Ryuk - соңғы бірнеше жылдағы ең танымал ransomware нұсқаларының бірі. 2018 жылдың жазында алғаш рет пайда болғаннан бері ол жиналды , әсіресе оның шабуылдарының негізгі нысанасы болып табылатын іскерлік ортада.
1. Жалпы ақпарат
Бұл құжатта Ryuk ransomware нұсқасының талдауы, сондай-ақ жүйеге зиянды бағдарламаны жүктеуге жауапты жүктеуші бар.
Ryuk ransomware бағдарламасы алғаш рет 2018 жылдың жазында пайда болды. Ryuk-тың басқа төлемдік бағдарламалық құралдан айырмашылығының бірі - ол корпоративтік ортаға шабуыл жасауға бағытталған.
2019 жылдың ортасында киберқылмыстық топтар осы төлем бағдарламалық құралын пайдаланып көптеген испандық компанияларға шабуыл жасады.
Күріш. 1: Ryuk төлем бағдарламасы шабуылына қатысты El Confidencial үзіндісі [1]
Күріш. 2: Ryuk ransomware арқылы жасалған шабуыл туралы El País үзіндісі [2]
Осы жылы Рюк әртүрлі елдердегі көптеген компанияларға шабуыл жасады. Төмендегі сандардан көріп отырғаныңыздай, Германия, Қытай, Алжир және Үндістан қатты зардап шекті.
Кибершабуылдардың санын салыстыра отырып, біз Рюктің миллиондаған пайдаланушыларға әсер еткенін және үлкен экономикалық шығынға әкеліп соқтырған деректердің үлкен көлемін бұзғанын көреміз.
Күріш. 3: Рюктің жаһандық белсенділігінің иллюстрациясы.
Күріш. 4: Рюктан ең көп зардап шеккен 16 ел
Күріш. 5: Ryuk ransomware шабуыл жасаған пайдаланушылар саны (миллиондаған)
Мұндай қауіптердің әдеттегі жұмыс принципіне сәйкес, бұл төлем бағдарламасы шифрлау аяқталғаннан кейін жәбірленушіге шифрланған файлдарға қолжетімділікті қалпына келтіру үшін көрсетілген мекенжайға биткоиндермен төленуі тиіс төлем туралы хабарламаны көрсетеді.
Бұл зиянды бағдарлама алғаш рет енгізілгеннен бері өзгерді.
Бұл құжатта талданған қауіптің нұсқасы 2020 жылдың қаңтарындағы шабуыл әрекеті кезінде табылды.
Күрделілігіне байланысты бұл зиянды бағдарлама көбінесе APT топтары деп аталатын ұйымдасқан киберқылмыстық топтарға жатады.
Ryuk кодының бір бөлігі басқа белгілі Hermes төлем бағдарламалық құралының коды мен құрылымына айтарлықтай ұқсастыққа ие, олармен бірдей функциялар қатары ортақ. Сондықтан Рюк бастапқыда сол кезде Hermes төлем бағдарламасының артында тұрған деген күдікке ие болған солтүстіккореялық Lazarus тобымен байланысты болды.
CrowdStrike Falcon X қызметі кейіннен Рюкті шын мәнінде WIZARD SPIDER тобы жасағанын атап өтті [4].
Бұл болжамды растайтын кейбір дәлелдер бар. Біріншіден, бұл төлем бағдарламасы ресейлік танымал зиянды бағдарламалар нарығы болып табылатын exploit.in веб-сайтында жарнамаланған және бұрын кейбір ресейлік APT топтарымен байланысқан.
Бұл факт Рюкті Лазарус APT тобы әзірлеген болуы мүмкін деген теорияны жоққа шығарады, өйткені бұл топтың жұмыс істеу тәсіліне сәйкес келмейді.
