Το Ryuk είναι μια από τις πιο διάσημες επιλογές ransomware τα τελευταία χρόνια. Από τότε που πρωτοεμφανίστηκε το καλοκαίρι του 2018, έχει συλλέξει , ειδικά στο επιχειρηματικό περιβάλλον, που αποτελεί τον κύριο στόχο των επιθέσεων της.
1. Γενικές πληροφορίες
Αυτό το έγγραφο περιέχει μια ανάλυση της παραλλαγής ransomware Ryuk, καθώς και του φορτωτή που είναι υπεύθυνος για τη φόρτωση του κακόβουλου προγράμματος στο σύστημα.
Το Ryuk ransomware εμφανίστηκε για πρώτη φορά το καλοκαίρι του 2018. Μία από τις διαφορές μεταξύ του Ryuk και άλλων ransomware είναι ότι στοχεύει στην επίθεση σε εταιρικά περιβάλλοντα.
Στα μέσα του 2019, ομάδες κυβερνοεγκληματιών επιτέθηκαν σε τεράστιο αριθμό ισπανικών εταιρειών χρησιμοποιώντας αυτό το ransomware.
Ρύζι. 1: Απόσπασμα από το El Confidencial σχετικά με την επίθεση ransomware Ryuk [1]
Ρύζι. 2: Απόσπασμα από το El País σχετικά με μια επίθεση που πραγματοποιήθηκε χρησιμοποιώντας το Ryuk ransomware [2]
Φέτος, ο Ryuk έχει επιτεθεί σε μεγάλο αριθμό εταιρειών σε διάφορες χώρες. Όπως μπορείτε να δείτε στα παρακάτω σχήματα, η Γερμανία, η Κίνα, η Αλγερία και η Ινδία επλήγησαν περισσότερο.
Συγκρίνοντας τον αριθμό των επιθέσεων στον κυβερνοχώρο, μπορούμε να δούμε ότι ο Ryuk έχει επηρεάσει εκατομμύρια χρήστες και έχει θέσει σε κίνδυνο έναν τεράστιο όγκο δεδομένων, με αποτέλεσμα σοβαρή οικονομική απώλεια.
Ρύζι. 3: Απεικόνιση της παγκόσμιας δραστηριότητας του Ryuk.
Ρύζι. 4: 16 χώρες που επλήγησαν περισσότερο από το Ryuk
Ρύζι. 5: Αριθμός χρηστών που δέχθηκαν επίθεση από Ryuk ransomware (σε εκατομμύρια)
Σύμφωνα με τη συνήθη αρχή λειτουργίας τέτοιων απειλών, αυτό το ransomware, μετά την ολοκλήρωση της κρυπτογράφησης, εμφανίζει στο θύμα μια ειδοποίηση λύτρων που πρέπει να πληρωθεί σε bitcoin στην καθορισμένη διεύθυνση για να αποκατασταθεί η πρόσβαση στα κρυπτογραφημένα αρχεία.
Αυτό το κακόβουλο λογισμικό έχει αλλάξει από τότε που πρωτοπαρουσιάστηκε.
Η παραλλαγή αυτής της απειλής που αναλύθηκε σε αυτό το έγγραφο ανακαλύφθηκε κατά τη διάρκεια μιας απόπειρας επίθεσης τον Ιανουάριο του 2020.
Λόγω της πολυπλοκότητάς του, αυτό το κακόβουλο λογισμικό αποδίδεται συχνά σε οργανωμένες ομάδες κυβερνοεγκληματιών, γνωστές και ως ομάδες APT.
Μέρος του κώδικα Ryuk έχει μια αξιοσημείωτη ομοιότητα με τον κώδικα και τη δομή ενός άλλου γνωστού ransomware, του Hermes, με το οποίο μοιράζονται μια σειρά από πανομοιότυπες λειτουργίες. Αυτός είναι ο λόγος για τον οποίο ο Ryuk αρχικά συνδέθηκε με τη βορειοκορεατική ομάδα Lazarus, η οποία εκείνη την εποχή υποπτευόταν ότι βρισκόταν πίσω από το ransomware Hermes.
