Ryuk is een van die bekendste losprysware-opsies die afgelope paar jaar. Sedert dit die eerste keer in die somer van 2018 verskyn het, het dit versamel , veral in die sake-omgewing, wat die hoofteiken van sy aanvalle is.
1. Algemene inligting
Hierdie dokument bevat 'n ontleding van die Ryuk-ransomware-variant, sowel as die laaier wat verantwoordelik is vir die laai van die wanware in die stelsel.
Die Ryuk ransomware het die eerste keer in die somer van 2018 verskyn. Een van die verskille tussen Ryuk en ander losprysware is dat dit daarop gemik is om korporatiewe omgewings aan te val.
In die middel van 2019 het kuberkriminele groepe 'n groot aantal Spaanse maatskappye aangeval wat hierdie losprysware gebruik.
Rys. 1: Uittreksel uit El Confidencial oor die Ryuk-losprysaanval [1]
Rys. 2: Uittreksel uit El País oor 'n aanval wat uitgevoer is met die Ryuk ransomware [2]
Ryuk het vanjaar 'n groot aantal maatskappye in verskeie lande aangeval. Soos u in die syfers hieronder kan sien, is Duitsland, China, Algerië en Indië die swaarste getref.
Deur die aantal kuberaanvalle te vergelyk, kan ons sien dat Ryuk miljoene gebruikers geraak het en 'n groot hoeveelheid data gekompromitteer het, wat ernstige ekonomiese verlies tot gevolg gehad het.
Rys. 3: Illustrasie van Ryuk se globale aktiwiteit.
Rys. 4: 16 lande wat die meeste deur Ryuk geraak word
Rys. 5: Aantal gebruikers aangeval deur Ryuk ransomware (in miljoene)
Volgens die gewone bedryfsbeginsel van sulke dreigemente, wys hierdie losprysware, nadat enkripsie voltooi is, die slagoffer 'n lospryskennisgewing wat in bitcoins aan die gespesifiseerde adres betaal moet word om toegang tot die geënkripteerde lêers te herstel.
Hierdie wanware het verander sedert dit die eerste keer bekendgestel is.
Die variant van hierdie bedreiging wat in hierdie dokument ontleed word, is tydens 'n aanvalspoging in Januarie 2020 ontdek.
Weens die kompleksiteit daarvan word hierdie wanware dikwels toegeskryf aan georganiseerde kuberkriminele groepe, ook bekend as APT-groepe.
'n Deel van die Ryuk-kode het 'n merkbare ooreenkoms met die kode en struktuur van 'n ander bekende losprysware, Hermes, waarmee hulle 'n aantal identiese funksies deel. Dit is hoekom Ryuk aanvanklik met die Noord-Koreaanse groep Lazarus verbind is, wat destyds vermoedelik agter die Hermes-losprysware was.
CrowdStrike se Falcon X-diens het daarna opgemerk dat Ryuk in werklikheid deur die WIZARD SPIDER-groep geskep is [4].
Daar is bewyse om hierdie aanname te ondersteun. Eerstens is hierdie losprysware op die webwerf exploit.in geadverteer, wat 'n bekende Russiese wanwaremark is en voorheen met sommige Russiese APT-groepe geassosieer is.
Hierdie feit sluit die teorie uit dat Ryuk deur die Lazarus APT-groep ontwikkel kon word, omdat dit pas nie by die manier waarop die groep funksioneer nie.
Boonop is Ryuk geadverteer as 'n losprysprogram wat nie op Russiese, Oekraïense en Wit-Russiese stelsels sal werk nie. Hierdie gedrag word bepaal deur 'n kenmerk wat in sommige weergawes van Ryuk gevind word, waar dit die taal van die stelsel waarop die ransomware loop, nagaan en keer dat dit loop as die stelsel 'n Russies, Oekraïens of Wit-Russies het. Ten slotte, 'n kundige ontleding van die masjien wat deur die WIZARD SPIDER-span gekap is, het verskeie "artefakte" aan die lig gebring wat na bewering gebruik is in die ontwikkeling van Ryuk as 'n variant van die Hermes-losprysware.
Aan die ander kant het kenners Gabriela Nicolao en Luciano Martins voorgestel dat die ransomware moontlik deur die APT-groep CryptoTech ontwikkel is [5].
Dit volg uit die feit dat hierdie groep 'n paar maande voor die verskyning van Ryuk inligting op die forum van dieselfde webwerf geplaas het dat hulle 'n nuwe weergawe van die Hermes-ransomware ontwikkel het.
