企業を攻撃する Ryuk ランサムウェアの仕組み

Ryuk は、ここ数年で最も有名なランサムウェア オプションの 2018 つです。 XNUMX年の夏に登場して以来、 印象的な犠牲者のリスト特にビジネス環境においては、攻撃の主なターゲットとなっています。

1. 一般情報

この文書には、Ryuk ランサムウェアの亜種と、マルウェアをシステムにロードするローダーの分析が含まれています。

Ryuk ランサムウェアは 2018 年の夏に初めて出現しました。 Ryuk と他のランサムウェアの違いの XNUMX つは、企業環境への攻撃を目的としているということです。

2019 年半ば、サイバー犯罪グループはこのランサムウェアを使用して多数のスペイン企業を攻撃しました。

米。 1: Ryuk ランサムウェア攻撃に関する El Confidencial からの抜粋 [1]

米。 2: Ryuk ランサムウェアを使用して実行された攻撃に関する El País からの抜粋 [2]
今年、Ryuk はさまざまな国の多数の企業を攻撃しました。 以下の図からわかるように、ドイツ、中国、アルジェリア、インドが最も大きな被害を受けました。

サイバー攻撃の数を比較すると、Ryuk が数百万のユーザーに影響を与え、膨大な量のデータを侵害し、深刻な経済的損失をもたらしたことがわかります。

米。 3: Ryuk のグローバルな活動の図。

米。 4: Ryuk の被害が最も大きい 16 か国

米。 5: Ryuk ランサムウェアによって攻撃されたユーザーの数 (数百万人)

このような脅威の通常の動作原理によれば、このランサムウェアは、暗号化が完了すると、暗号化されたファイルへのアクセスを復元するには、指定されたアドレスにビットコインで支払う必要がある身代金通知を被害者に表示します。

このマルウェアは、最初に導入されて以来、変化しています。
この文書で分析されたこの脅威の亜種は、2020 年 XNUMX 月の攻撃試行中に発見されました。

このマルウェアはその複雑さから、APT グループとしても知られる組織化されたサイバー犯罪グループによるものであると考えられています。

Ryuk コードの一部は、別のよく知られたランサムウェアである Hermes のコードと構造と顕著な類似性を持っており、多くの同一の機能を共有しています。 これが、Ryuk が当初、Hermes ランサムウェアの背後にあると疑われていた北朝鮮のグループ Lazarus と関連付けられていた理由です。

その後、CrowdStrike の Falcon X サービスは、Ryuk が実際には WIZARD SPIDER グループによって作成されたと指摘しました [4]。

この仮定を裏付ける証拠がいくつかあります。 まず、このランサムウェアはウェブサイトexploit.inで宣伝されました。このウェブサイトはロシアの有名なマルウェア市場であり、以前はロシアのいくつかのAPTグループと関連付けられていました。
この事実は、Ryuk が Lazarus APT グループによって開発された可能性があるという理論を除外します。 それはグループの運営方法に適合しません。

さらに、Ryuk は、ロシア、ウクライナ、ベラルーシのシステムでは動作しないランサムウェアであると宣伝されました。 この動作は、Ryuk の一部のバージョンにある機能によって決定され、ランサムウェアが実行されているシステムの言語をチェックし、システムにロシア語、ウクライナ語、またはベラルーシ語が含まれている場合はランサムウェアの実行を停止します。 最後に、WIZARD SPIDER チームによってハッキングされたマシンの専門家による分析により、Hermes ランサムウェアの亜種として Ryuk の開発に使用されたとされるいくつかの「アーティファクト」が明らかになりました。

一方、専門家のガブリエラ・ニコラオ氏とルチアーノ・マルティンス氏は、ランサムウェアはAPTグループのCryptoTechによって開発された可能性があると示唆した[5]。
これは、Ryuk の出現の数か月前に、このグループが同じサイトのフォーラムに、Hermes ランサムウェアの新バージョンを開発したという情報を投稿したという事実に基づいています。

