Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия

Ryuk – это ΠΎΠ΄ΠΈΠ½ ΠΈΠ· самых извСстных Π²Π°Ρ€ΠΈΠ°Π½Ρ‚ΠΎΠ² ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊΠΎΠ² Π·Π° послСдниС нСсколько Π»Π΅Ρ‚. Π‘ Ρ‚Π΅Ρ… ΠΏΠΎΡ€ ΠΊΠ°ΠΊ ΠΎΠ½ Π²ΠΏΠ΅Ρ€Π²Ρ‹Π΅ появился Π»Π΅Ρ‚ΠΎΠΌ 2018 Π³ΠΎΠ΄Π°, ΠΎΠ½ собрал Π²Π½ΡƒΡˆΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹ΠΉ список ΠΆΠ΅Ρ€Ρ‚Π², особСнно Π² бизнСс-срСдС, которая являСтся Π³Π»Π°Π²Π½Ρ‹ΠΌ ΠΎΠ±ΡŠΠ΅ΠΊΡ‚ΠΎΠΌ Π΅Π³ΠΎ Π°Ρ‚Π°ΠΊ.

1. ΠžΠ±Ρ‰Π°Ρ информация

Π”Π°Π½Π½Ρ‹ΠΉ Π΄ΠΎΠΊΡƒΠΌΠ΅Π½Ρ‚ содСрТит Π°Π½Π°Π»ΠΈΠ· Π²Π°Ρ€ΠΈΠ°Π½Ρ‚Π° ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊΠ° Ryuk, Π° Ρ‚Π°ΠΊΠΆΠ΅ Π·Π°Π³Ρ€ΡƒΠ·Ρ‡ΠΈΠΊΠ°, ΠΎΡ‚Π²Π΅Ρ‡Π°ΡŽΡ‰Π΅Π³ΠΎ Π·Π° Π·Π°Π³Ρ€ΡƒΠ·ΠΊΡƒ врСдоносной ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΡ‹ Π² систСму.

Π¨ΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk Π²ΠΏΠ΅Ρ€Π²Ρ‹Π΅ появился Π»Π΅Ρ‚ΠΎΠΌ 2018 Π³ΠΎΠ΄Π°. Одно ΠΈΠ· ΠΎΡ‚Π»ΠΈΡ‡ΠΈΠΉ Ryuk ΠΎΡ‚ Π΄Ρ€ΡƒΠ³ΠΈΡ… ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊΠΎΠ² Π·Π°ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ΡΡ Π² Ρ‚ΠΎΠΌ, Ρ‡Ρ‚ΠΎ ΠΎΠ½ Π½Π°Ρ†Π΅Π»Π΅Π½ Π½Π° Π°Ρ‚Π°ΠΊΡƒ ΠΊΠΎΡ€ΠΏΠΎΡ€Π°Ρ‚ΠΈΠ²Π½Ρ‹Ρ… ΠΎΠΊΡ€ΡƒΠΆΠ΅Π½ΠΈΠΉ.

Π’ сСрСдинС 2019 Π³ΠΎΠ΄Π° ΠΊΠΈΠ±Π΅Ρ€-ΠΊΡ€ΠΈΠΌΠΈΠ½Π°Π»ΡŒΠ½Ρ‹Π΅ Π³Ρ€ΡƒΠΏΠΏΠΈΡ€ΠΎΠ²ΠΊΠΈ Π°Ρ‚Π°ΠΊΠΎΠ²Π°Π»ΠΈ ΠΎΠ³Ρ€ΠΎΠΌΠ½ΠΎΠ΅ количСство испанских ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΉ с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ этого ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊΠ°.

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия
Рис. 1: ΠžΡ‚Ρ€Ρ‹Π²ΠΎΠΊ ΠΈΠ· El Confidencial ΠΏΠΎ ΠΏΠΎΠ²ΠΎΠ΄Ρƒ Π°Ρ‚Π°ΠΊΠΈ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊΠ° Ryuk [1]
Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия
Рис. 2: ΠžΡ‚Ρ€Ρ‹Π²ΠΎΠΊ ΠΈΠ· El PaΓ­s ΠΎΠ± Π°Ρ‚Π°ΠΊΠ΅, ΠΏΡ€ΠΎΠΈΠ·Π²Π΅Π΄Π΅Π½Π½ΠΎΠΉ с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊΠ° Ryuk [2]
Π’ этом Π³ΠΎΠ΄Ρƒ Ryuk Π°Ρ‚Π°ΠΊΠΎΠ²Π°Π» большоС число ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΉ Π² Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Ρ… странах. Как Π’Ρ‹ ΠΌΠΎΠΆΠ΅Ρ‚Π΅ Π²ΠΈΠ΄Π΅Ρ‚ΡŒ Π½Π° ΠΏΡ€ΠΈΠ²Π΅Π΄Π΅Π½Π½Ρ‹Ρ… Π½ΠΈΠΆΠ΅ рисунках, большС всСго пострадали ГСрмания, ΠšΠΈΡ‚Π°ΠΉ, АлТир ΠΈ Индия.

Бравнивая количСство ΠΊΠΈΠ±Π΅Ρ€-Π°Ρ‚Π°ΠΊ, ΠΌΡ‹ ΠΌΠΎΠΆΠ΅ΠΌ Π²ΠΈΠ΄Π΅Ρ‚ΡŒ, Ρ‡Ρ‚ΠΎ ΠΎΡ‚ Ryuk пострадали ΠΌΠΈΠ»Π»ΠΈΠΎΠ½Ρ‹ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ ΠΈ скомпромСтирован ΠΎΠ³Ρ€ΠΎΠΌΠ½Ρ‹ΠΉ объСм Π΄Π°Π½Π½Ρ‹Ρ…, Ρ‡Ρ‚ΠΎ ΠΏΡ€ΠΈΠ²Π΅Π»ΠΎ ΠΊ ΡΠ΅Ρ€ΡŒΠ΅Π·Π½ΠΎΠΌΡƒ экономичСскому ΡƒΡ‰Π΅Ρ€Π±Ρƒ.

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия
Рис. 3: Π˜Π»Π»ΡŽΡΡ‚Ρ€Π°Ρ†ΠΈΡ глобальной активности Ryuk.

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия
Рис. 4: 16 стран, Π½Π°ΠΈΠ±ΠΎΠ»Π΅Π΅ ΠΏΠΎΡΡ‚Ρ€Π°Π΄Π°Π²ΡˆΠΈΡ… ΠΎΡ‚ Ryuk

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия
Рис. 5: ΠšΠΎΠ»ΠΈΡ‡Π΅ΡΡ‚Π²ΠΎ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ, Π°Ρ‚Π°ΠΊΠΎΠ²Π°Π½Π½Ρ‹Ρ… ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊΠΎΠΌ Ryuk (Π² ΠΌΠΈΠ»Π»ΠΈΠΎΠ½Π°Ρ…)

Богласно ΠΎΠ±Ρ‹Ρ‡Π½ΠΎΠΌΡƒ ΠΏΡ€ΠΈΠ½Ρ†ΠΈΠΏΡƒ Ρ€Π°Π±ΠΎΡ‚Ρ‹ ΠΏΠΎΠ΄ΠΎΠ±Π½Ρ‹Ρ… ΡƒΠ³Ρ€ΠΎΠ·, Π΄Π°Π½Π½Ρ‹ΠΉ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ послС Π·Π°Π²Π΅Ρ€ΡˆΠ΅Π½ΠΈΡ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΡ ΠΏΠΎΠΊΠ°Π·Ρ‹Π²Π°Π΅Ρ‚ ΠΆΠ΅Ρ€Ρ‚Π²Π΅ ΡƒΠ²Π΅Π΄ΠΎΠΌΠ»Π΅Π½ΠΈΠ΅ ΠΎ Π²Ρ‹ΠΊΡƒΠΏΠ΅, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π΄ΠΎΠ»ΠΆΠ΅Π½ Π±Ρ‹Ρ‚ΡŒ ΡƒΠΏΠ»Π°Ρ‡Π΅Π½ Π² Π±ΠΈΡ‚ΠΊΠΎΠΈΠ½Π°Ρ… Π½Π° ΡƒΠΊΠ°Π·Π°Π½Π½Ρ‹ΠΉ адрСс для восстановлСния доступа ΠΊ Π·Π°ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½Π½Ρ‹ΠΌ Ρ„Π°ΠΉΠ»Π°ΠΌ.

Π­Ρ‚Π° врСдоносная ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ° измСнилась с ΠΌΠΎΠΌΠ΅Π½Ρ‚Π° своСго ΠΏΠ΅Ρ€Π²ΠΎΠ³ΠΎ появлСния.
АнализируСмый Π² Π΄Π°Π½Π½ΠΎΠΌ Π΄ΠΎΠΊΡƒΠΌΠ΅Π½Ρ‚Π΅ Π²Π°Ρ€ΠΈΠ°Π½Ρ‚ этой ΡƒΠ³Ρ€ΠΎΠ·Ρ‹ Π±Ρ‹Π» ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½ ΠΏΡ€ΠΈ ΠΏΠΎΠΏΡ‹Ρ‚ΠΊΠ΅ осущСствлСния Π°Ρ‚Π°ΠΊΠΈ Π² январС 2020 Π³ΠΎΠ΄Π°.

Π’ силу своСй слоТности данная врСдоносная ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ° часто приписываСтся ΠΎΡ€Π³Π°Π½ΠΈΠ·ΠΎΠ²Π°Π½Π½Ρ‹ΠΌ ΠΊΠΈΠ±Π΅Ρ€- прСступным Π³Ρ€ΡƒΠΏΠΏΠΈΡ€ΠΎΠ²ΠΊΠ°ΠΌ, извСстным Ρ‚Π°ΠΊΠΆΠ΅ ΠΊΠ°ΠΊ APT-Π³Ρ€ΡƒΠΏΠΏΡ‹.