Verskeie forumgebruikers het bevraagteken of CryptoTech eintlik Ryuk geskep het. Die groep het homself toe verdedig en verklaar dat hulle bewyse het dat hulle 100% van die losprysware ontwikkel het.
2. Eienskappe
Ons begin met die selflaaiprogram, wie se taak is om die stelsel waarop dit is te identifiseer sodat die "korrekte" weergawe van die Ryuk-ransomware geloods kan word.
Die selflaaiprogram-hash is soos volg:
MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469
Een van die kenmerke van hierdie aflaaier is dat dit geen metadata bevat nie, m.a.w. Die skeppers van hierdie wanware het geen inligting daarin ingesluit nie.
Soms sluit hulle foutiewe data in om die gebruiker te mislei om te dink dat hulle 'n wettige toepassing bedryf. Soos ons egter later sal sien, as die infeksie nie gebruikersinteraksie behels nie (soos die geval is met hierdie losprysware), dan ag aanvallers dit nie nodig om metadata te gebruik nie.
Rys. 6: Voorbeeld van metadata
Die voorbeeld is in 32-bis-formaat saamgestel sodat dit op beide 32-bis en 64-bis stelsels kan loop.
3. Penetrasievektor
Die monster wat Ryuk aflaai en laat loop, het ons stelsel via 'n afstandverbinding binnegekom, en die toegangsparameters is verkry deur 'n voorlopige HOP-aanval.
Rys. 7: Aanvalregister
Die aanvaller het daarin geslaag om op afstand by die stelsel aan te meld. Daarna het hy 'n uitvoerbare lêer met ons voorbeeld geskep.
Hierdie uitvoerbare lêer is deur 'n antivirusoplossing geblokkeer voordat dit uitgevoer is.
Rys. 8: Patroonslot
Rys. 9: Patroonslot
Toe die kwaadwillige lêer geblokkeer is, het die aanvaller probeer om 'n geënkripteerde weergawe van die uitvoerbare lêer af te laai, wat ook geblokkeer is.
Rys. 10: Stel monsters wat die aanvaller probeer hardloop het
Uiteindelik het hy probeer om 'n ander kwaadwillige lêer deur die geënkripteerde konsole af te laai
PowerShell om antivirusbeskerming te omseil. Maar hy is ook geblokkeer.
Rys. 11: PowerShell met kwaadwillige inhoud geblokkeer
Rys. 12: PowerShell met kwaadwillige inhoud geblokkeer
4. Laaimasjien
Wanneer dit uitgevoer word, skryf dit 'n ReadMe-lêer na die gids % Temp%, wat tipies is vir Ryuk. Hierdie lêer is 'n losprysnota wat 'n e-posadres in die protonmail-domein bevat, wat redelik algemeen in hierdie wanwarefamilie voorkom: [e-pos beskerm]
Rys. 13: Losprysaanvraag
Terwyl die selflaaiprogram aan die gang is, kan jy sien dat dit verskeie uitvoerbare lêers met ewekansige name bekendstel. Hulle word in 'n versteekte vouer gestoor OPENBARE, maar as die opsie nie aktief is in die bedryfstelsel nie "Wys verborge lêers en vouers", dan sal hulle verborge bly. Boonop is hierdie lêers 64-bis, anders as die ouerlêer, wat 32-bis is.
Rys. 14: Uitvoerbare lêers wat deur die monster geloods is
Soos u in die prent hierbo kan sien, loods Ryuk icacls.exe, wat gebruik sal word om alle ACL's (Toegangsbeheerlyste) te wysig, en sodoende toegang en wysiging van vlae te verseker.
Dit kry volle toegang onder alle gebruikers tot alle lêers op die toestel (/T) ongeag foute (/C) en sonder om enige boodskappe te wys (/Q).
Rys. 15: Uitvoering parameters van icacls.exe van stapel gestuur deur die monster
Dit is belangrik om daarop te let dat Ryuk kontroleer watter weergawe van Windows jy gebruik. Hiervoor het hy
voer 'n weergawekontrole uit met behulp van GetVersionExW, waarin dit die waarde van die vlag nagaan lpWeergawe-inligtingwat aandui of die huidige weergawe van Windows nuwer is as Windows XP.
Afhangende van of jy 'n weergawe later as Windows XP gebruik, sal die selflaaiprogram na die plaaslike gebruikersgids skryf - in hierdie geval na die gids %publiek%.
