🥇কিভাবে Ryuk ransomware কাজ করে, যা এন্টারপ্রাইজগুলিকে আক্রমণ করে

Ryuk গত কয়েক বছরে সবচেয়ে বিখ্যাত ransomware বিকল্পগুলির মধ্যে একটি। যেহেতু এটি প্রথম 2018 সালের গ্রীষ্মে প্রদর্শিত হয়েছিল, এটি সংগ্রহ করেছে ক্ষতিগ্রস্তদের চিত্তাকর্ষক তালিকাবিশেষ করে ব্যবসায়িক পরিবেশে, যা এর আক্রমণের প্রধান লক্ষ্য।

1. সাধারণ তথ্য

এই নথিতে Ryuk ransomware ভেরিয়েন্টের একটি বিশ্লেষণ রয়েছে, সেইসাথে সিস্টেমে ম্যালওয়্যার লোড করার জন্য দায়ী লোডার।

Ryuk ransomware প্রথম 2018 সালের গ্রীষ্মে উপস্থিত হয়েছিল। Ryuk এবং অন্যান্য ransomware এর মধ্যে পার্থক্যগুলির মধ্যে একটি হল এটি কর্পোরেট পরিবেশে আক্রমণ করার লক্ষ্যে।

2019 সালের মাঝামাঝি সময়ে, সাইবার অপরাধী গোষ্ঠী এই র্যানসমওয়্যার ব্যবহার করে বিপুল সংখ্যক স্প্যানিশ কোম্পানিতে আক্রমণ করেছিল।

ভাত। 1: Ryuk ransomware আক্রমণ সংক্রান্ত এল কনফিডেনশিয়াল থেকে উদ্ধৃতি [1]

ভাত। 2: Ryuk ransomware ব্যবহার করে সম্পাদিত একটি আক্রমণ সম্পর্কে এল পাইসের উদ্ধৃতি [2]
এই বছর, Ryuk বিভিন্ন দেশে একটি বড় সংখ্যক কোম্পানি আক্রমণ করেছে. আপনি নীচের পরিসংখ্যানে দেখতে পাচ্ছেন, জার্মানি, চীন, আলজেরিয়া এবং ভারত সবচেয়ে বেশি আঘাত পেয়েছিল।

সাইবার আক্রমণের সংখ্যা তুলনা করে, আমরা দেখতে পাচ্ছি যে Ryuk লক্ষ লক্ষ ব্যবহারকারীকে প্রভাবিত করেছে এবং বিপুল পরিমাণ ডেটার সাথে আপস করেছে, যার ফলে মারাত্মক অর্থনৈতিক ক্ষতি হয়েছে।

ভাত। 3: Ryuk এর বৈশ্বিক কার্যকলাপের চিত্র।

ভাত। 4: 16 টি দেশ Ryuk দ্বারা সবচেয়ে বেশি প্রভাবিত

ভাত। 5: Ryuk ransomware দ্বারা আক্রান্ত ব্যবহারকারীর সংখ্যা (লক্ষ লক্ষে)

এই ধরনের হুমকির স্বাভাবিক অপারেটিং নীতি অনুসারে, এই র্যানসমওয়্যার, এনক্রিপশন সম্পূর্ণ হওয়ার পরে, শিকারকে একটি মুক্তিপণ বিজ্ঞপ্তি দেখায় যা এনক্রিপ্ট করা ফাইলগুলিতে অ্যাক্সেস পুনরুদ্ধার করার জন্য নির্দিষ্ট ঠিকানায় বিটকয়েনে অর্থ প্রদান করতে হবে।

এই ম্যালওয়্যারটি প্রথম চালু হওয়ার পর থেকে পরিবর্তিত হয়েছে।
এই নথিতে বিশ্লেষণ করা এই হুমকির রূপটি জানুয়ারী 2020 সালে একটি আক্রমণের প্রচেষ্টার সময় আবিষ্কৃত হয়েছিল।

এর জটিলতার কারণে, এই ম্যালওয়্যারটি প্রায়শই সংগঠিত সাইবার অপরাধী গোষ্ঠীর জন্য দায়ী করা হয়, যা APT গ্রুপ নামেও পরিচিত।

Ryuk কোডের অংশে আরেকটি সুপরিচিত ransomware, Harmes এর কোড এবং কাঠামোর সাথে লক্ষণীয় মিল রয়েছে, যার সাথে তারা বেশ কয়েকটি অভিন্ন ফাংশন ভাগ করে। এই কারণেই Ryuk প্রাথমিকভাবে উত্তর কোরিয়ার গ্রুপ লাজারাসের সাথে যুক্ত ছিল, যা সেই সময়ে হার্মিস র্যানসমওয়্যারের পিছনে রয়েছে বলে সন্দেহ করা হয়েছিল।

