როგორ მუშაობს Ryuk გამოსასყიდი პროგრამა, რომელიც თავს ესხმის ბიზნესს

Ryuk არის ერთ-ერთი ყველაზე ცნობილი გამოსასყიდი პროგრამა ბოლო რამდენიმე წლის განმავლობაში. მას შემდეგ, რაც ის პირველად გამოჩნდა 2018 წლის ზაფხულში, მან შეაგროვა მსხვერპლთა შთამბეჭდავი სია, განსაკუთრებით ბიზნეს გარემოში, რომელიც მისი თავდასხმების მთავარი სამიზნეა.

1. ზოგადი ინფორმაცია

ეს დოკუმენტი შეიცავს Ryuk ransomware ვარიანტის ანალიზს, ისევე როგორც დამტვირთველს, რომელიც პასუხისმგებელია მავნე პროგრამის სისტემაში ჩატვირთვაზე.

Ryuk გამოსასყიდი პროგრამა პირველად 2018 წლის ზაფხულში გამოჩნდა. Ryuk-სა და სხვა გამოსასყიდ პროგრამას შორის ერთ-ერთი განსხვავება ისაა, რომ ის მიმართულია კორპორატიულ გარემოზე თავდასხმაზე.

2019 წლის შუა რიცხვებში კიბერდანაშაულებრივი ჯგუფები თავს დაესხნენ უამრავ ესპანურ კომპანიას ამ გამოსასყიდის გამოყენებით.

ბრინჯი. 1: ამონარიდი El Confidencial-დან Ryuk გამოსასყიდის შეტევასთან დაკავშირებით [1]

ბრინჯი. 2: ნაწყვეტი El País-დან Ryuk-ის გამოსასყიდი პროგრამის გამოყენებით განხორციელებული თავდასხმის შესახებ [2]
წელს რიუკმა თავს დაესხა უამრავ კომპანიას სხვადასხვა ქვეყანაში. როგორც ქვემოთ მოცემულ ფიგურებში ხედავთ, ყველაზე მეტად გერმანია, ჩინეთი, ალჟირი და ინდოეთი დაზარალდნენ.

კიბერშეტევების რაოდენობის შედარებით, ჩვენ ვხედავთ, რომ რიუკმა გავლენა მოახდინა მილიონობით მომხმარებელზე და დაარღვია უზარმაზარი მონაცემები, რამაც გამოიწვია სერიოზული ეკონომიკური ზარალი.

ბრინჯი. 3: რიუკის გლობალური საქმიანობის ილუსტრაცია.

ბრინჯი. 4: რიუკისგან ყველაზე მეტად დაზარალებული 16 ქვეყანა

ბრინჯი. 5: მომხმარებელთა რაოდენობა, რომლებსაც თავს დაესხნენ Ryuk გამოსასყიდი პროგრამა (მილიონებში)

ასეთი საფრთხეების ჩვეული ოპერაციული პრინციპის მიხედვით, ეს გამოსასყიდი პროგრამა, დაშიფვრის დასრულების შემდეგ, უჩვენებს მსხვერპლს გამოსასყიდის შეტყობინებას, რომელიც უნდა გადაიხადოს ბიტკოინებით მითითებულ მისამართზე, რათა აღდგეს წვდომა დაშიფრულ ფაილებზე.

ეს მავნე პროგრამა შეიცვალა მას შემდეგ, რაც პირველად დაინერგა.
ამ დოკუმენტში გაანალიზებული ამ საფრთხის ვარიანტი აღმოაჩინეს 2020 წლის იანვარში თავდასხმის მცდელობის დროს.

მისი სირთულის გამო, ეს მავნე პროგრამა ხშირად მიეკუთვნება ორგანიზებულ კიბერდანაშაულებრივ ჯგუფებს, რომლებიც ასევე ცნობილია როგორც APT ჯგუფები.