何人かのフォーラムユーザーは、CryptoTech が実際に Ryuk を作成したのかどうか疑問を呈していました。 その後、このグループは自らを弁護し、ランサムウェアの 100% を自分たちが開発したという証拠があると述べました。

2. 特徴

まずブートローダーから始めます。ブートローダーの仕事は、Ryuk ランサムウェアの「正しい」バージョンを起動できるように、ブートローダーが存在するシステムを識別することです。
ブートローダーのハッシュは次のとおりです。

MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469

このダウンローダーの特徴の XNUMX つは、メタデータが含まれていないことです。 このマルウェアの作成者は、マルウェアにいかなる情報も含めていません。

場合によっては、ユーザーが正規のアプリケーションを実行していると思わせるために、誤ったデータが含まれることがあります。 ただし、後で説明するように、感染にユーザーの操作が関与しない場合 (このランサムウェアの場合のように)、攻撃者はメタデータを使用する必要があるとは考えません。

米。 6: サンプルメタデータ

サンプルは 32 ビット形式でコンパイルされているため、32 ビット システムと 64 ビット システムの両方で実行できます。

3. 侵入ベクトル

Ryuk をダウンロードして実行するサンプルは、リモート接続を介してシステムに侵入し、予備的な RDP 攻撃を通じてアクセス パラメータを取得しました。

米。 7: アタックレジスター

攻撃者はリモートからシステムにログインすることに成功しました。 その後、彼はサンプルを使用して実行可能ファイルを作成しました。
この実行可能ファイルは、実行前にウイルス対策ソリューションによってブロックされました。

米。 8: パターンロック

米。 9: パターンロック

悪意のあるファイルがブロックされると、攻撃者は実行可能ファイルの暗号化されたバージョンをダウンロードしようとしましたが、これもブロックされました。

米。 10: 攻撃者が実行しようとしたサンプルのセット

最後に、彼は暗号化されたコンソールを通じて別の悪意のあるファイルをダウンロードしようとしました
PowerShell はウイルス対策保護をバイパスします。 しかし、彼もブロックされました。

米。 11: 悪意のあるコンテンツがブロックされた PowerShell


米。 12: 悪意のあるコンテンツがブロックされた PowerShell

4.ローダー

実行すると、ReadMe ファイルがフォルダーに書き込まれます。 の％temp％、これはリュークの典型です。 このファイルは、protonmail ドメインの電子メール アドレスを含む身代金メモであり、このマルウェア ファミリでは非常に一般的です。 [メール保護]

米。 13: 身代金の要求

ブートローダーの実行中に、ランダムな名前でいくつかの実行可能ファイルが起動されることがわかります。 隠しフォルダーに保存されます パブリックただし、このオプションがオペレーティング システムでアクティブになっていない場合は、 「隠しファイルとフォルダを表示する」、その後、それらは非表示のままになります。 さらに、親ファイルの 64 ビットとは異なり、これらのファイルは 32 ビットです。

米。 14: サンプルによって起動される実行可能ファイル

上の画像でわかるように、Ryuk は icacls.exe を起動します。これはすべての ACL (アクセス制御リスト) を変更するために使用され、フラグへのアクセスと変更が保証されます。

すべてのユーザーの下で、エラー (/C) に関係なく、メッセージ (/Q) を表示せずに、デバイス上のすべてのファイル (/T) への完全なアクセス権が与えられます。

米。 15: サンプルで起動されるicacls.exeの実行パラメータ

Ryuk は、実行している Windows のバージョンをチェックすることに注意することが重要です。 このために彼は
を使用してバージョンチェックを実行します GetVersionExW、フラグの値をチェックします。 lpバージョン情報Windows の現在のバージョンがより新しいかどうかを示します Windows XPの.

Windows XP より後のバージョンを実行しているかどうかに応じて、ブート ローダーはローカル ユーザー フォルダー (この場合はフォルダー) に書き込みます。 ％公共％.