ক্রাউডস্ট্রাইকের ফ্যালকন এক্স সার্ভিস পরবর্তীতে উল্লেখ করেছে যে রিউক আসলে উইজার্ড স্পাইডার গ্রুপ দ্বারা তৈরি করা হয়েছিল [৪]।

এই অনুমানের সমর্থনে কিছু প্রমাণ রয়েছে। প্রথমত, এই র‍্যানসমওয়্যারটির বিজ্ঞাপন exploit.in ওয়েবসাইটে দেওয়া হয়েছিল, যেটি একটি সুপরিচিত রাশিয়ান ম্যালওয়্যার মার্কেটপ্লেস এবং এর আগে কিছু রাশিয়ান APT গ্রুপের সাথে যুক্ত ছিল।
এই সত্যটি এই তত্ত্বটিকে বাতিল করে যে Ryuk লাজারাস এপিটি গ্রুপ দ্বারা তৈরি করা যেতে পারে, কারণ গ্রুপ যেভাবে কাজ করে তার সাথে এটা খাপ খায় না।

উপরন্তু, Ryuk একটি ransomware হিসাবে বিজ্ঞাপন দেওয়া হয়েছিল যা রাশিয়ান, ইউক্রেনীয় এবং বেলারুশিয়ান সিস্টেমে কাজ করবে না। এই আচরণটি Ryuk-এর কিছু সংস্করণে পাওয়া একটি বৈশিষ্ট্য দ্বারা নির্ধারিত হয়, যেখানে এটি র‍্যানসমওয়্যারটি যে সিস্টেমে চলছে সেটির ভাষা পরীক্ষা করে এবং যদি সিস্টেমটিতে রাশিয়ান, ইউক্রেনীয় বা বেলারুশিয়ান ভাষা থাকে তবে এটি চালানো বন্ধ করে দেয়। অবশেষে, উইজার্ড স্পাইডার টিম দ্বারা হ্যাক করা মেশিনটির একটি বিশেষজ্ঞ বিশ্লেষণে বেশ কয়েকটি "আর্টিফ্যাক্ট" প্রকাশ করা হয়েছে যেগুলি হার্মিস র্যানসমওয়্যারের একটি রূপ হিসাবে Ryuk-এর বিকাশে ব্যবহৃত হয়েছিল বলে অভিযোগ৷

অন্যদিকে, বিশেষজ্ঞ গ্যাব্রিয়েলা নিকোলাও এবং লুসিয়ানো মার্টিন্স পরামর্শ দিয়েছেন যে র্যানসমওয়্যারটি এপিটি গ্রুপ ক্রিপ্টোটেক দ্বারা তৈরি করা হতে পারে [৫]।
এটি এই সত্য থেকে অনুসরণ করে যে Ryuk এর উপস্থিতির কয়েক মাস আগে, এই গ্রুপটি একই সাইটের ফোরামে তথ্য পোস্ট করেছিল যে তারা হার্মিস র্যানসমওয়্যারের একটি নতুন সংস্করণ তৈরি করেছে।

বেশ কিছু ফোরাম ব্যবহারকারী প্রশ্ন করেছে যে CryptoTech আসলে Ryuk তৈরি করেছে কিনা। গোষ্ঠীটি তখন নিজেকে রক্ষা করেছিল এবং বলেছিল যে তাদের কাছে প্রমাণ রয়েছে যে তারা 100% র্যানসমওয়্যার তৈরি করেছে।

2. বৈশিষ্ট্য

আমরা বুটলোডার দিয়ে শুরু করি, যার কাজ হল এটি যে সিস্টেমটি চালু আছে তা সনাক্ত করা যাতে Ryuk ransomware এর "সঠিক" সংস্করণ চালু করা যায়।
বুটলোডার হ্যাশ নিম্নরূপ:

MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469

এই ডাউনলোডারটির একটি বৈশিষ্ট্য হল এতে কোনো মেটাডেটা নেই, যেমন এই ম্যালওয়্যারের নির্মাতারা এতে কোনো তথ্য অন্তর্ভুক্ত করেননি।

কখনও কখনও তারা ভুল তথ্য অন্তর্ভুক্ত করে যাতে ব্যবহারকারীকে প্রতারণা করা যায় যে তারা একটি বৈধ অ্যাপ্লিকেশন চালাচ্ছে। যাইহোক, আমরা পরে দেখব, যদি সংক্রমণ ব্যবহারকারীর মিথস্ক্রিয়াকে জড়িত না করে (যেমন এই র্যানসমওয়্যারের ক্ষেত্রে হয়), তাহলে আক্রমণকারীরা মেটাডেটা ব্যবহার করা প্রয়োজন মনে করে না।

