របៀបដែល Ryuk ransomware ដំណើរការ ដែលវាយប្រហារអាជីវកម្ម

Ryuk គឺជាជម្រើស ransomware ដ៏ល្បីល្បាញបំផុតមួយក្នុងរយៈពេលប៉ុន្មានឆ្នាំចុងក្រោយនេះ។ ចាប់តាំងពីវាបានបង្ហាញខ្លួនជាលើកដំបូងនៅក្នុងរដូវក្តៅនៃ 2018 វាបានប្រមូល បញ្ជីឈ្មោះជនរងគ្រោះគួរឱ្យចាប់អារម្មណ៍ជាពិសេសនៅក្នុងបរិយាកាសអាជីវកម្ម ដែលជាគោលដៅចម្បងនៃការវាយប្រហាររបស់ខ្លួន។

1. ព័ត៌មានទូទៅ

ឯកសារនេះមានការវិភាគអំពីវ៉ារ្យ៉ង់ Ryuk ransomware ក៏ដូចជាកម្មវិធីផ្ទុកមេរោគដែលទទួលខុសត្រូវក្នុងការផ្ទុកមេរោគចូលទៅក្នុងប្រព័ន្ធ។

Ryuk ransomware បានបង្ហាញខ្លួនជាលើកដំបូងនៅក្នុងរដូវក្តៅនៃ 2018 ។ ភាពខុសគ្នាមួយក្នុងចំណោមភាពខុសគ្នារវាង Ryuk និង ransomware ផ្សេងទៀតគឺថាវាមានគោលបំណងវាយប្រហារបរិស្ថានសាជីវកម្ម។

នៅពាក់កណ្តាលឆ្នាំ 2019 ក្រុមឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតបានវាយប្រហារក្រុមហ៊ុនអេស្ប៉ាញមួយចំនួនធំដោយប្រើ ransomware នេះ។

អង្ករ។ 1: ដកស្រង់ចេញពី El Confidencial ទាក់ទងនឹងការវាយប្រហារ Ryuk ransomware [1]

អង្ករ។ 2: ដកស្រង់ពី El País អំពីការវាយប្រហារដែលធ្វើឡើងដោយប្រើ Ryuk ransomware [2]
ឆ្នាំនេះ Ryuk បានវាយប្រហារក្រុមហ៊ុនមួយចំនួនធំនៅក្នុងប្រទេសផ្សេងៗ។ ដូចដែលអ្នកអាចឃើញនៅក្នុងតួលេខខាងក្រោម អាល្លឺម៉ង់ ចិន អាល់ហ្សេរី និងឥណ្ឌា គឺជាប្រទេសដែលរងគ្រោះខ្លាំងជាងគេ។

តាមរយៈការប្រៀបធៀបចំនួននៃការវាយប្រហារតាមអ៊ីនធឺណិត យើងអាចឃើញថា Ryuk បានប៉ះពាល់ដល់អ្នកប្រើប្រាស់រាប់លាននាក់ និងបានសម្រុះសម្រួលទិន្នន័យមួយចំនួនធំ ដែលបណ្តាលឱ្យមានការខាតបង់សេដ្ឋកិច្ចយ៉ាងធ្ងន់ធ្ងរ។

អង្ករ។ 3: រូបភាពនៃសកម្មភាពសកលរបស់ Ryuk ។

អង្ករ។ 4: 16 ប្រទេសដែលរងផលប៉ះពាល់ខ្លាំងបំផុតដោយ Ryuk

អង្ករ។ ៥៖ ចំនួនអ្នកប្រើប្រាស់វាយប្រហារដោយ Ryuk ransomware (រាប់លាននាក់)

យោងតាមគោលការណ៍ប្រតិបត្តិការធម្មតានៃការគំរាមកំហែងបែបនេះ ransomware បន្ទាប់ពីការអ៊ិនគ្រីបបានបញ្ចប់ បង្ហាញជនរងគ្រោះនូវការជូនដំណឹងអំពីតម្លៃលោះដែលត្រូវតែបង់ជា bitcoins ទៅកាន់អាសយដ្ឋានដែលបានបញ្ជាក់ដើម្បីស្ដារការចូលប្រើឯកសារដែលបានអ៊ិនគ្រីប។

មេរោគនេះបានផ្លាស់ប្តូរចាប់តាំងពីវាត្រូវបានណែនាំជាលើកដំបូង។
បំរែបំរួលនៃការគំរាមកំហែងនេះដែលត្រូវបានវិភាគនៅក្នុងឯកសារនេះត្រូវបានរកឃើញក្នុងអំឡុងពេលប៉ុនប៉ងវាយប្រហារក្នុងខែមករា ឆ្នាំ 2020។

ដោយសារតែភាពស្មុគស្មាញរបស់វា មេរោគនេះច្រើនតែត្រូវបានសន្មតថាជាក្រុមឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតដែលបានរៀបចំ ឬត្រូវបានគេស្គាល់ថាជាក្រុម APT ផងដែរ។

