Ryuk ααΊααΆαααααΎα ransomware ααααααΈααααΆααααα»ααα½ααααα»αααααααααα»ααααΆαααααΆαα
α»αααααααααα α
αΆααααΆααααΈααΆααΆααααα αΆααααα½αααΆααΎαααααΌααα
αααα»ααααΌααααα
αα 2018 ααΆααΆααααααΌα
1. ααααααΆαααΌαα
α―αααΆααααααΆαααΆααα·ααΆαα’αααΈαααΆαααααα Ryuk ransomware ααααΌα ααΆαααααα·ααΈαααα»αααααααααααα½ααα»αααααΌααααα»αααΆααααα»ααααααα αΌααα αααα»αααααααααα
Ryuk ransomware ααΆααααα αΆααααα½αααΆααΎαααααΌααα αααα»ααααΌααααα αα 2018 α ααΆααα»αααααΆαα½ααααα»αα ααααααΆααα»αααααΆαααΆα Ryuk αα·α ransomware ααααααααααΊααΆααΆααΆααααααααααΆααααα αΆαααα·ααααΆαααΆααΈαααααα
αα ααΆαααααααΆαααααΆα 2019 αααα»αα§αααα·αααααααΆαα’ααΈαααΊαα·αααΆαααΆααααα αΆααααα»αα αα»αα’ααααααΆααα½αα ααα½ααααααααααΎ ransomware αααα
α’ααααα 1: αααααααα
ααααΈ El Confidencial ααΆααααααΉαααΆαααΆααααα αΆα Ryuk ransomware [1]
α’ααααα 2: αααααααααΈ El PaΓs α’αααΈααΆαααΆααααα αΆααααααααΎα‘αΎααααααααΎ Ryuk ransomware [2]
ααααΆαααα Ryuk ααΆαααΆααααα αΆααααα»αα αα»ααα½αα
ααα½ααααα
αααα»αααααααααααααα ααΌα
αααα’αααα’αΆα
ααΎααα
αααα»ααα½αααααΆαααααα α’αΆααααΊαααα α
α·α α’αΆααα αααααΈ αα·αα₯ααααΆ ααΊααΆααααααααααααααααααααΆααααΆαααα
ααΆααααααΆαααααααααα ααα½αααααΆαααΆααααα αΆαααΆαα’ααΈαααΊαα·α ααΎαα’αΆα ααΎαααΆ Ryuk ααΆααααααΆαααααα’αααααααΎααααΆααααΆααααΆαααΆαα αα·αααΆαααααα»αααααα½ααα·αααααααα½αα ααα½ααα ααααααααΆαα±ααααΆαααΆαααΆααααααααααα·α αα αααΆααααααααααα
α’ααααα 3: ααΌαααΆααααααααααΆαααααααα Ryuk α
α’ααααα 4: 16 ααααααααααααααααααΆααααααΆαααααα»αααα Ryuk
α’ααααα α₯α α
ααα½αα’αααααααΎααααΆααααΆααααα αΆαααα Ryuk ransomware (ααΆααααΆαααΆαα)
αααααΆααααααΆαααααααα·ααααα·ααΆαααααααΆααααΆαααααΆαααα αααααααα ransomware αααααΆααααΈααΆαα’αα·αααααΈαααΆααααα
αα αααα αΆααααααααααααΌαααΆαααΌαααααΉαα’αααΈαααααααααααααααΌααααααααΆ bitcoins αα
ααΆααα’αΆααααααΆααααααΆααααααΆααααΎααααΈααααΆαααΆαα
αΌαααααΎα―αααΆααααααΆαα’αα·αααααΈαα
ααααααααααΆαααααΆααααααΌαα
αΆααααΆααααΈααΆααααΌαααΆαααααΆαααΆααΎαααααΌαα
αααααααα½αααααΆαααααΆαααα ααααααααααααΌαααΆααα·ααΆααα
αααα»αα―αααΆααααααααΌαααΆαααααΎααααα»αα’αα‘α»ααααααα»ααααααΆααααα αΆααααα»αααααααΆ ααααΆα 2020α
αααααΆαααααΆααααα»αααααΆαααααααΆ ααααααααα αααΎαααααααΌαααΆααααααααΆααΆαααα»αα§αααα·αααααααααΆαα’ααΈαααΊαα·ααααααΆααααα α α¬ααααΌαααΆαααααααΆααααΆααΆαααα»α APT αααααα
ααααααα½αααααΌα Ryuk ααΆαααΆαααααααααααΆαα½αα±ααααααααααΆαααα ααΉαααΌα αα·ααα ααΆαααααααααα ransomware ααααααΈαα½αααααααααααΊ Hermes ααααα½αααα ααααααααα»αααΆαααΌα ααααΆαα½αα ααα½αα αααααΆααΌαα ααα»ααα Ryuk ααααΌαααΆαααααΆααααααΌαααΆαα½ααααα»αααΌαααααΆαααΎα Lazarus ααααα ααααααααααΌαααΆαααααααααααΆααΆα’ααααα ααΈααααα Hermes ransomware α
ααααΆαααα Falcon X αααα CrowdStrike ααΆαααααααααΆααααΆαααααααααΆααααΆ ααΆααα·α Ryuk ααααΌαααΆααααααΎαα‘αΎαααααααα»α WIZARD SPIDER [4] α
