ሪዩክ ባለፉት ጥቂት ዓመታት ውስጥ ከታወቁት የራንሰምዌር ልዩነቶች አንዱ ነው። ለመጀመሪያ ጊዜ በ2018 የበጋ ወቅት ከታየበት ጊዜ ጀምሮ፣ ተሰብስቧል። በተለይም በንግድ አካባቢ፣ የጥቃቶቹ ዋና ኢላማ በሆነው በዚህ አካባቢ።
1. አጠቃላይ መረጃ
ይህ ሰነድ የRyuk ransomware ልዩነትን እንዲሁም ተንኮል አዘል ዌርን ወደ ስርዓቱ ለመጫን ኃላፊነት ያለው ጫኚ ትንተና ይዟል።
የሪዩክ ራንሰምዌር ለመጀመሪያ ጊዜ የታየው በ2018 የበጋ ወቅት ነው። በሪዩክ እና በሌሎች ራንሰምዌር መካከል ካሉት ልዩነቶች አንዱ የኮርፖሬት አካባቢዎችን ለማጥቃት ያለመ መሆኑ ነው።
በ2019 አጋማሽ ላይ የሳይበር ወንጀለኞች ቡድኖች ይህንን ራንሰምዌር በመጠቀም በርካታ የስፔን ኩባንያዎችን አጠቁ።
ምስል 1፡ ከኤል ኮንፊደንሻል የተወሰደው የራይክ ራንሰምዌር ጥቃት ጋር በተያያዘ [1]
ምስል 2፡ የራይክ ራንሰምዌርን በመጠቀም ስለተፈፀመው ጥቃት ከኤል ፓይስ የተወሰደ [2]
በዚህ ዓመት ሪዩክ በተለያዩ አገሮች ውስጥ በሚገኙ በርካታ ኩባንያዎች ላይ ጥቃት ፈጽሟል። ከታች ካሉት አሃዞች ማየት እንደምትችለው ጀርመን፣ ቻይና፣ አልጄሪያ እና ህንድ በጣም የተጎዱት ነበሩ።
የሳይበር ጥቃቶችን ቁጥር ስናወዳድር፣ ሪዩክ በሚሊዮን የሚቆጠሩ ተጠቃሚዎችን እንደጎዳ እና ከፍተኛ መጠን ያለው መረጃ እንደጎዳ ማየት እንችላለን፣ ይህም ከባድ የኢኮኖሚ ጉዳት አስከትሏል።
ምስል 3፡ የራይክ ዓለም አቀፍ እንቅስቃሴ ምሳሌ።
ምስል 4፡ 16 በራይክ በጣም የተጎዱ አገሮች
ምስል 5፡ በራይክ ራንሰምዌር የተጠቁ ተጠቃሚዎች ብዛት (በሚሊዮን የሚቆጠሩ)
እንደ ተለመደው እንደዚህ አይነት ማስፈራሪያዎች፣ ምስጠራው ከተጠናቀቀ በኋላ፣ ራንሰምዌር ለተጎጂው የቤዛ ማስታወሻ ያሳያል፣ ይህም የተመሰጠሩ ፋይሎችን መዳረሻ ወደነበረበት ለመመለስ በቢትኮይን ወደተወሰነ አድራሻ መከፈል አለበት።
ይህ ማልዌር ለመጀመሪያ ጊዜ ከታየበት ጊዜ ጀምሮ ተቀይሯል።
በዚህ ጽሑፍ ውስጥ የተተነተነው የዚህ ስጋት ልዩነት የተገኘው በጥር 2020 በተደረገ የጥቃት ሙከራ ወቅት ነው።
ይህ ማልዌር ውስብስብ በመሆኑ ብዙውን ጊዜ የተደራጁ የሳይበር ወንጀል ቡድኖች (APT ቡድኖች በመባልም ይታወቃሉ) ይጠቀሳል።
የሪዩክ ኮድ አንዳንድ ባህሪያትን የሚያካፍለው ከሌላ ታዋቂ የራንሰምዌር ፕሮግራም ከሄርሜስ ኮድ እና መዋቅር ጋር በግልጽ የሚመሳሰል ነው። ለዚህም ነው ሪዩክ መጀመሪያ ላይ ከሄርሜስ ራንሰምዌር ጀርባ የነበረው ከሰሜን ኮሪያ ቡድን ላዛረስ ጋር የተገናኘው፤ ይህ ቡድን በወቅቱ ከሄርሜስ ራንሰምዌር ጀርባ እንደሆነ ይጠረጠር ነበር።