Π§Π°ΡΡ‚ΡŒ ΠΊΠΎΠ΄Π° Ryuk ΠΈΠΌΠ΅Π΅Ρ‚ Π·Π°ΠΌΠ΅Ρ‚Π½ΠΎΠ΅ сходство с ΠΊΠΎΠ΄ΠΎΠΌ ΠΈ структурой Π΄Ρ€ΡƒΠ³ΠΎΠ³ΠΎ извСстного ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊΠ° Hermes, с ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΌ ΠΎΠ½ΠΈ ΠΈΠΌΠ΅ΡŽΡ‚ ряд ΠΎΠ΄ΠΈΠ½Π°ΠΊΠΎΠ²Ρ‹Ρ… Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΉ. ИмСнно поэтому ΠΈΠ·Π½Π°Ρ‡Π°Π»ΡŒΠ½ΠΎ Ryuk связывали с сСвСрокорСйской Π³Ρ€ΡƒΠΏΠΏΠΎΠΉ Lazarus, которая Π² Ρ‚ΠΎ врСмя ΠΏΠΎΠ΄ΠΎΠ·Ρ€Π΅Π²Π°Π»Π°ΡΡŒ Π² Ρ‚ΠΎΠΌ, Ρ‡Ρ‚ΠΎ стоит Π·Π° ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊΠΎΠΌ Hermes.

ВпослСдствии слуТба Falcon X ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ CrowdStrike ΠΎΡ‚ΠΌΠ΅Ρ‚ΠΈΠ»Π°, Ρ‡Ρ‚ΠΎ фактичСски Ryuk Π±Ρ‹Π» создан Π³Ρ€ΡƒΠΏΠΏΠΎΠΉ WIZARD SPIDER [4].

Π•ΡΡ‚ΡŒ нСсколько Π΄ΠΎΠΊΠ°Π·Π°Ρ‚Π΅Π»ΡŒΡΡ‚Π² Π² ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΡƒ этого прСдполоТСния. Π’ΠΎ-ΠΏΠ΅Ρ€Π²Ρ‹Ρ…, этот ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ рСкламировался Π½Π° Π²Π΅Π±- сайтС exploit.in, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ являСтся извСстным российским Ρ€Ρ‹Π½ΠΊΠΎΠΌ врСдоносных ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌ ΠΈ Ρ€Π°Π½Π΅Π΅ Π±Ρ‹Π» связан с Π½Π΅ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΌΠΈ российскими APT-Π³Ρ€ΡƒΠΏΠΏΠ°ΠΌΠΈ.
Π­Ρ‚ΠΎΡ‚ Ρ„Π°ΠΊΡ‚ ΠΈΡΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ Ρ‚Π΅ΠΎΡ€ΠΈΡŽ ΠΎ Ρ‚ΠΎΠΌ, Ρ‡Ρ‚ΠΎ Ryuk ΠΌΠΎΠ³ Π±Ρ‹Ρ‚ΡŒ Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Π°Π½ APT-Π³Ρ€ΡƒΠΏΠΏΠΎΠΉ Lazarus, Ρ‚.ΠΊ. это Π½Π΅ соотвСтствуСт Ρ‚ΠΎΠΌΡƒ, ΠΊΠ°ΠΊ дСйствуСт Π³Ρ€ΡƒΠΏΠΏΠ°.

ΠšΡ€ΠΎΠΌΠ΅ Ρ‚ΠΎΠ³ΠΎ, Ryuk рСкламировался ΠΊΠ°ΠΊ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π½Π΅ Π±ΡƒΠ΄Π΅Ρ‚ Ρ€Π°Π±ΠΎΡ‚Π°Ρ‚ΡŒ Π½Π° российских, украинских ΠΈ бСлорусских систСмах. Π’Π°ΠΊΠΎΠ΅ ΠΏΠΎΠ²Π΅Π΄Π΅Π½ΠΈΠ΅ опрСдСляСтся Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠ΅ΠΉ, ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½Π½Ρ‹Ρ… Π² Π½Π΅ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… вСрсиях Ryuk, Π³Π΄Π΅ ΠΎΠ½Π° провСряСт язык систСмы, Π² ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΉ Π·Π°ΠΏΡƒΡ‰Π΅Π½ Π΄Π°Π½Π½Ρ‹ΠΉ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ, ΠΈ останавливаСт Π΅Π³ΠΎ Ρ€Π°Π±ΠΎΡ‚Ρƒ Π² Ρ‚ΠΎΠΌ случаС, Ссли Ρƒ систСмы русский, украинский ΠΈΠ»ΠΈ бСлорусский язык. НаконСц, ΠΏΡ€ΠΈ ΠΏΡ€ΠΎΠ²Π΅Π΄Π΅Π½ΠΈΠΈ экспСртного Π°Π½Π°Π»ΠΈΠ·Π° ΠΌΠ°ΡˆΠΈΠ½Ρ‹, которая Π±Ρ‹Π»Π° Π²Π·Π»ΠΎΠΌΠ°Π½Π° Π³Ρ€ΡƒΠΏΠΏΠΎΠΉ WIZARD SPIDER, Π±Ρ‹Π»ΠΎ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½ΠΎ нСсколько Β«Π°Ρ€Ρ‚Π΅Ρ„Π°ΠΊΡ‚ΠΎΠ²Β», ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΡ€Π΅Π΄ΠΏΠΎΠ»ΠΎΠΆΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ Π±Ρ‹Π»ΠΈ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Π½Ρ‹ ΠΏΡ€ΠΈ Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚ΠΊΠ΅ Ryuk ΠΊΠ°ΠΊ Π²Π°Ρ€ΠΈΠ°Π½Ρ‚Π° ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊΠ° Hermes.

Π‘ Π΄Ρ€ΡƒΠ³ΠΎΠΉ стороны, экспСрты Габриэла Николао ΠΈ Π›ΡŽΡ‡Π°Π½ΠΎ ΠœΠ°Ρ€Ρ‚ΠΈΠ½Ρ ΠΏΡ€Π΅Π΄ΠΏΠΎΠ»ΠΎΠΆΠΈΠ»ΠΈ, Ρ‡Ρ‚ΠΎ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ, Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎ, Π±Ρ‹Π» Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Π°Π½ APT-Π³Ρ€ΡƒΠΏΠΏΠΎΠΉ CryptoTech [5].
Π­Ρ‚ΠΎ слСдуСт ΠΈΠ· Ρ‚ΠΎΠ³ΠΎ Ρ„Π°ΠΊΡ‚Π°, Ρ‡Ρ‚ΠΎ Π·Π° нСсколько мСсяцСв Π΄ΠΎ появлСния Ryuk эта Π³Ρ€ΡƒΠΏΠΏΠ° размСстила Π½Π° Ρ„ΠΎΡ€ΡƒΠΌΠ΅ Ρ‚ΠΎΠ³ΠΎ ΠΆΠ΅ сайта ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ ΠΎ Ρ‚ΠΎΠΌ, Ρ‡Ρ‚ΠΎ ΠΎΠ½ΠΈ Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Π°Π»ΠΈ Π½ΠΎΠ²ΡƒΡŽ Π²Π΅Ρ€ΡΠΈΡŽ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊΠ° Hermes.

НСсколько ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ Ρ„ΠΎΡ€ΡƒΠΌΠ° задались вопросом, Π΄Π΅ΠΉΡΡ‚Π²ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ Π»ΠΈ CryptoTech создал Ryuk. ПослС этого данная Π³Ρ€ΡƒΠΏΠΏΠ° Π·Π°Ρ‰ΠΈΡ‚ΠΈΠ»Π° сСбя ΠΈ заявила, Ρ‡Ρ‚ΠΎ Ρƒ Π½Π΅Π΅ ΠΈΠΌΠ΅ΡŽΡ‚ΡΡ Π΄ΠΎΠΊΠ°Π·Π°Ρ‚Π΅Π»ΡŒΡΡ‚Π²Π° Ρ‚ΠΎΠ³ΠΎ, Ρ‡Ρ‚ΠΎ ΠΎΠ½ΠΈ Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Π°Π»ΠΈ 100% этого ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊΠ°.

2. Π₯арактСристики

ΠœΡ‹ Π½Π°Ρ‡ΠΈΠ½Π°Π΅ΠΌ с Π·Π°Π³Ρ€ΡƒΠ·Ρ‡ΠΈΠΊΠ°, Ρ‡ΡŒΡ Π·Π°Π΄Π°Ρ‡Π° Π·Π°ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ΡΡ Π² Ρ‚ΠΎΠΌ, Ρ‡Ρ‚ΠΎΠ±Ρ‹ ΠΈΠ΄Π΅Π½Ρ‚ΠΈΡ„ΠΈΡ†ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ систСму, Π² ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΉ ΠΎΠ½ находится, Ρ‡Ρ‚ΠΎΠ±Ρ‹ ΠΌΠΎΠΆΠ½ΠΎ Π±Ρ‹Π»ΠΎ Π·Π°ΠΏΡƒΡΡ‚ΠΈΡ‚ΡŒ Β«ΠΏΡ€Π°Π²ΠΈΠ»ΡŒΠ½ΡƒΡŽΒ» Π²Π΅Ρ€ΡΠΈΡŽ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊΠ° Ryuk.
Π₯эш Π·Π°Π³Ρ€ΡƒΠ·Ρ‡ΠΈΠΊΠ° ΡΠ»Π΅Π΄ΡƒΡŽΡ‰ΠΈΠΉ:

MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469

Одна ΠΈΠ· особСнностСй этого Π·Π°Π³Ρ€ΡƒΠ·Ρ‡ΠΈΠΊΠ° Π·Π°ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ΡΡ Π² Ρ‚ΠΎΠΌ, Ρ‡Ρ‚ΠΎ ΠΎΠ½ Π½Π΅ содСрТит Π½ΠΈΠΊΠ°ΠΊΠΈΡ… ΠΌΠ΅Ρ‚Π°- Π΄Π°Π½Π½Ρ‹Ρ…, Ρ‚.Π΅. создатСли этой врСдоносной ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΡ‹ Π½Π΅ Π²ΠΊΠ»ΡŽΡ‡ΠΈΠ»ΠΈ Π² Π½Π΅Π³ΠΎ Π½ΠΈΠΊΠ°ΠΊΠΈΡ… свСдСний.

