Како функционира Ryuk ransomware, кој напаѓа бизниси

Ryuk е една од најпознатите опции за откуп во последните неколку години. Откако првпат се појави во летото 2018 година, собра импресивен список на жртви, особено во деловното опкружување кое е главната цел на нејзините напади.

1. Општи информации

Овој документ содржи анализа на варијантата на Ryuk ransomware, како и натоварувачот одговорен за вчитување на малициозен софтвер во системот.

Откупниот софтвер Ryuk првпат се појави во летото 2018 година. Една од разликите помеѓу Ryuk и другиот ransomware е тоа што тој е насочен кон напад на корпоративни средини.

Во средината на 2019 година, сајбер криминалните групи нападнаа огромен број шпански компании користејќи го овој откуп.

Ориз. 1: Извадок од El Confidencial во врска со нападот на Ryuk ransomware [1]

Ориз. 2: Извадок од Ел Паис за напад извршен со помош на откупниот софтвер Ryuk [2]
Оваа година, Ryuk нападна голем број компании во различни земји. Како што можете да видите на сликите подолу, Германија, Кина, Алжир и Индија беа најтешко погодени.

Со споредување на бројот на сајбер напади, можеме да видиме дека Ryuk влијаеше на милиони корисници и компромитира огромна количина на податоци, што резултираше со сериозна економска загуба.

Ориз. 3: Илустрација на глобалната активност на Рјук.

Ориз. 4: 16 земји најпогодени од Рјук

Ориз. 5: Број на корисници нападнати од Ryuk ransomware (во милиони)

Според вообичаениот принцип на работа на таквите закани, овој откупен софтвер, по завршувањето на шифрирањето, ѝ покажува на жртвата известување за откуп што мора да се плати во биткоини на наведената адреса за да се врати пристапот до шифрираните датотеки.

Овој малициозен софтвер се промени откако беше првпат претставен.
Варијантата на оваа закана анализирана во овој документ беше откриена при обид за напад во јануари 2020 година.

Поради својата сложеност, овој малициозен софтвер често се припишува на организирани сајбер-криминални групи, познати и како APT групи.

Дел од кодот Ryuk има забележлива сличност со кодот и структурата на друг добро познат ransomware, Hermes, со кој споделуваат голем број идентични функции. Ова е причината зошто Рјук првично беше поврзан со севернокорејската група Лазарус, која во тоа време беше осомничена дека стои зад откупниот софтвер Хермес.

Услугата Falcon X на CrowdStrike последователно забележа дека Ryuk всушност бил создаден од групата WIZARD SPIDER [4].

Постојат некои докази за поддршка на оваа претпоставка. Прво, овој откупен софтвер беше рекламиран на веб-страницата exploit.in, која е добро познат руски пазар за малициозен софтвер и претходно беше поврзан со некои руски APT групи.
Овој факт ја исклучува теоријата дека Рјук можел да биде развиен од групата Лазар АПТ, бидејќи тоа не се вклопува со начинот на кој функционира групата.

Покрај тоа, Ryuk беше рекламиран како ransomware кој нема да работи на руски, украински и белоруски системи. Ова однесување е одредено од функцијата што се наоѓа во некои верзии на Ryuk, каде што го проверува јазикот на системот на кој работи откупниот софтвер и го запира неговото работење доколку системот има руски, украински или белоруски јазик. Конечно, експертска анализа на машината што беше хакирана од тимот на WIZARD SPIDER откри неколку „артефакти“ кои наводно биле користени во развојот на Ryuk како варијанта на откупниот софтвер Hermes.

Од друга страна, експертите Габриела Николао и Лучијано Мартинс сугерираа дека откупниот софтвер можеби е развиен од групата APT CryptoTech [5].
Ова произлегува од фактот дека неколку месеци пред појавувањето на Ryuk, оваа група објави информации на форумот на истата страница дека развиле нова верзија на ransomware-от Hermes.

Неколку корисници на форумот се сомневаа дали CryptoTech навистина го создала Ryuk. Групата потоа се бранеше и изјави дека има докази дека развиле 100% од откупниот софтвер.