米。 17: オペレーティング システムのバージョンを確認する

書き込まれているファイルは Ryuk です。 次に、それ自体のアドレスをパラメータとして渡して実行します。

米。 18: ShellExecute 経由で Ryuk を実行する

Ryuk が最初に行うことは、入力パラメータを受け取ることです。 今回は、それ自体のトレースを削除するために使用される XNUMX つの入力パラメーター (実行可能ファイル自体とドロッパー アドレス) があります。

米。 19: プロセスの作成

また、実行可能ファイルを実行すると、自身を削除するため、実行されたフォルダーに自身の存在の痕跡が残らないこともわかります。

米。 20: ファイルの削除

5. リューク

5.1 プレゼンス
Ryuk は、他のマルウェアと同様に、できるだけ長くシステム上に留まろうとします。 上で示したように、この目標を達成する XNUMX つの方法は、実行可能ファイルを密かに作成して実行することです。 これを行うには、レジストリ キーを変更するのが最も一般的な方法です。 現在のバージョンの実行.
この場合、この目的のために最初のファイルが起動されることがわかります。 VWjRF.exe
(ファイル名はランダムに生成されます) が起動します cmd.exeを.

米。 21: VWjRF.exeの実行

次にコマンドを入力します RUN 名前付き「svchos"。したがって、いつでもレジストリ キーを確認したい場合は、この名前が svchost と類似しているため、この変更を簡単に見逃す可能性があります。このキーのおかげで、Ryuk はシステム内に確実に存在します。システムがまだ存在していない場合は、まだ感染している場合、システムを再起動すると、実行可能ファイルが再試行されます。

米。 22: サンプルはレジストリ キーに存在することを確認します

この実行可能ファイルが XNUMX つのサービスを停止していることもわかります。
"オーディオエンドポイントビルダー」はその名の通りシステムオーディオに相当しますが、

米。 23: サンプルはシステムオーディオサービスを停止します

и サムスン、アカウント管理サービスです。 これら XNUMX つのサービスを停止するのは Ryuk の特徴です。 この場合、システムが SIEM システムに接続されていると、ランサムウェアは SIEM システムへの送信を停止しようとします。 SIEM あらゆる警告。 一部の SAM サービスは Ryuk の実行後に正しく動作を開始できないため、このようにして次のステップを保護します。

米。 24: サンプルが Samss サービスを停止する

5.2 権限

一般に、Ryuk はネットワーク内を横方向に移動することによって開始されるか、次のような別のマルウェアによって起動されます。 エモット または Trickbot、特権昇格が発生した場合、これらの昇格された権利がランサムウェアに転送されます。

実装プロセスの前段階として、彼が次のプロセスを実行するのが見られます。 自己になりすますこれは、アクセス トークンのセキュリティ コンテンツがストリームに渡され、そこですぐに取得されることを意味します。 現在のスレッドの取得.

米。 25: ImpersonateSelf を呼び出す

次に、アクセス トークンがスレッドに関連付けられることがわかります。 また、フラグの XNUMX つが 必要なアクセス、スレッドが持つアクセスを制御するために使用できます。 この場合、edx が受け取る値は次のようになります。 TOKEN_ALL_ACCESS もしくはそうでないか - TOKEN_WRITE.

米。 26: フロートークンの作成

そうすれば彼は使うでしょう SeDebugPrivilege そして、スレッドに対するデバッグ権限を取得するために呼び出しを行います。その結果、 PROCESS_ALL_ACCESS、必要なプロセスにアクセスできるようになります。 ここで、暗号化プログラムがすでに準備されたストリームを持っているとすると、残っているのは最終段階に進むことだけです。

米。 27: SeDebugPrivilege と権限昇格関数の呼び出し

一方では、LookupPrivilegeValueW を使用して、増加したい権限に関する必要な情報を提供します。

米。 28: 権限昇格のための権限に関する情報の要求

一方、私たちは、 AdjustTokenPrivilegesこれにより、ストリームに必要な権利を取得できるようになります。 この場合、最も重要なことは、 ニューステート、そのフラグが権限を付与します。

