Ryuk ባለፉት ጥቂት ዓመታት ውስጥ በጣም ታዋቂ ከሆኑ የቤዛዌር አማራጮች አንዱ ነው። በ 2018 የበጋ ወቅት ለመጀመሪያ ጊዜ ስለታየ, ሰብስቧል , በተለይም በንግድ አካባቢ, የጥቃቱ ዋና ኢላማ በሆነው.
1. አጠቃላይ መረጃ
ይህ ሰነድ የRyuk ransomware ልዩነት እና እንዲሁም ማልዌርን ወደ ስርዓቱ የመጫን ሃላፊነት ያለው ጫኚ ትንተና ይዟል።
የ Ryuk ቤዛ ዌር ለመጀመሪያ ጊዜ በ2018 ክረምት ታየ። በሪዩክ እና በሌሎች ራንሰምዌር መካከል ካሉት ልዩነቶች አንዱ የድርጅት አካባቢዎችን ለማጥቃት ያለመ መሆኑ ነው።
እ.ኤ.አ. በ2019 አጋማሽ ላይ የሳይበር ወንጀለኞች ቡድኖች ይህን ራንሰምዌር በመጠቀም እጅግ በጣም ብዙ የሆኑ የስፔን ኩባንያዎችን አጠቁ።
ሩዝ. 1፡ የ Ryuk ራንሰምዌር ጥቃትን በተመለከተ ከኤል ኮንፊደንሻል የተወሰደ [1]
ሩዝ. 2፡ የ Ryuk ራንሰምዌርን በመጠቀም ስለተፈጸመው ጥቃት ከኤል ፓይስ የተወሰደ [2]
በዚህ አመት, Ryuk በተለያዩ ሀገሮች ውስጥ በርካታ ቁጥር ያላቸውን ኩባንያዎችን አጥቅቷል. ከታች በምስሉ ላይ እንደምትመለከቱት ጀርመን፣ቻይና፣አልጄሪያ እና ህንድ ከፍተኛ ጉዳት ደርሶባቸዋል።
የሳይበር ጥቃቶችን ቁጥር በማነፃፀር ራይክ በሚሊዮን የሚቆጠሩ ተጠቃሚዎችን እንደነካ እና ከፍተኛ መጠን ያለው መረጃን በማበላሸት ከፍተኛ ኢኮኖሚያዊ ኪሳራ እንዳስከተለ ማየት እንችላለን።
ሩዝ. 3፡ የሪዩክ ዓለም አቀፍ እንቅስቃሴ መግለጫ።
ሩዝ. 4፡ 16 አገሮች በሪዩክ በጣም የተጎዱ
ሩዝ. 5፦ በሪዩክ ራንሰምዌር የተጠቁ የተጠቃሚዎች ብዛት (በሚሊዮን)
በተለመደው የማስፈራሪያ መርህ መሰረት ይህ ራንሰምዌር ምስጠራ ከተጠናቀቀ በኋላ የተመሰጠሩትን ፋይሎች መዳረሻ ወደነበረበት ለመመለስ በ bitcoins ውስጥ መከፈል ያለበትን ቤዛ ማሳወቂያ ለተጠቂው ያሳያል።
ይህ ማልዌር ለመጀመሪያ ጊዜ ከገባ በኋላ ተለውጧል።
በዚህ ሰነድ ውስጥ የተተነተነው የዚህ ስጋት ልዩነት በጥር 2020 በተደረገ የጥቃት ሙከራ ተገኝቷል።
በውስብስብነቱ ምክንያት፣ ይህ ማልዌር ብዙውን ጊዜ የተደራጁ የሳይበር ወንጀለኞች ቡድን ነው፣ እንዲሁም APT ቡድኖች በመባል ይታወቃሉ።
የሪዩክ ኮድ ክፍል ከሌላው ታዋቂው ራንሰምዌር ሄርሜስ ኮድ እና መዋቅር ጋር ተመሳሳይነት ያለው ተመሳሳይነት ያለው ተመሳሳይ ተግባር አለው። ለዚህም ነው Ryuk መጀመሪያ ላይ ከሰሜን ኮሪያው አልዓዛር ቡድን ጋር የተገናኘው, በወቅቱ ከሄርምስ ራንሰምዌር ጀርባ እንዳለ ተጠርጥሯል.
