Ryuk est l’une des options de ransomware les plus connues de ces dernières années. Depuis sa première apparition à l’été 2018, il a collecté , notamment dans le milieu des affaires, qui est la principale cible de ses attaques.
1. Informations générales
Ce document contient une analyse de la variante du ransomware Ryuk, ainsi que le chargeur responsable du chargement du malware dans le système.
Le ransomware Ryuk est apparu pour la première fois à l’été 2018. L'une des différences entre Ryuk et les autres ransomwares est qu'il vise à attaquer les environnements d'entreprise.
À la mi-2019, des groupes cybercriminels ont attaqué un grand nombre d’entreprises espagnoles en utilisant ce rançongiciel.
Riz. 1 : Extrait d'El Confidencial concernant l'attaque du ransomware Ryuk [1]
Riz. 2 : Extrait d'El País sur une attaque menée à l'aide du ransomware Ryuk [2]
Cette année, Ryuk a attaqué un grand nombre d’entreprises dans différents pays. Comme le montrent les chiffres ci-dessous, l’Allemagne, la Chine, l’Algérie et l’Inde ont été les plus durement touchées.
En comparant le nombre de cyberattaques, nous pouvons constater que Ryuk a touché des millions d’utilisateurs et compromis une énorme quantité de données, entraînant de graves pertes économiques.
Riz. 3 : Illustration de l'activité globale de Ryuk.
Riz. 4 : 16 pays les plus touchés par Ryuk
Riz. 5 : Nombre d'utilisateurs attaqués par le rançongiciel Ryuk (en millions)
Selon le principe de fonctionnement habituel de telles menaces, ce ransomware, une fois le cryptage terminé, montre à la victime une notification de rançon qui doit être payée en bitcoins à l'adresse indiquée pour restaurer l'accès aux fichiers cryptés.
Ce malware a changé depuis son introduction.
La variante de cette menace analysée dans ce document a été découverte lors d’une tentative d’attaque en janvier 2020.
En raison de sa complexité, ce malware est souvent attribué à des groupes de cybercriminels organisés, également appelés groupes APT.
Une partie du code de Ryuk présente une similitude notable avec le code et la structure d'un autre ransomware bien connu, Hermes, avec lequel ils partagent un certain nombre de fonctions identiques. C’est pourquoi Ryuk était initialement lié au groupe nord-coréen Lazarus, soupçonné à l’époque d’être à l’origine du ransomware Hermes.
Le service Falcon X de CrowdStrike a par la suite noté que Ryuk avait en fait été créé par le groupe WIZARD SPIDER [4].
Il existe certaines preuves pour étayer cette hypothèse. Tout d’abord, ce ransomware a été annoncé sur le site Web exploit.in, un marché russe bien connu de logiciels malveillants et qui a déjà été associé à certains groupes APT russes.
Ce fait exclut la théorie selon laquelle Ryuk aurait pu être développé par le groupe Lazarus APT, car cela ne correspond pas au fonctionnement du groupe.
De plus, Ryuk a été présenté comme un ransomware qui ne fonctionnerait pas sur les systèmes russes, ukrainiens et biélorusses. Ce comportement est déterminé par une fonctionnalité présente dans certaines versions de Ryuk, où elle vérifie la langue du système sur lequel le ransomware est exécuté et l'empêche de s'exécuter si le système a une langue russe, ukrainienne ou biélorusse. Enfin, une analyse experte de la machine piratée par l’équipe WIZARD SPIDER a révélé plusieurs « artefacts » qui auraient été utilisés dans le développement de Ryuk comme variante du ransomware Hermes.
En revanche, les experts Gabriela Nicolao et Luciano Martins suggèrent que le ransomware pourrait avoir été développé par le groupe APT CryptoTech [5].
Cela découle du fait que plusieurs mois avant l'apparition de Ryuk, ce groupe a posté sur le forum du même site des informations selon lesquelles ils avaient développé une nouvelle version du ransomware Hermes.
Plusieurs utilisateurs du forum se sont demandé si CryptoTech avait réellement créé Ryuk. Le groupe s’est alors défendu et a déclaré avoir la preuve qu’il avait développé 100 % du ransomware.
2. Caractéristiques
Nous commençons par le bootloader, dont le travail consiste à identifier le système sur lequel il se trouve afin que la version « correcte » du ransomware Ryuk puisse être lancée.
Le hachage du chargeur de démarrage est le suivant :
MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469
L'une des caractéristiques de ce téléchargeur est qu'il ne contient aucune métadonnée, c'est-à-dire Les créateurs de ce malware n’y ont inclus aucune information.
Parfois, ils incluent des données erronées pour faire croire à l’utilisateur qu’il exécute une application légitime. Cependant, comme nous le verrons plus tard, si l’infection n’implique pas d’interaction de l’utilisateur (comme c’est le cas avec ce ransomware), alors les attaquants ne jugent pas nécessaire d’utiliser des métadonnées.
Riz. 6 : Exemples de métadonnées
L'exemple a été compilé au format 32 bits afin de pouvoir fonctionner sur des systèmes 32 bits et 64 bits.
3. Vecteur de pénétration
L'échantillon qui télécharge et exécute Ryuk est entré dans notre système via une connexion à distance, et les paramètres d'accès ont été obtenus grâce à une attaque RDP préliminaire.
Riz. 7 : Registre des attaques
L'attaquant a réussi à se connecter au système à distance. Après cela, il a créé un fichier exécutable avec notre échantillon.
Ce fichier exécutable a été bloqué par une solution antivirus avant son exécution.
Riz. 8 : Verrouillage du motif
Riz. 9 : Verrouillage du motif
Lorsque le fichier malveillant a été bloqué, l'attaquant a tenté de télécharger une version cryptée du fichier exécutable, qui a également été bloqué.
Riz. 10 : Ensemble d'échantillons que l'attaquant a tenté d'exécuter
Finalement, il a tenté de télécharger un autre fichier malveillant via la console cryptée
PowerShell pour contourner la protection antivirus. Mais il a également été bloqué.
Riz. 11 : PowerShell avec contenu malveillant bloqué
Riz. 12 : PowerShell avec contenu malveillant bloqué
4. Chargeur
Lors de son exécution, il écrit un fichier ReadMe dans le dossier % Temp%, ce qui est typique de Ryuk. Ce fichier est une demande de rançon contenant une adresse email dans le domaine protonmail, ce qui est assez courant dans cette famille de malware : [email protected]
Riz. 13 : Demande de rançon
Pendant que le chargeur de démarrage est en cours d'exécution, vous pouvez voir qu'il lance plusieurs fichiers exécutables avec des noms aléatoires. Ils sont stockés dans un dossier caché PUBLIC, mais si l'option n'est pas active dans le système d'exploitation "Afficher les fichiers et dossiers cachés", alors ils resteront cachés. De plus, ces fichiers sont en 64 bits, contrairement au fichier parent qui est en 32 bits.
Riz. 14 : Fichiers exécutables lancés par l'exemple
Comme vous pouvez le voir sur l'image ci-dessus, Ryuk lance icacls.exe, qui servira à modifier toutes les ACL (Access control lists), assurant ainsi l'accès et la modification des flags.
Il obtient un accès complet pour tous les utilisateurs à tous les fichiers de l'appareil (/T), quelles que soient les erreurs (/C) et sans afficher aucun message (/Q).
Riz. 15 : Paramètres d'exécution de icacls.exe lancé par l'exemple
Il est important de noter que Ryuk vérifie quelle version de Windows vous utilisez. Pour cela il
effectue une vérification de version en utilisant ObtenirVersionExW, dans lequel il vérifie la valeur du drapeau lpVersionInformationsindiquant si la version actuelle de Windows est plus récente que windows XP.
Selon que vous exécutez ou non une version ultérieure à Windows XP, le chargeur de démarrage écrira dans le dossier utilisateur local - dans ce cas dans le dossier %Publique%.
Riz. 17 : Vérification de la version du système d'exploitation
Le fichier en cours d'écriture est Ryuk. Il l'exécute ensuite en passant sa propre adresse en paramètre.
Riz. 18 : Exécuter Ryuk via ShellExecute
La première chose que fait Ryuk est de recevoir les paramètres d'entrée. Cette fois, deux paramètres d'entrée (l'exécutable lui-même et l'adresse du dropper) sont utilisés pour supprimer ses propres traces.