2. Карактеристики

Започнуваме со подигнувачот, чија задача е да го идентификува системот на кој е вклучен за да може да се стартува „точната“ верзија на откупниот софтвер Ryuk.
Хешот на подигнувачот е како што следува:

MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469

Една од карактеристиките на овој симнувач е тоа што не содржи никакви метаподатоци, т.е. Креаторите на овој малициозен софтвер не вклучиле никакви информации во него.

Понекогаш тие вклучуваат погрешни податоци за да го измамат корисникот да мисли дека работи легитимна апликација. Меѓутоа, како што ќе видиме подоцна, ако инфекцијата не вклучува интеракција со корисникот (како што е случајот со овој откупен софтвер), тогаш напаѓачите не сметаат дека е неопходно да користат метаподатоци.

Ориз. 6: Примерок на мета податоци

Примерокот беше компајлиран во 32-битен формат за да може да работи и на 32-битни и 64-битни системи.

3. Вектор на пенетрација

Примерокот што го презема и работи Ryuk влезе во нашиот систем преку далечинско поврзување, а параметрите за пристап беа добиени преку прелиминарен напад на RDP.

Ориз. 7: Регистар за напад

Напаѓачот успеа да се логира во системот од далечина. После тоа, тој создаде извршна датотека со нашиот примерок.
Оваа извршна датотека беше блокирана од антивирусно решение пред да се стартува.

Ориз. 8: Заклучување на моделот

Ориз. 9: Заклучување на моделот

Кога злонамерната датотека била блокирана, напаѓачот се обидел да преземе шифрирана верзија на извршната датотека, која исто така била блокирана.

Ориз. 10: Збир на примероци што напаѓачот се обидел да ги изврши

Конечно, тој се обиде да преземе уште една злонамерна датотека преку шифрираната конзола
PowerShell да ја заобиколи антивирусната заштита. Но и тој беше блокиран.

Ориз. 11: PowerShell со злонамерна содржина е блокиран


Ориз. 12: PowerShell со злонамерна содржина е блокиран

4. Натоварувач

Кога ќе се изврши, пишува ReadMe датотека во папката % temp%, што е типично за Рјук. Оваа датотека е белешка за откуп што содржи адреса на е-пошта во доменот на protonmail, што е доста честа појава во ова семејство на малициозен софтвер: [заштитена по е-пошта]

Ориз. 13: Барање за откуп

Додека работи подигнувачот, можете да видите дека стартува неколку извршни датотеки со случајни имиња. Тие се чуваат во скриена папка ЈАВНО, но ако опцијата не е активна во оперативниот систем „Прикажи скриени датотеки и папки“, тогаш тие ќе останат скриени. Покрај тоа, овие датотеки се 64-битни, за разлика од матичната датотека, која е 32-битна.

Ориз. 14: Извршни датотеки лансирани од примерокот

Како што можете да видите на сликата погоре, Ryuk го лансира icacls.exe, кој ќе се користи за менување на сите ACL (списоци за контрола на пристап), со што се обезбедува пристап и модификација на знаменцата.

Добива целосен пристап кај сите корисници до сите датотеки на уредот (/T) без оглед на грешките (/C) и без прикажување пораки (/Q).

Ориз. 15: Параметри за извршување на icacls.exe лансирани од примерокот

Важно е да се напомене дека Ryuk проверува која верзија на Windows ја користите. За ова тој
врши проверка на верзијата користејќи GetVersionExW, во која ја проверува вредноста на знамето lpVersionInformationшто покажува дали тековната верзија на Windows е понова од Windows XP.

Во зависност од тоа дали користите верзија подоцна од Windows XP, подигнувачот ќе запише во папката локалниот корисник - во овој случај во папката %Јавно%.

Ориз. 17: Проверка на верзијата на оперативниот систем

Датотеката што се пишува е Ryuk. Потоа го извршува, пренесувајќи своја сопствена адреса како параметар.

Ориз. 18: Извршете го Ryuk преку ShellExecute

Првата работа што ја прави Ryuk е да ги прима влезните параметри. Овој пат има два влезни параметри (самата извршна датотека и адресата за капка) кои се користат за отстранување на сопствените траги.