Η υπηρεσία Falcon X του CrowdStrike σημείωσε στη συνέχεια ότι ο Ryuk δημιουργήθηκε στην πραγματικότητα από την ομάδα WIZARD SPIDER [4].
Υπάρχουν κάποια στοιχεία που υποστηρίζουν αυτή την υπόθεση. Πρώτον, αυτό το ransomware διαφημίστηκε στον ιστότοπο exploit.in, ο οποίος είναι μια πολύ γνωστή ρωσική αγορά κακόβουλου λογισμικού και στο παρελθόν είχε συσχετιστεί με ορισμένες ρωσικές ομάδες APT.
Αυτό το γεγονός αποκλείει τη θεωρία ότι ο Ryuk θα μπορούσε να είχε αναπτυχθεί από την ομάδα Lazarus APT, επειδή δεν ταιριάζει με τον τρόπο λειτουργίας της ομάδας.
Επιπλέον, το Ryuk διαφημίστηκε ως ransomware που δεν θα λειτουργεί σε συστήματα Ρωσίας, Ουκρανίας και Λευκορωσίας. Αυτή η συμπεριφορά καθορίζεται από ένα χαρακτηριστικό που βρίσκεται σε ορισμένες εκδόσεις του Ryuk, όπου ελέγχει τη γλώσσα του συστήματος στο οποίο εκτελείται το ransomware και σταματά την εκτέλεσή του εάν το σύστημα έχει ρωσική, ουκρανική ή λευκορωσική γλώσσα. Τέλος, μια ανάλυση εμπειρογνωμόνων του μηχανήματος που παραβιάστηκε από την ομάδα WIZARD SPIDER αποκάλυψε αρκετά «τεχνουργήματα» που φέρεται να χρησιμοποιήθηκαν στην ανάπτυξη του Ryuk ως παραλλαγή του ransomware Hermes.
Από την άλλη πλευρά, οι ειδικοί Gabriela Nicolao και Luciano Martins πρότειναν ότι το ransomware μπορεί να αναπτύχθηκε από την ομάδα APT CryptoTech [5].
Αυτό προκύπτει από το γεγονός ότι αρκετούς μήνες πριν από την εμφάνιση του Ryuk, αυτή η ομάδα δημοσίευσε πληροφορίες στο φόρουμ του ίδιου ιστότοπου ότι είχε αναπτύξει μια νέα έκδοση του ransomware Hermes.
Αρκετοί χρήστες του φόρουμ αμφισβήτησαν αν η CryptoTech δημιούργησε πράγματι το Ryuk. Η ομάδα στη συνέχεια υπερασπίστηκε τον εαυτό της και δήλωσε ότι είχε αποδείξεις ότι είχε αναπτύξει το 100% του ransomware.
2. Χαρακτηριστικά
Ξεκινάμε με τον bootloader, του οποίου η δουλειά είναι να αναγνωρίσει το σύστημα στο οποίο βρίσκεται, έτσι ώστε να μπορεί να ξεκινήσει η «σωστή» έκδοση του Ryuk ransomware.
Ο κατακερματισμός του bootloader είναι ο εξής:
MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469
Ένα από τα χαρακτηριστικά αυτού του προγράμματος λήψης είναι ότι δεν περιέχει μεταδεδομένα, π.χ. Οι δημιουργοί αυτού του κακόβουλου λογισμικού δεν έχουν συμπεριλάβει καμία πληροφορία σε αυτό.
Μερικές φορές περιλαμβάνουν λανθασμένα δεδομένα για να ξεγελάσουν τον χρήστη ώστε να πιστέψει ότι εκτελεί μια νόμιμη εφαρμογή. Ωστόσο, όπως θα δούμε αργότερα, εάν η μόλυνση δεν περιλαμβάνει αλληλεπίδραση με τον χρήστη (όπως συμβαίνει με αυτό το ransomware), τότε οι εισβολείς δεν θεωρούν απαραίτητο να χρησιμοποιήσουν μεταδεδομένα.