ααΆααααααα»ααΆαααααααΎααααΈααΆααααααΆααααααααααα ααααΌα ransomware αααααααΌαααΆαααααααααααΆααα
ααΎααα ααααα exploit.in αααααΆααΈααααΆααααααααααααΈαααααα»ααααΈ α αΎαααΈαα»αααααΌαααΆαααααΆαααααΆααααΆαα½αααΉααααα»α APT αα½αα
ααα½ααααααα»αααααΈα
ααΆααα·ααααα
αααΆαα
ααααααΉααααΈαααααΆ Ryuk α’αΆα
ααααΌαααΆααααααΎαα‘αΎαααααααα»α Lazarus APT ααΈααααα ααΆαα·αααααΉααα·ααΈααααααα»αααααα·ααααα·ααΆααααααα
ααΎαααΈαααααα Ryuk ααααΌαααΆαααααααααααΆαααΆααΆ ransomware αααααΉααα·αααααΎαααΆαααΎαααααααααα»αααααΈ α’αα»αααααα αα·αααα‘αΆαα»αααα α₯αα·ααΆαααααααααΌαααΆααααααααααααααααα·ααααααααΆααα αααα»ααααααα½αα ααα½ααααα Ryuk αααααΆαααααααααααΆαα·αα·αααααΆααΆααααααααααααα ransomware αααα»αααααΎαααΆα α αΎαααααααααΆααΈααΆαααααΎαααΆαααααα·αααΎααααααααααΆαααΆααΆαα»αααααΈ α’αα»αααααα α¬ααα‘αΆαα»αααα ααΈαααα»α ααΆααα·ααΆαα’αααααααΆααααααΆαααΈααααααααΌαααΆα hack ααααααα»α WIZARD SPIDER ααΆααααα αΆα "ααααα»αα»ααΆα" ααΆα αααΎααααααααΌαααΆαααα αααααααΆααααΆααΆαααααΎαααα»αααΆαα’αα·αααααα Ryuk ααΆαααΆααααααααααααα Hermes ransomware α
αααααΆααα·αααα α’αααααααΆα Gabriela Nicolao αα·α Luciano Martins ααΆαααααααααααααΆ ransomware α’αΆα
ααααΌαααΆααααααΎαα‘αΎαααααααα»α APT CryptoTech [5] α
αααααΎαα‘αΎαααΈααΆααα·ααααααΆααΆα
αααΎααααα»ααααααΆααααα αΆααααα½ααααα Ryuk αααα»ααααααΆααααα ααααααααΆααα
ααΎαααα·ααΆααααα αααααααΌα
ααααΆααααα½αααααΆααααααΎαααααααααΈααααααα Hermes ransomware α
α’αααααααΎααααΆαααααα·ααΆααΆα αααΎαααΆαα αααα½αααΆααΎ CryptoTech αα·αααΆααΆααααααΎα Ryuk αααα¬ααα αααααΆαααααααα»ααααααΆαααΆαααΆααααα½αα αΎααααααΆααααΆααΆααΆαααααα»ααΆααααααΆαα½αααααΆααααααΎα 100% αα ransomware α
2. αααααα
ααΎαα
αΆααααααΎαααΆαα½αααΉααααααα·ααΈα
αΆααααααΎααααααααα αααααΆαααΆαααΊααΎααααΈαααααα’ααααααααΆααααααααααααααΆααΎα ααΌα
αααααααα "ααααΉαααααΌα" αα Ryuk ransomware α’αΆα
ααααΌαααΆαααΆααα±ααααααΎαααΆαα
α αΆα bootloader ααΆαααΌα
ααΆααααααα
MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469
αααααααα·ααααα½ααααααααα·ααΈααΆααααααααΊααΆααΆαα·αααΆααα·ααααααααααΆααΆαα½ααα α§α α’ααααααααΎααααααααααα·αααΆααααα αΌαααααααΆαααΆαα½ααα αααα»αααΆααα
ααααααααα½αααΆαα½ααααα αΌααα·αααααααα»αααΎααααΈααααααα’αααααααΎααααΆααα±αααα·αααΆαα½ααααααα»αααααΎαααΆααααααα·ααΈααααα αααΆααα ααααααΆαααΆααααα ααΌα αααααΎαααΉαααΎααα αααααααα ααααα·αααΎααΆαααααααααααα·αααΆαααααααααΉαα’ααααααααααααα’αααααααΎ (ααΌα ααααΈααΆαα½α ransomware ααα) αααα’αααααΆααααα αΆααα·ααα·αααΆααΆα αΆαααΆα ααααα»αααΆαααααΎααααΆαααα·ααααααααααΆααα
α’ααααα α¦α ααααΌαα·ααααααααααΆ
ααααΌααααΌαααΆαα αααααααΆαααααα 32 αααΈα ααΌα ααααααΆα’αΆα ααααΎαααΆαααΆαααΆαααααααααα 32 αααΈα αα·α 64 αααΈαα
3. ααα·α ααααααααα αΌα