Иногда ΠΎΠ½ΠΈ Π²ΠΊΠ»ΡŽΡ‡Π°ΡŽΡ‚ ΠΎΡˆΠΈΠ±ΠΎΡ‡Π½Ρ‹Π΅ Π΄Π°Π½Π½Ρ‹Π΅ для Ρ‚ΠΎΠ³ΠΎ, Ρ‡Ρ‚ΠΎΠ±Ρ‹ Π·Π°ΡΡ‚Π°Π²ΠΈΡ‚ΡŒ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ Π΄ΡƒΠΌΠ°Ρ‚ΡŒ, Ρ‡Ρ‚ΠΎ ΠΎΠ½ якобы запускаСт Π»Π΅Π³ΠΈΡ‚ΠΈΠΌΠ½ΠΎΠ΅ ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅. Однако, ΠΊΠ°ΠΊ ΠΌΡ‹ ΡƒΠ²ΠΈΠ΄ΠΈΠΌ ΠΏΠΎΠ·ΠΆΠ΅, Π² Ρ‚ΠΎΠΌ случаС, Ссли Π·Π°Ρ€Π°ΠΆΠ΅Π½ΠΈΠ΅ Π½Π΅ ΠΏΡ€Π΅Π΄ΠΏΠΎΠ»Π°Π³Π°Π΅Ρ‚ взаимодСйствиС с ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΌ (ΠΊΠ°ΠΊ Π² случаС с этим ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊΠΎΠΌ), Ρ‚ΠΎ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΈ Π½Π΅ ΡΡ‡ΠΈΡ‚Π°ΡŽΡ‚ Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΡ‹ΠΌ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ ΠΌΠ΅Ρ‚Π°-Π΄Π°Π½Π½Ρ‹Π΅.

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия
Рис. 6: ΠœΠ΅Ρ‚Π°-Π΄Π°Π½Π½Ρ‹Π΅ ΠΎΠ±Ρ€Π°Π·Ρ†Π°

ΠžΠ±Ρ€Π°Π·Π΅Ρ† Π±Ρ‹Π» скомпилирован Π² 32-разрядном Ρ„ΠΎΡ€ΠΌΠ°Ρ‚Π΅, Ρ‡Ρ‚ΠΎΠ±Ρ‹ Π΅Π³ΠΎ ΠΌΠΎΠΆΠ½ΠΎ Π±Ρ‹Π»ΠΎ Π·Π°ΠΏΡƒΡΠΊΠ°Ρ‚ΡŒ ΠΊΠ°ΠΊ Π² 32-разрядных, Ρ‚Π°ΠΊ ΠΈ Π² 64-разрядных систСмах.

3. Π’Π΅ΠΊΡ‚ΠΎΡ€ проникновСния

ΠžΠ±Ρ€Π°Π·Π΅Ρ†, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π·Π°Π³Ρ€ΡƒΠΆΠ°Π΅Ρ‚ ΠΈ запускаСт Ryuk, ΠΏΠΎΠΏΠ°Π» Π² Π½Π°ΡˆΡƒ систСму Ρ‡Π΅Ρ€Π΅Π· ΡƒΠ΄Π°Π»Π΅Π½Π½ΠΎΠ΅ соСдинСниС, Π° ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Ρ‹ доступа Π±Ρ‹Π»ΠΈ ΠΏΠΎΠ»ΡƒΡ‡Π΅Π½Ρ‹ благодаря ΠΏΡ€Π΅Π΄Π²Π°Ρ€ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΠΉ RDP-Π°Ρ‚Π°ΠΊΠ΅.

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия
Рис. 7: РССстр Π°Ρ‚Π°ΠΊΠΈ

Π—Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΡƒ ΡƒΠ΄Π°Π»ΠΎΡΡŒ ΡƒΠ΄Π°Π»Π΅Π½Π½ΠΎ Π²ΠΎΠΉΡ‚ΠΈ Π² систСму. ПослС этого ΠΎΠ½ создал исполняСмый Ρ„Π°ΠΉΠ» с нашим ΠΎΠ±Ρ€Π°Π·Ρ†ΠΎΠΌ.
Π­Ρ‚ΠΎΡ‚ исполняСмый Ρ„Π°ΠΉΠ» Π±Ρ‹Π» Π·Π°Π±Π»ΠΎΠΊΠΈΡ€ΠΎΠ²Π°Π½ антивирусным Ρ€Π΅ΡˆΠ΅Π½ΠΈΠ΅ΠΌ ΠΏΠ΅Ρ€Π΅Π΄ запуском.

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия
Рис. 8: Π‘Π»ΠΎΠΊΠΈΡ€ΠΎΠ²ΠΊΠ° ΠΎΠ±Ρ€Π°Π·Ρ†Π°

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия
Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия
Рис. 9: Π‘Π»ΠΎΠΊΠΈΡ€ΠΎΠ²ΠΊΠ° ΠΎΠ±Ρ€Π°Π·Ρ†Π°

Когда врСдоносный Ρ„Π°ΠΉΠ» Π±Ρ‹Π» Π·Π°Π±Π»ΠΎΠΊΠΈΡ€ΠΎΠ²Π°Π½, Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊ попытался Π·Π°Π³Ρ€ΡƒΠ·ΠΈΡ‚ΡŒ Π·Π°ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½Π½ΡƒΡŽ Π²Π΅Ρ€ΡΠΈΡŽ ΠΈΡΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΠ³ΠΎ Ρ„Π°ΠΉΠ»Π°, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Ρ‚Π°ΠΊΠΆΠ΅ Π±Ρ‹Π» Π·Π°Π±Π»ΠΎΠΊΠΈΡ€ΠΎΠ²Π°Π½.

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия
Рис. 10: Набор ΠΎΠ±Ρ€Π°Π·Ρ†ΠΎΠ², ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊ пытался Π·Π°ΠΏΡƒΡΡ‚ΠΈΡ‚ΡŒ

НаконСц, ΠΎΠ½ попытался Π·Π°Π³Ρ€ΡƒΠ·ΠΈΡ‚ΡŒ Π΄Ρ€ΡƒΠ³ΠΎΠΉ врСдоносный Ρ„Π°ΠΉΠ» Ρ‡Π΅Ρ€Π΅Π· Π·Π°ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½Π½ΡƒΡŽ консоль
PowerShell для Ρ‚ΠΎΠ³ΠΎ, Ρ‡Ρ‚ΠΎΠ±Ρ‹ ΠΎΠ±ΠΎΠΉΡ‚ΠΈ Π°Π½Ρ‚ΠΈΠ²ΠΈΡ€ΡƒΡΠ½ΡƒΡŽ Π·Π°Ρ‰ΠΈΡ‚Ρƒ. Но ΠΎΠ½ Ρ‚Π°ΠΊΠΆΠ΅ Π±Ρ‹Π» Π·Π°Π±Π»ΠΎΠΊΠΈΡ€ΠΎΠ²Π°Π½.

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия
Рис. 11: PowerShell с Π·Π°Π±Π»ΠΎΠΊΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹ΠΌ врСдоносным ΠΊΠΎΠ½Ρ‚Π΅Π½Ρ‚ΠΎΠΌ

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия
Рис. 12: PowerShell с Π·Π°Π±Π»ΠΎΠΊΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹ΠΌ врСдоносным ΠΊΠΎΠ½Ρ‚Π΅Π½Ρ‚ΠΎΠΌ

4. Π—Π°Π³Ρ€ΡƒΠ·Ρ‡ΠΈΠΊ

Когда ΠΎΠ½ выполняСтся, ΠΎΠ½ записываСт Ρ„Π°ΠΉΠ» ReadMe Π² ΠΏΠ°ΠΏΠΊΡƒ %temp%, Ρ‡Ρ‚ΠΎ Ρ‚ΠΈΠΏΠΈΡ‡Π½ΠΎ для Ryuk. Π”Π°Π½Π½Ρ‹ΠΉ Ρ„Π°ΠΉΠ» β€” это Ρ‚Ρ€Π΅Π±ΠΎΠ²Π°Π½ΠΈΠ΅ ΠΎ Π²Ρ‹ΠΊΡƒΠΏΠ΅, содСрТащСС адрСс элСктронной ΠΏΠΎΡ‡Ρ‚Ρ‹ Π² Π΄ΠΎΠΌΠ΅Π½Π΅ protonmail, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ довольно часто встрСчаСтся Π² этом сСмСйствС врСдоносных ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌ: [email protected]

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия
Рис. 13: Π’Ρ€Π΅Π±ΠΎΠ²Π°Π½ΠΈΠ΅ ΠΎ Π²Ρ‹ΠΊΡƒΠΏΠ΅

Π’ΠΎ врСмя выполнСния Π·Π°Π³Ρ€ΡƒΠ·Ρ‡ΠΈΠΊΠ° Π’Ρ‹ ΠΌΠΎΠΆΠ΅Ρ‚Π΅ ΡƒΠ²ΠΈΠ΄Π΅Ρ‚ΡŒ, Ρ‡Ρ‚ΠΎ ΠΎΠ½ запускаСт нСсколько исполняСмых Ρ„Π°ΠΉΠ»ΠΎΠ² со случайными названиями. Они хранятся Π² скрытой ΠΏΠ°ΠΏΠΊΠ΅ PUBLIC, Π½ΠΎ Ссли Π² ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΎΠ½Π½ΠΎΠΉ систСмС Π½Π΅ Π°ΠΊΡ‚ΠΈΠ²Π½Π° опция Β«ΠŸΠΎΠΊΠ°Π·Ρ‹Π²Π°Ρ‚ΡŒ скрытыС Ρ„Π°ΠΉΠ»Ρ‹ ΠΈ ΠΏΠ°ΠΏΠΊΠΈΒ», Ρ‚ΠΎ ΠΎΠ½ΠΈ Ρ‚Π°ΠΊ ΠΈ останутся скрытыми. Π‘ΠΎΠ»Π΅Π΅ Ρ‚ΠΎΠ³ΠΎ, эти Ρ„Π°ΠΉΠ»Ρ‹ 64-разрядныС Π² ΠΎΡ‚Π»ΠΈΡ‡ΠΈΠ΅ ΠΎΡ‚ Ρ€ΠΎΠ΄ΠΈΡ‚Π΅Π»ΡŒΡΠΊΠΎΠ³ΠΎ Ρ„Π°ΠΉΠ»Π°, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ 32-разрядный.