የCrowdStrike's Falcon X አገልግሎት በመቀጠል ሪዩክ በWIZARD SPIDER ቡድን [4] የተፈጠረ መሆኑን ገልጿል።
ይህንን ግምት የሚደግፉ አንዳንድ ማስረጃዎች አሉ። በመጀመሪያ፣ ይህ ራንሰምዌር በዌብሳይት exploit.in ላይ ማስታወቂያ ቀርቦ ነበር፣ እሱም በጣም የታወቀ የሩሲያ የማልዌር የገበያ ቦታ ሲሆን ቀደም ሲል ከአንዳንድ የሩሲያ ኤፒቲ ቡድኖች ጋር ተቆራኝቷል።
ይህ እውነታ Ryuk በአልአዛር APT ቡድን ሊዳብር ይችል የነበረውን ንድፈ ሐሳብ ያስወግዳል, ምክንያቱም ከቡድኑ አሠራር ጋር አይጣጣምም.
በተጨማሪም፣ Ryuk በሩሲያ፣ ዩክሬንኛ እና ቤላሩስኛ ስርዓቶች ላይ የማይሰራ እንደ ቤዛዌር ማስታወቂያ ቀርቧል። ይህ ባህሪ የሚወሰነው በአንዳንድ የሪዩክ ስሪቶች ውስጥ ባለው ባህሪ ሲሆን ራንሰምዌር የሚሠራበትን የስርዓት ቋንቋ ሲፈትሽ እና ስርዓቱ ሩሲያኛ፣ ዩክሬንኛ ወይም ቤላሩስኛ ካለው እንዳይሰራ ያቆመዋል። በመጨረሻም፣ በWIZARD SPIDER ቡድን የተጠለፈውን ማሽን የባለሙያዎች ትንታኔ በሪዩክ ልማት ውስጥ እንደ ሄርምስ ራንሰምዌር ተለዋጭነት ጥቅም ላይ ውለዋል የተባሉ በርካታ “ቅርሶች” አሳይተዋል።
በሌላ በኩል ጠበብት ጋብሪኤላ ኒኮላኦ እና ሉቺያኖ ማርቲንስ ራንሰምዌር በAPT ቡድን ክሪፕቶቴክ [5] የተሰራ ሊሆን እንደሚችል ጠቁመዋል።
ይህ የሪዩክ ከመታየቱ ከበርካታ ወራት በፊት ይህ ቡድን በተመሳሳይ ጣቢያ መድረክ ላይ የሄርምስ ራንሰምዌር አዲስ ስሪት እንዳዳበረ መረጃ ከለጠፈ።
ብዙ የመድረክ ተጠቃሚዎች ክሪፕቶቴክ Ryukን እንደፈጠረ ጠይቀዋል። ከዚያም ቡድኑ እራሱን መከላከል እና 100% የቤዛ ዌር መስራታቸውን የሚያሳይ ማስረጃ እንዳለው ገልጿል።
2. ባህሪያት
የ Ryuk ransomware "ትክክለኛ" እትም እንዲጀምር ስራው ያለበትን ስርዓት መለየት በቡት ጫኚ እንጀምራለን.
የቡት ጫኚው ሃሽ የሚከተለው ነው።
MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469
የዚህ ማውረጃ አንዱ ባህሪ ምንም አይነት ሜታዳታ የለውም፣ ማለትም. የዚህ ማልዌር ፈጣሪዎች ምንም መረጃ አላካተቱም።
አንዳንድ ጊዜ ተጠቃሚው ህጋዊ አፕሊኬሽን እያስኬዱ ነው ብሎ እንዲያስብ የተሳሳተ መረጃን ይጨምራሉ። ነገር ግን፣ በኋላ እንደምናየው፣ ኢንፌክሽኑ የተጠቃሚዎችን መስተጋብር ካላሳተፈ (በዚህ ራንሰምዌር ላይ እንደሚታየው) አጥቂዎች ሜታዳታን መጠቀም አስፈላጊ እንደሆነ አድርገው አይቆጥሩትም።
ሩዝ. 6፡ የናሙና ሜታ ውሂብ
ናሙናው በሁለቱም 32-ቢት እና 32-ቢት ሲስተሞች ላይ እንዲሰራ በ64-ቢት ቅርጸት ተሰብስቧል።
3. የፔኔትሽን ቬክተር
Ryuk ን የሚያወርድ እና የሚያስኬድ ናሙና ወደ ስርዓታችን የገባው በርቀት ግንኙነት ሲሆን የመዳረሻ መለኪያዎች የተገኙት በቅድመ RDP ጥቃት ነው።
ሩዝ. 7፡ የጥቃት መዝገብ
አጥቂው በርቀት ወደ ስርዓቱ መግባት ችሏል። ከዚያ በኋላ, ከእኛ ናሙና ጋር ሊተገበር የሚችል ፋይል ፈጠረ.
