Ryuk - акыркы бир нече жыл ичиндеги эң белгилүү ransomware варианттарынын бири. Ал биринчи жолу 2018-жылдын жайында пайда болгондуктан, ал чогултулган , айрыкча анын кол салууларынын негизги бутасы болгон бизнес чөйрөсүндө.
1. Жалпы маалымат
Бул документте Ryuk ransomware вариантынын анализи, ошондой эле зыяндуу программаны системага жүктөө үчүн жооптуу жүктөгүч камтылган.
Ryuk ransomware биринчи жолу 2018-жылдын жайында пайда болгон. Ryuk жана башка ransomware ортосундагы айырмачылыктардын бири - бул корпоративдик чөйрөлөргө кол салууга багытталган.
2019-жылдын ортосунда киберкриминалдык топтор бул ransomware аркылуу көптөгөн испан компанияларына кол салышкан.
Райс. 1: Ryuk ransomware чабуулуна байланыштуу El Confidencial'тен үзүндү [1]
Күрүч. 2: Ryuk ransomware аркылуу жасалган чабуул жөнүндө El Paísтен үзүндү [2]
Бул жылы Рюк ар кайсы өлкөлөрдө көп сандаган компанияларга кол салды. Төмөндөгү сандардан көрүнүп тургандай, Германия, Кытай, Алжир жана Индия эң көп жабыр тарткан.
Киберчабуулдардын санын салыштыруу менен, биз Рюк миллиондогон колдонуучуларга таасир эткенин жана ири көлөмдөгү маалыматтарды бузуп, оор экономикалык жоготууга алып келгенин көрө алабыз.
Райс. 3: Рюктун дүйнөлүк ишмердүүлүгүнүн иллюстрациясы.
Райс. 4: Рюктан эң көп жабыркаган 16 өлкө
Күрүч. 5: Ryuk ransomware кол салган колдонуучулардын саны (миллиондогон)
Мындай коркунучтардын кадимки иштөө принцибине ылайык, бул ransomware, шифрлөө аяктагандан кийин, жабырлануучуга шифрленген файлдарга кирүү мүмкүнчүлүгүн калыбына келтирүү үчүн көрсөтүлгөн дарекке биткойндор менен төлөнүшү керек болгон кун билдирүүсүн көрсөтөт.
Бул зыяндуу программа биринчи жолу киргизилгенден бери өзгөрдү.
Бул документте талданган бул коркунучтун варианты 2020-жылдын январында кол салуу аракети учурунда табылган.
Татаалдыгынан улам бул кесепеттүү программа көбүнчө APT топтору деп аталган уюшкан киберкриминалдык топторго таандык.
Ryuk кодунун бир бөлүгү башка белгилүү ransomware Hermes программасынын коду жана түзүмү менен байкаларлык окшоштукка ээ, алар менен бир катар бирдей функцияларды аткарышат. Ошол себептен Рюк алгач Түндүк Кореянын Лазарус тобу менен байланышта болгон, ал учурда Hermes ransomware программасынын артында турган деп шектелген.
Кийинчерээк CrowdStrike компаниясынын Falcon X кызматы Рюк чындыгында WIZARD SPIDER тобу тарабынан түзүлгөнүн белгилеген [4].
Бул божомолду ырастаган кээ бир далилдер бар. Биринчиден, бул ransomware exploit.in веб-сайтында жарнамаланган, ал орусиялык белгилүү зыяндуу программалар базары болуп саналат жана буга чейин айрым орусиялык APT топтору менен байланышта болгон.
Бул чындык Ryuk, анткени, Лазар APT тобу тарабынан иштелип чыккан болушу мүмкүн теориясын жокко чыгарат бул топтун иш-аракетине туура келбейт.
Мындан тышкары, Рюк орус, украин жана беларус системаларында иштебей турган ransomware катары жарнамаланган. Бул жүрүм-турум Ryukтун кээ бир версияларында табылган өзгөчөлүк менен аныкталат, анда ал ransomware иштеп жаткан системанын тилин текшерет жана системада орус, украин же белорус тили болсо, анын иштешин токтотот. Акыр-аягы, WIZARD SPIDER командасы тарабынан бузулган машинанын эксперттик талдоосунда Гермес ransomware бир варианты катары Рюкту иштеп чыгууда колдонулган делген бир нече "артефакттар" аныкталган.