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия
Рис. 14: Π˜ΡΠΏΠΎΠ»Π½ΡΠ΅ΠΌΡ‹Π΅ Ρ„Π°ΠΉΠ»Ρ‹, запускаСмыС ΠΎΠ±Ρ€Π°Π·Ρ†ΠΎΠΌ

Как Π’Ρ‹ ΠΌΠΎΠΆΠ΅Ρ‚Π΅ Π²ΠΈΠ΄Π΅Ρ‚ΡŒ Π½Π° ΠΏΡ€ΠΈΠ²Π΅Π΄Π΅Π½Π½ΠΎΠΌ Π²Ρ‹ΡˆΠ΅ рисункС, Ryuk запускаСт icacls.exe, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π±ΡƒΠ΄Π΅Ρ‚ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒΡΡ для измСнСния всСх списков контроля доступа ACL (Access control list), Ρ‚Π°ΠΊΠΈΠΌ ΠΎΠ±Ρ€Π°Π·ΠΎΠΌ гарантируя доступ ΠΈ ΠΈΠ·ΠΌΠ΅Π½Π΅Π½ΠΈΠ΅ Ρ„Π»Π°Π³ΠΎΠ².

Он ΠΏΠΎΠ»ΡƒΡ‡Π°Π΅Ρ‚ ΠΏΠΎΠ»Π½Ρ‹ΠΉ доступ ΠΏΠΎΠ΄ всСми ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡΠΌΠΈ ΠΊΠΎ всСм Ρ„Π°ΠΉΠ»Π°ΠΌ Π½Π° устройствС (/T) нСзависимо ΠΎΡ‚ ошибок (/C) ΠΈ Π±Π΅Π· ΠΏΠΎΠΊΠ°Π·Π° ΠΊΠ°ΠΊΠΈΡ…-Π»ΠΈΠ±ΠΎ сообщСний (/Q).

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия
Рис. 15: ΠŸΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Ρ‹ выполнСния icacls.exe, Π·Π°ΠΏΡƒΡ‰Π΅Π½Π½ΠΎΠ³ΠΎ ΠΎΠ±Ρ€Π°Π·Ρ†ΠΎΠΌ

Π’Π°ΠΆΠ½ΠΎ ΡƒΡ‡ΠΈΡ‚Ρ‹Π²Π°Ρ‚ΡŒ, Ρ‡Ρ‚ΠΎ Ryuk провСряСт, какая Π·Π°ΠΏΡƒΡ‰Π΅Π½Π° вСрсия Windows. Для этого ΠΎΠ½
выполняСт ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΡƒ вСрсии с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ GetVersionExW, Π² ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΌ ΠΎΠ½ провСряСт Π·Π½Π°Ρ‡Π΅Π½ΠΈΠ΅ Ρ„Π»Π°Π³Π° lpVersionInformation, ΠΏΠΎΠΊΠ°Π·Ρ‹Π²Π°ΡŽΡ‰Π΅Π³ΠΎ, являСтся Π»ΠΈ тСкущая вСрсия Windows Π±ΠΎΠ»Π΅Π΅ ΠΏΠΎΠ·Π΄Π½Π΅ΠΉ, Ρ‡Π΅ΠΌ Windows XP.

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия

Π’ зависимости ΠΎΡ‚ Ρ‚ΠΎΠ³ΠΎ, Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ Π»ΠΈ Ρƒ Вас Π±ΠΎΠ»Π΅Π΅ поздняя вСрсия Π½Π΅ΠΆΠ΅Π»ΠΈ Windows XP, Π·Π°Π³Ρ€ΡƒΠ·Ρ‡ΠΈΠΊ Π±ΡƒΠ΄Π΅Ρ‚ Π·Π°ΠΏΠΈΡΡ‹Π²Π°Ρ‚ΡŒ Π² ΠΏΠ°ΠΏΠΊΡƒ локального ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ β€” Π² Π΄Π°Π½Π½ΠΎΠΌ случаС Π² ΠΏΠ°ΠΏΠΊΡƒ %Public%.

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия
Рис. 17: ΠŸΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° вСрсии ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΎΠ½Π½ΠΎΠΉ систСмы

ЗаписываСмый Ρ„Π°ΠΉΠ» β€” это Ryuk. Π—Π°Ρ‚Π΅ΠΌ ΠΎΠ½ запускаСт Π΅Π³ΠΎ, пСрСдавая свой собствСнный адрСс Π² качСствС ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Π°.

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия
Рис. 18: Π’Ρ‹ΠΏΠΎΠ»Π½Π΅Π½ΠΈΠ΅ Ryuk Ρ‡Π΅Ρ€Π΅Π· ShellExecute

ΠŸΠ΅Ρ€Π²ΠΎΠ΅, Ρ‡Ρ‚ΠΎ Π΄Π΅Π»Π°Π΅Ρ‚ Ryuk, β€” это ΠΏΠΎΠ»ΡƒΡ‡Π΅Π½ΠΈΠ΅ Π²Ρ…ΠΎΠ΄Π½Ρ‹Ρ… ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€ΠΎΠ². На этот Ρ€Π°Π· сущСствуСт Π΄Π²Π° Π²Ρ…ΠΎΠ΄Π½Ρ‹Ρ… ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Π° (сам исполняСмый Ρ„Π°ΠΉΠ» ΠΈ адрСс Π΄Ρ€ΠΎΠΏΠΏΠ΅Ρ€Π°), ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ΡΡ для удалСния собствСнных слСдов.

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия
Рис. 19: Π‘ΠΎΠ·Π΄Π°Π½ΠΈΠ΅ процСсса

Π’Ρ‹ Ρ‚Π°ΠΊΠΆΠ΅ ΠΌΠΎΠΆΠ΅Ρ‚Π΅ Π²ΠΈΠ΄Π΅Ρ‚ΡŒ, Ρ‡Ρ‚ΠΎ ΠΊΠ°ΠΊ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ ΠΎΠ½ запустил свои исполняСмыС Ρ„Π°ΠΉΠ»Ρ‹, ΠΎΠ½ удаляСт сСбя, Ρ‚Π°ΠΊΠΈΠΌ ΠΎΠ±Ρ€Π°Π·ΠΎΠΌ Π½Π΅ оставляя Π½ΠΈΠΊΠ°ΠΊΠΈΡ… слСдов собствСнного присутствия Π² Ρ‚ΠΎΠΉ ΠΏΠ°ΠΏΠΊΠ΅, Π³Π΄Π΅ ΠΎΠ½ Π±Ρ‹Π» Π²Ρ‹ΠΏΠΎΠ»Π½Π΅Π½.

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия
Рис. 20: Π£Π΄Π°Π»Π΅Π½ΠΈΠ΅ Ρ„Π°ΠΉΠ»Π°

5. RYUK

5.1 ΠŸΡ€ΠΈΡΡƒΡ‚ΡΡ‚Π²ΠΈΠ΅
Ryuk, ΠΏΠΎΠ΄ΠΎΠ±Π½ΠΎ Π΄Ρ€ΡƒΠ³ΠΈΠΌ врСдоносным ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ°ΠΌ, пытаСтся ΠΎΡΡ‚Π°Π²Π°Ρ‚ΡŒΡΡ Π² систСмС ΠΊΠ°ΠΊ ΠΌΠΎΠΆΠ½ΠΎ дольшС. Как Π±Ρ‹Π»ΠΎ ΠΏΠΎΠΊΠ°Π·Π°Π½ΠΎ Π²Ρ‹ΡˆΠ΅, ΠΎΠ΄ΠΈΠ½ ΠΈΠ· способов для достиТСния этой Ρ†Π΅Π»ΠΈ β€” это скрытноС созданиС ΠΈ запуск исполняСмых Ρ„Π°ΠΉΠ»ΠΎΠ². Для этого Π½Π°ΠΈΠ±ΠΎΠ»Π΅Π΅ распространСнной ΠΏΡ€Π°ΠΊΡ‚ΠΈΠΊΠΎΠΉ являСтся ΠΈΠ·ΠΌΠ΅Π½Π΅Π½ΠΈΠ΅ ΠΊΠ»ΡŽΡ‡Π° рССстра CurrentVersionRun.
Π’ Π΄Π°Π½Π½ΠΎΠΌ случаС Π’Ρ‹ ΠΌΠΎΠΆΠ΅Ρ‚Π΅ Π²ΠΈΠ΄Π΅Ρ‚ΡŒ, Ρ‡Ρ‚ΠΎ для этой Ρ†Π΅Π»ΠΈ ΠΏΠ΅Ρ€Π²Ρ‹ΠΉ запускаСмый Ρ„Π°ΠΉΠ» VWjRF.exe
(Π½Π°Π·Π²Π°Π½ΠΈΠ΅ Ρ„Π°ΠΉΠ»Π° гСнСрируСтся случайным ΠΎΠ±Ρ€Π°Π·ΠΎΠΌ) запускаСт cmd.exe.

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия
Рис. 21: Π’Ρ‹ΠΏΠΎΠ»Π½Π΅Π½ΠΈΠ΅ Ρ„Π°ΠΉΠ»Π° VWjRF.exe

Π—Π°Ρ‚Π΅ΠΌ вводится ΠΊΠΎΠΌΠ°Π½Π΄Π° RUN с ΠΈΠΌΠ΅Π½Π΅ΠΌ "svchos". Π’Π°ΠΊΠΈΠΌ ΠΎΠ±Ρ€Π°Π·ΠΎΠΌ, Ссли Π’Ρ‹ Π·Π°Ρ…ΠΎΡ‚ΠΈΡ‚Π΅ Π² любоС врСмя ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΈΡ‚ΡŒ ΠΊΠ»ΡŽΡ‡ΠΈ рССстра, Ρ‚ΠΎ Π’Ρ‹ достаточно Π»Π΅Π³ΠΊΠΎ смоТСтС Π½Π΅ Π·Π°ΠΌΠ΅Ρ‚ΠΈΡ‚ΡŒ это ΠΈΠ·ΠΌΠ΅Π½Π΅Π½ΠΈΠ΅, учитывая ΡΡ…ΠΎΠΆΠ΅ΡΡ‚ΡŒ этого названия с svchost. Благодаря этому ΠΊΠ»ΡŽΡ‡Ρƒ Ryuk обСспСчиваСт своС присутствиС Π² систСмС. Если систСма Π΄ΠΎ сих ΠΏΠΎΡ€ Π½Π΅ Π±Ρ‹Π»Π° Π·Π°Ρ€Π°ΠΆΠ΅Π½Π°, Ρ‚ΠΎ ΠΊΠΎΠ³Π΄Π° Π’Ρ‹ ΠΏΠ΅Ρ€Π΅Π·Π°Π³Ρ€ΡƒΠ·ΠΈΡ‚Π΅ систСму, исполняСмый Ρ„Π°ΠΉΠ» ΠΏΠΎΠ²Ρ‚ΠΎΡ€ΠΈΡ‚ ΠΏΠΎΠΏΡ‹Ρ‚ΠΊΡƒ снова.