Ρύζι. 6: Δείγμα μεταδεδομένων
Το δείγμα έχει μεταγλωττιστεί σε μορφή 32-bit, ώστε να μπορεί να εκτελείται σε συστήματα 32-bit και 64-bit.
3. Διάνυσμα διείσδυσης
Το δείγμα που κατεβάζει και εκτελεί το Ryuk εισήλθε στο σύστημά μας μέσω μιας απομακρυσμένης σύνδεσης και οι παράμετροι πρόσβασης ελήφθησαν μέσω μιας προκαταρκτικής επίθεσης RDP.
Ρύζι. 7: Εγγραφή επίθεσης
Ο εισβολέας κατάφερε να συνδεθεί στο σύστημα από απόσταση. Μετά από αυτό, δημιούργησε ένα εκτελέσιμο αρχείο με το δείγμα μας.
Αυτό το εκτελέσιμο αρχείο αποκλείστηκε από μια λύση προστασίας από ιούς πριν εκτελεστεί.
Ρύζι. 8: Κλείδωμα μοτίβου
Ρύζι. 9: Κλείδωμα μοτίβου
Όταν το κακόβουλο αρχείο αποκλείστηκε, ο εισβολέας προσπάθησε να πραγματοποιήσει λήψη μιας κρυπτογραφημένης έκδοσης του εκτελέσιμου αρχείου, η οποία επίσης αποκλείστηκε.
Ρύζι. 10: Σύνολο δειγμάτων που προσπάθησε να τρέξει ο εισβολέας
Τέλος, προσπάθησε να κατεβάσει ένα άλλο κακόβουλο αρχείο μέσω της κρυπτογραφημένης κονσόλας
PowerShell για παράκαμψη προστασίας από ιούς. Ήταν όμως και μπλοκαρισμένος.
Ρύζι. 11: Αποκλείστηκε το PowerShell με κακόβουλο περιεχόμενο
Ρύζι. 12: Αποκλείστηκε το PowerShell με κακόβουλο περιεχόμενο
4. Φορτωτής
Όταν εκτελείται, γράφει ένα αρχείο ReadMe στο φάκελο % Temp%, που είναι χαρακτηριστικό για τον Ryuk. Αυτό το αρχείο είναι μια σημείωση λύτρων που περιέχει μια διεύθυνση email στον τομέα protonmail, κάτι που είναι αρκετά συνηθισμένο σε αυτήν την οικογένεια κακόβουλου λογισμικού: [προστασία μέσω email]
Ρύζι. 13: Απαίτηση λύτρων
Ενώ εκτελείται ο bootloader, μπορείτε να δείτε ότι εκκινεί πολλά εκτελέσιμα αρχεία με τυχαία ονόματα. Αποθηκεύονται σε έναν κρυφό φάκελο ΔΗΜΟΣΙΟ, αλλά εάν η επιλογή δεν είναι ενεργή στο λειτουργικό σύστημα "Εμφάνιση κρυφών αρχείων και φακέλων", τότε θα παραμείνουν κρυφά. Επιπλέον, αυτά τα αρχεία είναι 64-bit, σε αντίθεση με το γονικό αρχείο, το οποίο είναι 32-bit.
Ρύζι. 14: Εκτελέσιμα αρχεία που εκκινήθηκαν από το δείγμα
Όπως μπορείτε να δείτε στην παραπάνω εικόνα, ο Ryuk εκκινεί το icacls.exe, το οποίο θα χρησιμοποιηθεί για την τροποποίηση όλων των ACL (Λίστες ελέγχου πρόσβασης), διασφαλίζοντας έτσι την πρόσβαση και την τροποποίηση των σημαιών.
Αποκτά πλήρη πρόσβαση από όλους τους χρήστες σε όλα τα αρχεία της συσκευής (/T) ανεξάρτητα από σφάλματα (/C) και χωρίς να εμφανίζει κανένα μήνυμα (/Q).
