Ryuk er et av de mest kjente løsepengevarealternativene de siste årene. Siden den først dukket opp sommeren 2018, har den samlet seg , spesielt i forretningsmiljøet, som er hovedmålet for angrepene.
1. Generell informasjon
Dette dokumentet inneholder en analyse av Ryuk-ransomware-varianten, samt lasteren som er ansvarlig for å laste det ondsinnede programmet inn i systemet.
Ryuk-ransomware dukket først opp sommeren 2018. En av forskjellene mellom Ryuk og annen løsepengevare er at den er rettet mot å angripe bedriftsmiljøer.
I midten av 2019 angrep nettkriminelle grupper et stort antall spanske selskaper som brukte denne løsepengevaren.
Ris. 1: Utdrag fra El Confidencial angående Ryuk-ransomware-angrepet [1]
Ris. 2: Utdrag fra El País om et angrep utført ved hjelp av Ryuk-ransomware [2]
Ryuk har i år angrepet et stort antall selskaper i ulike land. Som du kan se i figurene under, var Tyskland, Kina, Algerie og India hardest rammet.
Ved å sammenligne antall cyberangrep kan vi se at Ryuk har påvirket millioner av brukere og kompromittert en enorm mengde data, noe som har resultert i alvorlig økonomisk tap.
Ris. 3: Illustrasjon av Ryuks globale aktivitet.
Ris. 4: 16 land mest berørt av Ryuk
Ris. 5: Antall brukere angrepet av Ryuk løsepengevare (i millioner)
I henhold til det vanlige driftsprinsippet for slike trusler, viser denne løsepengevaren, etter at krypteringen er fullført, offeret en løsepengemelding som må betales i bitcoins til den angitte adressen for å gjenopprette tilgangen til de krypterte filene.
Denne skadelige programvaren har endret seg siden den ble introdusert.
Varianten av denne trusselen analysert i dette dokumentet ble oppdaget under et angrepsforsøk i januar 2020.
På grunn av kompleksiteten tilskrives denne skadevare ofte til organiserte nettkriminelle grupper, også kjent som APT-grupper.
En del av Ryuk-koden har en merkbar likhet med koden og strukturen til en annen velkjent løsepengevare, Hermes, som de deler en rekke identiske funksjoner med. Dette er grunnen til at Ryuk i utgangspunktet ble knyttet til den nordkoreanske gruppen Lazarus, som på det tidspunktet ble mistenkt for å stå bak løsepengeprogrammet Hermes.
CrowdStrikes Falcon X-tjeneste bemerket senere at Ryuk faktisk ble opprettet av WIZARD SPIDER-gruppen [4].
Det er noen bevis som støtter denne antagelsen. Først ble denne løsepengevaren annonsert på nettstedet exploit.in, som er en velkjent russisk markedsplass for skadelig programvare og har tidligere vært assosiert med noen russiske APT-grupper.
Dette faktum utelukker teorien om at Ryuk kunne ha blitt utviklet av Lazarus APT-gruppen, fordi det passer ikke med måten gruppen opererer på.
I tillegg ble Ryuk annonsert som løsepengeprogramvare som ikke vil fungere på russiske, ukrainske og hviterussiske systemer. Denne oppførselen bestemmes av en funksjon som finnes i enkelte versjoner av Ryuk, der den sjekker språket til systemet som løsepengevaren kjører på og stopper den fra å kjøre hvis systemet har et russisk, ukrainsk eller hviterussisk språk. Til slutt avslørte en ekspertanalyse av maskinen som ble hacket av WIZARD SPIDER-teamet flere "artefakter" som angivelig ble brukt i utviklingen av Ryuk som en variant av Hermes løsepengeprogramvare.
På den annen side antydet ekspertene Gabriela Nicolao og Luciano Martins at løsepengevaren kan ha blitt utviklet av APT-gruppen CryptoTech [5].
Dette følger av det faktum at flere måneder før Ryuk dukket opp, la denne gruppen ut informasjon på forumet til det samme nettstedet om at de hadde utviklet en ny versjon av Hermes-ransomware.
