기업을 공격하는 Ryuk 랜섬웨어의 작동 방식

Ryuk은 지난 몇 년 동안 가장 유명한 랜섬웨어 옵션 중 하나입니다. 2018년 여름 처음 등장한 이후 지금까지 인상적인 피해자 목록특히 공격의 주요 표적이 되는 비즈니스 환경에서는 더욱 그렇습니다.

1. 일반 정보

이 문서에는 Ryuk 랜섬웨어 변종에 대한 분석과 악성 코드를 시스템에 로드하는 로더가 포함되어 있습니다.

Ryuk 랜섬웨어는 2018년 여름에 처음 등장했습니다. Ryuk과 다른 랜섬웨어의 차이점 중 하나는 기업 환경 공격을 목표로 한다는 점입니다.

2019년 중반, 사이버 범죄 그룹은 이 랜섬웨어를 사용하여 수많은 스페인 기업을 공격했습니다.

쌀. 1: Ryuk 랜섬웨어 공격에 관한 El Confidencial에서 발췌 [1]

쌀. 2: Ryuk 랜섬웨어를 사용하여 수행된 공격에 대한 El País에서 발췌 [2]
올해 류크는 다양한 나라의 수많은 기업을 공격했다. 아래 그림에서 볼 수 있듯이 독일, 중국, 알제리, 인도가 가장 큰 타격을 입었습니다.

사이버 공격 횟수를 비교하면 Ryuk이 수백만 명의 사용자에게 영향을 미치고 막대한 양의 데이터를 손상시켜 심각한 경제적 손실을 초래했음을 알 수 있습니다.

쌀. 3: Ryuk의 글로벌 활동을 보여주는 그림입니다.

쌀. 4: Ryuk의 영향을 가장 많이 받는 16개 국가

쌀. 5: Ryuk 랜섬웨어의 공격을 받은 사용자 수(수백만 명)

이러한 위협의 일반적인 작동 원리에 따르면, 이 랜섬웨어는 암호화가 완료된 후 피해자에게 암호화된 파일에 대한 액세스를 복원하려면 지정된 주소로 비트코인을 지불해야 한다는 몸값 알림을 표시합니다.

이 악성코드는 처음 소개된 이후로 변경되었습니다.
이 문서에서 분석된 이 위협의 변종은 2020년 XNUMX월 공격 시도 중에 발견되었습니다.

이 악성 코드는 복잡성으로 인해 APT 그룹이라고도 알려진 조직화된 사이버 범죄 그룹의 소행으로 여겨지는 경우가 많습니다.

Ryuk 코드의 일부는 다른 잘 알려진 랜섬웨어인 Hermes의 코드 및 구조와 눈에 띄게 유사하며, 이 랜섬웨어는 여러 동일한 기능을 공유합니다. 이것이 바로 Ryuk이 처음에 당시 Hermes 랜섬웨어의 배후로 의심되었던 북한 그룹 Lazarus와 연결되었던 이유입니다.

이후 CrowdStrike의 Falcon X 서비스에서는 Ryuk이 실제로 WIZARD SPIDER 그룹[4]에 의해 만들어졌다고 언급했습니다.

이 가정을 뒷받침하는 몇 가지 증거가 있습니다. 첫째, 이 랜섬웨어는 러시아의 잘 알려진 악성코드 마켓플레이스이자 이전에 일부 러시아 APT 그룹과 연관된 웹사이트exploit.in에 광고되었습니다.
이 사실은 Ryuk이 Lazarus APT 그룹에 의해 개발되었을 수 있다는 이론을 배제합니다. 그룹이 운영되는 방식과 맞지 않습니다.