Экинчи жагынан, эксперттер Габриэла Николао жана Лучано Мартинс ransomware APT тобу CryptoTech тарабынан иштелип чыккан болушу мүмкүн деп божомолдошот [5].
Бул Рюктун пайда болушуна бир нече ай калганда, бул топ ошол эле сайттын форумуна Hermes ransomware жаңы версиясын иштеп чыккандыгы тууралуу маалыматты жайгаштырганынан келип чыгат.
Бир нече форум колдонуучулары CryptoTech чындап эле Рюкту жаратканбы деп сурашты. Андан кийин топ өзүн коргоп, аларда ransomware 100% иштеп чыккандыгы тууралуу далилдер бар экенин билдирген.
2. Мүнөздөмөлөр
Биз жүктөгүчтөн баштайбыз, анын милдети Ryuk ransomware программасынын "туура" версиясын ишке киргизүү үчүн иштеп жаткан системаны аныктоо.
Жүктөгүчтүн хэши төмөнкүдөй:
MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469
Бул жүктөөчүнүн өзгөчөлүктөрүнүн бири - анда эч кандай метаберилиштер жок, б.а. Бул зыяндуу программанын жаратуучулары ага эч кандай маалыматты камтыган эмес.
Кээде алар мыйзамдуу тиркемени иштетип жатат деп ойлоп, колдонуучуну алдоо үчүн ката маалыматтарды камтыйт. Бирок, кийинчерээк көрөбүз, эгерде инфекция колдонуучунун өз ара аракеттенүүсүн камтыбаса (бул ransomware сыяктуу), анда чабуулчулар метаберилиштерди колдонууну зарыл деп эсептешпейт.
Райс. 6: Үлгү метадайындары
Үлгү 32 биттик форматта түзүлүп, ал 32 биттик жана 64 биттик системаларда иштей алат.
3. Кирүү вектору
Ryuk жүктөгөн жана иштеткен үлгү биздин системага алыскы туташуу аркылуу кирди жана кирүү параметрлери алдын ала RDP чабуулу аркылуу алынды.
Райс. 7: Кол салууларды каттоо
Чабуулчу системага алыстан кире алган. Андан кийин, ал биздин үлгү менен аткарылуучу файлды түздү.
Бул аткарылуучу файл иштетилгенге чейин антивирус чечими тарабынан бөгөттөлгөн.
Райс. 8: Үлгү кулпу
Райс. 9: Үлгү кулпу
Зыяндуу файл бөгөттөлгөндө, чабуулчу аткарылуучу файлдын шифрленген версиясын жүктөп алууга аракет кылган, ал да бөгөттөлгөн.
Райс. 10: Кол салган адам иштетүүгө аракет кылган үлгүлөрдүн топтому
Акыры, ал шифрленген консол аркылуу дагы бир зыяндуу файлды жүктөп алууга аракет кылган
PowerShell антивирустук коргоону айланып өтүү үчүн. Бирок ага да бөгөт коюлган.
Райс. 11: зыяндуу мазмуну менен PowerShell бөгөттөлгөн
Райс. 12: зыяндуу мазмуну менен PowerShell бөгөттөлгөн
4. Жүктөгүч
Ал аткарылганда, ал папкага ReadMe файлын жазат % Темп%, бул Рюк үчүн мүнөздүү. Бул файл протонмэйл домениндеги электрондук почта дарегин камтыган кун төлөмү болуп саналат, бул зыяндуу программалар үй-бүлөсүндө кеңири таралган: [электрондук почта корголгон]
Райс. 13: Кун талабы
Жүктөгүч иштеп жатканда, ал туш келди аталыштар менен бир нече аткарылуучу файлдарды ишке киргизгенин көрө аласыз. Алар жашыруун папкада сакталат КООМДУК, бирок параметр операциялык тутумда активдүү болбосо "Жашыруун файлдарды жана папкаларды көрсөтүү", анда алар жашыруун бойдон калат. Мындан тышкары, бул файлдар 64-бит болгон ата-эне файлдан айырмаланып, 32-бит.