Riz. 19 : Créer un processus
Vous pouvez également constater qu'une fois qu'il a exécuté ses exécutables, il se supprime, ne laissant ainsi aucune trace de sa propre présence dans le dossier où il a été exécuté.
Riz. 20 : Supprimer un fichier
5. RYUK
5.1 Présence
Ryuk, comme les autres logiciels malveillants, essaie de rester sur le système le plus longtemps possible. Comme indiqué ci-dessus, une façon d’atteindre cet objectif consiste à créer et à exécuter secrètement des fichiers exécutables. Pour ce faire, la pratique la plus courante consiste à modifier la clé de registre Version actuelleExécuter.
Dans ce cas, vous pouvez voir qu'à cet effet le premier fichier à lancer VWjRF.exe
(le nom du fichier est généré aléatoirement) se lance cmd.exe.
Riz. 21 : Exécution de VWjRF.exe
Entrez ensuite la commande COURT Avec le nom "svchos". Ainsi, si vous souhaitez vérifier les clés de registre à tout moment, vous pouvez facilement rater ce changement, étant donné la similitude de ce nom avec svchost. Grâce à cette clé, Ryuk assure sa présence dans le système. Si le système n'a pas encore été infecté, puis lorsque vous redémarrerez le système, l'exécutable réessayera.
Riz. 22 : L'échantillon garantit la présence dans la clé de registre
On peut également voir que cet exécutable arrête deux services :
"constructeur de points de terminaison audio", qui, comme son nom l'indique, correspond à l'audio système,
Riz. 23 : L'échantillon arrête le service audio du système
и Samss, qui est un service de gestion de compte. L'arrêt de ces deux services est une caractéristique de Ryuk. Dans ce cas, si le système est connecté à un système SIEM, le ransomware tente d'arrêter l'envoi vers tout avertissement. De cette façon, il protège ses prochaines étapes puisque certains services SAM ne pourront pas démarrer correctement leur travail après avoir exécuté Ryuk.
Riz. 24 : L'échantillon arrête le service Samss
5.2 Privilèges
De manière générale, Ryuk commence par se déplacer latéralement au sein du réseau ou est lancé par un autre malware tel que ou , qui, en cas d’élévation de privilèges, transfère ces droits élevés au ransomware.
Au préalable, en prélude au processus de mise en œuvre, on le voit réaliser le processus Usurper l'identité de soi, ce qui signifie que le contenu de sécurité du jeton d'accès sera transmis au flux, où il sera immédiatement récupéré à l'aide de ObtenirCurrentThread.
Riz. 25 : Appelez-vous à vous faire passer pour vous-même
On voit alors qu'il va associer un jeton d'accès à un thread. On voit aussi que l'un des drapeaux est Accès souhaité, qui peut être utilisé pour contrôler l’accès dont disposera le thread. Dans ce cas, la valeur que edx recevra doit être TOKEN_ALL_ACESS ou autrement - TOKEN_WRITE.
Riz. 26 : Création d'un jeton de flux
Il utilisera alors SeDebugPrivilegeSeDebugPrivilege et effectuera un appel pour obtenir les autorisations de débogage sur le thread, ce qui entraînera PROCESS_ALL_ACCESS, il pourra accéder à tout processus requis. Désormais, étant donné que le chiffreur dispose déjà d'un flux préparé, il ne reste plus qu'à passer à l'étape finale.
Riz. 27 : Appel de la fonction SeDebugPrivilege et élévation de privilèges
D'une part, nous avons LookupPrivilegeValueW, qui nous fournit les informations nécessaires sur les privilèges que nous souhaitons augmenter.
Riz. 28 : Demander des informations sur les privilèges pour l'élévation des privilèges
D'un autre côté, nous avons AdjustTokenPrivileges, ce qui nous permet d'obtenir les droits nécessaires sur notre flux. Dans ce cas, le plus important est Nouvel État, dont le drapeau accordera des privilèges.
Riz. 29 : Configuration des autorisations pour un jeton
5.3 Mise en œuvre
Dans cette section, nous montrerons comment l'échantillon exécute le processus de mise en œuvre mentionné précédemment dans ce rapport.