또한 Ryuk은 러시아, 우크라이나, 벨로루시 시스템에서는 작동하지 않는 랜섬웨어로 광고되었습니다. 이 동작은 일부 버전의 Ryuk에 있는 기능에 의해 결정됩니다. 이 기능은 랜섬웨어가 실행 중인 시스템의 언어를 확인하고 시스템에 러시아어, 우크라이나어 또는 벨라루스어가 있는 경우 랜섬웨어의 실행을 중지합니다. 마지막으로 WIZARD SPIDER 팀이 해킹한 시스템에 대한 전문가 분석을 통해 Hermes 랜섬웨어의 변종인 Ryuk 개발에 사용된 것으로 추정되는 여러 "아티팩트"가 밝혀졌습니다.

반면, 전문가 Gabriela Nicolao와 Luciano Martins는 해당 랜섬웨어가 APT 그룹인 CryptoTech[5]에 의해 개발되었을 수 있다고 제안했습니다.
이는 Ryuk이 출현하기 몇 달 전에 이 그룹이 Hermes 랜섬웨어의 새 버전을 개발했다는 ​​정보를 동일한 사이트의 포럼에 게시했다는 사실에서 비롯되었습니다.

몇몇 포럼 사용자는 CryptoTech이 실제로 Ryuk을 만들었는지 의문을 제기했습니다. 그런 다음 그룹은 스스로를 방어하고 랜섬웨어를 100% 개발했다는 ​​증거가 있다고 밝혔습니다.

2. 특징

우리는 Ryuk 랜섬웨어의 "올바른" 버전이 실행될 수 있도록 시스템이 실행 중인 시스템을 식별하는 작업을 수행하는 부트로더부터 시작합니다.
부트로더 해시는 다음과 같습니다.

MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469

이 다운로더의 특징 중 하나는 메타데이터가 포함되어 있지 않다는 것입니다. 이 악성코드의 제작자는 여기에 어떠한 정보도 포함하지 않았습니다.

때로는 사용자가 합법적인 응용 프로그램을 실행하고 있다고 생각하도록 속이기 위해 잘못된 데이터를 포함하기도 합니다. 그러나 나중에 살펴보겠지만 감염이 사용자 상호 작용과 관련되지 않은 경우(이 랜섬웨어의 경우처럼) 공격자는 메타데이터를 사용할 필요가 없다고 생각합니다.

쌀. 6: 샘플 메타데이터

샘플은 32비트 시스템과 32비트 시스템 모두에서 실행될 수 있도록 64비트 형식으로 컴파일되었습니다.

3. 침투 벡터

Ryuk을 다운로드하고 실행하는 샘플은 원격 연결을 통해 우리 시스템에 진입했으며, 사전 RDP 공격을 통해 액세스 매개변수를 획득했습니다.

쌀. 7: 공격 레지스터

공격자는 원격으로 시스템에 로그인하는 데 성공했습니다. 그 후 그는 우리 샘플을 사용하여 실행 파일을 만들었습니다.
이 실행 파일은 실행되기 전에 바이러스 백신 솔루션에 의해 차단되었습니다.

쌀. 8: 패턴 잠금

쌀. 9: 패턴 잠금

악성 파일이 차단되자 공격자는 실행 파일의 암호화된 버전을 다운로드하려고 시도했으나 이 역시 차단되었습니다.

쌀. 10: 공격자가 실행하려고 시도한 샘플 세트

마지막으로 그는 암호화된 콘솔을 통해 또 다른 악성 파일을 다운로드하려고 시도했습니다.
바이러스 백신 보호를 우회하는 PowerShell입니다. 하지만 그도 차단됐다.

쌀. 11: 악성 콘텐츠가 차단된 PowerShell


쌀. 12: 악성 콘텐츠가 차단된 PowerShell

4. 로더

실행되면 ReadMe 파일을 폴더에 씁니다. % temp %를, 이는 Ryuk의 전형적인 특징입니다. 이 파일은 protonmail 도메인의 이메일 주소가 포함된 랜섬 노트로, 이 악성 코드 계열에서 매우 일반적입니다. [이메일 보호]

쌀. 13: 몸값 요구

부트로더가 실행되는 동안 임의의 이름을 가진 여러 실행 파일이 실행되는 것을 볼 수 있습니다. 숨겨진 폴더에 저장되어 있습니다 공공의, 그러나 운영 체제에서 옵션이 활성화되지 않은 경우 "숨김 파일 및 폴더 표시", 그러면 숨겨진 상태로 유지됩니다. 또한 이러한 파일은 64비트인 상위 파일과 달리 32비트입니다.

