yang tinggi dan perangkat lunak antivirus yang baik, maka akan sulit untuk mencegah penyusupan oleh tangan jahat CryptoLocker.


Rincian Teknis

CryptoLocker menggunakan enkripsi asimetris, yang menggunakan dua kunci yang berbeda untuk proses enkripsi dan dekripsi. Ketika terinfeksi ke dalam suatu sistem, CryptoLocker akan menyimpan sebagai file dengan nama acak ke root dari %AppData% or %LocalData% path. Kemudian entri auto start dibuat dalam registri dan CryptoLocker dimulai secara otomatis setiap kali sistem dimulai.

Ketika malware terinstal, itu membuat permintaan POST tertanam ke alamat IP atau domain tertentu seperti biz/home, co.uk/home, com/home, info/home, net/home, org/home or ru/home. C & C berfungsi berubah secara dinamis dan jika malware tidak dapat membuat sambungan ke server C & C, maka terlihat untuk C & C server akan hidup menggunakan Algoritma Generasi Domain (DGA). Algoritma DGA ini dapat menghasilkan 1K domain setiap hari dan mencari koneksi yang tersedia. Beberapa contoh nama domain DGA yang menghasilkan lcxgidtthdjje.org, kdavymybmdrew.biz, dhlfdoukwrhjc.co.uk, dan xodeaxjmnxvpv.ru. Ketika malware mendeteksi koneksi C & C, ia akan mengirimkan payload RSA terenkripsi yang berisi data tentang versi malware, System ID, ID kelompok dan bahasa sistem. The C & C menerbitkan kunci publik untuk host yang terinfeksi dan disimpan dengan informasi lain di dalam nilai-nilai di bawah Key registri HKEY_CURRENT_USERSoftwareCryptoLocker_0388. Publik Key kemudian mencari berbagai ekstensi file di komputer korban dan selanjutnya memulai proses enkripsi. Private key yang digunakan untuk dekripsi dari file yang terinfeksi tidak disimpan di komputer, tetapi pada C & C Server.


Ekstensi CryptoLocker yang mempengaruhi adalah:

* Odt., *. Ods, odp *., Odm *., ODC *., Odb *., *. Doc, *. Docx, *. Docm, *. Wps, *. Xls, *. Xlsx, *. wpd xlsm, * dxf pst mdb ppt xlsb., * xlk., *., *. pptx, PPTM *., *., * accdb., *., * dwg., *., * DXG., *., jpg * rtf., WB2 *., MDF *., DBF *., psd *., pdd *., *. pdf, *. eps, *. ai, *. pdf, * cdr., *., *. srf jpg jpe, img_ *., * dng., * .3 fr, * ARW., *., * SR2., *. bay, * crw., *. CR2, * DCR., * KDC, * erf.. PTX rw2, * mef., *. MRW, * nef., *. nrw, * orf, * raf.., * mentah, * RWL.., *., * R3D., *., PEF *., * srw., *. x3f, * p12 pfx crt cer. der, *., *., * pem., *., *., * P7B., *. p7c.

Setelah enkripsi file, ia akan menampilkan layar CryptoLocker yang menuntut uang tebusan sebesar $ 300 atau 300 Euro untuk mendekripsi file. Tebusan bisa dibayar menggunakan Bitcoin atau voucher Moneypak dengan batas waktu 72 jam atau kunci enkripsi akan hancur dari server C & C. Jika kode pembayaran salah dimasukkan, maka waktu yang diberikan untuk dekripsi file menurun.

Tampilan CryptoLocker yang memberitahukan bahwa sistem terinfeksi


File Path dan Registry Keys yang digunakan oleh CryptoLocker

File Path yang digunakan oleh CryptoLocker

File Path yang digunakan oleh CryptoLocker berada di salah satu dari format berikut: %AppData%<random.exe> and %AppData%{<8 chars>-<4 chars>-<4 chars>-<4 chars>-<12 chars>}.exe

Contoh nama file yang termasuk 'Rlatviomorjzlefba.exe' dan '{34285B07-372F-121D-311F-030FAAD0CEF3}. Exe'.


