Ryuk er einn frægasti lausnarhugbúnaðurinn undanfarin ár. Síðan hún kom fyrst fram sumarið 2018 hefur hún safnast saman , sérstaklega í viðskiptaumhverfinu, sem er helsta skotmark árása þess.
1. Almennar upplýsingar
Þetta skjal inniheldur greiningu á Ryuk lausnarhugbúnaðarafbrigðinu, sem og hleðslutækið sem ber ábyrgð á því að hlaða spilliforritinu inn í kerfið.
Ryuk lausnarhugbúnaðurinn birtist fyrst sumarið 2018. Einn af muninum á Ryuk og öðrum lausnarhugbúnaði er að hann miðar að því að ráðast á fyrirtækjaumhverfi.
Um mitt ár 2019 réðust netglæpahópar á gríðarlegan fjölda spænskra fyrirtækja sem notuðu þennan lausnarhugbúnað.
Hrísgrjón. 1: Útdráttur úr El Confidencial varðandi Ryuk lausnarhugbúnaðarárásina [1]
Hrísgrjón. 2: Útdráttur úr El País um árás sem gerð var með Ryuk lausnarhugbúnaðinum [2]
Á þessu ári hefur Ryuk ráðist á fjölda fyrirtækja í ýmsum löndum. Eins og sjá má á myndunum hér að neðan urðu Þýskaland, Kína, Alsír og Indland verst úti.
Með því að bera saman fjölda netárása getum við séð að Ryuk hefur haft áhrif á milljónir notenda og komið í veg fyrir mikið magn af gögnum, sem hefur leitt til alvarlegs efnahagstjóns.
Hrísgrjón. 3: Lýsing á starfsemi Ryuk á heimsvísu.
Hrísgrjón. 4: 16 lönd urðu fyrir mestum áhrifum af Ryuk
Hrísgrjón. 5: Fjöldi notenda sem Ryuk ransomware ráðist á (í milljónum)
Samkvæmt venjulegri rekstrarreglu slíkra hótana sýnir þessi lausnarhugbúnaður, eftir að dulkóðun er lokið, fórnarlambinu lausnargjaldstilkynningu sem þarf að greiða með bitcoins á tilgreint heimilisfang til að endurheimta aðgang að dulkóðuðu skránum.
Þetta spilliforrit hefur breyst síðan það var fyrst kynnt.
Afbrigði þessarar ógnar sem greint er í þessu skjali uppgötvaðist við árásstilraun í janúar 2020.
Vegna þess hversu flókinn hann er er þetta spilliforrit oft rakið til skipulagðra netglæpahópa, einnig þekktir sem APT hópar.
Hluti af Ryuk kóðanum hefur áberandi líkt við kóða og uppbyggingu annars vel þekkts lausnarforrits, Hermes, sem þeir deila fjölda eins aðgerða með. Þetta er ástæðan fyrir því að Ryuk var upphaflega tengdur norður-kóresku hópnum Lazarus, sem á þeim tíma var grunaður um að standa á bak við Hermes lausnarhugbúnaðinn.
Falcon X þjónusta CrowdStrike benti í kjölfarið á að Ryuk væri í raun búið til af WIZARD SPIDER hópnum [4].
Það eru nokkrar vísbendingar sem styðja þessa forsendu. Í fyrsta lagi var þessi lausnarhugbúnaður auglýstur á vefsíðunni exploit.in, sem er þekktur rússneskur markaður fyrir spilliforrit og hefur áður verið tengdur nokkrum rússneskum APT hópum.
Þessi staðreynd útilokar þá kenningu að Ryuk gæti hafa verið þróað af Lazarus APT hópnum, vegna þess það passar ekki við hvernig hópurinn starfar.
