🥇 कसरी Ryuk ransomware ले काम गर्दछ, जसले उद्यमहरूलाई आक्रमण गर्दछ

Ryuk पछिल्ला केही वर्षहरूमा सबैभन्दा प्रसिद्ध ransomware विकल्पहरू मध्ये एक हो। यो पहिलो पटक 2018 को गर्मी मा देखा पर्यो, यो सङ्कलन भएको छ पीडितहरूको प्रभावशाली सूचीविशेष गरी व्यापारिक वातावरणमा, जुन यसको आक्रमणको मुख्य लक्ष्य हो।

1. सामान्य जानकारी

यस कागजातमा Ryuk ransomware संस्करणको विश्लेषण, साथै प्रणालीमा मालवेयर लोड गर्न जिम्मेवार लोडर समावेश छ।

Ryuk ransomware पहिलो पटक 2018 को गर्मी मा देखा पर्यो। Ryuk र अन्य ransomware बीचको भिन्नता यो हो कि यो कर्पोरेट वातावरणमा आक्रमण गर्ने उद्देश्य हो।

2019 को मध्यमा, साइबर अपराधी समूहहरूले यो ransomware प्रयोग गरेर ठूलो संख्यामा स्पेनिश कम्पनीहरूमा आक्रमण गरे।

चामल। 1: Ryuk ransomware आक्रमणको सन्दर्भमा एल गोपनीयबाट अंश [१]

चामल। 2: Ryuk ransomware प्रयोग गरेर गरिएको आक्रमणको बारेमा El Pais बाट अंश [2]
यो वर्ष, Ryuk विभिन्न देशहरूमा ठूलो संख्यामा कम्पनीहरूमा हमला गरेको छ। तपाईले तलको तथ्याङ्कमा देख्न सक्नुहुन्छ, जर्मनी, चीन, अल्जेरिया र भारत सबैभन्दा बढी प्रभावित थिए।

साइबर आक्रमणहरूको संख्या तुलना गरेर, हामी Ryuk ले लाखौं प्रयोगकर्ताहरूलाई असर गरेको र ठूलो मात्रामा डेटामा सम्झौता गरेको देख्न सक्छौं, परिणामस्वरूप गम्भीर आर्थिक क्षति।

चामल। 3: Ryuk को विश्वव्यापी गतिविधि को चित्रण।

चामल। 4: 16 देशहरू Ryuk बाट सबैभन्दा प्रभावित

चामल। 5: Ryuk ransomware द्वारा आक्रमण गरिएका प्रयोगकर्ताहरूको संख्या (लाखौंमा)

त्यस्ता धम्कीहरूको सामान्य सञ्चालन सिद्धान्त अनुसार, यो ransomware, एन्क्रिप्शन पूरा भएपछि, पीडितलाई फिरौती सूचना देखाउँदछ जुन ईन्क्रिप्टेड फाइलहरूमा पहुँच पुनर्स्थापित गर्न निर्दिष्ट ठेगानामा बिटकोइनहरूमा भुक्तान गर्नुपर्नेछ।

यो मालवेयर पहिलो पटक प्रस्तुत भएदेखि परिवर्तन भएको छ।
यस कागजातमा विश्लेषण गरिएको यो खतराको भिन्नता जनवरी २०२० मा आक्रमण प्रयासको क्रममा पत्ता लागेको थियो।

यसको जटिलताको कारण, यो मालवेयर प्राय: संगठित साइबर अपराधी समूहहरूलाई एपीटी समूहहरू पनि भनिन्छ।

Ryuk कोडको अंशमा अर्को प्रसिद्ध ransomware, Hermes को कोड र संरचनासँग उल्लेखनीय समानता छ, जसको साथ तिनीहरूले धेरै समान कार्यहरू साझा गर्छन्। यही कारणले गर्दा Ryuk सुरुमा उत्तर कोरियाली समूह लाजरससँग जोडिएको थियो, जुन समयमा हर्मेस ransomware पछाडि रहेको शंका थियो।

CrowdStrike को Falcon X सेवाले पछि उल्लेख गर्यो कि Ryuk वास्तवमा WIZARD SPIDER समूह [4] द्वारा बनाईएको हो।