ভাত। 6: নমুনা মেটা ডেটা

নমুনাটি 32-বিট বিন্যাসে সংকলিত হয়েছিল যাতে এটি 32-বিট এবং 64-বিট উভয় সিস্টেমে চলতে পারে।

3. অনুপ্রবেশ ভেক্টর

যে নমুনাটি Ryuk ডাউনলোড করে এবং চালায় তা একটি দূরবর্তী সংযোগের মাধ্যমে আমাদের সিস্টেমে প্রবেশ করেছে এবং অ্যাক্সেস প্যারামিটারগুলি একটি প্রাথমিক RDP আক্রমণের মাধ্যমে প্রাপ্ত হয়েছে৷

ভাত। 7: অ্যাটাক রেজিস্টার

আক্রমণকারী দূর থেকে সিস্টেমে লগ ইন করতে সক্ষম হয়। এর পরে, তিনি আমাদের নমুনা সহ একটি এক্সিকিউটেবল ফাইল তৈরি করেছিলেন।
এই এক্সিকিউটেবল ফাইলটি চালানোর আগে একটি অ্যান্টিভাইরাস সমাধান দ্বারা ব্লক করা হয়েছিল।

ভাত। 8: প্যাটার্ন লক

ভাত। 9: প্যাটার্ন লক

যখন দূষিত ফাইলটি ব্লক করা হয়েছিল, তখন আক্রমণকারী এক্সিকিউটেবল ফাইলের একটি এনক্রিপ্ট করা সংস্করণ ডাউনলোড করার চেষ্টা করেছিল, যেটিও ব্লক করা হয়েছিল।

ভাত। 10: নমুনার সেট যা আক্রমণকারী চালানোর চেষ্টা করেছিল

অবশেষে, তিনি এনক্রিপ্ট করা কনসোলের মাধ্যমে আরেকটি দূষিত ফাইল ডাউনলোড করার চেষ্টা করেছিলেন
অ্যান্টিভাইরাস সুরক্ষা বাইপাস করার জন্য পাওয়ারশেল। কিন্তু তাকেও অবরুদ্ধ করা হয়।

ভাত। 11: ক্ষতিকারক সামগ্রী সহ PowerShell ব্লক করা হয়েছে

ভাত। 12: ক্ষতিকারক সামগ্রী সহ PowerShell ব্লক করা হয়েছে

4. লোডার

যখন এটি কার্যকর হয়, এটি ফোল্ডারে একটি ReadMe ফাইল লেখে % টেম্প%, যা Ryuk এর জন্য সাধারণ। এই ফাইলটি একটি মুক্তিপণ নোট যাতে প্রোটনমেইল ডোমেনে একটি ইমেল ঠিকানা রয়েছে, যা এই ম্যালওয়্যার পরিবারে বেশ সাধারণ: [ইমেল সুরক্ষিত]

ভাত। 13: মুক্তিপণ দাবি

যখন বুটলোডার চলছে, আপনি দেখতে পাচ্ছেন যে এটি র্যান্ডম নাম সহ বেশ কয়েকটি এক্সিকিউটেবল ফাইল চালু করে। এগুলি একটি লুকানো ফোল্ডারে সংরক্ষণ করা হয় পাবলিক, কিন্তু বিকল্পটি অপারেটিং সিস্টেমে সক্রিয় না থাকলে "লুকানো ফাইল ও ফোল্ডারগুলি দেখাও", তাহলে তারা লুকিয়ে থাকবে। তাছাড়া, এই ফাইলগুলি 64-বিট, প্যারেন্ট ফাইলের বিপরীতে, যা 32-বিট।

ভাত। 14: এক্সিকিউটেবল ফাইল নমুনা দ্বারা চালু করা হয়েছে

আপনি উপরের ছবিতে দেখতে পাচ্ছেন, Ryuk icacls.exe চালু করেছে, যা সমস্ত ACL (অ্যাক্সেস কন্ট্রোল তালিকা) সংশোধন করতে ব্যবহার করা হবে, এইভাবে পতাকাগুলির অ্যাক্সেস এবং পরিবর্তন নিশ্চিত করা হবে।

ত্রুটি (/C) নির্বিশেষে এবং কোনো বার্তা (/Q) না দেখিয়েই এটি ডিভাইসের (/T) সমস্ত ফাইলে সমস্ত ব্যবহারকারীর অধীনে সম্পূর্ণ অ্যাক্সেস পায়।