Сонымен қатар, Рюк ресейлік, украиндық және беларусьтік жүйелерде жұмыс істемейтін төлемдік бағдарлама ретінде жарнамаланды. Бұл әрекет Ryuk қолданбасының кейбір нұсқаларында табылған мүмкіндікпен анықталады, онда ол төлем бағдарламасы жұмыс істеп тұрған жүйенің тілін тексереді және жүйеде орыс, украин немесе белорус тілдері болса, оның жұмысын тоқтатады. Ақырында, WIZARD SPIDER тобы бұзған машинаның сараптамалық талдауы Гермес төлем бағдарламасының нұсқасы ретінде Рюкті әзірлеуде пайдаланылған мыс бірнеше «артефактілерді» анықтады.
Екінші жағынан, сарапшылар Габриэла Николао мен Лучано Мартинс төлемдік бағдарламаны APT CryptoTech тобы жасаған болуы мүмкін деп болжады [5].
Бұл Рюктің пайда болуынан бірнеше ай бұрын бұл топтың сол сайттың форумында Hermes ransomware бағдарламасының жаңа нұсқасын жасағаны туралы ақпаратты жариялағанынан туындайды.
Бірнеше форум пайдаланушылары CryptoTech шынымен Ryuk жасады ма деген сұрақ қойды. Содан кейін топ өзін қорғап, төлемдік бағдарламалық жасақтаманы 100% жасағаны туралы дәлелдері бар екенін мәлімдеді.
2. Характеристика
Біз жүктеушіден бастаймыз, оның жұмысы Ryuk төлем бағдарламасының «дұрыс» нұсқасын іске қосу үшін ол қосылған жүйені анықтау болып табылады.
Жүктеуші хэш келесідей:
MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469
Бұл жүктеушінің ерекшеліктерінің бірі оның құрамында ешқандай метадеректер жоқ, яғни. Бұл зиянды бағдарламаны жасаушылар оған ешқандай ақпаратты қоспаған.
Кейде олар заңды қолданбаны іске қосып жатыр деп пайдаланушыны алдау үшін қате деректерді қосады. Алайда, кейінірек көретініміздей, егер инфекция пайдаланушының өзара әрекеттесуін қамтымаса (осы төлемдік бағдарламалық құрал сияқты), онда шабуылдаушылар метадеректерді пайдалануды қажет деп санамайды.
Күріш. 6: Үлгі метадеректер
Үлгі 32 биттік және 32 биттік жүйелерде жұмыс істей алатындай етіп 64 биттік пішімде құрастырылған.
3. ену векторы
Ryuk жүктеп алатын және іске қосатын үлгі біздің жүйемізге қашықтағы қосылым арқылы кірді, ал кіру параметрлері алдын ала RDP шабуылы арқылы алынды.
Күріш. 7: Шабуыл тізілімі
Шабуылдаушы жүйеге қашықтан кіре алды. Осыдан кейін ол біздің үлгімізбен орындалатын файлды жасады.
Бұл орындалатын файл іске қосылмас бұрын антивирус шешімімен блокталған.
Күріш. 8: Үлгі құлпы
Күріш. 9: Үлгі құлпы
Зиянды файл бұғатталған кезде, шабуылдаушы орындалатын файлдың шифрланған нұсқасын жүктеп алуға әрекеттенді, ол да бұғатталған.
Күріш. 10: шабуылдаушы іске қосуға әрекеттенген үлгілер жинағы
Соңында ол шифрланған консоль арқылы басқа зиянды файлды жүктеп алуға тырысты
Вирусқа қарсы қорғанысты айналып өту үшін PowerShell. Бірақ оған да тосқауыл қойылды.
Күріш. 11: Зиянды мазмұны бар PowerShell бұғатталған
Күріш. 12: Зиянды мазмұны бар PowerShell бұғатталған
4. Жүктегіш
Ол орындаған кезде қалтаға ReadMe файлын жазады % temp%, бұл Рюкке тән. Бұл файл осы зиянды бағдарламалар тобында жиі кездесетін protonmail доменіндегі электрондық пошта мекенжайы бар төлем жазбасы: [электрондық пошта қорғалған]
Күріш. 13: Төлемді талап ету
Жүктеуші жұмыс істеп тұрғанда, оның кездейсоқ атаулары бар бірнеше орындалатын файлдарды іске қосқанын көруге болады. Олар жасырын қалтада сақталады Қоғамдық, бірақ операциялық жүйеде опция белсенді болмаса «Жасырын файлдар мен қалталарды көрсету», содан кейін олар жасырын қалады. Сонымен қатар, бұл файлдар 64 биттік негізгі файлға қарағанда 32 биттік болып табылады.