L'objectif principal du processus de mise en œuvre, ainsi que de l'escalade, est d'accéder à clichés instantanés. Pour ce faire, il doit travailler avec un thread avec des droits supérieurs à ceux de l'utilisateur local. Une fois qu'il aura obtenu ces droits élevés, il supprimera les copies et apportera des modifications à d'autres processus afin de rendre impossible le retour à un point de restauration antérieur du système d'exploitation.
Comme c'est généralement le cas avec ce type de malware, il utilise CreateToolHelp32Snapshotil prend donc un instantané des processus en cours d'exécution et tente d'accéder à ces processus en utilisant Processus ouvert. Une fois qu'il accède au processus, il ouvre également un jeton avec ses informations pour obtenir les paramètres du processus.
Riz. 30 : Récupérer des processus depuis un ordinateur
Nous pouvons voir dynamiquement comment il obtient la liste des processus en cours d'exécution dans la routine 140002D9C à l'aide de CreateToolhelp32Snapshot. Après les avoir reçus, il parcourt la liste, essayant d'ouvrir les processus un par un en utilisant OpenProcess jusqu'à ce qu'il réussisse. Dans ce cas, le premier processus qu'il a pu ouvrir était "taskhost.exe".
Riz. 31 : Exécuter dynamiquement une procédure pour obtenir un processus
Nous pouvons voir qu'il lit ensuite les informations du jeton de processus, il appelle donc OpenProcessTokenOpenProcessToken avec le paramètre "20008"
Riz. 32 : Lire les informations du jeton de processus
Il vérifie également que le processus dans lequel il sera injecté n'est pas Csrss.exe-, explorer.exe, lsaas.exe ou qu'il a un ensemble de droits Autorité du NT.
Riz. 33 : Processus exclus
Nous pouvons voir dynamiquement comment il effectue d'abord la vérification en utilisant les informations du jeton de processus dans 140002D9C afin de savoir si le compte dont les droits sont utilisés pour exécuter un traitement est un compte AUTORITÉ NT.
Riz. 34 : vérification de l'AUTORITÉ NT
Et plus tard, en dehors de la procédure, il vérifie que ce n'est pas le cas. csrss.exe, explorer.exe ou lsaas.exe.
Riz. 35 : vérification de l'AUTORITÉ NT
Une fois qu'il a pris un instantané des processus, ouvert les processus et vérifié qu'aucun d'entre eux n'est exclu, il est prêt à écrire en mémoire les processus qui seront injectés.
Pour ce faire, il réserve d'abord une zone en mémoire (VirtuelAllocEx), y écrit (Mémoire de processus d'écriture) et crée un fil de discussion (Créer un fil distant). Pour travailler avec ces fonctions, il utilise les PID des processus sélectionnés, qu'il a préalablement obtenus en utilisant CreateToolhelp32Snapshot.
Riz. 36 : Code intégré
Ici, nous pouvons observer dynamiquement comment il utilise le processus PID pour appeler la fonction VirtualAllocEx.
Riz. 37 : Appelez VirtualAllocEx
5.4 Chiffrement
Dans cette section, nous examinerons la partie chiffrement de cet exemple. Dans l'image suivante, vous pouvez voir deux sous-programmes appelés "LoadLibrary_EncodeString"Et"Encode_Func", qui sont chargés d'effectuer la procédure de cryptage.
Riz. 38 : Procédures de cryptage
Au début, nous pouvons voir comment il charge une chaîne qui sera ensuite utilisée pour désobscurcir tout ce qui est nécessaire : importations, DLL, commandes, fichiers et CSP.
Riz. 39 : Circuit de désobscurcissement
La figure suivante montre la première importation qu'il désobscurcit dans le registre R4. ChargerLibrary. Ceci sera utilisé plus tard pour charger les DLL requises. Nous pouvons également voir une autre ligne dans le registre R12, qui est utilisée avec la ligne précédente pour effectuer la désobscurcissement.
Riz. 40 : Déobscurcissement dynamique
Il continue de télécharger les commandes qu'il exécutera ultérieurement pour désactiver les sauvegardes, les points de restauration et les modes de démarrage sécurisé.
Riz. 41 : Chargement des commandes
Ensuite, il charge l'emplacement où il déposera 3 fichiers : Windows.bat, run.sct и start.bat.