Flere forumbrukere stilte spørsmål ved om CryptoTech faktisk opprettet Ryuk. Gruppen forsvarte seg da og uttalte at den hadde bevis for at de hadde utviklet 100 % av løsepengevaren.
2. Kjennetegn
Vi starter med oppstartslasteren, hvis jobb er å identifisere systemet den er på, slik at den "riktige" versjonen av Ryuk løsepengevare kan lanseres.
Bootloader-hashen er som følger:
MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469
En av funksjonene til denne nedlasteren er at den ikke inneholder noen metadata, dvs. Skaperne av denne skadelige programvaren har ikke inkludert noen informasjon i den.
Noen ganger inkluderer de feilaktige data for å lure brukeren til å tro at de kjører en legitim applikasjon. Men som vi vil se senere, hvis infeksjonen ikke involverer brukerinteraksjon (som tilfellet er med denne løsepengevaren), så anser ikke angripere det som nødvendig å bruke metadata.
Ris. 6: Eksempel på metadata
Eksemplet ble kompilert i 32-bits format slik at det kan kjøres på både 32-bits og 64-bits systemer.
3. Penetrasjonsvektor
Eksemplet som laster ned og kjører Ryuk, kom inn i systemet vårt via en ekstern tilkobling, og tilgangsparametrene ble oppnådd gjennom et foreløpig RDP-angrep.
Ris. 7: Angrepsregister
Angriperen klarte å logge på systemet eksternt. Etter det opprettet han en kjørbar fil med prøven vår.
Denne kjørbare filen ble blokkert av en antivirusløsning før den ble kjørt.
Ris. 8: Mønsterlås
Ris. 9: Mønsterlås
Da den skadelige filen ble blokkert, forsøkte angriperen å laste ned en kryptert versjon av den kjørbare filen, som også ble blokkert.
Ris. 10: Sett med prøver som angriperen forsøkte å kjøre
Til slutt prøvde han å laste ned en annen ondsinnet fil gjennom den krypterte konsollen
PowerShell for å omgå antivirusbeskyttelse. Men han ble også blokkert.
Ris. 11: PowerShell med ondsinnet innhold blokkert
Ris. 12: PowerShell med ondsinnet innhold blokkert
4. Laster
Når den kjøres, skriver den en ReadMe-fil til mappen % Temp%, som er typisk for Ryuk. Denne filen er en løsepengenotat som inneholder en e-postadresse i protonmail-domenet, som er ganske vanlig i denne skadevarefamilien: [e-postbeskyttet]
Ris. 13: Løsepengekrav
Mens oppstartslasteren kjører, kan du se at den starter flere kjørbare filer med tilfeldige navn. De er lagret i en skjult mappe OFFENTLIG, men hvis alternativet ikke er aktivt i operativsystemet "Vis skjulte filer og mapper", så forblir de skjult. Dessuten er disse filene 64-bit, i motsetning til overordnet fil, som er 32-bit.
Ris. 14: Kjørbare filer lansert av prøven
Som du kan se på bildet ovenfor, lanserer Ryuk icacls.exe, som vil bli brukt til å modifisere alle ACLer (Access control lists), og dermed sikre tilgang og modifikasjon av flagg.
Den får full tilgang under alle brukere til alle filer på enheten (/T) uavhengig av feil (/C) og uten å vise noen meldinger (/Q).
Ris. 15: Utførelsesparametere for icacls.exe lansert av prøven
Det er viktig å merke seg at Ryuk sjekker hvilken versjon av Windows du kjører. For dette han
utfører en versjonssjekk ved hjelp av GetVersionExW, der den sjekker verdien av flagget lpVersjonsinformasjonangir om gjeldende versjon av Windows er nyere enn Windows XP.
Avhengig av om du kjører en senere versjon enn Windows XP, vil oppstartslasteren skrive til den lokale brukermappen - i dette tilfellet til mappen %Offentlig%.
Ris. 17: Kontrollerer versjonen av operativsystemet
Filen som skrives er Ryuk. Den kjører den deretter og sender sin egen adresse som en parameter.
Ris. 18: Utfør Ryuk via ShellExecute
Det første Ryuk gjør er å motta inngangsparametrene. Denne gangen er det to inngangsparametere (selve den kjørbare filen og dropperadressen) som brukes til å fjerne sine egne spor.