ይህ ሊተገበር የሚችል ፋይል ከመሮጡ በፊት በጸረ-ቫይረስ መፍትሄ ታግዷል።
ሩዝ. 8፡ የስርዓተ ጥለት መቆለፊያ
ሩዝ. 9፡ የስርዓተ ጥለት መቆለፊያ
ተንኮል አዘል ፋይሉ ሲታገድ አጥቂው የተመሰጠረውን የሚፈፀመውን ፋይል ለማውረድ ሞክሯል፣ እሱም እንዲሁ ታግዷል።
ሩዝ. 10: አጥቂው ለመሮጥ የሞከረ ናሙናዎች ስብስብ
በመጨረሻም ሌላ ተንኮል አዘል ፋይል በተመሰጠረ ኮንሶል ለማውረድ ሞክሯል።
የጸረ-ቫይረስ ጥበቃን ለማለፍ PowerShell። ግን እሱ ደግሞ ታግዷል.
ሩዝ. 11፡ PowerShell ከተንኮል አዘል ይዘት ጋር ታግዷል
ሩዝ. 12፡ PowerShell ከተንኮል አዘል ይዘት ጋር ታግዷል
4. ጫኝ
ሲሰራ የReadMe ፋይል ወደ ማህደሩ ይጽፋል % temp%, ይህም ለ Ryuk የተለመደ ነው. ይህ ፋይል በዚህ ማልዌር ቤተሰብ ውስጥ በጣም የተለመደ በሆነው በፕሮቶንሜል ጎራ ውስጥ የኢሜይል አድራሻን የያዘ ቤዛ ማስታወሻ ነው። [ኢሜል የተጠበቀ]
ሩዝ. 13: ቤዛ ፍላጎት
ቡት ጫኚው እየሄደ እያለ ብዙ ሊተገበሩ የሚችሉ ፋይሎችን በዘፈቀደ ስሞች እንደጀመረ ማየት ይችላሉ። እነሱ በተደበቀ አቃፊ ውስጥ ይቀመጣሉ የሕትመት ውጤቶች, ነገር ግን አማራጩ በስርዓተ ክወናው ውስጥ የማይሰራ ከሆነ "የተደበቁ ፋይሎችን እና አቃፊዎችን አሳይ", ከዚያም ተደብቀው ይቆያሉ. ከዚህም በላይ እነዚህ ፋይሎች ከወላጅ ፋይል በተለየ 64-ቢት ናቸው, እሱም 32-ቢት.
ሩዝ. 14: በናሙና ተጀምሯል ሊተገበሩ የሚችሉ ፋይሎች
ከላይ በምስሉ ላይ እንደሚታየው Ryuk iacls.exe ን ይጀምራል፣ ሁሉንም ACLs (የመዳረሻ መቆጣጠሪያ ዝርዝሮችን) ለማሻሻል ይጠቅማል፣ በዚህም ባንዲራዎችን መድረስ እና ማሻሻልን ያረጋግጣል።
ስህተቶች (/C) እና ምንም አይነት መልእክት (/Q) ሳያሳዩ በመሳሪያው ላይ (/T) ላይ ያሉትን ሁሉንም ፋይሎች በሁሉም ተጠቃሚዎች ስር ሙሉ መዳረሻ ያገኛል።
ሩዝ. 15፡ የ iacls.exe አፈጻጸም መለኪያዎች በናሙና ተጀምረዋል።
Ryuk የትኛውን የዊንዶውስ ስሪት እየሰራህ እንደሆነ እንደሚፈትሽ ልብ ማለት ያስፈልጋል። ለዚህም እሱ
በመጠቀም የስሪት ፍተሻን ያከናውናል። GetVersionExWየባንዲራውን ዋጋ የሚፈትሽበት lpVersion መረጃየአሁኑ የዊንዶውስ ስሪት አዲስ መሆኑን ወይም አለመሆኑን ያሳያል ለ Windows XP.