Windows XP

C: Documents and Settings <User> Application Data <random name>.exe
C: Documents and Settings <User> Local Application Data <random name>.exe


Windows Vista / 7

C: Users <User> AppData Local <random name>.exe
C: Users <User> AppData Local <random name>.exe

Registry Key digunakan dalam CryptoLocker

KEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun “CryptoLocker”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce “*CryptoLocker”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun “CryptoLocker_<version_number>”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce “*CryptoLocker_<version_number”

Berikut ini adalah versi terbaru dari CryptoLocker 0388. The * dalam entri RunOnce memberitahu Windows untuk memulai CryptoLocker bahkan dalam Safe Mode. Hal ini juga menciptakan registry key untuk menyimpan informasi konfigurasi dan file-file yang terenkripsi. Sebelumnya digunakan registry key HKEY_CURRENT_USERSoftwareCryptoLocker.

registry key yang saat ini sedang digunakan untuk menyimpan informasi konfigurasi HKEY_CURRENT_USERSoftwareCryptoLocker_0388 . Kunci ini memiliki tiga nilai registry yang mencakup Public Key, VERSIONINFO dan Wallpaper. Public Key nilai berisi public key yang digunakan untuk mengenkripsi file. VERSIONINFO berisi informasi yang meliputi versi terbaru dari malware, alamat IP dari C & C Server dan time stamp instalasi. Wallpaper value berisi informasi mengenai wallpaper yang akan ditampilkan sebagai background pada desktop komputer yang terinfeksi.

Di bawah registry key, akan ada daftar semua file yang telah dienkripsi oleh CryptoLocker. Ketika tebusan tersebut dibayarkan, dekripsi dilakukan dengan menghasilkan REG_DWORD value baru untuk setiap file yang dienkripsi. REG_DWORD value menggunakan nama path lengkap ke file yang dienkripsi dengan mengganti semua karakter garis miring (/) dengan tanda tanya (?). Contoh dari file terenkripsi di REG_WORD akan seperti C:?Users?Public?Videos?Sample Videos?Wildlife.wmv.


Metode Infeksi

CryptoLocker tampaknya telah menyebar melalui email palsu yang meniru tampilan bisnis yang sah seperti isu-isu terkait dukungan pelanggan dari FedEx, UPS, DHS, dll. malware juga menyebar melalui infeksi sebelumnya dari beberapa beberapa botnet yang sering dimanfaatkan dalam underground market.

Ada beberapa skenario dalam fase infeksi CryptoLocker. Salah satu jenis skenario infeksi adalah dengan langsung melampirkan CryptoLocker sebagai lampiran dan skenario ini dilakukan sebagai lampiran zip, dan membukanya akan menginfeksi sistem dengan menjalankan yang sama. File zip berisi executable dalam format PDF dengan icon PDF dan diberi nama dengan beberapa exe <filename>.. Namun, ekstensi exe ini. Tidak dapat dilihat, karena dengan pengaturan default Microsoft tidak menampilkan ekstensi.
Awalnya CryptoLocker dibagikan sebagai biak sendiri, dan sekarang dibundel dengan infeksi Zbot. Infeksi Zbot dapat dideteksi dengan memeriksa nilai registri HKCUSoftwareMicrosoft <random>. Salah satu skenario infeksi adalah dalam spam mail, lampiran tertanam bukan dari CryptoLocker. Sebaliknya, trojan Upatre ditambahkan sebagai lampiran dan trojan ini digunakan untuk men-download trojan Zbot, salah satu malware terkenal yang digunakan untuk mencuri kredensial perbankan. Sekarang sistem terinfeksi dengan Zbot dan pengguna berada dalam ancaman kehilangan kepercayaan dari perbankan. Kemudian Zbot pada gilirannya yang mendownload ransomware CryptoLocker dan kemudian file dalam sistem akan dienkripsi. Sekarang pengguna berada dalam keadaan membayar tebusan untuk dekripsi file.

Sekarang, varian CryptoLocker sedang didistribusikan di peer to peer situs web yang mendistribusikan perangkat lunak bajakan Adobe Photoshop dan Microsoft Office. Dengan demikian penulis malware berfokus pada penyebaran malware melalui peer to peer website.

