Rhyme Upadhyaya و همکارانش بر روی باج افزار CTB locker مطالعه کردند این باج افزار برای پرداخت باج از bitcoin و برای جلوگیری از شناسایی از شبکه TOR استفاده خواهد کرد.
باج افزار ها معمولا برای رمزنگاری از الگوریتم های ECDH و ترکیب RSA با AES-256 استفاده می کنند.باج افزار CTB locker از ECDH استفاده می کند و بعضی از انواع آن از RSA-2048 استفاده می کنند.
نام CTB از ویژگی های آن می آید که عبارت است از Curve-Tor-Bitcoin. هنگامی که این باج افزار بر روی سیستم اجرا شد، کدهای مخرب به پروسه svchost.exe تزریق می کند تا یک scheduled task برای فایل هایی که در فولدر Temp قرار دارند ایجاد کند که مرحله startup این باج افزار می باشد. باج افزار معمولا پسوند های .gzip, .zip,.jpg, .pdf, .docx را هدف قرار می دهد که شامل تمام فایل ها، تصاویر و… می شود.
این باج افزار می تواند تمام فایل ها را رمز گذاری کرده و یا آنها را از بین ببرد. مهاجم با استفاده از باج افزار می تواند یک فولدر مخفی در سیستم قربانی ایجاد کند و فایل ها را در آن قرار دهد و آن را رمز گذاری کرده و بعد از پرداخت باج اجازه دسترسی آن را به قربانی بدهد.
آنها در این پژوهش باج افزار ها را از طریق آنالیز استاتیک بررسی کردند ومعتقد بودند که آنالیز استاتیک نیاز به برنامه نویسی و مهندسی معکوس ندارد همچنین این نوع از آنالیز بدنه باج افزار را بررسی می کند و آن را اجرا نمی کند به همین دلیل به جای آنالیز داینامیک پیشنهاد کردند.
آنها اعتقاد داشتند قبل از انجام آنالیز باید تابع hash برای فایل ها محاسبه شود تا از تغییرات فایل مطلع شد به دلیل اینکه ممکن است در آنالیز استاتیک فایل ها تغییر کنند. برنامه های زیادی برای این کار وجود دارد که می توان به md5deep اشاره کرد. همچنین می توان با استفاده از نرم افزار های آنتی ویروس به تغییراتی که در یک فایل ممکن است توسط باج افزار رخ بدهد پی برد و یا از وب سایت virus total برای آنالیز فایل مخرب استفاده کرد.
برنامه های با نام executable packers وجو دارد که می توانند کد های مخرب را درون برنامه اصلی جا سازی کنند و به سختی با استفاده از آنالیز استاتیک می توان به وجود آنها پی برد برای مثال می توان به PEiD اشاره کرد که می تواند بسیاری از برنامه های packer را شناسایی کند. برای اینکه بتوانند به عملکرد باج افزار پی ببرند از ابزار Hex Workshop Editor استفاده کردند در واقع علاوه بر آنالیز استاتیک از آنالیز داینامیک هم استفاده کردند.
منبع:
