Ryuk estas unu el la plej famaj elektoj pri ransomware en la lastaj jaroj. De kiam ĝi unue aperis en la somero de 2018, ĝi kolektis , precipe en la komerca medio, kiu estas la ĉefa celo de siaj atakoj.
1. Ĝeneralaj informoj
Ĉi tiu dokumento enhavas analizon de la Ryuk-ransomware-variaĵo, same kiel la ŝargilon respondeca por ŝarĝi la malware en la sistemon.
La Ryuk ransomware unue aperis en la somero de 2018. Unu el la diferencoj inter Ryuk kaj aliaj ransomware estas, ke ĝi celas ataki kompaniajn mediojn.
Meze de 2019, ciberkrimaj grupoj atakis grandegan nombron da hispanaj kompanioj uzante ĉi tiun ransomware.
Rizo. 1: Eltiraĵo de El Confidencial koncerne la Ryuk-elaĉetomonan atakon [1]
Rizo. 2: Eltiraĵo de El País pri atako farita uzante la Ryuk-elaĉetomonon [2]
Ĉi-jare, Ryuk atakis grandan nombron da kompanioj en diversaj landoj. Kiel vi povas vidi en la subaj ciferoj, Germanio, Ĉinio, Alĝerio kaj Hindio estis la plej forte trafitaj.
Komparante la nombron da ciberatakoj, ni povas vidi, ke Ryuk influis milionojn da uzantoj kaj kompromitis grandegan kvanton da datumoj, rezultigante severan ekonomian perdon.
Rizo. 3: Ilustraĵo de la tutmonda agado de Ryuk.
Rizo. 4: 16 landoj plej trafitaj de Ryuk
Rizo. 5: Nombro da uzantoj atakitaj de Ryuk-ransomware (en milionoj)
Laŭ la kutima funkcia principo de tiaj minacoj, ĉi tiu ransomware, post kiam ĉifrado estas kompleta, montras al la viktimo elaĉetomonon, kiu devas esti pagita en bitcoins al la specifita adreso por restarigi aliron al la ĉifritaj dosieroj.
Ĉi tiu malware ŝanĝiĝis de kiam ĝi estis unuafoje lanĉita.
La varianto de ĉi tiu minaco analizita en ĉi tiu dokumento estis malkovrita dum atakprovo en januaro 2020.
Pro sia komplekseco, ĉi tiu malware estas ofte atribuita al organizitaj ciberkrimaj grupoj, ankaŭ konataj kiel APT-grupoj.
Parto de la Ryuk-kodo havas rimarkindan similecon al la kodo kaj strukturo de alia konata ransomware, Hermeso, kun kiu ili kunhavas kelkajn identajn funkciojn. Tial Ryuk estis komence ligita al la nordkorea grupo Lazarus, kiu tiutempe estis suspektita de troviĝi malantaŭ la Hermes-ransomware.
La Falcon X-servo de CrowdStrike poste notis ke Ryuk estis fakte kreita fare de la WIZARD SPIDER-grupo [4].
Estas iuj pruvoj por subteni ĉi tiun supozon. Unue, ĉi tiu ransomware estis reklamita en la retejo exploit.in, kiu estas konata rusa malware-merkato kaj antaŭe estis asociita kun iuj rusaj APT-grupoj.
Ĉi tiu fakto ekskludas la teorion ke Ryuk povus estinti evoluigita fare de la Lazarus APT-grupo, ĉar ĝi ne kongruas kun la maniero kiel la grupo funkcias.
Krome, Ryuk estis reklamita kiel ransomware kiu ne funkcios sur rusaj, ukrainaj kaj belorusa sistemoj. Ĉi tiu konduto estas determinita de trajto trovita en iuj versioj de Ryuk, kie ĝi kontrolas la lingvon de la sistemo sur kiu la ransomware funkcias kaj malhelpas ĝin funkcii se la sistemo havas rusan, ukrainan aŭ belorusan lingvon. Fine, spertula analizo de la maŝino, kiu estis hakita de la teamo WIZARD SPIDER, malkaŝis plurajn "artefaktojn", kiuj estis supozeble uzataj en la disvolviĝo de Ryuk kiel varianto de la Hermes-ransomware.
Aliflanke, spertuloj Gabriela Nicolao kaj Luciano Martins sugestis, ke la ransomware eble estis evoluigita de la APT-grupo CryptoTech [5].
Ĉi tio sekvas el la fakto, ke plurajn monatojn antaŭ la apero de Ryuk, ĉi tiu grupo afiŝis informojn sur la forumo de la sama retejo, ke ili evoluigis novan version de la Hermes-ransomware.
Pluraj forumuzantoj pridubis ĉu CryptoTech fakte kreis Ryuk. La grupo tiam defendis sin kaj deklaris ke ĝi havis indicon ke ili evoluigis 100% de la ransomware.
2. Karakterizaĵoj
Ni komencas kun la ekŝargilo, kies tasko estas identigi la sistemon, kiun ĝi estas, por ke la "ĝusta" versio de la Ryuk-ransomware estu lanĉita.
La botoŝargilo estas jena:
MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469
Unu el la trajtoj de ĉi tiu elŝutilo estas, ke ĝi ne enhavas iujn ajn metadatenojn, t.e. La kreintoj de ĉi tiu malware ne inkludis ajnan informon en ĝi.
Kelkfoje ili inkluzivas erarajn datumojn por trompi la uzanton pensi, ke ili funkcias laŭleĝan aplikaĵon. Tamen, kiel ni vidos poste, se la infekto ne implikas uzantinteragon (kiel estas la kazo kun ĉi tiu ransomware), tiam atakantoj ne konsideras necesa uzi metadatumojn.
Rizo. 6: Specimena Metadatumo
La provaĵo estis kompilita en 32-bita formato tiel ke ĝi povas funkcii per kaj 32-bita kaj 64-bita sistemoj.
3. Penetra vektoro
La specimeno, kiu elŝutas kaj kuras Ryuk, eniris nian sistemon per fora konekto, kaj la alirparametroj estis akiritaj per prepara RDP-atako.
Rizo. 7: Atako Registro
La atakanto sukcesis ensaluti en la sistemon malproksime. Post tio, li kreis plenumeblan dosieron kun nia specimeno.
Ĉi tiu rulebla dosiero estis blokita de kontraŭvirusa solvo antaŭ ol funkcii.
Rizo. 8: Ŝlosilo
Rizo. 9: Ŝlosilo
Kiam la malica dosiero estis blokita, la atakanto provis elŝuti ĉifritan version de la rulebla dosiero, kiu ankaŭ estis blokita.
Rizo. 10: Aro de specimenoj kiujn la atakanto provis kuri
Fine, li provis elŝuti alian malican dosieron per la ĉifrita konzolo
PowerShell por preteriri kontraŭvirusan protekton. Sed li ankaŭ estis blokita.
Rizo. 11: PowerShell kun malica enhavo blokita
Rizo. 12: PowerShell kun malica enhavo blokita
4. Ŝargilo
Kiam ĝi ekzekutas, ĝi skribas ReadMe-dosieron al la dosierujo % temp%, kiu estas tipa por Ryuk. Ĉi tiu dosiero estas elaĉeta noto enhavanta retpoŝtadreson en la protonmail domajno, kiu estas sufiĉe ofta en ĉi tiu malware familio: [retpoŝte protektita]
Rizo. 13: Elaĉetomono-Peto
Dum la ekŝargilo funkcias, vi povas vidi, ke ĝi lanĉas plurajn ruleblajn dosierojn kun hazardaj nomoj. Ili estas konservitaj en kaŝita dosierujo PUBLIKO, sed se la opcio ne estas aktiva en la operaciumo "Montri kaŝitajn dosierojn kaj dosierujojn", tiam ili restos kaŝitaj. Plie, ĉi tiuj dosieroj estas 64-bita, male al la gepatra dosiero, kiu estas 32-bita.
Rizo. 14: Efektiveblaj dosieroj lanĉitaj de la specimeno
Kiel vi povas vidi en la supra bildo, Ryuk lanĉas icacls.exe, kiu estos uzata por modifi ĉiujn ACL-ojn (Alirkontrollistoj), tiel certigante aliron kaj modifon de flagoj.
Ĝi ricevas plenan aliron sub ĉiuj uzantoj al ĉiuj dosieroj sur la aparato (/T) sendepende de eraroj (/C) kaj sen montri ajnajn mesaĝojn (/Q).
Rizo. 15: Ekzekutaj parametroj de icacls.exe lanĉitaj de la specimeno
Gravas noti, ke Ryuk kontrolas, kiun version de Vindozo vi funkcias. Por tio li
faras version-kontrolon uzante GetVersionExW, en kiu ĝi kontrolas la valoron de la flago lpVersionInformationindikante ĉu la nuna versio de Vindozo estas pli nova ol Windows XP.
Depende de ĉu vi rulas version pli malfrue ol Windows XP, la ekŝargilo skribos al la loka uzantdosierujo - ĉi-kaze al la dosierujo %Publika%.
Rizo. 17: Kontrolante la version de la operaciumo
La skriba dosiero estas Ryuk. Ĝi tiam kuras ĝin, pasante sian propran adreson kiel parametron.
Rizo. 18: Ekzekutu Ryuk per ShellExecute
La unua afero, kiun Ryuk faras, estas ricevi la enigajn parametrojn. Ĉi-foje estas du eniga parametroj (la efektivigebla mem kaj la dropper adreso) kiuj estas uzataj por forigi siajn proprajn spurojn.
Rizo. 19: Krei Procezon
Vi ankaŭ povas vidi, ke post kiam ĝi kuris siajn ruleblajn ekzekutaĵojn, ĝi forigas sin, tiel lasante neniun spuron de sia propra ĉeesto en la dosierujo kie ĝi estis ekzekutita.
Rizo. 20: Forigo de dosiero
5. RYUK
5.1 Ĉeesto
Ryuk, kiel aliaj malware, provas resti en la sistemo kiel eble plej longe. Kiel montrite supre, unu maniero atingi ĉi tiun celon estas sekrete krei kaj ruli ruleblajn dosierojn. Por fari tion, la plej ofta praktiko estas ŝanĝi la registran ŝlosilon CurrentVersionRun.
En ĉi tiu kazo, vi povas vidi ke tiucele la unua dosiero por esti lanĉita VWjRF.exe
(dosiernomo estas hazarde generita) lanĉas cmd.exe.
Rizo. 21: Ekzekutante VWjRF.exe
Poste enigu la komandon KURI Kun nomo "svchos". Tiel, se vi volas kontroli la registrajn ŝlosilojn iam ajn, vi povas facile maltrafi ĉi tiun ŝanĝon, pro la simileco de ĉi tiu nomo kun svchost. Danke al ĉi tiu ŝlosilo, Ryuk certigas ĝian ĉeeston en la sistemo. Se la sistemo ne havas ankoraŭ estis infektita, tiam kiam vi rekomencas la sistemon, la efektivigebla provo denove.
Rizo. 22: La specimeno certigas ĉeeston en la registra ŝlosilo
Ni ankaŭ povas vidi, ke ĉi tiu efektivigebla haltigas du servojn:
"audioendpointbuilder", kiu, kiel ĝia nomo indikas, egalrilatas al sistema audio,
Rizo. 23: Specimeno ĉesigas la sisteman audioservon
и Samss, kiu estas konta administra servo. Ĉesigi ĉi tiujn du servojn estas karakterizaĵo de Ryuk. En ĉi tiu kazo, se la sistemo estas konektita al SIEM-sistemo, la ransomware provas ĉesi sendi al ajnaj avertoj. Tiamaniere, li protektas siajn sekvajn paŝojn ĉar iuj SAM-servoj ne povos komenci sian laboron ĝuste post ekzekuto de Ryuk.
Rizo. 24: Specimeno ĉesigas Samss-servon
5.2 Privilegioj
Ĝenerale, Ryuk komencas moviĝi flanke ene de la reto aŭ ĝi estas lanĉita de alia malware kiel ekzemple aŭ , kiu, okaze de privilegia eskalado, transdonas ĉi tiujn altigitajn rajtojn al la ransomware.
Antaŭe, kiel antaŭludo al la efektiviga procezo, ni vidas lin efektivigi la procezon Imita Mem, kio signifas, ke la sekureca enhavo de la alirĵetono estos transdonita al la rivereto, kie ĝi tuj estos reprenita uzante GetCurrent Thread.
Rizo. 25: Voku ImpersonateSelf
Ni tiam vidas, ke ĝi asocios alirĵetonon kun fadeno. Ni ankaŭ vidas, ke unu el la flagoj estas Dezirata Aliro, kiu povas esti uzata por kontroli la aliron, kiun la fadeno havos. En ĉi tiu kazo la valoro kiun edx ricevos devus esti TOKEN_ALL_ACESS aŭ alie - TOKEN_WRITE.
Rizo. 26: Krei Fluan Tokenon
Tiam li uzos SeDebugPrivilege kaj faros vokon por akiri Sencimigajn permesojn sur la fadeno, rezultigante PROCESS_ALL_ACCESS, li povos aliri ajnan postulatan procezon. Nun, ĉar la ĉifrilo jam havas pretan fluon, restas nur iri al la fina etapo.
Rizo. 27: Vokado de SeDebugPrivilege kaj Privilege Escalation Function
Unuflanke, ni havas LookupPrivilegeValueW, kiu provizas al ni la necesajn informojn pri la privilegioj, kiujn ni volas pliigi.
Rizo. 28: Petu informojn pri privilegioj por privilegia eskalado
Aliflanke, ni havas AlĝustiguTokenPrivilegiojn, kiu ebligas al ni akiri la necesajn rajtojn al nia rivereto. En ĉi tiu kazo, la plej grava afero estas Novŝtato, kies flago donos privilegiojn.
Rizo. 29: Agordante permesojn por ĵetono
5.3 Efektivigo
En ĉi tiu sekcio, ni montros kiel la specimeno plenumas la efektivigprocezon antaŭe menciitan en ĉi tiu raporto.
La ĉefa celo de la efektivigprocezo, same kiel eskalado, estas akiri aliron al ombraj kopioj. Por fari tion, li bezonas labori kun fadeno kun rajtoj pli altaj ol tiuj de la loka uzanto. Post kiam ĝi akiras tiajn altigitajn rajtojn, ĝi forigos kopiojn kaj faros ŝanĝojn al aliaj procezoj por malebligi reveni al pli frua restaŭra punkto en la operaciumo.
Kiel estas tipa kun ĉi tiu tipo de malware, ĝi uzas Krei IlonHelp32Snapshotdo ĝi prenas momentfoton de la nun kurantaj procezoj kaj provas aliri tiujn procezojn uzante OpenProcess. Post kiam ĝi akiras aliron al la procezo, ĝi ankaŭ malfermas ĵetonon kun siaj informoj por akiri la procezajn parametrojn.
Rizo. 30: Reakiro de procezoj de komputilo
Ni povas dinamike vidi kiel ĝi ricevas la liston de kurantaj procezoj en rutino 140002D9C uzante CreateToolhelp32Snapshot. Post ricevi ilin, li ekzamenas la liston, provante malfermi procezojn unu post alia uzante OpenProcess ĝis li sukcesas. En ĉi tiu kazo, la unua procezo, kiun li povis malfermi, estis "taskhost.exe".