쌀. 14: 샘플에서 실행되는 실행 파일

위 이미지에서 볼 수 있듯이 Ryuk은 모든 ACL(액세스 제어 목록)을 수정하는 데 사용되는 icacls.exe를 실행하여 플래그의 액세스 및 수정을 보장합니다.

오류(/C)와 관계없이 메시지(/Q)를 표시하지 않고 모든 사용자가 장치(/T)의 모든 파일에 대한 전체 액세스 권한을 얻습니다.

쌀. 15: 샘플에 의해 실행된 icacls.exe의 실행 매개변수

Ryuk은 실행 중인 Windows 버전을 확인한다는 점에 유의하는 것이 중요합니다. 이를 위해 그는
다음을 사용하여 버전 확인을 수행합니다. GetVersionExW, 플래그 값을 확인합니다. lp버전정보현재 Windows 버전이 다음 버전보다 최신인지 여부를 나타냅니다. 윈도우 XP.

Windows XP 이후 버전을 실행하는지 여부에 따라 부트 로더는 로컬 사용자 폴더(이 경우 폴더)에 기록합니다. %공공의%.

쌀. 17: 운영체제 버전 확인하기

작성 중인 파일은 Ryuk입니다. 그런 다음 자체 주소를 매개변수로 전달하여 실행합니다.

쌀. 18: ShellExecute를 통해 Ryuk 실행

Ryuk이 가장 먼저 하는 일은 입력 매개변수를 받는 것입니다. 이번에는 자체 추적을 제거하는 데 사용되는 두 개의 입력 매개변수(실행 파일 자체와 드로퍼 주소)가 있습니다.

쌀. 19: 프로세스 생성

또한 실행 파일을 실행한 후에는 스스로 삭제되므로 실행된 폴더에 자신의 존재에 대한 흔적이 남지 않는 것을 볼 수 있습니다.

쌀. 20: 파일 삭제

5. 류크

5.1 존재
Ryuk은 다른 악성 코드와 마찬가지로 가능한 한 오랫동안 시스템에 머물려고 합니다. 위에서 본 것처럼 이 목표를 달성하는 한 가지 방법은 실행 파일을 비밀리에 생성하고 실행하는 것입니다. 이를 위해 가장 일반적인 방법은 레지스트리 키를 변경하는 것입니다. 현재 버전 실행.
이 경우 이 목적으로 첫 번째 파일이 실행되는 것을 볼 수 있습니다. VWjRF.exe
(파일 이름은 임의로 생성됨) 실행 cmd.exe를.

쌀. 21: VWjRF.exe 실행

그런 다음 명령을 입력하십시오. 운영 이름으로 "스브초스". 따라서 언제든지 레지스트리 키를 확인하려는 경우 이 이름이 svchost와 유사하기 때문에 이 변경 사항을 쉽게 놓칠 수 있습니다. 이 키 덕분에 Ryuk은 시스템에 해당 키가 있는지 확인합니다. 시스템이 그렇지 않은 경우 아직 감염되지 않은 경우 시스템을 재부팅하면 실행 파일이 다시 시도됩니다.

쌀. 22: 샘플은 레지스트리 키에 존재하는지 확인합니다.

또한 이 실행 파일이 두 가지 서비스를 중지하는 것을 볼 수 있습니다.
"오디오 엔드포인트 빌더"는 이름에서 알 수 있듯이 시스템 오디오에 해당하며,

쌀. 23: 샘플이 시스템 오디오 서비스를 중지합니다.

