Уязвимости криптоконтейнеров при удаленной атаке

    Сегодня криптоконтейнеры используются для хранения конфиденциальной информации как на персональных компьютерах пользователей, так и в корпоративной среде компаний и организаций и могут быть созданы при помощи практически любой программы для шифрования. Столь широкое их распространение объясняется, прежде всего, удобством работы с зашифрованными файлами и возможностью реализации «шифрования на лету».

    Тем не менее, далеко не все пользователи осознают, насколько уязвимыми становятся файлы в криптоконтейнере после его подключения в качестве логического диска операционной системы и как просто их оттуда украсть. Это и послужило причиной написания данной статьи, в которой на конкретном примере будет показано как можно украсть информацию, размещенную в криптоконтейнере, созданном при помощи практически культовой в рунете (и не только) программа для шифрования TrueCrypt. Однако, то же самое справедливо и для любой другой программы, которая позволяет создавать криптоконтейнеры и не имеет других дополнительных функций для защиты хранящихся в них зашифрованных данных.

    image

    Давайте рассмотрим следующий пример. Предположим, есть некая организация ААА, хранящая у себя на сервере (в качестве которого используется обычный ПК) ценную информацию, к которой имеют доступ несколько сотрудников этой организации. Конфиденциальные файлы хранятся в криптоконтейнере, созданном при помощи TrueCrypt. Для того, чтобы допущенные к этой информации сотрудники могли с ней работать в течении всего рабочего дня, криптоконтейнер монтируется в его вначале (например, системным администратором этой организации) и демонтируется в конце. Руководство компании уверено в том, что, так как их конфиденциальные файлы хранятся на криптоконтейнере в зашифрованном виде, они надежно защищены.

    Для того, чтобы понять, какая опасность угрожает этой организации, давайте ненадолго представим себя в роли не очень честной конкурирующей фирмы ВВВ, которая желает завладеть конфиденциальной информацией ААА. Реализовать задуманное можно в несколько этапов:

    1. Скачать DarkComet RAT — утилиту скрытого удаленного администрирования, которая официально создавалась для легитимного управления удаленной системой. Трудно сказать, насколько на самом деле были чисты помыслы Жана-Пьера Лесьера, разработчика DarkComet. Возможно, также как в свое время Альберт Эйнштейн не мог представить, что открытая им атомная энергия впервые найдет практическое применение в атомной бомбе, он тоже не предполагал, что его разработка вскоре будет эффективно использоваться хакерами по всему миру, а правительство Сирии, например, использует программу против оппозиции в сирийском конфликте.

    DarkComet имеет множество функций:
    — файловый менеджер;
    — менеджер открытых окон, запущенных задач, активных процессов;
    — управление автозагрузкой и службами;
    — удаленное управление реестром;
    — установка и удаление программ;
    — захват управления удаленной машиной по технологии VNC;
    — снятие скриншотов с удаленного экрана;
    — перехват звука с микрофона и видео со встроенных или внешних камер и др.

    Конечно, все это позволяет использовать DarkComet в качестве отличной шпионской программы и превращает в мощное оружие в руках киберпреступников. Не смотря на то, что создатель DarkComet RAT принял решение закрыть свой проект, его разработку по-прежнему можно свободно скачать в сети.

    Вот так выглядит главное окно программы:

    image

    2. После скачивания и установки программы потребуется завести хостинг, на который будем скачивать файлы с компьютера жертвы.

    3. При помощи, DarkComet создаем exe-файл (стаб), которым будет инфицирован компьютер жертвы (DarkCometRat > ServerModule > FullEditor). В Network Settings прописываем созданный ранее хост и задаем другие необходимые настройки (подробнее здесь). Или заказываем создание такого файла на бирже (приблизительно 100$).

    image

    4. Естественно, исполняемый файл, созданный в DarkComet RAT обнаруживается антивирусами как вредоносное ПО, поэтому, для успешного инфицирования компьютера жертвы, нам нужно его криптовать при помощи криптора (или заказываем за $50-100). С помощью криптора шифруется исходный файл программы, а в его начало записывается код, который при запуске осуществляет дешифрование и запуск основной программы. Шифруя программу, криптор защищает ее от всех наиболее известных антивирусов и методов поиска по сигнатурам.

