Ryuk adalah salah satu opsi ransomware paling terkenal dalam beberapa tahun terakhir. Sejak pertama kali muncul pada musim panas 2018, sudah terkumpul , khususnya di lingkungan bisnis yang menjadi sasaran utama serangannya.
1. Informasi umum
Dokumen ini berisi analisis varian ransomware Ryuk, serta pemuat yang bertanggung jawab memuat malware ke dalam sistem.
Ransomware Ryuk pertama kali muncul pada musim panas 2018. Salah satu perbedaan antara Ryuk dan ransomware lainnya adalah ditujukan untuk menyerang lingkungan perusahaan.
Pada pertengahan tahun 2019, kelompok penjahat dunia maya menyerang sejumlah besar perusahaan Spanyol menggunakan ransomware ini.
Beras. 1: Kutipan dari El Confidencial mengenai serangan ransomware Ryuk [1]
Beras. 2: Kutipan dari El País tentang serangan yang dilakukan menggunakan ransomware Ryuk [2]
Tahun ini, Ryuk telah menyerang sejumlah besar perusahaan di berbagai negara. Seperti yang dapat Anda lihat pada gambar di bawah, Jerman, Tiongkok, Aljazair, dan India adalah negara yang paling terkena dampaknya.
Dengan membandingkan jumlah serangan cyber, kita dapat melihat bahwa Ryuk telah mempengaruhi jutaan pengguna dan mengkompromikan sejumlah besar data, sehingga mengakibatkan kerugian ekonomi yang besar.
Beras. 3: Ilustrasi aktivitas global Ryuk.
Beras. 4: 16 negara yang paling terkena dampak Ryuk
Beras. 5: Jumlah pengguna yang diserang oleh ransomware Ryuk (dalam jutaan)
Menurut prinsip operasi biasa dari ancaman tersebut, ransomware ini, setelah enkripsi selesai, menunjukkan kepada korban pemberitahuan tebusan yang harus dibayar dalam bitcoin ke alamat yang ditentukan untuk memulihkan akses ke file terenkripsi.
Malware ini telah berubah sejak pertama kali diperkenalkan.
Varian ancaman yang dianalisis dalam dokumen ini ditemukan selama upaya serangan pada Januari 2020.
Karena kompleksitasnya, malware ini sering dikaitkan dengan kelompok penjahat dunia maya terorganisir, yang juga dikenal sebagai kelompok APT.
Bagian dari kode Ryuk memiliki kemiripan yang mencolok dengan kode dan struktur ransomware terkenal lainnya, Hermes, yang memiliki sejumlah fungsi serupa. Inilah sebabnya Ryuk awalnya dikaitkan dengan grup Korea Utara Lazarus, yang pada saat itu dicurigai berada di balik ransomware Hermes.
Layanan Falcon X CrowdStrike kemudian mencatat bahwa Ryuk sebenarnya diciptakan oleh grup WIZARD SPIDER [4].
Ada beberapa bukti yang mendukung asumsi ini. Pertama, ransomware ini diiklankan di situs eksploitasi.in, yang merupakan pasar malware Rusia yang terkenal dan sebelumnya telah dikaitkan dengan beberapa grup APT Rusia.
Fakta ini mengesampingkan teori bahwa Ryuk bisa saja dikembangkan oleh kelompok Lazarus APT, karena itu tidak sesuai dengan cara kelompok beroperasi.
Selain itu, Ryuk diiklankan sebagai ransomware yang tidak akan berfungsi pada sistem Rusia, Ukraina, dan Belarusia. Perilaku ini ditentukan oleh fitur yang ditemukan di beberapa versi Ryuk, yang memeriksa bahasa sistem tempat ransomware berjalan dan menghentikannya berjalan jika sistem menggunakan bahasa Rusia, Ukraina, atau Belarusia. Terakhir, analisis ahli terhadap mesin yang diretas oleh tim WIZARD SPIDER mengungkap beberapa “artefak” yang diduga digunakan dalam pengembangan Ryuk sebagai varian ransomware Hermes.
Di sisi lain, ahli Gabriela Nicolao dan Luciano Martins menyatakan bahwa ransomware mungkin dikembangkan oleh grup APT CryptoTech [5].
Hal ini mengikuti fakta bahwa beberapa bulan sebelum kemunculan Ryuk, grup ini memposting informasi di forum situs yang sama bahwa mereka telah mengembangkan versi baru dari ransomware Hermes.