Rys. 17: Kontroleer die weergawe van die bedryfstelsel
Die lêer wat geskryf word, is Ryuk. Dit loop dit dan deur sy eie adres as 'n parameter deur te gee.
Rys. 18: Voer Ryuk uit via ShellExecute
Die eerste ding wat Ryuk doen is om die invoerparameters te ontvang. Hierdie keer is daar twee invoerparameters (die uitvoerbare self en die dropper-adres) wat gebruik word om sy eie spore te verwyder.
Rys. 19: Skep 'n proses
Jy kan ook sien dat sodra dit sy uitvoerbare programme uitgevoer het, dit homself uitvee en dus geen spoor van sy eie teenwoordigheid in die gids laat waar dit uitgevoer is nie.
Rys. 20: Vee 'n lêer uit
5. RYUK
5.1 Teenwoordigheid
Ryuk, soos ander wanware, probeer om so lank as moontlik op die stelsel te bly. Soos hierbo getoon, is een manier om hierdie doel te bereik om in die geheim uitvoerbare lêers te skep en uit te voer. Om dit te doen, is die mees algemene praktyk om die registersleutel te verander CurrentVersionRun.
In hierdie geval kan u sien dat die eerste lêer vir hierdie doel geloods moet word VWjRF.exe
(lêernaam word lukraak gegenereer) begin cmd.exe.
Rys. 21: Voer VWjRF.exe uit
Voer dan die opdrag in RUN Met naam "svchos". As jy dus te eniger tyd die registersleutels wil nagaan, kan jy hierdie verandering maklik mis, gegewe die ooreenkoms van hierdie naam met svchost. Danksy hierdie sleutel verseker Ryuk sy teenwoordigheid in die stelsel. As die stelsel nie nog besmet is, en wanneer jy die stelsel herlaai, sal die uitvoerbare bestand weer probeer.
Rys. 22: Die monster verseker teenwoordigheid in die registersleutel
Ons kan ook sien dat hierdie uitvoerbare twee dienste stop:
"oudio-eindpuntbouer", wat, soos die naam aandui, ooreenstem met stelselklank,
Rys. 23: Voorbeeld stop die stelsel klankdiens
и Samss, wat 'n rekeningbestuurdiens is. Om hierdie twee dienste te stop, is 'n kenmerk van Ryuk. In hierdie geval, as die stelsel aan 'n SIEM-stelsel gekoppel is, probeer die ransomware om op te hou stuur na enige waarskuwings. Op hierdie manier beskerm hy sy volgende stappe aangesien sommige SAM-dienste nie hul werk korrek sal kan begin nadat Ryuk uitgevoer is nie.
Rys. 24: Sample stops Samss diens
5.2 Voorregte
Oor die algemeen begin Ryuk deur sywaarts binne die netwerk te beweeg of dit word deur 'n ander wanware soos of , wat, in die geval van voorregte-eskalasie, hierdie verhoogde regte na die losprysware oordra.
Vooraf, as 'n voorspel tot die implementeringsproses, sien ons hoe hy die proses uitvoer Verpersoonlik Self, wat beteken dat die sekuriteitsinhoud van die toegangtoken na die stroom deurgegee sal word, waar dit onmiddellik herwin sal word met GetCurrentThread.
Rys. 25: Bel ImpersonateSelf
Ons sien dan dat dit 'n toegangsteken met 'n draad sal assosieer. Ons sien ook dat een van die vlae is Verlangde toegang, wat gebruik kan word om die toegang wat die draad sal hê te beheer. In hierdie geval moet die waarde wat edx sal ontvang wees TOKEN_ALLE_TOEGANG of andersins - TOKEN_SKRYF.
Rys. 26: Skep 'n vloeiteken
Dan sal hy gebruik SeDebugPrivilege en sal 'n oproep maak om ontfoutingstoestemmings op die draad te verkry, wat lei tot PROCESS_ALL_ACCESS, sal hy toegang tot enige vereiste proses kan kry. Nou, aangesien die enkripteer reeds 'n voorbereide stroom het, is al wat oorbly om voort te gaan na die finale stadium.
Rys. 27: Roep SeDebugPrivilege en Privilege Escalation Function
Aan die een kant het ons LookupPrivilegeValueW, wat ons die nodige inligting verskaf oor die voorregte wat ons wil vergroot.
Rys. 28: Versoek inligting oor voorregte vir voorregte-eskalasie
Aan die ander kant het ons AdjustTokenPrivileges, wat ons in staat stel om die nodige regte op ons stroom te verkry. In hierdie geval is die belangrikste ding Nuwe Staat, wie se vlag voorregte sal verleen.