Ориз. 19: Креирање на процес

Можете исто така да видите дека откако ќе ги изврши своите извршни датотеки, тој се брише самиот себе, со што не остава трага од сопственото присуство во папката каде што е извршена.

Ориз. 20: Бришење датотека

5. РЈУК

5.1 Присуство
Ryuk, како и другите малициозен софтвер, се обидува да остане на системот што е можно подолго. Како што е прикажано погоре, еден начин да се постигне оваа цел е тајно да се креираат и стартуваат извршните датотеки. За да го направите ова, најчеста практика е да го смените клучот во регистарот CurrentVersionRun.
Во овој случај, можете да видите дека за таа цел првата датотека треба да биде лансирана VWjRF.exe
(името на датотеката се генерира по случаен избор) се стартува cmd.exe.

Ориз. 21: Извршување на VWjRF.exe

Потоа внесете ја командата RUN Со име“svchos". Така, ако сакате да ги проверите клучевите во регистарот во секое време, можете лесно да ја пропуштите оваа промена, со оглед на сличноста на ова име со svchost. Благодарение на овој клуч, Ryuk го обезбедува своето присуство во системот. Ако системот не уште сте заразени, тогаш кога ќе го рестартирате системот, извршната датотека ќе се обиде повторно.

Ориз. 22: Примерокот обезбедува присуство во регистарскиот клуч

Можеме да видиме и дека оваа извршна датотека запира две услуги:
"градител на аудио завршни точки", што, како што сугерира неговото име, одговара на системското аудио,

Ориз. 23: Примерокот ја запира системската аудио услуга

и Самс, што е услуга за управување со сметки. Запирањето на овие две услуги е карактеристика на Рјук. Во овој случај, ако системот е поврзан со SIEM систем, откупниот софтвер се обидува да престане да испраќа до СИЕМ какви било предупредувања. На овој начин, тој ги штити неговите следни чекори бидејќи некои SAM сервиси нема да можат правилно да ја започнат својата работа по извршувањето на Ryuk.

Ориз. 24: Примерокот ја запира услугата Самс

5.2 Привилегии

Општо земено, Ryuk започнува со движење странично во мрежата или е лансиран од друг малициозен софтвер, како на пр. Emotet или Trickbot, кои, во случај на зголемување на привилегиите, ги пренесуваат овие зголемени права на откупниот софтвер.

Претходно, како увертира во процесот на имплементација, го гледаме како го спроведува процесот Претстави се себеси, што значи дека безбедносната содржина на токенот за пристап ќе биде предадена на преносот, каде што веднаш ќе биде преземена со користење GetCurrentThread.

Ориз. 25: Јавете се на имитирајте се

Потоа гледаме дека ќе поврзе токен за пристап со нишка. Гледаме и дека едно од знамињата е Посакуван пристап, кој може да се користи за контрола на пристапот што ќе го има нишката. Во овој случај вредноста што ќе ја добие edx треба да биде TOKEN_ALL_ACESS или на друг начин - TOKEN_WRITE.

Ориз. 26: Креирање токен за проток

Потоа ќе користи SeDebugPrivilege и ќе упати повик за добивање дозволи за отстранување грешки на нишката, што резултира со PROCESS_ALL_ACCESS, тој ќе може да пристапи до секој потребен процес. Сега, имајќи предвид дека енкрипторот веќе има подготвен поток, останува само да се премине во последната фаза.

Ориз. 27: Повикување на функцијата SeDebugPrivilege и Excalation Privilege

Од една страна, го имаме LookupPrivilegeValueW, кој ни ги дава потребните информации за привилегиите што сакаме да ги зголемиме.

Ориз. 28: Побарајте информации за привилегиите за зголемување на привилегиите

Од друга страна, имаме AdjustTokenPrivileges, што ни овозможува да ги добиеме потребните права за нашиот поток. Во овој случај, најважно е NewState, чие знаме ќе дава привилегии.

Ориз. 29: Поставување дозволи за токен

5.3 Имплементација

Во овој дел, ќе покажеме како примерокот го извршува процесот на имплементација претходно споменат во овој извештај.