    5. Убеждаемся, что антивирусные программы не расценивают криптованный файл как вирус. Проверку можно сделать на VirusTotal, например:

    image

    В этой статье мы напрямую не выкладываем криптованный файл, дабы не выдвигались обвинения о распространении вирусов, в частности, со стороны администрации Хабра. Однако, если у кого-то возникнет желание удостовериться в том, что на момент создания exe-файл действительно не расценивался антивирусами как вирус, можем дать ссылку на него и вы убедитесь в этом сами, сравнив хеш-суммы в видео и на файле.

    6. Теперь необходимо, чтобы наш вирус попал на компьютер жертвы. Для этого существует множество различных способов.
    Например, компьютер может быть инфицирован по электронной почте. В течении рабочего дня на корпоративную почту сотрудников приходят десятки и даже сотни электронных писем. Конечно, такой поток корреспонденции не позволяет уделить должное внимание каждому письму и большинство сотрудников относятся к обработке таких сообщений как к перекладыванию бумаг из одной кипы в другую, что значительно облегчает осуществление атак. Когда злоумышленник присылает по почте простой запрос, его жертва очень часто на автомате выполняет то, о чем ее просят, не задумываясь о своих действиях.

    Это лишь один пример. Могут быть использованы любые другие методы социальной инженерии, основанные на особенностях психологии человека.

    7. Как только вирус попадает на компьютер жертвы после открытия исполняемого файла, злоумышленник получает полный доступ к атакуемому компьютеру. Как известно, любое приложение, обращающееся к зашифрованному файлу, размещенному на подключенном криптоконтейнере, получает его копию в расшифрованном виде. Не исключением будет и файловый менеджер DarkComet – с его помощью можно скопировать с криптодиска любую информацию.

    image

    Все файлы мы получаем в расшифрованном виде, они доступны для прочтения и редактирования. После этого можно использовать их в своих интересах. Кстати, здесь еще один недостаток криптоконтейнеров – их большие размеры в сотни мегабайт, что существенно облегчает задачу киберпреступнику по поиску защищаемых файлов.

    На этом все. Конфиденциальная информация скопирована и скомпрометирована, конкурирующая фирма может использовать ее в своих корыстных целях, а атакованная организация даже не подозревает о хищении данных.

    Более наглядно процесс кражи информации с криптоконтейнера TrueCrypt продемонстрирован на этом видео:



    Вывод


    Криптоконтейнер обеспечивает надежную защиту информации лишь тогда, когда он отключен (демонтирован); на момент подключения (монтирования) конфиденциальная информация с него может быть украдена и злоумышленник получит ее в расшифрованном виде. Поэтому, если для хранения ценных данных все-таки используется криптоконтейнер, подключать его следует на минимальные промежутки времени и отключать сразу после завершения работы.

    CyberSafe


    В CyberSafe Files Encryption для усиления безопасности мы добавили Систему доверенных приложений, подробно о которой написано в этой статье. Суть заключается в том, что для папки, в которой хранятся зашифрованные файлы, при помощи CyberSafe дополнительно назначается перечень доверенных программ, которые смогут получить доступ к этим файлам. Соответственно, всем остальным приложениям в доступе будет отказано. Таким образом, если к зашифрованному файлу обратится файловый менеджер DarkComet RAT, другое средство удаленного администрирования или любая другая программа, не вошедшая в группу доверенных, они не смогут получить доступ к защищенным файлам.

    В том случае, если CyberSafe используется для шифрования сетевых папок, файлы на сервере всегда хранятся в зашифрованном виде и на стороне сервера никогда не расшифровываются — их расшифровывание осуществляется исключительно на стороне пользователя.
    КиберСофт 37,61
    Компания
    Поделиться публикацией
    Комментарии 32
    • +19
      Статья — бред!
      Причем тут уязвимость криптоконтейнера к воровству файлов через вирус?
      Ваша статья учить только как воровать файлы и заражать их вирусами. но никак не относится к безопасности — в помойку ее.