米。 29: トークンの権限の設定

5.3 実装

このセクションでは、このレポートで前述した実装プロセスをサンプルがどのように実行するかを示します。

実装プロセスとエスカレーションの主な目的は、次の情報にアクセスできるようにすることです。 シャドウコピー。 これを行うには、ローカル ユーザーよりも高い権限を持つスレッドを操作する必要があります。 このような高い権限を取得すると、オペレーティング システムの以前の復元ポイントに戻れなくするために、コピーを削除し、他のプロセスに変更を加えます。

このタイプのマルウェアではよくあることですが、 作成ツールヘルプ32スナップショットそのため、現在実行中のプロセスのスナップショットを取得し、次を使用してそれらのプロセスにアクセスしようとします。 オープンプロセス。 プロセスにアクセスできるようになると、その情報を含むトークンを開いてプロセス パラメーターを取得します。

米。 30: コンピュータからプロセスを取得する

CreateToolhelp140002Snapshot を使用して、ルーチン 9D32C で実行中のプロセスのリストを取得する方法を動的に確認できます。 それらを受け取った後、彼はリストを調べ、成功するまで OpenProcess を使用してプロセスを XNUMX つずつ開こうとします。 この場合、彼が最初に開くことができたプロセスは、 「タスクホスト.exe」.

米。 31: 動的にプロシージャを実行してプロセスを取得する

その後、プロセス トークン情報を読み取り、呼び出していることがわかります。 OpenProcessToken パラメータ付き20008"

米。 32: プロセストークン情報の読み取り

また、注入されるプロセスがそうでないこともチェックします。 Csrss.exe-, エクスプローラー.exe、lsaas.exe または彼には一連の権利がある NT 当局.

米。 33: 除外されるプロセス

プロセストークン情報を使用して、最初にチェックがどのように実行されるかを動的に確認できます。 140002D9C プロセスの実行に権限が使用されているアカウントがアカウントであるかどうかを確認するため NT 当局.

米。 34：NT権限チェック

そしてその後、手順の外で、これがそうではないことを確認します csrss.exe、explorer.exe または lsaas.exe.

米。 35：NT権限チェック

プロセスのスナップショットを取得し、プロセスを開いて、除外されていないことを確認したら、挿入されるプロセスをメモリに書き込む準備が整います。

これを行うには、まずメモリ内に領域を予約します (VirtualAllocEx)、そこに書き込みます(書き込みプロセスメモリ) スレッドを作成します (リモートスレッドの作成）。 これらの関数を操作するには、以前に次のコマンドを使用して取得した、選択したプロセスの PID を使用します。 CreateToolhelp32Snapshot.

米。 36: コードを埋め込む

ここでは、プロセス PID を使用して関数を呼び出す方法を動的に観察できます。 VirtualAllocEx。

米。 37: VirtualAllocEx を呼び出す

5.4 暗号化
このセクションでは、このサンプルの暗号化部分を見ていきます。 次の図では、「」という XNUMX つのサブルーチンが表示されます。LoadLibrary_EncodeString"そして"エンコード機能」、暗号化手順の実行を担当します。

米。 38: 暗号化手順

最初に、インポート、DLL、コマンド、ファイル、CSP など、必要なものすべての難読化を解除するために後で使用される文字列をロードする方法を確認します。

米。 39: 難読化解除回路

次の図は、レジスタ R4 で難読化を解除する最初のインポートを示しています。 LoadLibrary。 これは後で必要な DLL をロードするために使用されます。 レジスタ R12 には別の行も表示されます。これは、難読化解除を実行するために前の行とともに使用されます。

米。 40: 動的難読化解除

バックアップ、復元ポイント、セーフ ブート モードを無効にするために後で実行するコマンドのダウンロードが続行されます。

米。 41: コマンドのロード

次に、3 つのファイルをドロップする場所をロードします。 Windows.bat、run.sct и START.BAT.

