Ryuk minangka salah sawijining opsi ransomware sing paling misuwur ing sawetara taun kepungkur. Wiwit pisanan muncul ing musim panas 2018, wis diklumpukake
1. Informasi umum
Dokumen iki ngemot analisis varian ransomware Ryuk, uga loader sing tanggung jawab kanggo ngemot malware menyang sistem.
Ransomware Ryuk pisanan muncul ing musim panas 2018. Salah sawijining bedane Ryuk lan ransomware liyane yaiku tujuane kanggo nyerang lingkungan perusahaan.
Ing pertengahan 2019, klompok cybercriminal nyerang akeh perusahaan Spanyol nggunakake ransomware iki.
Gabah. 1: Kutipan saka El Confidencial babagan serangan ransomware Ryuk [1]
Gabah. 2: Kutipan saka El País babagan serangan sing ditindakake nggunakake ransomware Ryuk [2]
Taun iki, Ryuk wis nyerang akeh perusahaan ing macem-macem negara. Minangka sampeyan bisa ndeleng ing tokoh ing ngisor iki, Jerman, China, Aljazair lan India sing paling angel.
Kanthi mbandhingake jumlah serangan cyber, kita bisa ndeleng manawa Ryuk wis kena pengaruh mayuta-yuta pangguna lan kompromi data sing akeh, nyebabake kerugian ekonomi sing abot.
Gabah. 3: Ilustrasi kegiatan global Ryuk.
Gabah. 4: 16 negara sing paling kena pengaruh Ryuk
Gabah. 5: Jumlah pangguna sing diserang dening ransomware Ryuk (jutaan)
Miturut prinsip operasi biasa saka ancaman kasebut, ransomware iki, sawise enkripsi rampung, nuduhake korban kabar tebusan sing kudu dibayar ing bitcoins menyang alamat sing ditemtokake kanggo mulihake akses menyang file sing dienkripsi.
Malware iki wis diganti wiwit pisanan dikenalaké.
Varian ancaman iki sing dianalisis ing dokumen iki ditemokake nalika nyoba serangan ing Januari 2020.
Amarga kerumitan kasebut, malware iki asring digandhengake karo klompok kriminal cyber sing diatur, uga dikenal minangka grup APT.
Bagéyan saka kode Ryuk nduweni persamaan sing katon karo kode lan struktur ransomware liyane sing kondhang, Hermes, sing padha nuduhake sawetara fungsi sing padha. Iki sebabe Ryuk wiwitane digandhengake karo klompok Korea Lor Lazarus, sing ing wektu kasebut dicurigai dadi konco ransomware Hermes.
Layanan CrowdStrike's Falcon X banjur nyathet yen Ryuk nyatane digawe dening grup WIZARD SPIDER [4].
Ana sawetara bukti kanggo ndhukung asumsi iki. Kaping pisanan, ransomware iki diiklanake ing situs web exploit.in, yaiku pasar malware Rusia sing kondhang lan sadurunge wis digandhengake karo sawetara grup APT Rusia.
Kasunyatan iki ngilangi teori yen Ryuk bisa dikembangake dening grup APT Lazarus, amarga iku ora cocog karo cara grup makaryakke.
Kajaba iku, Ryuk diiklanake minangka ransomware sing ora bakal bisa digunakake ing sistem Rusia, Ukrainia lan Belarusia. Prilaku iki ditemtokake dening fitur sing ditemokake ing sawetara versi Ryuk, sing mriksa basa sistem sing ransomware mlaku lan mandheg yen sistem kasebut nduweni basa Rusia, Ukrainia utawa Belarusia. Pungkasan, analisis ahli mesin sing disusupi dening tim WIZARD SPIDER ngumumake sawetara "artefak" sing diduga digunakake ing pangembangan Ryuk minangka varian saka ransomware Hermes.
Ing sisih liya, ahli Gabriela Nicolao lan Luciano Martins nyaranake manawa ransomware bisa uga dikembangake dening klompok APT CryptoTech [5].
Iki nderek saka kasunyatan sing sawetara sasi sadurunge katon saka Ryuk, grup iki dikirim informasi ing forum saka situs sing padha wis dikembangaké versi anyar saka ransomware Hermes.
Sawetara pangguna forum takon apa CryptoTech bener-bener nggawe Ryuk. Klompok kasebut banjur mbela awake dhewe lan nyatakake yen ana bukti yen dheweke wis ngembangake 100% ransomware kasebut.