ከዊንዶውስ ኤክስፒ በኋላ ስሪት እየሰሩ እንደሆነ ላይ በመመስረት የማስነሻ ጫኚው ወደ አካባቢያዊ የተጠቃሚ አቃፊ ይጽፋል - በዚህ ሁኔታ ወደ አቃፊው ይጽፋል % ይፋዊ%.
ሩዝ. 17: የስርዓተ ክወናውን ስሪት በመፈተሽ ላይ
እየተፃፈ ያለው ፋይል Ryuk ነው። ከዚያም የራሱን አድራሻ እንደ መለኪያ በማለፍ ያካሂዳል.
ሩዝ. 18: Ryuk በ ShellExecute በኩል ያስፈጽሙ
Ryuk የሚያደርገው የመጀመሪያው ነገር የግቤት መለኪያዎችን መቀበል ነው. በዚህ ጊዜ የእራሱን ዱካዎች ለማስወገድ የሚያገለግሉ ሁለት የግቤት መለኪያዎች (ተፈፃሚው ራሱ እና ጠብታ አድራሻ) አሉ።
ሩዝ. 19: ሂደት መፍጠር
executablesን አንዴ ካሄደ እራሱን ይሰርዛል፣በዚህም በተፈፀመበት አቃፊ ውስጥ የእራሱን መገኘት ምንም ፍንጭ እንደማይተው ማየት ይችላሉ።
ሩዝ. 20፡ ፋይልን በመሰረዝ ላይ
5. RYUK
5.1 መገኘት
Ryuk እንደሌሎች ማልዌር በተቻለ መጠን በስርዓቱ ላይ ለመቆየት ይሞክራል። ከላይ እንደሚታየው ይህንን ግብ ለማሳካት አንዱ መንገድ ተፈጻሚ የሆኑ ፋይሎችን በድብቅ መፍጠር እና ማስኬድ ነው። ይህንን ለማድረግ በጣም የተለመደው አሰራር የመመዝገቢያ ቁልፍን መቀየር ነው CurrentVersionRun.
በዚህ አጋጣሚ, ለዚህ ዓላማ የሚነሳውን የመጀመሪያ ፋይል ማየት ይችላሉ VWjRF.exe
(የፋይል ስም በዘፈቀደ የተፈጠረ ነው) ይጀምራል Cmd.exe.
ሩዝ. 21: VWjRF.exe በማስፈጸም ላይ
ከዚያ ትዕዛዙን ያስገቡ ፍንጭ በስም"svchos". ስለዚህ በማንኛውም ጊዜ የመመዝገቢያ ቁልፎችን ለመፈተሽ ከፈለጉ, የዚህን ስም ተመሳሳይነት ከ svchost ጋር በማያያዝ በቀላሉ ይህንን ለውጥ ሊያመልጡ ይችላሉ. ለዚህ ቁልፍ ምስጋና ይግባውና Ryuk በሲስተሙ ውስጥ መኖሩን ያረጋግጣል. ስርዓቱ ከሌለው. ገና ተበክሏል፣ ከዚያ ስርዓቱን ዳግም ሲያስነሱ፣ ፈጻሚው እንደገና ይሞክራል።
ሩዝ. 22: ናሙናው በመመዝገቢያ ቁልፍ ውስጥ መኖሩን ያረጋግጣል
ይህ ተፈጻሚነት ሁለት አገልግሎቶችን እንደሚያቆምም ማየት እንችላለን፡-
"ኦዲዮኢንድ ነጥብ ገንቢስሙ እንደሚያመለክተው ከስርዓት ኦዲዮ ጋር ይዛመዳል ፣
ሩዝ. 23፡ ናሙና የሲስተሙን የድምጽ አገልግሎት ያቆማል
и ሳምስ, ይህም የመለያ አስተዳደር አገልግሎት ነው. እነዚህን ሁለት አገልግሎቶች ማቆም የሪዩክ ባህሪ ነው። በዚህ አጋጣሚ ስርዓቱ ከSIEM ስርዓት ጋር የተገናኘ ከሆነ ራንሰምዌር ወደ መላክ ለማቆም ይሞክራል። ማንኛውም ማስጠንቀቂያዎች. በዚህ መንገድ, አንዳንድ የ SAM አገልግሎቶች Ryuk ን ከፈጸሙ በኋላ ሥራቸውን በትክክል መጀመር ስለማይችሉ ቀጣይ እርምጃዎችን ይጠብቃል.