यस धारणालाई समर्थन गर्न केही प्रमाणहरू छन्। पहिलो, यो ransomware वेबसाइट exploit.in मा विज्ञापित गरिएको थियो, जुन एक प्रसिद्ध रूसी मालवेयर बजार हो र पहिले केहि रूसी APT समूहहरु संग सम्बन्धित छ।
यो तथ्यले सिद्धान्तलाई अस्वीकार गर्छ कि Ryuk लाजरस एपीटी समूह द्वारा विकसित गरिएको हुन सक्छ, किनभने यो समूहको काम गर्ने तरिकासँग मेल खाँदैन।

थप रूपमा, Ryuk लाई ransomware को रूपमा विज्ञापन गरिएको थियो जुन रूसी, युक्रेनी र बेलारूसी प्रणालीहरूमा काम गर्दैन। यो व्यवहार Ryuk को केहि संस्करणहरूमा फेला परेको सुविधा द्वारा निर्धारण गरिन्छ, जहाँ यसले ransomware चलिरहेको प्रणालीको भाषा जाँच गर्दछ र यदि प्रणालीमा रूसी, युक्रेनी वा बेलारूसी भाषा छ भने यसलाई चल्नबाट रोक्छ। अन्तमा, WIZARD SPIDER टोलीद्वारा ह्याक गरिएको मेसिनको एक विशेषज्ञ विश्लेषणले धेरै "कलाकृतिहरू" प्रकट गर्‍यो जुन कथित रूपमा हर्मेस ransomware को एक संस्करणको रूपमा Ryuk को विकासमा प्रयोग गरिएको थियो।

अर्कोतर्फ, विज्ञहरू गेब्रिएला निकोलाओ र लुसियानो मार्टिनले सुझाव दिए कि र्यान्समवेयर एपीटी समूह क्रिप्टोटेक [५] द्वारा विकसित गरिएको हुन सक्छ।
यो तथ्यबाट पछ्याइएको छ कि Ryuk को उपस्थिति धेरै महिना अघि, यो समूहले उही साइटको फोरममा जानकारी पोस्ट गर्यो कि तिनीहरूले हर्मेस ransomware को नयाँ संस्करण विकसित गरेका थिए।

धेरै फोरम प्रयोगकर्ताहरूले प्रश्न गरे कि क्रिप्टोटेकले वास्तवमा Ryuk सिर्जना गर्यो। त्यसपछि समूहले आफूलाई बचायो र भन्यो कि तिनीहरूसँग 100% ransomware विकास भएको प्रमाण छ।

2. विशेषताहरू

हामी बुटलोडरसँग सुरु गर्छौं, जसको काम यो प्रणालीमा रहेको पहिचान गर्नु हो ताकि Ryuk ransomware को "सही" संस्करण सुरु गर्न सकिन्छ।
बुटलोडर ह्यास निम्नानुसार छ:

MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469

यस डाउनलोडरको विशेषताहरू मध्ये एक यो हो कि यसले कुनै मेटाडेटा समावेश गर्दैन, अर्थात्। यस मालवेयरका सिर्जनाकर्ताहरूले यसमा कुनै जानकारी समावेश गरेका छैनन्।

कहिलेकाहीँ तिनीहरूले गलत डाटा समावेश गर्दछ प्रयोगकर्तालाई उनीहरूले वैध अनुप्रयोग चलिरहेको छ भनेर सोच्न ठगाउन। यद्यपि, हामी पछि देख्नेछौं, यदि संक्रमणले प्रयोगकर्ताको अन्तरक्रिया समावेश गर्दैन (जस्तै यो ransomware को मामला हो), तब आक्रमणकारीहरूले मेटाडेटा प्रयोग गर्न आवश्यक ठान्दैनन्।

चामल। 6: नमूना मेटा डेटा

नमूना 32-बिट ढाँचामा कम्पाइल गरिएको थियो ताकि यो 32-बिट र 64-बिट प्रणालीहरूमा चल्न सक्छ।

3. प्रवेश भेक्टर

Ryuk डाउनलोड र चलाउने नमूना रिमोट जडान मार्फत हाम्रो प्रणालीमा प्रवेश गर्‍यो, र पहुँच प्यारामिटरहरू प्रारम्भिक RDP आक्रमण मार्फत प्राप्त गरियो।