ভাত। 15: নমুনা দ্বারা icacls.exe এর এক্সিকিউশন প্যারামিটার চালু করা হয়েছে

এটি লক্ষ করা গুরুত্বপূর্ণ যে Ryuk আপনি উইন্ডোজের কোন সংস্করণটি চালাচ্ছেন তা পরীক্ষা করে। এ জন্য তিনি
ব্যবহার করে একটি সংস্করণ পরীক্ষা করে GetVersionExW, যাতে এটি পতাকার মান পরীক্ষা করে এলপি সংস্করণ তথ্যউইন্ডোজের বর্তমান সংস্করণ এর চেয়ে নতুন কিনা তা নির্দেশ করে উইন্ডোজ এক্সপি.

আপনি Windows XP-এর পরে একটি সংস্করণ চালাচ্ছেন কিনা তার উপর নির্ভর করে, বুট লোডার স্থানীয় ব্যবহারকারী ফোল্ডারে লিখবে - এই ক্ষেত্রে ফোল্ডারে %পাবলিক%.

ভাত। 17: অপারেটিং সিস্টেম সংস্করণ পরীক্ষা করা হচ্ছে

যে ফাইলটি লেখা হচ্ছে তা হল Ryuk. এটি তারপর এটি চালায়, একটি প্যারামিটার হিসাবে তার নিজস্ব ঠিকানা পাস করে।

ভাত। 18: ShellExecute এর মাধ্যমে Ryuk কার্যকর করা

Ryuk প্রথম জিনিসটি ইনপুট পরামিতি গ্রহণ করে। এই সময় দুটি ইনপুট পরামিতি রয়েছে (এক্সিকিউটেবল নিজেই এবং ড্রপার অ্যাড্রেস) যা এর নিজস্ব ট্রেস মুছে ফেলার জন্য ব্যবহৃত হয়।

ভাত। 19: একটি প্রক্রিয়া তৈরি করা

আপনি এটিও দেখতে পারেন যে এটি একবার তার এক্সিকিউটেবলগুলি চালানোর পরে, এটি নিজেই মুছে ফেলে, এইভাবে যে ফোল্ডারে এটি কার্যকর করা হয়েছিল সেখানে তার নিজস্ব উপস্থিতির কোনও চিহ্ন অবশিষ্ট থাকে না।

ভাত। 20: একটি ফাইল মুছে ফেলা হচ্ছে

5. RYUK

5.1 উপস্থিতি
Ryuk, অন্যান্য ম্যালওয়ারের মতো, যতক্ষণ সম্ভব সিস্টেমে থাকার চেষ্টা করে। উপরে দেখানো হিসাবে, এই লক্ষ্য অর্জনের একটি উপায় হল গোপনে এক্সিকিউটেবল ফাইল তৈরি করা এবং চালানো। এটি করার জন্য, সবচেয়ে সাধারণ অনুশীলন হল রেজিস্ট্রি কী পরিবর্তন করা কারেন্ট ভার্সনরুন.
এই ক্ষেত্রে, আপনি দেখতে পারেন যে এই উদ্দেশ্যে প্রথম ফাইলটি চালু করা হবে VWjRF.exe
(ফাইলের নাম এলোমেলোভাবে তৈরি করা হয়) লঞ্চ হয় cmd.exe.

ভাত। 21: VWjRF.exe কার্যকর করা হচ্ছে

তারপর কমান্ড লিখুন চালান নামের সাথে"svchos"। এইভাবে, আপনি যদি যেকোন সময় রেজিস্ট্রি কীগুলি পরীক্ষা করতে চান, আপনি সহজেই এই পরিবর্তনটি মিস করতে পারেন, svchost-এর সাথে এই নামের সাদৃশ্য রয়েছে৷ এই কীটির জন্য ধন্যবাদ, Ryuk সিস্টেমে এর উপস্থিতি নিশ্চিত করে৷ যদি সিস্টেমটি না থাকে এখনও সংক্রমিত হয়েছে, তারপর আপনি যখন সিস্টেম রিবুট করবেন, এক্সিকিউটেবল আবার চেষ্টা করবে।

ভাত। 22: নমুনা রেজিস্ট্রি কী-তে উপস্থিতি নিশ্চিত করে

আমরা আরও দেখতে পারি যে এই এক্সিকিউটেবল দুটি পরিষেবা বন্ধ করে দেয়:
"audioendpointbuilder", যা, এর নাম অনুসারে, সিস্টেম অডিওর সাথে মিলে যায়,