ផ្នែកមួយនៃកូដ Ryuk មានភាពស្រដៀងគ្នាគួរឱ្យកត់សម្គាល់ទៅនឹងកូដ និងរចនាសម្ព័ន្ធនៃ ransomware ដ៏ល្បីមួយផ្សេងទៀតគឺ Hermes ដែលពួកគេចែករំលែកមុខងារដូចគ្នាមួយចំនួន។ នេះជាមូលហេតុដែល Ryuk ត្រូវបានភ្ជាប់ដំបូងជាមួយក្រុមកូរ៉េខាងជើង Lazarus ដែលនៅពេលនោះត្រូវបានគេសង្ស័យថាជាអ្នកនៅពីក្រោយ Hermes ransomware ។

សេវាកម្ម Falcon X របស់ CrowdStrike បានកត់សម្គាល់ជាបន្តបន្ទាប់ថា តាមពិត Ryuk ត្រូវបានបង្កើតឡើងដោយក្រុម WIZARD SPIDER [4] ។

មានភ័ស្តុតាងខ្លះដើម្បីគាំទ្រការសន្មត់នេះ។ ដំបូង ransomware នេះត្រូវបានផ្សព្វផ្សាយនៅលើគេហទំព័រ exploit.in ដែលជាទីផ្សារមេរោគដ៏ល្បីរបស់រុស្សី ហើយពីមុនត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងក្រុម APT មួយចំនួនរបស់រុស្ស៊ី។
ការពិតនេះច្រានចោលទ្រឹស្តីដែលថា Ryuk អាចត្រូវបានបង្កើតឡើងដោយក្រុម Lazarus APT ពីព្រោះ វាមិនសមនឹងវិធីដែលក្រុមប្រតិបត្តិការនោះទេ។

លើសពីនេះទៀត Ryuk ត្រូវបានផ្សព្វផ្សាយថាជា ransomware ដែលនឹងមិនដំណើរការលើប្រព័ន្ធរុស្ស៊ី អ៊ុយក្រែន និងបេឡារុស្ស។ ឥរិយាបថនេះត្រូវបានកំណត់ដោយលក្ខណៈពិសេសដែលមាននៅក្នុងកំណែមួយចំនួនរបស់ Ryuk ដែលជាកន្លែងដែលវាពិនិត្យភាសានៃប្រព័ន្ធដែល ransomware កំពុងដំណើរការ ហើយបញ្ឈប់វាពីការដំណើរការប្រសិនបើប្រព័ន្ធមានភាសារុស្ស៊ី អ៊ុយក្រែន ឬបេឡារុស្ស។ ទីបំផុត ការវិភាគអ្នកជំនាញនៃម៉ាស៊ីនដែលត្រូវបាន hack ដោយក្រុម WIZARD SPIDER បានបង្ហាញ "វត្ថុបុរាណ" ជាច្រើនដែលត្រូវបានគេចោទប្រកាន់ថាបានប្រើក្នុងការអភិវឌ្ឍន៍ Ryuk ជាវ៉ារ្យ៉ង់នៃមេរោគ Hermes ransomware ។

ម្យ៉ាងវិញទៀត អ្នកជំនាញ Gabriela Nicolao និង Luciano Martins បានផ្តល់យោបល់ថា ransomware អាចត្រូវបានបង្កើតឡើងដោយក្រុម APT CryptoTech [5] ។
នេះកើតឡើងពីការពិតដែលថាជាច្រើនខែមុនពេលការបង្ហាញខ្លួនរបស់ Ryuk ក្រុមនេះបានបង្ហោះព័ត៌មាននៅលើវេទិកានៃគេហទំព័រដូចគ្នាដែលពួកគេបានបង្កើតកំណែថ្មីនៃមេរោគ Hermes ransomware ។

អ្នកប្រើប្រាស់វេទិកាជាច្រើនបានចោទសួរថាតើ CryptoTech ពិតជាបានបង្កើត Ryuk ដែរឬទេ។ បន្ទាប់មកក្រុមនេះបានការពារខ្លួនហើយបញ្ជាក់ថាវាមានភស្តុតាងដែលថាពួកគេបានបង្កើត 100% នៃ ransomware ។

2. លក្ខណៈ

យើងចាប់ផ្តើមជាមួយនឹងកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធ ដែលការងារគឺដើម្បីកំណត់អត្តសញ្ញាណប្រព័ន្ធដែលវាបើក ដូច្នេះកំណែ "ត្រឹមត្រូវ" នៃ Ryuk ransomware អាចត្រូវបានដាក់ឱ្យដំណើរការ។
ហាស bootloader មានដូចខាងក្រោម៖

MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469

លក្ខណៈពិសេសមួយនៃកម្មវិធីទាញយកនេះគឺថាវាមិនមានទិន្នន័យមេតាណាមួយទេ ឧ។ អ្នកបង្កើតមេរោគនេះមិនបានបញ្ចូលព័ត៌មានណាមួយនៅក្នុងវាទេ។

ពេលខ្លះពួកវារួមបញ្ចូលទិន្នន័យខុសដើម្បីបញ្ឆោតអ្នកប្រើប្រាស់ឱ្យគិតថាពួកគេកំពុងដំណើរការកម្មវិធីស្របច្បាប់។ ទោះយ៉ាងណាក៏ដោយ ដូចដែលយើងនឹងឃើញនៅពេលក្រោយ ប្រសិនបើការឆ្លងមេរោគមិនពាក់ព័ន្ធនឹងអន្តរកម្មរបស់អ្នកប្រើ (ដូចករណីជាមួយ ransomware នេះ) នោះអ្នកវាយប្រហារមិនគិតថាវាចាំបាច់ក្នុងការប្រើប្រាស់ទិន្នន័យមេតាទេ។