и 샘스, 계정 관리 서비스입니다. 이 두 서비스를 중지하는 것은 Ryuk의 특징입니다. 이 경우 시스템이 SIEM 시스템에 연결되어 있으면 랜섬웨어는 다음으로 전송을 중지하려고 시도합니다. SIEM 어떤 경고. Ryuk을 실행한 후 일부 SAM 서비스가 작업을 올바르게 시작할 수 없기 때문에 이러한 방식으로 그는 다음 단계를 보호합니다.

쌀. 24: 샘플이 Samss 서비스를 중지합니다.

5.2 권한

일반적으로 Ryuk은 네트워크 내에서 측면으로 이동하는 것으로 시작하거나 다음과 같은 다른 악성 코드에 의해 실행됩니다. Emotet 또는 Trickbot, 권한이 상승하는 경우 이러한 상승된 권한을 랜섬웨어에 이전합니다.

이에 앞서 구현 과정의 서막으로 과정을 수행하는 모습을 볼 수 있다. 자신을 가장, 이는 액세스 토큰의 보안 콘텐츠가 스트림으로 전달되고 스트림에서 다음을 사용하여 즉시 검색됨을 의미합니다. 현재스레드 가져오기.

쌀. 25: ImpersonateSelf 호출

그런 다음 액세스 토큰을 스레드와 연결하는 것을 확인합니다. 또한 플래그 중 하나가 다음과 같은 것을 볼 수 있습니다. 원하는 액세스, 스레드가 갖게 될 액세스를 제어하는 ​​데 사용할 수 있습니다. 이 경우 edx가 받는 값은 다음과 같아야 합니다. TOKEN_ALL_ACESS 아니면 그렇지 않으면 - TOKEN_WRITE.

쌀. 26: 흐름 토큰 생성

그러면 그는 사용할 것이다 SeDebug권한 스레드에 대한 디버그 권한을 얻기 위해 호출하여 결과적으로 PROCESS_ALL_ACCESS, 그는 필요한 모든 프로세스에 액세스할 수 있습니다. 이제 암호화기에 이미 준비된 스트림이 있으므로 남은 것은 최종 단계로 진행하는 것뿐입니다.

쌀. 27: SeDebugPrivilege 및 권한 상승 기능 호출

한편으로는 우리가 늘리려는 권한에 대해 필요한 정보를 제공하는 LookupPrivilegeValueW가 있습니다.

쌀. 28: 권한 상승을 위한 권한에 대한 정보 요청

반면에 우리는 adjustToken권한, 이를 통해 스트림에 필요한 권리를 얻을 수 있습니다. 이 경우 가장 중요한 것은 새로운 상태, 그 플래그는 권한을 부여합니다.

쌀. 29: 토큰에 대한 권한 설정

5.3 구현

이 섹션에서는 샘플이 이 보고서에서 이전에 언급한 구현 프로세스를 수행하는 방법을 보여줍니다.

구현 프로세스와 에스컬레이션의 주요 목표는 다음에 대한 액세스 권한을 얻는 것입니다. 섀도 복사본. 이를 위해서는 로컬 사용자보다 높은 권한을 가진 스레드로 작업해야 합니다. 이러한 높은 권한을 얻으면 운영 체제의 이전 복원 지점으로 돌아갈 수 없도록 복사본을 삭제하고 다른 프로세스를 변경합니다.

이러한 유형의 악성 코드에서는 일반적으로 다음을 사용합니다. CreateToolHelp32Snapshot따라서 현재 실행 중인 프로세스의 스냅샷을 찍고 다음을 사용하여 해당 프로세스에 액세스하려고 시도합니다. 오픈프로세스. 프로세스에 대한 액세스 권한을 얻으면 프로세스 매개변수를 얻기 위한 정보가 포함된 토큰도 열립니다.