Күріш. 14: Үлгі арқылы іске қосылған орындалатын файлдар
Жоғарыдағы суретте көріп отырғаныңыздай, Ryuk icacls.exe файлын іске қосады, ол барлық ACL (Access control lists) өзгерту үшін пайдаланылады, осылайша қол жеткізуді және жалаушаларды өзгертуді қамтамасыз етеді.
Ол қателерге (/C) қарамастан және ешбір хабарды көрсетпей (/Q) құрылғыдағы барлық файлдарға (/T) барлық пайдаланушылар үшін толық рұқсат алады.
Күріш. 15: Үлгі арқылы іске қосылған icacls.exe орындалу параметрлері
Рюк Windows жүйесінің қай нұсқасын іске қосып жатқаныңызды тексеретінін ескеру маңызды. Бұл үшін ол
көмегімен нұсқаны тексеруді жүзеге асырады GetVersionExW, онда ол жалаушаның мәнін тексереді lpVersionInformationWindows жүйесінің ағымдағы нұсқасының жаңарақ екенін көрсетеді Windows XP.
Windows XP нұсқасынан кейінгі нұсқаны іске қосып жатқаныңызға байланысты жүктеуші жергілікті пайдаланушы қалтасына жазады - бұл жағдайда қалтаға %қоғамдық%.
Күріш. 17: Амалдық жүйе нұсқасын тексеру
Жазылып жатқан файл - Рюк. Содан кейін ол өз мекенжайын параметр ретінде жіберіп, оны іске қосады.
Күріш. 18: Ryuk-ті ShellExecute арқылы орындаңыз
Рюк бірінші жасайтын нәрсе - кіріс параметрлерін алу. Бұл жолы өз іздерін жою үшін пайдаланылатын екі енгізу параметрі (орындалатын файлдың өзі және тамызғыш мекенжайы) бар.
Күріш. 19: Процесті құру
Сондай-ақ, оның орындалатын файлдарын іске қосқаннан кейін, ол өзін жойатынын, осылайша орындалған қалтада өзінің қатысуының ізін қалдырмайтынын көруге болады.
Күріш. 20: Файлды жою
5. РЮК
5.1 Болуы
Рюк, басқа зиянды бағдарламалар сияқты, жүйеде мүмкіндігінше ұзақ тұруға тырысады. Жоғарыда көрсетілгендей, бұл мақсатқа жетудің бір жолы - орындалатын файлдарды жасырын жасау және іске қосу. Ол үшін тізілім кілтін өзгерту ең көп таралған тәжірибе болып табылады CurrentVersionRun.
Бұл жағдайда сіз осы мақсат үшін бірінші файл іске қосылатынын көре аласыз VWjRF.exe
(файл атауы кездейсоқ құрылған) іске қосылады cmd.exe.
Күріш. 21: VWjRF.exe орындалуда
Содан кейін пәрменді енгізіңіз RUN атымен"svchos". Осылайша, кез келген уақытта тізілім кілттерін тексергіңіз келсе, бұл атаудың svchost-пен ұқсастығын ескере отырып, бұл өзгертуді оңай өткізіп жіберуге болады. Осы кілттің арқасында Рюк оның жүйеде болуын қамтамасыз етеді. Жүйеде жоқ болса. әлі жұқтырылған болса, жүйені қайта жүктегенде, орындалатын файл әрекетті қайталайды.
Күріш. 22: Үлгі тізілім кілтінде болуын қамтамасыз етеді
Бұл орындалатын файл екі қызметті тоқтататынын да көре аламыз:
"audioendpointBuilder", оның аты айтып тұрғандай, жүйелік дыбысқа сәйкес келеді,
Күріш. 23: Үлгі жүйенің аудио қызметін тоқтатады
и Samss, бұл есептік жазбаны басқару қызметі. Бұл екі қызметті тоқтату Рюкке тән қасиет. Бұл жағдайда жүйе SIEM жүйесіне қосылған болса, төлемдік бағдарлама жіберуді тоқтатуға тырысады. кез келген ескертулер. Осылайша, ол келесі қадамдарын қорғайды, өйткені кейбір SAM қызметтері Рюкті орындағаннан кейін жұмысын дұрыс бастай алмайды.