Ryuk კოდის ნაწილს შესამჩნევი მსგავსება აქვს სხვა ცნობილი გამოსასყიდის, Hermes-ის კოდთან და სტრუქტურასთან, რომელთანაც ისინი იზიარებენ უამრავ იდენტურ ფუნქციას. სწორედ ამიტომ რიუკი თავდაპირველად დაუკავშირდა ჩრდილოეთ კორეის ჯგუფ Lazarus-ს, რომელიც იმ დროს ეჭვმიტანილი იყო Hermes-ის გამოსასყიდის უკან.

CrowdStrike-ის Falcon X სერვისმა შემდგომში აღნიშნა, რომ Ryuk ფაქტობრივად შეიქმნა WIZARD SPIDER ჯგუფის მიერ [4].

არსებობს გარკვეული მტკიცებულება ამ ვარაუდის მხარდასაჭერად. პირველი, ეს გამოსასყიდი პროგრამა გამოქვეყნდა ვებსაიტზე exploit.in, რომელიც არის ცნობილი რუსული მავნე პროგრამების ბაზარი და ადრე დაკავშირებული იყო ზოგიერთ რუსულ APT ჯგუფთან.
ეს ფაქტი გამორიცხავს თეორიას იმის შესახებ, რომ რიუკი შეიძლებოდა ყოფილიყო შექმნილი Lazarus APT ჯგუფის მიერ, რადგან ეს არ შეესაბამება ჯგუფის ფუნქციონირებას.

გარდა ამისა, Ryuk იყო რეკლამირებული, როგორც გამოსასყიდი პროგრამა, რომელიც არ იმუშავებს რუსულ, უკრაინულ და ბელორუსულ სისტემებზე. ეს ქცევა განისაზღვრება Ryuk-ის ზოგიერთ ვერსიაში ნაპოვნი ფუნქციით, სადაც ის ამოწმებს სისტემის ენას, რომელზეც მუშაობს გამოსასყიდი პროგრამა და აჩერებს მის გაშვებას, თუ სისტემას აქვს რუსული, უკრაინული ან ბელორუსული ენა. და ბოლოს, WIZARD SPIDER-ის გუნდის მიერ გატეხილი აპარატის ექსპერტულმა ანალიზმა გამოავლინა რამდენიმე „არტეფაქტი“, რომლებიც, სავარაუდოდ, გამოიყენებოდა Ryuk-ის შემუშავებაში, როგორც Hermes-ის გამოსასყიდი პროგრამის ვარიანტი.

მეორეს მხრივ, ექსპერტებმა გაბრიელა ნიკოლაომ და ლუჩიანო მარტინსმა ვარაუდობენ, რომ გამოსასყიდი პროგრამა შესაძლოა შეიქმნა APT ჯგუფის CryptoTech-ის მიერ [5].
ეს გამომდინარეობს იქიდან, რომ რიუკის გამოჩენამდე რამდენიმე თვით ადრე, ამ ჯგუფმა გამოაქვეყნა ინფორმაცია იმავე საიტის ფორუმზე, რომ მათ შეიმუშავეს Hermes გამოსასყიდის ახალი ვერსია.

ფორუმის რამდენიმე მომხმარებელმა ეჭვქვეშ დააყენა CryptoTech-მა შექმნა თუ არა Ryuk. შემდეგ ჯგუფმა დაიცვა თავი და განაცხადა, რომ მას ჰქონდა მტკიცებულება, რომ მათ შექმნეს გამოსასყიდი პროგრამის 100%.

2. მახასიათებლები

ჩვენ ვიწყებთ ჩამტვირთველით, რომლის ამოცანაა სისტემის იდენტიფიცირება, რომელზედაც ის არის, რათა შესაძლებელი გახდეს Ryuk გამოსასყიდის „სწორი“ ვერსიის გაშვება.
ჩამტვირთველის ჰეში შემდეგია:

MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469

ამ გადმომწერის ერთ-ერთი მახასიათებელია ის, რომ ის არ შეიცავს მეტამონაცემებს, ე.ი. ამ მავნე პროგრამის შემქმნელებმა მასში რაიმე ინფორმაცია არ შეიტანეს.