Күрүч. 14: Үлгү тарабынан ишке ашырылуучу файлдар
Жогорудагы сүрөттө көрүнүп тургандай, Ryuk icacls.exe файлын ишке киргизет, ал бардык ACLлерди (Access control lists) өзгөртүү үчүн колдонулат, ошентип желектердин жеткиликтүүлүгүн жана модификациясын камсыздайт.
Ал каталарга (/C) жана эч кандай билдирүүлөрдү көрсөтпөстөн (/Q) түзмөктөгү бардык файлдарга (/T) бардык колдонуучуларга толук мүмкүнчүлүк алат.
Райс. 15: Үлгү тарабынан ишке icacls.exe аткаруу параметрлери
Белгилей кетчү нерсе, Ryuk сиз иштеп жаткан Windowsтун кайсы версиясын текшерет. Бул учун ал
колдонуу менен версия текшерүү жүргүзөт GetVersionExW, анда ал желектин маанисин текшерет lpVersionInformationWindowsтун учурдагы версиясы жаңыраак экенин көрсөтүп турат Windows XP.
Windows XPден кийинки версияны иштетип жатканыңызга жараша, жүктөөчү жергиликтүү колдонуучу папкасына жазат - бул учурда папкага %Коомдук%.
Райс. 17: Иштөө тутумунун версиясын текшерүү
Жазылып жаткан файл Рюк. Андан кийин ал өзүнүн дарегин параметр катары өткөрүп, аны иштетет.
Райс. 18: Ryukту ShellExecute аркылуу аткарыңыз
Ryuk кылган биринчи нерсе - киргизүү параметрлерин кабыл алуу. Бул жолу эки киргизүү параметри (аткаруучунун өзү жана тамчылатуучу дареги) бар, алар өзүнүн изин жок кылуу үчүн колдонулат.
Райс. 19: Процессти түзүү
Ошондой эле, анын аткарылуучу файлдарын иштеткенден кийин, ал өзүн жок кылып, ал аткарылган папкада өзүнүн катышуусунун изин калтырбай турганын көрө аласыз.
Райс. 20: Файлды жок кылуу
5. РЮК
5.1 Болушу
Ryuk, башка зыяндуу программалар сыяктуу эле, системада мүмкүн болушунча көпкө калууга аракет кылат. Жогоруда көрсөтүлгөндөй, бул максатка жетүүнүн бир жолу - аткарылуучу файлдарды жашыруун түзүү жана иштетүү. Бул үчүн, эң кеңири таралган практика реестр ачкычын өзгөртүү болуп саналат CurrentVersionRun.
Бул учурда, сиз бул максат үчүн биринчи файлды ишке киргизүүнү көрө аласыз VWjRF.exe
(файлдын аты туш келди түзүлгөн) ишке киргизет cmd.exe.
Райс. 21: VWjRF.exe аткарылууда
Андан кийин буйрукту киргизиңиз RUN аты менен"svchos". Ошентип, эгер сиз каалаган убакта реестр ачкычтарын текшергиңиз келсе, бул аталыштын svchost менен окшоштугун эске алганда, бул өзгөртүүнү оңой эле өткөрүп жиберсеңиз болот. Бул ачкычтын аркасында Рюк анын системада болушун камсыздайт. Эгерде системада жок болсо. дагы жуккан болсо, анда сиз системаны кайра жүктөгөнүңүздө, аткарылуучу файл кайра аракет кылат.
Райс. 22: Үлгү реестр ачкычында болушун камсыздайт
Бул аткарылуучу эки кызматты токтоторун да көрө алабыз:
"audioendpointbuilder", анын аты айтып тургандай, системалык аудиого туура келет,
Райс. 23: Үлгү системанын аудио кызматын токтотот
и Samss, бул эсеп башкаруу кызматы. Бул эки кызматты токтотуу Рюктун өзгөчөлүгү. Бул учурда, система SIEM системасына туташкан болсо, ransomware жөнөтүүнү токтотууга аракет кылат. кандайдыр бир эскертүүлөр. Ошентип, ал өзүнүн кийинки кадамдарын коргойт, анткени кээ бир SAM кызматтары Рюкту аткаргандан кийин ишин туура баштай албайт.