Күріш. 24: Үлгі Samss қызметін тоқтатады
5.2 Артықшылықтар
Жалпы айтқанда, Рюк желі ішінде бүйірлік жылжытудан басталады немесе оны басқа зиянды бағдарлама іске қосады, мысалы немесе , артықшылықтар ұлғайған жағдайда, бұл жоғары құқықтарды төлем бағдарламалық құралына береді.
Алдын ала, іске асыру үдерісіне кіріспе ретінде біз оның процесті жүзеге асырып жатқанын көреміз Өзін-өзі елестету, бұл қатынас таңбалауышының қауіпсіздік мазмұны ағынға жіберілетінін білдіреді, ол жерден ол бірден шығарып алынады. GetCurrentThread.
Күріш. 25: ImpersonateSelf қоңырау шалыңыз
Содан кейін біз оның кіру таңбалауышын ағынмен байланыстыратынын көреміз. Жалаулардың бірі екенін де көреміз DesiredAccess, ол ағынға ие болатын қатынасты басқару үшін пайдаланылуы мүмкін. Бұл жағдайда edx алатын мән болуы керек TOKEN_ALL_ACESS немесе басқаша - TOKEN_WRITE.
Күріш. 26: Ағын белгісін жасау
Содан кейін ол пайдаланады SeDebugPrivilege және ағындағы Debug рұқсаттарын алу үшін қоңырау соғады, нәтижесінде PROCESS_ALL_ACCESS, ол кез келген қажетті процеске қол жеткізе алады. Енді шифрлағышта дайын ағын бар екенін ескерсек, соңғы кезеңге өту ғана қалады.
Күріш. 27: SeDebugPrivilege және артықшылықты арттыру функциясын шақыру
Бір жағынан, бізде LookupPrivilegeValueW бар, ол бізге арттырғымыз келетін артықшылықтар туралы қажетті ақпаратты береді.
Күріш. 28: Артықшылықтарды арттыру үшін артықшылықтар туралы ақпаратты сұрау
Екінші жағынан, бізде бар AdjustTokenPrivileges, бұл ағынымызға қажетті құқықтарды алуға мүмкіндік береді. Бұл жағдайда ең бастысы Жаңа мемлекет, кімнің жалауы артықшылықтар береді.
Күріш. 29: Токенге рұқсаттарды орнату
5.3 Іске асыру
Бұл бөлімде біз үлгі осы есепте бұрын айтылған іске асыру процесін қалай орындайтынын көрсетеміз.
Іске асыру процесінің, сондай-ақ эскалацияның негізгі мақсаты қол жеткізу болып табылады көлеңкелі көшірмелер. Мұны істеу үшін оған жергілікті пайдаланушының құқықтарынан жоғары құқықтары бар ағынмен жұмыс істеу керек. Осындай жоғары құқықтарға ие болғаннан кейін ол көшірмелерді жояды және операциялық жүйедегі бұрынғы қалпына келтіру нүктесіне оралу мүмкін болмас үшін басқа процестерге өзгерістер енгізеді.
Зиянды бағдарламалық құралдың бұл түріне әдеттегідей ол пайдаланады CreateToolHelp32Snapshotсондықтан ол ағымдағы орындалып жатқан процестердің суретін алады және сол процестерді пайдаланып кіруге тырысады OpenProcess. Процесске қол жеткізгеннен кейін ол процесс параметрлерін алу үшін ақпараты бар таңбалауышты ашады.
Күріш. 30: Компьютерден процестерді шығарып алу
CreateToolhelp140002Snapshot көмегімен оның әдеттегі 9D32C жүйесінде іске қосылған процестер тізімін қалай алатынын динамикалық түрде көре аламыз. Оларды алғаннан кейін, ол сәтті болғанша OpenProcess арқылы процестерді бір-бірлеп ашуға тырысып, тізімді аралайды. Бұл жағдайда ол ашуға қабілетті бірінші процесс болды "taskhost.exe".