Að auki var Ryuk auglýstur sem lausnarhugbúnaður sem mun ekki virka á rússneskum, úkraínskum og hvítrússneskum kerfum. Þessi hegðun er ákvörðuð af eiginleikum sem finnast í sumum útgáfum af Ryuk, þar sem það athugar tungumál kerfisins sem lausnarhugbúnaðurinn er í gangi á og kemur í veg fyrir að hann gangi ef kerfið er með rússnesku, úkraínsku eða hvítrússnesku. Að lokum leiddi sérfræðigreining á vélinni sem WIZARD SPIDER teymið hakkað á sig í ljós nokkra „gripi“ sem að sögn voru notaðir við þróun Ryuk sem afbrigði af Hermes lausnarhugbúnaðinum.
Á hinn bóginn bentu sérfræðingar Gabriela Nicolao og Luciano Martins á að lausnarhugbúnaðurinn gæti hafa verið þróaður af APT hópnum CryptoTech [5].
Þetta leiðir af þeirri staðreynd að nokkrum mánuðum áður en Ryuk birtist birti þessi hópur upplýsingar á spjallborði sömu síðu um að þeir hefðu þróað nýja útgáfu af Hermes lausnarhugbúnaðinum.
Nokkrir spjallnotendur spurðu hvort CryptoTech hafi í raun búið til Ryuk. Hópurinn varði sig síðan og sagðist hafa sannanir fyrir því að þeir hefðu þróað 100% af lausnarhugbúnaðinum.
2. Einkenni
Við byrjum á ræsiforritinu, sem hefur það hlutverk að bera kennsl á kerfið sem það er á svo hægt sé að ræsa „rétta“ útgáfu af Ryuk lausnarhugbúnaðinum.
Bootloader kjötkássa er sem hér segir:
MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469
Einn af eiginleikum þessa niðurhalara er að hann inniheldur engin lýsigögn, þ.e. Höfundar þessa spilliforrits hafa ekki haft neinar upplýsingar í honum.
Stundum innihalda þeir röng gögn til að blekkja notandann til að halda að þeir séu að keyra lögmætt forrit. Hins vegar, eins og við munum sjá síðar, ef sýkingin felur ekki í sér samskipti notenda (eins og raunin er með þennan lausnarhugbúnað), þá telja árásarmenn ekki nauðsynlegt að nota lýsigögn.
Hrísgrjón. 6: Dæmi um metagögn
Sýnið var tekið saman á 32 bita sniði þannig að það getur keyrt á bæði 32 bita og 64 bita kerfi.
3. Penetration vektor
Sýnishornið sem hleður niður og keyrir Ryuk fór inn í kerfið okkar í gegnum fjartengingu og aðgangsbreyturnar voru fengnar með bráðabirgðaárás á RDP.
Hrísgrjón. 7: Árásaskrá
Árásarmaðurinn náði að skrá sig inn í kerfið með fjartengingu. Eftir það bjó hann til keyrsluskrá með sýnishorninu okkar.
Þessi keyrsluskrá var læst af vírusvarnarlausn áður en hún var keyrð.
Hrísgrjón. 8: Mynsturlás
Hrísgrjón. 9: Mynsturlás
Þegar illgjarn skráin var læst reyndi árásarmaðurinn að hlaða niður dulkóðaðri útgáfu af keyrsluskránni, sem einnig var læst.
Hrísgrjón. 10: Sýnishorn sem árásarmaðurinn reyndi að keyra
Að lokum reyndi hann að hlaða niður annarri illgjarnri skrá í gegnum dulkóðuðu stjórnborðið
PowerShell til að komast framhjá vírusvörn. En honum var líka lokað.
Hrísgrjón. 11: PowerShell með illgjarnt efni lokað
Hrísgrjón. 12: PowerShell með illgjarnt efni lokað
4. Hleðslutæki
Þegar það keyrir skrifar það ReadMe skrá í möppuna % temp%, sem er dæmigert fyrir Ryuk. Þessi skrá er lausnargjaldsseðill sem inniheldur netfang á protonmail léninu, sem er nokkuð algengt í þessari malware fjölskyldu: [netvarið]
Hrísgrjón. 13: Lausnargjald
Á meðan ræsiforritið er í gangi geturðu séð að það ræsir nokkrar keyranlegar skrár með handahófskenndum nöfnum. Þau eru geymd í falinni möppu Opinber, en ef valkosturinn er ekki virkur í stýrikerfinu „Sýna faldar skrár og möppur“, þá munu þeir haldast faldir. Þar að auki eru þessar skrár 64-bita, ólíkt móðurskránni, sem er 32-bita.