የCrowdStrike የፋልኮን ኤክስ አገልግሎት በኋላ ላይ ሪዩክ በWIZARD SPIDER ቡድን የተፈጠረ መሆኑን ገልጿል [4]።
ይህንን ግምት የሚደግፉ በርካታ ማስረጃዎች አሉ። በመጀመሪያ፣ ይህ ራንሰምዌር ቀደም ሲል ከብዙ የሩሲያ የAPT ቡድኖች ጋር በተቆራኘው ታዋቂው የሩሲያ የማልዌር ገበያ ላይ በexplot.in ድህረ ገጽ ላይ ማስታወቂያ ተሰጥቶታል።
ይህ እውነታ ከቡድኑ የአሠራር ዘይቤ ጋር የማይጣጣም ስለሆነ Ryuk በ APT ቡድን ላዛረስ የተዘጋጀ ሊሆን ይችላል የሚለውን ንድፈ ሐሳብ ውድቅ ያደርገዋል።
በተጨማሪም፣ ሪዩክ በሩሲያ፣ በዩክሬን ወይም በቤላሩስ ስርዓቶች ላይ የማይሰራ ራንሰምዌር ተብሎ ማስታወቂያ ተሰጥቷል። ይህ ባህሪ በአንዳንድ የሪዩክ ስሪቶች ውስጥ በተገኘ ተግባር ምክንያት የሬንስዌር ስርዓቱን የሚያሄደውን ቋንቋ የሚፈትሽ እና ስርዓቱ ሩሲያዊ፣ ዩክሬንኛ ወይም ቤላሩስኛ የሚያሄድ ከሆነ የሚያቆመው ነው። በመጨረሻም፣ በዊዛርድ ስፓይደር ቡድን የተጠለፈ ማሽን ላይ የተደረገ የባለሙያ ትንተና የሪዩክን እንደ ሄርሜስ ራንሰምዌር አይነት ልማት ውስጥ ጥቅም ላይ የዋሉ በርካታ "ቅርሶች" አሳይቷል።
በሌላ በኩል ደግሞ ባለሙያዎቹ ጋብሪኤላ ኒኮላዎ እና ሉቺያኖ ማርቲንስ ራንሰምዌር በAPT ቡድን ክሪፕቶቴክ [5] የተገነባ ሊሆን እንደሚችል ጠቁመዋል።
ይህ የሆነው ሪዩክ ከመታየቱ ከጥቂት ወራት በፊት፣ ይህ ቡድን በተመሳሳይ ድረ-ገጽ መድረክ ላይ የሄርሜስ ራንሰምዌር አዲስ ስሪት እንዳዘጋጁ በመግለጹ ነው።
በርካታ የመድረክ ተጠቃሚዎች ክሪፕቶቴክ ሪዩክን በእርግጥ እንደፈጠረ ጥያቄ አቅርበዋል። ቡድኑ በኋላ ላይ ራሱን ተከላክሎ 100% የራንሰምዌር ልማቱን እንዳዘጋጀ የሚያረጋግጥ ማስረጃ እንዳለው ተናግሯል።
2. ባህሪያት
የሪዩክ ራንሰምዌር "ትክክለኛ" ስሪት እንዲሰራ በእሱ ላይ ያለውን ስርዓት መለየት በሚችል ቡት ጫኝ እንጀምራለን።
የቡት ጫኝ ሃሽ እንደሚከተለው ነው
MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469
የዚህ ማውረጃ ባህሪ አንዱ ምንም አይነት ሜታዳታ አለመያዙ ነው፣ ማለትም የዚህ ማልዌር ፈጣሪዎች በውስጡ ምንም አይነት መረጃ አላካተቱም።
አንዳንድ ጊዜ ተጠቃሚው ህጋዊ መተግበሪያ እየጀመረ እንደሆነ እንዲያስብ ለማድረግ የተሳሳተ መረጃ ያካትታሉ። ሆኖም፣ በኋላ ላይ እንደምናየው፣ ኢንፌክሽኑ የተጠቃሚ መስተጋብር የማያስፈልገው ከሆነ (እንደዚህ ራንሰምዌር ሁኔታ)፣ አጥቂዎቹ ሜታዳታ መጠቀም አስፈላጊ እንደሆነ አይቆጥሩም።
ምስል 6፡ የናሙና ሜታዳታ
ናሙናው በ32-ቢት ቅርጸት የተጠናቀረ ሲሆን ይህም በ32-ቢት እና በ64-ቢት ስርዓቶች ላይ እንዲሰራ ያስችለዋል።
3. የመተላለፊያ ቬክተር