ααααΌαααααΆααα αα·αααααΎαααΆα Ryuk ααΆαα αΌααα αααα»αααααααααααααααΎαααΆααααααΆααααααΆααααΈα ααααΆα α αΎααααΆαααΆααααααα αΌαααααΎαααΆαααααΌαααΆαααα½αααΆααααααΆαααΆααααα αΆα RDP αααα
α’ααααα α§α α
α»ααααααααΆααααα αΆα
α’αααααΆααααα αΆαααΆααααααααααα
αΌααα
αααα»αααααααααααΈα
ααααΆαα αααααΆααααΈαααααΆααααΆααααααΎαα―αααΆααααα’αΆα
ααααα·ααααα·ααΆαααΆαα½αααΉαααααΌααααααΎαα
α―αααΆααααα’αΆα
ααααα·ααααα·ααΆααααααααΌαααΆαααΆααΆααααααααααααααΆαααα
αΆααααααααα»ααααααααΎαααΆαα
α’ααααα 8: ααααααΆα
α’ααααα 9: ααααααΆα
αα ααααααα―αααΆαααααΆααΆαααααΌαααΆαααΆααΆαα α’αααααΆααααα αΆαααααΆααΆαααΆααααααααααααΆαα’αα·αααααΈαααα―αααΆααααα’αΆα ααααα·ααααα·ααΆα αααααααΌαααΆαααΆααΆαααααααα
α’ααααα 10: αααα»αααααααΌαααα’αααααΆααααα αΆαααααΆααΆαααααΎαααΆα
ααΈαααα»αααΆααααΆαααααΆααΆαααΆαααα―αααΆαααααΆααΆααα½αααααααααααΆαααααα»αααΌααααααΆαα’αα·αααααΈα
PowerShell ααΎααααΈααααααΆαααΆαααΆαααα
αΆαααααααα ααα»ααααααΆααααααααΌαααΆαααΆααΆαααααααα
α’ααααα 11α PowerShell ααΆαα½αααΉαααΆαα·ααΆααααΆααΆαααααΌαααΆαααΆααΆαα
α’ααααα 12α PowerShell ααΆαα½αααΉαααΆαα·ααΆααααΆααΆαααααΌαααΆαααΆααΆαα
4. Loader
αα ααααααααΆααααΎαααΆα ααΆαααααα―αααΆα ReadMe αα ααΆααααα―αααΆα % temp%αααααΆαα½αααΆααααααΆαα Ryuk α α―αααΆααααααΊααΆαααααα αααΆααααααααααααααΆαα’αΆααααααΆαα’ααΈααααα αααα»αααα protonmail αααααΆααΏαααααααΆαα αααα»ααααα½ααΆαααααααααα [α’ααΈαααααΆαααΆα]
α’ααααα α‘α£α αααααΌαααΆαααα
ααααααααααααααα·ααΈα αΆααααααΎααααααααααααα»αααααΎαααΆα α’αααα’αΆα ααΎαααΎαααΆααΆααΎαααααΎαααΆαα―αααΆααααα’αΆα ααααα·ααααα·ααΆαααΆα αααΎααααααΆααααααα αααααα αα½αααΆααααΌαααΆααααααΆαα»ααααα»ααααααααΆαα ααΆααΆαααααααααα»ααααααααα·αααΎαααααΎααα·αααααααα αααα»αααααααααααααα·ααααα·ααΆα "αααα αΆαα―αααΆα αα·ααααααααΆαα"αααααΆαααααα½αααααΉαααΆαααααα½αα ααΎαααΈααααα ααα α―αααΆαααΆαααααααΆα 64 αααΈα αα·αααΌα α―αααΆααααααααΆα 32 αααΈαααα
α’ααααα 14: α―αααΆααααα’αΆα
ααααα·ααααα·ααΆααααα
αΆααααααΎααααααααΌ
ααΌα αααα’αααα’αΆα ααΎαααΎααα αααα»αααΌαααΆαααΆαααΎ Ryuk ααΎαααααΎαααΆα icacls.exe αααααΉαααααΌαααΆαααααΎααΎααααΈαααααα ACLs ααΆααα’αα (Access control lists) ααΌα ααααααΆααΆααΆαα αΌαααααΎ αα·αααΆααααααααααα
ααΆααα½αααΆαααΆαα αΌαααααΎααααΆαααααααααα αααααα’αααααααΎααααΆααααΆααα’αααα ααΆααα―αααΆαααΆααα’αααα ααΎα§ααααα (/T) ααααα·ααα·αααΈααα α»α (/C) αα·αααααα·ααααα αΆαααΆαααΆαα½α (/Q)α
α’ααααα 15: αααΆαααΆααααααααααα·ααααα·αα icacls.exe α
αΆααααααΎααααααααΌ
ααΆααΆααΆαααααΆαααααα»αααΆαααααααααΆααααΆ Ryuk αα·αα·αααααΎααααααααα Windows αααα’ααααααα»αααααΎαααΆαα αααααΆααααΏααααααΆαα
α’αα»ααααααΆααααα½ααα·αα·ααααααααααααααΎ GetVersionExWααααααα»ααααααΆαα·αα·αααααααααααααααΆαα· ααααααΆα lpVersionαααα αΆαααΆααΎααααααΈαααΌαα
αα
α»ααααααααΊααααΈααΆα Windows XP ααα.
