Tabell 3 Resultat från antivirus på Ryuk
Ryuk filen skannades av 70st olika antivirusprogram. Av dessa var det 56st som varnade för skadlig programvara. Av dessa identifierade sju programvaran som ett utpressningsprogram eller att det handlade kryptering. Det var dock enbart två som specificerade att det var just Ryuk.
Denna skadliga kod är skriven i programmeringsspråket Borland Delphi och är även detta skapat för 32-bit Windows system. Ursprungligen kallades filen somit.exe innan den publicerades som prov för analys.
Bland de importerade funktionerna fanns “FindNextVolumeMountPoint”, vilket är en funktion som möjliggör en kontinuerlig genomsökning av mappar över hårddiskar
15 eller andra installerade lagringsutrymmen. Den skadliga programvaran har också möjlighet att skapa och stänga ner processer, funktioner för att hitta specifika filer samt skapa, ta bort och redigera filer. Utöver detta importeras flera funktioner som kan användas för att förhindra eller försvåra analyser, som Sleep och
IsDebuggerPresent. Ytterligare en importerad funktion av intresse är möjligheten att avläsa filtyper.
Ryuk startade tre nya .exe filer som varit inbäddade i originalfilen. Dessa filer verkar vara döpta till en följd slumpade bokstäver följt av “lan.exe”, i två av fallen, och
“rep.exe” i det tredje. Programmen körs med argumenten “8 LAN” respektive “9 REP”. Utöver dessa körs icacls.exe och ger fulla rättigheter till alla användare på de två volymerna som finns på enheten. Ryuk kör även flertalet Net-kommandon för att stänga av “audioendpointbuilder” och “samss”. SAMSS är en tjänst som tillhör Windows Security Account Manager, vilket är en databas som hanterar
användaruppgifter (Microsoft 2009). Likt Trickbot gör även Ryuk registerändringar för Windows Defender.
Filtyper som inte krypterades: Mappar där inget krypterades:
Executable (.exe) Windows
Dynamic-link Library (.dll) Chrome Initialization (.ini)
Multilingual User Interface (.mui)
Tabell 4 Filer Ryuk undvek att kryptera
Ryuk började sedan att gå igenom och kryptera alla filtyper som inte är essentiella för att enheten ska fungera, till exempel krypterades inte .exe eller .dll filer. Bland annat Systemfiler, Batchfiler, Dokument och alla typer av mediafiler omvandlades dock till krypterade RYUK filer. Vissa mappar exkluderades även helt ifrån
krypteringsprocessen. I varje mapp på enheten dök det även upp en HTML fil med namnet “RyukReadMe”. Denna fil innehåller instruktioner om hur personen eller teamet bakom Ryuk kan kontaktas tillsammans med uppmaningar om att skicka med filer för “test dekryptering”.
16
Figur 1 Riskmatris för malwaretyper
Figuren ovan visar bedömningen av hotbilden av malware i form av en riskmatris. De olika malwarekategorierna bedömdes på en skala från låg till hög i sannolikhet, baserat på Malwarebytes rapport. Samt liten till stor konsekvens, vilket bedömdes efter funktionaliteten hos de olika typerna som utvanns ur experimentet samt litteraturstudien.
17
5. Diskussion
I diskussionen granskas innehållet i litteraturstudien och resoneras kring det hot som olika typer av malware utgör. Diskussionen involverar även resonemang kring
resultatet från experimentet.
5.1 Hotbild
Hur farligt en typ av malware är baseras på en sammanställning av hur stor skada det kan orsaka mot en enhet eller användare, samt hur stor risken är att bli drabbad av just den typen av skadlig programvara.
Annonsprogram är en av den vanligaste typen av skadlig programvara i cirkulation idag men konsekvenserna av den typen av malware är förhållandevis milda i jämförelse med annan skadlig programvara. Ett annonsprogram som injekterar annonser i alla applikationer på datorn kan vara störande och påverka prestandan negativt men leder inte till någon förlust av data eller förstörelse av enheten (Aycock, 2006). En dator infekterad av annonsprogram kan fortfarande användas för sitt syfte.
En dator infekterad av ett utpressningsprogram försätts nästan direkt ur funktion och originalanvändningen blir omöjlig efter den har blivit drabbad. Om man inte finner något sätt att få bort utpressningprogrammet kan det krävas att operativsystemet installeras igen eller att hårddisken i enheten byts till en icke infekterad (Love, 2018).