ভাত। 23: নমুনা সিস্টেম অডিও পরিষেবা বন্ধ করে দেয়

и সামস, যা একটি অ্যাকাউন্ট ব্যবস্থাপনা পরিষেবা। এই দুটি পরিষেবা বন্ধ করা Ryuk এর একটি বৈশিষ্ট্য। এই ক্ষেত্রে, যদি সিস্টেমটি একটি SIEM সিস্টেমের সাথে সংযুক্ত থাকে, তাহলে ransomware এটি পাঠানো বন্ধ করার চেষ্টা করে সিয়েম কোনো সতর্কতা। এইভাবে, তিনি তার পরবর্তী পদক্ষেপগুলি রক্ষা করেন কারণ কিছু SAM পরিষেবা Ryuk কার্যকর করার পরে সঠিকভাবে তাদের কাজ শুরু করতে সক্ষম হবে না।

ভাত। 24: নমুনা Samss পরিষেবা বন্ধ করে দেয়

5.2 বিশেষাধিকার

সাধারণভাবে বলতে গেলে, Ryuk নেটওয়ার্কের মধ্যে পাশ্ববর্তীভাবে সরানোর মাধ্যমে শুরু হয় বা এটি অন্য ম্যালওয়ার দ্বারা চালু হয় যেমন ইমোশনস বা Trickbot, যা, বিশেষাধিকার বৃদ্ধির ক্ষেত্রে, এই উন্নত অধিকারগুলি ransomware-এ স্থানান্তর করে।

আগেই, বাস্তবায়ন প্রক্রিয়ার পূর্বসূচী হিসাবে, আমরা তাকে প্রক্রিয়াটি সম্পাদন করতে দেখি নিজেকে ছদ্মবেশী করা, যার অর্থ হল অ্যাক্সেস টোকেনের নিরাপত্তা বিষয়বস্তু স্ট্রীমে পাঠানো হবে, যেখানে এটি ব্যবহার করে অবিলম্বে পুনরুদ্ধার করা হবে GetCurrentThread.

ভাত। 25: ছদ্মবেশী নিজেকে কল করুন

আমরা তখন দেখতে পাই যে এটি একটি থ্রেডের সাথে একটি অ্যাক্সেস টোকেন যুক্ত করবে। আমরা পতাকা যে এক কাঙ্খিত অ্যাক্সেস, যা থ্রেডের অ্যাক্সেস নিয়ন্ত্রণ করতে ব্যবহার করা যেতে পারে। এই ক্ষেত্রে edx যে মানটি গ্রহণ করবে তা হওয়া উচিত TOKEN_ALL_ACESS অথবা অন্যটি - TOKEN_WRITE.

ভাত। 26: একটি ফ্লো টোকেন তৈরি করা

তাহলে সে ব্যবহার করবে SeDebug Privilege এবং থ্রেডে ডিবাগ অনুমতি পাওয়ার জন্য একটি কল করবে, যার ফলে PROCESS_ALL_ACCESS, তিনি যেকোনো প্রয়োজনীয় প্রক্রিয়া অ্যাক্সেস করতে সক্ষম হবেন। এখন, প্রদত্ত যে এনক্রিপ্টারের ইতিমধ্যেই একটি প্রস্তুত প্রবাহ রয়েছে, যা অবশিষ্ট থাকে তা হল চূড়ান্ত পর্যায়ে এগিয়ে যাওয়া।

ভাত। 27: কলিং SeDebugPrivilege এবং Privilege Escalation ফাংশন

একদিকে, আমাদের রয়েছে LookupPrivilegeValueW, যেটি আমাদেরকে আমরা যে সুযোগ-সুবিধা বাড়াতে চাই সে সম্পর্কে প্রয়োজনীয় তথ্য সরবরাহ করে।

ভাত। 28: বিশেষাধিকার বৃদ্ধির জন্য বিশেষাধিকার সম্পর্কে তথ্যের জন্য অনুরোধ করুন

অন্যদিকে, আমাদের আছে টোকেন বিশেষাধিকার সামঞ্জস্য করুন, যা আমাদের আমাদের প্রবাহের প্রয়োজনীয় অধিকার পেতে দেয়। এই ক্ষেত্রে, সবচেয়ে গুরুত্বপূর্ণ বিষয় হল নিউস্টেট, যার পতাকা বিশেষাধিকার প্রদান করবে।

ভাত। 29: একটি টোকেনের জন্য অনুমতি সেট আপ করা

5.3 বাস্তবায়ন

এই বিভাগে, আমরা দেখাব কিভাবে নমুনাটি পূর্বে এই প্রতিবেদনে উল্লিখিত বাস্তবায়ন প্রক্রিয়া সম্পাদন করে।