Главната цел на процесот на имплементација, како и ескалацијата, е да се добие пристап до копии во сенка. За да го направите ова, тој треба да работи со нишка со права повисоки од оние на локалниот корисник. Откако ќе добие такви зголемени права, ќе ги брише копии и ќе направи промени во другите процеси со цел да го оневозможи враќањето на претходната точка за враќање во оперативниот систем.

Како што е типично со овој тип на малициозен софтвер, тој користи CreateToolHelp32Snapshotпа зема слика од тековните процеси и се обидува да пристапи до тие процеси користејќи OpenProcess. Откако ќе добие пристап до процесот, отвора и токен со неговите информации за да ги добие параметрите на процесот.

Ориз. 30: Враќање процеси од компјутер

Можеме динамички да видиме како ја добива листата на процеси кои се извршуваат во рутинскиот 140002D9C користејќи CreateToolhelp32Snapshot. Откако ќе ги добие, тој оди низ списокот, обидувајќи се да ги отвори процесите еден по еден користејќи OpenProcess додека не успее. Во овој случај, првиот процес што можеше да го отвори беше "taskhost.exe".

Ориз. 31: Динамички извршете постапка за да добиете процес

Можеме да видиме дека последователно ги чита информациите за процесниот токен, па се јавува OpenProcessToken со параметар "20008"

Ориз. 32: Прочитајте ги информациите за процесниот токен

Исто така, проверува дали процесот во кој ќе се инјектира не е csrss.exe, explorer.exe, lsaas.exe или дека има збир на права НТ орган.

Ориз. 33: Исклучени процеси

Можеме динамички да видиме како прво ја врши проверката користејќи ги информациите за процесниот токен во 140002D9C со цел да се открие дали сметката чии права се користат за извршување на процес е сметка НТ ВЛАСТ.

Ориз. 34: НТ ОРГАНСКА проверка

А подоцна надвор од процедура проверува да не е тоа csrss.exe, explorer.exe или lsaas.exe.

Ориз. 35: НТ ОРГАНСКА проверка

Откако ќе направи слика од процесите, ќе ги отвори процесите и ќе потврди дека ниту еден од нив не е исклучен, тој е подготвен да ги запише во меморијата процесите што ќе бидат инјектирани.

За да го направите ова, прво резервира област во меморијата (VirtualAllocEx), пишува во него (WriteProcessmemory) и создава нишка (CreateRemoteThread). За да работи со овие функции, ги користи PID-ите на избраните процеси, кои претходно ги добил користејќи ги CreateToolhelp32Snapshot.

Ориз. 36: Вградување на код

Овде можеме динамички да набљудуваме како го користи процесот PID за да ја повика функцијата VirtualAllocEx.

Ориз. 37: Јавете се на VirtualAllocEx

5.4 Шифрирање
Во овој дел, ќе го разгледаме делот за шифрирање на овој примерок. На следната слика можете да видите две потпрограми наречени „LoadLibrary_EncodeString"И"Encode_Func“, кои се одговорни за извршување на процедурата за шифрирање.

Ориз. 38: Процедури за шифрирање

На почетокот можеме да видиме како вчитува низа што подоцна ќе се користи за деобфусирање на сè што е потребно: увоз, DLL, команди, датотеки и CSP.

Ориз. 39: Коло за деобфускација

Следната слика го прикажува првиот увоз што го деобфускува во регистарот R4. Вчитај библиотека. Ова ќе се користи подоцна за да се вчитаат потребните DLL-датотеки. Можеме да видиме и друга линија во регистарот R12, кој се користи заедно со претходната линија за да се изврши деобфускација.

Ориз. 40: Динамична деобфускација

Продолжува да презема команди што ќе ги извршува подоцна за да ги оневозможи резервните копии, точките за обновување и режимите за безбедно подигање.

Ориз. 41: Вчитување на команди

Потоа ја вчитува локацијата каде што ќе испушти 3 датотеки: Windows.bat, run.sct и започнете.бој.