α’αΆαααααααΎααΆααΎα’ααααααα»αααααΎαααΆαααααααααα Windows XP αααααα·ααΈα
αΆααααααΎαααααααααααΉαααααααα
ααα’αααααααΎααααΆααααΌαααααΆα - αααα»αααααΈααααα
ααΆααααα―αααΆα %ααΆααΆααα%.
α’ααααα 17: αα·αα·αααααΎαααααααααααααααααα·ααααα·ααΆα
α―αααΆαααααααα»ααααααααΊ Ryuk α αααααΆααααααΆααααΎαααΆαααΆαααααααααΆααα’αΆααααααΆαααααααΆααααΆααααΆαααΆαααΆααααααα
α’ααααα 18: ααααα·ααααα· Ryuk ααΆαααα ShellExecute
ααΏαααααΌαααα Ryuk ααααΎααΊααα½αααΆααααΆαααΆαααααααααα αΌαα ααΎααααααΆααααΆαααΆαααααααααα αΌαααΈα (α’αΆα ααααα·ααααα·ααΆαααααααα½αα―α αα·αα’αΆααααααΆααααααααΉα) αααααααΌαααΆαααααΎααΎααααΈαα»αααΆαααααααΆα ααα
α’ααααα α‘α©α αααααΎαααααΎαααΆα
α’αααααα’αΆα ααΎααααααΆ αα ααααααααΆααΆαααααΎαααΆα executables ααααααΆ ααΆαα»αααααααα½αααΆ ααΌα ααααα αΎααα·ααα»αααΆαααααααααΆαααααααΆαα αααα»α folder αααααΆααααΌαααΆαααααα·ααααα·αααααα
α’ααααα 20: ααΆααα»αα―αααΆα
5. RYUK
5.1 ααααααΆα
Ryuk ααΌα
ααΆααααααααααααα ααααΆααΆααααααΆαα
ααΎααααααααα±ααααΆαααΌαααΆααααα’αΆα
ααααΎαα
ααΆαα ααΌα
αααααΆααααα αΆαααΆαααΎ αα·ααΈαα½αααΎααααΈαααααα
ααΆαααΌαααααα
αααααΊαααααΎα αα·αααααΎαααΆαα―αααΆααααα’αΆα
ααααα·ααααα·ααΆαααααααααΆααα ααΎααααΈααααΎααΌα
αααααΆαα’αα»ααααααΌαα
αααα»αααΊααΆαααααΆααααααΌαααα
α»ααααααΈ αααααα
αα
α»αααααα.
αααα»αααααΈαααα’αααα’αΆα
ααΎαααΎαααΆαααααΆααααααααααααα―αααΆαααααΌαααααΌαααΆαααΆααα±ααααααΎαααΆα VWjRF.exe
(αααααα―αααΆαααααΌαααΆααααααΎααααα
ααααα) ααΎαααααΎαααΆα cmd.exe.