Detta leder till förlust av all data som lagrades på enheten när den blev infekterad om man inte gjort säkerhetskopior. Det är omöjligt att fortsätta enhetens vanliga operation medan den är påverkad av utpressningprogrammet. Risken att drabbas av ett utpressningsprogram är dock relativt liten jämfört med andra typer av skadlig programvara, därför anses denna typ vara ett mindre hot.
Bluff antivirus är exempel på skadlig programvara som både har låg chans att infektera ens enhet då de inte förekommer ofta jämfört med andra typer, och konsekvenserna efter att ha blivit drabbad av ett bluff-antivirus är så pass milda att de knappt påverkar enheten och leder i värsta fall till en mindre ekonomisk kostnad (Cova et al., 2009). Därför anses bluff-antivirus som ett väldigt litet hot mot företag.
Även webbläsarkapare anses som ett mindre hot med låga spridningssiffor och minimala konsekvenser i form av milt påverkad prestanda och möjliga mindre monetära förluster (Malwarebytes, 2016).
Bakdörrsprogram är en typ av skadlig programvara som har ett lågt antal infektioner årligen men vars konsekvenser för företag är förödande. En enhet infekterad med bakdörrsprogram ger utomstående, fientliga, parter tillgång till insidan på ett företags nätverk och kan leda till förlust av känslig information samt förlust av
affärshemligheter (Reynolds, 2020). Dessa extrema konsekvenser gör att hotet från ett bakdörrsprogram blir högt fast förekomsten är låg.
Spionprogram ligger på nästan samma nivå som bakdörrsprogram då de kan ge obehöriga tillgång till inre delarna av företag genom förlusten av till exempel inloggningsinformation, dock är spionprogram mer begränsade till ett
18 övervakningssyfte, och kan inte direkt påverka den infekterade enheten (Aycock, 2006). Därför anses konsekvenserna vara mindre vid ett spionprograms-angrepp än vid ett bakdörrs-angrepp.
En datormask har man låg risk att bli drabbad av men det är svårare att avgöra dess konsekvenser. Om ett företag drabbas av en datormask kan den snabbt spridas via det lokala nätverket och infektera alla enheter uppkopplade. Hur stor skadan blir beror direkt på vad masken innehåller då de oftast används som ett spridningssätt för andra typer av skadlig programvara. En datormask som infekterar alla enheter på ett företag och sedan laddar ner annonsprogram får ju betydligt mindre
konsekvenser jämfört med en datormask som installerar bakdörrar (Kramer &
Bradfield, 2009). Att bedöma hur stort hot som datormaskar utgör blir därför svårt att sätta i exakta siffror.
Trojaner är den överlägset vanligaste typen av skadlig programvara i cirkulation idag. Den stora risken att bli drabbad gör att hotbilden ökar markant. Dock framstår samma problem vid bedömningen av trojanernas konsekvens som vid
datormaskarnas. En trojan används ofta för att sprida andra typer av skadlig programvara och att bli infekterad av en trojan laddad med en webbläsarkapare orsakar milda konsekvenser medan en trojan laddad med utpressningsprogram ger mer akuta problem (Kramer & Bradfield, 2009). Trojaner har även en väldigt bred benämning på vad som faller under titeln trojan - alla typer av skadlig programvara som på något sätt försöker verka som ett legitimt program faller in i denna kategori.
Detta gör att inom malware statistik kan många malware räknas flera gånger eftersom de faller in i flera olika kategorier.
5.2 Experiment
Enligt litteraturstudien är en trojan en form av skadlig programvara som utger sig för att vara ett legitimt program. Detta är precis vad Trickbot i vårt experiment gjorde, i form av wermgr.exe, vilket är ett program som ingår i Windows operativsystem.
Detta innebär att det är väldigt svårt att upptäcka att en dator är infekterad om inte användaren besitter goda kunskaper inom ämnet. Förutsatt att det inte finns ett antivirusskydd installerat som ger utslag.