Rizo. 31: Dinamike Efektivigu Proceduron por Akiri Procezon
Ni povas vidi, ke ĝi poste legas la procezĵeton-informojn, do ĝi vokas OpenProcessToken kun parametro "20008"
Rizo. 32: Legu procezĵetonajn informojn
Ĝi ankaŭ kontrolas, ke la procezo en kiun ĝi estos injektita ne estas csrss.exe, explorer.exe, lsaas.exe aŭ ke li havas aron da rajtoj NT aŭtoritato.
Rizo. 33: Ekskluditaj procezoj
Ni povas dinamike vidi kiel ĝi unue faras la kontrolon uzante la procezĵeton-informojn 140002D9C por ekscii ĉu la konto, kies rajtoj estas uzataj por efektivigi procezon, estas konto NT AŬTORITATO.
Rizo. 34: kontrolo de NT AŬTORITATO
Kaj poste, ekster la proceduro, li kontrolas, ke tio ne estas csrss.exe, explorer.exe aŭ lsaas.exe.
Rizo. 35: kontrolo de NT AŬTORITATO
Post kiam li prenis momentfoton de la procezoj, malfermis la procezojn kaj kontrolis, ke neniu el ili estas ekskludita, li pretas skribi al memoro la procezojn kiuj estos injektitaj.
Por fari tion, ĝi unue rezervas areon en memoro (VirtualAllocEx), skribas en ĝi (WriteProcessmemory) kaj kreas fadenon (Krei Remote Thread). Por labori kun ĉi tiuj funkcioj, ĝi uzas la PID-ojn de la elektitaj procezoj, kiujn ĝi antaŭe akiris uzante KreiToolhelp32Snapshot.
Rizo. 36: Enigi kodon
Ĉi tie ni povas dinamike observi kiel ĝi uzas la procezon PID por voki la funkcion VirtualAllocEx.
Rizo. 37: Voku VirtualAllocEx
5.4 Ĉifrado
En ĉi tiu sekcio, ni rigardos la ĉifradan parton de ĉi tiu specimeno. En la sekva bildo vi povas vidi du subrutinojn nomitajn "LoadLibrary_EncodeString"Kaj"Encode_Func", kiuj respondecas pri plenumi la ĉifradan proceduron.
Rizo. 38: Ĉifradaj proceduroj
Komence ni povas vidi kiel ĝi ŝarĝas ĉenon, kiu poste estos uzata por senobskuĉi ĉion necesan: importadoj, DLL-oj, komandoj, dosieroj kaj CSP-oj.
Rizo. 39: Cirkvito de malklarigado
La sekva figuro montras la unuan importon, kiun ĝi malfukas en registro R4. Ŝarĝi Biblioteko. Ĉi tio estos uzata poste por ŝargi la postulatajn DLL-ojn. Ni ankaŭ povas vidi alian linion en la registro R12, kiu estas uzata kune kun la antaŭa linio por fari malklarigadon.
Rizo. 40: Dinamika malklarigado
Ĝi daŭre elŝutas komandojn, kiujn ĝi ruliĝos poste por malŝalti sekurkopiojn, restarigi punktojn kaj sekurajn lantajn reĝimojn.
Rizo. 41: Ŝarĝante komandojn
Tiam ĝi ŝarĝas la lokon kie ĝi faligos 3 dosierojn: Windows.bat, run.sct и komenci.bat.
Rizo. 42: Dosieraj Lokoj
Ĉi tiuj 3 dosieroj estas uzataj por kontroli la privilegiojn kiujn ĉiu loko havas. Se la postulataj privilegioj ne haveblas, Ryuk ĉesigas ekzekuton.
Ĝi daŭre ŝarĝas la liniojn respondajn al la tri dosieroj. Unue, DECRYPT_INFORMATION.html, enhavas informojn necesajn por reakiri dosierojn. Due, PUBLIKO, enhavas la publikan ŝlosilon RSA.
Rizo. 43: Linio DECRIPT INFORMATION.html
Trie, UNIQUE_ID_DO_NOT_REMOVE, enhavas la ĉifritan ŝlosilon, kiu estos uzata en la sekva rutino por plenumi la ĉifradon.