អង្ករ។ ៦៖ គំរូទិន្នន័យមេតា

គំរូត្រូវបានចងក្រងជាទម្រង់ 32 ប៊ីត ដូច្នេះវាអាចដំណើរការបានទាំងប្រព័ន្ធ 32 ប៊ីត និង 64 ប៊ីត។

3. វ៉ិចទ័រជ្រៀតចូល

គំរូដែលទាញយក និងដំណើរការ Ryuk បានចូលទៅក្នុងប្រព័ន្ធរបស់យើងតាមរយៈការតភ្ជាប់ពីចម្ងាយ ហើយប៉ារ៉ាម៉ែត្រចូលដំណើរការត្រូវបានទទួលតាមរយៈការវាយប្រហារ RDP បឋម។

អង្ករ។ ៧៖ ចុះឈ្មោះវាយប្រហារ

អ្នកវាយប្រហារបានគ្រប់គ្រងចូលទៅក្នុងប្រព័ន្ធពីចម្ងាយ។ បន្ទាប់ពីនោះគាត់បានបង្កើតឯកសារដែលអាចប្រតិបត្តិបានជាមួយនឹងគំរូរបស់យើង។
ឯកសារដែលអាចប្រតិបត្តិបាននេះត្រូវបានរារាំងដោយដំណោះស្រាយកំចាត់មេរោគមុនពេលដំណើរការ។

អង្ករ។ 8: សោលំនាំ

អង្ករ។ 9: សោលំនាំ

នៅពេលដែលឯកសារព្យាបាទត្រូវបានរារាំង អ្នកវាយប្រហារព្យាយាមទាញយកកំណែដែលបានអ៊ិនគ្រីបនៃឯកសារដែលអាចប្រតិបត្តិបាន ដែលត្រូវបានរារាំងផងដែរ។

អង្ករ។ 10: សំណុំនៃគំរូដែលអ្នកវាយប្រហារព្យាយាមដំណើរការ

ទីបំផុតគាត់បានព្យាយាមទាញយកឯកសារព្យាបាទមួយផ្សេងទៀតតាមរយៈកុងសូលដែលបានអ៊ិនគ្រីប
PowerShell ដើម្បីរំលងការការពារកំចាត់មេរោគ។ ប៉ុន្តែគាត់ក៏ត្រូវបានរារាំងផងដែរ។

អង្ករ។ 11៖ PowerShell ជាមួយនឹងមាតិកាព្យាបាទត្រូវបានរារាំង


អង្ករ។ 12៖ PowerShell ជាមួយនឹងមាតិកាព្យាបាទត្រូវបានរារាំង

4. Loader

នៅពេលដែលវាដំណើរការ វាសរសេរឯកសារ ReadMe ទៅកាន់ថតឯកសារ % temp%ដែលជាតួយ៉ាងសម្រាប់ Ryuk ។ ឯកសារនេះគឺជាកំណត់ចំណាំតម្លៃលោះដែលមានអាសយដ្ឋានអ៊ីមែលនៅក្នុងដែន protonmail ដែលជារឿងធម្មតានៅក្នុងគ្រួសារមេរោគនេះ៖ [អ៊ីមែលការពារ]

អង្ករ។ ១៣៖ តម្រូវការលោះ

ខណៈពេលដែលកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធកំពុងដំណើរការ អ្នកអាចមើលឃើញថាវាបើកដំណើរការឯកសារដែលអាចប្រតិបត្តិបានជាច្រើនដែលមានឈ្មោះចៃដន្យ។ ពួកវាត្រូវបានរក្សាទុកក្នុងថតដែលលាក់ សាធារណៈរដ្ឋប៉ុន្តែប្រសិនបើជម្រើសមិនសកម្មនៅក្នុងប្រព័ន្ធប្រតិបត្តិការ "បង្ហាញឯកសារ និងថតដែលលាក់"បន្ទាប់មកពួកគេនឹងលាក់ខ្លួន។ លើសពីនេះទៅទៀត ឯកសារទាំងនេះមាន 64 ប៊ីត មិនដូចឯកសារមេដែលមាន 32 ប៊ីតទេ។

អង្ករ។ 14: ឯកសារដែលអាចប្រតិបត្តិបានដែលចាប់ផ្តើមដោយគំរូ

ដូចដែលអ្នកអាចមើលឃើញនៅក្នុងរូបភាពខាងលើ Ryuk បើកដំណើរការ icacls.exe ដែលនឹងត្រូវបានប្រើដើម្បីកែប្រែ ACLs ទាំងអស់ (Access control lists) ដូច្នេះធានាការចូលប្រើ និងការកែប្រែទង់។

វាទទួលបានការចូលប្រើប្រាស់ពេញលេញនៅក្រោមអ្នកប្រើប្រាស់ទាំងអស់ទៅកាន់ឯកសារទាំងអស់នៅលើឧបករណ៍ (/T) ដោយមិនគិតពីកំហុស (/C) និងដោយមិនបង្ហាញសារណាមួយ (/Q)។

អង្ករ។ 15: ប៉ារ៉ាម៉ែត្រប្រតិបត្តិនៃ icacls.exe ចាប់ផ្តើមដោយគំរូ

វាជាការសំខាន់ក្នុងការកត់សម្គាល់ថា Ryuk ពិនិត្យមើលកំណែរបស់ Windows ដែលអ្នកកំពុងដំណើរការ។ សម្រាប់រឿងនេះគាត់
អនុវត្តការត្រួតពិនិត្យកំណែដោយប្រើ GetVersionExWដែលក្នុងនោះវាពិនិត្យតម្លៃនៃទង់ជាតិ ព័ត៌មាន lpVersionបង្ហាញថាតើកំណែវីនដូបច្ចុប្បន្នគឺថ្មីជាង Windows XP ដែរ.