Beberapa pengguna forum mempertanyakan apakah CryptoTech benar-benar menciptakan Ryuk. Kelompok tersebut kemudian membela diri dan menyatakan bahwa mereka memiliki bukti bahwa mereka telah mengembangkan 100% ransomware tersebut.
2. Karakteristik
Kita mulai dengan bootloader, yang tugasnya mengidentifikasi sistem yang menjalankannya sehingga versi ransomware Ryuk yang “benar” dapat diluncurkan.
Hash bootloadernya adalah sebagai berikut:
MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469
Salah satu fitur pengunduh ini adalah tidak mengandung metadata apa pun, mis. Pembuat malware ini belum menyertakan informasi apa pun di dalamnya.
Terkadang mereka menyertakan data yang salah untuk mengelabui pengguna agar mengira mereka menjalankan aplikasi yang sah. Namun, seperti yang akan kita lihat nanti, jika infeksi tidak melibatkan interaksi pengguna (seperti halnya ransomware ini), maka penyerang tidak menganggap perlu menggunakan metadata.
Beras. 6: Contoh Meta Data
Sampel dikompilasi dalam format 32-bit sehingga dapat dijalankan pada sistem 32-bit dan 64-bit.
3. Vektor penetrasi
Sampel yang mengunduh dan menjalankan Ryuk memasuki sistem kami melalui koneksi jarak jauh, dan parameter akses diperoleh melalui serangan RDP awal.
Beras. 7: Daftar Serangan
Penyerang berhasil masuk ke sistem dari jarak jauh. Setelah itu, dia membuat file yang dapat dieksekusi dengan sampel kami.
File yang dapat dieksekusi ini diblokir oleh solusi antivirus sebelum dijalankan.
Beras. 8: Kunci pola
Beras. 9: Kunci pola
Ketika file berbahaya diblokir, penyerang mencoba mengunduh versi terenkripsi dari file yang dapat dieksekusi, yang juga diblokir.
Beras. 10: Kumpulan sampel yang coba dijalankan penyerang
Akhirnya, dia mencoba mengunduh file berbahaya lainnya melalui konsol terenkripsi
PowerShell untuk melewati perlindungan antivirus. Tapi dia juga diblokir.
Beras. 11: PowerShell dengan konten berbahaya diblokir
Beras. 12: PowerShell dengan konten berbahaya diblokir
4. Pemuat
Saat dijalankan, ia menulis file ReadMe ke folder tersebut % Temp%, yang merupakan ciri khas Ryuk. File ini adalah catatan tebusan yang berisi alamat email di domain protonmail, yang cukup umum di keluarga malware ini: alamat email: msifelabem1981@protonmail.com
Beras. 13: Permintaan Tebusan
Saat bootloader berjalan, Anda dapat melihat bahwa ia meluncurkan beberapa file yang dapat dieksekusi dengan nama acak. Mereka disimpan dalam folder tersembunyi PUBLIK, tetapi jika opsi tersebut tidak aktif di sistem operasi "Tampilkan file dan folder tersembunyi", maka mereka akan tetap tersembunyi. Apalagi file-file ini 64-bit, berbeda dengan file induknya yang 32-bit.
Beras. 14: File yang dapat dieksekusi diluncurkan oleh sampel
Seperti yang Anda lihat pada gambar di atas, Ryuk meluncurkan icacls.exe, yang akan digunakan untuk memodifikasi semua ACL (daftar kontrol Akses), sehingga memastikan akses dan modifikasi flag.
Ia mendapat akses penuh di bawah semua pengguna ke semua file di perangkat (/T) terlepas dari kesalahan (/C) dan tanpa menampilkan pesan apa pun (/Q).
Beras. 15: Parameter eksekusi icacls.exe diluncurkan oleh sampel
Penting untuk dicatat bahwa Ryuk memeriksa versi Windows yang Anda jalankan. Untuk ini dia
melakukan pemeriksaan versi menggunakan DapatkanVersionExW, yang mana ia memeriksa nilai bendera lpVersionInformationmenunjukkan apakah versi Windows saat ini lebih baru dari Windows XP.
Tergantung pada apakah Anda menjalankan versi yang lebih baru dari Windows XP, boot loader akan menulis ke folder pengguna lokal - dalam hal ini ke folder tersebut %Publik%.
Beras. 17: Memeriksa versi sistem operasi
File yang sedang ditulis adalah Ryuk. Ia kemudian menjalankannya, meneruskan alamatnya sendiri sebagai parameter.