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия
Рис. 22: ΠžΠ±Ρ€Π°Π·Π΅Ρ† обСспСчиваСт присутствиС Π² ΠΊΠ»ΡŽΡ‡Π΅ рССстра

ΠœΡ‹ Ρ‚Π°ΠΊΠΆΠ΅ ΠΌΠΎΠΆΠ΅ΠΌ ΡƒΠ²ΠΈΠ΄Π΅Ρ‚ΡŒ, Ρ‡Ρ‚ΠΎ этот исполняСмый Ρ„Π°ΠΉΠ» останавливаСт Π΄Π²Π΅ слуТбы:
"audioendpointbuilder", которая, ΠΊΠ°ΠΊ слСдуСт ΠΈΠ· Π΅Π΅ названия, соотвСтствуСт систСмному Π°ΡƒΠ΄ΠΈΠΎ,

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия
Рис. 23: ΠžΠ±Ρ€Π°Π·Π΅Ρ† останавливаСт слуТбу систСмного Π°ΡƒΠ΄ΠΈΠΎ

ΠΈ samss, которая являСтся слуТбой управлСния ΡƒΡ‡Π΅Ρ‚Π½Ρ‹ΠΌΠΈ записями. ΠžΡΡ‚Π°Π½ΠΎΠ²ΠΊΠ° этих Π΄Π²ΡƒΡ… слуТб являСтся характСристикой Ryuk. Π’ Π΄Π°Π½Π½ΠΎΠΌ случаС, Ссли систСма связана с SIEM-систСмой, Ρ‚ΠΎ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ пытаСтся ΠΎΡΡ‚Π°Π½ΠΎΠ²ΠΈΡ‚ΡŒ ΠΎΡ‚ΠΏΡ€Π°Π²ΠΊΡƒ Π² SIEM ΠΊΠ°ΠΊΠΈΡ…-Π»ΠΈΠ±ΠΎ ΠΏΡ€Π΅Π΄ΡƒΠΏΡ€Π΅ΠΆΠ΄Π΅Π½ΠΈΠΉ. Π’Π°ΠΊΠΈΠΌ ΠΎΠ±Ρ€Π°Π·ΠΎΠΌ, ΠΎΠ½ Π·Π°Ρ‰ΠΈΡ‰Π°Π΅Ρ‚ свои ΡΠ»Π΅Π΄ΡƒΡŽΡ‰ΠΈΠ΅ шаги, ΠΏΠΎΡΠΊΠΎΠ»ΡŒΠΊΡƒ Π½Π΅ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ SAM-слуТбы Π½Π΅ смогут ΠΏΡ€Π°Π²ΠΈΠ»ΡŒΠ½ΠΎ Π½Π°Ρ‡Π°Ρ‚ΡŒ свою Ρ€Π°Π±ΠΎΡ‚Ρƒ послС выполнСния Ryuk.

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия
Рис. 24: ΠžΠ±Ρ€Π°Π·Π΅Ρ† останавливаСт слуТбу Samss

5.2 ΠŸΡ€ΠΈΠ²ΠΈΠ»Π΅Π³ΠΈΠΈ

Π’ΠΎΠΎΠ±Ρ‰Π΅ говоря, Ryuk начинаСтся с Π³ΠΎΡ€ΠΈΠ·ΠΎΠ½Ρ‚Π°Π»ΡŒΠ½ΠΎΠ³ΠΎ пСрСмСщСния Π²Π½ΡƒΡ‚Ρ€ΠΈ сСти ΠΈΠ»ΠΈ ΠΎΠ½ запускаСтся Π΄Ρ€ΡƒΠ³ΠΎΠΉ врСдоносной ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠΎΠΉ, Ρ‚Π°ΠΊΠΎΠΉ ΠΊΠ°ΠΊ Emotet ΠΈΠ»ΠΈ Trickbot, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Π² случаС эскалации ΠΏΡ€ΠΈΠ²ΠΈΠ»Π΅Π³ΠΈΠΉ ΠΏΠ΅Ρ€Π΅Π΄Π°ΡŽΡ‚ эти ΠΏΠΎΠ²Ρ‹ΡˆΠ΅Π½Π½Ρ‹Π΅ ΠΏΡ€Π°Π²Π° ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊΡƒ.

Π—Π°Ρ€Π°Π½Π΅Π΅, Π² качСствС ΠΏΡ€Π΅Π»ΡŽΠ΄ΠΈΠΈ ΠΊ процСссу внСдрСния, ΠΌΡ‹ Π²ΠΈΠ΄ΠΈΠΌ, Ρ‡Ρ‚ΠΎ ΠΎΠ½ выполняСт процСсс ImpersonateSelf, Π° это ΠΎΠ·Π½Π°Ρ‡Π°Π΅Ρ‚, Ρ‡Ρ‚ΠΎ содСрТимоС бСзопасности Ρ‚ΠΎΠΊΠ΅Π½Π° доступа Π±ΡƒΠ΄Π΅Ρ‚ ΠΏΠ΅Ρ€Π΅Π΄Π°Π½ΠΎ Π² ΠΏΠΎΡ‚ΠΎΠΊ, Π³Π΄Π΅ ΠΎΠ½ΠΎ Π±ΡƒΠ΄Π΅Ρ‚ Π½Π΅ΠΌΠ΅Π΄Π»Π΅Π½Π½ΠΎ ΠΏΠΎΠ»ΡƒΡ‡Π΅Π½ΠΎ с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ GetCurrentThread.

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия
Рис. 25: Π’Ρ‹Π·ΠΎΠ² ImpersonateSelf

Π—Π°Ρ‚Π΅ΠΌ ΠΌΡ‹ Π²ΠΈΠ΄ΠΈΠΌ, Ρ‡Ρ‚ΠΎ ΠΎΠ½ свяТСт Ρ‚ΠΎΠΊΠ΅Π½ доступа с ΠΏΠΎΡ‚ΠΎΠΊΠΎΠΌ. ΠœΡ‹ Ρ‚Π°ΠΊΠΆΠ΅ Π²ΠΈΠ΄ΠΈΠΌ, Ρ‡Ρ‚ΠΎ ΠΎΠ΄ΠΈΠ½ ΠΈΠ· Ρ„Π»Π°Π³ΠΎΠ² β€” это DesiredAccess, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ΠΌΠΎΠΆΠ΅Ρ‚ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒΡΡ для контроля доступа, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π±ΡƒΠ΄Π΅Ρ‚ ΠΈΠΌΠ΅Ρ‚ΡŒ ΠΏΠΎΡ‚ΠΎΠΊ. Π’ этом случаС Π·Π½Π°Ρ‡Π΅Π½ΠΈΠ΅, ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠ΅ ΠΏΠΎΠ»ΡƒΡ‡ΠΈΡ‚ edx, Π΄ΠΎΠ»ΠΆΠ½ΠΎ Π±Ρ‹Ρ‚ΡŒ TOKEN_ALL_ACESS ΠΈΠ»ΠΈ Π² ΠΏΡ€ΠΎΡ‚ΠΈΠ²Π½ΠΎΠΌ случаС — TOKEN_WRITE.

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия
Рис. 26: Π‘ΠΎΠ·Π΄Π°Π½ΠΈΠ΅ Ρ‚ΠΎΠΊΠ΅Π½Π° ΠΏΠΎΡ‚ΠΎΠΊΠ°

Π—Π°Ρ‚Π΅ΠΌ ΠΎΠ½ Π±ΡƒΠ΄Π΅Ρ‚ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ SeDebugPrivilege ΠΈ сдСлаСт Π²Ρ‹Π·ΠΎΠ² для получСния ΠΎΡ‚Π»Π°Π΄ΠΎΡ‡Π½Ρ‹Ρ… ΠΏΡ€Π°Π² Debug ΠΏΠΎ ΠΎΡ‚Π½ΠΎΡˆΠ΅Π½ΠΈΡŽ ΠΊ ΠΏΠΎΡ‚ΠΎΠΊΡƒ, Π² Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Π΅ Ρ‡Π΅Π³ΠΎ, ΡƒΠΊΠ°Π·Π°Π² PROCESS_ALL_ACCESS, ΠΎΠ½ смоТСт ΠΏΠΎΠ»ΡƒΡ‡ΠΈΡ‚ΡŒ доступ ΠΊ Π»ΡŽΠ±ΠΎΠΌΡƒ Ρ‚Ρ€Π΅Π±ΡƒΠ΅ΠΌΠΎΠΌΡƒ процСссу. Π’Π΅ΠΏΠ΅Ρ€ΡŒ, учитывая, Ρ‡Ρ‚ΠΎ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ ΡƒΠΆΠ΅ ΠΈΠΌΠ΅Π΅Ρ‚ ΠΏΠΎΠ΄Π³ΠΎΡ‚ΠΎΠ²Π»Π΅Π½Π½Ρ‹ΠΉ ΠΏΠΎΡ‚ΠΎΠΊ, остаСтся Ρ‚ΠΎΠ»ΡŒΠΊΠΎ ΠΏΡ€ΠΈΡΡ‚ΡƒΠΏΠΈΡ‚ΡŒ ΠΊ Π·Π°Π²Π΅Ρ€ΡˆΠ°ΡŽΡ‰Π΅ΠΉ стадии.

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия
Рис. 27: Π’Ρ‹Π·ΠΎΠ² SeDebugPrivilege ΠΈ функция эскалации ΠΏΡ€Π°Π²

Π‘ ΠΎΠ΄Π½ΠΎΠΉ стороны, ΠΌΡ‹ ΠΈΠΌΠ΅Π΅ΠΌ LookupPrivilegeValueW, ΠΏΡ€Π΅Π΄ΠΎΡΡ‚Π°Π²Π»ΡΡŽΡ‰ΠΈΠΉ Π½Π°ΠΌ Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΡƒΡŽ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ ΠΎ привилСгиях, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΌΡ‹ Ρ…ΠΎΡ‚ΠΈΠΌ ΠΏΠΎΠ²Ρ‹ΡΠΈΡ‚ΡŒ.