Hrísgrjón. 14: Keyranlegar skrár settar af stað af sýninu
Eins og þú sérð á myndinni hér að ofan opnar Ryuk icacls.exe, sem verður notað til að breyta öllum ACL (aðgangsstýringarlistum) og tryggja þannig aðgang og breytingar á fánum.
Það fær fullan aðgang undir öllum notendum að öllum skrám á tækinu (/T) óháð villum (/C) og án þess að sýna nein skilaboð (/Q).
Hrísgrjón. 15: Framkvæmdarfæribreytur icacls.exe settar af stað af sýninu
Það er mikilvægt að hafa í huga að Ryuk athugar hvaða útgáfu af Windows þú ert að keyra. Fyrir þetta hann
framkvæmir útgáfuathugun með því að nota GetVersionExW, þar sem það athugar gildi fánans lpVersion Informationsem gefur til kynna hvort núverandi útgáfa af Windows sé nýrri en Windows XP.
Það fer eftir því hvort þú ert að keyra nýja útgáfu en Windows XP, ræsiforritinn skrifar í notendamöppuna á staðnum - í þessu tilviki í möppuna %Opinber%.
Hrísgrjón. 17: Athugaðu stýrikerfisútgáfuna
Skráin sem verið er að skrifa er Ryuk. Það keyrir það síðan og sendir eigið heimilisfang sem færibreytu.
Hrísgrjón. 18: Framkvæma Ryuk í gegnum ShellExecute
Það fyrsta sem Ryuk gerir er að fá inntaksbreyturnar. Að þessu sinni eru tvær innsláttarfæribreytur (keyrslan sjálf og dropatalan) sem eru notuð til að fjarlægja eigin ummerki.
Hrísgrjón. 19: Að búa til ferli
Þú getur líka séð að þegar það hefur keyrt keyrsluna sína eyðir það sjálfu sér og skilur þannig ekki eftir sig ummerki um eigin veru í möppunni þar sem það var keyrt.
Hrísgrjón. 20: Eyða skrá
5. RYUK
5.1 Viðvera
Ryuk, eins og önnur spilliforrit, reynir að vera á kerfinu eins lengi og mögulegt er. Eins og sýnt er hér að ofan er ein leið til að ná þessu markmiði að búa til og keyra keyranlegar skrár með leynd. Til að gera þetta er algengasta venjan að breyta skrásetningarlyklinum CurrentVersionRun.
Í þessu tilviki geturðu séð að í þessu skyni er fyrsta skráin sem verður opnuð VWjRF.exe
(skráarnafn er myndað af handahófi) ræsir cmd.exe.
Hrísgrjón. 21: Keyrir VWjRF.exe
Sláðu síðan inn skipunina RUN Með nafni "svchos". Svona, ef þú vilt athuga skrásetningarlyklana hvenær sem er, geturðu auðveldlega misst af þessari breytingu, í ljósi þess að þetta nafn er líkt með svchost. Þökk sé þessum lykli tryggir Ryuk tilvist hans í kerfinu. Ef kerfið hefur ekki enn verið sýkt, þá þegar þú endurræsir kerfið mun keyrslan reyna aftur.
Hrísgrjón. 22: Sýnið tryggir tilvist í skrásetningarlyklinum
Við getum líka séð að þessi keyrsla stöðvar tvær þjónustur:
"hljóðendapunktasmiður", sem, eins og nafnið gefur til kynna, samsvarar kerfishljóði,
Hrísgrjón. 23: Dæmi stöðvar hljóðþjónustu kerfisins
и Samss, sem er reikningsstjórnunarþjónusta. Að stöðva þessar tvær þjónustur er einkenni Ryuk. Í þessu tilviki, ef kerfið er tengt við SIEM kerfi, reynir lausnarhugbúnaðurinn að hætta að senda til einhverjar viðvaranir. Á þennan hátt verndar hann næstu skref sín þar sem sumar SAM þjónustur geta ekki hafið vinnu sína rétt eftir að Ryuk hefur verið keyrt.