ზოგჯერ ისინი შეიცავს მცდარ მონაცემებს, რათა მოატყუონ მომხმარებელი იფიქროს, რომ ისინი აწარმოებენ ლეგიტიმურ აპლიკაციას. თუმცა, როგორც მოგვიანებით დავინახავთ, თუ ინფექცია არ მოიცავს მომხმარებლის ინტერაქციას (როგორც ეს არის ამ გამოსასყიდის შემთხვევაში), მაშინ თავდამსხმელები საჭიროდ არ თვლიან მეტამონაცემების გამოყენებას.

ბრინჯი. 6: მეტა მონაცემების ნიმუში

ნიმუში შედგენილია 32-ბიტიან ფორმატში, რათა მას შეეძლოს მუშაობა როგორც 32-ბიტიან, ასევე 64-ბიტიან სისტემებზე.

3. შეღწევადობის ვექტორი

ნიმუში, რომელიც ჩამოტვირთავს და აწარმოებს Ryuk-ს, შევიდა ჩვენს სისტემაში დისტანციური კავშირის საშუალებით და წვდომის პარამეტრები მიღებული იქნა წინასწარი RDP შეტევის შედეგად.

ბრინჯი. 7: თავდასხმის რეგისტრაცია

თავდამსხმელმა მოახერხა სისტემაში შესვლა დისტანციურად. ამის შემდეგ მან შექმნა შესრულებადი ფაილი ჩვენი ნიმუშით.
ეს შესრულებადი ფაილი დაბლოკილი იყო ანტივირუსული ხსნარით გაშვებამდე.

ბრინჯი. 8: შაბლონის საკეტი

ბრინჯი. 9: შაბლონის საკეტი

როდესაც მავნე ფაილი დაიბლოკა, თავდამსხმელმა სცადა შესრულებადი ფაილის დაშიფრული ვერსიის ჩამოტვირთვა, რომელიც ასევე დაბლოკილია.

ბრინჯი. 10: ნიმუშების ნაკრები, რომლის გაშვებასაც თავდამსხმელი ცდილობდა

საბოლოოდ, მან სცადა სხვა მავნე ფაილის ჩამოტვირთვა დაშიფრული კონსოლის საშუალებით
PowerShell ანტივირუსული დაცვის გვერდის ავლით. მაგრამ ისიც დაბლოკეს.

ბრინჯი. 11: დაბლოკილია PowerShell მავნე შინაარსით


ბრინჯი. 12: დაბლოკილია PowerShell მავნე შინაარსით

4. მტვირთავი

როდესაც ის ასრულებს, ის წერს ReadMe ფაილს საქაღალდეში %ტემპი%, რაც დამახასიათებელია რიუკისთვის. ეს ფაილი არის გამოსასყიდის შენიშვნა, რომელიც შეიცავს ელ. ფოსტის მისამართს პროტონმაილის დომენში, რაც საკმაოდ გავრცელებულია ამ მავნე პროგრამის ოჯახში: [ელ.ფოსტით დაცულია]

ბრინჯი. 13: გამოსასყიდის მოთხოვნა

სანამ ჩამტვირთავი მუშაობს, ხედავთ, რომ ის უშვებს რამდენიმე შესრულებად ფაილს შემთხვევითი სახელებით. ისინი ინახება ფარულ საქაღალდეში PUBLIC, მაგრამ თუ ვარიანტი არ არის აქტიური ოპერაციულ სისტემაში "ფარული ფაილების და საქაღალდეების ჩვენება", მაშინ ისინი დარჩებიან დამალული. უფრო მეტიც, ეს ფაილები 64-ბიტიანია, განსხვავებით მშობელი ფაილისგან, რომელიც არის 32-ბიტიანი.

ბრინჯი. 14: ნიმუშის მიერ გაშვებული შესრულებადი ფაილები

როგორც ზემოთ სურათზე ხედავთ, Ryuk უშვებს icacls.exe-ს, რომელიც გამოყენებული იქნება ყველა ACL-ის (წვდომის კონტროლის სიების) შესაცვლელად, რაც უზრუნველყოფს დროშების წვდომას და შეცვლას.