      С такими рассуждениями: делаем вирус, его там запустят и мы получаем доступ к данным — это маразм. Можно рассуждать дальше. контейнер подключают и имеет доступ через сеть, знач можно взломать комп сотрудника и через него по сети все вытянуть. Или подойти к компу когда диск примонтирован и скопировать все на флешку :)

      >> CyberSafe — файлы на сервере всегда хранятся в зашифрованном виде и на стороне сервера никогда не расшифровываются — их расшифровывание осуществляется исключительно на стороне пользователя

      И это по вашей логике тоже уязвимо, нужно только ломать не сервер, а комп пользователя, что чаще даже намного проще.
      • 0
        Многие пользователи считают, что файлы на монтированном томе защищены также, как и на отключенном. В этой статье мы показываем, что это не так. Не смотря на то, что после подключения файлы на томе хранятся в зашифрованном виде, их можно похитить и получить расшифрованными, не важно как — либо при помощи удаленной атаки, либо как вы написали.
      • +9
        Думал, TrueCrypt сломали…
        • +2
          CyberSafe взамен TrueCrypt?
          Вопрос на засыпку: Вы проходите сертификацию ФСБ? )
          • –1
            • +3
              Вопрос был риторическим…
              • +1
                Ничего удивительного:
                Директор «CyberSoft» LLC., Федеральная Служба технического и экспортного контроля, Федеральная Служба Безопасности России, Masters of Business Administration, Кубанский Государственный Университет (КубГУ), Cambridge University
          • +1
            Я так понимаю если «шпионское» приложение будет чуть посложнее батника, то внедрившись в уже запущенное доверенное приложение, оно так же без проблем заберет данные и из вашего cybersafe?
            • 0
              да
              • –10
                Мы написали статью как украсть данные с Трукрипта. Никто не мешает написать другим исследователям статью как украсть данные с Киберсейфа. Но пока ее нет, так что гипотетически предполагать можно что угодно.
                • 0
                  А так же: «более 25 статей в журналах Xakep, Hakin9, «IT Sec» Magazine, «Software Developer’s» Journal и 40 крупных программных продуктов и проектов.»
                  видимо я что-то делаю не так, но 40 крупных программных продуктов и проектов за 6 лет? даже ладно, за 20 лет?
                  • 0
                    Это вы у Sanjara спросите. Он у нас писал несколько статей в блог.
              • +6
                Недавно на хабре про «змеиное масло» статья проскакивала.
                habrahabr.ru/post/215035/
                • –3
                  Статья показывает как украсть данные с криптодиска. Методика описана верно? Цель была показать что и антивирусы и шифрование это очень относительная защита. Все остальные инсинуации по поводу ФСБ и проч. непонятно как относятся к статьей. Вероятно, вечная тема что если ПО сертифицированно, то имеет кучу бэкдоров. Это как раз и отличает людей глубоко не сведущих.
                  • 0
                    Слишком свежо предание в памяти с проблемами ввоза и сертификации кошек с K9 (это к слову об инсинуациях и глубоко не сведущих людях).
                  • +2
                    Хм, взяли антивирус Попова, немного улучшили, стратифицировали — «это полностью наш продукт».
                    • 0
                      Неудачный черный пиар. А вообще мне ваш продукт нравится.
                      Раздельные ключи шифрования на один объект, дешифровка у пользователя…
                      Лучше бы доработкой занялись.
                      • 0
                        чуть подумал… а может это — «тонкий» ход? Хоть на волне негодования
                        узнаваемость продукта повысить, сравнивая с широко используемым TrueCrypt?
                      • +10
                        Я беру паяльник, прихожу к вам и говорю дать пароль от контейнера. Вы даете пароль, я расшифровываю контейнер и забираю все ваши хоум видео. В этом тоже контейнер виноват?
                        З.Ы. по заголовку уже понятно что за пост будет и кто опять пиарит свои поделки
                        • 0
                          Кстати, а проект TrueCrypt случаем не умер? Последняя версия датирована 2012 годом. Понимаю что программа работает отлично, возможно просто нет необходимости ее обновлять. И тем не менее этот факт напрягает
                          • 0
                            а там чета с проверкой кода мутили, деньги собирали, хз чем все кончилось
                            • 0
                              Возможно, результатов аудита ждут: habrahabr.ru/post/201408/
                            • +3
                              Поясните старику, плохо разбирающемуся в современных средствах обеспечения безопасности:

                              Суть заключается в том, что для папки, в которой хранятся зашифрованные файлы, при помощи CyberSafe дополнительно назначается перечень доверенных программ, которые смогут получить доступ к этим файлам. Соответственно, всем остальным приложениям в доступе будет отказано.