α’ααααα 21: ααααα·ααααα· VWjRF.exe
αααααΆαααααααα αΌαααΆααααααααΆ ααα ααΆαα½αααΉαααααα "svcos"α ααΌα ααααα αΎα ααααα·αααΎα’αααα αααα·αα·αααααΎαααΌαααα α»ααααααΈαα αααααΆαα½α α’αααα’αΆα ααααΆαααΆαααααΆααααααΌαααααααΆαααΆααααα½α ααααααααααΆαααααααααααΆααααααααααααΆαα½α svchostα ααΌαα’ααα»αα ααααααααα Ryuk ααΆααΆααααααΆαααααααΆαα αααα»αααααααααα ααααα·αααΎαααααααααα·αααΆα αα ααααααΌαααΆαααααααααα αααααΆαααααα αααα’αααα αΆααααααΎαααααααααα‘αΎααα·α αααααα·ααΈαααα’αΆα ααααα·ααααα·ααΆαααΉαααααΆααΆααααααααα
α’ααααα 22: ααααΌααΆααΆααΌαααααααΆααα
αααα»αααΌαααα
α»ααααααΈ
ααΎαβααβα’αΆα
βααΎαβααΎαβααΆβααΆαβααααα·ααααα·βαααβααααααβααααΆααααβααΈαα
"audioendpointbuilder", ααα, ααΌα
ααααααααααααααΆααΆααααα αΆα, ααΆαααααα
ααΉαα’αΌααΈαααΌαααααααα,
α’ααααα 23α ααααΌααααααααααΆααααα’αΌααΈαααΌαααααααααααα
ΠΈ ααΆαααααααΆααααΆαααααααααααααααααΈα ααΆαααααααααααΆααααααΆααααΈααααααΊααΆαααααααααα Ryuk α αααα»αααααΈααα ααααα·αααΎααααααααααααΌαααΆαααααΆαααα
αααααααα SIEM ααα ransomware ααααΆααΆαααααααααΆαααααΎαα
ααΆαα
α’ααααα 24: ααααΌααααααααααΆαααα Samss
5.2 αα·αααα·
αα·ααΆαααΆααΌαα
Ryuk α
αΆααααααΎααααααααΆααααΈαα
αααααααααα
αααα»ααααααΆα α¬ααΆααααΌαααΆαααααΎαααΆαααααααααααααααααααΌα
ααΆ
αα»αβαααβααΆβααΆαβααΎαβα‘αΎαβα’αααΈβααααΎαβααΆαβααβααΆαβα’αα»αααα ααΎαβααΎαβααΆααβα’αα»ααααβααααΎαβααΆα αααααααααααααα½ααααααΆααααααΆααΆαα·ααΆαα»ααααα·ααΆααααααααΆαααααΆααα αΌαααααΎααΉαααααΌαααΆααααααΌααα ααααααΈα αααααΆααΉαααααΌαααΆαααΆααααααα·αααααΆαααααααααΎ GetCurrentThread.
α’ααααα 25α α α
βααΌααααααβαα
βαααα½αβα―α
αααααΆααααααΎαααΎαααΆααΆααΉαααααΆαααα·αα·ααααααααΆα αΌαααααΎααΆαα½ααααααααα‘αΆαα ααΎαβααβααΎαβαααβααΆβαααβαα½αβααΊβ ααΆαα αΌαααααΎαααα ααααΆααααα’αΆα ααααΌαααΆαααααΎααΎααααΈαααααααααααΆαα αΌαααααΎααααααααααα‘αΆαααΉαααΆαα αααα»αααααΈααααααααααα edx ααΉαααα½αααΆααα½αααααΆ TOKEN_ALL_ACESS α¬ααΎαα·αααΌα αααααα - TOKEN_WRITE.
α’ααααα 26: αααααΎα Flow Token
αααααΆααααααΆααααΉαααααΎ SeDebugPrivilege α αΎαβααΉαβααααΎααΆαβα α βααΌαααααβααΎααααΈβααα½αβααΆαβααΆαβα’αα»ααααΆαβααααΆααβααα α»αβαα βααΎβααααβαααα‘αΆα αααβααΆβαααααα PROCESS_ALL_ACCESSααΆααααΉαα’αΆα α αΌααα ααΆααααααΎαααΆααααααααΌαααΆαααΆαα½αα α₯α‘αΌαααα αααααΆαα’αααα’αα·αααααΈαααΆαααααααΈααααααΆααααα ααα½α α αΎα α’αααΈαααααα αααααΊααααΌααααααα ααααΆααααΆαα α»ααααααα
α’ααααα 27α α α
αα»αααΆα SeDebugPrivilege αα·α Privilege Escalation Function
αααααΆααα·αααα ααΎαααΆα LookupPrivilegeValueW ααααααααα±ααααΎαααΌαααααααΆαα
αΆαααΆα
αα’αααΈαα·αααα·αααααΎαα
αααααααΎαα
α’ααααα 28: ααααΎαα»αααααααΆαα’αααΈαα·αααα·αααααΆααααΆαααΎαα‘αΎαα―ααα·αααα·
αααααΆααααααΎαααΆα αααααααΌαTokenPrivilegesαααα’αα»ααααΆαα±ααααΎαααα½αααΆααα·αααα·α αΆαααΆα ααααα»αααΆαααααΆαααααααΎαα αααα»αααααΈαααα’αααΈαααααααΆαααααα»αααΊ ααααααααΈααααααααΆαα·ααΉαααααααα·αααα·α
α’ααααα 29: ααΆααααααααΆαα’αα»ααααΆααααααΆαααααααΆαααααΆαα
5.3 ααΆαα’αα»αααα