Beras. 18: Jalankan Ryuk melalui ShellExecute
Hal pertama yang dilakukan Ryuk adalah menerima parameter input. Kali ini ada dua parameter input (yang dapat dieksekusi itu sendiri dan alamat dropper) yang digunakan untuk menghapus jejaknya sendiri.
Beras. 19: Membuat Proses
Anda juga dapat melihat bahwa setelah ia menjalankan executable-nya, ia akan menghapus dirinya sendiri, sehingga tidak meninggalkan jejak keberadaannya di folder tempat ia dieksekusi.
Beras. 20: Menghapus file
5.RYUK
5.1 Kehadiran
Ryuk, seperti malware lainnya, mencoba untuk tetap berada di sistem selama mungkin. Seperti yang ditunjukkan di atas, salah satu cara untuk mencapai tujuan ini adalah dengan membuat dan menjalankan file yang dapat dieksekusi secara diam-diam. Untuk melakukan hal ini, praktik yang paling umum adalah mengubah kunci registri Versi Saat IniJalankan.
Dalam hal ini, Anda dapat melihat bahwa untuk tujuan ini file pertama diluncurkan VWjRF.exe
(nama file dibuat secara acak) diluncurkan cmd.exe.
Beras. 21: Menjalankan VWjRF.exe
Kemudian masukkan perintah MENJALANKAN Dengan nama "svchos". Jadi, jika Anda ingin memeriksa kunci registri kapan saja, Anda dapat dengan mudah melewatkan perubahan ini, mengingat kesamaan nama ini dengan svchost. Berkat kunci ini, Ryuk memastikan keberadaannya di sistem. Jika sistem belum belum terinfeksi, maka ketika Anda me-reboot sistem, file yang dapat dieksekusi akan mencoba lagi.
Beras. 22: Sampel memastikan keberadaan kunci registri
Kita juga dapat melihat bahwa eksekusi ini menghentikan dua layanan:
"audioendpointbuilder", yang sesuai dengan namanya, sesuai dengan audio sistem,
Beras. 23: Sampel menghentikan layanan audio sistem
и Samss, yang merupakan layanan manajemen akun. Menghentikan kedua layanan ini merupakan ciri khas Ryuk. Dalam hal ini, jika sistem terhubung ke sistem SIEM, ransomware mencoba berhenti mengirimkannya peringatan apa pun. Dengan cara ini, dia melindungi langkah selanjutnya karena beberapa layanan SAM tidak akan dapat memulai pekerjaannya dengan benar setelah menjalankan Ryuk.
Beras. 24: Sampel menghentikan layanan Samss
5.2 Hak Istimewa
Secara umum, Ryuk memulai dengan bergerak secara lateral di dalam jaringan atau diluncurkan oleh malware lain seperti или , yang, jika terjadi peningkatan hak istimewa, mentransfer hak yang lebih tinggi ini ke ransomware.
Sebelumnya, sebagai awal proses implementasi, kami melihat beliau menjalankan prosesnya Meniru Diri Sendiri, yang berarti konten keamanan token akses akan diteruskan ke aliran, dan akan segera diambil menggunakan Dapatkan Thread Saat Ini.
Beras. 25: Hubungi ImpersonateSelf
Kami kemudian melihat bahwa itu akan mengaitkan token akses dengan thread. Kami juga melihat bahwa salah satu benderanya adalah Akses yang Diinginkan, yang dapat digunakan untuk mengontrol akses yang dimiliki thread. Dalam hal ini nilai yang edx akan terima seharusnya TOKEN_ALL_ACES atau sebaliknya - TOKEN_TULIS.
Beras. 26: Membuat Token Aliran
Lalu dia akan menggunakannya Hak Istimewa SeDebug dan akan melakukan panggilan untuk mendapatkan izin Debug pada thread, sehingga menghasilkan PROSES_ALL_ACCESS, dia akan dapat mengakses proses apa pun yang diperlukan. Sekarang, mengingat enkripsi sudah memiliki aliran yang disiapkan, yang tersisa hanyalah melanjutkan ke tahap akhir.
Beras. 27: Memanggil Fungsi SeDebugPrivilege dan Eskalasi Privilege
Di satu sisi, kami memiliki LookupPrivilegeValueW, yang memberi kami informasi yang diperlukan tentang hak istimewa yang ingin kami tingkatkan.
Beras. 28: Meminta informasi tentang hak istimewa untuk peningkatan hak istimewa
Di sisi lain, kita punya Sesuaikan Hak Istimewa Token, yang memungkinkan kami memperoleh hak yang diperlukan atas aliran kami. Dalam hal ini, yang terpenting adalah Negara Bagian Baru, yang benderanya akan memberikan hak istimewa.
