Ryuk este una dintre cele mai faimoase opțiuni de ransomware din ultimii ani. De când a apărut pentru prima dată în vara anului 2018, a strâns , în special în mediul de afaceri, care este ținta principală a atacurilor sale.
1. Informații generale
Acest document conține o analiză a variantei de ransomware Ryuk, precum și încărcătorul responsabil pentru încărcarea malware-ului în sistem.
Ransomware-ul Ryuk a apărut pentru prima dată în vara anului 2018. Una dintre diferențele dintre Ryuk și alte ransomware este că are ca scop atacarea mediilor corporative.
La mijlocul anului 2019, grupurile de criminali cibernetici au atacat un număr mare de companii spaniole care foloseau acest ransomware.
Orez. 1: Extras din El Confidencial cu privire la atacul ransomware Ryuk [1]
Orez. 2: Extras din El País despre un atac efectuat folosind ransomware-ul Ryuk [2]
Anul acesta, Ryuk a atacat un număr mare de companii din diverse țări. După cum puteți vedea în cifrele de mai jos, Germania, China, Algeria și India au fost cele mai afectate.
Comparând numărul de atacuri cibernetice, putem observa că Ryuk a afectat milioane de utilizatori și a compromis o cantitate imensă de date, ducând la pierderi economice grave.
Orez. 3: Ilustrație a activității globale a lui Ryuk.
Orez. 4: 16 țări cele mai afectate de Ryuk
Orez. 5: Numărul de utilizatori atacați de Ryuk ransomware (în milioane)
Conform principiului obișnuit de funcționare al unor astfel de amenințări, acest ransomware, după ce criptarea este completă, arată victimei o notificare de răscumpărare care trebuie plătită în bitcoini la adresa specificată pentru a restabili accesul la fișierele criptate.
Acest malware s-a schimbat de când a fost introdus pentru prima dată.
Varianta acestei amenințări analizată în acest document a fost descoperită în timpul unei tentative de atac în ianuarie 2020.
Datorită complexității sale, acest malware este adesea atribuit unor grupuri organizate de criminali cibernetici, cunoscute și sub denumirea de grupuri APT.
O parte a codului Ryuk are o similaritate vizibilă cu codul și structura unui alt ransomware bine-cunoscut, Hermes, cu care împărtășesc o serie de funcții identice. Acesta este motivul pentru care Ryuk a fost inițial legat de grupul nord-coreean Lazarus, care la acea vreme era suspectat că se află în spatele ransomware-ului Hermes.
Serviciul Falcon X de la CrowdStrike a remarcat ulterior că Ryuk a fost de fapt creat de grupul WIZARD SPIDER [4].
Există unele dovezi care susțin această presupunere. În primul rând, acest ransomware a fost promovat pe site-ul web exploit.in, care este o piață de malware rusă binecunoscută și a fost asociată anterior cu unele grupuri rusești APT.
Acest fapt exclude teoria conform căreia Ryuk ar fi putut fi dezvoltat de grupul Lazarus APT, deoarece nu se potrivește cu modul în care funcționează grupul.
În plus, Ryuk a fost promovat ca un ransomware care nu va funcționa pe sistemele rusești, ucrainene și belaruse. Acest comportament este determinat de o caracteristică găsită în unele versiuni de Ryuk, unde verifică limba sistemului pe care rulează ransomware-ul și îl oprește să ruleze dacă sistemul are o limbă rusă, ucraineană sau belarusă. În cele din urmă, o analiză de specialitate a mașinii care a fost spartă de echipa WIZARD SPIDER a dezvăluit mai multe „artefacte” care ar fi fost folosite în dezvoltarea lui Ryuk ca variantă a ransomware-ului Hermes.
Pe de altă parte, experții Gabriela Nicolao și Luciano Martins au sugerat că ransomware-ul ar fi putut fi dezvoltat de grupul APT CryptoTech [5].
Acest lucru rezultă din faptul că cu câteva luni înainte de apariția lui Ryuk, acest grup a postat informații pe forumul aceluiași site că au dezvoltat o nouă versiune a ransomware-ului Hermes.