αα αααα»ααααααααα ααΎαααΉααααα αΆαααΈαααααααααααΌα’αα»ααααααααΎαααΆαα’αα»αααααααααΆααααααΆααααΈαα»ααα αααα»ααααΆαααΆααααααα
ααααα ααααΆααααααααΎαααΆαα’αα»αααα ααααΌα ααΆααΆαααΎαα‘αΎαααΊααΆαααα½αααΆα α αααΆααα αααααααααα. ααΎααααΈααααΎααΌα αααααΆααααααΌαααααΎααΆαααΆαα½ααααααααα‘αΆααααααΆααα·αααα·αααααααΆαα’αααααααΎααααΆαααααα»ααααα»αα αα ααααααααΆααα½αααΆααα·αααα·ααΎαα‘αΎααααααα ααΆααΉααα»αα αααΆααα αααα αα·αααααΎααΆαααααΆααααααΌααα ααΆααααααΎαααΆααααααααα ααΎααααΈααααΎα±ααααΆαα·αα’αΆα αααα‘αααα α ααα»α ααααΆαα‘αΎααα·ααα»ααα αααα»αααααααααααααα·ααααα·ααΆαααΆαααα
ααΌα ααααααΆααΆαα½ααααααααααααααα ααΆααααΎ ααΌαααααααααΆαααααΆαααααα½ααααα CreateToolHelp32ααΌα ααααααΆααααΌαααΆαααΌαααααααααΎαααΆαααααααα»αααααΎαααΆααα αα α»αααααα α αΎαααααΆααΆαα αΌαααααΎαααΆαααααΎαααΆαααΆααααααααααααΎ ααααΎαααΆαααΎαααΌααΆα. αα ααααααααΆααα½αααΆααα·αααα·α αΌαααααΎαααΆα ααΆααααΎααααααΆαααααΆααααΆαα½αααΉαααααααΆαααααααΆααααα ααΎααααΈααα½αααΆααααΆαααΆααααααααααΎαααΆαα
α’ααααα 30: ααΆαααααααΎαααΆαααΈαα»αααααΌααα
ααΎαα’αΆα ααΎαααΎαααΆαααααααΈαααααααααΆααα½αααΆααααααΈααααααΎαααΆαααααααα»αααααΎαααΆααα αααα»ααααααΆαα 140002D9C αααααααΎ CreateToolhelp32Snapshot α αααααΆααβααΈβααα½αβαα½αβαα ααΆααβααΆαβα αΌαβαα βαααα»αβαααααΈ αααβααααΆααΆαβααΎαβααααΎαααΆαβααααβαα½αα αααβααααΎ OpenProcess αα αΌαβαααβααΆααβααα½αβααΆαβααααααα αααα»αααααΈαααααααΎαααΆαααααΌααααααΆααα’αΆα ααΎαααΆαααΊ "taskhost.exe".
α’ααααα 31: α’αα»ααααααΈαα·αα·ααΈαα½αααΆαααααααΎααααΈααα½αααΆαααααΎαααΆααα½αα
ααΎαβα’αΆα βααΎαβααΎαβααΆβααΆβα’αΆαβααααααΆαβαααααΆαααααΆααβααααΎαααΆαβααΆβαααααααααΆαα ααΌα ααααβααΆβα α βααΌααααα OpenProcessToken ααΆαα½ααααΆαααΆαααααα "20008"
α’ααααα 32: α’αΆαααααααΆααααααΆαααααΆααααααΎαααΆα
ααΆαααα·αα·αααααΎααααααααΆααααΎαααΆααααααΆααΉαααααΌαααΆαα αΆααα αΌαααΊαα·ααααααα csrss.exe, explorer.exe, lsaas.exe α¬ααΆααΆααααΆααα·αααα· α’αΆααααΆαα NT.
α’ααααα 33: ααααΎαααΆαααααα·αααΆαααααα
αΌα
ααΎαα’αΆα ααΎαααΎαααΆαααααααΈαααααααααΆααααΎαααΆαααΆααααα½ααα·αα·αααααααΌααααααααΎααααααΆααααααΆαααααΆααααααΎαααΆααα αααα»α α α¦Dα‘α€α₯α§α α‘ αααΈ ααΎααααΈααααΎαααΆααΎααααΈααααα·αααα·αααααααΌαααΆαααααΎααΎααααΈααααα·ααααα·ααααΎαααΆααααααΆααααΈα¬α’αα NT α’αΆααααΆαα.
α’ααααα 34: NT AUTHORITY αα·αα·ααα
α αΎαβαααααβααβαααα βααΈαα·αα·ααΈ ααΆααβαα·αα·αααβααΎαβααΆβαααβαα·ααααβααα csrss.exe, explorer.exe α¬ lsaas.exe.
α’ααααα 35: NT AUTHORITY αα·αα·ααα
αα ααααααααΆααααΆαααααΌαααΆαααααααΎαααΆα ααΎαααααΎαααΆα αα·ααααααααααΆααααΆααααΆαααααΆααααΆαααααα»αα αααααα½αααΆααααΌαααΆαααα αα ααΆααααααααααα½αααΆααααα ααΎααααΈααααααα ααΆααααΆαα αα αΆαααΌαααααΎαααΆααααααΉαααααΌαααΆαα αΆαααααα αΌαα
ααΎααααΈβααααΎβααΆβααααΌαβααΆβαα»αβααααβαααα»αβα’αααβα αα αΆα (VirtualAllocEx) ααααααα αααα»αααΆ (α’αααα αα αΆαααααΎαααΆα) αα·ααααααΎααααααααα‘αΆα (αααααΎααααααααα‘αΆαααΈα ααααΆα) ααΎααααΈααααΎααΆαααΆαα½ααα»αααΆαααΆααααα ααΆααααΎ PIDs ααααααΎαααΆααααααΆαααααΎαααΎα αααααΆααα½αααΆαααΈαα»ααααααααααΎ αααααΎαα§ααααααααα½α32ααΌααα.