Ris. 19: Opprette en prosess
Du kan også se at når den har kjørt sine kjørbare filer, sletter den seg selv, og etterlater dermed ingen spor av sin egen tilstedeværelse i mappen der den ble utført.
Ris. 20: Sletting av en fil
5. RYUK
5.1 Tilstedeværelse
Ryuk, som annen skadelig programvare, prøver å holde seg på systemet så lenge som mulig. Som vist ovenfor, er en måte å oppnå dette målet å i hemmelighet opprette og kjøre kjørbare filer. For å gjøre dette er den vanligste praksisen å endre registernøkkelen CurrentVersionRun.
I dette tilfellet kan du se at for dette formålet er den første filen som skal lanseres VWjRF.exe
(filnavnet er tilfeldig generert) starter cmd.exe.
Ris. 21: Kjøre VWjRF.exe
Skriv deretter inn kommandoen LØPE Med navn "svchos". Derfor, hvis du vil sjekke registernøklene når som helst, kan du lett gå glipp av denne endringen, gitt likheten mellom dette navnet og svchost. Takket være denne nøkkelen sikrer Ryuk sin tilstedeværelse i systemet. Hvis systemet ikke har ennå blitt infisert , så når du starter systemet på nytt, vil den kjørbare prøven på nytt.
Ris. 22: Prøven sikrer tilstedeværelse i registernøkkelen
Vi kan også se at denne kjørbare filen stopper to tjenester:
"lydendepunktbygger", som, som navnet antyder, tilsvarer systemlyd,
Ris. 23: Sample stopper systemlydtjenesten
и sams, som er en kontoadministrasjonstjeneste. Å stoppe disse to tjenestene er et kjennetegn ved Ryuk. I dette tilfellet, hvis systemet er koblet til et SIEM-system, prøver løsepengevaren å slutte å sende til eventuelle advarsler. På denne måten beskytter han de neste trinnene siden noen SAM-tjenester ikke vil kunne starte arbeidet på riktig måte etter å ha utført Ryuk.
Ris. 24: Sample stopper Samss-tjenesten
5.2 Privilegier
Generelt sett starter Ryuk med å bevege seg sideveis innenfor nettverket, eller den blir lansert av en annen skadelig programvare som f.eks eller , som, i tilfelle privilegieeskalering, overfører disse forhøyede rettighetene til løsepengevaren.
På forhånd, som en opptakt til implementeringsprosessen, ser vi ham gjennomføre prosessen Utgi seg for seg selv, som betyr at sikkerhetsinnholdet til tilgangstokenet vil bli sendt til strømmen, hvor det umiddelbart vil bli hentet ved hjelp av GetCurrentThread.
Ris. 25: Ring ImpersonateSelf
Vi ser da at den vil knytte et tilgangstoken til en tråd. Vi ser også at et av flaggene er Ønsket tilgang, som kan brukes til å kontrollere tilgangen som tråden skal ha. I dette tilfellet bør verdien som edx mottar være TOKEN_ALL_ACCESS hvis ikke - TOKEN_WRITE.
Ris. 26: Opprette et flyttoken
Da vil han bruke SeDebugPrivilege og vil ringe for å få feilsøkingstillatelser på tråden, noe som resulterer i PROCESS_ALL_ACCESS, vil han kunne få tilgang til alle nødvendige prosesser. Nå, gitt at kryptøren allerede har en forberedt strøm, gjenstår det bare å gå videre til sluttfasen.
Ris. 27: Kaller SeDebugPrivilege og Privilege Escalation-funksjonen
På den ene siden har vi LookupPrivilegeValueW, som gir oss nødvendig informasjon om privilegiene vi ønsker å øke.
Ris. 28: Be om informasjon om privilegier for privilegieeskalering
På den annen side har vi Juster TokenPrivileges, som lar oss få de nødvendige rettighetene til strømmen vår. I dette tilfellet er det viktigste NewState, hvis flagg vil gi privilegier.