Rys. 29: Stel toestemmings vir 'n teken op
5.3 Implementering
In hierdie afdeling sal ons wys hoe die steekproef die implementeringsproses uitvoer wat voorheen in hierdie verslag genoem is.
Die hoofdoel van die implementeringsproses, sowel as eskalasie, is om toegang te verkry tot skadu kopieë. Om dit te doen, moet hy met 'n draad werk met regte hoër as dié van die plaaslike gebruiker. Sodra dit sulke verhoogde regte verkry, sal dit kopieë uitvee en veranderinge aan ander prosesse aanbring om dit onmoontlik te maak om terug te keer na 'n vroeëre herstelpunt in die bedryfstelsel.
Soos tipies met hierdie tipe wanware, gebruik dit Skep GereedskapHelp32Kiekiedus neem dit 'n momentopname van die prosesse wat tans loop en probeer om toegang tot daardie prosesse te kry met behulp van OpenProcess. Sodra dit toegang tot die proses verkry, maak dit ook 'n teken oop met sy inligting om die prosesparameters te verkry.
Rys. 30: Herwinning van prosesse vanaf 'n rekenaar
Ons kan dinamies sien hoe dit die lys van lopende prosesse in roetine 140002D9C kry met behulp van CreateToolhelp32Snapshot. Nadat hy dit ontvang het, gaan hy deur die lys en probeer om prosesse een vir een oop te maak met OpenProcess totdat hy daarin slaag. In hierdie geval was die eerste proses wat hy kon oopmaak "taskhost.exe".
Rys. 31: Voer 'n prosedure dinamies uit om 'n proses te kry
Ons kan sien dat dit daarna die proses-tokeninligting lees, so dit roep OpenProcessToken met parameter "20008"
Rys. 32: Lees prosestekeninligting
Dit kontroleer ook dat die proses waarin dit ingespuit sal word nie is nie csrss.exe, explorer.exe, lsaas.exe of dat hy 'n stel regte het NT gesag.
Rys. 33: Uitgesluit prosesse
Ons kan dinamies sien hoe dit eers die kontrole uitvoer deur die prosestokeninligting in te gebruik 140002D9C om uit te vind of die rekening waarvan die regte gebruik word om 'n proses uit te voer, 'n rekening is NT OWERHEID.
Rys. 34: NT OWERHEID tjek
En later, buite die prosedure, kyk hy dat dit nie is nie csrss.exe, explorer.exe of lsaas.exe.
Rys. 35: NT OWERHEID tjek
Sodra hy 'n momentopname van die prosesse geneem het, die prosesse oopgemaak het en geverifieer het dat nie een van hulle uitgesluit is nie, is hy gereed om die prosesse wat ingespuit sal word, in die geheue te skryf.
Om dit te doen, behou dit eers 'n area in die geheue (VirtualAllocEx), skryf daarin (Skryfprosesgeheue) en skep 'n draad (Skep RemoteThread). Om met hierdie funksies te werk, gebruik dit die PID's van die geselekteerde prosesse, wat dit voorheen verkry het CreateToolhelp32Snapshot.
Rys. 36: Sluit kode in
Hier kan ons dinamies waarneem hoe dit die proses PID gebruik om die funksie te roep VirtualAllocEx.
Rys. 37: Bel VirtualAllocEx
5.4 Enkripsie
In hierdie afdeling sal ons na die enkripsiegedeelte van hierdie voorbeeld kyk. In die volgende prentjie kan jy twee subroetines sien genaamd "LoadLibrary_EncodeString"y"Encode_Func", wat verantwoordelik is vir die uitvoer van die enkripsieprosedure.
Rys. 38: Enkripsieprosedures
Aan die begin kan ons sien hoe dit 'n string laai wat later gebruik sal word om alles wat nodig is te deobfuscate: invoere, DLL'e, opdragte, lêers en CSP's.
Rys. 39: Deonfuskasiekring
Die volgende figuur toon die eerste invoer wat dit in register R4 deobfuskeer. Laai Biblioteek. Dit sal later gebruik word om die vereiste DLL's te laai. Ons kan ook 'n ander reël in register R12 sien, wat saam met die vorige reël gebruik word om deobfuscation uit te voer.
Rys. 40: Dinamiese deobfuscation
Dit gaan voort om opdragte af te laai wat dit later sal uitvoer om rugsteun, herstelpunte en veilige selflaaimodusse uit te skakel.
