රියුක් යනු පසුගිය වසර කිහිපය තුළ වඩාත්ම කුප්රකට රැන්සම්වෙයාර් ප්රභේදයකි. එය 2018 ගිම්හානයේදී ප්රථම වරට දර්ශනය වූ දා සිට, එය රැස් කරගෙන ඇත , විශේෂයෙන්ම ව්යාපාරික පරිසරය තුළ, එය ඔහුගේ ප්රහාරවල ප්රධාන ඉලක්කය වේ.
1. සාමාන්ය තොරතුරු
මෙම ලේඛනයේ Ryuk ransomware හි ප්රභේදයක් මෙන්ම පද්ධතියට අනිෂ්ට මෘදුකාංගය පැටවීම සඳහා වගකිව යුතු පූරකය පිළිබඳ විශ්ලේෂණයක් අඩංගු වේ.
Ryuk ransomware මුලින්ම දර්ශනය වූයේ 2018 ගිම්හානයේදීය. Ryuk සහ අනෙකුත් ransomware අතර ඇති එක් වෙනසක් නම් එය ආයතනික පරිසරයන්ට පහර දීම අරමුණු කර ගෙන තිබීමයි.
2019 මැද භාගයේදී, සයිබර් අපරාධ කණ්ඩායම් මෙම ransomware භාවිතා කරමින් ස්පාඤ්ඤ සමාගම් විශාල ගණනකට පහර දුන්හ.
රූපය 1: රියුක් රැන්සම්වෙයාර් ප්රහාරය සම්බන්ධයෙන් එල් කොන්ෆිඩෙන්ෂල් වෙතින් උපුටා ගැනීම [1]
රූපය 2: රියුක් රැන්සම්වෙයාර් භාවිතයෙන් සිදු කරන ලද ප්රහාරය පිළිබඳ එල් පායිස් වෙතින් උපුටා ගැනීම [2]
මේ වසරේ රියුක් විවිධ රටවල සමාගම් විශාල සංඛ්යාවකට පහර දී තිබේ. පහත සංඛ්යාලේඛනවලින් ඔබට පෙනෙන පරිදි, ජර්මනිය, චීනය, ඇල්ජීරියාව සහ ඉන්දියාව වඩාත්ම පීඩාවට පත් විය.
සයිබර් ප්රහාර ගණන සංසන්දනය කිරීමේදී, රියුක් මිලියන ගණනක් පරිශීලකයින්ට බලපෑම් කළ බවත්, විශාල දත්ත ප්රමාණයක් අවදානමට ලක් කළ බවත්, එහි ප්රතිඵලයක් ලෙස බරපතල ආර්ථික හානියක් සිදු වූ බවත් අපට පෙනේ.
රූපය 3: රියුක්ගේ ගෝලීය ක්රියාකාරකම් පිළිබඳ නිදර්ශනය.
රූපය 4: රියුක් රෝගයෙන් වැඩිපුරම බලපෑමට ලක් වූ රටවල් 16
රූපය 5: රියුක් රැන්සම්වෙයාර් මගින් පහර දුන් පරිශීලකයින් සංඛ්යාව (මිලියන ගණනින්)
එවැනි තර්ජන සඳහා සාමාන්ය දෙයක් ලෙස, සංකේතනය සම්පූර්ණ වූ පසු, ransomware මඟින් වින්දිතයාට කප්පම් සටහනක් පෙන්වන අතර, සංකේතනය කළ ගොනු වෙත ප්රවේශය යථා තත්ත්වයට පත් කිරීම සඳහා එය නිශ්චිත ලිපිනයකට බිට්කොයින් වලින් ගෙවිය යුතුය.
මෙම අනිෂ්ට මෘදුකාංගය මුලින්ම දර්ශනය වූ දා සිට වෙනස් වී ඇත.
මෙම පත්රිකාවේ විශ්ලේෂණය කරන ලද මෙම තර්ජනයේ ප්රභේදය 2020 ජනවාරි මාසයේ ප්රහාරයක් එල්ල කිරීමට ගත් උත්සාහයකදී සොයා ගන්නා ලදී.
එහි සංකීර්ණත්වය නිසා, මෙම අනිෂ්ට මෘදුකාංගය බොහෝ විට සංවිධානාත්මක සයිබර් අපරාධ කණ්ඩායම් වෙත ආරෝපණය කර ඇති අතර එය APT කණ්ඩායම් ලෙසද හැඳින්වේ.