Ρύζι. 15: Παράμετροι εκτέλεσης του icacls.exe που εκκινήθηκαν από το δείγμα
Είναι σημαντικό να σημειωθεί ότι ο Ryuk ελέγχει ποια έκδοση των Windows χρησιμοποιείτε. Για αυτό αυτός
εκτελεί έλεγχο έκδοσης χρησιμοποιώντας GetVersionExW, στο οποίο ελέγχει την τιμή της σημαίας lpVersionInformationυποδεικνύοντας εάν η τρέχουσα έκδοση των Windows είναι νεότερη από windows XP.
Ανάλογα με το αν εκτελείτε μια έκδοση μεταγενέστερη από τα Windows XP, ο φορτωτής εκκίνησης θα γράψει στον φάκελο τοπικού χρήστη - σε αυτήν την περίπτωση στον φάκελο %Δημόσιο%.
Ρύζι. 17: Έλεγχος της έκδοσης του λειτουργικού συστήματος
Το αρχείο που γράφεται είναι το Ryuk. Στη συνέχεια το εκτελεί, περνώντας τη δική του διεύθυνση ως παράμετρο.
Ρύζι. 18: Εκτελέστε το Ryuk μέσω ShellExecute
Το πρώτο πράγμα που κάνει ο Ryuk είναι να λαμβάνει τις παραμέτρους εισόδου. Αυτή τη φορά υπάρχουν δύο παράμετροι εισόδου (το ίδιο το εκτελέσιμο αρχείο και η διεύθυνση dropper) που χρησιμοποιούνται για την αφαίρεση των δικών του ιχνών.
Ρύζι. 19: Δημιουργία Διαδικασίας
Μπορείτε επίσης να δείτε ότι μόλις εκτελέσει τα εκτελέσιμα αρχεία του, διαγράφεται, χωρίς να αφήνει κανένα ίχνος της δικής του παρουσίας στο φάκελο όπου εκτελέστηκε.
Ρύζι. 20: Διαγραφή αρχείου
5. RYUK
5.1 Παρουσία
Το Ryuk, όπως και άλλα κακόβουλα προγράμματα, προσπαθεί να παραμείνει στο σύστημα για όσο το δυνατόν περισσότερο. Όπως φαίνεται παραπάνω, ένας τρόπος για να επιτευχθεί αυτός ο στόχος είναι η κρυφή δημιουργία και εκτέλεση εκτελέσιμων αρχείων. Για να γίνει αυτό, η πιο κοινή πρακτική είναι να αλλάξετε το κλειδί μητρώου CurrentVersionRun.
Σε αυτήν την περίπτωση, μπορείτε να δείτε ότι για το σκοπό αυτό το πρώτο αρχείο που θα ξεκινήσει VWjRF.exe
(το όνομα αρχείου δημιουργείται τυχαία) ξεκινά cmd.exe.
Ρύζι. 21: Εκτέλεση του VWjRF.exe
Στη συνέχεια, εισάγετε την εντολή ΤΡΈΞΙΜΟ Με όνομα"svchos". Έτσι, εάν θέλετε να ελέγξετε τα κλειδιά μητρώου ανά πάσα στιγμή, μπορείτε εύκολα να χάσετε αυτήν την αλλαγή, δεδομένης της ομοιότητας αυτού του ονόματος με το svchost. Χάρη σε αυτό το κλειδί, το Ryuk διασφαλίζει την παρουσία του στο σύστημα. Εάν το σύστημα δεν έχει έχετε μολυνθεί ακόμα, τότε όταν κάνετε επανεκκίνηση του συστήματος, το εκτελέσιμο αρχείο θα προσπαθήσει ξανά.