អាស្រ័យលើថាតើអ្នកកំពុងដំណើរការកំណែក្រោយ Windows XP កម្មវិធីចាប់ផ្ដើមប្រព័ន្ធនឹងសរសេរទៅថតអ្នកប្រើប្រាស់មូលដ្ឋាន - ក្នុងករណីនេះទៅកាន់ថតឯកសារ %សាធារណៈ%.

អង្ករ។ 17: ពិនិត្យមើលកំណែប្រព័ន្ធប្រតិបត្តិការ

ឯកសារដែលកំពុងសរសេរគឺ Ryuk ។ បន្ទាប់មកវាដំណើរការវាដោយឆ្លងកាត់អាសយដ្ឋានរបស់វាផ្ទាល់ជាប៉ារ៉ាម៉ែត្រ។

អង្ករ។ 18: ប្រតិបត្តិ Ryuk តាមរយៈ ShellExecute

រឿងដំបូងដែល Ryuk ធ្វើគឺទទួលបានប៉ារ៉ាម៉ែត្របញ្ចូល។ លើកនេះមានប៉ារ៉ាម៉ែត្របញ្ចូលពីរ (អាចប្រតិបត្តិបានដោយខ្លួនឯង និងអាសយដ្ឋានតំណក់ទឹក) ដែលត្រូវបានប្រើដើម្បីលុបដានរបស់វាចេញ។

អង្ករ។ ១៩៖ បង្កើតដំណើរការ

អ្នកក៏អាចឃើញដែរថា នៅពេលដែលវាបានដំណើរការ executables របស់វា វាលុបដោយខ្លួនវា ដូច្នេះហើយមិនទុកដាននៃវត្តមានរបស់វានៅក្នុង folder ដែលវាត្រូវបានប្រតិបត្តិនោះទេ។

អង្ករ។ 20: ការលុបឯកសារ

5. RYUK

5.1 វត្តមាន
Ryuk ដូចជាមេរោគផ្សេងទៀត ព្យាយាមរក្សានៅលើប្រព័ន្ធឱ្យបានយូរតាមដែលអាចធ្វើទៅបាន។ ដូចដែលបានបង្ហាញខាងលើ វិធីមួយដើម្បីសម្រេចបាននូវគោលដៅនេះគឺបង្កើត និងដំណើរការឯកសារដែលអាចប្រតិបត្តិបានដោយសម្ងាត់។ ដើម្បីធ្វើដូចនេះការអនុវត្តទូទៅបំផុតគឺការផ្លាស់ប្តូរសោចុះបញ្ជី កំណែបច្ចុប្បន្ន.
ក្នុងករណីនេះអ្នកអាចមើលឃើញថាសម្រាប់គោលបំណងនេះឯកសារដំបូងត្រូវបានដាក់ឱ្យដំណើរការ VWjRF.exe
(ឈ្មោះឯកសារត្រូវបានបង្កើតដោយចៃដន្យ) បើកដំណើរការ cmd.exe.

អង្ករ។ 21: ប្រតិបត្តិ VWjRF.exe

បន្ទាប់មកបញ្ចូលពាក្យបញ្ជា រត់ ជាមួយនឹងឈ្មោះ "svcos"។ ដូច្នេះហើយ ប្រសិនបើអ្នកចង់ពិនិត្យមើលកូនសោចុះបញ្ជីនៅពេលណាមួយ អ្នកអាចខកខានការផ្លាស់ប្តូរនេះយ៉ាងងាយស្រួល ដោយផ្តល់ភាពស្រដៀងគ្នានៃឈ្មោះនេះជាមួយ svchost។ សូមអរគុណចំពោះសោនេះ Ryuk ធានាវត្តមានរបស់វានៅក្នុងប្រព័ន្ធ។ ប្រសិនបើប្រព័ន្ធមិនមាន នៅតែត្រូវបានឆ្លងមេរោគ បន្ទាប់មកនៅពេលអ្នកចាប់ផ្តើមប្រព័ន្ធឡើងវិញ កម្មវិធីដែលអាចប្រតិបត្តិបាននឹងព្យាយាមម្តងទៀត។

អង្ករ។ 22: គំរូធានានូវវត្តមាននៅក្នុងកូនសោចុះបញ្ជី

យើង​ក៏​អាច​មើល​ឃើញ​ថា​ការ​ប្រតិបត្តិ​នេះ​បញ្ឈប់​សេវាកម្ម​ពីរ៖
"audioendpointbuilder", ដែល, ដូចដែលឈ្មោះរបស់វាបានបង្ហាញ, ទាក់ទងទៅនឹងអូឌីយ៉ូប្រព័ន្ធ,