Hrísgrjón. 24: Sýni hættir Samss þjónustu
5.2 Forréttindi
Almennt séð byrjar Ryuk á því að færa sig til hliðar innan netsins eða það er sett af stað af öðrum spilliforritum eins og eða , sem, ef um er að ræða aukningu forréttinda, flytja þessi auknu réttindi yfir á lausnarhugbúnaðinn.
Fyrirfram, sem undanfara innleiðingarferlisins, sjáum við hann framkvæma ferlið Herma sjálfan þig, sem þýðir að öryggisinnihald aðgangslykilsins verður sent til straumsins, þar sem það verður strax sótt með GetCurrentThread.
Hrísgrjón. 25: Hringdu í ImpersonateSelf
Við sjáum síðan að það mun tengja aðgangslykil við þráð. Við sjáum líka að einn af fánum er Æskilegur aðgangur, sem hægt er að nota til að stjórna aðganginum sem þráðurinn mun hafa. Í þessu tilviki ætti gildið sem edx mun fá að vera TOKEN_ALL_ACCESS eða á annan hátt - TOKEN_WRITE.
Hrísgrjón. 26: Að búa til flæðistákn
Þá mun hann nota SeDebugPrivilege og mun hringja til að fá villuleitarheimildir á þræðinum, sem leiðir til PROCESS_ALL_ACCESS, mun hann geta fengið aðgang að öllum nauðsynlegum ferli. Nú, í ljósi þess að dulkóðarinn er þegar með tilbúinn straum, er allt sem eftir er að halda áfram á lokastigið.
Hrísgrjón. 27: Hringir í SeDebugPrivilege og Privilege Escalation Function
Annars vegar höfum við LookupPrivilegeValueW, sem veitir okkur nauðsynlegar upplýsingar um þau forréttindi sem við viljum auka.
Hrísgrjón. 28: Biðja um upplýsingar um réttindi til að auka réttindi
Á hinn bóginn höfum við AdjustTokenPrivileges, sem gerir okkur kleift að fá nauðsynleg réttindi á straumnum okkar. Í þessu tilfelli er það mikilvægasta Nýtt ríki, sem fáni mun veita forréttindi.
Hrísgrjón. 29: Setja upp heimildir fyrir tákn
5.3 Framkvæmd
Í þessum hluta munum við sýna hvernig úrtakið framkvæmir innleiðingarferlið sem áður var nefnt í þessari skýrslu.
Meginmarkmið innleiðingarferlisins, sem og stigmögnun, er að fá aðgang að skuggaafrit. Til að gera þetta þarf hann að vinna með þráð með hærri réttindi en staðbundinn notandi. Þegar það hefur öðlast svo aukin réttindi mun það eyða afritum og gera breytingar á öðrum ferlum til að gera það ómögulegt að fara aftur á fyrri endurheimtunarstað í stýrikerfinu.
Eins og dæmigert er fyrir þessa tegund af spilliforritum notar það CreateToolHelp32Snapshotsvo það tekur skyndimynd af þeim ferlum sem eru í gangi og reynir að fá aðgang að þeim ferlum með því að nota OpenProcess. Þegar það hefur fengið aðgang að ferlinu opnar það einnig tákn með upplýsingum þess til að fá ferlibreyturnar.
Hrísgrjón. 30: Að sækja ferla úr tölvu
Við getum séð með virkum hætti hvernig það fær lista yfir hlaupandi ferla í venjubundinni 140002D9C með því að nota CreateToolhelp32Snapshot. Eftir að hafa fengið þær fer hann í gegnum listann og reynir að opna ferla eitt í einu með því að nota OpenProcess þar til það tekst. Í þessu tilviki var fyrsta ferlið sem hann gat opnað "taskhost.exe".