Ρύζι. 22: Το δείγμα διασφαλίζει την παρουσία στο κλειδί μητρώου
Μπορούμε επίσης να δούμε ότι αυτό το εκτελέσιμο σταματά δύο υπηρεσίες:
"audioendpointbuilder", το οποίο, όπως υποδηλώνει το όνομά του, αντιστοιχεί στον ήχο του συστήματος,
Ρύζι. 23: Το δείγμα διακόπτει την υπηρεσία ήχου συστήματος
и Samss, που είναι μια υπηρεσία διαχείρισης λογαριασμού. Η διακοπή αυτών των δύο υπηρεσιών είναι χαρακτηριστικό του Ryuk. Σε αυτήν την περίπτωση, εάν το σύστημα είναι συνδεδεμένο σε σύστημα SIEM, το ransomware προσπαθεί να σταματήσει την αποστολή σε τυχόν προειδοποιήσεις. Με αυτόν τον τρόπο, προστατεύει τα επόμενα βήματά του αφού ορισμένες υπηρεσίες SAM δεν θα μπορούν να ξεκινήσουν σωστά τη δουλειά τους μετά την εκτέλεση του Ryuk.
Ρύζι. 24: Το δείγμα διακόπτει την υπηρεσία Samss
5.2 Προνόμια
Σε γενικές γραμμές, το Ryuk ξεκινά μετακινώντας πλευρικά μέσα στο δίκτυο ή εκκινείται από άλλο κακόβουλο λογισμικό όπως ή , το οποίο, σε περίπτωση κλιμάκωσης των προνομίων, μεταβιβάζει αυτά τα αυξημένα δικαιώματα στο ransomware.
Προηγουμένως, ως προοίμιο της διαδικασίας υλοποίησης, τον βλέπουμε να πραγματοποιεί τη διαδικασία Υποδύομαι τον εαυτό μου, πράγμα που σημαίνει ότι τα περιεχόμενα ασφαλείας του διακριτικού πρόσβασης θα περάσουν στη ροή, όπου θα ανακτηθούν αμέσως χρησιμοποιώντας GetCurrentThread.
Ρύζι. 25: Call ImpersonateSelf
Στη συνέχεια βλέπουμε ότι θα συσχετίσει ένα διακριτικό πρόσβασης με ένα νήμα. Βλέπουμε επίσης ότι μία από τις σημαίες είναι Επιθυμητή Πρόσβαση, το οποίο μπορεί να χρησιμοποιηθεί για τον έλεγχο της πρόσβασης που θα έχει το νήμα. Σε αυτήν την περίπτωση η τιμή που θα λάβει το edx θα πρέπει να είναι TOKEN_ALL_ACESS ή αλλιώς - TOKEN_WRITE.
Ρύζι. 26: Δημιουργία διακριτικού ροής
Μετά θα χρησιμοποιήσει SeDebugPrivilege και θα πραγματοποιήσει μια κλήση για να αποκτήσει δικαιώματα εντοπισμού σφαλμάτων στο νήμα, με αποτέλεσμα PROCESS_ALL_ACCESS, θα μπορεί να έχει πρόσβαση σε οποιαδήποτε απαιτούμενη διαδικασία. Τώρα, δεδομένου ότι ο κρυπτογραφητής έχει ήδη μια έτοιμη ροή, το μόνο που μένει είναι να προχωρήσουμε στο τελικό στάδιο.
Ρύζι. 27: Κλήση της συνάρτησης SeDebugPrivilege και Privilege Escalation
Από τη μία έχουμε το LookupPrivilegeValueW, το οποίο μας παρέχει τις απαραίτητες πληροφορίες για τα προνόμια που θέλουμε να αυξήσουμε.
Ρύζι. 28: Ζητήστε πληροφορίες σχετικά με τα προνόμια για την κλιμάκωση των προνομίων
Από την άλλη, έχουμε AdjustTokenPrivileges, που μας επιτρέπει να αποκτήσουμε τα απαραίτητα δικαιώματα για τη ροή μας. Σε αυτή την περίπτωση, το πιο σημαντικό είναι NewState, του οποίου η σημαία θα παρέχει προνόμια.
Ρύζι. 29: Ρύθμιση δικαιωμάτων για ένα διακριτικό
5.3 Εφαρμογή
Σε αυτήν την ενότητα, θα δείξουμε πώς το δείγμα εκτελεί τη διαδικασία υλοποίησης που αναφέρθηκε προηγουμένως σε αυτήν την αναφορά.