ሩዝ. 24፡ ናሙና የሳምስ አገልግሎትን ያቆማል
5.2 ልዩ መብቶች
በአጠቃላይ፣ Ryuk በአውታረ መረቡ ውስጥ ወደ ጎን በመንቀሳቀስ ይጀምራል ወይም እንደ ሌላ ማልዌር ይጀምራል ወይም የልዩነት መስፋፋት በሚከሰትበት ጊዜ እነዚህን ከፍ ያሉ መብቶችን ወደ ቤዛውዌር ያስተላልፋል።
ቀደም ሲል ለትግበራው ሂደት እንደ ቅድመ ሁኔታ, ሂደቱን ሲያከናውን እናያለን ራስን አስመስሎ, ይህም ማለት የመዳረሻ ማስመሰያው የደህንነት ይዘቶች ወደ ዥረቱ ይተላለፋሉ, ወዲያውኑ ተጠቅመው ይመለሳሉ. GetCurrentThread.
ሩዝ. 25፡ እራሱን አስመሳይ ይደውሉ
ከዚያ የመዳረሻ ቶከንን ከክር ጋር እንደሚያያይዘው እናያለን። ከባንዲራዎቹ አንዱ እንደሆነም እናያለን። ተፈላጊ መዳረሻ, ይህም ክር የሚኖረውን መዳረሻ ለመቆጣጠር ሊያገለግል ይችላል. በዚህ አጋጣሚ edx የሚቀበለው ዋጋ መሆን አለበት TOKEN_ALL_ACESS ወይም አለበለዚያ - TOKEN_ጻፍ.
ሩዝ. 26: ፍሰት ማስመሰያ መፍጠር
ከዚያም ይጠቀማል ሴዴቡግ ልዩ መብት እና በክሩ ላይ የማረም ፈቃዶችን ለማግኘት ጥሪ ያደርጋል፣ በዚህም ምክንያት ሂደት_ሁሉም_ACCESS, ማንኛውንም አስፈላጊ ሂደት መድረስ ይችላል. አሁን፣ ኢንክሪፕተሩ አስቀድሞ የተዘጋጀ ዥረት ስላለው፣ የቀረው ወደ መጨረሻው ደረጃ መቀጠል ነው።
ሩዝ. 27፡ ለSeDebugPrivilege እና የልዩነት ማሳደግ ተግባር መደወል
በአንድ በኩል፣ ማሳደግ ስለምንፈልገው ልዩ መብቶች አስፈላጊውን መረጃ የሚሰጠን LookupPrivilegeValueW አለን።
ሩዝ. 28፡ ስለ ልዩ መብት መሻሻል መረጃ ይጠይቁ
በሌላ በኩል ደግሞ አለን። ማስተካከያ ቶከን መብቶች, ይህም ለዥረታችን አስፈላጊ መብቶችን እንድናገኝ ያስችለናል. በዚህ ጉዳይ ላይ በጣም አስፈላጊው ነገር ነው ኒውስቴት, የማን ባንዲራ ልዩ መብቶችን ይሰጣል.
ሩዝ. 29፡ ለ ማስመሰያ ፈቃዶችን በማዘጋጀት ላይ
5.3 ትግበራ
በዚህ ክፍል ውስጥ ናሙናው ቀደም ሲል በዚህ ሪፖርት ውስጥ የተጠቀሰውን የትግበራ ሂደት እንዴት እንደሚፈጽም እናሳያለን.