Rizo. 44: Linio UNIKA ID NE FORIGI
Fine, ĝi elŝutas la postulatajn bibliotekojn kune kun la postulataj importadoj kaj CSP-oj (Microsoft Enhanced RSA и AES Kriptografia Provizanto).
Rizo. 45: Ŝargado de bibliotekoj
Post kiam ĉiu malklarigado estas finita, ĝi daŭrigas plenumi la agojn necesajn por ĉifrado: listigi ĉiujn logikaj diskoj, ekzekuti tion, kio estis ŝarĝita en la antaŭa rutino, plifortigi la ĉeeston en la sistemo, ĵeti la RyukReadMe.html-dosieron, ĉifrado, listigi ĉiujn retajn diskojn. , transiro al detektitaj aparatoj kaj ilia ĉifrado.
Ĉio komenciĝas per ŝarĝo"cmd.exe" kaj RSA publika ŝlosilo rekordoj.
Rizo. 46: Preparante por ĉifrado
Tiam ĝi ricevas ĉiujn logikajn diskojn uzante GetLogicalDrives kaj malŝaltas ĉiujn sekurkopiojn, restaŭrigajn punktojn kaj sekurajn startreĝimojn.
Rizo. 47: Malaktivigo de reakiro-iloj
Post tio, ĝi plifortigas sian ĉeeston en la sistemo, kiel ni vidis supre, kaj skribas la unuan dosieron RyukReadMe.html в TEMP.
Rizo. 48: Eldonante elaĉetomonon
En la sekva bildo vi povas vidi kiel ĝi kreas dosieron, elŝutas la enhavon kaj skribas ĝin:
Rizo. 49: Ŝargado kaj skribado de dosierenhavoj
Por povi fari la samajn agojn sur ĉiuj aparatoj, li uzas
"icacls.exe", kiel ni montris supre.
Rizo. 50: Uzante icalcls.exe
Kaj finfine, ĝi komencas ĉifri dosierojn krom "*.exe", "*.dll" dosieroj, sistemaj dosieroj kaj aliaj lokoj specifitaj en la formo de ĉifrita blanka listo. Por fari tion, ĝi uzas importadojn: CryptAcquireContextW (kie la uzo de AES kaj RSA estas precizigita), CryptDeriveKey, CryptGenKey, CryptDestroyKey ktp. Ĝi ankaŭ provas etendi sian atingon al malkovritaj retaj aparatoj uzante WNetEnumResourceW kaj tiam ĉifri ilin.
Rizo. 51: Ĉifrado de sistemaj dosieroj
6. Importadoj kaj respondaj flagoj
Malsupre estas tabelo listiganta la plej gravajn importadojn kaj flagojn uzatajn de la specimeno:
7. IOC
referencoj
- uzantojPublicrun.sct
- Komencu MenuoProgramsStartupstart.bat AppDataRoamingMicrosoftWindowsStart
- MenuProgramsStartupstart.bat
Teknika raporto pri la Ryuk-ransomware estis kompilita de spertuloj de la antivirusa laboratorio PandaLabs.
8. Ligiloj
1. “Everis y Prisa Radio sufren un grave ciberataque que secuestra sus sistemas.” https://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, Publikigita la 04/11/2019.
2. “Un virus de origen ruso ataca a importantes empresas españolas.” https: //elpais.com/tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, Publicada la 04/11/2019.
3. "VB2019-papero: la venĝo de Ŝinigamio: la longa vosto de la malware Ryuk." https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, Publikigo el 11 /12/2019
4. "Ĉasado de Granda Ludo kun Ryuk: Alia Ransomware LucrativebTargeted." https://www. crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/, Publikigita la 10/01/2019.
5. "VB2019-papero: La venĝo de Ŝinigamio: la longa vosto de la malware Ryuk." https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigamis-revenge-long-tail-r
fonto: www.habr.com