चामल। 7: आक्रमण दर्ता

आक्रमणकारीले टाढैबाट प्रणालीमा लग इन गर्न सफल भयो। त्यस पछि, उहाँले हाम्रो नमूना संग एक कार्यान्वयन योग्य फाइल सिर्जना गर्नुभयो।
यो कार्यान्वयनयोग्य फाइल चल्नु अघि एन्टिभाइरस समाधान द्वारा अवरुद्ध गरिएको थियो।

चामल। 8: ढाँचा लक

चामल। 9: ढाँचा लक

जब मालिसियस फाइल ब्लक गरिएको थियो, आक्रमणकारीले कार्यान्वयनयोग्य फाइलको इन्क्रिप्टेड संस्करण डाउनलोड गर्ने प्रयास गर्यो, जुन पनि अवरुद्ध भएको थियो।

चामल। 10: नमूनाहरूको सेट जुन आक्रमणकारीले चलाउन खोज्यो

अन्तमा, उसले एन्क्रिप्टेड कन्सोल मार्फत अर्को खराब फाइल डाउनलोड गर्ने प्रयास गर्यो
एन्टिभाइरस सुरक्षा बाइपास गर्न PowerShell। तर उनी पनि अवरुद्ध भए ।

चामल। 11: खराब सामग्रीको साथ PowerShell अवरुद्ध

चामल। 12: खराब सामग्रीको साथ PowerShell अवरुद्ध

4. लोडर

जब यो कार्यान्वयन हुन्छ, यसले फोल्डरमा ReadMe फाइल लेख्छ % temp%, जुन Ryuk को लागि विशिष्ट छ। यो फाइल प्रोटोनमेल डोमेनमा इमेल ठेगाना समावेश भएको फिरौती नोट हो, जुन यो मालवेयर परिवारमा धेरै सामान्य छ: [ईमेल सुरक्षित]

चामल। 13: फिरौतीको माग

जब बूटलोडर चलिरहेको छ, तपाईले देख्न सक्नुहुन्छ कि यसले अनियमित नामहरूसँग धेरै कार्यान्वयनयोग्य फाइलहरू लन्च गर्दछ। तिनीहरू लुकेका फोल्डरमा भण्डारण गरिएका छन् सार्वजनिक, तर यदि विकल्प अपरेटिङ सिस्टममा सक्रिय छैन भने "लुकेका फाइल र फोल्डरहरू देखाउनुहोस्", तब तिनीहरू लुकेर बस्नेछन्। यसबाहेक, यी फाइलहरू 64-बिट हुन्, अभिभावक फाइलको विपरीत, जुन 32-बिट हो।

चामल। 14: नमूना द्वारा लन्च गरिएको कार्यान्वयन योग्य फाइलहरू

तपाईंले माथिको छविमा देख्न सक्नुहुन्छ, Ryuk ले icacls.exe सुरु गर्छ, जुन सबै ACLs (पहुँच नियन्त्रण सूचीहरू) परिमार्जन गर्न प्रयोग गरिनेछ, यसरी झण्डाहरूको पहुँच र परिमार्जन सुनिश्चित गर्दछ।

यसले त्रुटिहरू (/C) र कुनै सन्देशहरू (/Q) नदेखाई यन्त्र (/T) मा सबै फाइलहरूमा सबै प्रयोगकर्ताहरू अन्तर्गत पूर्ण पहुँच प्राप्त गर्दछ।

चामल। 15: नमूना द्वारा सुरु गरिएको icacls.exe को कार्यान्वयन मापदण्डहरू

यो नोट गर्नु महत्त्वपूर्ण छ कि Ryuk ले तपाइँले चलिरहेको Windows को कुन संस्करण जाँच गर्दछ। यसका लागि उनले
प्रयोग गरेर संस्करण जाँच गर्दछ GetVersionExW, जसमा यसले झण्डाको मूल्य जाँच गर्दछ lpVersion जानकारीविन्डोजको हालको संस्करण भन्दा नयाँ छ कि भनेर संकेत गर्दै विन्डोज एक्सपी.

तपाइँ Windows XP भन्दा पछिको संस्करण चलाउँदै हुनुहुन्छ कि भनी निर्भर गर्दै, बुट लोडरले स्थानीय प्रयोगकर्ता फोल्डरमा लेख्नेछ - यस अवस्थामा फोल्डरमा % सार्वजनिक%.