ის იღებს სრულ წვდომას ყველა მომხმარებლის ქვეშ ყველა ფაილზე მოწყობილობაზე (/T) შეცდომების (/C) მიუხედავად და ყოველგვარი შეტყობინებების ჩვენების გარეშე (/Q).

ბრინჯი. 15: ნიმუშის მიერ გაშვებული icacls.exe-ის შესრულების პარამეტრები

მნიშვნელოვანია აღინიშნოს, რომ რიუკი ამოწმებს ვინდოუსის რომელ ვერსიას იყენებთ. ამისთვის მან
ახორციელებს ვერსიის შემოწმებას გამოყენებით GetVersionExW, რომელშიც ის ამოწმებს დროშის მნიშვნელობას lpVersionInformationმიუთითებს, არის თუ არა Windows-ის მიმდინარე ვერსია უფრო ახალი ვიდრე Windows XP.

იმისდა მიხედვით, იყენებთ თუ არა ვერსიას Windows XP-ზე გვიან, ჩამტვირთველი ჩაწერს მომხმარებლის ლოკალურ საქაღალდეში - ამ შემთხვევაში საქაღალდეში. %საჯარო%.

ბრინჯი. 17: ოპერაციული სისტემის ვერსიის შემოწმება

ფაილი, რომელიც იწერება არის Ryuk. შემდეგ ის აწარმოებს მას და გადასცემს საკუთარ მისამართს პარამეტრად.

ბრინჯი. 18: შეასრულეთ რიუკი ShellExecute-ით

პირველი, რასაც რიუკი აკეთებს, არის შეყვანის პარამეტრების მიღება. ამჯერად არის ორი შეყვანის პარამეტრი (თავად შესრულებადი და dropper მისამართი), რომლებიც გამოიყენება საკუთარი კვალის მოსაშორებლად.

ბრინჯი. 19: პროცესის შექმნა

თქვენ ასევე შეგიძლიათ ნახოთ, რომ მას შემდეგ რაც გაუშვებს მისი შესრულებადი ფაილები, ის წაშლის თავის თავს, რითაც არ ტოვებს საკუთარი ყოფნის კვალს საქაღალდეში, სადაც ის იყო შესრულებული.

ბრინჯი. 20: ფაილის წაშლა

5. RYUK

5.1 ყოფნა
Ryuk, ისევე როგორც სხვა მავნე პროგრამები, ცდილობს რაც შეიძლება დიდხანს დარჩეს სისტემაში. როგორც ზემოთ იყო ნაჩვენები, ამ მიზნის მიღწევის ერთ-ერთი გზაა შესრულებადი ფაილების ფარულად შექმნა და გაშვება. ამისათვის ყველაზე გავრცელებული პრაქტიკაა რეესტრის გასაღების შეცვლა CurrentVersionRun.
ამ შემთხვევაში, თქვენ ხედავთ, რომ ამ მიზნით პირველი ფაილი გაშვებულია VWjRF.exe
(ფაილის სახელი შემთხვევით გენერირებულია) გაშვება cmd.exe.

ბრინჯი. 21: მიმდინარეობს VWjRF.exe

შემდეგ შეიყვანეთ ბრძანება RUN სახელით"svchos". ამრიგად, თუ გსურთ ნებისმიერ დროს შეამოწმოთ რეესტრის გასაღებები, შეგიძლიათ მარტივად გამოტოვოთ ეს ცვლილება, ამ სახელის მსგავსების გათვალისწინებით svchost-თან. ამ გასაღების წყალობით Ryuk უზრუნველყოფს მის არსებობას სისტემაში. თუ სისტემას არ აქვს ჯერ კიდევ ინფიცირებული ხართ, მაშინ როდესაც სისტემას გადატვირთავთ, შესრულებადი ისევ ეცდება.

