기업을 공격하는 Ryuk 랜섬웨어의 작동 방식

Ryuk는 지난 몇 년간 가장 악명 높은 랜섬웨어 변종 중 하나입니다. 2018년 여름 처음 등장한 이후 인상적인 희생자 목록특히 그의 공격의 주요 대상인 비즈니스 환경에서 그렇습니다.

1. 일반 정보

이 문서에는 Ryuk 랜섬웨어의 변종에 대한 분석과 해당 맬웨어를 시스템에 로딩하는 로더에 대한 정보가 포함되어 있습니다.

Ryuk 랜섬웨어는 2018년 여름에 처음 등장했습니다. Ryuk와 다른 랜섬웨어의 차이점 중 하나는 기업 환경을 공격한다는 것입니다.

2019년 중반, 사이버범죄 집단은 이 랜섬웨어를 이용해 수많은 스페인 회사를 공격했습니다.

그림 1: Ryuk 랜섬웨어 공격에 대한 El Confidencial 발췌문 [1]

그림 2: Ryuk 랜섬웨어를 사용하여 수행된 공격에 대한 El País의 발췌문[2]
올해 류크는 여러 국가의 수많은 기업을 공격했습니다. 아래 이미지에서 볼 수 있듯이 독일, 중국, 알제리, 인도가 가장 큰 피해를 입었습니다.

사이버 공격의 수를 비교해 보면, Ryuk는 수백만 명의 사용자에게 영향을 미치고 엄청난 양의 데이터를 손상시켜 심각한 경제적 피해를 입혔습니다.

그림 3: 류크의 글로벌 활동에 대한 그림.

그림 4: 류크병의 영향을 가장 많이 받는 16개국

그림 5: Ryuk 랜섬웨어에 의해 공격을 받은 사용자 수(백만 명)

이러한 위협의 일반적인 작동 원리에 따르면, 이 랜섬웨어는 암호화를 완료한 후 피해자에게 몸값 요구 메시지를 표시하고, 암호화된 파일에 대한 액세스를 복구하려면 지정된 주소로 비트코인으로 지불해야 합니다.

이 맬웨어는 처음 등장한 이후로 계속 변해왔습니다.
이 논문에서 분석한 위협의 변종은 2020년 XNUMX월에 시도된 공격 중에 발견되었습니다.

이 맬웨어는 복잡성 때문에 종종 APT 그룹이라고도 알려진 조직적인 사이버 범죄 집단의 소행으로 여겨진다.

Ryuk 코드 중 일부는 다른 유명 랜섬웨어인 Hermes의 코드 및 구조와 눈에 띄게 유사하며, 여러 기능을 공유합니다. 이러한 이유로 Ryuk는 당시 Hermes 랜섬웨어의 배후로 의심되었던 북한 조직 Lazarus와 연관이 있었습니다.

CrowdStrike의 Falcon X 서비스는 나중에 Ryuk이 실제로 WIZARD SPIDER 그룹[4]에 의해 만들어졌다고 언급했습니다.

이 가정을 뒷받침하는 몇 가지 증거가 있습니다. 첫째, 이 랜섬웨어는 러시아의 유명 악성코드 거래 사이트인 exploit.in 웹사이트에 광고되었으며, 이전에는 일부 러시아 APT 그룹과 관련이 있는 것으로 확인되었습니다.
이러한 사실은 류크가 APT 그룹 라자루스에 의해 개발되었을 수 있다는 이론을 배제합니다. 왜냐하면 이 이론은 그룹의 운영 방식과 맞지 않기 때문입니다.

또한, Ryuk는 러시아어, 우크라이나어, 또는 벨라루스어 시스템에서는 작동하지 않는 랜섬웨어로 광고되었습니다. 이러한 동작은 Ryuk의 일부 버전에서 발견되는 기능에 의해 결정되는데, 이 기능은 랜섬웨어가 실행 중인 시스템의 언어를 확인하고 해당 시스템이 러시아어, 우크라이나어 또는 벨라루스어를 사용하는 경우 랜섬웨어를 중지합니다. 마지막으로, WIZARD SPIDER 그룹에 의해 해킹된 시스템에 대한 전문가 분석 과정에서 Hermes 랜섬웨어의 변종인 Ryuk 개발에 사용된 것으로 추정되는 여러 "아티팩트"가 발견되었습니다.

반면, 전문가 Gabriela Nicolao와 Luciano Martins는 랜섬웨어가 APT 그룹 CryptoTech[5]에 의해 개발되었을 수 있다고 제안했습니다.
이는 Ryuk가 등장하기 몇 달 전, 이 그룹이 같은 사이트의 포럼에 Hermes 랜섬웨어의 새로운 버전을 개발했다고 게시했다는 사실에서 비롯됩니다.