Något som vi tyvärr inte lyckades få reda på i experimentet var bevis på att trojanen faktiskt samlade in data. Baserat på litteraturstudien vet vi dock att Trickbot används för att samla in bankuppgifter. Våra spekulationer på varför denna information inte kunde utvinnas, beror antingen på att vissa funktioner inte körs av Trickbot om inte en nätverksanslutning är etablerad. Det kan även bero på att Trickbot identifierade enheten som en virtuell maskin, utan vår vetskap, och därför betedde sig
annorlunda. Baserat på resultatet från experimentet vet vi att versionen av Trickbot som experimentet utfördes på möjligtvis kan använda sig av anti-analystekniker då både funktionen IsDebuggerPresent och Sleep importerades. Det är möjligt att ytterligare metoder användes men ingenting observerades motarbeta vår analys under experimentets gång.
19 Utöver information om vad detta malware gör, kan vi troligtvis även begränsa
Trickbots ursprung till ett rysktalande land. Detta är dock spekulationer baserade på att de resurser som användes var skrivna på ryska.
Trickbot försökte nå ut till flertalet IP-adresser och skapa en fil med datorns namn, i en mapp kallad “yas58”. Detta tyder på att wermgr.exe troligtvis försöker skicka information om enheten den körs på, till dessa IP-adresser. Yas58 är en så kallad gtag, vilket spekuleras användas för att kategorisera den insamlade data efter vilken iteration av Trickbot som används (Intel 471, 2020).
Den temporära filen “logAC24.tmp” är troligtvis en temporär lagringsplats för
eventuella insamlade data, innan den skickas i väg. I experimentet kunde denna fil tyvärr inte kommas åt, vilket betyder att mer exakt information om vad som lagras i denna fil inte kan avgöras.
Registerändringen för Windows Defender verkar vara en defensiv funktion för att skydda sig mot eventuella virusskanningar. På den virtuella maskinen fanns inget installerat AV-program, men det är möjligt att liknande åtgärder vidtas för att undvika att bli upptäckt av andra applikationer.
Ryuk som är ett utpressningsprogram, ger tydliga resultat på vad som händer.
Eftersom detta inte är en trojan försöker den inte gömma sig, syftet är snarare att tydligt visa att den skadliga programvaran är närvarande.
Här såg vi importerade funktioner med syfte att söka igenom hårddiskar, identifiera filtyper samt hantera filer och processer. Just att identifiera filtyper är av stor vikt, eftersom syftet med ett utpressningsprogram är att kunna kräva offret på pengar.
Om i stället alla filer krypteras skulle enheten sluta fungera vilket hade begränsat offret förmåga att betala och då missgynnat utpressarna. Ryuk vill därför enbart kryptera filer som kan tänkas värdefulla för offret, men som inte påverkar enhetens funktionalitet. Detta betydde dock inte att alla program fungerade som de skulle efter att Ryuk kört krypteringen. Vissa problem uppstod under experimentets gång. Även om .exe filerna var intakta och programmen startade, var de beroende av andra typer av filer för att fungera korrekt. Loggfiler med resultat från analysen blev även krypterade i processen. Dessa problem löstes genom att använda vissa av
verktygen med hjälp av andra datorer och även genom att låta Ryuk köras i olika tidsintervall för att kunna avbryta krypteringsprocessen innan den nådde de filer vi behövde.
Programmen som startades av Ryuk med argumenten “8 LAN” är högst troligt kopplat till Ryuks användning utav Wake-on-LAN för att sprida den skadliga programvaran till avstängda enheter på det lokala nätverket (Snooke & Shimeall, 2020). Däremot kunde inte syftet med “9 REP” avgöras med experimentet.
Något som skapade viss förvirring var kommandot att stänga av tjänsten
“Audioendpointbuilder”. Denna tjänst hittar och hanterar ljudenheter, vilket gör det svårt att se varför denna tjänst är nödvändig att stänga av. Den andra tjänsten,
“samss”, är av större relevans. Enligt Windows beskrivning av tjänsten, signalerar den till andra tjänster att Security Accounts Manager (SAM) är redo att ta emot
20 signaler. Genom att stänga av tjänsten kan andra tjänster misslyckas med att starta.
Detta kan i sin tur hindra varningar om misstänksam aktivitet från att skickas.