ራይክን የሚያወርደው እና የሚያሄደው ናሙና በርቀት ግንኙነት በኩል ወደ ስርዓታችን የገባ ሲሆን፣ ማስረጃዎቹ የተገኙት በቅድመ RDP ጥቃት ነው።
ምስል 7፡ የጥቃት መዝገብ
አጥቂው ወደ ስርዓቱ በርቀት መግባት ችሏል። ከዚያ በኋላ፣ ናሙናችንን የያዘ ሊተገበር የሚችል ፋይል ፈጥረዋል።
ይህ አስፈፃሚ ፋይል ከመሄዱ በፊት በጸረ-ቫይረስ መፍትሄ ታግዷል።
ምስል 8፡ የናሙና እገዳ
ምስል 9፡ የናሙና እገዳ
ተንኮል አዘል ፋይሉ ከተቆለፈ በኋላ፣ አጥቂው የተመሰጠረውን የፋይሉ ስሪት ለማውረድ ሞክሯል፣ እሱም ተቆልፏል።
ምስል 10፡ አጥቂው ለማስኬድ የሞከረባቸው የናሙናዎች ስብስብ
በመጨረሻም፣ በተመሰጠረው ኮንሶል በኩል ሌላ ተንኮል አዘል ፋይል ለማውረድ ሞክሯል።
PowerShell የጸረ-ቫይረስ መከላከያን ለማለፍ ጥቅም ላይ ውሏል። ነገር ግን ታግዷል።
ምስል 11፡ ተንኮል አዘል ይዘት የታገደበት PowerShell
ምስል 12፡ ተንኮል አዘል ይዘት የታገደበት PowerShell
4. ጫኝ
ሲሰራ፣ የReadMe ፋይል ወደ አቃፊው ይጽፋል % temp%, ይህም የRyuk ዓይነተኛ ነው። ይህ ፋይል በፕሮቶንሜይል ጎራ ውስጥ የኢሜይል አድራሻ የያዘ የቤዛ ማስታወሻ ሲሆን ይህም በዚህ የማልዌር ቤተሰብ ውስጥ በጣም የተለመደ ነው፡ msifelabem1981@protonmail.com
ምስል 13፡ የቤዛ ጥያቄ
ማውረጃው እየሄደ እያለ፣ በዘፈቀደ ስሞች የተጻፉ በርካታ ሊተገበሩ የሚችሉ ፋይሎችን እንደሚጀምር ሊያስተውሉ ይችላሉ። በተደበቀ አቃፊ ውስጥ ይቀመጣሉ። የሕትመት ውጤቶችነገር ግን አማራጩ በኦፕሬቲንግ ሲስተም ውስጥ ንቁ ካልሆነ የተደበቁ ፋይሎችን እና አቃፊዎችን አሳይ, ተደብቀው ይቆያሉ። ከዚህም በላይ፣ እነዚህ ፋይሎች 64-ቢት ናቸው፣ ከወላጅ ፋይል በተለየ መልኩ፣ 32-ቢት።
ምስል 14፡ በናሙናው የተጀመሩ ተፈጻሚ ፋይሎች
ከላይ ባለው ምስል ላይ እንደሚታየው፣ Ryuk ሁሉንም ACLs (የመዳረሻ መቆጣጠሪያ ዝርዝሮችን) ለማሻሻል የሚያገለግል icacls.exe ን ያሂዳል፣ በዚህም የመዳረሻ እና ለውጦችን ምልክት ያደርጋል።
ስህተቶች (/C) ሳይኖሩ እና ምንም አይነት መልዕክቶችን (/Q) ሳያሳይ፣ በመሳሪያው (/T) ላይ ላሉ ሁሉም ፋይሎች ሙሉ መዳረሻ ያገኛል።
ምስል 15፡ በናሙናው የተጀመረው የicacls.exe የአፈጻጸም መለኪያዎች
ሪዩክ የትኛው የዊንዶውስ ስሪት እየሰራ እንደሆነ እንደሚፈትሽ ልብ ማለት ያስፈልጋል። ይህንን ለማድረግ
የስሪት ፍተሻን በመጠቀም ያከናውናል ጌትቨርሽንኤክስደብሊውየባንዲራውን ዋጋ የሚፈትሽበት፣ የlp ስሪት መረጃየአሁኑ የዊንዶውስ ስሪት ከዚህ በኋላ የዘገየ መሆኑን የሚያሳይ ለ Windows XP.