α’ααααα 36: ααΌααααααα
αα ααΈαααααΎαα’αΆα ααααααααΆαααααααΈαααααααααΆααααΎααααΎαααΆα PID ααΎααααΈα α αα»αααΆα VirtualAllocExα
α’ααααα α£α§α α α
ααΌααααααα
VirtualAllocEx
5.4 ααΆαα’αα·αααααΈα
αα
αααα»ααααααααα ααΎαααΉααα·αα·αααααΎααααααααααΆαα’αα·αααααΈαααααααΌαααα αα
αααα»αααΌαααΆαααΆαααααα α’αααα’αΆα
ααΎαααΎαααααααααΆαααααΈααααα α
ααΆ "LoadLibrary_EncodeString"αα·α"Encode_Func" αααααα½ααα»αααααΌααααα»αααΆαα’αα»ααααααΈαα·αα·ααΈα’αα·αααααΈαα
α’ααααα α£α¨α ααΈαα·αα·ααΈααααΆαα’αα·αααααΈα
αα ααΎαααααΌα ααΎαα’αΆα ααΎαααΎαααΈαααααααααΆαααα»αααααα’αααα ααααααααααααΉαααααΌαααΆαααααΎααΎααααΈααααΆααααΆααα’αααΈααααααααΌαααΆαα ααΆαααΆαα αΌα, DLLs, ααΆααααααααΆ, α―αααΆα αα·α CSPs α
α’ααααα 39: ααααααΈααααΆααααα α»α
αα½ααααααΆαααααααααα αΆαααΈααΆαααΆαα αΌαααααΌααααααΆααααΎα±ααααΌα αααααΆαα α»αααααα R4α αααα»ααααααΆααα. ααΆααΉαααααΌαααΆαααααΎαα ααααααααααΎααααΈαααα»α DLLs αααααααΌαααΆαα ααΎαβααβα’αΆα βααΎαβαααααΆααβαα½αβαααβαααα»αβααΆαβα α»αβααααα R12 αααβααααΌαβααΆαβααααΎβααΆαα½αβααΉαβαααααΆααβαα»αβααΎααααΈβααααΎβααΆαβαα»αβααααΆααβααΆαβα ααααΌαα αααααα
α’ααααα 40: ααΆαααααΆααααΆαα
ααααΌαα
αααααααΆααααα
ααΆααααααΆαααααΆααααααααΆαααααΆααΉαααααΎαααΆααα αααααααα ααΎααααΈαα·αααΆαααααα»ααα»α ααααΆαα ααα»α αα·αααααα αΆααααααΎαααααα»ααααα·ααΆαα
α’ααααα 41: αααα»ααααα»αααΆααααααααΆ
αααααΆααααααΆαααα»αααΈααΆαααααααΆααΉααααααΆααα―αααΆαα ααα½α 3α Windows.bat, run.sct ΠΈ start.bat.
α’ααααα α€α’α ααΈααΆααα―αααΆα
α―αααΆαααΆαα 3 αααααααΌαααΆαααααΎααΎααααΈαα·αα·αααααΎααα·αααα·αααααΈααΆααααΈαα½ααααΆαα ααααα·αααΎαα·αααα·αααααααΌαααΆααα·αααΆααα Ryuk ααααααααΆαααααα·ααααα·α
ααΆαααααααα»ααααααΆαααααααααΌαααααΆααΉαα―αααΆαααΆααααΈα ααΈαα½α DECRYPT_INFORMATION.htmlααΆαααααααΆαα αΆαααΆα αααΎααααΈααααααααα―αααΆαα ααΈααΈα ααΆααΆαααααααααΆαααααΆααΆααα RSA α
α’ααααα 43α αααααΆαα DECRYPT INFORMATION.html
ααΈααΈ UNIQUE_ID_DO_NOT_REMOVEααΆαααΌααααααααΆαα’αα·αααααΈααααααΉαααααΌαααΆαααααΎαα αααα»ααααααΆαααααααΆαα ααΎααααΈα’αα»ααααααΆαα’αα·αααααΈαα
α’ααααα 44: Line UNIQUE ID αα»ααα»αα
αα
ααΆα α»αααααα ααΆααΆααααααααΆααααααααααΌαααΆα αα½αααΆαα½αααΉαααΆαααΆαα αΌα αα·α CSPs (Microsoft ααααΎα±αααααααΎαα‘αΎα RSA ΠΈ α’ααααααααααΆαααααΈαα’αα’ααα’αα).