Mai mulți utilizatori de forum au pus întrebări dacă CryptoTech a creat de fapt Ryuk. Grupul s-a apărat apoi și a declarat că are dovezi că au dezvoltat 100% din ransomware.
2. Caracteristici
Începem cu bootloader-ul, a cărui sarcină este să identifice sistemul pe care se află, astfel încât să poată fi lansată versiunea „corectă” a ransomware-ului Ryuk.
Hash-ul bootloader-ului este următorul:
MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469
Una dintre caracteristicile acestui program de descărcare este că nu conține metadate, adică. Creatorii acestui malware nu au inclus nicio informație în el.
Uneori, acestea includ date eronate pentru a păcăli utilizatorul să creadă că rulează o aplicație legitimă. Totuși, așa cum vom vedea mai târziu, dacă infecția nu implică interacțiunea utilizatorului (cum este cazul acestui ransomware), atunci atacatorii nu consideră necesar să folosească metadate.
Orez. 6: Exemplu de metadate
Eșantionul a fost compilat în format pe 32 de biți, astfel încât să poată rula atât pe sisteme pe 32 de biți, cât și pe 64 de biți.
3. Vector de penetrare
Eșantionul care descarcă și rulează Ryuk a intrat în sistemul nostru printr-o conexiune de la distanță, iar parametrii de acces au fost obținuți printr-un atac RDP preliminar.
Orez. 7: Registrul de atac
Atacatorul a reușit să se conecteze la sistem de la distanță. După aceea, a creat un fișier executabil cu proba noastră.
Acest fișier executabil a fost blocat de o soluție antivirus înainte de a rula.
Orez. 8: Blocare model
Orez. 9: Blocare model
Când fișierul rău intenționat a fost blocat, atacatorul a încercat să descarce o versiune criptată a fișierului executabil, care a fost de asemenea blocată.
Orez. 10: Set de mostre pe care atacatorul a încercat să le ruleze
În cele din urmă, a încercat să descarce un alt fișier rău intenționat prin consola criptată
PowerShell pentru a ocoli protecția antivirus. Dar a fost și blocat.
Orez. 11: PowerShell cu conținut rău intenționat blocat
Orez. 12: PowerShell cu conținut rău intenționat blocat
4. Încărcător
Când se execută, scrie un fișier ReadMe în folder % Temp%, care este tipic pentru Ryuk. Acest fișier este o notă de răscumpărare care conține o adresă de e-mail în domeniul protonmail, care este destul de comună în această familie de programe malware: [e-mail protejat]
Orez. 13: Cerere de răscumpărare
În timp ce bootloader-ul rulează, puteți vedea că lansează mai multe fișiere executabile cu nume aleatorii. Sunt stocate într-un folder ascuns PUBLIC, dar dacă opțiunea nu este activă în sistemul de operare „Afișați fișierele și folderele ascunse”, atunci vor rămâne ascunse. Mai mult, aceste fișiere sunt pe 64 de biți, spre deosebire de fișierul părinte, care este pe 32 de biți.
Orez. 14: Fișiere executabile lansate de eșantion
După cum puteți vedea în imaginea de mai sus, Ryuk lansează icacls.exe, care va fi folosit pentru a modifica toate ACL-urile (liste de control acces), asigurând astfel accesul și modificarea steagurilor.
Obține acces complet pentru toți utilizatorii la toate fișierele de pe dispozitiv (/T), indiferent de erori (/C) și fără a afișa niciun mesaj (/Q).
Orez. 15: Parametrii de execuție ai icacls.exe lansat de eșantion
Este important să rețineți că Ryuk verifică ce versiune de Windows rulați. Pentru aceasta el
efectuează o verificare a versiunii folosind GetVersionExW, în care verifică valoarea steagului lpVersionInformationindicând dacă versiunea curentă de Windows este mai nouă decât Windows XP.
În funcție de dacă rulați o versiune mai ulterioară a Windows XP, încărcătorul de pornire va scrie în folderul utilizatorului local - în acest caz în folder %Public%.
Orez. 17: Verificarea versiunii sistemului de operare
Fișierul care se scrie este Ryuk. Apoi îl rulează, pasând propria adresă ca parametru.