चामल। 17: अपरेटिङ सिस्टम संस्करण जाँच गर्दै

लेखिएको फाइल Ryuk हो। त्यसपछि यसलाई चलाउँछ, प्यारामिटरको रूपमा आफ्नै ठेगाना पास गर्दै।

चामल। 18: ShellExecute मार्फत Ryuk कार्यान्वयन गर्नुहोस्

Ryuk ले पहिलो कुरा इनपुट प्यारामिटरहरू प्राप्त गर्दछ। यस पटक त्यहाँ दुई इनपुट प्यारामिटरहरू छन् (कार्यान्वयनयोग्य आफै र ड्रपर ठेगाना) जुन यसको आफ्नै ट्रेसहरू हटाउन प्रयोग गरिन्छ।

चामल। 19: प्रक्रिया सिर्जना गर्दै

तपाईले यो पनि देख्न सक्नुहुन्छ कि एक पटक यसले यसको कार्यान्वयनयोग्यहरू चलाइसकेपछि, यसले आफैंलाई मेटाउँछ, यसरी यसलाई कार्यान्वयन गरिएको फोल्डरमा यसको आफ्नै उपस्थितिको कुनै ट्रेस छोड्दैन।

चामल। 20: फाइल मेटाउँदै

5. RYUK

5.1 उपस्थिति
Ryuk, अन्य मालवेयर जस्तै, सम्भव भएसम्म प्रणालीमा रहन प्रयास गर्दछ। माथि देखाइए अनुसार, यो लक्ष्य हासिल गर्ने एउटा तरिका गोप्य रूपमा कार्यान्वयनयोग्य फाइलहरू सिर्जना र चलाउन हो। यो गर्नको लागि, सबैभन्दा सामान्य अभ्यास रजिस्ट्री कुञ्जी परिवर्तन गर्न हो करेन्टभर्शनरुन.
यस अवस्थामा, तपाईंले यो उद्देश्यको लागि पहिलो फाइल सुरु गर्न देख्न सक्नुहुन्छ VWjRF.exe
(फाइल नाम अनियमित रूपमा उत्पन्न गरिएको छ) सुरु हुन्छ cmd.exe.

चामल। 21: VWjRF.exe कार्यान्वयन गर्दै

त्यसपछि आदेश प्रविष्ट गर्नुहोस् RUN नाम संग"svchos"यसैले, यदि तपाइँ कुनै पनि समयमा रजिस्ट्री कुञ्जीहरू जाँच गर्न चाहनुहुन्छ भने, तपाइँ सजिलैसँग यो परिवर्तन गुमाउन सक्नुहुन्छ, svchost सँग यो नामको समानता दिइएको छ। यो कुञ्जीलाई धन्यवाद, Ryuk ले प्रणालीमा यसको उपस्थिति सुनिश्चित गर्दछ। यदि प्रणालीमा छैन। अझै संक्रमित भएको छ, तब जब तपाइँ प्रणाली रिबुट गर्नुहुन्छ, कार्यान्वयन योग्यले पुन: प्रयास गर्नेछ।

चामल। 22: नमूनाले रजिस्ट्री कुञ्जीमा उपस्थिति सुनिश्चित गर्दछ

हामी यो पनि देख्न सक्छौं कि यो कार्यान्वयनले दुई सेवाहरू रोक्छ:
"audioendpointbuilder", जुन, यसको नामले सुझाव दिन्छ, प्रणाली अडियोसँग मेल खान्छ,

चामल। 23: नमूना प्रणाली अडियो सेवा रोक्छ

и Samss, जुन एक खाता व्यवस्थापन सेवा हो। यी दुई सेवा बन्द गर्नु Ryuk को विशेषता हो। यस अवस्थामा, यदि प्रणाली SIEM प्रणालीसँग जोडिएको छ भने, ransomware ले पठाउन रोक्न प्रयास गर्दछ। सिएम कुनै पनि चेतावनी। यसरी, उसले आफ्नो अर्को चरणहरू सुरक्षित गर्दछ किनकि केही SAM सेवाहरूले Ryuk कार्यान्वयन गरेपछि आफ्नो काम सही रूपमा सुरु गर्न सक्षम हुनेछैनन्।