বাস্তবায়ন প্রক্রিয়ার মূল লক্ষ্য, সেইসাথে বৃদ্ধি, অ্যাক্সেস লাভ করা ছায়া কপি. এটি করার জন্য, তাকে স্থানীয় ব্যবহারকারীর চেয়ে বেশি অধিকার সহ একটি থ্রেড নিয়ে কাজ করতে হবে। একবার এটি এই ধরনের উন্নত অধিকার অর্জন করলে, এটি কপিগুলি মুছে ফেলবে এবং অপারেটিং সিস্টেমের পূর্ববর্তী পুনরুদ্ধার পয়েন্টে ফিরে আসা অসম্ভব করার জন্য অন্যান্য প্রক্রিয়াগুলিতে পরিবর্তন করবে।

এই ধরনের ম্যালওয়্যারের সাথে সাধারণ হিসাবে এটি ব্যবহার করে CreateToolHelp32Snapshotতাই এটি বর্তমানে চলমান প্রক্রিয়াগুলির একটি স্ন্যাপশট নেয় এবং সেই প্রক্রিয়াগুলি ব্যবহার করে অ্যাক্সেস করার চেষ্টা করে ওপেনপ্রসেস. একবার এটি প্রক্রিয়াটিতে অ্যাক্সেস লাভ করলে, এটি প্রক্রিয়ার পরামিতিগুলি পেতে তার তথ্য সহ একটি টোকেনও খোলে।

ভাত। 30: কম্পিউটার থেকে প্রসেস পুনরুদ্ধার করা

CreateToolhelp140002Snapshot ব্যবহার করে এটি কিভাবে রুটিন 9D32C-তে চলমান প্রক্রিয়াগুলির তালিকা পায় তা আমরা গতিশীলভাবে দেখতে পারি। সেগুলি পাওয়ার পরে, তিনি সফল না হওয়া পর্যন্ত ওপেনপ্রসেস ব্যবহার করে একের পর এক প্রসেস খোলার চেষ্টা করে তালিকার মধ্য দিয়ে যান। এই ক্ষেত্রে, তিনি প্রথম প্রক্রিয়াটি খুলতে সক্ষম হন "taskhost.exe".

ভাত। 31: একটি প্রক্রিয়া পেতে গতিশীলভাবে একটি প্রক্রিয়া চালান

আমরা দেখতে পাচ্ছি যে এটি পরবর্তীতে প্রক্রিয়া টোকেন তথ্য পড়ে, তাই এটি কল করে OpenProcessToken প্যারামিটার সহ "20008"

ভাত। 32: প্রক্রিয়া টোকেন তথ্য পড়ুন

এটি পরীক্ষা করে যে এটি যে প্রক্রিয়ায় ইনজেকশন দেওয়া হবে তা নয় csrss.exe, explorer.exe, lsaas.exe অথবা তার অধিকারের একটি সেট আছে এনটি কর্তৃপক্ষ.

ভাত। 33: বর্জিত প্রক্রিয়া

আমরা গতিশীলভাবে দেখতে পারি কিভাবে এটি প্রথমে প্রক্রিয়া টোকেন তথ্য ব্যবহার করে চেকটি সম্পাদন করে 140002D9C যে অ্যাকাউন্টের অধিকার একটি প্রক্রিয়া চালানোর জন্য ব্যবহার করা হচ্ছে সেটি একটি অ্যাকাউন্ট কিনা তা খুঁজে বের করার জন্য এনটি কর্তৃপক্ষ.

ভাত। 34: এনটি অথোরিটি চেক

এবং পরে, পদ্ধতির বাইরে, তিনি পরীক্ষা করেন যে এটি নয় csrss.exe, explorer.exe বা lsaas.exe.

ভাত। 35: এনটি অথোরিটি চেক

একবার তিনি প্রক্রিয়াগুলির একটি স্ন্যাপশট নেওয়ার পরে, প্রসেসগুলি খুলেন এবং যাচাই করেন যে সেগুলির মধ্যে কোনওটিই বাদ দেওয়া হয়নি, তিনি যে প্রসেসগুলিকে ইনজেকশন দেওয়া হবে সেগুলি মেমরিতে লিখতে প্রস্তুত৷

এটি করার জন্য, এটি প্রথমে মেমরিতে একটি এলাকা সংরক্ষণ করে (ভার্চুয়ালঅ্যালোকএক্স), এতে লেখেন (WriteProcessmemory) এবং একটি থ্রেড তৈরি করে (রিমোট থ্রেড তৈরি করুন) এই ফাংশনগুলির সাথে কাজ করার জন্য, এটি নির্বাচিত প্রক্রিয়াগুলির পিআইডি ব্যবহার করে, যা এটি আগে ব্যবহার করে প্রাপ্ত হয়েছিল CreateToolhelp32Snapshot.