Hrísgrjón. 31: Framkvæma aðferð á kraftmikinn hátt til að fá ferli
Við getum séð að það les í kjölfarið upplýsingar um vinnslutákn, svo það hringir OpenProcessToken með færibreytu "20008"
Hrísgrjón. 32: Lestu upplýsingar um vinnslutákn
Það athugar einnig að ferlið sem það verður sprautað í sé það ekki csrss.exe, explorer.exe, lsaas.exe eða að hann hafi ákveðinn rétt NT vald.
Hrísgrjón. 33: Útilokaðir ferli
Við getum séð með virkum hætti hvernig það framkvæmir fyrst athugunina með því að nota upplýsingar um vinnslutákn í 140002D9C til að komast að því hvort reikningurinn sem er notaður til að framkvæma ferli sé reikningur NT STJÓRNVÖLD.
Hrísgrjón. 34: NT AUTHORITY athuga
Og síðar, utan málsmeðferðarinnar, athugar hann að svo sé ekki csrss.exe, explorer.exe eða lsaas.exe.
Hrísgrjón. 35: NT AUTHORITY athuga
Þegar hann hefur tekið skyndimynd af ferlunum, opnað ferlana og sannreynt að enginn þeirra sé útilokaður er hann tilbúinn að skrifa í minnið ferlana sem verða sprautaðir inn.
Til að gera þetta geymir það fyrst svæði í minni (VirtualAllocEx), skrifar inn í það (WriteProcessmemory) og býr til þráð (Búa til RemoteThread). Til að vinna með þessar aðgerðir notar það PID valinna ferla, sem það fékk áður með því að nota CreateToolhelp32Snapshot.
Hrísgrjón. 36: Fella inn kóða
Hér getum við fylgst með virkum hætti hvernig það notar ferlið PID til að kalla aðgerðina VirtualAllocEx.
Hrísgrjón. 37: Hringdu í VirtualAllocEx
5.4 Dulkóðun
Í þessum hluta munum við skoða dulkóðunarhluta þessa sýnishorns. Á meðfylgjandi mynd má sjá tvær undirvenjur sem kallast "LoadLibrary_EncodeString"Og"Encode_Func", sem bera ábyrgð á að framkvæma dulkóðunarferlið.
Hrísgrjón. 38: Dulkóðunaraðferðir
Í upphafi getum við séð hvernig það hleður inn streng sem síðar verður notaður til að gera allt sem þarf: innflutning, DLL, skipanir, skrár og CSP.
Hrísgrjón. 39: Hreinsunarhringrás
Eftirfarandi mynd sýnir fyrsta innflutninginn sem hann afhjúpar í skrá R4. LoadLibrary. Þetta verður notað síðar til að hlaða nauðsynlegum DLL-skjölum. Við getum líka séð aðra línu í skrá R12, sem er notuð ásamt fyrri línu til að framkvæma deobfuscation.
Hrísgrjón. 40: Dynamic deobfuscation
Það heldur áfram að hlaða niður skipunum sem það mun keyra seinna til að slökkva á afritum, endurheimtarpunktum og öruggum ræsistillingum.
Hrísgrjón. 41: Hleður skipanir
Síðan hleður það staðsetningunni þar sem það mun sleppa 3 skrám: Windows.bat, run.sct и byrjun.kylfa.
Hrísgrjón. 42: Skráarstaðsetningar
Þessar 3 skrár eru notaðar til að athuga réttindin sem hver staðsetning hefur. Ef nauðsynleg réttindi eru ekki tiltæk, hættir Ryuk framkvæmd.
Það heldur áfram að hlaða línunum sem samsvara þremur skrám. Í fyrsta lagi, DECRYPT_INFORMATION.html, inniheldur nauðsynlegar upplýsingar til að endurheimta skrár. Í öðru lagi, Opinber, inniheldur RSA almenningslykil.
