9 feb. 2021

Bapho-Dashboard: plataforma web para el ransomware Baphomet

Bapho-Dashboard es un proyecto de @Chungo_0 que nos permite levantar una plataforma web que puede generar ejecutables del ransomware Baphomet. Bapho-Dashboard está escrito en C# bajo net core 3.1. Esta plataforma cuenta con muchas características que nos ayudan a la hora de manejar un equipo infectado, mostrándonos su ubicación en un mapa gráfico, cantidad de equipos infectados, grafica de las versiones mas afectadas, posibles vulnerabilidades dependiendo de la versión del equipo, etc.

Bapho-Dashboard nos facilita todo a la hora de crear un ransomware ya que mediante su interfaz gráfica podemos pasar parámetros como el tipo de extensión a cifrar, procesos que deseamos matar, directorios a cifrar y añadir lista de los hosting a donde el ransomware enviará la data. También podemos manejar la data de los equipos infectados, descifrar la clave simétrica que cifra los archivos y entre otras muchas cosas.

¿Como funciona el ransomware Baphomet?

El ransomware Baphomet es un proyecto de código abierto disponible en github, el cual esta escrito en C# bajo Net Core application. Este Ransomware fue basado en Hidden Tear otro ransomware publico que fue subido a github el 2015. Baphomet tiene muchas mas funcionalidades y es más peligroso que Hidden Tear, debido a que este utiliza el cifrado híbrido. Para más información sobre cifrado simétrico, asimétrico e híbrido visiten el link donde hablo de esto link: https://hackingpills.blogspot.com/2019/11/tipos-de-cifrados-cual-debo-usar.html.

Bien como dice en el post de HackingPills, el cifrado híbrido consiste en cifrar la clave simétrica con la cual se cifran los archivos de una victima haciendo uso de RSA, con esto quiere decir que para recuperar los datos cifrados se necesitará la clave privada RSA para descifrar la clave con la cual se cifró cada uno de los archivos, y la clave privada solo la tendrá el atacante debido a que esta se genera con la llave publica cuando generamos el ransomware. Baphomet cuenta con varias funcionalidades las cuales dejo a continuación.

  • Cifrado hibrido
  • Cifra los archivos haciendo uso de AES
  • Podemos decirle que procesos buscar y matar para cifrar un mayor número de archivos
  • Detecta equipos USB conectados para auto copiarse en ellos
  • Hace una pequeña prueba de conexión a internet para saber si se pueden enviar los datos.
  • Obtiene los siguientes datos de sus victima:
  • Nombre del equipo
  • Versión
  • Hostname
  • Ciudad, región, código postal y sus coordenadas
  • IP publica

Podemos añadir mas de un hosting para tener redundancia al momento de enviar la data de la víctima.

¿Como funciona Bapho-DashBoard?

Ya vimos un poco de como funciona Baphomet ransomware, ahora veremos como Bapho-Dashboard nos facilita todo a la hora de compilar dicho malware. Con esta plataforma tendremos la facilidad de editar el código de Baphomet sin tener que usar un editor de texto. Algunos parámetros que le podemos pasar son los siguientes:

  • Extensiones que deseamos cifrar
  • Directorios que el ransomware va a recorrer
  • Lista de Hosting a los cuales enviaremos la data
  • Procesos que vamos a mater en caso de que estén corriendo en el sistema.

Cuando generamos el ransomware Bapho-Dashboard genera las llaves RSA, una publica y una privada, ambas se guardan en la base de datos junto con el nombre y la descripción del ransomware generado, pero la llave publica será escrita en el código del ransomware, debido a que esta será la encargada de cifrar la clave que se genera para cifrar los archivos, por lo tanto, la victima nunca podrá obtener la clave simétrica a menos que tenga la llave privada RSA.

Cuando la victima ejecuta el ransomware a esta se le creara un archivo llamado secretkey.key, ese archivo se le debe de enviar al atacante para que el atacante lo suba a Bapho-Dashboard y este se encargue de descifrarla buscando en su base de datos la llave privada que pertenezca a la llave publica con la cual se cifro dicho archivo (secretkey.key). Una vez el atacante obtiene la llave simétrica en texto plano esta pasa a generar un ejecutable el cual llevara la llave en el código para que la victima pueda recuperar sus datos.

Otra función de esta plataforma es que podemos tomar los datos de las víctimas que se encuentra en los servidores hosting, Baphodashboard se encarga de leer la data de estos hostings para luego descargarla y guardarla en su base de datos, de esta manera la muestra de manera gráfica.

Fuente: HackPlayers 

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!