Ryuk ist eine der bekanntesten Ransomware-Optionen der letzten Jahre. Seit seinem ersten Erscheinen im Sommer 2018 hat es gesammelt , insbesondere im Geschäftsumfeld, das das Hauptziel seiner Angriffe ist.
1. Allgemeine Information
Dieses Dokument enthält eine Analyse der Ryuk-Ransomware-Variante sowie des Loaders, der für das Laden der Malware in das System verantwortlich ist.
Die Ryuk-Ransomware tauchte erstmals im Sommer 2018 auf. Einer der Unterschiede zwischen Ryuk und anderer Ransomware besteht darin, dass sie auf den Angriff auf Unternehmensumgebungen abzielt.
Mitte 2019 griffen Cyberkriminelle eine große Anzahl spanischer Unternehmen mit dieser Ransomware an.
Reis. 1: Auszug aus El Confidencial zum Ryuk-Ransomware-Angriff [1]
Reis. 2: Auszug aus El País über einen Angriff mit der Ransomware Ryuk [2]
In diesem Jahr hat Ryuk zahlreiche Unternehmen in verschiedenen Ländern angegriffen. Wie Sie in den folgenden Zahlen sehen können, waren Deutschland, China, Algerien und Indien am stärksten betroffen.
Wenn wir die Anzahl der Cyberangriffe vergleichen, können wir erkennen, dass Ryuk Millionen von Benutzern betroffen und riesige Datenmengen kompromittiert hat, was zu erheblichen wirtschaftlichen Verlusten geführt hat.
Reis. 3: Illustration von Ryuks globaler Aktivität.
Reis. 4: 16 Länder, die am stärksten von Ryuk betroffen sind
Reis. 5: Anzahl der von Ryuk-Ransomware angegriffenen Benutzer (in Millionen)
Gemäß dem üblichen Funktionsprinzip solcher Bedrohungen zeigt diese Ransomware dem Opfer nach Abschluss der Verschlüsselung eine Lösegeldbenachrichtigung an, die in Bitcoins an die angegebene Adresse gezahlt werden muss, um den Zugriff auf die verschlüsselten Dateien wiederherzustellen.
Diese Malware hat sich seit ihrer Einführung verändert.
Die in diesem Dokument analysierte Variante dieser Bedrohung wurde bei einem Angriffsversuch im Januar 2020 entdeckt.
Aufgrund ihrer Komplexität wird diese Malware häufig organisierten Cyberkriminellengruppen, auch APT-Gruppen genannt, zugeschrieben.
Ein Teil des Ryuk-Codes weist eine auffällige Ähnlichkeit mit dem Code und der Struktur einer anderen bekannten Ransomware, Hermes, auf, mit der sie eine Reihe identischer Funktionen teilen. Aus diesem Grund wurde Ryuk zunächst mit der nordkoreanischen Gruppe Lazarus in Verbindung gebracht, die damals im Verdacht stand, hinter der Hermes-Ransomware zu stecken.
Der Falcon X-Dienst von CrowdStrike stellte daraufhin fest, dass Ryuk tatsächlich von der WIZARD SPIDER-Gruppe erstellt wurde [4].
Es gibt einige Beweise, die diese Annahme stützen. Zunächst wurde diese Ransomware auf der Website Exploit.in beworben, einem bekannten russischen Malware-Marktplatz, der zuvor mit einigen russischen APT-Gruppen in Verbindung gebracht wurde.
Diese Tatsache schließt die Theorie aus, dass Ryuk von der Lazarus APT-Gruppe entwickelt worden sein könnte, weil Es passt nicht zur Arbeitsweise der Gruppe.
Darüber hinaus wurde Ryuk als Ransomware beworben, die auf russischen, ukrainischen und weißrussischen Systemen nicht funktioniert. Dieses Verhalten wird durch eine Funktion einiger Ryuk-Versionen bestimmt, bei der die Sprache des Systems überprüft wird, auf dem die Ransomware ausgeführt wird, und die Ausführung gestoppt wird, wenn das System über eine russische, ukrainische oder weißrussische Sprache verfügt. Schließlich ergab eine Expertenanalyse der vom WIZARD SPIDER-Team gehackten Maschine mehrere „Artefakte“, die angeblich bei der Entwicklung von Ryuk als Variante der Hermes-Ransomware verwendet wurden.