Pesan Spam Email CryptoLocker/Zbot 

Pesan spam email CryptoLocker


Berikut ini adalah daftar subyek email yang digunakan untuk mendistribusikan CryptoLocker.
  • USPS – Your package is available for pickup (Parcel 173145820507)
  • FW: Invoice <random number>
  • ADP payroll: Account Charge Alert
  • Important – attached form
  • FW: Last Month Remit
  • McAfee Always On Protection Reactivation
  • Scanned Image from a Xerox WorkCentre
  • Annual Form – Authorization to Use Privately Owned Vehicle on State Business
  • Fwd: IMG01041_6706015_m.zip
  • My resume
  • New Voicemail Message
  • Important – New Outlook Settings
  • Scan Data
  • New contract agreement.
  • Important Notice – Incoming Money Transfer
  • Notice of underreported income
  • Payment Overdue – Please respond
  • FW: Check copy
  • Payroll Invoice
  • USBANK
  • Symantec Endpoint Protection: Important System Update – requires immediate action 


Pencegahan

Dengan mengikuti beberapa tindakan pencegahan, kita dapat menghindari infeksi oleh CryptoLocker. Ada beberapa fungsi built-in yang tersedia pada OS Windows yang dapat digunakan untuk mencegah eksekusi CryptoLocker executable.

CryptoLocker dapat dicegah dengan menghalangi pelaksanaan executable tertentu di lokasi tertentu. Software Restriction Policies Windows Group or Local Policy Editor dapat dikonfigurasi untuk memblokir eksekusi.


Local Security Policy

Local Security Policy adalah fitur dari keluarga Microsoft Windows NT dari sistem operasi yang mengontrol the working environment of user accounts and computer accounts. Group Policy menyediakan manajemen terpusat dan konfigurasi sistem operasi, aplikasi, dan user setting dalam Active Directory Environment.


Kita dapat mengkonfigurasi menggunakan Local Security Policy:
  • Click Start, and then click Run.
  • Type secpol.msc, and then click OK.
  • Then Click on the Software Restriction Polices->Additional Rules
  • Right click the “Additional Rules” and click the “New Path Rule”

Lalu akan muncul Tampilan, kita dapat memasuki jalan dan Tingkat Keamanan. Kita dapat mengatur "Terikat" rule sebagai aturan default yang memungkinkan semua program untuk menjalankan.

Then a window will pop up were we can enter the path and Tingkat Keamanan. kita dapat mengatur  “Unrestricted” rule as the default rule which allows all programs to run.

Local Security Policy Interface

Mencegah pelaksanaan executable di LocalAppData dan AppData


Kita dapat menggunakan list path rule di bawah ini dan tingkat keamanan atas di windows. Dengan demikian CryptoLocker akan dinonaktifkan dari dieksekusi dalam AppData atau folder Pengaturan lokal lainnya. Dengan menetapkan aturan dalam Local Scurity Policy, jika eksekusi kemudian dilakukan di mana bahwa aturan tertentu disebut, maka  event viewer alert fired dan detail diblokir dieksekusi  dicatat dan ditampilkan.

Event Viewer Alert mengacu pemblokiran dieksekusi

Di bawah ini terdaftar List Path yang dapat digunakan secara efektif memblokir eksekusi CryptoLocker atau executable lainnya.
  • Blocking CryptoLocker exe in %AppData%

Path: %AppData%*.exe
Security Level: Disallowed
Description: Don’t allow executables to run from %AppData%.
  • Block CryptoLocker exe in %LocalAppData%

Path if using Windows XP: %UserProfile%Local Settings*.exe
Path if using Windows Vista/7/8: %LocalAppData%*.exe
Security Level: Disallowed
Description: Don’t allow executables to run from %AppData%.
  • Block executables run from archive attachments opened with WinRAR:

Path if using Windows XP: %UserProfile%Local SettingsTempRar**.exe
Path if using Windows Vista/7/8: %LocalAppData%TempRar**.exe
Security Level: Disallowed
Description: Block executables run from archive attachments opened with WinRAR.
  • Block executables run from archive attachments opened using Windows built-in Zip support:

Path if using Windows XP: %UserProfile%Local SettingsTemp*.zip*.exe
Path if using Windows Vista/7/8: %LocalAppData%Temp*.zip*.exe
Security Level: Disallowed
Description: Block executables run from archive attachments opened using Windows built-in Zip support.