អង្ករ។ 23៖ គំរូបញ្ឈប់សេវាកម្មអូឌីយ៉ូរបស់ប្រព័ន្ធ

и សាំសដែលជាសេវាកម្មគ្រប់គ្រងគណនី។ ការបញ្ឈប់សេវាកម្មទាំងពីរនេះគឺជាលក្ខណៈរបស់ Ryuk ។ ក្នុងករណីនេះ ប្រសិនបើប្រព័ន្ធត្រូវបានភ្ជាប់ទៅប្រព័ន្ធ SIEM នោះ ransomware ព្យាយាមបញ្ឈប់ការផ្ញើទៅកាន់ អេសអាយ ការព្រមានណាមួយ។ តាមរបៀបនេះ គាត់ការពារជំហានបន្ទាប់របស់គាត់ ចាប់តាំងពីសេវាកម្ម SAM មួយចំនួននឹងមិនអាចចាប់ផ្តើមការងាររបស់ពួកគេបានត្រឹមត្រូវបន្ទាប់ពីប្រតិបត្តិ Ryuk ។

អង្ករ។ 24: គំរូបញ្ឈប់សេវាកម្ម Samss

5.2 សិទ្ធិ

និយាយជាទូទៅ Ryuk ចាប់ផ្តើមដោយផ្លាស់ទីនៅពេលក្រោយនៅក្នុងបណ្តាញ ឬវាត្រូវបានដំណើរការដោយមេរោគផ្សេងទៀតដូចជា Emotet ឬ ល្បិចដែលនៅក្នុងព្រឹត្តិការណ៍នៃការកើនឡើងសិទ្ធិ ផ្ទេរសិទ្ធិកើនឡើងទាំងនេះទៅ ransomware ។

មុន​នេះ​ជា​ការ​លើក​ឡើង​អំពី​ដំណើរ​ការ​នៃ​ការ​អនុវត្ត យើង​ឃើញ​គាត់​អនុវត្ត​ដំណើរ​ការ ក្លែងបន្លំខ្លួនដែលមានន័យថាមាតិកាសុវត្ថិភាពនៃសញ្ញាសម្ងាត់ចូលប្រើនឹងត្រូវបានបញ្ជូនទៅស្ទ្រីម ដែលវានឹងត្រូវបានទាញយកមកវិញភ្លាមៗដោយប្រើ GetCurrentThread.

អង្ករ។ 25៖ ហៅ​ទូរស័ព្ទ​ទៅ​ខ្លួន​ឯង

បន្ទាប់មកយើងឃើញថាវានឹងភ្ជាប់និមិត្តសញ្ញាចូលប្រើជាមួយខ្សែស្រឡាយ។ យើង​ក៏​ឃើញ​ដែរ​ថា​ទង់​មួយ​គឺ​ ការចូលប្រើដែលចង់បានដែលអាចត្រូវបានប្រើដើម្បីគ្រប់គ្រងការចូលប្រើដែលខ្សែស្រឡាយនឹងមាន។ ក្នុងករណីនេះតម្លៃដែល edx នឹងទទួលបានគួរតែជា TOKEN_ALL_ACESS ឬបើមិនដូច្នេះទេ - TOKEN_WRITE.

អង្ករ។ 26: បង្កើត Flow Token

បន្ទាប់មកគាត់នឹងប្រើ SeDebugPrivilege ហើយ​នឹង​ធ្វើការ​ហៅ​ទូរសព្ទ​ដើម្បី​ទទួល​បាន​ការ​អនុញ្ញាត​បំបាត់​កំហុស​នៅ​លើ​ខ្សែ​ស្រឡាយ ដែល​ជា​លទ្ធផល PROCESS_ALL_ACCESSគាត់នឹងអាចចូលទៅកាន់ដំណើរការដែលត្រូវការណាមួយ។ ឥឡូវនេះ ដោយសារអ្នកអ៊ិនគ្រីបមានស្ទ្រីមដែលបានរៀបចំរួចហើយ អ្វីៗដែលនៅសល់គឺត្រូវបន្តទៅដំណាក់កាលចុងក្រោយ។

អង្ករ។ 27៖ ហៅមុខងារ SeDebugPrivilege និង Privilege Escalation Function

ម្យ៉ាងវិញទៀត យើងមាន LookupPrivilegeValueW ដែលផ្តល់ឱ្យយើងនូវព័ត៌មានចាំបាច់អំពីសិទ្ធិដែលយើងចង់បង្កើន។

អង្ករ។ 28: ស្នើសុំព័ត៌មានអំពីសិទ្ធិសម្រាប់ការកើនឡើងឯកសិទ្ធិ

ម៉្យាងទៀតយើងមាន លៃតម្រូវTokenPrivilegesដែលអនុញ្ញាតឱ្យយើងទទួលបានសិទ្ធិចាំបាច់ក្នុងការផ្សាយរបស់យើង។ ក្នុងករណីនេះអ្វីដែលសំខាន់បំផុតគឺ រដ្ឋថ្មីដែលទង់ជាតិនឹងផ្តល់សិទ្ធិ។

អង្ករ។ 29: ការកំណត់ការអនុញ្ញាតសម្រាប់សញ្ញាសម្ងាត់

5.3 ការអនុវត្ត

នៅក្នុងផ្នែកនេះ យើងនឹងបង្ហាញពីរបៀបដែលគំរូអនុវត្តដំណើរការអនុវត្តដែលបានរៀបរាប់ពីមុននៅក្នុងរបាយការណ៍នេះ។