쌀. 30: 컴퓨터에서 프로세스 검색하기

CreateToolhelp140002Snapshot을 사용하여 루틴 9D32C에서 ​​실행 중인 프로세스 목록을 가져오는 방법을 동적으로 확인할 수 있습니다. 이를 받은 후 그는 목록을 살펴보고 성공할 때까지 OpenProcess를 사용하여 프로세스를 하나씩 열려고 시도합니다. 이 경우 그가 열 수 있었던 첫 번째 프로세스는 "taskhost.exe".

쌀. 31: 프로세스를 얻기 위해 프로시저를 동적으로 실행하기

이후에 프로세스 토큰 정보를 읽는 것을 볼 수 있습니다. 오픈프로세스토큰 매개변수 "20008"

쌀. 32: 프로세스 토큰 정보 읽기

또한 주입될 프로세스가 다음과 같은지 확인합니다. Csrss.exe-, Explorer.exe, lsaas.exe 또는 그에게 일련의 권리가 있다는 것 신약의 권위.

쌀. 33: 제외된 프로세스

프로세스 토큰 정보를 사용하여 처음 검사를 수행하는 방법을 동적으로 확인할 수 있습니다. 140002D9C 프로세스를 실행하기 위해 권한을 사용하고 있는 계정이 계정인지 확인하기 위해 NT 권위.

쌀. 34: NT 권한 확인

그리고 나중에 절차 밖에서 그는 이것이 사실이 아닌지 확인합니다. csrss.exe, explorer.exe 또는 lsaas.exe.

쌀. 35: NT 권한 확인

일단 프로세스의 스냅샷을 찍고, 프로세스를 열고, 그 중 어느 것도 제외되지 않았음을 확인했다면, 주입될 프로세스를 메모리에 기록할 준비가 된 것입니다.

이를 위해 먼저 메모리 영역(VirtualAllocEx), 그것에 씁니다 (쓰기프로세스메모리) 스레드를 생성하고(원격스레드 생성). 이러한 기능을 사용하기 위해 이전에 다음을 사용하여 얻은 선택된 프로세스의 PID를 사용합니다. CreateToolhelp32스냅샷.

쌀. 36: 삽입 코드

여기서는 프로세스 PID를 사용하여 함수를 호출하는 방법을 동적으로 관찰할 수 있습니다. VirtualAllocEx.

쌀. 37: VirtualAllocEx 호출

5.4 암호화
이 섹션에서는 이 샘플의 암호화 부분을 살펴보겠습니다. 다음 그림에서는 "라는 두 개의 서브루틴을 볼 수 있습니다.LoadLibrary_EncodeString"및"Encode_Func"는 암호화 절차 수행을 담당합니다.

쌀. 38: 암호화 절차

처음에는 가져오기, DLL, 명령, 파일 및 CSP 등 필요한 모든 것을 난독 해제하는 데 나중에 사용되는 문자열을 로드하는 방법을 볼 수 있습니다.

쌀. 39: 난독화 회로

다음 그림은 레지스터 R4에서 난독화한 첫 번째 가져오기를 보여줍니다. LoadLibrary. 이는 나중에 필요한 DLL을 로드하는 데 사용됩니다. 또한 레지스터 R12에서 난독화를 수행하기 위해 이전 라인과 함께 사용되는 또 다른 라인을 볼 수 있습니다.

쌀. 40: 동적 난독화 해제

백업, 복원 지점 및 안전 부팅 모드를 비활성화하기 위해 나중에 실행할 명령을 계속 다운로드합니다.

쌀. 41: 명령어 로딩

그런 다음 3개의 파일을 삭제할 위치를 로드합니다. Windows.bat, run.sct и start.bat.

쌀. 42: 파일 위치

이 3개 파일은 각 위치의 권한을 확인하는 데 사용됩니다. 필요한 권한을 사용할 수 없는 경우 Ryuk은 실행을 중지합니다.

세 파일에 해당하는 줄을 계속 로드합니다. 첫 번째, DECRYPT_INFORMATION.html에는 파일을 복구하는 데 필요한 정보가 포함되어 있습니다. 두번째, 공공의, RSA 공개 키가 포함되어 있습니다.