ከዊንዶውስ ኤክስፒ በኋላ የቆየውን ስሪት እያሄዱ እንደሆነ ላይ በመመስረት፣ የማስነሻ ጫኚው ወደ አካባቢያዊ የተጠቃሚ አቃፊ ይጽፋል - በዚህ ሁኔታ፣ አቃፊው %የህዝብ%.
ምስል 17፡ የስርዓተ ክወናውን ስሪት መፈተሽ
የሚጻፈው ፋይል Ryuk ነው። ከዚያም ያስኬደዋል፣ የራሱን አድራሻ እንደ መለኪያ ያስተላልፋል።
ምስል 18፡ Ryukን በShellExecute በኩል ማስፈጸም
ሪዩክ የሚያደርገው የመጀመሪያው ነገር የግቤት መለኪያዎችን መቀበል ነው። በዚህ ጊዜ፣ ሁለት የግቤት መለኪያዎች (ሊፈጸም የሚችል ራሱ እና የዳይፐር አድራሻው) አሉ፣ እነሱም የራሱን ዱካዎች ለማስወገድ ያገለግላሉ።
ምስል 19፡ ሂደት መፍጠር
እንዲሁም አንድ ጊዜ ሊፈፀሙ የሚችሉ ፋይሎችን (executable files) ሲያስኬድ ራሱን እንደሚሰርዝ ማየት ይችላሉ፣ በዚህም በተፈፀመበት አቃፊ ውስጥ ምንም አይነት የመገኘቱን ዱካ አይተውም።
ምስል 20፡ ፋይልን መሰረዝ
5. RYUK
5.1 መገኘት
ሪዩክ ልክ እንደሌሎች ማልዌር ሁሉ በስርዓቱ ውስጥ በተቻለ መጠን ለረጅም ጊዜ ለመቆየት ይሞክራል። ከላይ እንደሚታየው፣ ይህንን ለማሳካት አንዱ መንገድ ሊተገበሩ የሚችሉ ፋይሎችን በድብቅ በመፍጠር እና በማስኬድ ነው። ለዚህ በጣም የተለመደው ዘዴ የመዝገብ ቁልፍ ማሻሻል ነው። CurrentVersionRun.
በዚህ ሁኔታ፣ ለዚህ ዓላማ የሚፈጸመው የመጀመሪያው ፋይል መሆኑን ማየት ይችላሉ። VWjRF.exe
(የፋይል ስም በዘፈቀደ የተፈጠረ ነው) ይጀምራል Cmd.exe.
ምስል 21፡ የVWjRF.exe ፋይልን ማስኬድ
ከዚያም ትዕዛዙ ገብቷል ፍንጭ "ከተባለው ስም ጋርስቭቾስ". ስለዚህ፣ የመዝገብ ቁልፎችዎን በማንኛውም ጊዜ ካረጋገጡ፣ ይህ ስም ከ svchost ጋር ተመሳሳይነት ስላለው ይህንን ለውጥ በቀላሉ ሊያመልጥዎት ይችላል። Ryuk ይህንን ቁልፍ በስርዓቱ ውስጥ መኖሩን ለማረጋገጥ ይጠቀማል። ስርዓቱ እስካሁን ካልተበከለ፣ አስፈፃሚው ፋይል እንደገና ሲጀምሩ እንደገና ይሞክራል።
ምስል 22፡ ናሙናው በመዝገብ ቁልፍ ውስጥ መኖሩን ያረጋግጣል
ይህ ኤግዚብክትሉ ሁለት አገልግሎቶችን እንደሚያቆም ማየት እንችላለን፡
"ኦዲዮኢንድፖይንትገንቢ"፣ ስሙ እንደሚያመለክተው ከስርዓት ኦዲዮ ጋር የሚዛመድ፣
ምስል 23፡ የስርዓቱን የድምጽ አገልግሎት የሚያቆመው ናሙና
и ሳምስ, ይህም የመለያ አስተዳደር አገልግሎት ነው። እነዚህን ሁለት አገልግሎቶች ማቆም የRyuk ባህሪ ነው። በዚህ ሁኔታ፣ ስርዓቱ ከSIEM ስርዓት ጋር የተገናኘ ከሆነ፣ ራንሰምዌር መላክን ለማቆም ይሞክራል። ምንም ማስጠንቀቂያ አልተሰጠም። ይህ የሚቀጥሉትን እርምጃዎቹን ይከላከላል፣ ምክንያቱም አንዳንድ የSAM አገልግሎቶች ሪዩክ ከተተገበረ በኋላ በትክክል መጀመር አይችሉም።
ምስል 24፡ ናሙናው የሳምስን አገልግሎት ያቆማል
5.2 መብቶች
በአጠቃላይ ሲታይ፣ Ryuk የሚጀምረው በአውታረ መረብ ውስጥ ወደ ጎን በመንቀሳቀስ ወይም እንደ ማልዌር ባሉ ሌሎች ማልዌርዎች ነው የሚጀምረው። ወይም , ይህም የመብት ጭማሪ በሚከሰትበት ጊዜ እነዚህን ከፍ ያሉ መብቶች ወደ ራንሰምዌር ያስተላልፋል።
አስቀድመን፣ ለአተገባበሩ ሂደት እንደ መግቢያ፣ ሂደቱን ሲያከናውን እናያለን ራስን ማስመሰል, ይህም ማለት የመዳረሻ ቶከን የደህንነት ይዘቶች ወደ ዥረቱ ይተላለፋሉ፣ እዚያም ወዲያውኑ በ ጌትኩርትሬድ.