Andererseits vermuteten die Experten Gabriela Nicolao und Luciano Martins, dass die Ransomware möglicherweise von der APT-Gruppe CryptoTech entwickelt wurde [5].
Dies ergibt sich aus der Tatsache, dass diese Gruppe mehrere Monate vor dem Erscheinen von Ryuk im Forum derselben Website Informationen veröffentlichte, dass sie eine neue Version der Hermes-Ransomware entwickelt hatten.
Mehrere Forumbenutzer stellten die Frage, ob CryptoTech tatsächlich Ryuk erstellt hat. Die Gruppe verteidigte sich daraufhin und erklärte, sie habe Beweise dafür, dass sie 100 % der Ransomware entwickelt habe.
2. Eigenschaften
Wir beginnen mit dem Bootloader, dessen Aufgabe es ist, das System zu identifizieren, auf dem er sich befindet, damit die „richtige“ Version der Ryuk-Ransomware gestartet werden kann.
Der Bootloader-Hash lautet wie folgt:
MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469
Eines der Merkmale dieses Downloaders ist, dass er keine Metadaten enthält, d. h. Die Ersteller dieser Malware haben keine Informationen darin enthalten.
Manchmal enthalten sie fehlerhafte Daten, um den Benutzer zu der Annahme zu verleiten, dass er eine legitime Anwendung ausführt. Wie wir jedoch später sehen werden, halten Angreifer die Verwendung von Metadaten nicht für erforderlich, wenn die Infektion keine Benutzerinteraktion beinhaltet (wie es bei dieser Ransomware der Fall ist).
Reis. 6: Beispiel-Metadaten
Das Beispiel wurde im 32-Bit-Format kompiliert, sodass es sowohl auf 32-Bit- als auch auf 64-Bit-Systemen ausgeführt werden kann.
3. Penetrationsvektor
Das Beispiel, das Ryuk herunterlädt und ausführt, gelangte über eine Remote-Verbindung in unser System, und die Zugriffsparameter wurden durch einen vorläufigen RDP-Angriff erhalten.
Reis. 7: Angriffsregister
Dem Angreifer gelang es, sich aus der Ferne beim System anzumelden. Anschließend erstellte er eine ausführbare Datei mit unserem Beispiel.
Diese ausführbare Datei wurde vor der Ausführung von einer Antivirenlösung blockiert.
Reis. 8: Mustersperre
Reis. 9: Mustersperre
Als die Schaddatei blockiert wurde, versuchte der Angreifer, eine verschlüsselte Version der ausführbaren Datei herunterzuladen, die ebenfalls blockiert wurde.
Reis. 10: Satz von Beispielen, die der Angreifer ausführen wollte
Schließlich versuchte er, über die verschlüsselte Konsole eine weitere schädliche Datei herunterzuladen
PowerShell zur Umgehung des Virenschutzes. Aber er wurde auch blockiert.
Reis. 11: PowerShell mit blockiertem Schadinhalt
Reis. 12: PowerShell mit blockiertem Schadinhalt
4. Lader
Bei der Ausführung schreibt es eine ReadMe-Datei in den Ordner % Temp%, was typisch für Ryuk ist. Bei dieser Datei handelt es sich um eine Lösegeldforderung, die eine E-Mail-Adresse in der Protonmail-Domäne enthält, was in dieser Malware-Familie recht häufig vorkommt: [E-Mail geschützt]
Reis. 13: Lösegeldforderung
Während der Bootloader läuft, können Sie sehen, dass er mehrere ausführbare Dateien mit zufälligen Namen startet. Sie werden in einem versteckten Ordner gespeichert ÖFFENTLICHKEIT, aber wenn die Option im Betriebssystem nicht aktiv ist „Versteckte Dateien und Ordner anzeigen“, dann bleiben sie verborgen. Darüber hinaus sind diese Dateien 64-Bit, im Gegensatz zur übergeordneten Datei, die 32-Bit hat.