Beras. 29: Menyiapkan izin untuk token
5.3 Implementasi
Di bagian ini, kami akan menunjukkan bagaimana sampel melakukan proses implementasi yang disebutkan sebelumnya dalam laporan ini.
Tujuan utama dari proses implementasi, serta eskalasi, adalah untuk mendapatkan akses salinan bayangan. Untuk melakukan ini, ia perlu bekerja dengan thread dengan hak yang lebih tinggi daripada hak pengguna lokal. Setelah memperoleh hak yang lebih tinggi, ia akan menghapus salinan dan membuat perubahan pada proses lain agar tidak mungkin kembali ke titik pemulihan sebelumnya di sistem operasi.
Seperti tipikal malware jenis ini, ia menggunakan BuatToolHelp32Snapshotjadi dibutuhkan snapshot dari proses yang sedang berjalan dan mencoba mengakses proses tersebut menggunakan Proses Terbuka. Setelah mendapatkan akses ke proses, ia juga membuka token berisi informasinya untuk mendapatkan parameter proses.
Beras. 30: Mengambil proses dari komputer
Kita dapat secara dinamis melihat bagaimana ia mendapatkan daftar proses yang berjalan di 140002D9C rutin menggunakan CreateToolhelp32Snapshot. Setelah menerimanya, dia menelusuri daftarnya, mencoba membuka proses satu per satu menggunakan OpenProcess hingga dia berhasil. Dalam hal ini, proses pertama yang bisa dia buka adalah "taskhost.exe".
Beras. 31: Jalankan Prosedur Secara Dinamis untuk Mendapatkan Proses
Kita dapat melihat bahwa ia kemudian membaca informasi token proses, sehingga ia memanggil OpenProcessToken dengan parameter "20008"
Beras. 32: Membaca informasi token proses
Ia juga memeriksa apakah proses yang akan disuntikkan tidak csrss.exe, explorer.exe, lsaas.exe atau bahwa dia mempunyai seperangkat hak otoritas NT.
Beras. 33: Proses yang dikecualikan
Kita dapat secara dinamis melihat bagaimana pertama kali melakukan pemeriksaan menggunakan informasi token proses di dalamnya 140002D9C untuk mengetahui apakah akun yang haknya digunakan untuk menjalankan suatu proses adalah akun OTORITAS NT.
Beras. 34: Pemeriksaan OTORITAS NT
Dan kemudian, di luar prosedur, dia memeriksa bahwa ini tidak benar csrss.exe, explorer.exe или lsaas.exe.
Beras. 35: Pemeriksaan OTORITAS NT
Setelah dia mengambil snapshot dari proses, membuka proses, dan memverifikasi bahwa tidak ada satupun yang dikecualikan, dia siap untuk menulis ke memori proses yang akan dimasukkan.
Untuk melakukan ini, pertama-tama ia mencadangkan suatu area di memori (VirtualAllocEx), menulis ke dalamnya (Memori Proses Tulis) dan membuat thread (BuatRemoteThread). Untuk bekerja dengan fungsi-fungsi ini, ia menggunakan PID dari proses yang dipilih, yang sebelumnya diperolehnya BuatToolhelp32Snapshot.
Beras. 36: Sematkan kode
Di sini kita dapat mengamati secara dinamis bagaimana ia menggunakan proses PID untuk memanggil fungsi tersebut VirtualAllocEx.
Beras. 37: Hubungi VirtualAllocEx
5.4 Enkripsi
Di bagian ini, kita akan melihat bagian enkripsi dari sampel ini. Pada gambar berikut Anda dapat melihat dua subrutin yang disebut "LoadLibrary_EncodeString" dan "Enkode_Fungsi", yang bertanggung jawab untuk melakukan prosedur enkripsi.
Beras. 38: Prosedur enkripsi
Pada awalnya kita dapat melihat bagaimana ia memuat string yang nantinya akan digunakan untuk membatalkan penyamaran semua yang diperlukan: impor, DLL, perintah, file, dan CSP.
Beras. 39: Sirkuit deobfuscation
Gambar berikut menunjukkan impor pertama yang di-deobfuscate di register R4. Perpustakaan Load. Ini nantinya akan digunakan untuk memuat DLL yang diperlukan. Kita juga dapat melihat baris lain di register R12, yang digunakan bersama dengan baris sebelumnya untuk melakukan deobfuscation.
Beras. 40: Deobfuscation dinamis
Itu terus mengunduh perintah yang akan dijalankan nanti untuk menonaktifkan pencadangan, titik pemulihan, dan mode boot aman.