ბრინჯი. 22: ნიმუში უზრუნველყოფს რეესტრის გასაღებში ყოფნას

ჩვენ ასევე ვხედავთ, რომ ეს შესრულებადი აჩერებს ორ სერვისს:
"აუდიობოლოების მშენებელი", რომელიც, როგორც მისი სახელიდან ჩანს, შეესაბამება სისტემის აუდიოს,

ბრინჯი. 23: ნიმუში აჩერებს სისტემის აუდიო სერვისს

и სამსს, რომელიც არის ანგარიშის მართვის სერვისი. ამ ორი სერვისის შეჩერება რიუკისთვის დამახასიათებელია. ამ შემთხვევაში, თუ სისტემა დაკავშირებულია SIEM სისტემასთან, გამოსასყიდი ცდილობს შეაჩეროს გაგზავნა siem ნებისმიერი გაფრთხილება. ამგვარად, ის იცავს თავის შემდგომ ნაბიჯებს, რადგან ზოგიერთი SAM სერვისი ვერ შეძლებს სწორად დაიწყოს მუშაობა Ryuk-ის შესრულების შემდეგ.

ბრინჯი. 24: ნიმუში აჩერებს Samss სერვისს

5.2 პრივილეგიები

ზოგადად რომ ვთქვათ, Ryuk იწყება გვერდითი გადაადგილებით ქსელში ან ის გაშვებულია სხვა მავნე პროგრამით, როგორიცაა ემოეტი ან ტრიქბოტი, რომელიც, პრივილეგიების გაზრდის შემთხვევაში, გადასცემს ამ ამაღლებულ უფლებებს გამოსასყიდ პროგრამას.

მანამდე, როგორც განხორციელების პროცესის პრელუდია, ჩვენ ვხედავთ მას ამ პროცესის განხორციელებაში საკუთარი თავის განსახიერება, რაც ნიშნავს, რომ წვდომის ჟეტონის უსაფრთხოების შიგთავსი გადაეცემა სტრიმინგს, სადაც ის დაუყოვნებლივ იქნება მოძიებული გამოყენებით GetCurrentThread.

ბრინჯი. 25: დაურეკეთ საკუთარ თავს

შემდეგ ჩვენ ვხედავთ, რომ ის დააკავშირებს წვდომის ჟეტონს ძაფთან. ჩვენ ასევე ვხედავთ, რომ ერთ-ერთი დროშა არის სასურველი წვდომა, რომელიც შეიძლება გამოყენებულ იქნას წვდომის გასაკონტროლებლად, რომელიც ექნება თემას. ამ შემთხვევაში მნიშვნელობა, რომელსაც edx მიიღებს, უნდა იყოს TOKEN_ALL_ACESS ან სხვაგვარად - TOKEN_WRITE.

ბრინჯი. 26: Flow Token-ის შექმნა

შემდეგ ის გამოიყენებს SeDebugPrivilege და დარეკავს, რომ მოიპოვოს Debug გამართვის უფლებები თემასთან მიმართებაში, რის შედეგადაც, მიუთითებს PROCESS_ALL_ACCESS, მას შეეძლება წვდომა ნებისმიერ საჭირო პროცესზე. ახლა, იმის გათვალისწინებით, რომ დაშიფვრას უკვე აქვს მომზადებული ნაკადი, რჩება მხოლოდ ფინალურ ეტაპზე გადასვლა.

ბრინჯი. 27: SeDebugPrivilege და Privilege Escalation ფუნქციის გამოძახება

ერთის მხრივ, გვაქვს LookupPrivilegeValueW, რომელიც გვაწვდის აუცილებელ ინფორმაციას იმ პრივილეგიების შესახებ, რომელთა გაზრდაც გვინდა.

ბრინჯი. 28: მოითხოვეთ ინფორმაცია პრივილეგიების შესახებ პრივილეგიების გაზრდისთვის

მეორე მხრივ, გვაქვს AdjustTokenPrivileges, რაც საშუალებას გვაძლევს მივიღოთ საჭირო უფლებები ჩვენს ნაკადზე. ამ შემთხვევაში ყველაზე მთავარია ნიუშტატი, რომლის დროშა მიანიჭებს პრივილეგიებს.

ბრინჯი. 29: ჟეტონისთვის ნებართვების დაყენება

5.3 განხორციელება

ამ განყოფილებაში ჩვენ ვაჩვენებთ, თუ როგორ ასრულებს ნიმუში ამ ანგარიშში ადრე ნახსენები განხორციელების პროცესს.