គោលដៅសំខាន់នៃដំណើរការអនុវត្ត ក៏ដូចជាការកើនឡើងគឺការទទួលបាន ច្បាប់ចម្លងស្រមោល. ដើម្បីធ្វើដូចនេះគាត់ត្រូវធ្វើការជាមួយខ្សែស្រឡាយដែលមានសិទ្ធិខ្ពស់ជាងអ្នកប្រើប្រាស់ក្នុងស្រុក។ នៅពេលដែលវាទទួលបានសិទ្ធិកើនឡើងបែបនេះ វានឹងលុបច្បាប់ចម្លង និងធ្វើការផ្លាស់ប្តូរទៅកាន់ដំណើរការផ្សេងទៀត ដើម្បីធ្វើឱ្យវាមិនអាចត្រឡប់ទៅចំណុចស្ដារឡើងវិញមុននៅក្នុងប្រព័ន្ធប្រតិបត្តិការបានទេ។

ដូចធម្មតាជាមួយមេរោគប្រភេទនេះ វាប្រើ រូបថតព័ត៌មានផ្ទាល់ខ្លួនរបស់ CreateToolHelp32ដូច្នេះវាត្រូវការរូបថតនៃដំណើរការដែលកំពុងដំណើរការបច្ចុប្បន្ន ហើយព្យាយាមចូលដំណើរការដំណើរការទាំងនោះដោយប្រើ ដំណើរការបើកទូលាយ. នៅពេលដែលវាទទួលបានសិទ្ធិចូលដំណើរការ វាក៏បើកសញ្ញាសម្ងាត់ជាមួយនឹងព័ត៌មានរបស់វាផងដែរ ដើម្បីទទួលបានប៉ារ៉ាម៉ែត្រដំណើរការ។

អង្ករ។ 30: ទាញយកដំណើរការពីកុំព្យូទ័រ

យើងអាចមើលឃើញថាមវន្តពីរបៀបដែលវាទទួលបានបញ្ជីនៃដំណើរការដែលកំពុងដំណើរការនៅក្នុងទម្លាប់ 140002D9C ដោយប្រើ CreateToolhelp32Snapshot ។ បន្ទាប់​ពី​ទទួល​ពួក​គេ គាត់​បាន​ចូល​ទៅ​ក្នុង​បញ្ជី ដោយ​ព្យាយាម​បើក​ដំណើរការ​ម្តង​មួយៗ ដោយ​ប្រើ OpenProcess រហូត​ដល់​គាត់​ទទួល​បាន​ជោគជ័យ។ ក្នុងករណីនេះដំណើរការដំបូងដែលគាត់អាចបើកបានគឺ "taskhost.exe".

អង្ករ។ 31: អនុវត្តនីតិវិធីមួយថាមវន្តដើម្បីទទួលបានដំណើរការមួយ។

យើង​អាច​មើល​ឃើញ​ថា​វា​អាន​ព័ត៌មាន​សញ្ញាសម្ងាត់​ដំណើរការ​ជា​បន្តបន្ទាប់ ដូច្នេះ​វា​ហៅ​ទូរសព្ទ OpenProcessToken ជាមួយប៉ារ៉ាម៉ែត្រ "20008"

អង្ករ។ 32: អានព័ត៌មានសញ្ញាសម្ងាត់ដំណើរការ

វាក៏ពិនិត្យមើលផងដែរថាដំណើរការដែលវានឹងត្រូវបានចាក់ចូលគឺមិនមែនទេ។ csrss.exe, explorer.exe, lsaas.exe ឬថាគាត់មានសិទ្ធិ អាជ្ញាធរ NT.

អង្ករ។ 33: ដំណើរការដែលមិនរាប់បញ្ចូល

យើងអាចមើលឃើញថាមវន្តពីរបៀបដែលវាដំណើរការការត្រួតពិនិត្យដំបូងដោយប្រើព័ត៌មានសញ្ញាសម្ងាត់ដំណើរការនៅក្នុង ០៦D១៤៥៧០១ ស៊ី ដើម្បីរកមើលថាតើគណនីដែលសិទ្ធិដែលត្រូវបានប្រើដើម្បីប្រតិបត្តិដំណើរការនោះជាគណនីឬអត់ NT អាជ្ញាធរ.

អង្ករ។ 34: NT AUTHORITY ពិនិត្យ

ហើយ​ក្រោយ​មក​ក្រៅ​នីតិវិធី គាត់​ពិនិត្យ​មើល​ថា​នេះ​មិនមែន​ទេ។ csrss.exe, explorer.exe ឬ lsaas.exe.

អង្ករ។ 35: NT AUTHORITY ពិនិត្យ

នៅពេលដែលគាត់បានថតរូបភាពនៃដំណើរការ បើកដំណើរការ និងផ្ទៀងផ្ទាត់ថាគ្មាននរណាម្នាក់ក្នុងចំណោមពួកវាត្រូវបានដកចេញ គាត់ត្រៀមខ្លួនជាស្រេចដើម្បីសរសេរទៅកាន់ការចងចាំនូវដំណើរការដែលនឹងត្រូវបានចាក់បញ្ចូល។

ដើម្បី​ធ្វើ​វា​ដំបូង​វា​ទុក​ផ្ទៃ​ក្នុង​អង្គ​ចងចាំ (VirtualAllocEx) សរសេរទៅក្នុងវា (អង្គចងចាំដំណើរការ) និងបង្កើតខ្សែស្រឡាយ (បង្កើតខ្សែស្រឡាយពីចម្ងាយ) ដើម្បីធ្វើការជាមួយមុខងារទាំងនេះ វាប្រើ PIDs នៃដំណើរការដែលបានជ្រើសរើស ដែលវាទទួលបានពីមុនមកដោយប្រើ បង្កើតឧបករណ៍ជំនួយ32រូបថត.