2. Ciri-cirine
Kita miwiti karo bootloader, sing tugas kanggo ngenali sistem kasebut supaya versi "bener" saka ransomware Ryuk bisa diluncurake.
Hash bootloader kaya ing ngisor iki:
MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469
Salah sawijining fitur downloader iki yaiku ora ngemot metadata, yaiku. Pencipta malware iki ora ngemot informasi apa wae.
Kadhangkala kalebu data sing salah kanggo ngapusi pangguna supaya mikir yen lagi mlaku aplikasi sing sah. Nanging, kaya sing bakal kita deleng mengko, yen infeksi kasebut ora melu interaksi pangguna (kaya kasus ransomware iki), mula panyerang ora nganggep perlu nggunakake metadata.
Gabah. 6: Sampel Meta Data
Sampel kasebut disusun ing format 32-bit supaya bisa mlaku ing sistem 32-bit lan 64-bit.
3. Vektor penetrasi
Sampel sing ndownload lan mbukak Ryuk mlebu sistem kita liwat sambungan remot, lan paramèter akses dipikolehi liwat serangan RDP awal.
Gabah. 7: Register Serangan
Penyerang bisa mlebu menyang sistem saka jarak jauh. Sawise iku, dheweke nggawe file sing bisa dieksekusi nganggo conto kita.
File eksekusi iki diblokir dening solusi antivirus sadurunge mlaku.
Gabah. 8: Kunci pola
Gabah. 9: Kunci pola
Nalika file jahat diblokir, panyerang nyoba ndownload versi ndhelik saka file eksekusi, sing uga diblokir.
Gabah. 10: Setel conto sing dicoba dening penyerang
Pungkasan, dheweke nyoba ndownload file jahat liyane liwat konsol sing dienkripsi
PowerShell kanggo ngliwati proteksi antivirus. Nanging dheweke uga diblokir.
Gabah. 11: PowerShell kanthi konten ala diblokir
Gabah. 12: PowerShell kanthi konten ala diblokir
4. Pengisi
Nalika dieksekusi, nulis file ReadMe menyang folder kasebut % temp%, sing khas kanggo Ryuk. Berkas iki minangka cathetan tebusan sing ngemot alamat email ing domain protonmail, sing cukup umum ing kulawarga malware iki: [email dilindhungi]
Gabah. 13: Panjaluk Tebusan
Nalika bootloader mlaku, sampeyan bisa ndeleng manawa mbukak sawetara file sing bisa dieksekusi kanthi jeneng acak. Padha disimpen ing folder sing didhelikake Publik, nanging yen pilihan ora aktif ing sistem operasi "Tampilake file lan folder sing didhelikake", banjur padha tetep didhelikake. Kajaba iku, file kasebut 64-bit, ora kaya file induk, yaiku 32-bit.
Gabah. 14: File eksekusi sing diluncurake dening sampel
Nalika sampeyan bisa ndeleng ing gambar ndhuwur, Ryuk mbukak icacls.exe, sing bakal digunakake kanggo ngowahi kabeh ACLs (Dhaptar kontrol akses), saéngga njamin akses lan modifikasi panji.
Iku entuk akses lengkap ing kabeh pangguna menyang kabeh file ing piranti (/T) preduli saka kasalahan (/C) lan tanpa nuduhake pesen (/Q).
Gabah. 15: Parameter eksekusi icacls.exe sing diluncurake dening sampel
Penting kanggo dicathet yen Ryuk mriksa versi Windows sing sampeyan gunakake. Kanggo iki dheweke
nindakake mriksa versi nggunakake GetVersionExW, sing mriksa regane gendera lpVersionInformationnuduhake manawa versi Windows saiki luwih anyar tinimbang Windows XP.
Gumantung apa sampeyan nggunakake versi luwih saka Windows XP, boot loader bakal nulis menyang folder pangguna lokal - ing kasus iki menyang folder %Umum%.
Gabah. 17: Priksa versi sistem operasi
File sing ditulis yaiku Ryuk. Banjur mbukak, ngliwati alamat dhewe minangka parameter.
Gabah. 18: Jalanake Ryuk liwat ShellExecute
Babagan pisanan sing ditindakake Ryuk yaiku nampa paramèter input. Wektu iki ana rong parameter input (eksekusi dhewe lan alamat dropper) sing digunakake kanggo mbusak jejak dhewe.