განხორციელების პროცესის, ისევე როგორც ესკალაციის მთავარი მიზანი, წვდომის მოპოვებაა ჩრდილოვანი ასლები. ამისათვის მან უნდა იმუშაოს ძაფთან, რომლის უფლებები უფრო მაღალია, ვიდრე ადგილობრივი მომხმარებლის უფლებები. მას შემდეგ რაც მოიპოვებს ასეთ ამაღლებულ უფლებებს, ის წაშლის ასლებს და შეიტანს ცვლილებებს სხვა პროცესებში, რათა შეუძლებელი გახადოს ოპერაციული სისტემის ადრინდელ აღდგენის წერტილში დაბრუნება.

როგორც ტიპიურია ამ ტიპის მავნე პროგრამისთვის, ის იყენებს CreateToolHelp32Snapshotასე რომ, ის იღებს მიმდინარე პროცესების სურათს და ცდილობს ამ პროცესებზე წვდომას გამოყენებით ღიაპროცესი. მას შემდეგ რაც ის მიიღებს წვდომას პროცესზე, ის ასევე ხსნის ჟეტონს თავისი ინფორმაციით პროცესის პარამეტრების მისაღებად.

ბრინჯი. 30: პროცესების მოძიება კომპიუტერიდან

ჩვენ შეგვიძლია დინამიურად ვნახოთ, როგორ იღებს ის მიმდინარე პროცესების ჩამონათვალს რუტინულ 140002D9C-ში CreateToolhelp32Snapshot-ის გამოყენებით. მათი მიღების შემდეგ, ის გადის სიას, ცდილობს სათითაოდ გახსნას პროცესები OpenProcess-ის გამოყენებით, სანამ არ გამოდგება. ამ შემთხვევაში, პირველი პროცესი, რომელიც მან შეძლო გახსნა, იყო "taskhost.exe".

ბრინჯი. 31: დინამიურად შეასრულეთ პროცედურა პროცესის მისაღებად

ჩვენ ვხედავთ, რომ ის შემდგომში კითხულობს პროცესის სიმბოლურ ინფორმაციას, ასე რომ, ის რეკავს OpenProcessToken პარამეტრით "20008"

ბრინჯი. 32: წაიკითხეთ პროცესის ნიშნების ინფორმაცია

ის ასევე ამოწმებს, რომ პროცესი, რომელშიც ის იქნება ინექცია, არ არის csrss.exe, explorer.exe, lsaas.exe ან რომ მას აქვს უფლებათა კომპლექტი NT ავტორიტეტი.

ბრინჯი. 33: გამორიცხული პროცესები

ჩვენ შეგვიძლია დინამიურად ვნახოთ, როგორ ახორციელებს ის პირველად შემოწმებას პროცესის ნიშნის ინფორმაციის გამოყენებით 140002D9C რათა გაირკვეს, არის თუ არა ანგარიში, რომლის უფლებები გამოიყენება პროცესის შესასრულებლად NT ავტორიტეტი.

ბრინჯი. 34: NT AUTHORITY შემოწმება

მოგვიანებით, პროცედურის მიღმა, ის ამოწმებს, რომ ეს ასე არ არის csrss.exe, explorer.exe ან lsaas.exe.

ბრინჯი. 35: NT AUTHORITY შემოწმება

მას შემდეგ, რაც გადაღებს პროცესების კადრს, გახსნის პროცესებს და დაადასტურებს, რომ არცერთი მათგანი არ არის გამორიცხული, ის მზადაა მეხსიერებაში ჩაწეროს ის პროცესები, რომლებიც იქნება ინექციური.

ამისათვის ის ჯერ იტოვებს ადგილს მეხსიერებაში (VirtualAllocEx), წერს მასში (WriteProcessMemory) და ქმნის თემას (CreateRemoteThread). ამ ფუნქციებთან მუშაობისთვის ის იყენებს არჩეული პროცესების PID-ებს, რომლებიც მანამდე მოიპოვა CreateToolhelp32Snapshot.