Күріш. 31: Процесті алу үшін процедураны динамикалық түрде орындау
Біз оның кейіннен процесс таңбалауыш ақпаратын оқитынын көреміз, сондықтан ол шақырады OpenProcessToken параметрімен»20008"
Күріш. 32: процесс таңбалауышы ақпаратын оқу
Сондай-ақ ол енгізілетін процестің жоқтығын тексереді csrss.exe, explorer.exe, lsaas.exe немесе оның құқықтарының жиынтығы бар NT органы.
Күріш. 33: Шығарылған процестер
Біз оның процесс таңбалауышы ақпаратын пайдаланып тексеруді бірінші рет қалай орындайтынын динамикалық түрде көре аламыз 140002D9C процесті орындау үшін құқықтары пайдаланылатын есептік жазбаның шот болып табылатынын анықтау үшін NT AUTORITY.
Күріш. 34: NT AUTORITY тексеру
Ал кейінірек, процедурадан тыс, ол бұл емес екенін тексереді csrss.exe, explorer.exe немесе lsaas.exe.
Күріш. 35: NT AUTORITY тексеру
Ол процестердің суретін түсіріп, процестерді ашқаннан кейін және олардың ешқайсысы алынып тасталмағанын тексергеннен кейін, ол енгізілетін процестерді жадқа жазуға дайын.
Ол үшін алдымен жадтағы аумақты сақтайды (VirtualAllocEx), оған жазады (WriteProcessmemory) және ағын жасайды (RemoteThread жасау). Бұл функциялармен жұмыс істеу үшін ол бұрын пайдаланып алған таңдалған процестердің PID кодтарын пайдаланады CreateToolhelp32Snapshot.
Күріш. 36: Енгізу коды
Мұнда функцияны шақыру үшін PID процесін қалай қолданатынын динамикалық түрде бақылай аламыз VirtualAllocEx.
Күріш. 37: VirtualAllocEx нөміріне қоңырау шалыңыз
5.4 Шифрлау
Бұл бөлімде біз осы үлгінің шифрлау бөлігін қарастырамыз. Келесі суретте сіз «деп аталатын екі ішкі бағдарламаны көре аласыз.LoadLibrary_EncodeString«и»Encode_Func", олар шифрлау процедурасын орындауға жауапты.
Күріш. 38: Шифрлау процедуралары
Бастапқыда біз оның жолды қалай жүктейтінін көре аламыз, ол кейінірек қажеттінің бәрін жою үшін пайдаланылады: импорттар, DLL файлдары, пәрмендер, файлдар және CSP.
Күріш. 39: Деобфузация тізбегі
Келесі суретте R4 регистрінде жасырылған бірінші импорт көрсетілген. Кітапхана жүктеу. Бұл кейінірек қажетті DLL файлдарын жүктеу үшін пайдаланылады. Сонымен қатар біз R12 регистрінде деобфузацияны орындау үшін алдыңғы жолмен бірге қолданылатын басқа жолды көре аламыз.
Күріш. 40: Динамикалық деобфузация
Ол сақтық көшірмелерді, қалпына келтіру нүктелерін және қауіпсіз жүктеу режимдерін өшіру үшін кейінірек орындалатын пәрмендерді жүктеп алуды жалғастырады.
Күріш. 41: Пәрмендерді жүктеу
Содан кейін ол 3 файлды түсіретін орынды жүктейді: Windows.bat, run.sct и start.bat.
Күріш. 42: Файл орындары
Бұл 3 файл әр жерде бар артықшылықтарды тексеру үшін пайдаланылады. Қажетті артықшылықтар болмаса, Рюк орындауды тоқтатады.
Ол үш файлға сәйкес жолдарды жүктеуді жалғастырады. Біріншіден, DECRYPT_INFORMATION.html, файлдарды қалпына келтіруге қажетті ақпаратты қамтиды. Екіншіден, Қоғамдық, RSA ашық кілтін қамтиды.