I båda fallen blev den skadliga programvaran påkommen av en klar majoritet av de 70 antivirusprogrammen. Trots att andelen som lyckades identifiera vilken typ av skadlig programvara det handlade om var aning mindre, är den viktiga aspekten att användaren varnas för skadliga filer. Siffrorna för identifieringen är aningen
vilseledande då ett fåtal av antivirusprogrammen inte försökte göra just detta. Vi kan dock se en stor skillnad på hur många som identifierade typen av skadlig
programvara i de båda fallen. Ryuk fick ett väldigt lågt antal (7) antivirus som identifierade det som ett utpressningsprogram medan ett större antal (27) identifierade Trickbot som en trojan. Dock var det 27 antivirusprogram som identifierade Ryuk som en trojan. Vilket egentligen inte är helt fel. Anledningen till detta är att ett malware inte är helt begränsat till en enskild kategori. Detta är något som inte alltid framgick tydligt när litteraturstudien gjordes. Ryuk är till största del ett utpressningsprogram men delar även vissa egenskaper med en trojan, till exempel kräver Ryuk, likt en trojan, att användaren aktiverar programmet. Vad gäller att imitera ett legitimt program stämmer det inte lika bra, men detta är samtidigt en aningen vag benämning. När Ryuk väl körs försöker den inte maskera processerna likt Trickbot. Däremot om Ryuk liknar ett legitimt program när det skickas till ett offer, för att denne med större sannolikhet ska köra programmet, faller det till viss grad in under typen trojan.
Omfattningen av konsekvenserna som ett resultat av att utsättas för dessa malware är något relativt. I de flesta av fallen är nog Trickbot det mest förödande. Då detta är en trojan utvecklad för att samla in bland annat bankuppgifter är de eventuella konsekvenserna ganska tydliga. Det är ekonomisk stöld som utgör det värsta scenariot. Storleken på konsekvensen baseras därför på bankkontots innehåll, begränsningar eller eventuella säkerhetsspärrar hos banken. Ryuk däremot ägnar sig inte åt stöld i den traditionella benämningen utan pressar i stället offret på pengar i utbyte mot tillgång till deras filer. Här finns det egentligen två olika konsekvenser, antingen betalas en lösensumma för att få filerna dekrypterade. Vi har inte som en del av experimentet försökt ta kontakt med personen eller personerna bakom Ryuk, storleken på lönesumman är därför inte känd. Enligt litteraturstudien var denna summa mellan 1.2 och 4 miljoner kronor i Bitcoin år 2019 (Hassan, 2019). Det finns heller inte någon garanti att de är till någon hjälp när summan väl betalats. I den andra situationen, där summan inte betalas, blir förlusten det eventuellt ekonomiska samt sentimentala värdet av innehållet på datorn.
I båda dessa scenarion skiljer sig konsekvenserna väldigt mycket åt mellan olika fall.
För ett mindre företag, som inte hanterar känslig information, är kanske inte värdet på datorns innehåll lika högt utan Trickbot utgör i stället ett större hot. Däremot kan Ryuk orsaka väldigt stor skada för ett företag som hanterar just denna typ av
information eller vars verksamhet i stora delar befinner sig på ett lokalt nätverk. Inget av dessa malware har, på egen hand, egenskaperna att sprida sig, likt ett virus eller en mask. Resultatet tyder dock på att Ryuk kan påverka och kryptera andra enheter på nätverket, baserat på dess Wake on LAN funktion. Detta gäller troligtvis enbart filer som är åtkomstbara för den infekterade enheten. Det är givetvis mycket möjligt att kombinera dessa med andra malware, för att möjliggöra en spridning. Vilket också drastiskt skulle påverka de eventuella konsekvenserna.
21
6. Slutsats
I detta kapitel presenteras uppsatsens slutsatser och besvarar frågeställningarna.
● Vilka är de största hoten inom malware för företag med Windowsdatorer?
Resultatet av arbetet pekar mot trojaner som det nuvarande största hotet, i form av skadlig programvara, mot Windows enheter. Både deras stora utbredning och lätta spridning samt möjligheterna att orsaka större skador för den drabbade gör det till det främsta hotet i listan. Den breda kategoriseringen av Trojaner innebär en stor variation av eventuella konsekvenser. Även om en stor del trojaner inte
nödvändigtvis leder till extrema konsekvenser väger denna kategori upp det med den stora skillnaden i förekomsten.
Det andra största hotet enligt slutsatsen är bakdörrar, även om deras sällsynthet gör dem till ett mindre hot än trojaner, är deras möjlighet till att göra skada betydligt större.
Tredje hotet är utpressningsprogram, återigen ett av den mer ovanliga skadliga programvaran att bli drabbad av men om ens nätverk skulle blir infekterat, förlorar man tillgången till all sin data samt användningen av de påverkade enheterna omedelbart.