ბრინჯი. 36: ჩაშენებული კოდი

აქ ჩვენ შეგვიძლია დინამიურად დავაკვირდეთ, თუ როგორ იყენებს პროცესს PID ფუნქციის გამოსაძახებლად VirtualAllocEx.

ბრინჯი. 37: დარეკეთ VirtualAllocEx

5.4 დაშიფვრა
ამ განყოფილებაში ჩვენ გადავხედავთ ამ ნიმუშის დაშიფვრის ნაწილს. შემდეგ სურათზე ხედავთ ორ ქვეპროგრამას სახელწოდებით "LoadLibrary_EncodeString"და"Encode_Func“, რომლებიც პასუხისმგებელნი არიან დაშიფვრის პროცედურის შესრულებაზე.

ბრინჯი. 38: დაშიფვრის პროცედურები

დასაწყისში ჩვენ შეგვიძლია დავინახოთ, თუ როგორ იტვირთება ის სტრიქონი, რომელიც მოგვიანებით იქნება გამოყენებული ყველაფრის გასაუქმებლად, რაც საჭიროა: იმპორტი, DLL, ბრძანებები, ფაილები და CSP-ები.

ბრინჯი. 39: დებფუსკაციის წრე

შემდეგი ფიგურა გვიჩვენებს პირველ იმპორტს, რომლის დებფუსკაცია რეესტრში R4. ჩატვირთეთ ბიბლიოთეკა. ეს მოგვიანებით გამოყენებული იქნება საჭირო DLL-ების ჩასატვირთად. ჩვენ ასევე შეგვიძლია ვნახოთ სხვა ხაზი რეესტრში R12, რომელიც გამოიყენება წინა ხაზთან ერთად დებფუსკაციის შესასრულებლად.

ბრინჯი. 40: დინამიური დებფუსკაცია

ის აგრძელებს ბრძანებების ჩამოტვირთვას, რომლებიც მოგვიანებით გაიშვება სარეზერვო ასლების, აღდგენის წერტილებისა და ჩატვირთვის უსაფრთხო რეჟიმების გასაუქმებლად.

ბრინჯი. 41: ბრძანებების ჩატვირთვა

შემდეგ ატვირთავს ადგილს, სადაც ჩამოაგდებს 3 ფაილს: Windows.bat, run.sct и დაწყება. bat.

ბრინჯი. 42: ფაილის მდებარეობები

ეს 3 ფაილი გამოიყენება თითოეული ადგილის პრივილეგიების შესამოწმებლად. თუ საჭირო პრივილეგიები მიუწვდომელია, რიუკი აჩერებს შესრულებას.

ის აგრძელებს სამი ფაილის შესაბამისი ხაზების ჩატვირთვას. Პირველი, DECRYPT_INFORMATION.htmlშეიცავს ინფორმაციას ფაილების აღსადგენად. მეორე, PUBLIC, შეიცავს RSA საჯარო გასაღებს.

ბრინჯი. 43: ხაზი DECRYPT INFORMATION.html

მესამე, UNIQUE_ID_DO_NOT_REMOVE, შეიცავს დაშიფრულ გასაღებს, რომელიც გამოყენებული იქნება შემდეგ რუტინაში დაშიფვრის შესასრულებლად.

ბრინჯი. 44: ხაზის უნიკალური ID არ წაშალოთ

და ბოლოს, ის ჩამოტვირთავს საჭირო ბიბლიოთეკებს საჭირო იმპორტთან და CSP-ებთან ერთად (Microsoft-ის გაძლიერებული RSA и AES კრიპტოგრაფიული პროვაიდერი).

ბრინჯი. 45: იტვირთება ბიბლიოთეკები

დეობფუსკაციის დასრულების შემდეგ, იგი აგრძელებს დაშიფვრისთვის საჭირო მოქმედებების შესრულებას: ყველა ლოგიკური დისკის ჩამოთვლა, წინა რუტინაში ჩატვირთულის შესრულება, სისტემაში ყოფნის გაძლიერება, RyukReadMe.html ფაილის გადაგდება, დაშიფვრა, ყველა ქსელის დისკის ჩამოთვლა. , აღმოჩენილ მოწყობილობებზე გადასვლა და მათი დაშიფვრა.
ყველაფერი იწყება დატვირთვით"cmd.exe" და RSA საჯარო გასაღების ჩანაწერები.