អង្ករ។ 36: កូដបង្កប់

នៅទីនេះយើងអាចសង្កេតថាមវន្តពីរបៀបដែលវាប្រើដំណើរការ PID ដើម្បីហៅមុខងារ VirtualAllocEx។

អង្ករ។ ៣៧៖ ហៅទូរសព្ទទៅ VirtualAllocEx

5.4 ការអ៊ិនគ្រីប
នៅក្នុងផ្នែកនេះ យើងនឹងពិនិត្យមើលផ្នែកនៃការអ៊ិនគ្រីបនៃគំរូនេះ។ នៅក្នុងរូបភាពខាងក្រោម អ្នកអាចមើលឃើញទម្រង់ការរងពីរដែលហៅថា "LoadLibrary_EncodeString"និង"Encode_Func" ដែលទទួលខុសត្រូវក្នុងការអនុវត្តនីតិវិធីអ៊ិនគ្រីប។

អង្ករ។ ៣៨៖ នីតិវិធីនៃការអ៊ិនគ្រីប

នៅដើមដំបូង យើងអាចមើលឃើញពីរបៀបដែលវាផ្ទុកខ្សែអក្សរ ដែលក្រោយមកនឹងត្រូវបានប្រើដើម្បីបំបាត់រាល់អ្វីៗដែលត្រូវការ៖ ការនាំចូល, DLLs, ពាក្យបញ្ជា, ឯកសារ និង CSPs ។

អង្ករ។ 39: សៀគ្វីបំបាត់កំហុស

តួរលេខខាងក្រោមបង្ហាញពីការនាំចូលដំបូងដែលវាធ្វើឱ្យខូចដល់ការចុះឈ្មោះ R4។ ផ្ទុកបណ្ណាល័យ. វានឹងត្រូវបានប្រើនៅពេលក្រោយដើម្បីផ្ទុក DLLs ដែលត្រូវការ។ យើង​ក៏​អាច​ឃើញ​បន្ទាត់​មួយ​ទៀត​ក្នុង​ការ​ចុះ​ឈ្មោះ R12 ដែល​ត្រូវ​បាន​ប្រើ​ជាមួយ​នឹង​បន្ទាត់​មុន​ដើម្បី​ធ្វើ​ការ​លុប​បំបាត់​ភាព​ច្របូកច្របល់។

អង្ករ។ 40: ការបំបាត់ភាពច្របូកច្របល់ថាមវន្ត

វាបន្តទាញយកពាក្យបញ្ជាដែលវានឹងដំណើរការនៅពេលក្រោយ ដើម្បីបិទការបម្រុងទុក ស្ដារចំណុច និងរបៀបចាប់ផ្ដើមដោយសុវត្ថិភាព។

អង្ករ។ 41: កំពុងផ្ទុកពាក្យបញ្ជា

បន្ទាប់មកវាផ្ទុកទីតាំងដែលវានឹងទម្លាក់ឯកសារចំនួន 3៖ Windows.bat, run.sct и start.bat.

អង្ករ។ ៤២៖ ទីតាំងឯកសារ

ឯកសារទាំង 3 នេះត្រូវបានប្រើដើម្បីពិនិត្យមើលសិទ្ធិដែលទីតាំងនីមួយៗមាន។ ប្រសិនបើសិទ្ធិដែលត្រូវការមិនមានទេ Ryuk បញ្ឈប់ការប្រតិបត្តិ។

វាបន្តផ្ទុកបន្ទាត់ដែលត្រូវគ្នានឹងឯកសារទាំងបី។ ទីមួយ DECRYPT_INFORMATION.htmlមានព័ត៌មានចាំបាច់ដើម្បីសង្គ្រោះឯកសារ។ ទីពីរ សាធារណៈរដ្ឋមានសោសាធារណៈ RSA ។

អង្ករ។ 43៖ បន្ទាត់ DECRYPT INFORMATION.html

ទីបី UNIQUE_ID_DO_NOT_REMOVEមានកូនសោដែលបានអ៊ិនគ្រីបដែលនឹងត្រូវបានប្រើនៅក្នុងទម្លាប់បន្ទាប់ ដើម្បីអនុវត្តការអ៊ិនគ្រីប។

អង្ករ។ 44: Line UNIQUE ID កុំលុបចេញ

ជាចុងក្រោយ វាទាញយកបណ្ណាល័យដែលត្រូវការ រួមជាមួយនឹងការនាំចូល និង CSPs (Microsoft ធ្វើឱ្យប្រសើរឡើង RSA и អ្នកផ្តល់ការគ្រីបអេអេសអេស).