Ο κύριος στόχος της διαδικασίας υλοποίησης, καθώς και της κλιμάκωσης, είναι να αποκτήσει πρόσβαση σε σκιώδη αντίγραφα. Για να γίνει αυτό, πρέπει να εργαστεί με ένα νήμα με δικαιώματα υψηλότερα από αυτά του τοπικού χρήστη. Μόλις αποκτήσει τέτοια αυξημένα δικαιώματα, θα διαγράψει αντίγραφα και θα κάνει αλλαγές σε άλλες διεργασίες, προκειμένου να καταστήσει αδύνατη την επιστροφή σε προηγούμενο σημείο επαναφοράς στο λειτουργικό σύστημα.
Όπως είναι τυπικό με αυτόν τον τύπο κακόβουλου λογισμικού, χρησιμοποιεί CreateToolHelp32SnapshotΈτσι, παίρνει ένα στιγμιότυπο των διεργασιών που εκτελούνται αυτήν τη στιγμή και προσπαθεί να αποκτήσει πρόσβαση σε αυτές τις διεργασίες χρησιμοποιώντας OpenProcess. Μόλις αποκτήσει πρόσβαση στη διαδικασία, ανοίγει επίσης ένα διακριτικό με τις πληροφορίες του για να λάβει τις παραμέτρους της διαδικασίας.
Ρύζι. 30: Ανάκτηση διαδικασιών από υπολογιστή
Μπορούμε να δούμε δυναμικά πώς λαμβάνει τη λίστα των διεργασιών που εκτελούνται στη ρουτίνα 140002D9C χρησιμοποιώντας το CreateToolhelp32Snapshot. Αφού τα λάβει, περνάει από τη λίστα, προσπαθώντας να ανοίξει διαδικασίες μία προς μία χρησιμοποιώντας το OpenProcess μέχρι να τα καταφέρει. Σε αυτή την περίπτωση, η πρώτη διαδικασία που μπόρεσε να ανοίξει ήταν "taskhost.exe".
Ρύζι. 31: Εκτελέστε δυναμικά μια διαδικασία για να λάβετε μια διαδικασία
Μπορούμε να δούμε ότι στη συνέχεια διαβάζει τις πληροφορίες διακριτικού διεργασίας, οπότε καλεί OpenProcessToken με παράμετρο "20008"
Ρύζι. 32: Διαβάστε τις πληροφορίες διακριτικού διαδικασίας
Ελέγχει επίσης ότι η διαδικασία στην οποία θα εγχυθεί δεν είναι Csrss.exe, explorer.exe, lsaas.exe ή ότι έχει ένα σύνολο δικαιωμάτων Αρχή NT.
Ρύζι. 33: Εξαιρούμενες διαδικασίες
Μπορούμε να δούμε δυναμικά πώς εκτελεί πρώτα τον έλεγχο χρησιμοποιώντας τις πληροφορίες διακριτικού διεργασίας στο 140002D9C προκειμένου να διαπιστώσετε εάν ο λογαριασμός του οποίου τα δικαιώματα χρησιμοποιούνται για την εκτέλεση μιας διαδικασίας είναι λογαριασμός NT ΑΡΧΗ.
Ρύζι. 34: NT Έλεγχος ΑΡΧΗΣ
Και αργότερα, εκτός διαδικασίας, ελέγχει ότι δεν είναι csrss.exe, explorer.exe ή lsaas.exe.
Ρύζι. 35: NT Έλεγχος ΑΡΧΗΣ
Μόλις τραβήξει ένα στιγμιότυπο των διεργασιών, ανοίξει τις διεργασίες και επαληθεύσει ότι καμία από αυτές δεν εξαιρείται, είναι έτοιμος να γράψει στη μνήμη τις διεργασίες που θα εγχυθούν.
Για να γίνει αυτό, δεσμεύει πρώτα μια περιοχή στη μνήμη (VirtualAllocEx), γράφει σε αυτό (WriteProcessmemory) και δημιουργεί ένα νήμα (CreateRemoteThread). Για να εργαστεί με αυτές τις συναρτήσεις, χρησιμοποιεί τα PID των επιλεγμένων διεργασιών, τα οποία έλαβε προηγουμένως χρησιμοποιώντας CreateToolhelp32Snapshot.