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия
Рис. 28: Запрос ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ ΠΎ привилСгиях для ΠΈΡ… эскалации

Π‘ Π΄Ρ€ΡƒΠ³ΠΎΠΉ стороны, ΠΌΡ‹ ΠΈΠΌΠ΅Π΅ΠΌ AdjustTokenPrivileges, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ позволяСт ΠΏΠΎΠ»ΡƒΡ‡ΠΈΡ‚ΡŒ Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΡ‹Π΅ ΠΏΡ€Π°Π²Π° Π½Π° наш ΠΏΠΎΡ‚ΠΎΠΊ. Π’ этом случаС самоС Π²Π°ΠΆΠ½ΠΎΠ΅ β€” это NewState, Ρ‡Π΅ΠΉ Ρ„Π»Π°Π³ Π±ΡƒΠ΄Π΅Ρ‚ ΠΏΡ€Π΅Π΄ΠΎΡΡ‚Π°Π²Π»ΡΡ‚ΡŒ ΠΏΡ€ΠΈΠ²ΠΈΠ»Π΅Π³ΠΈΠΈ.

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия
Рис. 29: Настройка ΠΏΡ€Π°Π² для Ρ‚ΠΎΠΊΠ΅Π½Π°

5.3 Π’Π½Π΅Π΄Ρ€Π΅Π½ΠΈΠ΅

Π’ этом Ρ€Π°Π·Π΄Π΅Π»Π΅ ΠΌΡ‹ ΠΏΠΎΠΊΠ°ΠΆΠ΅ΠΌ, ΠΊΠ°ΠΊ ΠΎΠ±Ρ€Π°Π·Π΅Ρ† выполняСт процСсс внСдрСния, Ρ€Π°Π½Π΅Π΅ ΡƒΠΆΠ΅ упомянутый Π² Π΄Π°Π½Π½ΠΎΠΌ ΠΎΡ‚Ρ‡Π΅Ρ‚Π΅.

Основной Ρ†Π΅Π»ΡŒΡŽ процСсса внСдрСния, ΠΊΠ°ΠΊ ΠΈ эскалации, являСтся ΠΏΠΎΠ»ΡƒΡ‡Π΅Π½ΠΈΠ΅ доступа ΠΊ Ρ‚Π΅Π½Π΅Π²Ρ‹ΠΌ копиям. Для этого Π΅ΠΌΡƒ Π½ΡƒΠΆΠ½ΠΎ Ρ€Π°Π±ΠΎΡ‚Π°Ρ‚ΡŒ с ΠΏΠΎΡ‚ΠΎΠΊΠΎΠΌ с ΠΏΡ€Π°Π²Π°ΠΌΠΈ Π²Ρ‹ΡˆΠ΅, Ρ‡Π΅ΠΌ Ρƒ локального ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ. Как Ρ‚ΠΎΠ»ΡŒΠΊΠΎ ΠΎΠ½ ΠΏΠΎΠ»ΡƒΡ‡ΠΈΡ‚ Ρ‚Π°ΠΊΠΈΠ΅ Π±ΠΎΠ»Π΅Π΅ высокиС ΠΏΡ€Π°Π²Π°, ΠΎΠ½ ΡƒΠ΄Π°Π»ΠΈΡ‚ ΠΊΠΎΠΏΠΈΠΈ ΠΈ внСсСт измСнСния Π² Π΄Ρ€ΡƒΠ³ΠΈΠ΅ процСссы для Ρ‚ΠΎΠ³ΠΎ, Ρ‡Ρ‚ΠΎΠ±Ρ‹ ΡΠ΄Π΅Π»Π°Ρ‚ΡŒ Π½Π΅Π²ΠΎΠ·ΠΌΠΎΠΆΠ½Ρ‹ΠΌ Π²ΠΎΠ·Π²Ρ€Π°Ρ‚ ΠΊ Π±ΠΎΠ»Π΅Π΅ Ρ€Π°Π½Π½Π΅ΠΉ Ρ‚ΠΎΡ‡ΠΊΠΈ восстановлСния Π² ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΎΠ½Π½ΠΎΠΉ систСмС.

Как это ΠΎΠ±Ρ‹Ρ‡Π½ΠΎ Π±Ρ‹Π²Π°Π΅Ρ‚ с Ρ‚Π°ΠΊΠΈΠΌ Π²ΠΈΠ΄ΠΎΠΌ врСдоносных ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌ, для выполнСния внСдрСния ΠΎΠ½ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ CreateToolHelp32Snapshot, поэтому ΠΎΠ½ Π΄Π΅Π»Π°Π΅Ρ‚ снимок Π·Π°ΠΏΡƒΡ‰Π΅Π½Π½Ρ‹Ρ… Π² Π΄Π°Π½Π½Ρ‹ΠΉ ΠΌΠΎΠΌΠ΅Π½Ρ‚ процСссов ΠΈ пытаСтся ΠΏΠΎΠ»ΡƒΡ‡ΠΈΡ‚ΡŒ доступ ΠΊ этим процСссам с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ OpenProcess. Как Ρ‚ΠΎΠ»ΡŒΠΊΠΎ ΠΎΠ½ ΠΏΠΎΠ»ΡƒΡ‡Π°Π΅Ρ‚ доступ ΠΊ процСссу, ΠΎΠ½ Ρ‚Π°ΠΊΠΆΠ΅ ΠΎΡ‚ΠΊΡ€Ρ‹Π²Π°Π΅Ρ‚ Ρ‚ΠΎΠΊΠ΅Π½ с Π΅Π³ΠΎ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠ΅ΠΉ для получСния ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€ΠΎΠ² процСсса.

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия
Рис. 30: ΠŸΠΎΠ»ΡƒΡ‡Π΅Π½ΠΈΠ΅ процСссов с ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Π°

ΠœΡ‹ ΠΌΠΎΠΆΠ΅ΠΌ динамичСски Π²ΠΈΠ΄Π΅Ρ‚ΡŒ, ΠΊΠ°ΠΊ ΠΎΠ½ ΠΏΠΎΠ»ΡƒΡ‡Π°Π΅Ρ‚ список Π·Π°ΠΏΡƒΡ‰Π΅Π½Π½Ρ‹Ρ… процСссов Π² ΠΏΠΎΠ΄ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ΅ 140002D9C с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ CreateToolhelp32Snapshot. ПослС ΠΈΡ… получСния ΠΎΠ½ ΠΏΡ€ΠΎΡ…ΠΎΠ΄ΠΈΡ‚ ΠΏΠΎ списку, ΠΏΡ‹Ρ‚Π°ΡΡΡŒ ΠΎΠ΄ΠΈΠ½ Π·Π° Π΄Ρ€ΡƒΠ³ΠΈΠΌ ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚ΡŒ процСссы с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ OpenProcess Π΄ΠΎ Ρ‚Π΅Ρ… ΠΏΠΎΡ€, ΠΏΠΎΠΊΠ° Ρƒ Π½Π΅Π³ΠΎ Π½Π΅ получится это ΡΠ΄Π΅Π»Π°Ρ‚ΡŒ. Π’ Π΄Π°Π½Π½ΠΎΠΌ случаС ΠΏΠ΅Ρ€Π²Ρ‹ΠΉ процСсс, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ΠΎΠ½ смог ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚ΡŒ, β€” это Β«taskhost.exeΒ».

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия
Рис. 31: ДинамичСскоС Π²Ρ‹ΠΏΠΎΠ»Π½Π΅Π½ΠΈΠ΅ ΠΏΡ€ΠΎΡ†Π΅Π΄ΡƒΡ€Ρ‹ для получСния процСсса

ΠœΡ‹ ΠΌΠΎΠΆΠ΅ΠΌ Π²ΠΈΠ΄Π΅Ρ‚ΡŒ, Ρ‡Ρ‚ΠΎ впослСдствии ΠΎΠ½ считываСт ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ Ρ‚ΠΎΠΊΠ΅Π½Π° процСсса, поэтому ΠΎΠ½ Π²Ρ‹Π·Ρ‹Π²Π°Π΅Ρ‚ OpenProcessToken с ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€ΠΎΠΌ "20008"

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия
Рис. 32: Π§Ρ‚Π΅Π½ΠΈΠ΅ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ Ρ‚ΠΎΠΊΠ΅Π½Π° процСсса

Он Ρ‚Π°ΠΊΠΆΠ΅ провСряСт, Ρ‡Ρ‚ΠΎ процСсс, Π² ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ΠΎΠ½ Π±ΡƒΠ΄Π΅Ρ‚ Π²Π½Π΅Π΄Ρ€ΡΡ‚ΡŒΡΡ, Π½Π΅ являСтся csrss.exe, explorer.exe, lsaas.exe ΠΈΠ»ΠΈ Ρ‡Ρ‚ΠΎ ΠΎΠ½ ΠΈΠΌΠ΅Π΅Ρ‚ Π½Π°Π±ΠΎΡ€ ΠΏΡ€Π°Π² NT authority.

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия
Рис. 33: Π˜ΡΠΊΠ»ΡŽΡ‡Π΅Π½Π½Ρ‹Π΅ процСссы

ΠœΡ‹ ΠΌΠΎΠΆΠ΅ΠΌ динамичСски Π²ΠΈΠ΄Π΅Ρ‚ΡŒ, ΠΊΠ°ΠΊ ΠΎΠ½ сначала выполняСт ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΡƒ с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ Ρ‚ΠΎΠΊΠ΅Π½Π° процСсса Π² 140002D9C с Ρ†Π΅Π»ΡŒΡŽ ΡƒΠ·Π½Π°Ρ‚ΡŒ, являСтся Π»ΠΈ учСтная запись, Ρ‡ΡŒΠΈ ΠΏΡ€Π°Π²Π° ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ΡΡ для выполнСния процСсса, ΡƒΡ‡Π΅Ρ‚Π½ΠΎΠΉ записью NT AUTHORITY.

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия
Рис. 34: ΠŸΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° NT AUTHORITY

А ΠΏΠΎΠ·ΠΆΠ΅, Π²Π½Π΅ ΠΏΡ€ΠΎΡ†Π΅Π΄ΡƒΡ€Ρ‹, ΠΎΠ½ провСряСт, Ρ‡Ρ‚ΠΎ это Π½Π΅ csrss.exe, explorer.exe ΠΈΠ»ΠΈ lsaas.exe.