여러 포럼 사용자들이 CryptoTech가 실제로 Ryuk를 개발했는지 의문을 제기했습니다. 그러자 해당 그룹은 자신들이 랜섬웨어를 100% 개발했다는 ​​증거를 확보했다고 주장하며 스스로를 변호했습니다.

2. 특징

먼저 부트로더부터 시작하겠습니다. 부트로더의 역할은 Ryuk 랜섬웨어의 "올바른" 버전을 실행할 수 있도록 시스템을 식별하는 것입니다.
부트로더 해시는 다음과 같습니다.

MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469

이 다운로더의 특징 중 하나는 메타데이터를 포함하지 않는다는 것입니다. 즉, 이 맬웨어를 만든 사람은 아무런 정보도 포함하지 않았습니다.

때로는 사용자가 정상적인 애플리케이션을 실행하고 있다고 생각하도록 잘못된 데이터를 포함시키기도 합니다. 그러나 나중에 살펴보겠지만, 감염 과정에 사용자 상호작용이 포함되지 않는 경우(이 랜섬웨어의 경우처럼), 공격자는 메타데이터를 사용할 필요가 없다고 생각합니다.

그림 6: 샘플 메타데이터

샘플은 32비트 형식으로 컴파일되어 32비트 및 64비트 시스템에서 모두 실행할 수 있습니다.

3. 침투 벡터

Ryuk를 다운로드하고 실행하는 샘플은 원격 연결을 통해 시스템에 유입되었으며, 자격 증명은 예비 RDP 공격을 통해 얻어졌습니다.

그림 7: 공격 레지스트리

공격자는 원격으로 로그인하는 데 성공했습니다. 그 후, 저희 샘플을 이용하여 실행 파일을 생성했습니다.
이 실행 파일은 실행 전에 바이러스 백신 솔루션에 의해 차단되었습니다.

그림 8: 샘플 차단

그림 9: 샘플 차단

악성 파일이 잠기자 공격자는 실행 파일의 암호화된 버전을 다운로드하려고 시도했는데, 이 버전 역시 잠겼습니다.

그림 10: 공격자가 실행하려고 시도한 샘플 세트

마지막으로 그는 암호화된 콘솔을 통해 또 다른 악성 파일을 다운로드하려고 시도했습니다.
PowerShell을 사용하여 바이러스 백신 보호를 우회할 수 있습니다. 하지만 이 기능 역시 차단되었습니다.

그림 11: 악성 콘텐츠가 차단된 PowerShell


그림 12: 악성 콘텐츠가 차단된 PowerShell

4. 로더

실행하면 폴더에 ReadMe 파일이 기록됩니다. % temp %를이는 Ryuk에서 흔히 볼 수 있는 현상입니다. 이 파일은 protonmail 도메인의 이메일 주소가 포함된 랜섬웨어 메시지로, 이 맬웨어 계열에서 흔히 볼 수 있는 현상입니다. msifelabem1981@protonmail.com

그림 13: 몸값 요구

부트로더가 실행되면 무작위 이름을 가진 여러 실행 파일이 실행되는 것을 볼 수 있습니다. 이 파일들은 숨겨진 폴더에 저장됩니다. 공공의, 하지만 해당 옵션이 운영 체제에서 활성화되어 있지 않으면 "숨김 파일 및 폴더 표시", 숨겨진 상태로 유지됩니다. 또한, 이 파일은 부모 파일이 64비트인 것과 달리 32비트입니다.

그림 14: 샘플에서 실행된 실행 파일

위 그림에서 볼 수 있듯이 Ryuk는 icacls.exe를 실행하는데, 이 파일은 모든 ACL(액세스 제어 목록)을 수정하여 액세스 및 플래그 변경을 보장하는 데 사용됩니다.

/T)를 사용하면 모든 사용자가 장치의 모든 파일에 대한 전체 액세스 권한을 얻고, 오류(/C)가 발생하더라도 메시지를 표시하지 않습니다(/Q).

그림 15: 샘플에서 실행된 icacls.exe의 실행 매개변수

Ryuk는 실행 중인 Windows 버전을 확인한다는 점에 유의해야 합니다. 이를 위해
다음을 사용하여 버전 확인을 수행합니다. GetVersionExW, 여기서 플래그의 값을 확인합니다. lp버전 정보현재 Windows 버전이 다음 버전보다 최신인지 여부를 보여줍니다. 윈도우 XP.