Hrísgrjón. 43: Línu DECRYPT INFORMATION.html
Í þriðja lagi, UNIQUE_ID_DO_NOT_REMOVE, inniheldur dulkóðaða lykilinn sem verður notaður í næstu venju til að framkvæma dulkóðunina.
Hrísgrjón. 44: Línu EINSTAK Auðkenni EKKI FJÆRJA
Að lokum halar það niður nauðsynlegum bókasöfnum ásamt nauðsynlegum innflutningi og CSPs (Microsoft Enhanced RSA и AES dulritunaraðili).
Hrísgrjón. 45: Hleður bókasöfnum
Eftir að allri afþekkingu er lokið heldur það áfram að framkvæma þær aðgerðir sem þarf til dulkóðunar: telja upp öll rökræn drif, framkvæma það sem var hlaðið í fyrri rútínu, styrkja viðveru í kerfinu, henda RyukReadMe.html skránni, dulkóðun, telja upp öll netdrif , umskipti yfir í greind tæki og dulkóðun þeirra.
Þetta byrjar allt með fermingu“cmd.exe" og RSA opinbera lyklaskrár.
Hrísgrjón. 46: Undirbúningur fyrir dulkóðun
Þá fær það alla rökræna drif sem nota GetLogicalDrives og slekkur á öllum öryggisafritum, endurheimtarpunktum og öruggum ræsistillingum.
Hrísgrjón. 47: Slökkt á bataverkfærum
Eftir það styrkir það viðveru sína í kerfinu, eins og við sáum hér að ofan, og skrifar fyrstu skrána RyukReadMe.html в TEMP.
Hrísgrjón. 48: Birtir tilkynningu um lausnargjald
Á eftirfarandi mynd geturðu séð hvernig það býr til skrá, hleður niður innihaldinu og skrifar það:
Hrísgrjón. 49: Hleðsla og ritun skráarefnis
Til að geta framkvæmt sömu aðgerðir á öllum tækjum notar hann
"icacls.exe“, eins og við sýndum hér að ofan.
Hrísgrjón. 50: Notkun icalcls.exe
Og að lokum byrjar það að dulkóða skrár nema „*.exe“, „*.dll“ skrár, kerfisskrár og aðrar staðsetningar sem tilgreindar eru í formi dulkóðaðs hvíta lista. Til að gera þetta notar það innflutning: CryptAcquireContextW (þar sem notkun AES og RSA er tilgreind), CryptDeriveKey, CryptGenKey, CryptDestroyKey o.s.frv. Það reynir einnig að víkka út umfang þess til uppgötvaðra nettækja sem nota WNetEnumResourceW og dulkóða þau síðan.
Hrísgrjón. 51: Dulkóðun kerfisskráa
6. Innflutningur og samsvarandi fánar
Hér að neðan er tafla sem sýnir mikilvægasta innflutninginn og fánana sem sýnishornið notar:
7. IOC
tilvísanir
- usersPublicrun.sct
- Start MenuProgramsStartupstart.bat AppDataRoamingMicrosoftWindowsStart
- MenuProgramsStartupstart.bat
Tækniskýrsla um Ryuk lausnarhugbúnaðinn var tekin saman af sérfræðingum frá vírusvarnarrannsóknarstofunni PandaLabs.
8. Tenglar
1. „Everis y Prisa Radio sufren un grave ciberataque que secuestra sus sistemas.“https://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, Publicada el 04/11/2019.
2. „Un virus de origen ruso ataca a importantes empresas españolas.“ https: //elpais.com/tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, Publicada el 04/11/2019.
3. „VB2019 blað: Hefnd Shinigami: langi hali Ryuk spilliforritsins.“ https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, Publicada el 11 /12/2019
4. „Stórleikjaveiði með Ryuk: Annar ábatasamur bMarkmiðaður lausnarhugbúnaður.“https://www. crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/, birt 10/01/2019.
5. „VB2019 blað: Hefnd Shinigami: langi hali Ryuk spilliforritsins.“ https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigamis-revenge-long-tail-r
Heimild: www.habr.com