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия
Рис. 35: ΠŸΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° NT AUTHORITY

ПослС Ρ‚ΠΎΠ³ΠΎ ΠΊΠ°ΠΊ ΠΎΠ½ сдСлал снимок процСссов, ΠΎΡ‚ΠΊΡ€Ρ‹Π» процСссы ΠΈ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΈΠ», Ρ‡Ρ‚ΠΎ Π½ΠΈ ΠΎΠ΄ΠΈΠ½ ΠΈΠ· Π½ΠΈΡ… Π½Π΅ являСтся ΠΈΡΠΊΠ»ΡŽΡ‡Π΅Π½Π½Ρ‹ΠΌ, ΠΎΠ½ Π³ΠΎΡ‚ΠΎΠ² Π·Π°ΠΏΠΈΡΡ‹Π²Π°Ρ‚ΡŒ Π² ΠΏΠ°ΠΌΡΡ‚ΡŒ процСссы, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Π±ΡƒΠ΄ΡƒΡ‚ Π²Π½Π΅Π΄Ρ€Π΅Π½Ρ‹.

Для этого ΠΎΠ½ спСрва Ρ€Π΅Π·Π΅Ρ€Π²ΠΈΡ€ΡƒΠ΅Ρ‚ ΠΎΠ±Π»Π°ΡΡ‚ΡŒ Π² памяти (VirtualAllocEx), записываСт Π² Π½Π΅Π΅ (WriteProcessmemory) ΠΈ создаСт ΠΏΠΎΡ‚ΠΎΠΊ (CreateRemoteThread). Для Ρ€Π°Π±ΠΎΡ‚Ρ‹ с этими функциями ΠΎΠ½ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ PID-Ρ‹ Π²Ρ‹Π±Ρ€Π°Π½Π½Ρ‹Ρ… процСссов, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΎΠ½ ΠΏΡ€Π΅Π΄Π²Π°Ρ€ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ ΠΏΠΎΠ»ΡƒΡ‡ΠΈΠ» с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ CreateToolhelp32Snapshot.

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия
Рис. 36: Код для внСдрСния

Π—Π΄Π΅ΡΡŒ ΠΌΡ‹ ΠΌΠΎΠΆΠ΅ΠΌ динамичСски Π½Π°Π±Π»ΡŽΠ΄Π°Ρ‚ΡŒ, ΠΊΠ°ΠΊ ΠΎΠ½ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ PID процСсса для Π²Ρ‹Π·ΠΎΠ²Π° Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΈ VirtualAllocEx.

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия
Рис. 37: Π’Ρ‹Π·ΠΎΠ² VirtualAllocEx

5.4 Π¨ΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΠ΅
Π’ Π΄Π°Π½Π½ΠΎΠΌ Ρ€Π°Π·Π΄Π΅Π»Π΅ ΠΌΡ‹ рассмотрим Ρ‡Π°ΡΡ‚ΡŒ этого ΠΎΠ±Ρ€Π°Π·Ρ†Π°, связанного с ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΠ΅ΠΌ. На ΡΠ»Π΅Π΄ΡƒΡŽΡ‰Π΅ΠΌ рисункС Π’Ρ‹ ΠΌΠΎΠΆΠ΅Ρ‚Π΅ ΡƒΠ²ΠΈΠ΄Π΅Ρ‚ΡŒ Π΄Π²Π΅ ΠΏΠΎΠ΄ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΡ‹ ΠΏΠΎΠ΄ Π½Π°Π·Π²Π°Π½ΠΈΠ΅ΠΌ "LoadLibrary_EncodeString" ΠΈ "Encode_Func", ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΎΡ‚Π²Π΅Ρ‡Π°ΡŽΡ‚ Π·Π° Π²Ρ‹ΠΏΠΎΠ»Π½Π΅Π½ΠΈΠ΅ ΠΏΡ€ΠΎΡ†Π΅Π΄ΡƒΡ€Ρ‹ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΡ.

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия
Рис. 38: ΠŸΡ€ΠΎΡ†Π΅Π΄ΡƒΡ€Ρ‹ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΡ

Π’Π½Π°Ρ‡Π°Π»Π΅ ΠΌΡ‹ ΠΌΠΎΠΆΠ΅ΠΌ Π²ΠΈΠ΄Π΅Ρ‚ΡŒ, ΠΊΠ°ΠΊ ΠΎΠ½ Π·Π°Π³Ρ€ΡƒΠΆΠ°Π΅Ρ‚ строку, которая ΠΏΠΎΠ·ΠΆΠ΅ Π±ΡƒΠ΄Π΅Ρ‚ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒΡΡ для дСобфускации всСго, Ρ‡Ρ‚ΠΎ Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ: ΠΈΠΌΠΏΠΎΡ€Ρ‚Ρ‹, DLL, ΠΊΠΎΠΌΠ°Π½Π΄Ρ‹, Ρ„Π°ΠΉΠ»Ρ‹ ΠΈ CSP.

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия
Рис. 39: ЦСпь дСобфускации

На ΡΠ»Π΅Π΄ΡƒΡŽΡ‰Π΅ΠΌ рисункС ΠΏΠΎΠΊΠ°Π·Π°Π½ ΠΏΠ΅Ρ€Π²Ρ‹ΠΉ ΠΈΠΌΠΏΠΎΡ€Ρ‚, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ΠΎΠ½ дСобфускируСт Π² рСгистрС R4, LoadLibrary. Π­Ρ‚ΠΎ Π±ΡƒΠ΄Π΅Ρ‚ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒΡΡ ΠΏΠΎΠ·ΠΆΠ΅ для Π·Π°Π³Ρ€ΡƒΠ·ΠΊΠΈ Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΡ‹Ρ… DLL. ΠœΡ‹ Ρ‚Π°ΠΊΠΆΠ΅ ΠΌΠΎΠΆΠ΅ΠΌ Π²ΠΈΠ΄Π΅Ρ‚ΡŒ Π΄Ρ€ΡƒΠ³ΡƒΡŽ строку Π² рСгистрС R12, которая ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ΡΡ вмСстС с ΠΏΡ€Π΅Π΄Ρ‹Π΄ΡƒΡ‰Π΅ΠΉ строкой для выполнСния дСобфускации.

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия
Рис. 40: ДинамичСская дСобфускация

Он ΠΏΡ€ΠΎΠ΄ΠΎΠ»ΠΆΠ°Π΅Ρ‚ Π·Π°Π³Ρ€ΡƒΠΆΠ°Ρ‚ΡŒ ΠΊΠΎΠΌΠ°Π½Π΄Ρ‹, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΎΠ½ Π²Ρ‹ΠΏΠΎΠ»Π½ΠΈΡ‚ ΠΏΠΎΠ·ΠΆΠ΅, Ρ‡Ρ‚ΠΎΠ±Ρ‹ ΠΎΡ‚ΠΊΠ»ΡŽΡ‡ΠΈΡ‚ΡŒ Ρ€Π΅Π·Π΅Ρ€Π²Π½Ρ‹Π΅ ΠΊΠΎΠΏΠΈΠΈ, Ρ‚ΠΎΡ‡ΠΊΠΈ восстановлСния ΠΈ бСзопасныС Ρ€Π΅ΠΆΠΈΠΌΡ‹ Π·Π°Π³Ρ€ΡƒΠ·ΠΊΠΈ.

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия
Рис. 41: Π—Π°Π³Ρ€ΡƒΠ·ΠΊΠ° ΠΊΠΎΠΌΠ°Π½Π΄

Π—Π°Ρ‚Π΅ΠΌ ΠΎΠ½ Π·Π°Π³Ρ€ΡƒΠΆΠ°Π΅Ρ‚ Π»ΠΎΠΊΠ°Ρ†ΠΈΡŽ, ΠΊΡƒΠ΄Π° ΠΎΠ½ бросит 3 Ρ„Π°ΠΉΠ»Π°: Windows.bat, run.sct ΠΈ start.bat.

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия
Рис. 42: Π›ΠΎΠΊΠ°Ρ†ΠΈΠΈ Ρ„Π°ΠΉΠ»ΠΎΠ²

Π­Ρ‚ΠΈ 3 Ρ„Π°ΠΉΠ»Π° ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ΡΡ для ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ ΠΏΡ€ΠΈΠ²ΠΈΠ»Π΅Π³ΠΈΠΉ, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΌΠΈ ΠΎΠ±Π»Π°Π΄Π°ΡŽΡ‚ каТдая ΠΈΠ· Π»ΠΎΠΊΠ°Ρ†ΠΈΠΉ. Если Ρ‚Ρ€Π΅Π±ΡƒΠ΅ΠΌΡ‹Π΅ ΠΏΡ€ΠΈΠ²ΠΈΠ»Π΅Π³ΠΈΠΈ нСдоступны, Ryuk останавливаСт Π²Ρ‹ΠΏΠΎΠ»Π½Π΅Π½ΠΈΠ΅.

Он ΠΏΡ€ΠΎΠ΄ΠΎΠ»ΠΆΠ°Π΅Ρ‚ Π·Π°Π³Ρ€ΡƒΠΆΠ°Ρ‚ΡŒ строки, ΡΠΎΠΎΡ‚Π²Π΅Ρ‚ΡΡ‚Π²ΡƒΡŽΡ‰ΠΈΠ΅ Ρ‚Ρ€Π΅ΠΌ Ρ„Π°ΠΉΠ»Π°ΠΌ. ΠŸΠ΅Ρ€Π²Π°Ρ, DECRYPT_INFORMATION.html, содСрТит ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ, Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΡƒΡŽ для восстановлСния Ρ„Π°ΠΉΠ»ΠΎΠ². Вторая, PUBLIC, содСрТит ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚Ρ‹ΠΉ ΠΊΠ»ΡŽΡ‡ RSA.

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия
Рис. 43: Π‘Ρ‚Ρ€ΠΎΠΊΠ° DECRYPT INFORMATION.html

Π’Ρ€Π΅Ρ‚ΡŒΡ, UNIQUE_ID_DO_NOT_REMOVE, содСрТит Π·Π°ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½Π½Ρ‹ΠΉ ΠΊΠ»ΡŽΡ‡, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π±ΡƒΠ΄Π΅Ρ‚ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒΡΡ Π² ΡΠ»Π΅Π΄ΡƒΡŽΡ‰Π΅ΠΉ ΠΏΠΎΠ΄ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ΅ для выполнСния ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΡ.