Orez. 18: Executați Ryuk prin ShellExecute
Primul lucru pe care îl face Ryuk este să primească parametrii de intrare. De data aceasta, există doi parametri de intrare (executabilul în sine și adresa dropper) care sunt utilizați pentru a-și elimina propriile urme.
Orez. 19: Crearea unui proces
De asemenea, puteți vedea că odată ce și-a rulat executabilele, se șterge singur, fără a lăsa astfel nicio urmă a propriei sale prezențe în folderul în care a fost executat.
Orez. 20: Ștergerea unui fișier
5. RYUK
5.1 Prezența
Ryuk, ca și alte programe malware, încearcă să rămână pe sistem cât mai mult timp posibil. După cum se arată mai sus, o modalitate de a atinge acest obiectiv este să creați și să rulați în secret fișiere executabile. Pentru a face acest lucru, cea mai comună practică este schimbarea cheii de registry CurrentVersionRun.
În acest caz, puteți vedea că în acest scop va fi lansat primul fișier VWjRF.exe
(numele fișierului este generat aleatoriu) se lansează cmd.exe.
Orez. 21: Se execută VWjRF.exe
Apoi introduceți comanda ALERGA Cu nume "svchos„. Astfel, dacă doriți să verificați în orice moment cheile de registry, puteți rata cu ușurință această modificare, având în vedere asemănarea acestui nume cu svchost. Datorită acestei chei, Ryuk își asigură prezența în sistem. Dacă sistemul nu a a fost încă infectat, atunci când reporniți sistemul, executabilul va încerca din nou.
Orez. 22: Eșantionul asigură prezența în cheia de registry
De asemenea, putem vedea că acest executabil oprește două servicii:
"audioendpointbuilder", care, după cum sugerează și numele, corespunde audio de sistem,
Orez. 23: Sample oprește serviciul audio de sistem
и Samss, care este un serviciu de gestionare a contului. Oprirea acestor două servicii este o caracteristică a lui Ryuk. În acest caz, dacă sistemul este conectat la un sistem SIEM, ransomware-ul încearcă să oprească trimiterea către orice avertismente. În acest fel, el își protejează următorii pași, deoarece unele servicii SAM nu își vor putea începe lucrul corect după executarea Ryuk.
Orez. 24: Sample oprește serviciul Samss
5.2 Privilegii
În general, Ryuk începe prin a se deplasa lateral în cadrul rețelei sau este lansat de un alt malware, cum ar fi sau , care, în caz de escaladare a privilegiilor, transferă aceste drepturi crescute către ransomware.
În prealabil, ca un preludiu al procesului de implementare, îl vedem înfăptuind procesul Impersonate Self, ceea ce înseamnă că conținutul de securitate al jetonului de acces va fi transmis în flux, unde va fi preluat imediat folosind GetCurrentThread.
Orez. 25: Sunați la ImpersonateSelf
Vedem apoi că va asocia un token de acces cu un fir. Vedem, de asemenea, că unul dintre steaguri este Acces dorit, care poate fi folosit pentru a controla accesul pe care îl va avea firul. În acest caz, valoarea pe care o va primi edx ar trebui să fie TOKEN_ALL_ACESS sau altfel - TOKEN_WRITE.
Orez. 26: Crearea unui jeton de flux
Apoi va folosi SeDebugPrivilege și va efectua un apel pentru a obține permisiuni de depanare pe fir, rezultând PROCESS_ALL_ACCESS, el va putea accesa orice proces necesar. Acum, având în vedere că criptatorul are deja un flux pregătit, tot ce rămâne este să trecem la etapa finală.
Orez. 27: Apelarea funcției SeDebugPrivilege și de escaladare a privilegiilor
Pe de o parte, avem LookupPrivilegeValueW, care ne oferă informațiile necesare despre privilegiile pe care dorim să le creștem.
Orez. 28: Solicitați informații despre privilegii pentru escaladarea privilegiilor
Pe de altă parte, avem AdjustTokenPrivileges, ceea ce ne permite să obținem drepturile necesare asupra fluxului nostru. În acest caz, cel mai important lucru este NewState, al cărui steag îi va acorda privilegii.