Riz. 42 : Emplacements des fichiers
Ces 3 fichiers sont utilisés pour vérifier les privilèges dont dispose chaque emplacement. Si les privilèges requis ne sont pas disponibles, Ryuk arrête l'exécution.
Il continue de charger les lignes correspondant aux trois fichiers. D'abord, DECRYPT_INFORMATION.html, contient les informations nécessaires à la récupération des fichiers. Deuxième, PUBLIC, contient la clé publique RSA.
Riz. 43 : Ligne DÉCRYPTER LES INFORMATIONS.html
Troisième, UNIQUE_ID_DO_NOT_REMOVE, contient la clé chiffrée qui sera utilisée dans la prochaine routine pour effectuer le chiffrement.
Riz. 44 : Ligne ID UNIQUE NE PAS SUPPRIMER
Enfin, il télécharge les bibliothèques requises ainsi que les importations et CSP requis (RSA amélioré par Microsoft и Fournisseur cryptographique AES).
Riz. 45 : Chargement des bibliothèques
Une fois toute la désobscurcissement terminée, il procède aux actions requises pour le chiffrement : énumération de tous les lecteurs logiques, exécution de ce qui a été chargé dans la routine précédente, renforcement de la présence dans le système, lancement du fichier RyukReadMe.html, chiffrement, énumération de tous les lecteurs réseau. , transition vers les appareils détectés et leur cryptage.
Tout commence par le chargement"cmd.exe" et les enregistrements de clé publique RSA.
Riz. 46 : Préparer le cryptage
Ensuite, il récupère tous les lecteurs logiques en utilisant ObtenirLogicalDrives et désactive toutes les sauvegardes, points de restauration et modes de démarrage sécurisé.
Riz. 47 : Désactivation des outils de récupération
Après cela, il renforce sa présence dans le système, comme nous l'avons vu plus haut, et écrit le premier fichier RyukReadMe.html в TEMP.
Riz. 48 : Publier un avis de rançon
Dans l'image suivante, vous pouvez voir comment il crée un fichier, télécharge le contenu et l'écrit :
Riz. 49 : Chargement et écriture du contenu du fichier
Pour pouvoir effectuer les mêmes actions sur tous les appareils, il utilise
"icacls.exe", comme nous l'avons montré ci-dessus.
Riz. 50 : Utilisation de icalcls.exe
Et enfin, il commence à chiffrer les fichiers à l'exception des fichiers « *.exe », « *.dll », des fichiers système et d'autres emplacements spécifiés sous la forme d'une liste blanche chiffrée. Pour ce faire, il utilise des importations : CryptAcquireContextW (où l'utilisation d'AES et RSA est spécifiée), CryptDeriveKey, CryptGenKey, CryptDestroyKey etc. Il tente également d'étendre sa portée aux périphériques réseau découverts à l'aide de WNetEnumResourceW, puis de les chiffrer.
Riz. 51 : Cryptage des fichiers système
6. Importations et drapeaux correspondants
Vous trouverez ci-dessous un tableau répertoriant les importations et les indicateurs les plus pertinents utilisés par l'échantillon :
7. CIO
références
- utilisateursPublicrun.sct
- Menu DémarrerProgrammesStartupstart.bat AppDataRoamingMicrosoftWindowsDémarrer
- MenuProgrammesDémarragestart.bat
Un rapport technique sur le ransomware Ryuk a été rédigé par des experts du laboratoire antivirus PandaLabs.
8. Liens
1. « Everis y Prisa Radio sufren un grave ciberataque que secuestra sus sistemas. » https://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, publié le 04/11/2019.
2. « Un virus d'origine russe qui attaque d'importantes entreprises espagnoles. » https://elpais.com/tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, publié le 04/11/2019.
3. « Article VB2019 : La vengeance de Shinigami : la longue traîne du malware Ryuk. » https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, publication le 11 /12/2019
4. « Chasse au gros gibier avec Ryuk : un autre ransomware ciblé et lucratif. »https://www. crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/, publié le 10/01/2019.
5. « Article VB2019 : La vengeance de Shinigami : la longue traîne du malware Ryuk. » https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigamis-revenge-long-tail-r
Source: habr.com