Rys. 41: Laai opdragte
Dan laai dit die plek waar dit 3 lêers sal laat val: Windows.bat, run.sct и begin.bat.
Rys. 42: Lêerliggings
Hierdie 3 lêers word gebruik om die voorregte wat elke ligging het, na te gaan. As die vereiste voorregte nie beskikbaar is nie, stop Ryuk uitvoering.
Dit gaan voort om die lyne te laai wat ooreenstem met die drie lêers. Eerstens, DECRYPT_INFORMATION.html, bevat inligting wat nodig is om lêers te herstel. Tweedens, OPENBARE, bevat die RSA publieke sleutel.
Rys. 43: Reël DEKRIPTEER INLIGTING.html
Derdens, UNIQUE_ID_DO_NOT_REMOVE, bevat die geënkripteerde sleutel wat in die volgende roetine gebruik sal word om die enkripsie uit te voer.
Rys. 44: Lyn UNIEKE ID MOET NIE VERWYDER NIE
Laastens laai dit die vereiste biblioteke af saam met die vereiste invoere en CSP's (Microsoft Verbeterde RSA и AES Kriptografiese Verskaffer).
Rys. 45: Laai biblioteke
Nadat alle deobfuscation voltooi is, gaan dit voort om die aksies uit te voer wat nodig is vir enkripsie: die opsomming van alle logiese dryf, die uitvoering van wat in die vorige roetine gelaai is, die versterking van die teenwoordigheid in die stelsel, die gooi van die RyukReadMe.html-lêer, enkripsie, die opsomming van alle netwerkaandrywers , oorgang na opgespoorde toestelle en hul enkripsie.
Dit begin alles met laai"cmd.exe" en RSA publieke sleutelrekords.
Rys. 46: Berei voor vir enkripsie
Dan kry dit alle logiese dryf gebruik GetLogicalDrives en deaktiveer alle rugsteun, herstelpunte en veilige selflaaimodusse.
Rys. 47: Deaktiveer herstelnutsgoed
Daarna versterk dit sy teenwoordigheid in die stelsel, soos ons hierbo gesien het, en skryf die eerste lêer RyukReadMe.html в TEMP.
Rys. 48: Publiseer 'n lospryskennisgewing
In die volgende prent kan jy sien hoe dit 'n lêer skep, die inhoud aflaai en dit skryf:
Rys. 49: Laai en skryf van lêerinhoud
Om dieselfde aksies op alle toestelle te kan uitvoer, gebruik hy
"icacls.exe", soos ons hierbo gewys het.
Rys. 50: Gebruik icalcls.exe
En uiteindelik begin dit lêers enkripteer behalwe vir “*.exe”, “*.dll”-lêers, stelsellêers en ander liggings wat in die vorm van 'n geënkripteerde witlys gespesifiseer word. Om dit te doen, gebruik dit invoere: CryptAcquireContextW (waar die gebruik van AES en RSA gespesifiseer word), CryptDeriveKey, CryptGenKey, CryptDestroyKey ens. Dit poog ook om sy bereik uit te brei na ontdekte netwerktoestelle deur WNetEnumResourceW te gebruik en dit dan te enkripteer.
Rys. 51: Enkripteer stelsellêers
6. Invoere en ooreenstemmende vlae
Hieronder is 'n tabel met die mees relevante invoere en vlae wat deur die monster gebruik word:
7. IOK
verwysings
- usersPublicrun.sct
- Begin MenuProgramsStartupstart.bat AppDataRoamingMicrosoftWindowsStart
- MenuProgrammeStartupstart.bat
’n Tegniese verslag oor die Ryuk-ransomware is saamgestel deur kundiges van die antiviruslaboratorium PandaLabs.
8. Skakels
1. “Everis y Prisa Radio sufren un grave ciberataque que secuestra sus sistemas.” https://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, Publicada el 04/11/2019.
2. “Un virus de origen ruso ataca a importantes empresas españolas.” https: //elpais.com/tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, Publicada el 04/11/2019.
3. “VB2019-vraestel: Shinigami se wraak: die lang stert van die Ryuk-wanware.” https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, Publicada el 11 /12/2019
4. “Big Game Hunting with Ryuk: Another Lucrativeb Targeted Ransomware.” https://www. crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/, gepubliseer op 10/01/2019.
5. “VB2019-vraestel: Shinigami se wraak: die lang stert van die Ryuk-wanware.” https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigamis-revenge-long-tail-r
Bron: will.com