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия
Рис. 44: Π‘Ρ‚Ρ€ΠΎΠΊΠ° UNIQUE ID DO NOT REMOVE

НаконСц, ΠΎΠ½ Π·Π°Π³Ρ€ΡƒΠΆΠ°Π΅Ρ‚ Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΡ‹Π΅ Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊΠΈ вмСстС с Ρ‚Ρ€Π΅Π±ΡƒΠ΅ΠΌΡ‹ΠΌΠΈ ΠΈΠΌΠΏΠΎΡ€Ρ‚Π°ΠΌΠΈ ΠΈ CSP (Microsoft Enhanced RSA ΠΈ AES Cryptographic Provider).

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия
Рис. 45: Π—Π°Π³Ρ€ΡƒΠ·ΠΊΠ° Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊ

ПослС Ρ‚ΠΎΠ³ΠΎ ΠΊΠ°ΠΊ вся дСобфускация Π·Π°Π²Π΅Ρ€ΡˆΠ΅Π½Π°, ΠΎΠ½ ΠΏΠ΅Ρ€Π΅Ρ…ΠΎΠ΄ΠΈΡ‚ ΠΊ Π²Ρ‹ΠΏΠΎΠ»Π½Π΅Π½ΠΈΡŽ дСйствий, Ρ‚Ρ€Π΅Π±ΡƒΠ΅ΠΌΡ‹Ρ… для ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΡ: ΠΏΠ΅Ρ€Π΅Π±ΠΎΡ€ всСх логичСских дисков, Π²Ρ‹ΠΏΠΎΠ»Π½Π΅Π½ΠΈΠ΅ Ρ‚ΠΎΠ³ΠΎ, Ρ‡Ρ‚ΠΎ Π±Ρ‹Π»ΠΎ Π·Π°Π³Ρ€ΡƒΠΆΠ΅Π½ΠΎ Π² ΠΏΡ€Π΅Π΄Ρ‹Π΄ΡƒΡ‰Π΅ΠΉ ΠΏΠΎΠ΄ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ΅, усилСниС присутствия Π² систСмС, заброска Ρ„Π°ΠΉΠ»Π° RyukReadMe.html, ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΠ΅, ΠΏΠ΅Ρ€Π΅Π±ΠΎΡ€ всСх сСтСвых дисков, ΠΏΠ΅Ρ€Π΅Ρ…ΠΎΠ΄ Π½Π° ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½Π½Ρ‹Π΅ устройства ΠΈ ΠΈΡ… ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΠ΅.
ВсС начинаСтся с Π·Π°Π³Ρ€ΡƒΠ·ΠΊΠΈ "cmd.exe" ΠΈ записи ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚ΠΎΠ³ΠΎ RSA-ΠΊΠ»ΡŽΡ‡Π°.

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия
Рис. 46: ΠŸΠΎΠ΄Π³ΠΎΡ‚ΠΎΠ²ΠΊΠ° ΠΊ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΡŽ

Π—Π°Ρ‚Π΅ΠΌ ΠΎΠ½ ΠΏΠΎΠ»ΡƒΡ‡Π°Π΅Ρ‚ всС логичСскиС диски с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ GetLogicalDrives ΠΈ ΠΎΡ‚ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ всС Ρ€Π΅Π·Π΅Ρ€Π²Π½Ρ‹Π΅ ΠΊΠΎΠΏΠΈΠΈ, Ρ‚ΠΎΡ‡ΠΊΠΈ восстановлСния ΠΈ бСзопасныС Ρ€Π΅ΠΆΠΈΠΌΡ‹ Π·Π°Π³Ρ€ΡƒΠ·ΠΊΠΈ.

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия
Рис. 47: ДСактивация срСдств восстановлСния

ПослС этого ΠΎΠ½ усиливаСт своС присутствиС Π² систСмС, ΠΊΠ°ΠΊ ΠΌΡ‹ Π²ΠΈΠ΄Π΅Π»ΠΈ Π²Ρ‹ΡˆΠ΅, ΠΈ записываСт ΠΏΠ΅Ρ€Π²Ρ‹ΠΉ Ρ„Π°ΠΉΠ» RyukReadMe.html Π² TEMP.

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия
Рис. 48: ΠŸΡƒΠ±Π»ΠΈΠΊΠ°Ρ†ΠΈΡ увСдомлСния ΠΎ Π²Ρ‹ΠΊΡƒΠΏΠ΅

На ΡΠ»Π΅Π΄ΡƒΡŽΡ‰Π΅ΠΌ рисункС Π’Ρ‹ ΠΌΠΎΠΆΠ΅Ρ‚Π΅ ΡƒΠ²ΠΈΠ΄Π΅Ρ‚ΡŒ, ΠΊΠ°ΠΊ ΠΎΠ½ создаСт Ρ„Π°ΠΉΠ», Π·Π°Π³Ρ€ΡƒΠΆΠ°Π΅Ρ‚ содСрТимоС ΠΈ записываСт Π΅Π³ΠΎ:

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия
Рис. 49: Π—Π°Π³Ρ€ΡƒΠ·ΠΊΠ° ΠΈ запись содСрТимого Ρ„Π°ΠΉΠ»Π°

Π§Ρ‚ΠΎΠ±Ρ‹ ΠΈΠΌΠ΅Ρ‚ΡŒ Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ Π²Ρ‹ΠΏΠΎΠ»Π½ΠΈΡ‚ΡŒ эти ΠΆΠ΅ дСйствия Π½Π° всСх устройствах, ΠΎΠ½ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚
"icacls.exe", ΠΊΠ°ΠΊ ΠΌΡ‹ ΠΏΠΎΠΊΠ°Π·Ρ‹Π²Π°Π»ΠΈ Π²Ρ‹ΡˆΠ΅.

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия
Рис. 50: ИспользованиС icalcls.exe

И, Π½Π°ΠΊΠΎΠ½Π΅Ρ†, ΠΎΠ½ Π½Π°Ρ‡ΠΈΠ½Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΠ΅ Ρ„Π°ΠΉΠ»ΠΎΠ² Π·Π° ΠΈΡΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠ΅ΠΌ Ρ„Π°ΠΉΠ»ΠΎΠ² "*.exe", "*.dll", систСмных Ρ„Π°ΠΉΠ»ΠΎΠ² ΠΈ Π΄Ρ€ΡƒΠ³ΠΈΡ… Π»ΠΎΠΊΠ°Ρ†ΠΈΠΉ, ΡƒΠΊΠ°Π·Π°Π½Π½Ρ‹Ρ… Π² Π²ΠΈΠ΄Π΅ Π·Π°ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½Π½ΠΎΠ³ΠΎ Π±Π΅Π»ΠΎΠ³ΠΎ списка. Для этого ΠΎΠ½ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ ΠΈΠΌΠΏΠΎΡ€Ρ‚Ρ‹: CryptAcquireContextW (Π³Π΄Π΅ ΡƒΠΊΠ°Π·Π°Π½ΠΎ использованиС AES ΠΈ RSA), CryptDeriveKey, CryptGenKey, CryptDestroyKey ΠΈ Ρ‚.Π΄. Π’Π°ΠΊΠΆΠ΅ прСдпринимаСтся ΠΏΠΎΠΏΡ‹Ρ‚ΠΊΠ° Ρ€Π°ΡΡˆΠΈΡ€ΠΈΡ‚ΡŒ своС дСйствиС Π½Π° ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½Π½Ρ‹Π΅ сСтСвыС устройства с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ WNetEnumResourceW ΠΈ Π·Π°Ρ‚Π΅ΠΌ Π·Π°ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Ρ‚ΡŒ ΠΈΡ….

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия
Рис. 51: Π¨ΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΠ΅ систСмных Ρ„Π°ΠΉΠ»ΠΎΠ²

6. Π˜ΠΌΠΏΠΎΡ€Ρ‚Ρ‹ ΠΈ ΡΠΎΠΎΡ‚Π²Π΅Ρ‚ΡΡ‚Π²ΡƒΡŽΡ‰ΠΈΠ΅ Ρ„Π»Π°Π³ΠΈ

НиТС ΠΏΡ€ΠΈΠ²Π΅Π΄Π΅Π½Π° Ρ‚Π°Π±Π»ΠΈΡ†Π° со списком Π½Π°ΠΈΠ±ΠΎΠ»Π΅Π΅ Ρ€Π΅Π»Π΅Π²Π°Π½Ρ‚Π½Ρ‹Ρ… ΠΈΠΌΠΏΠΎΡ€Ρ‚ΠΎΠ² ΠΈ Ρ„Π»Π°Π³ΠΎΠ², ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹Ρ… ΠΎΠ±Ρ€Π°Π·Ρ†ΠΎΠΌ:

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия

7. IOC

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия

Бсылки

  • usersPublicrun.sct
  • Start MenuProgramsStartupstart.bat AppDataRoamingMicrosoftWindowsStart
  • MenuProgramsStartupstart.bat

Как Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊ Ryuk, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π°Ρ‚Π°ΠΊΡƒΠ΅Ρ‚ прСдприятия

ВСхничСский ΠΎΡ‚Ρ‡Π΅Ρ‚ ΠΎ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π»ΡŒΡ‰ΠΈΠΊΠ΅ Ryuk составлСн экспСртами антивирусной Π»Π°Π±ΠΎΡ€Π°Ρ‚ΠΎΡ€ΠΈΠΈ PandaLabs.

8. Бсылки

1. β€œEveris y Prisa Radio sufren un grave ciberataque que secuestra sus sistemas.”https://www. elconfidencial.com/tecnologia/2019-11-04/ everis-la-ser-ciberataque-ransomware-15_2312019/, Publicada el 04/11/2019.

2. β€œUn virus de origen ruso ataca a importantes empresas espaΓ±olas.”https: //elpais.com/ tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, Publicada el 04/11/2019.

3. β€œVB2019 paper: Shinigami’s revenge: the long tail of the Ryuk malware.”https://securelist.com/ story-of-the-year-2019-cities-under-ransomware-siege/95456/, Publicada el 11/12/2019

4. β€œBig Game Hunting with Ryuk: Another LucrativebTarge- ted Ransomware.”https://www. crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/, Publicada el 10/01/2019.

5. β€œVB2019 paper: Shinigami’s revenge: the long tail of the Ryuk malware.”https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigamis-revenge-long-tail-r

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: habr.com