α’ααααα 45: αααα»ααααα»ααααααΆααα
αααααΆααααΈ deobfuscation ααΆααα’ααααααΌαααΆααααα
αα ααΆααααα’αα»αααααααααααΆααααααααΌαααΆααααααΆααααΆαα’αα·αααααΈαα ααΆαααααα
αΌα logical drives ααΆααα’αα ααααα·ααααα·α’αααΈααααααα»ααααα»ααααααααα»α αααααΉαααααααΆααα
αααα»ααααααααα αααα―αααΆα RyukReadMe.html α’αα·αααααΈα ααΆαααααα
αΌααααααΆα drives ααΆααα’ααα ααΆαααααΆααααααΌααα
ααΆααα§ααααααααααΆαααααΎα αα·αααΆαα’αα·αααααΈααααααα½αααα
ααΆααΆααα’ααα
αΆααααααΎαααΆαα½αααΉαααΆααααα»α"cmd.exe" αα·ααααααααααΆααααΆααΆααα RSA α
α’ααααα 46: ααΆααααα
ααααααΆααααΆαα’αα·αααααΈα
αααααΆααααααΆααα½αααΆαααααΆαα‘αΌααΈααααΆααα’αααααααααΎ GetLogicalDrive αα·ααα·αααΆαααααα»ααα»αααΆααα’αα α ααα»α ααααΆα αα·αααααα αΆααααααΎααα»ααααα·ααΆαα
α’ααααα 47α ααΆααα·αααααΎαααΆαα§ααααααααααααα
αααααΆααααΈαααααΆαααααΉαααααααΆαααααααΆαα αααα»αααααααααααΌα αααααΎαααΆαααΎαααΆαααΎα αΎααααααα―αααΆαααααΌα RyukReadMe.html Π² TEMP.
α’ααααα α€α¨α ααΆαβααααααααααΆαβααΆαβααΌαβααααΉαβα’αααΈβαααααβααα
αα αααα»αααΌαααΆαααΆαααααα α’αααα’αΆα ααΎαααΎαααΈαααααααααΆαααααΎαα―αααΆα ααΆαααααααΉαααΆα αα·ααααααααΆα
α’ααααα α€α©α αααα»ααααα»α αα·ααααααααΆαα·ααΆα―αααΆα
ααΎααααΈα’αΆα
α’αα»αααααααααααΆαααΌα
ααααΆαα
ααΎα§αααααααΆααα’ααααΆααααΆαααααΎ
"icacls.exe" ααΌα
αααααΎαααΆααααα αΆαααΆαααΎα
α’ααααα 50α ααΆαααααΎααααΆαα icalcls.exe
α αΎαα α»αααααα ααΆα αΆααααααΎαααΆαα’αα·αααααΈαα―αααΆα ααΎααααααα―αααΆα β*.exeβ β*.dllβ α―αααΆααααααααα αα·αααΈααΆαααααααααααααααΆααααααΆαααααα»ααααααααααααααΈααααααΆαα’αα·αααααΈαα ααΎααααΈααααΎααΌα αααααΆααααΎααΆαααΆαα αΌα: CryptAcquireContextW (αααααΆαααααΎααααΆαα AES αα·α RSA ααααΌαααΆααααααΆαα) CryptDeriveKey, CryptGenKey, CryptDastroyKey αα ααΆααααααΆααΆααααααΈαααααααΆααααααααα½ααα ααΆααα§ααααααααααΆααααααΆαααααΎααααααααΎ WNetEnumResourceW α αΎααααααΆααααα’αα·αααααΈααα½αααΆα
α’ααααα 51: ααΆαα’αα·αααααΈαα―αααΆααααααααα
6. ααΆαα αΌα αα·αααααααααααΌαααααΆα
ααΆαααααααααααΆααΆααΆαααααααα αΆαααΈααΆαααΆαα αΌα αα·αααααααααΆααααααααααα»ααααααααΎαααααααΌα
7. IOC
ααα
ααααΈααα
- α’αααααααΎααααΆααPublicrun.sct
- α αΆααααααΎα MenuProgramsStartupstart.bat AppDataRoamingMicrosoftWindowsStart
- MenuProgramsStartupstart.bat
αααΆαααΆααααα
αα
ααααααα
ααΎ Ryuk ransomware ααααΌαααΆαα
ααααααααα’αααααααΆαααααΈαααααΈααα·αααααααα
αΆααααααα PandaLabs α
8. αααααααΆαα
1. βEveris y Prisa Radio sufren un grave ciberataque que secuestra sus sistemasβhttps://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, Publicada el 04/11/2019α
2. βUnvirus de origen ruso ataca a importantes empresas espaΓ±olasβ α https://elpais.com/tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, Publicada el 04/11/2019
3. βαααααΆα VB2019α ααΆαααααΉααααα Shinigamiα ααααα»ααααααααααα Ryukβα https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, Publicada el 11 /12/2019
4. "ααΆαααααΆααα ααααααααΆαα½α Ryuk: αα½αααα LucrativebTargeted Ransomware" https://www. crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/, Publicada el 10/01/2019α
5. βαααααΆα VB2019α ααΆαααααΉααααα Shinigamiα ααααα»ααααααααααα Ryukβα https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigamis-revenge-long-tail-r
ααααα: www.habr.com