Ris. 29: Sette opp tillatelser for et token
5.3 Gjennomføring
I denne delen vil vi vise hvordan utvalget utfører implementeringsprosessen tidligere nevnt i denne rapporten.
Hovedmålet med implementeringsprosessen, samt eskalering, er å få tilgang til skyggekopier. For å gjøre dette må han jobbe med en tråd med rettigheter høyere enn den lokale brukerens rettigheter. Når den får slike forhøyede rettigheter, vil den slette kopier og gjøre endringer i andre prosesser for å gjøre det umulig å gå tilbake til et tidligere gjenopprettingspunkt i operativsystemet.
Som det er vanlig med denne typen skadelig programvare, bruker den CreateToolHelp32Snapshotså den tar et øyeblikksbilde av prosessene som kjører for øyeblikket og prøver å få tilgang til disse prosessene ved hjelp av OpenProcess. Når den får tilgang til prosessen, åpner den også et token med informasjonen for å få prosessparametrene.
Ris. 30: Henter prosesser fra en datamaskin
Vi kan dynamisk se hvordan den får listen over kjørende prosesser i rutine 140002D9C ved å bruke CreateToolhelp32Snapshot. Etter å ha mottatt dem, går han gjennom listen og prøver å åpne prosesser én etter én ved å bruke OpenProcess til han lykkes. I dette tilfellet var den første prosessen han kunne åpne "taskhost.exe".
Ris. 31: Dynamisk utfør en prosedyre for å få en prosess
Vi kan se at den i ettertid leser prosesstokeninformasjonen, så den ringer OpenProcessToken med parameter "20008"
Ris. 32: Les prosesstokeninformasjon
Den sjekker også at prosessen den vil bli injisert i ikke er det Csrss.exe, explorer.exe, lsaas.exe eller at han har et sett med rettigheter NT myndighet.
Ris. 33: Ekskluderte prosesser
Vi kan dynamisk se hvordan den først utfører kontrollen ved å bruke prosesstokeninformasjonen i 140002D9C for å finne ut om kontoen hvis rettigheter brukes til å utføre en prosess er en konto NT MYNDIGHET.
Ris. 34: NT MYNDIGHET sjekk
Og senere, utenfor prosedyren, sjekker han at dette ikke er det csrss.exe, explorer.exe eller lsaas.exe.
Ris. 35: NT MYNDIGHET sjekk
Når han har tatt et øyeblikksbilde av prosessene, åpnet prosessene og bekreftet at ingen av dem er ekskludert, er han klar til å skrive til minnet prosessene som skal injiseres.
For å gjøre dette, reserverer den først et område i minnet (VirtualAllocEx), skriver inn i den (Skriveprosessminne) og lager en tråd (Lag RemoteThread). For å jobbe med disse funksjonene bruker den PID-ene til de valgte prosessene, som den tidligere har oppnådd ved hjelp av CreateToolhelp32Snapshot.
Ris. 36: Legg inn kode
Her kan vi dynamisk observere hvordan den bruker prosessen PID til å kalle funksjonen VirtualAllocEx.
Ris. 37: Ring VirtualAllocEx
5.4 Kryptering
I denne delen skal vi se på krypteringsdelen av denne prøven. På det følgende bildet kan du se to subrutiner kalt "LoadLibrary_EncodeString"og"Encode_Func", som er ansvarlige for å utføre krypteringsprosedyren.
Ris. 38: Krypteringsprosedyrer
I begynnelsen kan vi se hvordan den laster inn en streng som senere vil bli brukt til å deobfuskere alt som trengs: importer, DLL-er, kommandoer, filer og CSP-er.
Ris. 39: Deobfuskeringskrets
Følgende figur viser den første importen den deobfuskerer i register R4. Loadlibrary. Dette vil bli brukt senere for å laste de nødvendige DLL-ene. Vi kan også se en annen linje i register R12, som brukes sammen med den forrige linjen for å utføre deobfuskering.
Ris. 40: Dynamisk deobfuscation
Den fortsetter å laste ned kommandoer som den vil kjøre senere for å deaktivere sikkerhetskopiering, gjenopprettingspunkter og sikre oppstartsmoduser.