ምስል 25፡ ራስን መስሎ መጥራት
ከዚያም የመዳረሻ ቶከንን ከፍሰት ጋር እንደሚያያይዘው እናያለን። እንዲሁም ከባንዲራዎቹ አንዱ መሆኑን እናያለን። የሚፈለግ መዳረሻ, ይህም ክርው የሚያገኘውን መዳረሻ ለመቆጣጠር ሊያገለግል ይችላል። በዚህ ሁኔታ፣ edx የሚያገኘው እሴት መሆን አለበት TOKEN_ALL_ACESS ወይም በሌላ መልኩ - TOKEN_WRITE.
ሩዝ። 26፡ የፍሰት ማስመሰያ መፍጠር
ከዚያም እሱ ይጠቀማል የሴዴቡግ ፕራይቪልጅ እና በክር ላይ የስህተት ማረሚያ ፈቃዶችን ለማግኘት ጥሪ ያደርጋል፣ በዚህም ምክንያት፣ በመግለጽ PROCESS_ALL_ACCESS, ማንኛውንም አስፈላጊ ሂደት ማግኘት ይችላል። አሁን፣ ራንሰምዌር አስቀድሞ የተዘጋጀ ዥረት ስላለው፣ የቀረው ወደ መጨረሻው ደረጃ መሄድ ብቻ ነው።
ምስል 27፡ የSeDebug የግላዊነት ጥሪ እና የልዩ መብት ማበልጸጊያ ተግባር
በአንድ በኩል፣ LookupPrivilegeValueW አለን፣ ይህም ልናሳድግባቸው ስለምንፈልጋቸው መብቶች አስፈላጊውን መረጃ ይሰጠናል።
ምስል 28፡ ስለ ማሻሻያ መብቶች መረጃ መጠየቅ
በሌላ በኩል ደግሞ፣ አለን AdjustTokenPrivileges, ይህም ለዥረታችን የሚያስፈልጉትን መብቶች እንድናገኝ ያስችለናል። በዚህ ሁኔታ፣ በጣም አስፈላጊው ነገር ኒውስቴትባንዲራው መብቶችን የሚሰጥበት።
ምስል 29፡ የቶከን ፈቃዶችን ማዋቀር
5.3 አተገባበር
በዚህ ክፍል ውስጥ፣ ናሙናው ቀደም ሲል በዚህ ሪፖርት ውስጥ የተጠቀሰውን የትግበራ ሂደት እንዴት እንደሚያከናውን እናሳያለን።
የአተገባበሩ ሂደት ዋና ግብ፣ እንዲሁም የእድገቱ ሂደት፣ የሚከተሉትን ማግኘት ነው። የጥላ ቅጂዎችይህንን ለማድረግ ከአካባቢያዊው ተጠቃሚ በላይ መብቶች ባሉት ክር ውስጥ መሮጥ ያስፈልገዋል። እነዚህን ከፍ ያሉ መብቶች ካገኘ በኋላ፣ ቅጂዎቹን ይሰርዛል እና በስርዓተ ክወናው ውስጥ ወደነበረው ቀደም ሲል ወደነበረበት የመልሶ ማግኛ ነጥብ መመለስ የማይቻል ለማድረግ ሌሎች ሂደቶችን ያሻሽላል።
እንደ ማልዌር አይነት የተለመደ ነገር ሁሉ፣ መርፌውን ለማካሄድ የክፍያ ጭነት ይጠቀማል። CreateToolHelp32Snapshotስለዚህ አሁን ያሉትን ሂደቶች ቅጽበታዊ ገጽ እይታ ይወስዳል እና እነዚያን ሂደቶች በመጠቀም ለመድረስ ይሞክራል ሂደት ክፈትወደ ሂደቱ መድረስ አንዴ ካገኘ በኋላ፣ የሂደቱን መለኪያዎች ለማግኘት መረጃውን የያዘ ቶከን ይከፍታል።