Windows XP보다 최신 버전을 실행 중인지 여부에 따라 부트로더는 로컬 사용자 폴더(이 경우 폴더)에 기록합니다. %공공의%.

그림 17: 운영 체제 버전 확인

작성된 파일은 Ryuk입니다. 그런 다음 Ryuk를 실행하면서 자신의 주소를 매개변수로 전달합니다.

그림 18: ShellExecute를 통한 Ryuk 실행

Ryuk이 가장 먼저 하는 일은 입력 매개변수를 받는 것입니다. 이번에는 실행 파일 자체와 드로퍼 주소라는 두 가지 입력 매개변수가 있으며, 이를 통해 Ryuk의 흔적을 제거할 수 있습니다.

그림 19: 프로세스 생성

실행 파일을 실행한 후에는 스스로 삭제되므로 실행된 폴더에 자신의 존재 흔적이 남지 않습니다.

그림 20: 파일 삭제

5. 류크

5.1 존재
Ryuk는 다른 악성코드와 마찬가지로 시스템에 최대한 오랫동안 머무르려고 합니다. 위에서 볼 수 있듯이, 이를 달성하는 한 가지 방법은 은밀하게 실행 파일을 생성하고 실행하는 것입니다. 가장 일반적인 방법은 레지스트리 키를 수정하는 것입니다. 현재 버전 실행.
이 경우, 이 목적을 위해 실행될 첫 번째 파일은 다음과 같습니다. VWjRF.exe
(파일 이름은 무작위로 생성됩니다) 실행 cmd.exe를.

그림 21: VWjRF.exe 파일 실행

그런 다음 명령을 입력하세요 운영 이름이 "스브초스". 따라서 레지스트리 키를 언제든지 확인하려고 하면 svchost와 이름이 유사하기 때문에 이 변경 사항을 쉽게 놓칠 수 있습니다. 이 키 덕분에 Ryuk는 시스템에 자신의 존재를 보장합니다. 시스템이 아직 감염되지 않았다면 시스템을 재부팅할 때 실행 파일이 다시 시도합니다.

그림 22: 레지스트리 키에 존재함을 보장하는 샘플

또한 이 실행 파일은 두 개의 서비스를 중지하는 것을 볼 수 있습니다.
"오디오엔드포인트빌더"는 이름에서 알 수 있듯이 시스템 오디오에 해당합니다.

그림 23: 샘플은 시스템 오디오 서비스를 중지합니다.

и 삼스계정 관리 서비스인 . 이 두 서비스를 중지하는 것은 Ryuk의 특징입니다. 이 경우 시스템이 SIEM 시스템에 연결되어 있으면 랜섬웨어는 전송을 중단하려고 시도합니다. SIEM 모든 경고. 이렇게 하면 Ryuk가 실행된 후 일부 SAM 서비스가 제대로 작업을 시작할 수 없게 되므로, 다음 단계를 보호할 수 있습니다.

그림 24: 샘플은 Samss 서비스를 중지합니다.

5.2 권한

일반적으로 Ryuk는 네트워크 내에서 측면 이동을 시작하거나 다음과 같은 다른 맬웨어에 의해 실행됩니다. Emotet 또는 Trickbot권한이 상승하는 경우 상승된 권한을 랜섬웨어로 전송합니다.

사전에 구현 과정의 서곡으로서 우리는 그가 프로세스를 수행하는 것을 봅니다. 자신을 가장하다즉, 액세스 토큰의 보안 내용이 스트림으로 전달되어 즉시 검색됩니다. GetCurrentThread.

그림 25: ImpersonateSelf 호출

그러면 액세스 토큰이 흐름과 연결됩니다. 또한 플래그 중 하나가 다음과 같습니다. 원하는 접근스레드의 접근 권한을 제어하는 ​​데 사용할 수 있습니다. 이 경우 edx가 받는 값은 다음과 같아야 합니다. 토큰_올_에이스 또는 그렇지 않으면 - 토큰 쓰기.

라이스. 26: 플로우 토큰 생성

그러면 그는 사용할 것이다 SeDebug권한 그리고 스레드에 대한 디버그 권한을 얻기 위해 호출을 하게 되므로 다음을 지정하여 모든 접근 처리, 필요한 모든 프로세스에 접근할 수 있게 됩니다. 이제 암호화기에 이미 준비된 스트림이 있으므로 마지막 단계로 넘어가기만 하면 됩니다.

그림 27: SeDebugPrivilege 호출 및 권한 상승 함수

한편, LookupPrivilegeValueW는 우리가 늘리고 싶은 권한에 대한 필요한 정보를 제공합니다.