Райс. 24: Үлгү Samss кызматын токтотот
5.2 Артыкчылыктар
Жалпысынан алганда, Ryuk тармак ичинде каптал жылып баштайт же башка зыяндуу программа тарабынан ишке киргизилет, мисалы же , артыкчылыктар жогорулаган учурда, бул жогорулатылган укуктарды ransomware программасына өткөрүп берет.
Алдын ала, ишке ашыруу процессинин прелюдиясы катары биз анын процессти аткарып жатканын көрүп турабыз ImpersonateSelf, бул кирүү токенинин коопсуздук мазмуну агымга өтүп, ал жерден дароо алынып салынат дегенди билдирет. GetCurrentThread.
Райс. 25: ImpersonateSelf деп атаңыз
Андан кийин биз ал кирүү белгисин жип менен байланыштырарын көрөбүз. Байрактардын бири экенин да көрүп турабыз DesiredAccess, ал жипке ээ боло турган мүмкүнчүлүктү көзөмөлдөө үчүн колдонулушу мүмкүн. Бул учурда edx ала турган маани болушу керек TOKEN_ALL_ACESS же башка - TOKEN_WRITE.
Райс. 26: Агым Токенин түзүү
Андан кийин ал колдонот SeDebugPrivilege жана жипте мүчүлүштүктөрдү оңдоо уруксаттарын алуу үчүн чалуу жасайт, натыйжада PROCESS_ALL_ACCESS, ал каалаган процесске кире алат. Эми, шифрлөөчүнүн даярдалган агымы бар экенин эске алганда, акыркы баскычка өтүү гана калды.
Күрүч. 27: SeDebugPrivilege жана Privilege Escalation функциясын чакыруу
Бир жагынан, бизде LookupPrivilegeValueW бар, ал бизге жогорулагыбыз келген артыкчылыктар жөнүндө керектүү маалыматты берет.
Райс. 28: Артыкчылыктарды жогорулатуу үчүн артыкчылыктар жөнүндө маалымат сураңыз
Экинчи жагынан, бизде бар AdjustTokenPrivileges, бул биздин агымга керектүү укуктарды алууга мүмкүндүк берет. Бул учурда, абдан маанилүү нерсе болуп саналат NewState, кимдин желеги артыкчылыктарды берет.
Райс. 29: Токенге уруксаттарды орнотуу
5.3 Ишке ашыруу
Бул бөлүмдө биз үлгү бул отчетто мурда айтылган ишке ашыруу процессин кантип аткарарын көрсөтөбүз.
Ишке ашыруу процессинин, ошондой эле эскалациялоонун негизги максаты – мүмкүндүк алуу көмүскө көчүрмөлөрү. Бул үчүн, ал жергиликтүү колдонуучунун укуктары жогору болгон жип менен иштеши керек. Ал ушундай жогорулатылган укуктарга ээ болгондон кийин, операциялык тутумдагы мурунку калыбына келтирүү чекитине кайтып келүү мүмкүн болбой калуу үчүн көчүрмөлөрдү жок кылат жана башка процесстерге өзгөртүүлөрдү киргизет.
Кесепеттүү программанын бул түрүнө мүнөздүү болгондой, ал колдонот CreateToolHelp32Snapshotошондуктан ал учурда иштеп жаткан процесстердин сүрөтүн алат жана ошол процесстерди колдонуу менен кирүүгө аракет кылат OpenProcess. Процесске кирүү мүмкүнчүлүгүнө ээ болгондон кийин, процесстин параметрлерин алуу үчүн анын маалыматы менен белги ачат.
Райс. 30: Компьютерден процесстерди алуу
CreateToolhelp140002Snapshot аркылуу 9D32C режиминде иштеп жаткан процесстердин тизмесин кантип алгандыгын динамикалык түрдө көрө алабыз. Аларды алгандан кийин, ал тизмеден өтүп, ийгиликке жеткенге чейин OpenProcess аркылуу процесстерди бирден ачууга аракет кылат. Бул учурда, ал ача алган биринчи жараян болду "taskhost.exe".