Ориз. 42: Локации на датотеки

Овие 3 датотеки се користат за проверка на привилегиите што ги има секоја локација. Ако потребните привилегии не се достапни, Ryuk го прекинува извршувањето.

Продолжува да ги вчитува линиите што одговараат на трите датотеки. Прво, DECRYPT_INFORMATION.html, содржи информации неопходни за враќање на датотеките. Второ, ЈАВНО, го содржи јавниот клуч RSA.

Ориз. 43: Линија ДЕКРИПТИРАЈ ИНФОРМАЦИИ.html

Трето, UNIQUE_ID_НЕ_ОТСТРАНУВАЈ, го содржи шифрираниот клуч што ќе се користи во следната рутина за извршување на шифрирањето.

Ориз. 44: Линија ЕДИНСТВЕН ИД НЕ ОТСТРАНУВАЈТЕ

Конечно, ги презема потребните библиотеки заедно со потребниот увоз и CSP (Microsoft Enhanced RSA и AES криптографски провајдер).

Ориз. 45: Вчитување библиотеки

Откако ќе заврши целата деобфускација, продолжува со извршување на дејствата потребни за шифрирање: набројување на сите логички дискови, извршување на вчитаното во претходната рутина, зајакнување на присуството во системот, фрлање на датотеката RyukReadMe.html, шифрирање, набројување на сите мрежни дискови , транзиција кон откриени уреди и нивно шифрирање.
Сè започнува со вчитување“cmd.exe“ и RSA записи со јавен клуч.

Ориз. 46: Подготовка за шифрирање

Потоа ги добива сите логички дискови со користење GetLogicalDrives и ги оневозможува сите резервни копии, точки за обновување и режими за безбедно подигање.

Ориз. 47: Деактивирање на алатките за обновување

После тоа, го зајакнува своето присуство во системот, како што видовме погоре, и ја пишува првата датотека RyukReadMe.html в TEMP.

Ориз. 48: Објавување на известување за откуп

На следната слика можете да видите како креира датотека, ја презема содржината и ја запишува:

Ориз. 49: Вчитување и пишување на содржината на датотеката

За да може да ги извршува истите дејства на сите уреди, тој користи
"icacls.exe“, како што покажавме погоре.

Ориз. 50: Користење icalcls.exe

И, конечно, започнува со шифрирање на датотеки, освен за датотеките „*.exe“, „*.dll“, системските датотеки и други локации наведени во форма на шифрирана бела листа. За да го направите ова, користи увоз: CryptAcquireContextW (каде што е наведена употребата на AES и RSA), CryptDeriveKey, CryptGenKey, CryptDestroyKey итн. Исто така, се обидува да го прошири својот досег до откриените мрежни уреди користејќи WNetEnumResourceW и потоа да ги шифрира.

Ориз. 51: Шифрирање системски датотеки

6. Увоз и соодветни знамиња

Подолу е табела која ги наведува најрелевантните увози и знамиња користени од примерокот:

7. МОК

референци

• usersPublicrun.sct
• Start MenuProgramsStartupstart.bat AppDataRoamingMicrosoftWindowsStart
• MenuProgramsStartupstart.bat

Технички извештај за Ryuk ransomware беше составен од експерти од антивирусната лабораторија PandaLabs.

8. Врски

1. „Everis y Prisa Radio sufren un grave ciberataque que secuestra sus sistemas.“https://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, Publicada el 04/11/2019.

2. „Un virus de origen ruso ataca a importantes empresas españolas.“ https: //elpais.com/tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, Publicada el 04/11/2019.

3. „ВБ2019 хартија: Одмаздата на Шинигами: долгата опашка на малициозниот софтвер Ryuk.“ https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, Публикада ел 11 /12/2019

4. „Лов на голема игра со Ryuk: Уште еден профитабилен таргетиран Ransomware“.https://www. crowdstrike.com/blog/big-game-hunting-with-ryuk-nother-locrative-targeted-ransomware/, Публикада на 10 година.

5. „Хартија VB2019: Одмаздата на Шинигами: долгата опашка на малициозниот софтвер Ryuk.“ https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigami-revenge-long-tail-r

Извор: www.habr.com