쌀. 43: 해독 정보 라인.html

제삼, UNIQUE_ID_DO_NOT_REMOVE에는 암호화를 수행하기 위해 다음 루틴에서 사용될 암호화된 키가 포함되어 있습니다.

쌀. 44: 라인 고유 ID는 제거하지 마세요

마지막으로 필수 가져오기 및 CSP와 함께 필수 라이브러리를 다운로드합니다(마이크로소프트 강화 RSA и AES 암호화 공급자).

쌀. 45: 라이브러리 로딩

모든 난독화 작업이 완료된 후 모든 논리 드라이브 열거, 이전 루틴에 로드된 내용 실행, 시스템 존재 강화, RyukReadMe.html 파일 삭제, 암호화, 모든 네트워크 드라이브 열거 등 암호화에 필요한 작업을 수행합니다. , 감지된 장치 및 해당 암호화로 전환됩니다.
모든 것은 로딩으로 시작됩니다."cmd.exe를" 및 RSA 공개 키 레코드.

쌀. 46: 암호화 준비

그런 다음 다음을 사용하여 모든 논리 드라이브를 가져옵니다. 논리 드라이브 가져오기 모든 백업, 복원 지점 및 안전 부팅 모드를 비활성화합니다.

쌀. 47: 복구 도구 비활성화하기

그 후에는 위에서 본 것처럼 시스템에서의 존재감을 강화하고 첫 번째 파일을 작성합니다. RyukReadMe.html в TEMP.

쌀. 48: 몸값 공지 게시

다음 그림에서는 파일을 생성하고 콘텐츠를 다운로드하고 작성하는 방법을 볼 수 있습니다.

쌀. 49: 파일 내용 로드 및 쓰기

모든 장치에서 동일한 작업을 수행할 수 있도록 그는 다음을 사용합니다.
"icacls.exe", 위에 보여드린 것처럼요.

쌀. 50: icalcls.exe 사용하기

마지막으로 암호화된 화이트리스트 형식으로 지정된 “*.exe”, “*.dll” 파일, 시스템 파일 및 기타 위치를 제외한 파일 암호화를 시작합니다. 이를 위해 import를 사용합니다. CryptAcquireContextW (AES 및 RSA 사용이 지정된 경우) CryptDeriveKey, CryptGenKey, 크립트파괴키 등. 또한 WNetEnumResourceW를 사용하여 검색된 네트워크 장치로 범위를 확장한 다음 암호화하려고 시도합니다.

쌀. 51: 시스템 파일 암호화

6. 수입품 및 해당 플래그

다음은 샘플에서 사용되는 가장 관련성이 높은 가져오기 및 플래그를 나열하는 표입니다.

7. IOC

참조

• 사용자Publicrun.sct
• 시작 메뉴프로그램Startupstart.bat AppDataRoamingMicrosoftWindowsStart
• 메뉴프로그램Startupstart.bat

Ryuk 랜섬웨어에 대한 기술 보고서는 바이러스 백신 연구소인 PandaLabs의 전문가들이 편집했습니다.

8. 링크

1. “Everis y Prisa Radio sufren un grave ciberataque que secuestra sus sistemas.”https://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, Publicada el 04/11/2019.

2. "Un virus de origen ruso ataca a importantes empresas españolas." https: //elpais.com/tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, Publicada el 04/11/2019.

3. “VB2019 논문: 사신의 복수: Ryuk 악성 코드의 긴 꼬리.” https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, Publicada el 11 /12년 2019월

4. “Ryuk을 이용한 대작 사냥: 또 다른 수익성 있는 표적 랜섬웨어.”https://www. Crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/, 10년 01월 2019일 공개.

5. “VB2019 논문: 사신의 복수: Ryuk 악성코드의 긴 꼬리.” https://www. virusbulletin.com/virusbulletin/2019/10/vb2019-paper-shinigamis-revenge-long-tail-r

출처 : habr.com