អង្ករ។ 45: កំពុងផ្ទុកបណ្ណាល័យ

បន្ទាប់ពី deobfuscation ទាំងអស់ត្រូវបានបញ្ចប់ វាបន្តអនុវត្តសកម្មភាពដែលត្រូវការសម្រាប់ការអ៊ិនគ្រីប៖ រាប់បញ្ចូល logical drives ទាំងអស់ ប្រតិបត្តិអ្វីដែលផ្ទុកក្នុងទម្រង់មុន ពង្រឹងវត្តមាននៅក្នុងប្រព័ន្ធ បោះឯកសារ RyukReadMe.html អ៊ិនគ្រីប រាប់បញ្ចូលបណ្តាញ drives ទាំងអស់។ ការផ្លាស់ប្តូរទៅកាន់ឧបករណ៍ដែលបានរកឃើញ និងការអ៊ិនគ្រីបរបស់ពួកគេ។
វាទាំងអស់ចាប់ផ្តើមជាមួយនឹងការផ្ទុក"cmd.exe" និងកំណត់ត្រាសោសាធារណៈ RSA ។

អង្ករ។ 46: ការរៀបចំសម្រាប់ការអ៊ិនគ្រីប

បន្ទាប់មកវាទទួលបានដ្រាយឡូជីខលទាំងអស់ដោយប្រើ GetLogicalDrive និងបិទការបម្រុងទុកទាំងអស់ ចំណុចស្ដារ និងរបៀបចាប់ផ្ដើមសុវត្ថិភាព។

អង្ករ។ 47៖ ការបិទដំណើរការឧបករណ៍សង្គ្រោះ

បន្ទាប់ពីនោះវាពង្រឹងវត្តមានរបស់វានៅក្នុងប្រព័ន្ធដូចដែលយើងបានឃើញខាងលើហើយសរសេរឯកសារដំបូង RyukReadMe.html в TEMP.

អង្ករ។ ៤៨៖ ការ​ផ្សព្វផ្សាយ​ការ​ជូន​ដំណឹង​អំពី​តម្លៃ​លោះ

នៅក្នុងរូបភាពខាងក្រោម អ្នកអាចមើលឃើញពីរបៀបដែលវាបង្កើតឯកសារ ទាញយកខ្លឹមសារ និងសរសេរវា៖

អង្ករ។ ៤៩៖ កំពុងផ្ទុក និងសរសេរមាតិកាឯកសារ

ដើម្បីអាចអនុវត្តសកម្មភាពដូចគ្នានៅលើឧបករណ៍ទាំងអស់គាត់បានប្រើ
"icacls.exe" ដូចដែលយើងបានបង្ហាញខាងលើ។

អង្ករ។ 50៖ ការប្រើប្រាស់ icalcls.exe

ហើយចុងក្រោយ វាចាប់ផ្តើមការអ៊ិនគ្រីបឯកសារ លើកលែងតែឯកសារ “*.exe” “*.dll” ឯកសារប្រព័ន្ធ និងទីតាំងផ្សេងទៀតដែលបានបញ្ជាក់ក្នុងទម្រង់នៃបញ្ជីសដែលបានអ៊ិនគ្រីប។ ដើម្បីធ្វើដូចនេះវាប្រើការនាំចូល: CryptAcquireContextW (ដែលការប្រើប្រាស់ AES និង RSA ត្រូវបានបញ្ជាក់) CryptDeriveKey, CryptGenKey, CryptDastroyKey ល។ វាក៏ព្យាយាមពង្រីកលទ្ធភាពរបស់ខ្លួនទៅកាន់ឧបករណ៍បណ្តាញដែលបានរកឃើញដោយប្រើ WNetEnumResourceW ហើយបន្ទាប់មកអ៊ិនគ្រីបពួកវា។

អង្ករ។ 51: ការអ៊ិនគ្រីបឯកសារប្រព័ន្ធ

6. នាំចូល និងទង់ដែលត្រូវគ្នា។

ខាងក្រោមនេះជាតារាងដែលបង្ហាញពីការនាំចូល និងទង់ដែលពាក់ព័ន្ធបំផុតដែលប្រើដោយគំរូ៖

7. IOC

សេចក្តីយោង

• អ្នកប្រើប្រាស់Publicrun.sct
• ចាប់ផ្តើម MenuProgramsStartupstart.bat AppDataRoamingMicrosoftWindowsStart
• MenuProgramsStartupstart.bat

របាយការណ៍បច្ចេកទេសនៅលើ Ryuk ransomware ត្រូវបានចងក្រងដោយអ្នកជំនាញមកពីមន្ទីរពិសោធន៍កំចាត់មេរោគ PandaLabs ។

8. តំណភ្ជាប់

1. “Everis y Prisa Radio sufren un grave ciberataque que secuestra sus sistemas”https://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, Publicada el 04/11/2019។

2. “Unvirus de origen ruso ataca a importantes empresas españolas” ។ https://elpais.com/tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, Publicada el 04/11/2019

3. “ក្រដាស VB2019៖ ការសងសឹករបស់ Shinigami៖ កន្ទុយវែងនៃមេរោគ Ryuk”។ https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, Publicada el 11 /12/2019

4. "ការបរបាញ់ហ្គេមធំជាមួយ Ryuk: មួយទៀត LucrativebTargeted Ransomware" https://www. crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/, Publicada el 10/01/2019។

5. “ក្រដាស VB2019៖ ការសងសឹករបស់ Shinigami៖ កន្ទុយវែងនៃមេរោគ Ryuk”។ https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigamis-revenge-long-tail-r

ប្រភព: www.habr.com