米。 42: ファイルの場所

これら 3 つのファイルは、各場所が持つ権限を確認するために使用されます。 必要な権限が利用できない場合、Ryuk は実行を停止します。

XNUMX つのファイルに対応する行の読み込みが続けられます。 初め、 decrypt_information.htmlには、ファイルを回復するために必要な情報が含まれています。 XNUMX番、 パブリック、RSA公開キーが含まれています。

米。 43: 行復号化情報.html

三番目、 UNIQUE_ID_DO_NOT_REMOVE、次のルーチンで暗号化を実行するために使用される暗号化キーが含まれています。

米。 44: 行の一意の ID は削除しないでください

最後に、必要なインポートおよび CSP とともに必要なライブラリをダウンロードします (Microsoft 拡張 RSA и AES暗号プロバイダー).

米。 45: ライブラリのロード

すべての難読化解除が完了すると、暗号化に必要なアクションの実行に進みます。つまり、すべての論理ドライブの列挙、前のルーチンでロードされたものの実行、システム内のプレゼンスの強化、RyukReadMe.html ファイルの削除、暗号化、すべてのネットワーク ドライブの列挙です。 、検出されたデバイスとその暗号化に移行します。
すべてはロードから始まります」cmd.exeを」と RSA 公開キー レコード。

米。 46: 暗号化の準備

次に、次を使用してすべての論理ドライブを取得します。 論理ドライブの取得 すべてのバックアップ、復元ポイント、セーフ ブート モードを無効にします。

米。 47: 回復ツールの非アクティブ化

その後、上で見たようにシステム内での存在を強化し、最初のファイルを書き込みます。 RyukReadMe.html в TEMP.

米。 48: 身代金通知の公開

次の図では、ファイルの作成、コンテンツのダウンロード、書き込みの様子がわかります。

米。 49: ファイルコンテンツのロードと書き込み

すべてのデバイスで同じアクションを実行できるようにするために、彼は次のように使用します。
"icacls.exe」、上で示したように。

米。 50: icalcls.exe の使用

そして最後に、「*.exe」、「*.dll」ファイル、システム ファイル、および暗号化されたホワイト リストの形式で指定されたその他の場所を除くファイルの暗号化を開始します。 これを行うには、インポートを使用します。 CryptAcquireContextW (AES および RSA の使用が指定されている場合)、 CryptDeriveKey、CryptGenKey, クリプトデストロイキー 等また、WNetEnumResourceW を使用して、検出されたネットワーク デバイスに到達範囲を拡張し、それらを暗号化しようとします。

米。 51: システムファイルの暗号化

6. インポートと対応するフラグ

以下の表は、サンプルで使用される最も関連性の高いインポートとフラグをリストしたものです。

7.IOC

リファレンス

• usersPublicrun.sct
• スタート メニュープログラムStartupstart.bat AppDataRoamingMicrosoftWindowsStart
• メニュープログラムスタートアップstart.bat

Ryuk ランサムウェアに関する技術レポートは、ウイルス対策研究所 PandaLabs の専門家によってまとめられました。

8. リンク

1. 「Everis y Prisa Radio sufren ungrave ciberataque que secuestra sus sistemas」https://www. elconfidential.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/、Publicada el 04/11/2019。

2. 「Unvirus de origen ruso ataca a importantes empresas españolas」 https://elpais.com/tecnologia/2019/11/04/actualidad/1572897654_ 251312.html、Publicada el 04/11/2019。

3. 「VB2019 論文: 死神の復讐: Ryuk マルウェアのロングテール」 https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/、Publicada el 11 /12年2019月

4. 「Ryuk による大物狩り: もう 10 つの利益をもたらすターゲットを絞ったランサムウェア」https://www. クラウドストライク.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/、Publicada el 01/2019/XNUMX。

5. 「VB2019 論文: 死神の復讐: Ryuk マルウェアのロングテール」 https://www. virusbulletin.com/virusbulletin/2019/10/vb2019-paper-shinigamis-revenge-long-tail-r

出所： habr.com