Райс. 31: Процессти алуу үчүн процедураны динамикалык түрдө аткаруу
Биз аны кийинчерээк процесстин энбелгиси маалыматын окуп жатканын көрө алабыз, ошондуктан ал чакырат OpenProcessToken параметр менен "20008"
Райс. 32: Токен маалыматын окуу
Ошондой эле ал сайыла турган процесстин жок экендигин текшерет csrss.exe, explorer.exe, lsaas.exe же анын укуктарынын жыйындысы бар экенин NT бийлиги.
Райс. 33: Чыгарылган процесстер
Биз динамикалык түрдө процесстин энбелгиси маалыматын колдонуп, анын текшерүүнү биринчи жолу кантип аткарарын көрө алабыз 140002D9C Процессти аткаруу үчүн укуктары колдонулуп жаткан эсеп эсеп экендигин билүү үчүн NT AUTORITY.
Райс. 34: NT AUTORITY текшерүү
Кийинчерээк, процедурадан тышкары, ал мындай эмес экенин текшерет csrss.exe, explorer.exe же lsaas.exe.
Райс. 35: NT AUTORITY текшерүү
Ал процесстердин сүрөтүн тартып, процесстерди ачып, алардын бири да четте калбаганын текшергенден кийин, ал инъекцияга киргизиле турган процесстерди эсине жазууга даяр.
Бул үчүн, биринчиден, ал эстутумда аймакты сактайт (VirtualAllocEx), ага жазат (WriteProcessmemory) жана жипти түзөт (CreateRemoteThread). Бул функциялар менен иштөө үчүн, ал мурда колдонуп алган тандалган процесстердин PIDдерин колдонот CreateToolhelp32Snapshot.
Райс. 36: Кодду киргизүү
Бул жерде биз динамикалык түрдө анын функцияны чакыруу үчүн PID процессин кантип колдонорун байкай алабыз VirtualAllocEx.
Райс. 37: VirtualAllocEx чакырыңыз
5.4 Шифрлөө
Бул бөлүмдө биз бул үлгүнүн шифрлөө бөлүгүн карап чыгабыз. Төмөнкү сүрөттө сиз "деп аталган эки подпрограмманы көрө аласыз.LoadLibrary_EncodeString"и"Encode_Func", алар шифрлөө процедурасын аткаруу үчүн жооптуу.
Райс. 38: Шифрлөө процедуралары
Башында биз анын сапты кантип жүктөгөнүн көрө алабыз, ал кийинчерээк керектүү нерселердин бардыгын: импорттор, DLLлер, буйруктар, файлдар жана CSP'лерди жоюу үчүн колдонулат.
Райс. 39: Деобфузация схемасы
Төмөнкү сүрөттө ал R4 регистринде өчүрүлгөн биринчи импорт көрсөтүлгөн. LoadLibrary. Бул кийинчерээк керектүү DLL файлдарын жүктөө үчүн колдонулат. Биз R12 регистринде дагы бир сызыкты көрө алабыз, ал мурунку сап менен бирге деобфузацияны аткаруу үчүн колдонулат.
Күрүч. 40: Динамикалык деобфузация
Ал камдык көчүрмөлөрдү, калыбына келтирүү чекиттерин жана коопсуз жүктөө режимдерин өчүрүү үчүн кийинчерээк иштей турган буйруктарды жүктөп алууну улантууда.
Райс. 41: Жүктөө буйруктары
Андан кийин ал 3 файлды таштай турган жерди жүктөйт: Windows.bat, run.sct и start.bat.
Райс. 42: Файлдардын жайгашкан жерлери
Бул 3 файл ар бир жерде болгон артыкчылыктарды текшерүү үчүн колдонулат. Керектүү артыкчылыктар жок болсо, Рюк аткарууну токтотот.
Ал үч файлга тиешелүү саптарды жүктөөнү улантат. Алгачкы, DECRYPT_INFORMATION.html, файлдарды калыбына келтирүү үчүн керектүү маалыматты камтыйт. Экинчи, КООМДУК, RSA ачык ачкычын камтыйт.