Gabah. 19: Nggawe Proses
Sampeyan uga bisa ndeleng yen wis mbukak executables, bakal mbusak dhewe, saéngga ora ninggal jejak dhewe ing folder sing dieksekusi.
Gabah. 20: Mbusak file
5. RYUK
5.1 Ngarsane
Ryuk, kaya malware liyane, nyoba kanggo tetep ing sistem kanggo anggere bisa. Kaya sing dituduhake ing ndhuwur, salah sawijining cara kanggo nggayuh tujuan iki yaiku nggawe lan mbukak file sing bisa dieksekusi kanthi rahasia. Kanggo nindakake iki, praktik sing paling umum yaiku ngganti kunci registri SaikiVersionRun.
Ing kasus iki, sampeyan bisa ndeleng sing kanggo maksud iki file pisanan dibukak VWjRF.exe
(jeneng file digawe kanthi acak) diluncurake cmd.exe.
Gabah. 21: Nglakokaké VWjRF.exe
Banjur ketik printah RUN karo jenenge"svchos". Mangkono, yen sampeyan pengin mriksa tombol pendaptaran sawayah-wayah, sampeyan bisa kanthi gampang kantun owah-owahan iki, diwenehi mirip jeneng iki karo svchost. Thanks kanggo tombol iki, Ryuk njamin ngarsane ing sistem. Yen sistem wis ora. durung kena infeksi , banjur nalika sampeyan miwiti maneh sistem, eksekusi bakal nyoba maneh.
Gabah. 22: Sampel njamin ana ing kunci registri
Kita uga bisa ndeleng manawa eksekusi iki mandhegake rong layanan:
"audioendpointbuilder", sing, kaya jenenge, cocog karo audio sistem,
Gabah. 23: Sample mandheg layanan audio sistem
и Samss, yaiku layanan manajemen akun. Mungkasi layanan loro iki minangka ciri khas Ryuk. Ing kasus iki, yen sistem disambungake menyang sistem SIEM, ransomware nyoba kanggo mungkasi ngirim menyang
Gabah. 24: Sample mandheg layanan Samss
5.2 Hak istimewa
Umumé, Ryuk diwiwiti kanthi mindhah lateral ing jaringan utawa diluncurake dening malware liyane kayata
Sadurunge, minangka pambuka kanggo proses implementasine, kita ndeleng dheweke nindakake proses kasebut Impersonate Self, sing tegese isi keamanan token akses bakal diterusake menyang stream, sing bakal langsung dijupuk nggunakake GetCurrentThread.
Gabah. 25: Telpon ImpersonateSelf
Kita banjur weruh yen bakal digandhengake token akses karo thread. Kita uga weruh yen salah sawijining gendera yaiku DesiredAccess, sing bisa digunakake kanggo ngontrol akses sing bakal ana ing thread kasebut. Ing kasus iki, nilai sing bakal ditampa edx yaiku TOKEN_ALL_ACESS utawa liya- TOKEN_WRITE.
Gabah. 26: Nggawe Token Aliran
Banjur dheweke bakal nggunakake SeDebugPrivilege lan bakal nelpon kanggo njaluk ijin Debug ing thread, asil ing PROSES_ALL_ACCESS, dheweke bakal bisa ngakses proses sing dibutuhake. Saiki, amarga enkripsi wis duwe stream sing disiapake, sing isih ana yaiku nerusake menyang tahap pungkasan.
Gabah. 27: Telpon SeDebugPrivilege lan Fungsi Eskalasi Hak Istimewa
Ing tangan siji, kita duwe LookupPrivilegeValueW, sing nyedhiyakake informasi sing dibutuhake babagan hak istimewa sing pengin kita tambah.
Gabah. 28: Nyuwun informasi babagan hak istimewa kanggo eskalasi hak istimewa
Ing tangan liyane, kita duwe AdjustTokenPrivileges, sing ngidini kita entuk hak sing dibutuhake kanggo stream kita. Ing kasus iki, sing paling penting yaiku NewState, sing gendera bakal menehi hak istimewa.
Gabah. 29: Nyetel hak kanggo token
5.3 Implementasine
Ing bagean iki, kita bakal nuduhake carane sampel nindakake proses implementasine sadurunge kasebut ing laporan iki.