ምስል 30፡ ሂደቶችን ከኮምፒዩተር ማግኘት
በ140002D9C ንዑስ አሠራር ውስጥ ያሉትን የሂደት ሂደቶች ዝርዝር በCreateToolhelp32Snapshot በመጠቀም እንዴት በተለዋዋጭ ሁኔታ እንደሚያወጣ ማየት እንችላለን። አንዴ ካገኛቸው በኋላ፣ በዝርዝሩ ውስጥ ይደጋግማል፣ እያንዳንዱን ሂደት አንድ በአንድ OpenProcess በመጠቀም እስኪሳካ ድረስ ለመክፈት ይሞክራል። በዚህ ሁኔታ፣ ሊከፍተው የቻለው የመጀመሪያው ሂደት taskhost.exe.
ምስል 31፡ ሂደትን ለማግኘት የአሠራር ተለዋዋጭ አፈፃፀም
የሂደቱን የቶከን መረጃ በኋላ ላይ እንደሚያነብ ማየት እንችላለን፣ ስለዚህ ይደውላል የክፍት ሂደት ቶከን ከመለኪያው ጋር "20008"
ምስል 32፡ የንባብ ሂደት ቶከን መረጃ
እንዲሁም ተግባራዊ የሚሆነው ሂደት እንዳልሆነ ያረጋግጣል csrss.exe, explorer.exe፣ lsaas.exe ወይም የተወሰኑ መብቶች እንዳሉት የአዲስ ኪዳን ባለስልጣን.
ምስል 33፡ ያልተካተቱ ሂደቶች
የሂደት ቶከን መረጃን በመጠቀም መጀመሪያ ቼክ እንዴት እንደሚያከናውን በተለዋዋጭ ሁኔታ ማየት እንችላለን 140002D9C ሂደቱን ለማስፈጸም መብቱ ጥቅም ላይ የዋለበት መለያ መለያው መሆኑን ለማወቅ የኒው ኪንግ ኦፊሴላዊ.
ሩዝ። 34፡ የኤንቲ ስልጣን ማረጋገጫ
እና በኋላ፣ ከሂደቱ ውጭ፣ እንዳልሆነ ያረጋግጣል csrss.exe፣ explorer.exe ወይም lsaas.exe.
ሩዝ። 35፡ የኤንቲ ስልጣን ማረጋገጫ
የሂደቶቹን ቅጽበታዊ ገጽ እይታ ካነሳ፣ ሂደቶቹን ከከፈተ እና አንዳቸውም እንዳልተገለሉ ካረጋገጠ በኋላ፣ ወደ ማህደረ ትውስታ የሚገቡትን ሂደቶች ለመጻፍ ዝግጁ ይሆናል።
ይህንን ለማድረግ በመጀመሪያ በማስታወስ ውስጥ የተወሰነ ቦታ ይይዛል (ቨርቹዋልአሎክኤክስ), በውስጡ ይጽፋል (የፅሁፍ ሂደት ማህደረ ትውስታ) እና ዥረት ይፈጥራል (የርቀት ክር ፍጠር) ከእነዚህ ተግባራት ጋር ለመስራት፣ ቀደም ሲል ያገኘውን የተመረጡ ሂደቶችን PID ይጠቀማል። CreateToolhelp32Snapshot.