Райс. 43: Line DECRYPT INFORMATION.html
Үчүнчү, UNIQUE_ID_АЛБАЙТ, шифрлөө үчүн кийинки процедурада колдонула турган шифрленген ачкычты камтыйт.
Райс. 44: Line UNIQUE ID АЛЫП АЛБАЙТ
Акыр-аягы, ал керектүү импорт жана CSP менен бирге керектүү китепканаларды жүктөп алат (Microsoft Enhanced RSA и AES криптографиялык камсыздоочу).
Райс. 45: Китепканаларды жүктөө
Бардык деобфузация аяктагандан кийин, ал шифрлөө үчүн зарыл болгон аракеттерди аткарууга киришет: бардык логикалык дисктерди санап чыгуу, мурунку режимде жүктөлгөндөрдү аткаруу, системада болушун күчөтүү, RyukReadMe.html файлын ыргытуу, шифрлөө, бардык тармактык дисктерди санап чыгуу. , аныкталган түзмөктөргө өтүү жана аларды шифрлөө.
Баары жүктөөдөн башталат"cmd.exe"жана RSA ачык ачкыч жазуулары.
Райс. 46: Шифрлөөгө даярданууда
Андан кийин ал бардык логикалык дисктерди колдонот GetLogicalDrives жана бардык камдык көчүрмөлөрдү, калыбына келтирүү пункттарын жана коопсуз жүктөө режимдерин өчүрөт.
Райс. 47: Калыбына келтирүү куралдарын өчүрүү
Андан кийин, биз жогоруда көргөндөй, системада өзүнүн катышуусун бекемдейт жана биринчи файлды жазат RyukReadMe.html в ТЕМП.
Райс. 48: Кун жөнүндө билдирүүнү жарыялоо
Төмөнкү сүрөттө сиз анын файлды кантип түзөрүн, мазмунду жүктөп алып, аны кантип жазып жатканын көрө аласыз:
Райс. 49: Файлдын мазмунун жүктөө жана жазуу
Бардык түзмөктөрдө бирдей аракеттерди жасай алуу үчүн, ал колдонот
"icacls.exe", биз жогоруда көрсөткөндөй.
Райс. 50: icalcls.exe колдонуу
Акыр-аягы, ал “*.exe”, “*.dll” файлдарынан, системалык файлдардан жана шифрленген ак тизме түрүндө көрсөтүлгөн башка жерлерден башка файлдарды шифрлей баштайт. Бул үчүн, ал импортту колдонот: CryptAcquireContextW (AES жана RSA колдонуу көрсөтүлгөн жерде), CryptDeriveKey, CryptGenKey, CryptDestroyKey жана башкалар. Ал ошондой эле WNetEnumResourceW аркылуу табылган тармактык түзмөктөргө жетүүнү кеңейтүүгө жана аларды шифрлоого аракет кылат.
Райс. 51: Системалык файлдарды шифрлөө
6. Импорт жана тиешелүү желектер
Төмөндө үлгү тарабынан колдонулган эң тиешелүү импорт жана желектердин тизмеси келтирилген таблица:
7. IOC
шилтемелер
- usersPublicrun.sct
- Start MenuProgramsStartupstart.bat AppDataRoamingMicrosoftWindowsStart
- MenuProgramsStartupstart.bat
Ryuk ransomware боюнча техникалык отчет PandaLabs антивирустук лабораториясынын эксперттери тарабынан түзүлгөн.
8. Шилтемелер
1. “Everis y Prisa Radio тутумдарын коопсуз кибератадан сактайт.”https://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, Publicada el 04/11/2019.
2. “Испаниядагы эң маанилүү вирустун чыгышы.” https: //elpais.com/tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, Publicada el 04/11/2019.
3. “VB2019 кагазы: Шинигаминин өчү: Ryuk зыяндуу программасынын узун куйругу.” https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, Publicada el 11 /12/2019
4. "Рюк менен чоң оюнга аңчылык кылуу: дагы бир кирешелүү максаттуу Ransomware."https://www. crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/, Publicada el 10/01/2019.
5. “VB2019 кагазы: Шинигаминин өчү: Ryuk зыяндуу программасынын узун куйругу.” https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigamis-revenge-long-tail-r
Source: www.habr.com