Reis. 14: Vom Beispiel gestartete ausführbare Dateien
Wie Sie im Bild oben sehen können, startet Ryuk icacls.exe, das zum Ändern aller ACLs (Zugriffskontrolllisten) verwendet wird und so den Zugriff und die Änderung von Flags gewährleistet.
Es erhält unter allen Benutzern vollen Zugriff auf alle Dateien auf dem Gerät (/T), unabhängig von Fehlern (/C) und ohne Anzeige von Meldungen (/Q).
Reis. 15: Ausführungsparameter von icacls.exe, die vom Beispiel gestartet wurden
Es ist wichtig zu beachten, dass Ryuk prüft, welche Windows-Version Sie verwenden. Dafür er
führt eine Versionsprüfung mit durch GetVersionExW, in dem der Wert des Flags überprüft wird lpVersionInformationGibt an, ob die aktuelle Windows-Version neuer ist als Windows XP.
Abhängig davon, ob Sie eine neuere Version als Windows XP verwenden, schreibt der Bootloader in den lokalen Benutzerordner – in diesem Fall in den Ordner %Öffentlich%.
Reis. 17: Überprüfung der Betriebssystemversion
Die Datei, die geschrieben wird, ist Ryuk. Anschließend führt es es aus und übergibt dabei seine eigene Adresse als Parameter.
Reis. 18: Ryuk über ShellExecute ausführen
Als erstes empfängt Ryuk die Eingabeparameter. Diesmal gibt es zwei Eingabeparameter (die ausführbare Datei selbst und die Dropper-Adresse), die zum Entfernen der eigenen Spuren verwendet werden.
Reis. 19: Einen Prozess erstellen
Sie können auch sehen, dass es sich nach der Ausführung seiner ausführbaren Dateien selbst löscht und somit keine Spur seiner eigenen Präsenz in dem Ordner hinterlässt, in dem es ausgeführt wurde.
Reis. 20: Eine Datei löschen
5. RYUK
5.1 Präsenz
Ryuk versucht, wie andere Malware auch, so lange wie möglich auf dem System zu bleiben. Wie oben gezeigt, besteht eine Möglichkeit, dieses Ziel zu erreichen, darin, heimlich ausführbare Dateien zu erstellen und auszuführen. Zu diesem Zweck wird am häufigsten der Registrierungsschlüssel geändert CurrentVersionRun.
In diesem Fall können Sie sehen, dass zu diesem Zweck die erste Datei gestartet wird VWjRF.exe
(Dateiname wird zufällig generiert) wird gestartet cmd.exe.
Reis. 21: VWjRF.exe ausführen
Geben Sie dann den Befehl ein RENNE Mit Namen „svchos". Wenn Sie also jederzeit die Registrierungsschlüssel überprüfen möchten, können Sie diese Änderung aufgrund der Ähnlichkeit dieses Namens mit svchost leicht übersehen. Dank dieses Schlüssels stellt Ryuk sicher, dass er im System vorhanden ist. Wenn das System dies nicht getan hat Wenn das System noch nicht infiziert ist, versucht die ausführbare Datei es erneut, wenn Sie das System neu starten.
Reis. 22: Das Beispiel stellt die Präsenz im Registrierungsschlüssel sicher
Wir können auch sehen, dass diese ausführbare Datei zwei Dienste stoppt:
"audioendpointbuilder", das, wie der Name schon sagt, System-Audio entspricht,
Reis. 23: Beispiel stoppt den Systemaudiodienst
и Samss, ein Kontoverwaltungsdienst. Das Stoppen dieser beiden Dienste ist ein Merkmal von Ryuk. Wenn das System in diesem Fall mit einem SIEM-System verbunden ist, versucht die Ransomware, das Senden an zu stoppen irgendwelche Warnungen. Auf diese Weise schützt er seine nächsten Schritte, da einige SAM-Dienste nach der Ausführung von Ryuk ihre Arbeit nicht ordnungsgemäß starten können.