Biasakan Aman

Langkah-langkah pencegahan yang tercantum di bawah dapat digunakan untuk mencegah infeksi CryptoLocker ke mana.
  • Memastikan semua karyawan sadar akan ancaman CryptoLocker dan tidak membuka e-mail yang mencurigakan atau lampiran tanpa diundang.
  • Jika ada email yang dicurigai memiliki lampiran, maka kewenangannya harus dikonfirmasi.
  • Dalam rangka mengurangi dampak, menerapkan cadangan  file penting.
  • Mengkonfigurasi IPS dan IDS dengan Indikator relevan Kompromi (IOC) dan domain.
  • Konfigurasi firewall untuk memblokir IP dan domain yang terkait dengan CryptoLocker.
  • Hanya memberikan akses admin dan otoritas istimewa tinggi lainnya hanya untuk  mereka yang berwenang. dan Mencabut  dari orang-orang yang tidak memenuhi syarat.
  • Batasi akses ke jaringan dan drive bersama yang lainnya untuk kelompok pengguna diverifikasi atau individu.
  • Aktifkan update otomatis dari sistem operasi dan menerapkan semua update keamanan terbaru dan patch.
  • Gunakan Antivirus terkenal dan berkualitas dan memperbarui definisi virus terbaru.
  • Terapkan update keamanan lainnya untuk aplikasi pihak ke tiga.
  • Membatasi file dan akses objek, dan hanya petugas yang berwenang.
  • Membatasi akses ke file sensitif & memastikan personil hanya dapat mengakses data yang diperlukan untuk melakukan pekerjaan mereka.
  • Pastikan memperbarui tepat waktu dari semua software dengan mengaktifkan update otomatis.
Mengikuti kebiasaan browsing yang aman dan memberikan pelatihan tentang keamanan informasi dan ancaman cyber terbaru kepada karyawan secara teratur dapat mengurangi dampak untuk sebagian besar bisnis.


Mitigation

Namun, mengikuti langkah-langkah pencegahan yang disebutkan di atas tidak menjamin bahwa sistem tidak akan terpengaruh oleh CryptoLocker. Dalam kasus infeksi, ikuti langkah-langkah mitigasi yang digambarkan di bawah ini .