चामल। 24: नमूनाले Samss सेवा रोक्छ

5.2 विशेषाधिकारहरू

सामान्यतया भन्नुपर्दा, Ryuk नेटवर्क भित्र पार्श्व सार्न सुरु हुन्छ वा यो अर्को मालवेयर द्वारा सुरु हुन्छ जस्तै ईमोनेट वा ट्रिकबोट, जसले, विशेषाधिकार वृद्धिको घटनामा, यी उन्नत अधिकारहरू ransomware मा स्थानान्तरण गर्दछ।

पहिले, कार्यान्वयन प्रक्रियाको प्रस्तावनाको रूपमा, हामी उहाँलाई प्रक्रिया पूरा गरेको देख्छौं आफैलाई प्रतिरूपण गर्नुहोस्, जसको मतलब पहुँच टोकनको सुरक्षा सामग्रीहरू स्ट्रिममा पठाइनेछ, जहाँ यसलाई तुरुन्तै प्रयोग गरेर पुनःप्राप्त गरिनेछ। GetCurrentThread.

चामल। 25: ImpersonateSelf लाई कल गर्नुहोस्

हामी त्यसपछि देख्छौं कि यसले थ्रेडसँग पहुँच टोकन सम्बद्ध गर्नेछ। हामी झण्डा मध्ये एक छ कि पनि देख्छौं इच्छित पहुँच, जुन थ्रेडमा हुने पहुँचलाई नियन्त्रण गर्न प्रयोग गर्न सकिन्छ। यस अवस्थामा edx ले प्राप्त गर्ने मान हुनुपर्छ TOKEN_ALL_ACESS वा अन्यथा - TOKEN_WRITE.

चामल। 26: फ्लो टोकन सिर्जना गर्दै

त्यसपछि उसले प्रयोग गर्नेछ SeDebug विशेषाधिकार र थ्रेडमा डिबग अनुमतिहरू प्राप्त गर्न कल गर्नेछ, परिणामस्वरूप PROCESS_ALL_ACCESS, उसले कुनै पनि आवश्यक प्रक्रिया पहुँच गर्न सक्षम हुनेछ। अब, एन्क्रिप्टरसँग पहिले नै तयार स्ट्रिम छ भन्ने कुरा दिईएको छ, बाँकी सबै अन्तिम चरणमा अगाडि बढ्नु हो।

चामल। 27: SeDebugPrivilege र Privilege Escalation प्रकार्यलाई कल गर्दै

एकातिर, हामीसँग LookupPrivilegeValueW छ, जसले हामीलाई हामीले वृद्धि गर्न चाहने विशेषाधिकारहरूको बारेमा आवश्यक जानकारी प्रदान गर्दछ।

चामल। 28: विशेषाधिकार वृद्धिको लागि विशेषाधिकारहरूको बारेमा जानकारी अनुरोध गर्नुहोस्

अर्कोतर्फ, हामीसँग छ टोकन विशेषाधिकारहरू समायोजन गर्नुहोस्, जसले हामीलाई हाम्रो स्ट्रिममा आवश्यक अधिकारहरू प्राप्त गर्न अनुमति दिन्छ। यस अवस्थामा, सबैभन्दा महत्त्वपूर्ण कुरा हो नयाँ राज्य, जसको झण्डाले विशेषाधिकार प्रदान गर्नेछ।

चामल। 29: टोकनको लागि अनुमतिहरू सेट अप गर्दै

5.3 कार्यान्वयन

यस खण्डमा, हामी नमूनाले यस रिपोर्टमा पहिले उल्लेख गरिएको कार्यान्वयन प्रक्रिया कसरी प्रदर्शन गर्छ भनेर देखाउनेछौं।

कार्यान्वयन प्रक्रियाको मुख्य लक्ष्य, साथै वृद्धि, पहुँच प्राप्त गर्नु हो छाया प्रतिलिपिहरू। यो गर्नको लागि, उसले स्थानीय प्रयोगकर्ताको भन्दा बढी अधिकार भएको थ्रेडसँग काम गर्न आवश्यक छ। एकपटक यसले त्यस्ता उच्च अधिकारहरू प्राप्त गरेपछि, यसले प्रतिलिपिहरू मेटाउनेछ र अपरेटिङ सिस्टममा पहिलेको पुनर्स्थापना बिन्दुमा फर्कन असम्भव बनाउनको लागि अन्य प्रक्रियाहरूमा परिवर्तन गर्नेछ।