රියුක්ගේ සමහර කේතයන් තවත් ප්රසිද්ධ රැන්සම්වෙයාර් වැඩසටහනක් වන හර්මීස් හි කේතයට සහ ව්යුහයට සැලකිය යුතු සමානකමක් දරයි, එය සමඟ කාර්යයන් ගණනාවක් බෙදා ගනී. මේ නිසා රියුක් මුලින් උතුරු කොරියානු කණ්ඩායම වන ලාසරස් සමඟ සම්බන්ධ වූ අතර, එය හර්මීස් රැන්සම්වෙයාර් පිටුපස සිටින බවට සැක කරන ලදී.
CrowdStrike හි Falcon X සේවාව පසුව සඳහන් කළේ Ryuk ඇත්ත වශයෙන්ම WIZARD SPIDER කණ්ඩායම විසින් නිර්මාණය කරන ලද බවයි [4].
මෙම උපකල්පනයට සහාය දැක්වීමට සාක්ෂි කිහිපයක් තිබේ. පළමුව, මෙම ransomware එක exploit.in වෙබ් අඩවියේ ප්රචාරය කරන ලදී, එය කලින් රුසියානු APT කණ්ඩායම් කිහිපයක් සමඟ සම්බන්ධ වූ සුප්රසිද්ධ රුසියානු අනිෂ්ට මෘදුකාංග වෙළඳපොළකි.
මෙම කරුණ මඟින් රියුක් APT කණ්ඩායමේ ලාසරස් විසින් සංවර්ධනය කර ඇති බවට ඇති න්යාය බැහැර කරයි, මන්ද එය කණ්ඩායමේ මෙහෙයුම් විලාසයට නොගැලපේ.
තවද, රියුක් රුසියානු, යුක්රේන හෝ බෙලාරුසියානු පද්ධතිවල ක්රියා නොකරන රැන්සම්වෙයාර් එකක් ලෙස ප්රචාරය කරන ලදී. මෙම හැසිරීම සිදුවන්නේ රියුක් හි සමහර අනුවාදවල දක්නට ලැබෙන ශ්රිතයක් නිසා වන අතර එය රැන්සම්වෙයාර් ක්රියාත්මක වන පද්ධතියේ භාෂාව පරීක්ෂා කර පද්ධතිය රුසියානු, යුක්රේන හෝ බෙලාරුසියානු ධාවනය කරන්නේ නම් එය නවත්වයි. අවසාන වශයෙන්, WIZARD SPIDER කණ්ඩායම විසින් හැක් කරන ලද යන්ත්රයක් පිළිබඳ විශේෂඥ විශ්ලේෂණයකින් හර්මීස් රැන්සම්වෙයාර් හි ප්රභේදයක් ලෙස රියුක් සංවර්ධනය කිරීමේදී භාවිතා කළ බවට අනුමාන කරන "කෞතුක වස්තු" කිහිපයක් අනාවරණය විය.
අනෙක් අතට, ගේබ්රියෙලා නිකොලාඕ සහ ලුසියානෝ මාටින්ස් යන විශේෂඥයින් යෝජනා කළේ මෙම රැන්සම්වෙයාර් APT කණ්ඩායම වන CryptoTech විසින් සංවර්ධනය කර ඇති බවයි [5].
රියුක් පෙනී සිටීමට මාස කිහිපයකට පෙර, මෙම කණ්ඩායම හර්මීස් රැන්සම්වෙයාර් හි නව අනුවාදයක් සංවර්ධනය කර ඇති බව එම වෙබ් අඩවියේම සංසදයේ පළ කිරීමෙන් මෙය අනුගමනය කෙරේ.
CryptoTech ඇත්තටම Ryuk නිර්මාණය කළේද යන්න පිළිබඳව සංසද පරිශීලකයින් කිහිප දෙනෙකු ප්රශ්න කළහ. පසුව එම කණ්ඩායම තමන්ව ආරක්ෂා කර ගත් අතර ransomware වලින් 100% ක් සංවර්ධනය කර ඇති බවට සාක්ෂි ඇති බව කියා සිටියේය.
2. ලක්ෂණ
අපි පටන් ගන්නේ ඇරඹුම් කාරකයෙන්, එහි කාර්යය වන්නේ එය ක්රියාත්මක වන පද්ධතිය හඳුනා ගැනීමයි, එවිට Ryuk ransomware හි "නිවැරදි" අනුවාදය ක්රියාත්මක කළ හැකිය.
bootloader හැෂ් එක පහත පරිදි වේ:
MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469
මෙම බාගත කරන්නාගේ එක් විශේෂත්වයක් නම් එහි කිසිදු මෙටාඩේටා අඩංගු නොවීමයි, එනම් මෙම අනිෂ්ට මෘදුකාංගයේ නිර්මාතෘවරුන් එයට කිසිදු තොරතුරක් ඇතුළත් කර නොතිබීමයි.