                              Если мы получили доступ к удаленному компьютеру — это ведь Administrator/localsystem доступ, так? Что нам мешает, имея этот доступ, сделать inject нашего кода в «доверенную программу» и действовать уже от ее имени? Дел на пару минут.
                              • –4
                                Это кастомный хак, а в статье речь идет про общедоступные тулзы. Против кастомного хака приемов нет. Мы говорим о том, как можно повысить безопасность, но не о панацеи на все случаи.
                                • +1
                                  Поясните старику, что значит «кастомный хак»? Предположим, Вася пользуется «dark comet» чтобы получить доступ к компьютеру Пети. После получения доступа он хочет скопировать файл с криптодиска и видит сообщение «программе [darkcomet] не разрешен доступ к этому файлу». Что делает Вася? Набирает в гугле «how to inject dark comet». Одной из первых ссылок — «Rakabulle, Advance File Binder». Запускаем, инжектим dark comet в Internet Explorer или кому там еще доступ разрешен — и через три минуты имеем доступ к файлам. Я, увы, крайне плохо разбираюсь в современном жаргоне специалистов по криптографии, для меня «кастомный хак» и «общедоступные тулзы» — англицизмы с миллионом возможных значений, не могу понять что вы имеете в виду :(
                                  • –3
                                    «кастомный» от custom — «сделанный на заказ». то есть атака осуществляется на конкретный ПК и хакер знает, что за для защиты инфы на нем используется именно cybersafe, включена система доверенных приложений и какие именно приложения определены как доверенные. А это, думаю, немного усложняет задачу.
                                    • 0
                                      security через obscurity
                                      • +4
                                        Так и пишите прямо — "Наша защита основана на том, что мы надеемся, что атакующий не в курсе, что на компе стоит наш продукт. Иначе это всё фуфло, спасибо за внимание"
                                        • –1
                                          Наша защита, как и везде, основана на алгоритмах шифрования. Но, в дополнение к этому, у нас есть система доверенных приложений, позволяющая еще более надежно защитить конфиденциальную информацию, аналогов которой ни в одном другом продукте на настоящее время нет.
                                • –2
                                  Хорошая статья
                                  • –1
                                    Новый продукт компании Elcomsoft ForensicDisk Decryptorпредназначен для расшифровки содержимого трёх самых популярных криптоконтейнеров. Продукт позволяет снимать защиту мгновенно, извлекая необходимые для расшифровки ключи из слепка оперативной памяти компьютера или файла гибернации и расшифровывая данные «на лету». «Все три криптоконтейнера обеспечивают действительно стойкую защиту», говорит Андрей Малышев, криптоаналитик компании ElcomSoft. «Но даже самым устойчивым ко взлому продукту никто не будет пользоваться, если пользоваться им неудобно. Неизбежные компромиссы, на которые пришлось пойти разработчикам BitLocker, PGP и TrueCrypt, являются тем самым слабым звеном, которое мы смогли использовать для снятия защиты.»
                                    «До появления Elcomsoft Forensic Disk Decryptor с зашифрованными дисками работал только Elcomsoft Distributed Password Recovery«, говорит Юрий Коненков, ведущий крипто-аналитик компании ElcomSoft. «Программа использовала метод прямого перебора пароля. Сегодня мы представляем специальный инструмент, который использует совершенно иной подход к расшифровке дисков, защищенных с помощью PGP, True Crypt, BitLocker и BitLocker To Go. Кроме того, мы добавили возможность перебора паролей к контейнерам TrueCrypt и BitLocker To Go.CyberSafe Elcomsoft не расшифрует.
                                    • –1
                                      И спользуя совместно с файерволом можно существенно повысить безопасность, так как сможем контролиовать сами доверенные и остальные приложения путем просмотра таблици соединений (файерфол CYBERSAFE )

                                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                      Самое читаемое
                                      Интересные публикации