यस प्रकारको मालवेयरसँग सामान्य रूपमा, यसले प्रयोग गर्दछ CreateToolHelp32 स्न्यापसटत्यसैले यसले हाल चलिरहेको प्रक्रियाहरूको स्न्यापसट लिन्छ र ती प्रक्रियाहरू प्रयोग गरेर पहुँच गर्न प्रयास गर्दछ OpenProcess। एकचोटि यसले प्रक्रियामा पहुँच प्राप्त गरेपछि, यसले प्रक्रिया प्यारामिटरहरू प्राप्त गर्नको लागि यसको जानकारीको साथ टोकन पनि खोल्छ।

चामल। 30: कम्प्युटरबाट प्रक्रियाहरू पुन: प्राप्त गर्दै

CreateToolhelp140002Snapshot प्रयोग गरेर हामी गतिशील रूपमा 9D32C मा चलिरहेको प्रक्रियाहरूको सूची कसरी प्राप्त गर्छ भनेर हेर्न सक्छौं। तिनीहरूलाई प्राप्त गरेपछि, ऊ सूचीमा जान्छ, ओपनप्रोसेस प्रयोग गरेर एक-एक गरेर प्रक्रियाहरू खोल्ने प्रयास गर्दै उसले सफल नभएसम्म। यस अवस्थामा, पहिलो प्रक्रिया उसले खोल्न सक्षम थियो "taskhost.exe".

चामल। 31: गतिशील रूपमा एक प्रक्रिया प्राप्त गर्न प्रक्रिया कार्यान्वयन गर्नुहोस्

हामी देख्न सक्छौं कि यसले पछि प्रक्रिया टोकन जानकारी पढ्छ, त्यसैले यसले कल गर्दछ OpenProcessToken प्यारामिटर संग "20008"

चामल। 32: प्रक्रिया टोकन जानकारी पढ्नुहोस्

यो पनि जाँच गर्छ कि यो प्रक्रिया मा इंजेक्शन हुनेछ csrss.exe, explorer.exe, lsaas.exe वा उससँग अधिकारको एक सेट छ NT प्राधिकरण.

चामल। 33: बहिष्कृत प्रक्रियाहरू

हामी गतिशील रूपमा देख्न सक्छौं कि यसले कसरी पहिलो प्रक्रिया टोकन जानकारी प्रयोग गरेर जाँच गर्दछ 140002D9C खाता जसको अधिकार प्रक्रिया कार्यान्वयन गर्न प्रयोग भइरहेको छ त्यो खाता हो कि होइन भनेर पत्ता लगाउनको लागि NT प्राधिकरण.

चामल। 34: NT प्राधिकरण जाँच

र पछि, प्रक्रिया बाहिर, उहाँले जाँच गर्नुहुन्छ कि यो छैन csrss.exe, explorer.exe वा lsaas.exe.

चामल। 35: NT प्राधिकरण जाँच

एकचोटि उसले प्रक्रियाहरूको स्न्यापसट लिएको छ, प्रक्रियाहरू खोल्यो, र तिनीहरूमध्ये कुनै पनि बहिष्कृत गरिएको छैन भनेर प्रमाणित गरेपछि, ऊ इन्जेक्सन गरिने प्रक्रियाहरूलाई मेमोरीमा लेख्न तयार छ।

यो गर्नका लागि, यसले पहिले मेमोरीमा क्षेत्र आरक्षित गर्दछ (VirtualAllocEx), यसमा लेख्छ (लेखन प्रक्रिया मेमोरी) र थ्रेड सिर्जना गर्दछ (रिमोट थ्रेड सिर्जना गर्नुहोस्)। यी प्रकार्यहरूसँग काम गर्न, यसले चयन गरिएका प्रक्रियाहरूको PIDs प्रयोग गर्दछ, जुन यसले पहिले प्रयोग गरेर प्राप्त गरेको थियो Toolhelp32 स्न्यापसट सिर्जना गर्नुहोस्.