Tindakan Umum
  • Menginformasikan personil keamanan yang tepat atau Incident Response Team tentang infeksi.
  • Segera putuskan sistem anda dari intranet dan internet. Dengan demikian penyebaran virus dapat dicegah.
  • Segera matikan perangkat lunak sinkronisasi data yang secara otomatis mensinkronisasikan perubahan data Anda dengan server lain. Jika tidak, data versi sebelumnya akan diganti dan tidak dapat diganti.
  • Lepaskan tombol Registry dan file program untuk menghentikan program dari menjalankan proses enkripsi.
  • Tidak seperti program lain, CryptoLocker memunculkan dua proses itu sendiri. Jika hanya salah satu dari mereka terbunuh, proses lain akan meluncurkan yang sama. Gunakan program seperti "Process Explorer" atau "Proses Monitor" dan pilih proses pertama dan pilih "Kill Tree". Hal ini akan menghentikan kedua proses pada waktu yang sama.
  • Gunakan firewall untuk memblokir semua koneksi yang masuk dari Internet ke layanan yang seharusnya tidak tersedia untuk umum. Secara default, Anda harus menolak semua koneksi masuk dan hanya mengizinkan layanan Anda secara eksplisit ingin menawarkan ke dunia luar.
  • Menegakkan kebijakan password. Password yang kompleks menyulitkan untuk memecahkan file password pada komputer. Hal ini membantu untuk mencegah atau membatasi kerusakan ketika komputer.
  • Memastikan bahwa program dan pengguna komputer menggunakan tingkat terendah dari hak istimewa yang diperlukan untuk menyelesaikan tugas. Ketika diminta untuk password root atau UAC, memastikan bahwa program meminta untuk akses administrasi tingkat adalah aplikasi yang sah.
  • Nonaktifkan AutoPlay untuk mencegah peluncuran otomatis file executable pada jaringan dan removable drive, dan lepaskan drive bila tidak diperlukan. Jika akses tulis tidak diperlukan, mengaktifkan modus read-only jika opsi tersebut tersedia.
  • Matikan dan menghapus layanan yang tidak perlu. Secara default, sistem operasi banyak menginstal layanan tambahan yang tidak kritis. Layanan ini jalan serangan. Jika mereka dihapus, memiliki  kurang nya jalan ancaman serangan.
  • Jika eksploitasi ancaman satu atau lebih layanan jaringan, menonaktifkan atau memblokir akses ke layanan tersebut sampai patch diterapkan.
  • Konfigurasi server email Anda untuk memblokir atau menghapus email yang berisi lampiran file yang umum digunakan untuk menyebarkan ancaman, seperti vbs., Bat., Exe., Pif. Dan. File scr.
  • Untuk mengembalikan file, Anda harus dapat menggunakan "Shadow Volume Copies" yang inbuilt di Windows Vista, Windows 7, dan Windows 8.
  • Mengaktifkan System Restore pada komputer memungkinkan untuk mengembalikan versi sebelumnya dari file terenkripsi sekali virus telah dihapus.
  • Menerapkan Software Restriction Kebijakan (SRPs) untuk mencegah program-program seperti CryptoLocker dari mengeksekusi dalam direktori umum seperti %AppData% atau %LocalAppData%.
  • Gunakan Group Policy Objects (GPO) untuk membuat dan membatasi hak akses pada registry key yang digunakan oleh CryptoLocker, seperti HKCUSOFTWARECryptoLocker (dan varian). Jika malware tidak dapat membuka dan menulis ke kunci ini, itu berakhir sebelum enkripsi file.
Sampai sekarang, tidak ada cara untuk memulihkan kunci pribadi dan melaksanakan dekripsi secara manual. Jadi satu-satunya cara untuk menyelesaikan dekripsi file adalah dengan membayar uang tebusan. Ketika tebusan tersebut dibayarkan, proses dekripsi akan dimulai dan layar verifikasi pembayaran akan ditampilkan. Biasanya proses dekripsi ini memakan waktu sekitar 3 sampai 4 jam. Namun, selama proses ini beberapa file tidak dapat didekripsi, tapi ini tidak mempengaruhi sisa proses.


Varian CryptoLocker atau CryptoLocker 2.0

CryptoLocker 2.0 - varian dari CryptoLocker yang beroperasi pada cara yang sama telah banyak tersebar di Internet. Varian ini setelah infeksi mencari ekstensi file yang dapat mengenkripsi dan kemudian muncul keluar layar tampilan yang menuntut uang tebusan. Varian ini juga menggunakan kunci publik RSA yang sama, tetapi dari RSA-1024. Sebelumnya CryptoLocker menggunakan RSA-2048. Namun varian ini tidak menampilkan penghitung waktu mundur untuk membayar tebusan bagi kunci dekripsi. Juga varian ini hanya menerima uang tebusan melalui Bitcoins, tetapi versi sebelumnya menerima uang tebusan melalui Bitcoin, Moneypak, Ukash atau CashU.

Varian ini menggunakan bahasa pemrograman C #, sedangkan versi sebelumnya menggunakan Visual C + +. Juga file dan registri key juga berbeda dari versi sebelumnya. CryptoLocker 2.0 juga menargetkan user normal dengan mengenkripsi ekstensi file seperti file gambar, file musik dan file video lainnya.

Di sini, di CryptoLocker 2.0 menggunakan algoritma enkripsi 3DES untuk mengenkripsi file, tetapi dalam CryptoLocker menggunakan algoritma AES untuk enkripsi.

CryptoLocker 2.0

CryptoLocker 2.0



referensi