그림 28: 권한 상승에 대한 정보 요청

반면에 우리는 토큰 권한 조정이를 통해 스트림에 필요한 권한을 얻을 수 있습니다. 이 경우 가장 중요한 것은 뉴스테이트, 그 깃발이 특권을 부여할 것입니다.

그림 29: 토큰에 대한 권한 설정

5.3 구현

이 섹션에서는 이 보고서에서 이전에 언급한 구현 과정을 샘플이 어떻게 수행하는지 보여드리겠습니다.

구현 프로세스의 주요 목표는 에스컬레이션과 마찬가지로 액세스 권한을 얻는 것입니다. 섀도 복사본이를 위해서는 로컬 사용자보다 높은 권한을 가진 스레드로 실행해야 합니다. 이렇게 높은 권한을 갖게 되면 복사본을 삭제하고 다른 프로세스를 변경하여 운영 체제의 이전 복원 지점으로 돌아갈 수 없도록 합니다.

이 유형의 맬웨어에서 일반적으로 사용되는 것처럼 다음을 사용합니다. CreateToolHelp32Snapshot따라서 현재 실행 중인 프로세스의 스냅샷을 찍고 다음을 사용하여 해당 프로세스에 액세스하려고 합니다. 오픈프로세스프로세스에 대한 액세스 권한을 얻으면 프로세스 매개변수를 얻기 위해 해당 정보가 담긴 토큰도 엽니다.

그림 30: 컴퓨터에서 프로세스 가져오기

CreateToolhelp140002Snapshot을 사용하여 9D32C 루틴에서 실행 중인 프로세스 목록을 동적으로 가져오는 것을 볼 수 있습니다. 목록을 가져오면 OpenProcess를 사용하여 성공할 때까지 프로세스를 하나씩 열어보며 목록을 검토합니다. 이 경우, 가장 먼저 열 수 있었던 프로세스는 "태스크호스트.exe".

그림 31: 프로세스를 얻기 위한 프로시저의 동적 실행

그 후에 프로세스 토큰 정보를 읽어서 호출하는 것을 볼 수 있습니다. 오픈프로세스토큰 매개변수 "를 사용하여20008"

그림 32: 프로세스 토큰 정보 읽기

또한 주입될 프로세스가 아닌지 확인합니다. Csrss.exe-, explorer.exe, lsaas.exe 아니면 그에게 일련의 권리가 있다는 것 NT 권한.

그림 33: 제외된 프로세스

프로세스 토큰 정보를 사용하여 처음으로 어떻게 검사를 수행하는지 동적으로 볼 수 있습니다. 140002D9C 프로세스를 실행하는 데 사용되는 권한이 있는 계정이 해당 계정인지 확인하려면 NT 권한.

라이스. 34: NT 권한 확인

그리고 나중에, 절차 밖에서 그는 그것이 아닌지 확인합니다. csrss.exe, explorer.exe 또는 lsaas.exe.

라이스. 35: NT 권한 확인

프로세스의 스냅샷을 찍고, 프로세스를 열고, 아무것도 제외되지 않았는지 확인하면 메모리에 주입할 프로세스를 작성할 준비가 된 것입니다.

이를 위해 먼저 메모리에 영역을 예약합니다(VirtualAllocEx), 그것에 씁니다 (쓰기 프로세스 메모리)을 생성하고 스트림을 생성합니다(CreateRemoteThread). 이러한 기능을 사용하려면 이전에 다음을 사용하여 얻은 선택된 프로세스의 PID를 사용합니다. CreateToolhelp32스냅샷.

그림 36: 임베드 코드

여기서 우리는 프로세스 PID를 사용하여 함수를 호출하는 방식을 동적으로 관찰할 수 있습니다. 가상할당Ex.

그림 37: VirtualAllocEx 호출

5.4 암호화
이 섹션에서는 이 샘플의 암호화 부분을 살펴보겠습니다. 다음 그림에서 "LoadLibrary_EncodeString"및"인코딩_펑션"는 암호화 절차를 수행하는 역할을 합니다.

그림 38: 암호화 절차

처음에는 나중에 필요한 모든 것, 즉 가져오기, DLL, 명령, 파일 및 CSP를 난독화하는 데 사용될 문자열을 로드하는 방법을 볼 수 있습니다.

그림 39: 난독화 해제 체인

다음 그림은 R4 레지스터에서 난독화를 해제하는 첫 번째 가져오기를 보여줍니다. LoadLibrary. 이는 나중에 필요한 DLL을 로드하는 데 사용됩니다. 또한 R12 레지스터에서 이전 줄과 함께 난독화 해제를 수행하는 또 다른 줄을 볼 수 있습니다.