Reis. 24: Beispiel stoppt den Samss-Dienst
5.2 Privilegien
Im Allgemeinen bewegt sich Ryuk zunächst seitlich im Netzwerk oder wird von einer anderen Malware gestartet, z oder , die im Falle einer Rechteausweitung diese erhöhten Rechte auf die Ransomware übertragen.
Zuvor, als Auftakt zum Umsetzungsprozess, sehen wir, wie er den Prozess durchführt ImpersonateSelf, was bedeutet, dass der Sicherheitsinhalt des Zugriffstokens an den Stream übergeben wird, wo er sofort mit abgerufen wird GetCurrentThread.
Reis. 25: Rufen Sie ImpersonateSelf auf
Wir sehen dann, dass ein Zugriffstoken einem Thread zugeordnet wird. Wir sehen auch, dass eine der Flaggen ist GewünschterZugriff, mit dem der Zugriff gesteuert werden kann, den der Thread haben wird. In diesem Fall sollte der Wert, den edx erhält, sein TOKEN_ALL_ACESS oder andernfalls - TOKEN_WRITE.
Reis. 26: Erstellen eines Flow-Tokens
Dann wird er es verwenden SeDebugPrivilege und führt einen Aufruf durch, um Debug-Debugging-Rechte in Bezug auf den Thread zu erhalten, was zur Angabe führt PROCESS_ALL_ACCESS, kann er auf alle erforderlichen Prozesse zugreifen. Da der Verschlüsseler nun bereits über einen vorbereiteten Stream verfügt, müssen Sie nur noch mit der letzten Phase fortfahren.
Reis. 27: Aufrufen der SeDebugPrivilege- und Privilege-Escalation-Funktion
Einerseits haben wir LookupPrivilegeValueW, das uns die notwendigen Informationen über die Privilegien liefert, die wir erhöhen möchten.
Reis. 28: Fordern Sie Informationen zu Berechtigungen für die Rechteausweitung an
Auf der anderen Seite haben wir AdjustTokenPrivileges, wodurch wir die notwendigen Rechte an unserem Stream erhalten. In diesem Fall ist das Wichtigste NewState, dessen Flagge Privilegien gewährt.
Reis. 29: Berechtigungen für ein Token einrichten
5.3 Umsetzung
In diesem Abschnitt zeigen wir, wie das Beispiel den zuvor in diesem Bericht erwähnten Implementierungsprozess durchführt.
Das Hauptziel des Implementierungsprozesses sowie der Eskalation besteht darin, Zugang zu erhalten Schattenkopien. Dazu muss er mit einem Thread arbeiten, dessen Rechte höher sind als die des lokalen Benutzers. Sobald es solche erhöhten Rechte erlangt, löscht es Kopien und nimmt Änderungen an anderen Prozessen vor, um eine Rückkehr zu einem früheren Wiederherstellungspunkt im Betriebssystem unmöglich zu machen.
Wie es bei dieser Art von Malware üblich ist, verwendet es CreateToolHelp32SnapshotDaher wird ein Snapshot der aktuell ausgeführten Prozesse erstellt und versucht, über diese Prozesse zuzugreifen OpenProcess. Sobald es Zugriff auf den Prozess erhält, öffnet es auch ein Token mit seinen Informationen, um die Prozessparameter zu erhalten.
Reis. 30: Prozesse von einem Computer abrufen
Mit CreateToolhelp140002Snapshot können wir dynamisch sehen, wie die Liste der laufenden Prozesse in der Routine 9D32C abgerufen wird. Nachdem er sie erhalten hat, geht er die Liste durch und versucht, Prozesse nacheinander mit OpenProcess zu öffnen, bis es ihm gelingt. In diesem Fall war der erste Prozess, den er öffnen konnte „taskhost.exe“.