Fjärde största hotet räknar vi som spionprogram. Även om de är vanligare än de två tidigare nämnda, har denna typ av skadlig programvara mildare konsekvenser. Det är inte garanterat att bli utsatt för skador efter att en enhet blivit infekterad av spionprogram.
● Hur ser funktionaliteten och ändamålen ut hos dessa malware?
Baserat på resultatet från experimentet och litteraturstudien dras slutsatsen om funktionaliteten och ändamålen hos de malware som utgör det största hotet, det vill säga utpressningsprogram, bakdörrar, spionprogram och trojaner.
Hos trojaner kan både funktionen och ändamålen variera väldigt mycket. Trojanen Trickbot från experimentet gömde sig bland processerna genom att maskera sig som ett wermgr.exe, ett legitimt program, och samlar in bankuppgifter. I detta fall är
ändamålet att samla in bankuppgifter, men en trojan är egentligen enbart ett malware som utger sig för att vara ett legitimt program. Därför kan det finnas alla möjliga typer av varianter. Trickbot faller även till viss del in under kategorin
spionprogram. Spionprogram är alla typer av malware som samlar in information från det utsatta systemet, eftersom Trickbot samlar in bankuppgifter stämmer det in på denna kategori med. Som tidigare nämn i uppsatsen är det väldigt svårt att dela in malware i de vanliga kategorierna eftersom det förekommer en hel del överlappning.
I experimentet identifierades även använda säkerhetsåtgärder för att undvika både att upptäckas av säkerhetsprogram samt granskas av analysverktyg.
Utpressningsprogram är lite tydligare definierade då funktionaliteten och ändamålen i de flesta fall involverar kryptering av innehållet på hårddiskar för att sedan kräva offret på pengar för att återfå tillgång till sina filer. I vissa fall blir enheten helt oanvändbar efter krypteringen (Love, 2018). Medan i andra fall, likt Ryuk i
22 experimentet, går det fortfarande att till viss del att använda enheten. Detta då Ryuk filtrerar innehållet på enheten och undviker att kryptera filer på vissa delar av
hårddisken och även undviker vissa filtyper.
Målet med en bakdörr är att skapa en åtkomstpunkt till en enhet eller ett nätverk där säkerhetsåtgärder kringgås. En bakdörr i sig gör egentligen inte någon skada men skapar möjligheten att komma innehållet på en dator eller i ett nätverk för eventuell stöld eller sabotage (Reynolds, 2020). Konsekvenserna av en bakdörr kan därför variera och beror helt på vad förövaren är ute efter.
Spionprogram samlar aktivt in information från en enhet, vilket likt en bakdörr kan leda till både ekonomisk och materiell stöld (Aycock, 2006). Skillnaderna är dock stora då ett spionprogram inte ger förövaren tillgång till systemet, vilket betyder att det inte på något sätt kan modifiera enheten eller ta bort filer, utan samlar enbart in information.
i
Referenser
Aycock, J. (2006). Computer Viruses and Malware. University of Calgary, Canada
https://books.google.se/books?hl=en&lr=&id=xnW-qvk1gzkC&oi=fnd&pg=PA1&dq=malware+definitions&ots=utikneIl4v&sig=mrm2jjhVF YeDXTAoAm-WmElzMRU&redir_esc=y#v=onepage&q&f=false
Cova, M., Leita, C., Thonnard, O., Keromytis A., & Dacier, M. (2009). Gone Rogue:
An Analysis of Rogue Security Software Campaigns. European Conference on Computer Network Defense.
https://ieeexplore-ieee-org.ezproxy.bib.hh.se/document/5494349/
Europol. (2021). World’s Most Dangerous Malware EMOTET Disrupted Through Global Action. Newsroom.
https://www.europol.europa.eu/newsroom/news/world%E2%80%99s-most-dangerous-malware-emotet-disrupted-through-global-action
Federal Trade Commission. (2015). Malware.
https://www.consumer.ftc.gov/articles/0011-malware
Gezer, A., Warner, G., Wilson, C., & Prakash, S. (2019). A flow-based approach for Trickbot banking trojan detection. Computers and Security.
https://www.sciencedirect.com/science/article/pii/S0167404818309568
Hassan N.A. (2019) Ransomware Families. Ransomware Revealed.
https://link.springer.com/chapter/10.1007/978-1-4842-4255-1_3
https://link.springer.com/chapter/10.1007/978-1-4842-4255-1_3