የአተገባበር ሂደቱ ዋና ግብ እና ማሳደግ, መዳረሻ ማግኘት ነው ጥላ ቅጂዎች. ይህንን ለማድረግ ከአካባቢው ተጠቃሚ ከፍ ያለ መብቶች ካለው ክር ጋር መስራት ያስፈልገዋል. አንዴ እንደዚህ ያሉ ከፍ ያሉ መብቶችን ካገኘ በኋላ በስርዓተ ክወናው ውስጥ ወደ ቀድሞው የመመለሻ ነጥብ መመለስ የማይቻል ለማድረግ ቅጂዎችን ይሰርዛል እና በሌሎች ሂደቶች ላይ ለውጦችን ያደርጋል።
የዚህ አይነት ማልዌር እንደተለመደው ይጠቀማል የToolHelp32 ቅጽበተ ፎቶ ይፍጠሩስለዚህ አሁን እየሄዱ ያሉትን ሂደቶች ቅጽበታዊ ገጽ እይታ ወስዶ እነዚያን ሂደቶች ተጠቅሞ ለመድረስ ይሞክራል። ሂደት ክፈት. የሂደቱን መዳረሻ ካገኘ በኋላ የሂደቱን መለኪያዎች ለማግኘት ከመረጃው ጋር ማስመሰያ ይከፍታል።
ሩዝ. 30: ሂደቶችን ከኮምፒዩተር በማውጣት ላይ
CreateToolhelp140002Snapshotን በመጠቀም በመደበኛ 9D32C የአሂድ ሂደቶችን ዝርዝር እንዴት እንደሚያገኝ በተለዋዋጭ ሁኔታ ማየት እንችላለን። እነሱን ከተቀበለ በኋላ በዝርዝሩ ውስጥ ያልፋል, እስኪሳካ ድረስ OpenProcess ን በመጠቀም ሂደቶችን አንድ በአንድ ለመክፈት ይሞክራል. በዚህ ሁኔታ, ለመክፈት የቻለው የመጀመሪያው ሂደት ነበር "taskhost.exe".
ሩዝ. 31፡ ሂደትን ለማግኘት በተለዋዋጭ መንገድ ያስፈጽሙ
በመቀጠል የሂደቱን ማስመሰያ መረጃ እንደሚያነብ እናያለን፣ ስለዚህ ይጠራል OpenProcessToken ከመለኪያ ጋር"20008"
ሩዝ. 32: የሂደት ማስመሰያ መረጃን ያንብቡ
በተጨማሪም የሚወጋበት ሂደት አለመኖሩን ያረጋግጣል csrss.exe, Explorer.exe፣ lsaas.exe ወይም እሱ የመብቶች ስብስብ እንዳለው የአኪ ስልጣን.
ሩዝ. 33: ያልተካተቱ ሂደቶች
በ ውስጥ ያለውን የሂደት ማስመሰያ መረጃ በመጠቀም ቼኩን በመጀመሪያ እንዴት እንደሚያከናውን በተለዋዋጭ ሁኔታ ማየት እንችላለን 140002D9ሲ ሂደትን ለማስፈጸም መብቱ ጥቅም ላይ የሚውለው መለያ መለያ መሆኑን ወይም አለመሆኑን ለማወቅ አዲስ ስልጣን.
ሩዝ. 34፡ የአዲስ ስልጣን ማረጋገጫ
እና በኋላ, ከሂደቱ ውጭ, ይህ እንዳልሆነ ይፈትሻል csrss.exe፣ Explorer.exe ወይም lsaas.exe.
ሩዝ. 35፡ የአዲስ ስልጣን ማረጋገጫ
የሂደቶቹን ቅጽበታዊ ገጽ እይታ ከወሰደ በኋላ ሂደቶቹን ከፈተ እና አንዳቸውም እንዳልተካተቱ ካረጋገጠ በኋላ የሚወጉትን ሂደቶች ለማስታወስ ዝግጁ ነው።
ይህንን ለማድረግ በመጀመሪያ የማስታወሻ ቦታን ያስቀምጣል (VirtualAllocEx()) ውስጥ ይጽፋልየሂደት ትውስታን ፃፍ) እና ክር ይፈጥራል (የርቀት ክር ይፍጠሩ). ከነዚህ ተግባራት ጋር ለመስራት, ከዚህ ቀደም ተጠቅሞ ያገኘውን የተመረጡ ሂደቶችን ፒአይዶች ይጠቀማል የToolhelp32 ቅጽበታዊ ገጽ እይታ ይፍጠሩ.
ሩዝ. 36፡ ኮድ መክተት
እዚህ PID ተግባሩን ለመጥራት እንዴት እንደሚጠቀም በተለዋዋጭ ሁኔታ መመልከት እንችላለን VirtualAllocEx.
ሩዝ. 37: VirtualAllocEx ይደውሉ
5.4 ምስጠራ
በዚህ ክፍል ውስጥ የዚህን ናሙና ምስጠራ ክፍል እንመለከታለን. በሚከተለው ሥዕል ላይ "" የሚባሉ ሁለት ንዑስ ክፍሎችን ማየት ይችላሉ.LoadLibrary_EncodeString"እና"ኢንኮድ_ፈንክ", የማመስጠር ሂደቱን የማከናወን ኃላፊነት ያለባቸው.