Tujuan utama proses implementasine, uga eskalasi, yaiku entuk akses menyang salinan bayangan. Kanggo nindakake iki, dheweke kudu nggarap benang kanthi hak sing luwih dhuwur tinimbang pangguna lokal. Sawise entuk hak sing luwih dhuwur, bakal mbusak salinan lan ngowahi proses liyane supaya ora bisa bali menyang titik pemulihan sadurunge ing sistem operasi.
Minangka khas karo jinis malware iki, digunakake CreateToolHelp32Snapshotsupaya njupuk gambar asli saka proses sing lagi mlaku lan nyoba kanggo ngakses pangolahan sing nggunakake OpenProcess. Sawise entuk akses menyang proses kasebut, uga mbukak token kanthi informasi kanggo entuk paramèter proses.
Gabah. 30: Nompo pangolahan saka komputer
Kita bisa ndeleng kanthi dinamis carane entuk dhaptar proses sing mlaku ing rutinitas 140002D9C nggunakake CreateToolhelp32Snapshot. Sawise nampa, dheweke mbukak dhaptar, nyoba mbukak proses siji-sijine nggunakake OpenProcess nganti sukses. Ing kasus iki, proses pisanan sing bisa dibukak yaiku "taskhost.exe".
Gabah. 31: Nglakokake Prosedur kanthi Dinamis kanggo Njaluk Proses
Kita bisa ndeleng sing banjur maca informasi token proses, supaya telpon OpenProcessToken karo parameter"20008"
Gabah. 32: Waca informasi token proses
Uga mriksa manawa proses sing bakal disuntikake ora csrss.exe, explorer.exe, lsaas.exe utawa yen dheweke nduweni hak-hak wewenang NT.
Gabah. 33: Proses sing ora kalebu
Kita bisa ndeleng kanthi dinamis carane mriksa pisanan nggunakake informasi token proses ing 140002D9C kanggo ngerteni apa akun sing hak digunakake kanggo nglakokake proses minangka akun NT WEWEN.
Gabah. 34: NT AUTORITY mriksa
Lan mengko, ing njaba prosedur kasebut, dheweke mriksa manawa ora csrss.exe, explorer.exe utawa lsaas.exe.
Gabah. 35: NT AUTORITY mriksa
Sawise njupuk gambar saka pangolahan, mbukak pangolahan, lan diverifikasi sing ora ana sing tilar, kang siyap kanggo nulis memori pangolahan sing bakal nyuntikaken.
Kanggo nindakake iki, pisanan nyimpen area ing memori (VirtualAllocEx), nulis ing (WriteProcessmemory) lan nggawe thread (NggaweRemoteThread). Kanggo nggarap fungsi kasebut, nggunakake PID saka proses sing dipilih, sing sadurunge dipikolehi CreateToolhelp32Snapshot.
Gabah. 36: Kode semat
Ing kene kita bisa kanthi dinamis mirsani carane nggunakake proses PID kanggo nelpon fungsi kasebut VirtualAllocEx.
Gabah. 37: Telpon VirtualAllocEx
5.4 Enkripsi
Ing bagean iki, kita bakal ndeleng bagean enkripsi saka conto iki. Ing gambar ing ngisor iki sampeyan bisa ndeleng rong subrutin sing diarani "LoadLibrary_EncodeString"lan"Encode_Func", sing tanggung jawab kanggo nindakake prosedur enkripsi.
Gabah. 38: Tata cara enkripsi
Ing wiwitan, kita bisa ndeleng carane ngemot senar sing bakal digunakake kanggo deobfuscate kabeh sing dibutuhake: impor, DLL, printah, file lan CSP.
Gabah. 39: Sirkuit deobfuscation
Tokoh ing ngisor iki nuduhake impor pisanan sing deobfuscate ing register R4. LoadLibrary. Iki bakal digunakake mengko kanggo mbukak DLLs dibutuhake. Kita uga bisa ndeleng baris liyane ing register R12, kang digunakake bebarengan karo baris sadurungé kanggo nindakake deobfuscation.
Gabah. 40: Deobfuscation dinamis
Terus ndownload printah sing bakal ditindakake mengko kanggo mateni serep, mulihake poin, lan mode boot aman.
Gabah. 41: Loading printah
Banjur mbukak lokasi sing bakal ngeculake 3 file: Windows.bat, run.sct и miwiti.bat.