그림 40: 동적 난독화 해제

나중에 백업, 복원 지점, 안전 부팅 모드를 비활성화하기 위해 실행할 명령을 계속 로드합니다.

그림 41: 로딩 명령

그런 다음 그는 3개의 파일을 놓을 위치를 로드합니다. Windows.bat, run.sct и start.bat.

그림 42: 파일 위치

이 세 파일은 각 위치의 권한을 확인하는 데 사용됩니다. 필요한 권한을 사용할 수 없으면 Ryuk는 실행을 중단합니다.

세 개의 파일에 해당하는 줄을 계속 로드합니다. 첫 번째는 복호화_정보.html, 파일 복구에 필요한 정보가 포함되어 있습니다. 두 번째, 공공의, RSA 공개 키가 포함되어 있습니다.

그림 43: DECRYPT INFORMATION.html 라인

제삼, 고유 ID 삭제 금지, 다음 루틴에서 암호화를 수행하는 데 사용될 암호화된 키가 포함되어 있습니다.

그림 44: 고유 ID 제거하지 마세요 줄

마지막으로 필요한 가져오기 및 CSP와 함께 필요한 라이브러리를 로드합니다.Microsoft 향상된 RSA и AES 암호화 공급자).

그림 45: 라이브러리 로딩

모든 난독화 해제가 완료되면 암호화에 필요한 작업을 수행합니다. 모든 논리 드라이브를 열거하고, 이전 서브루틴에서 로드된 내용을 실행하고, 시스템에 존재감을 강화하고, RyukReadMe.html 파일을 삭제하고, 암호화하고, 모든 네트워크 드라이브를 열거하고, 감지된 장치로 이동하여 암호화합니다.
모든 것은 "로딩"으로 시작됩니다.cmd.exe를" 및 공개 RSA 키의 기록.

그림 46: 암호화 준비

그런 다음 다음을 사용하여 모든 논리 드라이브를 가져옵니다. 논리 드라이브 가져오기 모든 백업, 복원 지점 및 안전 부팅 모드를 비활성화합니다.

그림 47: 복구 도구 비활성화

그 후, 위에서 본 것처럼 시스템에서의 존재감을 강화하고 첫 번째 파일을 작성합니다. 류크리드미.html в TEMP.

그림 48: 몸값 요구 공지 게시

다음 이미지에서는 파일을 생성하고, 내용을 로드하고, 쓰는 방법을 볼 수 있습니다.

그림 49: 파일 내용 로드 및 쓰기

모든 장치에서 동일한 작업을 수행할 수 있도록 하려면 다음을 사용합니다.
"icacls.exe", 위에서 보여드린 것처럼요.

그림 50: icalcls.exe 사용

마지막으로, "*.exe", "*.dll", 시스템 파일 및 암호화 허용 목록에 지정된 기타 위치를 제외한 모든 파일을 암호화하기 시작합니다. 이를 위해 다음과 같은 import 문을 사용합니다. CryptAcquireContextW (AES 및 RSA 사용이 표시된 경우) CryptDeriveKey, CryptGenKey, 크립트데스트로이키 기타. 또한 WNetEnumResourceW를 사용하여 검색된 네트워크 장치에 대한 도달 범위를 확장한 다음 이를 암호화하려고 시도합니다.

그림 51: 시스템 파일 암호화

6. 수입품 및 해당 플래그

아래는 샘플에서 사용된 가장 관련성 있는 가져오기와 플래그를 나열한 표입니다.

7. IOC

참조

• usersPublicrun.sct
• 시작 메뉴 프로그램 시작 start.bat AppData 로밍 Microsoft Windows 시작
• 메뉴프로그램시작start.bat

Ryuk 랜섬웨어에 대한 기술 보고서는 PandaLabs 바이러스 백신 연구소의 전문가들이 작성했습니다.

8. 링크

1. “Everis y Prisa Radio sufren un grave ciberataque que secuestra sus sistemas.”https://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, Publicada el 04/11/2019.

2. "Un virus de origen ruso ataca a importantes empresas españolas." https: //elpais.com/tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, Publicada el 04/11/2019.

3. “VB2019 논문: 시니가미의 복수: 류크 맬웨어의 긴 꼬리.” https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, 11년 12월 2019일 게시

4. “Ryuk를 이용한 대형 게임 사냥: 또 다른 수익성이 높은 타깃 랜섬웨어.”https://www.crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/, 10년 01월 2019일 게시.

5. “VB2019 논문: 시니가미의 복수: 류크 악성코드의 긴 꼬리.” https://www.virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigamis-revenge-long-tail-r

출처 : habr.com