Orez. 29: Configurarea permisiunilor pentru un token
5.3 Implementare
În această secțiune, vom arăta modul în care eșantionul realizează procesul de implementare menționat anterior în acest raport.
Scopul principal al procesului de implementare, precum și escaladarea, este de a obține acces la copii umbră. Pentru a face acest lucru, el trebuie să lucreze cu un fir cu drepturi mai mari decât cele ale utilizatorului local. Odată ce obține astfel de drepturi crescute, va șterge copii și va face modificări altor procese pentru a face imposibilă revenirea la un punct de restaurare anterior în sistemul de operare.
Așa cum este tipic cu acest tip de malware, folosește CreateToolHelp32Snapshotdeci ia un instantaneu al proceselor care rulează în prezent și încearcă să acceseze acele procese folosind OpenProcess. Odată ce obține acces la proces, deschide și un token cu informațiile sale pentru a obține parametrii procesului.
Orez. 30: Preluarea proceselor de pe un computer
Putem vedea dinamic cum primește lista proceselor care rulează în rutina 140002D9C folosind CreateToolhelp32Snapshot. După ce le primește, parcurge lista, încercând să deschidă procesele unul câte unul folosind OpenProcess până reușește. În acest caz, primul proces pe care l-a putut deschide a fost „taskhost.exe”.
Orez. 31: Executați dinamic o procedură pentru a obține un proces
Putem vedea că ulterior citește informațiile despre jetonul de proces, așa că sună OpenProcessToken cu parametrul "20008"
Orez. 32: Citiți informațiile despre simbolul de proces
De asemenea, verifică dacă procesul în care va fi injectat nu este csrss.exe, explorer.exe, lsaas.exe sau că are un set de drepturi autoritatea NT.
Orez. 33: Procese excluse
Putem vedea în mod dinamic cum efectuează mai întâi verificarea folosind informațiile din simbolul de proces 140002D9C pentru a afla dacă contul ale cărui drepturi sunt folosite pentru a executa un proces este un cont AUTORITATEA NT.
Orez. 34: verificarea AUTORITATEA NT
Iar ulterior, în afara procedurii, verifică să nu fie așa csrss.exe, explorer.exe sau lsaas.exe.
Orez. 35: verificarea AUTORITATEA NT
Odată ce a făcut un instantaneu al proceselor, a deschis procesele și a verificat că niciunul dintre ele nu este exclus, este gata să scrie în memorie procesele care vor fi injectate.
Pentru a face acest lucru, mai întâi își rezervă o zonă în memorie (VirtualAllocEx), scrie în el (WriteProcessmemory) și creează un fir (CreateRemoteThread). Pentru a lucra cu aceste funcții, folosește PID-urile proceselor selectate, pe care le-a obținut anterior utilizând CreateToolhelp32Snapshot.
Orez. 36: Cod încorporat
Aici putem observa în mod dinamic cum folosește procesul PID pentru a apela funcția VirtualAllocEx.
Orez. 37: Apelați VirtualAllocEx
5.4 Criptare
În această secțiune, ne vom uita la porțiunea de criptare a acestui eșantion. În imaginea următoare puteți vedea două subrutine numite "LoadLibrary_EncodeString„и”Encode_Func", care sunt responsabili pentru efectuarea procedurii de criptare.
Orez. 38: Proceduri de criptare
La început putem vedea cum se încarcă un șir care va fi folosit ulterior pentru a dezfunda tot ceea ce este necesar: importuri, DLL-uri, comenzi, fișiere și CSP-uri.
Orez. 39: Circuitul de deofuzare
Următoarea figură arată primul import pe care îl deobscurcă în registrul R4. LoadLibrary. Acesta va fi folosit mai târziu pentru a încărca DLL-urile necesare. Putem vedea, de asemenea, o altă linie în registrul R12, care este folosită împreună cu linia anterioară pentru a efectua deofuscare.
Orez. 40: Deofuscare dinamică
Continuă să descarce comenzi pe care le va rula ulterior pentru a dezactiva backup-urile, punctele de restaurare și modurile de pornire sigură.
Orez. 41: Se încarcă comenzi
Apoi încarcă locația în care va arunca 3 fișiere: Windows.bat, run.sct и începe.bat.