चामल। 36: इम्बेड कोड

यहाँ हामी गतिशील रूपमा अवलोकन गर्न सक्छौं कि यसले कसरी कार्यलाई कल गर्न प्रक्रिया PID प्रयोग गर्दछ VirtualAllocEx।

चामल। 37: VirtualAllocEx लाई कल गर्नुहोस्

5.4 इन्क्रिप्सन
यस खण्डमा, हामी यस नमूनाको इन्क्रिप्सन भाग हेर्नेछौं। तलको तस्विरमा तपाईले दुईवटा सबरुटिनहरू देख्न सक्नुहुन्छ "LoadLibrary_EncodeString"र"Encode_Func", जो ईन्क्रिप्शन प्रक्रिया प्रदर्शन गर्न जिम्मेवार छन्।

चामल। 38: एन्क्रिप्शन प्रक्रियाहरू

सुरुमा हामी देख्न सक्छौं कि यसले कसरी एक स्ट्रिङ लोड गर्छ जुन पछि आवश्यक पर्ने सबै कुराहरू डिओब्फस्केट गर्न प्रयोग गरिनेछ: आयातहरू, DLLs, आदेशहरू, फाइलहरू र CSPs।

चामल। 39: Deobfuscation सर्किट

निम्न आंकडाले दर्ता R4 मा अव्यवस्थित पहिलो आयात देखाउँछ। लोड लाइब्रेरी। यसलाई आवश्यक DLL लोड गर्न पछि प्रयोग गरिनेछ। हामी रेजिस्टर R12 मा अर्को लाइन पनि देख्न सक्छौं, जुन deobfuscation प्रदर्शन गर्न अघिल्लो लाइन संग प्रयोग गरिन्छ।

चामल। 40: गतिशील deobfuscation

यसले आदेशहरू डाउनलोड गर्न जारी राख्छ कि यो ब्याकअप असक्षम गर्न, पोइन्टहरू पुनर्स्थापना गर्न, र सुरक्षित बुट मोडहरू पछि चल्नेछ।

चामल। 41: आदेशहरू लोड गर्दै

त्यसपछि यसले स्थान लोड गर्दछ जहाँ यसले 3 फाइलहरू छोड्नेछ: Windows.bat, run.sct и सुरु। ब्याट.

चामल। 42: फाइल स्थानहरू

यी 3 फाइलहरू प्रत्येक स्थानमा भएका विशेषाधिकारहरू जाँच गर्न प्रयोग गरिन्छ। यदि आवश्यक विशेषाधिकारहरू उपलब्ध छैनन् भने, Ryuk कार्यान्वयन रोक्छ।

यसले तीनवटा फाइलहरूसँग सम्बन्धित लाइनहरू लोड गर्न जारी राख्छ। पहिले, DECRYPT_INFORMATION.html, फाइलहरू रिकभर गर्न आवश्यक जानकारी समावेश गर्दछ। दोस्रो, सार्वजनिक, RSA सार्वजनिक कुञ्जी समावेश गर्दछ।

चामल। 43: लाइन डिक्रिप्ट INFORMATION.html

तेस्रो, UNIQUE_ID_DO_NOT_REMOVE, गुप्तिकरण कार्य गर्न अर्को दिनचर्यामा प्रयोग गरिने गुप्तिकरण कुञ्जी समावेश गर्दछ।

चामल। 44: रेखा अद्वितीय आईडी नहटाउनुहोस्

अन्तमा, यसले आवश्यक आयात र सीएसपीहरू सहित आवश्यक पुस्तकालयहरू डाउनलोड गर्दछ (माइक्रोसफ्ट परिष्कृत RSA и AES क्रिप्टोग्राफिक प्रदायक).

चामल। 45: पुस्तकालयहरू लोड गर्दै

सबै डिओफसकेसन पूरा भएपछि, यो इन्क्रिप्शनका लागि आवश्यक कार्यहरू गर्न अगाडि बढ्छ: सबै तार्किक ड्राइभहरू गणना गर्ने, अघिल्लो दिनचर्यामा के लोड गरिएको थियो कार्यान्वयन गर्ने, प्रणालीमा उपस्थितिलाई बलियो बनाउने, RyukReadMe.html फाइल फाल्ने, इन्क्रिप्शन, सबै नेटवर्क ड्राइभहरू गणना गर्ने। , पत्ता लगाइएका यन्त्रहरू र तिनीहरूको इन्क्रिप्शनमा संक्रमण।
यो सबै लोड संग सुरु हुन्छ"cmd.exe"र RSA सार्वजनिक कुञ्जी रेकर्डहरू।