ሩዝ. 38: የምስጠራ ሂደቶች
መጀመሪያ ላይ እንዴት እንደሚጭን ማየት እንችላለን በኋላ ላይ የሚፈለጉትን ነገሮች በሙሉ ለማንፀባረቅ የሚያገለግል: ከውጭ, DLLs, ትዕዛዞች, ፋይሎች እና ሲኤስፒዎች.
ሩዝ. 39: Deobfuscation የወረዳ
የሚከተለው ምስል በመዝገብ R4 ውስጥ የመጀመሪያውን ከውጭ የሚያስመጣውን ያሳያል። ጫን ቤተ -መጽሐፍት. ይህ በኋላ የሚያስፈልጉትን DLLs ለመጫን ስራ ላይ ይውላል። እንዲሁም በመዝገብ R12 ውስጥ ሌላ መስመር ማየት እንችላለን, እሱም ከቀደመው መስመር ጋር ግልጽ ማድረጊያን ለማከናወን ጥቅም ላይ ይውላል.
ሩዝ. 40፡ ተለዋዋጭ ግልጽ ማድረጊያ
ምትኬዎችን ለማሰናከል፣ ነጥቦችን ወደነበረበት ለመመለስ እና ደህንነቱ የተጠበቀ የማስነሻ ሁነታዎችን ለማድረግ በኋላ ላይ የሚሰራባቸውን ትዕዛዞችን ማውረድ ይቀጥላል።
ሩዝ. 41፡ ትዕዛዞችን በመጫን ላይ
ከዚያም 3 ፋይሎችን የሚጥልበትን ቦታ ይጭናል. Windows.bat, run.sct и ጀምር.ባት.
ሩዝ. 42: የፋይል ቦታዎች
እነዚህ 3 ፋይሎች እያንዳንዱ ቦታ ያላቸውን ልዩ መብቶች ለመፈተሽ ያገለግላሉ። የሚፈለጉት ልዩ መብቶች ከሌሉ፣ Ryuk መፈጸሙን ያቆማል።
ከሶስቱ ፋይሎች ጋር የሚዛመዱ መስመሮችን መጫን ይቀጥላል. አንደኛ, DECRYPT_INFORMATION.html, ፋይሎችን መልሶ ለማግኘት አስፈላጊ መረጃ ይዟል. ሁለተኛ, የሕትመት ውጤቶች፣ የ RSA የህዝብ ቁልፍ ይዟል።
ሩዝ. 43: መስመር DECRYPT INFORMATION.html
ሶስተኛ, UNIQUE_ID_አታስወግድ, ምስጠራውን ለማከናወን በሚቀጥለው መደበኛ ስራ ላይ የሚውል የተመሰጠረ ቁልፍ ይዟል.
ሩዝ. 44፡ ልዩ መስመር አይወገድም።
በመጨረሻም፣ የሚፈለጉትን ቤተ-መጻሕፍት ከሚያስፈልጉት ማስመጣቶች እና ሲኤስፒዎች ጋር ያወርዳል (የማይክሮሶፍት የተሻሻለ RSA и AES ክሪፕቶግራፊክ አቅራቢ).
ሩዝ. 45፡ ቤተ መፃህፍትን በመጫን ላይ
ሁሉም ግልጽ ማድረጊያ ከተጠናቀቀ በኋላ ለማመስጠር የሚያስፈልጉትን ተግባራት ማከናወን ይቀጥላል-ሁሉንም ሎጂካዊ አንፃፊዎችን መቁጠር ፣ በቀድሞው መደበኛ ተግባር ውስጥ የተጫኑትን መፈፀም ፣ በስርዓቱ ውስጥ መገኘቱን ማጠናከር ፣ የ RyukReadMe.html ፋይልን መወርወር ፣ ምስጠራ ፣ ሁሉንም የአውታረ መረብ ድራይቭ መቁጠር። ፣ ወደተገኙ መሳሪያዎች እና ምስጠራቸው ሽግግር።
ሁሉም የሚጀምረው በመጫን ነው"Cmd.exe"እና RSA የህዝብ ቁልፍ መዝገቦች።
ሩዝ. 46፡ ለማመስጠር በመዘጋጀት ላይ
ከዚያ ሁሉንም ሎጂካዊ ድራይቮች በመጠቀም ያገኛል GetLogicalDrives እና ሁሉንም ምትኬዎችን ያሰናክላል, ነጥቦችን ወደነበሩበት መመለስ እና ደህንነቱ የተጠበቀ የማስነሻ ሁነታዎች.