ምስል 36፡ ኮድ ክተት
እዚህ ላይ ተግባሩን ለመጥራት የPID ሂደቱን እንዴት እንደሚጠቀም በተለዋዋጭ ሁኔታ ማየት እንችላለን ምናባዊ አሎክኤክስ።
ምስል 37፡ ቨርቹዋልአሎክኤክስን መጥራት
5.4 ምስጠራ
በዚህ ክፍል ውስጥ የዚህን ናሙና የኢንክሪፕሽን ክፍል እንመለከታለን። በሚከተለው ምስል ውስጥ "" የሚባሉ ሁለት ንዑስ ስርዓቶችን ማየት ይችላሉ።የLoadLibrary_EncodeString"እና"ኢንኮድ_ፈንክ"፣ የኢንክሪፕሽን ሂደቱን ለማከናወን ኃላፊነት ያለባቸው።
ምስል 38፡ የኢንክሪፕሽን ሂደቶች
መጀመሪያ ላይ በኋላ ላይ የሚፈለገውን ሁሉ ለማግለል የሚያገለግል ሕብረቁምፊ እንዴት እንደሚጭን ማየት እንችላለን፤ ይህም በኋላ ላይ የሚያስፈልጉትን ነገሮች ሁሉ ይገልፃል፤ እነዚህም ማስመጣት፣ DLLዎች፣ ትዕዛዞች፣ ፋይሎች እና CSPዎች ናቸው።
ምስል 39፡ የመርሳት ሰንሰለት
የሚከተለው ምስል በ R4 መዝገብ ውስጥ የመጀመሪያውን መረጃ እንደሚያሳየው ያሳያል፣ ጫን ቤተ -መጽሐፍትይህ በኋላ ላይ አስፈላጊዎቹን DLLዎች ለመጫን ጥቅም ላይ ይውላል። እንዲሁም በመዝገብ R12 ውስጥ ሌላ ሕብረቁምፊ ማየት እንችላለን፣ ይህም ከቀዳሚው ሕብረቁምፊ ጋር በመተባበር ዲቦብሴሽንን ለማከናወን ጥቅም ላይ ይውላል።
ምስል 40፡ ተለዋዋጭ ዲቦፍሴሽን
ምትኬዎችን ለማሰናከል፣ ነጥቦችን ወደነበረበት ለመመለስ እና ደህንነቱ የተጠበቀ የማስነሻ ሁነታዎችን ለማሰናከል በኋላ ላይ የሚያስፈጽማቸውን ትዕዛዞች መጫን ይቀጥላል።
ምስል 41፡ ትዕዛዞችን በመጫን ላይ
ከዚያም 3 ፋይሎችን የሚጥልበትን ቦታ ይጭናል፡ ዊንዶውስ.ባት፣ run.sct и ጀምር.ባት.
ምስል 42፡ የፋይል ቦታዎች
እነዚህ ሶስት ፋይሎች የእያንዳንዱን ቦታ መብቶች ለመፈተሽ ያገለግላሉ። የሚያስፈልጉት መብቶች ከሌሉ፣ ሪዩክ አፈጻጸምን ያቆማል።
ከሶስት ፋይሎች ጋር የሚዛመዱ መስመሮችን መጫን ይቀጥላል። የመጀመሪያው፣ DECRYPT_INFORMATION.htmlፋይሎችን መልሶ ለማግኘት የሚያስፈልገውን መረጃ ይዟል። ሁለተኛው፣ የሕትመት ውጤቶች, የRSA የህዝብ ቁልፍ ይዟል።
ምስል 43፡ የDECRYPT INFORMATION.html መስመር
ሶስተኛ፣ UNIQUE_ID_DO_NOT_REMOVE, ኢንክሪፕሽንን ለማከናወን በሚቀጥለው አሰራር ውስጥ ጥቅም ላይ የሚውለውን የተመሰጠረ ቁልፍ ይዟል።
ምስል 44፡ ልዩ መለያ መስመሩን አያስወግድ
በመጨረሻም፣ የሚያስፈልጉትን ቤተ-መጻሕፍት ከሚያስፈልጉት ማስመጣቶች እና CSP ጋር ይጭናል (የማይክሮሶፍት የተሻሻለ RSA и የAES ክሪፕቶግራፊክ አቅራቢ).