Gabah. 42: Lokasi File
3 file iki digunakake kanggo mriksa hak istimewa sing saben lokasi wis. Yen hak istimewa sing dibutuhake ora kasedhiya, Ryuk mandheg eksekusi.
Terus mbukak garis sing cocog karo telung file kasebut. pisanan, DECRYPT_INFORMATION.html, ngemot informasi sing dibutuhake kanggo mbalekake file. Kapindho, Publik, ngemot kunci publik RSA.
Gabah. 43: Line DECRYPT INFORMATION.html
Katelu, UNIQUE_ID_DO_NOT_REMOVE, ngemot kunci sing dienkripsi sing bakal digunakake ing rutinitas sabanjure kanggo nindakake enkripsi.
Gabah. 44: Line ID UNIK AJA Mbusak
Pungkasan, ngundhuh perpustakaan sing dibutuhake bebarengan karo impor lan CSP sing dibutuhake (Microsoft Enhanced RSA и Panyedhiya Kriptografi AES).
Gabah. 45: Ngunggah perpustakaan
Sawise kabeh deobfuscation rampung, iku nerusake kanggo nindakake tumindak sing dibutuhake kanggo enkripsi: enumerating kabeh drive logis, nglakokaké apa sing dimuat ing tumindake sadurungé, ngiyataken ngarsane ing sistem, mbuwang file RyukReadMe.html, enkripsi, enumerating kabeh drive jaringan. , transisi menyang piranti sing dideteksi lan enkripsi.
Iku kabeh diwiwiti kanthi loading"cmd.exe"lan cathetan kunci publik RSA.
Gabah. 46: Nyiapake kanggo enkripsi
Banjur nemu kabeh drive logis nggunakake GetLogicalDrives lan mateni kabeh serep, mulihake TCTerms lan mode boot aman.
Gabah. 47: Mateni piranti pemulihan
Sawisé iku, iku strengthens ngarsane ing sistem, kita weruh ndhuwur, lan nyerat file pisanan RyukReadMe.html в TEMP.
Gabah. 48: Nerbitake kabar tebusan
Ing gambar ing ngisor iki sampeyan bisa ndeleng carane nggawe file, ndownload konten lan nulis:
Gabah. 49: Ngunggah lan nulis isi file
Kanggo bisa nindakake tumindak sing padha ing kabeh piranti, dheweke nggunakake
"icacls.exe", kaya sing dituduhake ing ndhuwur.
Gabah. 50: Nggunakake icalcls.exe
Lan pungkasane, wiwit ndhelik file kajaba "*.exe", "*.dll" file, file sistem lan lokasi liyane sing ditemtokake ing wangun dhaptar putih sing dienkripsi. Kanggo nindakake iki, nggunakake impor: CryptoAcquireContextW (ing ngendi panggunaan AES lan RSA ditemtokake), CryptDeriveKey, CryptGenKey, CryptoDestroyKey lsp. Iki uga nyoba kanggo ngluwihi jangkauan menyang piranti jaringan sing ditemokake nggunakake WNetEnumResourceW banjur enkripsi.
Gabah. 51: Enkripsi file sistem
6. Impor lan gendéra sing cocog
Ing ngisor iki ana tabel dhaptar impor lan gendera sing paling relevan sing digunakake dening sampel:
7. IOC
referensi
- usersPublicrun.sct
- Mulai MenuProgramsStartupstart.bat AppDataRoamingMicrosoftWindowsStart
- MenuProgramsStartupstart.bat
Laporan teknis babagan ransomware Ryuk disusun dening para ahli saka laboratorium antivirus PandaLabs.
8. Pranala
1. "Everis y Prisa Radio sufren un grave ciberataque que secuestra sus systems."https: // www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, Publikasi ing 04/11/2019.
2. "Organisasi virus asale saka españolas sing penting." https: //elpais.com/tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, Publikasi ing 04/11/2019.
3. "Kertas VB2019: Dendam Shinigami: buntut panjang saka malware Ryuk." https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, Publicada el 11 /12/2019
4. "Big Game Hunting karo Ryuk: Liyane LucrativebTargeted Ransomware."https: // www. crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/, Diterbitake ing 10/01/2019.
5. "Kertas VB2019: mbales Shinigami: buntut dawa saka malware Ryuk." https: // www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigamis-revenge-long-tail-r
Source: www.habr.com