Күріш. 43: DECRYPT INFORMATION.html жолы
Үшіншіден, ЕРЕКШЕ_ID_ЖОЮ БОЛМАЙДЫ, шифрлауды орындау үшін келесі тәртіпте пайдаланылатын шифрланған кілтті қамтиды.
Күріш. 44: жол UNICE ID АЛЫП АЛМАҢЫЗ
Соңында, ол қажетті импорт пен CSP файлдарымен бірге қажетті кітапханаларды жүктейді (Microsoft Enhanced RSA и AES криптографиялық провайдері).
Күріш. 45: Кітапханаларды жүктеу
Барлық деобфузация аяқталғаннан кейін ол шифрлау үшін қажетті әрекеттерді орындауға кіріседі: барлық логикалық дискілерді санау, алдыңғы режимде жүктелгенді орындау, жүйеде қатысуды күшейту, RyukReadMe.html файлын тастау, шифрлау, барлық желілік дискілерді санау. , анықталған құрылғыларға көшу және оларды шифрлау.
Барлығы жүктеуден басталады»cmd.exe" және RSA ашық кілт жазбалары.
Күріш. 46: Шифрлауға дайындық
Содан кейін ол барлық логикалық дискілерді пайдаланады GetLogicalDrives және барлық сақтық көшірмелерді, қалпына келтіру нүктелерін және қауіпсіз жүктеу режимдерін өшіреді.
Күріш. 47: Қалпына келтіру құралдарын өшіру
Осыдан кейін ол жоғарыда көргеніміздей жүйеде өзінің қатысуын күшейтіп, бірінші файлды жазады RyukReadMe.html в ТЕМП.
Күріш. 48: Төлем туралы хабарламаны жариялау
Келесі суретте оның файлды қалай жасайтынын, мазмұнды жүктеп алып, оны қалай жазатынын көре аласыз:
Күріш. 49: Файл мазмұнын жүктеу және жазу
Барлық құрылғыларда бірдей әрекеттерді орындай алу үшін ол пайдаланады
"icacls.exe«, біз жоғарыда көрсеткендей.
Күріш. 50: icalcls.exe файлын пайдалану
Соңында ол «*.exe», «*.dll» файлдарынан, жүйелік файлдардан және шифрланған ақ тізім түрінде көрсетілген басқа орындардан басқа файлдарды шифрлауды бастайды. Ол үшін импортты пайдаланады: CryptAcquireContextW (мұнда AES және RSA пайдалану көрсетілген), CryptDeriveKey, CryptGenKey, CryptDestroyKey және т.б. Ол сондай-ақ WNetEnumResourceW көмегімен табылған желілік құрылғыларға қол жеткізуін кеңейтуге, содан кейін оларды шифрлауға әрекет жасайды.
Күріш. 51: жүйелік файлдарды шифрлау
6. Импорттар және сәйкес жалаушалар
Төменде үлгі қолданатын ең сәйкес импорттар мен жалаушалар тізімі берілген кесте:
7. ХОК
сілтемелер
- usersPublicrun.sct
- Бастау мәзіріProgramsStartupstart.bat AppDataRoamingMicrosoftWindowsStart
- MenuProgramsStartupstart.bat
Ryuk төлем бағдарламасы туралы техникалық есепті PandaLabs антивирустық зертханасының сарапшылары құрастырған.
8. Сілтемелер
1. “Everis y Prisa Radio қауіпсіз жүйелерде жұмыс істейді.”https://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, Жарияланған ел 04/11/2019.
2. “Un virus de origen ruso ataca a importantes empresas ispanolas.” https: //elpais.com/tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, Publicada el 04/11/2019.
3. “VB2019 қағазы: Шинигамидің кек алуы: Ryuk зиянды бағдарламасының ұзын құйрығы.” https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, Publicada el 11 /12/2019 ж
4. «Рюкпен үлкен аң аулау: тағы бір тиімді және мақсатты төлем бағдарламасы.»https://www. crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/, Publicada el 10/01/2019.
5. «VB2019 қағазы: Шинигамидің кек алуы: Ryuk зиянды бағдарламасының ұзын құйрығы.» https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigamis-revenge-long-tail-r
Ақпарат көзі: www.habr.com