ভাত। 36: এম্বেড কোড

এখানে আমরা গতিশীলভাবে পর্যবেক্ষণ করতে পারি কিভাবে এটি ফাংশন কল করার জন্য প্রক্রিয়া PID ব্যবহার করে ভার্চুয়ালঅ্যালোকএক্স।

ভাত। 37: VirtualAllocEx কল করুন

5.4 এনক্রিপশন
এই বিভাগে, আমরা এই নমুনার এনক্রিপশন অংশটি দেখব। নিচের ছবিতে আপনি দুটি সাবরুটিন দেখতে পাচ্ছেন "LoadLibrary_EncodeString"এবং"Encode_Func", যা এনক্রিপশন পদ্ধতি সম্পাদনের জন্য দায়ী।

ভাত। 38: এনক্রিপশন পদ্ধতি

শুরুতে আমরা দেখতে পাচ্ছি কিভাবে এটি একটি স্ট্রিং লোড করে যা পরবর্তীতে প্রয়োজনীয় সবকিছু ডিঅফসকেট করতে ব্যবহার করা হবে: ইম্পোর্ট, ডিএলএল, কমান্ড, ফাইল এবং সিএসপি।

ভাত। 39: Deobfuscation সার্কিট

নিচের চিত্রটি প্রথম আমদানি দেখায় যা এটি রেজিস্টার R4-এ deobfuscates। লোডলিবারি. এটি পরে প্রয়োজনীয় DLL লোড করতে ব্যবহার করা হবে। আমরা রেজিস্টার R12-এ আরেকটি লাইনও দেখতে পাচ্ছি, যেটি ডিঅফসকেশন করার জন্য আগের লাইনের সাথে ব্যবহার করা হয়।

ভাত। 40: গতিশীল deobfuscation

এটি ব্যাকআপ নিষ্ক্রিয় করতে, পয়েন্ট পুনরুদ্ধার করতে এবং নিরাপদ বুট মোডগুলির জন্য পরবর্তীতে চালানো হবে এমন কমান্ডগুলি ডাউনলোড করা চালিয়ে যাচ্ছে।

ভাত। 41: কমান্ড লোড হচ্ছে

তারপরে এটি অবস্থানটি লোড করে যেখানে এটি 3টি ফাইল ড্রপ করবে: Windows.bat, run.sct и start.bat.

ভাত। 42: ফাইলের অবস্থান

এই 3টি ফাইল প্রতিটি অবস্থানের সুবিধাগুলি পরীক্ষা করতে ব্যবহৃত হয়। প্রয়োজনীয় সুযোগ-সুবিধা পাওয়া না গেলে, Ryuk মৃত্যুদন্ড বন্ধ করে দেয়।

এটি তিনটি ফাইলের সাথে সম্পর্কিত লাইনগুলি লোড করতে থাকে। প্রথম, DECRYPT_INFORMATION.html, ফাইল পুনরুদ্ধার করার জন্য প্রয়োজনীয় তথ্য রয়েছে। দ্বিতীয়, পাবলিক, RSA পাবলিক কী ধারণ করে।

ভাত। 43: লাইন ডিক্রিপ্ট INFORMATION.html

তৃতীয়, UNIQUE_ID_DO_NOT_REMOVE, এনক্রিপ্ট করা কী রয়েছে যা পরবর্তী রুটিনে এনক্রিপশন সম্পাদন করতে ব্যবহার করা হবে।

ভাত। 44: লাইন ইউনিক আইডি মুছে ফেলবেন না

অবশেষে, এটি প্রয়োজনীয় আমদানি এবং CSPs সহ প্রয়োজনীয় লাইব্রেরি ডাউনলোড করে (মাইক্রোসফট উন্নত RSA и AES ক্রিপ্টোগ্রাফিক প্রদানকারী).