Reis. 31: Führen Sie eine Prozedur dynamisch aus, um einen Prozess zu erhalten
Wir können sehen, dass es anschließend die Prozess-Token-Informationen liest, also ruft es auf OpenProcessToken mit Parameter "20008"
Reis. 32: Prozess-Token-Informationen lesen
Außerdem wird überprüft, ob der Prozess, in den es injiziert wird, dies nicht ist csrss.exe, explorer.exe, lsaas.exe oder dass er eine Reihe von Rechten hat NT-Autorität.
Reis. 33: Ausgeschlossene Prozesse
Mithilfe der Prozess-Token-Informationen in können wir dynamisch sehen, wie die Prüfung zunächst durchgeführt wird 140002D9C um herauszufinden, ob es sich bei dem Konto, dessen Rechte zur Ausführung eines Prozesses verwendet werden, um ein Konto handelt NT-BEHÖRDE.
Reis. 34: Prüfung der NT-Autorität
Und später, außerhalb des Verfahrens, überprüft er, ob dies nicht der Fall ist csrss.exe, explorer.exe oder lsaas.exe.
Reis. 35: Prüfung der NT-Autorität
Sobald er einen Snapshot der Prozesse erstellt, die Prozesse geöffnet und überprüft hat, dass keiner von ihnen ausgeschlossen ist, ist er bereit, die Prozesse, die injiziert werden, in den Speicher zu schreiben.
Dazu reserviert es zunächst einen Bereich im Speicher (VirtualAllocEx), schreibt hinein (WriteProcessmemory) und erstellt einen Thread (CreateRemoteThread). Um mit diesen Funktionen zu arbeiten, verwendet es die PIDs der ausgewählten Prozesse, die es zuvor mithilfe von erhalten hat CreateToolhelp32Snapshot.
Reis. 36: Einbettungscode
Hier können wir dynamisch beobachten, wie die Prozess-PID zum Aufrufen der Funktion verwendet wird VirtualAllocEx.
Reis. 37: Rufen Sie VirtualAllocEx auf
5.4 Verschlüsselung
In diesem Abschnitt betrachten wir den Verschlüsselungsteil dieses Beispiels. Im folgenden Bild sehen Sie zwei Unterprogramme namens „LoadLibrary_EncodeString"Und"Encode_Func", die für die Durchführung des Verschlüsselungsverfahrens verantwortlich sind.
Reis. 38: Verschlüsselungsverfahren
Zu Beginn können wir sehen, wie es einen String lädt, der später verwendet wird, um alles zu entschleieren, was benötigt wird: Importe, DLLs, Befehle, Dateien und CSPs.
Reis. 39: Deobfuscation-Schaltung
Die folgende Abbildung zeigt den ersten Import, der im Register R4 entschleiert wird. LoadLibrary. Dies wird später zum Laden der erforderlichen DLLs verwendet. Wir können auch eine weitere Zeile im Register R12 sehen, die zusammen mit der vorherigen Zeile zur Entschleierung verwendet wird.
Reis. 40: Dynamische Entschleierung
Es lädt weiterhin Befehle herunter, die später ausgeführt werden, um Sicherungen, Wiederherstellungspunkte und sichere Startmodi zu deaktivieren.
Reis. 41: Befehle laden
Dann lädt es den Speicherort, an dem drei Dateien abgelegt werden: Windows.bat, run.sct и Start. Fledermaus.
Reis. 42: Dateispeicherorte
Diese 3 Dateien werden verwendet, um die Berechtigungen jedes Standorts zu überprüfen. Wenn die erforderlichen Berechtigungen nicht verfügbar sind, stoppt Ryuk die Ausführung.
Es werden weiterhin die Zeilen geladen, die den drei Dateien entsprechen. Erste, DECRYPT_INFORMATION.html, enthält Informationen, die zum Wiederherstellen von Dateien erforderlich sind. Zweite, ÖFFENTLICHKEIT, enthält den öffentlichen RSA-Schlüssel.