ምስል 45፡ ቤተ-መጻሕፍትን በመጫን ላይ
ሁሉም ግልጽነት ከተጠናቀቀ በኋላ፣ ለምስጠራ የሚያስፈልጉትን እርምጃዎች ማከናወን ይቀጥላል፡ ሁሉንም አመክንዮአዊ ድራይቮች መዘርዘር፣ በቀደመው ንዑስ ፕሮግራም ውስጥ የተጫነውን መፈጸም፣ በስርዓቱ ውስጥ ያለውን መገኘት ማጠናከር፣ የRyukReadMe.html ፋይል መጣል፣ ምስጠራ፣ ሁሉንም የአውታረ መረብ ድራይቮች መዘርዘር፣ ወደተገኙ መሳሪያዎች መቀየር እና ኢንክሪፕት ማድረግ።
ሁሉም የሚጀምረው በመጫን ነው "Cmd.exe"እና የህዝብ RSA ቁልፍ መዝገቦች።
ምስል 46፡ ለምስጠራ ዝግጅት
ከዚያም ሁሉንም ሎጂካዊ ድራይቮች በመጠቀም ያገኛል ጌትሎጂካልድራይቭስ እና ሁሉንም ምትኬዎች፣ የመልሶ ማግኛ ነጥቦችን እና ደህንነቱ የተጠበቀ የማስነሻ ሁነታዎችን ያሰናክላል።
ምስል 47፡ የመልሶ ማግኛ መሳሪያዎችን ማቦዘን
ከዚህ በኋላ፣ ከላይ እንዳየነው በስርዓቱ ውስጥ ያለውን መገኘት ያጠናክራል፣ እና የመጀመሪያውን ፋይል ይጽፋል RyukReadMe.html в TEMP.
ምስል 48፡ የቤዛ ማስታወቂያ ማተም
በሚከተለው ምስል ውስጥ ፋይል እንዴት እንደሚፈጥር፣ ይዘቱን እንዴት እንደሚጭን እና እንደሚጽፍ ማየት ይችላሉ፡
ምስል 49፡ የፋይል ይዘቶችን መጫን እና መጻፍ
በሁሉም መሳሪያዎች ላይ ተመሳሳይ እርምጃዎችን ለማከናወን፣ ይጠቀማል
"icacls.exe"፣ ከላይ እንዳሳየነው።
ምስል 50፡ icalcls.exe ን መጠቀም
በመጨረሻም፣ *.exe፣ *.dll፣ የስርዓት ፋይሎችን እና በተመሰጠረ የነጭ ዝርዝር ውስጥ የተገለጹ ሌሎች ቦታዎችን ሳይጨምር ፋይሎችን ኢንክሪፕት ማድረግ ይጀምራል። ይህንን ለማድረግ፣ ኢምፖርት የሚባሉትን ይጠቀማል፡ ክሪፕትአክዊርኮንቴክስትደብሊው (የ AES እና RSA አጠቃቀምን የሚያመለክት ከሆነ) ክሪፕትደርቭኪ፣ ክሪፕትጀንኪ, ክሪፕትዴስትሮይኪይ ወዘተ. ተግባሩን ወደተገኙ የአውታረ መረብ መሳሪያዎች WNetEnumResourceW በመጠቀም ለማራዘም እና ከዚያም ኢንክሪፕት ለማድረግ ይሞክራል።
ምስል 51፡ የስርዓት ፋይሎችን መመስጠር
6. ከውጭ የሚገቡ ምርቶች እና ተዛማጅ ባንዲራዎች
ከዚህ በታች በናሙናው ጥቅም ላይ የዋሉ በጣም ተገቢ የሆኑ ማስመጣቶችን እና ባንዲራዎችን የሚዘረዝር ሠንጠረዥ ነው፡
7. አይኦሲ
ማጣቀሻዎች
- usersPublicrun.sct
- Start MenuProgramsStartupstart.bat AppDataRoamingMicrosoftWindowsStart
- MenuProgramsStartupstart.bat
በRyuk ransomware ላይ የቴክኒካል ሪፖርት የተዘጋጀው ከPandaLabs የጸረ-ቫይረስ ላብራቶሪ ባለሙያዎች ነው።
8. ማገናኛዎች
1. “Everis y Prisa Radio sufren un grave ciberataque que secuestra sus sistemas።”https://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, Publicada el 04/11/2019.
2. “Un virus de Origen Ruso ataca a vitales empresses españolas። https: //elpais.com/tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, Publicada el 04/11/2019.
3. “የVB2019 ወረቀት፡ የሺኒጋሚ በቀል፡ የራይክ ማልዌር ረጅም ጅራት።” https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/፣ Publicada el 11/12/2019
4. “ከራይክ ጋር ትልቅ የጨዋታ አደን፡ ሌላ ጥቅማጥቅም የተገኘበት ራንሰምዌር።” https://www. crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/፣ ህትመቱ 01/10/2019።
5. “የVB2019 ወረቀት፡ የሺኒጋሚ በቀል፡ የራይክ ማልዌር ረጅም ጅራት።” https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigamis-revenge-long-tail-r
ምንጭ: hab.com