Ρύζι. 36: Ενσωμάτωση κώδικα
Εδώ μπορούμε να παρατηρήσουμε δυναμικά πώς χρησιμοποιεί το PID διεργασίας για να καλέσει τη συνάρτηση VirtualAllocEx.
Ρύζι. 37: Καλέστε το VirtualAllocEx
5.4 Κρυπτογράφηση
Σε αυτήν την ενότητα, θα εξετάσουμε το τμήμα κρυπτογράφησης αυτού του δείγματος. Στην παρακάτω εικόνα μπορείτε να δείτε δύο υπορουτίνες που ονομάζονται "LoadLibrary_EncodeString"και"Encode_Func», τα οποία είναι υπεύθυνα για την εκτέλεση της διαδικασίας κρυπτογράφησης.
Ρύζι. 38: Διαδικασίες κρυπτογράφησης
Στην αρχή μπορούμε να δούμε πώς φορτώνει μια συμβολοσειρά που αργότερα θα χρησιμοποιηθεί για να αποσυμφορήσει όλα όσα χρειάζονται: εισαγωγές, DLL, εντολές, αρχεία και CSP.
Ρύζι. 39: Κύκλωμα απεμπλοκής
Το παρακάτω σχήμα δείχνει την πρώτη εισαγωγή που αποσυμπιέζει στον καταχωρητή R4. Loadlibrary. Αυτό θα χρησιμοποιηθεί αργότερα για τη φόρτωση των απαιτούμενων DLL. Μπορούμε επίσης να δούμε μια άλλη γραμμή στον καταχωρητή R12, η οποία χρησιμοποιείται μαζί με την προηγούμενη γραμμή για την εκτέλεση απεμπλοκής.
Ρύζι. 40: Δυναμική αποσυμφόρηση
Συνεχίζει να κατεβάζει εντολές που θα τρέξει αργότερα για να απενεργοποιήσει τα αντίγραφα ασφαλείας, τα σημεία επαναφοράς και τις ασφαλείς λειτουργίες εκκίνησης.
Ρύζι. 41: Φόρτωση εντολών
Στη συνέχεια, φορτώνει τη θέση όπου θα πέσουν 3 αρχεία: Windows.bat, run.sct и έναρξη.ρόπαλο.
Ρύζι. 42: Τοποθεσίες αρχείων
Αυτά τα 3 αρχεία χρησιμοποιούνται για τον έλεγχο των προνομίων που έχει κάθε τοποθεσία. Εάν τα απαιτούμενα προνόμια δεν είναι διαθέσιμα, ο Ryuk σταματά την εκτέλεση.
Συνεχίζει να φορτώνει τις γραμμές που αντιστοιχούν στα τρία αρχεία. Πρώτα, DECRYPT_INFORMATION.html, περιέχει τις απαραίτητες πληροφορίες για την ανάκτηση αρχείων. Δεύτερος, ΔΗΜΟΣΙΟ, περιέχει το δημόσιο κλειδί RSA.
Ρύζι. 43: Γραμμή DECRYPT INFORMATION.html
Τρίτος, UNIQUE_ID_DO_NOT_REMOVE, περιέχει το κρυπτογραφημένο κλειδί που θα χρησιμοποιηθεί στην επόμενη ρουτίνα για την εκτέλεση της κρυπτογράφησης.
Ρύζι. 44: Γραμμή ΜΟΝΑΔΙΚΟ αναγνωριστικό ΜΗΝ ΑΦΑΙΡΕΣΕΤΕ
Τέλος, κατεβάζει τις απαιτούμενες βιβλιοθήκες μαζί με τις απαιτούμενες εισαγωγές και CSP (Microsoft Enhanced RSA и AES Cryptographic Provider).