चामल। 46: एन्क्रिप्शनको लागि तयारी गर्दै

त्यसपछि यसले सबै तार्किक ड्राइभहरू प्रयोग गरेर प्राप्त गर्दछ LogicalDrives प्राप्त गर्नुहोस् र सबै ब्याकअपहरू असक्षम पार्छ, बिन्दुहरू र सुरक्षित बुट मोडहरू पुनर्स्थापना गर्दछ।

चामल। 47: रिकभरी उपकरणहरू निष्क्रिय गर्दै

त्यस पछि, यसले प्रणालीमा यसको उपस्थितिलाई बलियो बनाउँछ, जस्तै हामीले माथि देख्यौं, र पहिलो फाइल लेख्छ RyukReadMe.html в टेम्प.

चामल। 48: फिरौतीको सूचना प्रकाशित गर्दै

निम्न चित्रमा तपाईले कसरी फाइल सिर्जना गर्दछ, सामग्री डाउनलोड गर्दछ र यसलाई लेख्छ भनेर देख्न सक्नुहुन्छ:

चामल। 49: फाइल सामग्रीहरू लोड र लेख्दै

सबै उपकरणहरूमा समान कार्यहरू प्रदर्शन गर्न सक्षम हुन, उसले प्रयोग गर्दछ
"icacls.exe", हामीले माथि देखाए जस्तै।

चामल। 50: icalcls.exe प्रयोग गर्दै

र अन्तमा, यसले "*.exe", "*.dll" फाइलहरू, प्रणाली फाइलहरू र एन्क्रिप्टेड सेतो सूचीको रूपमा निर्दिष्ट गरिएका अन्य स्थानहरू बाहेक फाइलहरू इन्क्रिप्ट गर्न थाल्छ। यो गर्न, यो आयात प्रयोग गर्दछ: CryptAcquireContextW (जहाँ AES र RSA को प्रयोग निर्दिष्ट गरिएको छ), CryptDeriveKey, CryptGenKey, CryptDestroyKey आदि यसले WNetEnumResourceW को प्रयोग गरेर पत्ता लगाइएको नेटवर्क उपकरणहरूमा आफ्नो पहुँच विस्तार गर्ने प्रयास गर्दछ र त्यसपछि तिनीहरूलाई इन्क्रिप्ट गर्दछ।

चामल। 51: प्रणाली फाइलहरू इन्क्रिप्ट गर्दै

6. आयात र सम्बन्धित झण्डाहरू

तल नमूनाद्वारा प्रयोग गरिएका सबैभन्दा सान्दर्भिक आयात र झण्डाहरू सूचीबद्ध गर्ने तालिका छ:

7. आईओसी

सन्दर्भ

userPublicrun.sct
Start MenuProgramsStartupstart.bat AppDataRoamingMicrosoftWindowsStart
MenuProgramsStartupstart.bat

Ryuk ransomware मा एक प्राविधिक रिपोर्ट एन्टिभाइरस प्रयोगशाला PandaLabs को विशेषज्ञहरु द्वारा कम्पाइल गरिएको थियो।

8. लिङ्कहरू

1. "Everis y Prisa Radio sufren un Grave ciberataque que secuestra sus sistemas।" https://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, प्रकाशन el 04/11/2019।

2. "Un virus de origen ruso ataca a importantes empresas españolas।" https://elpais.com/tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, Publicada el 04/11/2019।

3. "VB2019 पेपर: शिनिगामीको बदला: Ryuk मालवेयरको लामो पुच्छर।" https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, Publicada el 11 /12/2019

4. "Ryuk संग ठूलो खेल शिकार: अर्को आकर्षकbTargeted Ransomware।" https://www. crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/, सार्वजनिक 10/01/2019।

5. "VB2019 पेपर: Shinigami's Revenge: The long tail of the Ryuk मालवेयर।" https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigamis-revenge-long-tail-r

स्रोत: www.habr.com

कसरी Ryuk ransomware काम गर्दछ, जसले व्यवसायहरूलाई आक्रमण गर्दछ