Beras. 41: Memuat perintah
Kemudian memuat lokasi di mana ia akan menjatuhkan 3 file: Windows.bat, jalankan.sct и mulai.bat.
Beras. 42: Lokasi Berkas
3 file ini digunakan untuk memeriksa hak istimewa yang dimiliki setiap lokasi. Jika hak istimewa yang diperlukan tidak tersedia, Ryuk menghentikan eksekusi.
Itu terus memuat baris yang sesuai dengan tiga file. Pertama, DECRYPT_INFORMATION.html, berisi informasi yang diperlukan untuk memulihkan file. Kedua, PUBLIK, berisi kunci publik RSA.
Beras. 43: Baris INFORMASI DEKRIPSI.html
Ketiga, UNIK_ID_DO_NOT_HAPUS, berisi kunci terenkripsi yang akan digunakan pada rutinitas berikutnya untuk melakukan enkripsi.
Beras. 44: Baris ID UNIK JANGAN HAPUS
Terakhir, ia mengunduh perpustakaan yang diperlukan bersama dengan impor dan CSP yang diperlukan (RSA yang Ditingkatkan Microsoft и Penyedia Kriptografi AES).
Beras. 45: Memuat perpustakaan
Setelah semua deobfuscation selesai, ia melanjutkan untuk melakukan tindakan yang diperlukan untuk enkripsi: menghitung semua drive logis, menjalankan apa yang dimuat dalam rutinitas sebelumnya, memperkuat kehadiran dalam sistem, membuang file RyukReadMe.html, enkripsi, menghitung semua drive jaringan , transisi ke perangkat yang terdeteksi dan enkripsinya.
Semuanya dimulai dengan memuat"cmd.exe" dan catatan kunci publik RSA.
Beras. 46: Mempersiapkan enkripsi
Kemudian ia menggunakan semua drive logis DapatkanLogicalDrives dan menonaktifkan semua pencadangan, titik pemulihan, dan mode boot aman.
Beras. 47: Menonaktifkan alat pemulihan
Setelah itu, ia memperkuat kehadirannya di sistem, seperti yang kita lihat di atas, dan menulis file pertama RyukReadMe.html в TEMP.
Beras. 48: Menerbitkan pemberitahuan tebusan
Dalam gambar berikut Anda dapat melihat cara membuat file, mengunduh konten, dan menulisnya:
Beras. 49: Memuat dan menulis konten file
Untuk dapat melakukan tindakan yang sama di semua perangkat, dia menggunakan
"icacls.exe", seperti yang kami tunjukkan di atas.
Beras. 50: Menggunakan icalcls.exe
Dan terakhir, ia mulai mengenkripsi file kecuali file “*.exe”, “*.dll”, file sistem, dan lokasi lain yang ditentukan dalam bentuk daftar putih terenkripsi. Untuk melakukan ini, ia menggunakan impor: CryptAcquireContextW (di mana penggunaan AES dan RSA ditentukan), CryptDeriveKey, CryptGenKey, CryptDestroyKey dll. Ia juga mencoba memperluas jangkauannya ke perangkat jaringan yang ditemukan menggunakan WNetEnumResourceW dan kemudian mengenkripsinya.
Beras. 51: Mengenkripsi file sistem
6. Impor dan bendera terkait
Di bawah ini adalah tabel yang mencantumkan impor dan tanda paling relevan yang digunakan oleh sampel:
7. IOC
referensi
- penggunaPublicrun.sct
- Menu MulaiProgramStartupstart.bat AppDataRoamingMicrosoftWindowsStart
- MenuProgramStartupstart.bat
Laporan teknis tentang ransomware Ryuk dikumpulkan oleh para ahli dari laboratorium antivirus PandaLabs.
8. Tautan
1. “Radio Everis y Prisa mendukung sistem yang aman.”https://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, Publikasi pada 04/11/2019.
2. “Un virus de origen ruso ataca a importantes empresas españolas.” https: //elpais.com/tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, Publicada 04/11/2019.
3. “Makalah VB2019: Pembalasan Shinigami: ekor panjang malware Ryuk.” https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, Publicada el 11 /12/2019
4. “Perburuan Besar dengan Ryuk: Ransomware Bertarget Menguntungkan Lainnya.”https://www. crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/, Dipublikasikan pada 10/01/2019.
5. “Makalah VB2019: Balas dendam Shinigami: ekor panjang malware Ryuk.” https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigami-revenge-long-tail-r
Sumber: www.habr.com