Ris. 41: Laster kommandoer
Deretter laster den inn plasseringen der den vil slippe 3 filer: Windows.bat, run.sct и start.bat.
Ris. 42: Filplasseringer
Disse 3 filene brukes til å sjekke privilegiene som hver plassering har. Hvis de nødvendige privilegiene ikke er tilgjengelige, stopper Ryuk kjøringen.
Den fortsetter å laste linjene som tilsvarer de tre filene. Først, DECRYPT_INFORMATION.html, inneholder informasjon som er nødvendig for å gjenopprette filer. Sekund, OFFENTLIG, inneholder den offentlige RSA-nøkkelen.
Ris. 43: Linje DECRYPT INFORMATION.html
Tredje, UNIQUE_ID_DO_NOT_REMOVE, inneholder den krypterte nøkkelen som skal brukes i neste rutine for å utføre krypteringen.
Ris. 44: Linje UNIK ID MÅ IKKE FJERNES
Til slutt laster den ned de nødvendige bibliotekene sammen med de nødvendige importene og CSP-ene (Microsoft Enhanced RSA и AES kryptografisk leverandør).
Ris. 45: Laster inn biblioteker
Etter at all deobfuskering er fullført, fortsetter den med å utføre handlingene som kreves for kryptering: telle opp alle logiske stasjoner, utføre det som ble lastet i forrige rutine, styrke tilstedeværelsen i systemet, kaste RyukReadMe.html-filen, kryptering, telle opp alle nettverksstasjoner , overgang til oppdagede enheter og deres kryptering.
Det hele begynner med lasting"cmd.exe" og RSA offentlige nøkkelposter.
Ris. 46: Forbereder for kryptering
Deretter får den alle logiske stasjoner ved hjelp av GetLogicalDrives og deaktiverer alle sikkerhetskopier, gjenopprettingspunkter og sikker oppstartsmodus.
Ris. 47: Deaktiverer gjenopprettingsverktøy
Etter det styrker den sin tilstedeværelse i systemet, som vi så ovenfor, og skriver den første filen RyukReadMe.html в TEMP.
Ris. 48: Publiserer en løsepengemelding
På det følgende bildet kan du se hvordan den lager en fil, laster ned innholdet og skriver det:
Ris. 49: Laste og skrive filinnhold
For å kunne utføre de samme handlingene på alle enheter, bruker han
"icacls.exe", som vi viste ovenfor.
Ris. 50: Bruke icalcls.exe
Og til slutt begynner den å kryptere filer bortsett fra "*.exe", "*.dll"-filer, systemfiler og andre steder spesifisert i form av en kryptert hviteliste. For å gjøre dette bruker den importer: CryptAcquireContextW (hvor bruk av AES og RSA er spesifisert), CryptDeriveKey, CryptGenKey, CryptDestroyKey etc. Den prøver også å utvide rekkevidden til oppdagede nettverksenheter ved å bruke WNetEnumResourceW og deretter kryptere dem.
Ris. 51: Kryptering av systemfiler
6. Importer og tilsvarende flagg
Nedenfor er en tabell som viser de mest relevante importene og flaggene brukt av prøven:
7. IOC
referanser
- usersPublicrun.sct
- Start MenuProgramsStartupstart.bat AppDataRoamingMicrosoftWindowsStart
- MenuProgramsStartupstart.bat
En teknisk rapport om Ryuk-ransomware ble utarbeidet av eksperter fra antiviruslaboratoriet PandaLabs.
8. Lenker
1. "Everis y Prisa Radio sufren un grave ciberataque que secuestra sus sistemas." https://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, Publicada el 04/11/2019.
2. "Un virus de origen ruso ataca a importantes empresas españolas." https: //elpais.com/tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, Publicada el 04/11/2019.
3. «VB2019 paper: Shinigami's revenge: the long tail of the Ryuk malware.» https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, Publicada el 11 /12/2019
4. “Big Game Hunting with Ryuk: Another LucrativebTargeted Ransomware.” https://www. crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/, publisert 10/01/2019.
5. «VB2019-papir: Shinigamis hevn: den lange halen av Ryuk-malwaren.» https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigamis-revenge-long-tail-r
Kilde: www.habr.com