Ρύζι. 45: Φόρτωση βιβλιοθηκών
Αφού ολοκληρωθεί όλη η αποσύμπλεξη, προχωρά στην εκτέλεση των ενεργειών που απαιτούνται για την κρυπτογράφηση: απαρίθμηση όλων των λογικών μονάδων δίσκου, εκτέλεση ό,τι φορτώθηκε στην προηγούμενη ρουτίνα, ενίσχυση της παρουσίας στο σύστημα, ρίψη του αρχείου RyukReadMe.html, κρυπτογράφηση, απαρίθμηση όλων των μονάδων δίσκου δικτύου , μετάβαση σε συσκευές εντοπισμού και κρυπτογράφηση τους.
Όλα ξεκινούν με τη φόρτωση"cmd.exe" και εγγραφές δημόσιου κλειδιού RSA.
Ρύζι. 46: Προετοιμασία για κρυπτογράφηση
Στη συνέχεια, χρησιμοποιεί όλες τις λογικές μονάδες δίσκου GetLogicalDrives και απενεργοποιεί όλα τα αντίγραφα ασφαλείας, τα σημεία επαναφοράς και τις ασφαλείς λειτουργίες εκκίνησης.
Ρύζι. 47: Απενεργοποίηση εργαλείων ανάκτησης
Μετά από αυτό, ενισχύει την παρουσία του στο σύστημα, όπως είδαμε παραπάνω, και γράφει το πρώτο αρχείο RyukReadMe.html в TEMP.
Ρύζι. 48: Δημοσίευση ειδοποίησης για λύτρα
Στην παρακάτω εικόνα μπορείτε να δείτε πώς δημιουργεί ένα αρχείο, κατεβάζει το περιεχόμενο και το γράφει:
Ρύζι. 49: Φόρτωση και εγγραφή περιεχομένων αρχείων
Για να μπορεί να κάνει τις ίδιες ενέργειες σε όλες τις συσκευές, χρησιμοποιεί
"icacls.exe», όπως δείξαμε παραπάνω.
Ρύζι. 50: Χρήση icalcls.exe
Και τέλος, ξεκινά την κρυπτογράφηση αρχείων εκτός από αρχεία «*.exe», «*.dll», αρχεία συστήματος και άλλες τοποθεσίες που καθορίζονται με τη μορφή κρυπτογραφημένης λευκής λίστας. Για να γίνει αυτό, χρησιμοποιεί εισαγωγές: CryptAcquireContextW (όπου καθορίζεται η χρήση AES και RSA), CryptDeriveKey, CryptGenKey, CryptDestroyKey και τα λοιπά. Προσπαθεί επίσης να επεκτείνει την προσέγγισή του σε συσκευές δικτύου που ανακαλύφθηκαν χρησιμοποιώντας το WNetEnumResourceW και στη συνέχεια να τις κρυπτογραφήσει.
Ρύζι. 51: Κρυπτογράφηση αρχείων συστήματος
6. Εισαγωγές και αντίστοιχες σημαίες
Ακολουθεί ένας πίνακας με τις πιο σχετικές εισαγωγές και σημαίες που χρησιμοποιούνται από το δείγμα:
7. ΔΟΕ
παραπομπές
- usersPublicrun.sct
- Start MenuProgramsStartupstart.bat AppDataRoamingMicrosoftWindowsStart
- MenuProgramsStartupstart.bat
Μια τεχνική έκθεση για το Ryuk ransomware συντάχθηκε από ειδικούς από το εργαστήριο προστασίας από ιούς PandaLabs.
8. Σύνδεσμοι
1. “Everis y Prisa Radio sufren un grave ciberataque que secuestra sus sistemas.”https://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, Δημοσιεύτηκε 04/11/2019.
2. «Un virus de origen ruso ataca a importantes empresas españolas».
3. "Έγγραφο VB2019: Η εκδίκηση του Shinigami: η μακριά ουρά του κακόβουλου λογισμικού Ryuk." https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, Publicada el 11 /12/2019
4. "Big Game Hunting with Ryuk: Another LucrativebTargeted Ransomware."https://www. crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/, Publicada el 10/01/2019.
5. "Χαρτί VB2019: Η εκδίκηση του Shinigami: η μακριά ουρά του κακόβουλου λογισμικού Ryuk." https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigami-revenge-long-tail-r
Πηγή: www.habr.com