ভাত। 45: লাইব্রেরি লোড হচ্ছে

সমস্ত ডিঅফসকেশন সম্পন্ন হওয়ার পরে, এটি এনক্রিপশনের জন্য প্রয়োজনীয় ক্রিয়াগুলি সম্পাদন করতে এগিয়ে যায়: সমস্ত লজিক্যাল ড্রাইভের গণনা করা, আগের রুটিনে যা লোড করা হয়েছিল তা কার্যকর করা, সিস্টেমে উপস্থিতি শক্তিশালী করা, RyukReadMe.html ফাইল নিক্ষেপ করা, এনক্রিপশন, সমস্ত নেটওয়ার্ক ড্রাইভ গণনা করা , সনাক্ত করা ডিভাইসে স্থানান্তর এবং তাদের এনক্রিপশন।
এটা সব লোডিং দিয়ে শুরু হয়"cmd.exe" এবং RSA পাবলিক কী রেকর্ড।

ভাত। 46: এনক্রিপশনের জন্য প্রস্তুতি

তারপর এটি ব্যবহার করে সমস্ত লজিক্যাল ড্রাইভ পায় লজিক্যাল ড্রাইভস পান এবং সমস্ত ব্যাকআপ, পয়েন্ট পুনরুদ্ধার এবং নিরাপদ বুট মোড নিষ্ক্রিয় করে।

ভাত। 47: পুনরুদ্ধারের সরঞ্জাম নিষ্ক্রিয় করা

এর পরে, এটি সিস্টেমে তার উপস্থিতি শক্তিশালী করে, যেমনটি আমরা উপরে দেখেছি এবং প্রথম ফাইলটি লেখে RyukReadMe.html в টেম্প.

ভাত। 48: মুক্তিপণের নোটিশ প্রকাশ করা

নিচের ছবিতে আপনি দেখতে পাচ্ছেন কিভাবে এটি একটি ফাইল তৈরি করে, বিষয়বস্তু ডাউনলোড করে এবং লিখে:

ভাত। 49: ফাইলের বিষয়বস্তু লোড করা এবং লেখা

সমস্ত ডিভাইসে একই ক্রিয়া সম্পাদন করতে সক্ষম হওয়ার জন্য, তিনি ব্যবহার করেন
"icacls.exe", যেমন আমরা উপরে দেখিয়েছি।

ভাত। 50: icalcls.exe ব্যবহার করা

এবং অবশেষে, এটি "*.exe", "*.dll" ফাইল, সিস্টেম ফাইল এবং একটি এনক্রিপ্ট করা সাদা তালিকার আকারে নির্দিষ্ট করা অন্যান্য অবস্থানগুলি ছাড়া ফাইলগুলিকে এনক্রিপ্ট করা শুরু করে৷ এটি করার জন্য, এটি আমদানি ব্যবহার করে: CryptAcquireContextW (যেখানে AES এবং RSA ব্যবহার নির্দিষ্ট করা আছে), CryptDeriveKey, CryptGenKey, CryptDestroyKey ইত্যাদি এটি WNetEnumResourceW ব্যবহার করে আবিষ্কৃত নেটওয়ার্ক ডিভাইসগুলিতে তার নাগাল প্রসারিত করার চেষ্টা করে এবং তারপরে সেগুলিকে এনক্রিপ্ট করে।

ভাত। 51: সিস্টেম ফাইল এনক্রিপ্ট করা

6. আমদানি এবং সংশ্লিষ্ট পতাকা

নীচে নমুনা দ্বারা ব্যবহৃত সবচেয়ে প্রাসঙ্গিক আমদানি এবং পতাকাগুলির তালিকাভুক্ত একটি টেবিল রয়েছে:

7. আইওসি

রেফারেন্স

userPublicrun.sct
Start MenuProgramsStartupstart.bat AppDataRoamingMicrosoftWindowsStart
MenuProgramsStartupstart.bat

অ্যান্টিভাইরাস ল্যাবরেটরি PandaLabs-এর বিশেষজ্ঞরা Ryuk ransomware-এর উপর একটি প্রযুক্তিগত রিপোর্ট তৈরি করেছেন।

8. লিঙ্ক

1. “Everis y Prisa Radio sufren un grave ciberataque que secuestra sus sistemas.” https://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, Publicada el 04/11/2019।

2. "Un virus de origen ruso ataca a importantes empresas españolas." https://elpais.com/tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, Publicada el 04/11/2019.

3. "VB2019 কাগজ: Shinigami's revenge: the long tail of Ryuk malware." https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, Publicada el 11 /12/2019

4. "বিগ গেম হান্টিং উইথ রিউক: আরেকটি লাভজনক টার্গেটেড র্যানসমওয়্যার।" https://www. crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/, Publicada el 10/01/2019।

5. "VB2019 কাগজ: Shinigami's revenge: the long tail of Ryuk malware." https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigamis-revenge-long-tail-r

উত্স: www.habr.com

Ryuk ransomware কিভাবে কাজ করে, যা ব্যবসায় আক্রমণ করে