Orez. 42: Locațiile fișierelor
Aceste 3 fișiere sunt folosite pentru a verifica privilegiile pe care le are fiecare locație. Dacă privilegiile necesare nu sunt disponibile, Ryuk oprește execuția.
Continuă să încarce liniile corespunzătoare celor trei fișiere. Primul, DECRYPT_INFORMATION.html, conține informații necesare pentru a recupera fișierele. Al doilea, PUBLIC, conține cheia publică RSA.
Orez. 43: Linia DECRYPT INFORMATION.html
Al treilea, UNIQUE_ID_DO_NOT_REMOVE, conține cheia criptată care va fi utilizată în următoarea rutină pentru a efectua criptarea.
Orez. 44: Line ID UNIQUE NU ȘTERGE
În cele din urmă, descarcă bibliotecile necesare împreună cu importurile și CSP-urile necesare (Microsoft Enhanced RSA и Furnizor criptografic AES).
Orez. 45: Se încarcă biblioteci
După finalizarea tuturor deobscurcării, efectuează acțiunile necesare pentru criptare: enumerarea tuturor unităților logice, executarea a ceea ce a fost încărcat în rutina anterioară, consolidarea prezenței în sistem, aruncarea fișierului RyukReadMe.html, criptarea, enumerarea tuturor unităților din rețea. , trecerea la dispozitivele detectate și criptarea acestora.
Totul începe cu încărcarea"cmd.exe" și înregistrările cu chei publice RSA.
Orez. 46: Pregătirea pentru criptare
Apoi folosește toate unitățile logice GetLogicalDrives și dezactivează toate backup-urile, punctele de restaurare și modurile de pornire sigure.
Orez. 47: Dezactivarea instrumentelor de recuperare
După aceea, își întărește prezența în sistem, așa cum am văzut mai sus, și scrie primul fișier RyukReadMe.html в TEMP.
Orez. 48: Publicarea unei notificări de răscumpărare
În imaginea următoare puteți vedea cum creează un fișier, descarcă conținutul și îl scrie:
Orez. 49: Încărcarea și scrierea conținutului fișierului
Pentru a putea efectua aceleași acțiuni pe toate dispozitivele, el folosește
"icacls.exe", așa cum am arătat mai sus.
Orez. 50: Utilizarea icalcls.exe
Și, în sfârșit, începe să cripteze fișierele, cu excepția fișierelor „*.exe”, „*.dll”, fișierelor de sistem și a altor locații specificate sub forma unei liste albe criptate. Pentru a face acest lucru, folosește importuri: CryptAcquireContextW (unde se specifică utilizarea AES și RSA), CryptDeriveKey, CryptGenKey, CryptDestroyKey etc. De asemenea, încearcă să-și extindă acoperirea la dispozitivele de rețea descoperite folosind WNetEnumResourceW și apoi le criptează.
Orez. 51: Criptarea fișierelor de sistem
6. Importuri și steaguri corespunzătoare
Mai jos este un tabel care listează cele mai relevante importuri și steaguri utilizate de eșantion:
7. CIO
referințe
- utilizatoriPublicrun.sct
- Start MenuProgramsStartupstart.bat AppDataRoamingMicrosoftWindowsStart
- MenuProgramsStartupstart.bat
Un raport tehnic despre ransomware-ul Ryuk a fost întocmit de experții din laboratorul antivirus PandaLabs.
8. Legături
1. „Everis y Prisa Radio sufren un grave ciberataque que secuestra sus sistemas.”https://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, Publicada la 04/11/2019.
2. „Un virus de origen ruso ataca a importantes empresas españolas.” https: //elpais.com/tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, Publicada el 04/11/2019.
3. „Lucrare VB2019: răzbunarea lui Shinigami: coada lungă a malware-ului Ryuk.” https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, Publicada el 11 /12/2019
4. „Big Game Hunting with Ryuk: Another LucrativebTargeted Ransomware.” https://www. crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/, Publicat la 10/01/2019.
5. „Hârtie VB2019: răzbunarea lui Shinigami: coada lungă a malware-ului Ryuk.” https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigamis-revenge-long-tail-r
Sursa: www.habr.com