DiskAnalyzer - Ransomware Research POC

J'ai récemment mené un projet de recherche sur la conception d'un ransomware discret capable de générer moins ou différents événements du système de fichiers pour contourner certaines détections.

Ma recherche portait sur le contournement des événements suivants :

• Renommage massif avec extension spécifique
• Ouverture de fichiers puis écriture avec haute entropie
• Ouverture de fichiers puis écriture avec légère augmentation de taille (padding pour chiffrement par bloc, ajout d’IV ou encodage pour réduire l’entropie)
• Ouverture de fichiers "canary" puis écriture (l'accès à ces fichiers déclenche détection et blocage)
• Écriture de fichiers de rançon ou suppression de shadow copies

L'idée : agir directement sur la partition NTFS pour éviter la plupart des comportements détectés. Le processus :

• Parser le MBR/GPT pour identifier la partition
• Parser le VBR puis la MFT
• Identifier les fichiers à chiffrer et appliquer le chiffrement directement sur les offsets extraits de la MFT

Avec cette méthode, je n'ouvre que \\.\PhysicalDrive0 et j'ajoute \\.\C si je souhaite contourner l'éventuel chiffrement BitLocker.

Cette technique me permet de lire les fichiers protégés par le système Windows ou surveillés par les protections endpoint sans déclencher d'alerte ni blocage (par exemple SAM et SYSTEM pour déchiffrer les hash NT des utilisateurs locaux avec Mimikatz).

Limites : pour écrire sur la partition système, Windows nécessite d’obtenir un FSCTL_LOCK_VOLUME. Sur la partition principale du système, ce verrou n'est pas accordé, ce qui protège le système contre l’écriture directe.

Le projet extrait et parse la MFT. Il pourrait également être utilisé en forensic pour l'acquisition "à chaud" de manière rapide, sans prérequis autre que Python et la librairie standard.

Vous pouvez trouver le code du POC que j'ai effectué ici : https://github.com/mauricelambert/DiskAnalyzer/