ሩዝ. 47: የመልሶ ማግኛ መሳሪያዎችን በማጥፋት ላይ
ከዚያ በኋላ, ከላይ እንዳየነው በስርዓቱ ውስጥ መገኘቱን ያጠናክራል እና የመጀመሪያውን ፋይል ይጽፋል RyukReadMe.html в TEMP.
ሩዝ. 48፡ የቤዛ ማስታወቂያ በማተም ላይ
በሚከተለው ሥዕል ውስጥ ፋይልን እንዴት እንደሚፈጥር ፣ ይዘቱን እንደሚያወርድ እና እንደሚጽፍ ማየት ይችላሉ-
ሩዝ. 49፡ የፋይል ይዘቶችን በመጫን እና በመፃፍ ላይ
በሁሉም መሳሪያዎች ላይ ተመሳሳይ ድርጊቶችን ለማከናወን, ይጠቀማል
"iacls.exe", ከላይ እንዳሳየነው.
ሩዝ. 50:calcls.exe በመጠቀም
እና በመጨረሻም ከ "* .exe", "*.dll" ፋይሎች, የስርዓት ፋይሎች እና ሌሎች በተመሰጠረ ነጭ ዝርዝር መልክ ከተገለጹት ሌሎች ቦታዎች በስተቀር ፋይሎችን ማመስጠር ይጀምራል. ይህንን ለማድረግ ከውጭ የሚገቡትን ይጠቀማል፡- CryptAcquireContextW (የ AES እና RSA አጠቃቀም በተገለፀበት ቦታ) CryptDeriveKey፣ CryptGenKey, CryptDestroyKey ወዘተ. እንዲሁም WNetEnumResourceWን በመጠቀም ወደተገኙ የአውታረ መረብ መሳሪያዎች ተደራሽነቱን ለማራዘም እና ከዚያም ለማመስጠር ይሞክራል።
ሩዝ. 51፡ የስርዓት ፋይሎችን ማመስጠር
6. ከውጭ እና ተዛማጅ ባንዲራዎች
ከዚህ በታች በናሙናው ጥቅም ላይ የዋሉትን በጣም ተዛማጅነት ያላቸውን ከውጭ የሚመጡ ምርቶችን እና ባንዲራዎችን የሚዘረዝር ሠንጠረዥ አለ።
7. IOC
ማጣቀሻዎች
- ተጠቃሚዎች Publicrun.sct
- MenuProgramsStartupstart.bat AppDataRoamingMicrosoftWindowsStartን ጀምር
- MenuProgramsStartupstart.bat
በሪዩክ ራንሰምዌር ላይ ቴክኒካል ሪፖርት የተጠናቀረው ከፓንዳላብስ የፀረ-ቫይረስ ላብራቶሪ በመጡ ባለሙያዎች ነው።
8. ማገናኛዎች
1. “Everis y Prisa Radio sufren un grave ciberataque que secuestra sus sistemas።”https://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, Publicada el 04/11/2019.
2. “Un virus de Origen Ruso ataca a vitales empresses españolas” https://elpais.com/tecnologia/2019/11/04/actualidad/1572897654_251312.html፣ Publicada el 04/11/2019
3. “VB2019 ወረቀት፡ የሺኒጋሚ በቀል፡ የሪዩክ ማልዌር ረጅም ጅራት።” https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/፣ Publicada el 11 /12/2019
4. "ትልቅ ጨዋታ አደን ከሪዩክ ጋር፡ ሌላ LucrativebTargeted Ransomware."https://www. crowdstrike.com/blog/big-game-hunting-with-ryuk-ሌላ አትራፊ-ያነጣጠረ-ransomware/፣ Publicada el 10/01/2019።
5. “VB2019 ወረቀት፡ የሺኒጋሚ በቀል፡ የሪዩክ ማልዌር ረጅም ጅራት።” https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigamis-revenge-long-tail-r
ምንጭ: hab.com