ბრინჯი. 46: მომზადება დაშიფვრისთვის

შემდეგ ის იღებს ყველა ლოგიკურ დისკს გამოყენებით GetLogicalDrives და გამორთავს ყველა სარეზერვო ასლს, აღდგენის წერტილებს და ჩატვირთვის უსაფრთხო რეჟიმებს.

ბრინჯი. 47: აღდგენის ხელსაწყოების გამორთვა

ამის შემდეგ ის აძლიერებს თავის არსებობას სისტემაში, როგორც ზემოთ ვნახეთ და წერს პირველ ფაილს RyukReadMe.html в ტემპი.

ბრინჯი. 48: გამოსასყიდის შესახებ შეტყობინების გამოქვეყნება

შემდეგ სურათზე ხედავთ როგორ ქმნის ფაილს, ჩამოტვირთავს კონტენტს და წერს:

ბრინჯი. 49: ფაილის შინაარსის ჩატვირთვა და ჩაწერა

იმისათვის, რომ შეძლოს იგივე მოქმედებების შესრულება ყველა მოწყობილობაზე, ის იყენებს
"icacls.exe“, როგორც ზემოთ ვაჩვენეთ.

ბრინჯი. 50: icalcls.exe-ის გამოყენებით

და ბოლოს, ის იწყებს ფაილების დაშიფვრას, გარდა „*.exe“, „*.dll“ ფაილებისა, სისტემის ფაილებისა და დაშიფრული თეთრი სიის სახით მითითებული სხვა ადგილებისა. ამისათვის ის იყენებს იმპორტს: CryptAcquireContextW (სადაც მითითებულია AES და RSA გამოყენება), CryptDeriveKey, CryptGenKey, CryptDestroyKey და ა.შ. ის ასევე ცდილობს გააფართოვოს თავისი წვდომა აღმოჩენილ ქსელურ მოწყობილობებზე WNetEnumResourceW-ის გამოყენებით და შემდეგ დაშიფვროს ისინი.

ბრინჯი. 51: სისტემის ფაილების დაშიფვრა

6. იმპორტი და შესაბამისი დროშები

ქვემოთ მოცემულია ცხრილი, სადაც მოცემულია ნიმუშის მიერ გამოყენებული ყველაზე შესაბამისი იმპორტი და დროშები:

7. IOC

ლიტერატურა

• usersPublicrun.sct
• Start MenuProgramsStartupstart.bat AppDataRoamingMicrosoftWindowsStart
• მენიუProgramsStartupstart.bat

ტექნიკური ანგარიში Ryuk გამოსასყიდის შესახებ შეადგინეს ექსპერტებმა ანტივირუსული ლაბორატორიის PandaLabs-იდან.

8. ბმულები

1. “Everis y Prisa Radio sufren un grave ciberataque que secuestra sus sistemas.”https://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, Publicada el 04/11/2019.

2. “Un virus de origen ruso ataca a importantes empresas españolas.” https: //elpais.com/tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, Publicada el 04/11/2019.

3. „VB2019 ქაღალდი: Shinigami-ს შურისძიება: Ryuk მავნე პროგრამის გრძელი კუდი.” https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, Publicada el 11 /12/2019

4. "დიდი თამაში ნადირობა რიუკთან ერთად: კიდევ ერთი მომგებიანი მიზნობრივი გამოსასყიდი პროგრამა."https://www. crowdstrike.com/blog/big-game-hunting-with-ryuk-nother-lucrative-targeted-ransomware/, Publicada el 10/01/2019.

5. “VB2019 ქაღალდი: Shinigami-ს შურისძიება: Ryuk მავნე პროგრამის გრძელი კუდი.” https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigami-revenge-long-tail-r

წყარო: www.habr.com