Reis. 43: Zeile DECRYPT INFORMATION.html
Dritte, UNIQUE_ID_DO_NOT_REMOVE, enthält den verschlüsselten Schlüssel, der in der nächsten Routine zur Durchführung der Verschlüsselung verwendet wird.
Reis. 44: Zeile EINZIGARTIGE ID NICHT ENTFERNEN
Schließlich werden die erforderlichen Bibliotheken zusammen mit den erforderlichen Importen und CSPs heruntergeladen (Microsoft Enhanced RSA и AES-Kryptografieanbieter).
Reis. 45: Bibliotheken laden
Nachdem die gesamte Entschleierung abgeschlossen ist, werden die für die Verschlüsselung erforderlichen Aktionen ausgeführt: Auflisten aller logischen Laufwerke, Ausführen dessen, was in der vorherigen Routine geladen wurde, Verstärken der Präsenz im System, Auslösen der Datei RyukReadMe.html, Verschlüsselung, Auflisten aller Netzwerklaufwerke , Übergang zu erkannten Geräten und deren Verschlüsselung.
„Alles beginnt mit dem Laden“cmd.exe" und RSA-Public-Key-Datensätze.
Reis. 46: Vorbereitung zur Verschlüsselung
Dann werden alle logischen Laufwerke verwendet GetLogicalDrives und deaktiviert alle Sicherungen, Wiederherstellungspunkte und sicheren Startmodi.
Reis. 47: Wiederherstellungstools deaktivieren
Danach verstärkt es seine Präsenz im System, wie wir oben gesehen haben, und schreibt die erste Datei RyukReadMe.html в TEMP.
Reis. 48: Veröffentlichung einer Lösegeldforderung
Im folgenden Bild sehen Sie, wie es eine Datei erstellt, den Inhalt herunterlädt und schreibt:
Reis. 49: Dateiinhalte laden und schreiben
Um auf allen Geräten die gleichen Aktionen ausführen zu können, nutzt er
"icacls.exe", wie wir oben gezeigt haben.
Reis. 50: Verwendung von icalcls.exe
Und schließlich beginnt es mit der Verschlüsselung von Dateien mit Ausnahme von „*.exe“, „*.dll“-Dateien, Systemdateien und anderen Speicherorten, die in Form einer verschlüsselten Whitelist angegeben sind. Dazu verwendet es Importe: CryptAcquireContextW (wobei die Verwendung von AES und RSA spezifiziert ist), CryptDeriveKey, CryptGenKey, CryptDestroyKey usw. Außerdem wird versucht, seine Reichweite mithilfe von WNetEnumResourceW auf erkannte Netzwerkgeräte auszudehnen und diese dann zu verschlüsseln.
Reis. 51: Systemdateien verschlüsseln
6. Importe und entsprechende Flags
Nachfolgend finden Sie eine Tabelle mit den wichtigsten Importen und Flags, die im Beispiel verwendet werden:
7. IOK
Referenzen
- userPublicrun.sct
- StartmenüProgrammeStartupstart.bat AppDatenRoamingMicrosoftWindowsStart
- MenuProgramsStartupstart.bat
Ein technischer Bericht über die Ryuk-Ransomware wurde von Experten des Antivirenlabors PandaLabs erstellt.
8. Verknüpfungen
1. „Everis y Prisa Radio hat ein ernstes Problem, das sein System sichert.“https://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, veröffentlicht am 04.
2. „Ein Virus de origenes ruso ataca a importantes españolas empresas.“ https: //elpais.com/tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, veröffentlicht am 04/11/2019.
3. „VB2019-Papier: Shinigamis Rache: der lange Schwanz der Ryuk-Malware.“ https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, veröffentlicht am 11 /12/2019
4. „Großwildjagd mit Ryuk: Eine weitere lukrative, gezielte Ransomware.“https://www. crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/, veröffentlicht am 10.
5. „VB2019-Papier: Shinigamis Rache: der lange Schwanz der Ryuk-Malware.“ https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigamis-revenge-long-tail-r
Source: habr.com