සමහර විට ඔවුන් නීත්යානුකූල යෙදුමක් දියත් කරන බව පරිශීලකයා රැවටීමට වැරදි දත්ත ඇතුළත් කරයි. කෙසේ වෙතත්, අපි පසුව බලමු, ආසාදනයට පරිශීලක අන්තර්ක්රියා අවශ්ය නොවේ නම් (මෙම ransomware සමඟ ඇති පරිදි), ප්රහාරකයින් මෙටාඩේටා භාවිතා කිරීම අවශ්ය යැයි සලකන්නේ නැත.
රූපය 6: නියැදි මෙටාඩේටා
නියැදිය 32-බිට් සහ 64-බිට් පද්ධති දෙකෙහිම ක්රියාත්මක කළ හැකි වන පරිදි 32-බිට් ආකෘතියෙන් සම්පාදනය කරන ලදී.
3. විනිවිද යාමේ දෛශිකය
රියුක් බාගත කර ක්රියාත්මක කරන නියැදිය දුරස්ථ සම්බන්ධතාවයක් හරහා අපගේ පද්ධතියට ඇතුළු වූ අතර, මූලික RDP ප්රහාරයක් හරහා අක්තපත්ර ලබා ගන්නා ලදී.
රූපය 7: ප්රහාරක ලේඛනය
ප්රහාරකයාට දුරස්ථව පද්ධතියට ඇතුළු වීමට හැකි විය. පසුව, ඔවුන් අපගේ නියැදිය අඩංගු ක්රියාත්මක කළ හැකි ගොනුවක් නිර්මාණය කළහ.
මෙම ක්රියාත්මක කළ හැකි ගොනුව ක්රියාත්මක වීමට පෙර ප්රති-වයිරස විසඳුමක් මඟින් අවහිර කරන ලදී.
රූපය 8: නියැදි අවහිර කිරීම
රූපය 9: නියැදි අවහිර කිරීම
අනිෂ්ට ගොනුව අගුළු දැමූ පසු, ප්රහාරකයා ක්රියාත්මක කළ හැකි ගොනුවේ සංකේතාත්මක අනුවාදයක් බාගත කිරීමට උත්සාහ කළ අතර එයද අගුළු දමා තිබුණි.
රූපය 10: ප්රහාරකයා ක්රියාත්මක කිරීමට උත්සාහ කළ සාම්පල කට්ටලයක්
අවසානයේ, ඔහු සංකේතාත්මක කොන්සෝලය හරහා තවත් ද්වේෂසහගත ගොනුවක් බාගත කිරීමට උත්සාහ කළේය.
ප්රති-වයිරස ආරක්ෂාව මඟ හැරීමට PowerShell භාවිතා කරන ලදී. නමුත් එය ද අවහිර කරන ලදී.
රූපය 11: අනිෂ්ට අන්තර්ගතයන් සහිත PowerShell අවහිර කර ඇත
රූපය 12: අනිෂ්ට අන්තර්ගතයන් සහිත PowerShell අවහිර කර ඇත
4. ලෝඩරය
එය ක්රියාත්මක වන විට, එය ෆෝල්ඩරයට ReadMe ගොනුවක් ලියයි. % temp%, එය Ryuk හි සාමාන්ය වේ. මෙම ගොනුව protonmail වසමේ විද්යුත් තැපැල් ලිපිනයක් අඩංගු කප්පම් සටහනක් වන අතර එය මෙම අනිෂ්ට මෘදුකාංග පවුල තුළ බහුලව දක්නට ලැබේ: msifelabem1981@protonmail.com වෙත විද්යුත් තැපෑල යවන්න.
රූපය 13: කප්පම් ඉල්ලුම
බාගත කරන්නා ක්රියාත්මක වන අතරතුර, අහඹු නම් සහිත ක්රියාත්මක කළ හැකි ගොනු කිහිපයක් එය දියත් කරන බව ඔබට පෙනෙනු ඇත. ඒවා සැඟවුණු ෆෝල්ඩරයක ගබඩා කර ඇත. පොදු, නමුත් විකල්පය මෙහෙයුම් පද්ධතිය තුළ සක්රිය නොවේ නම් සැඟවුණු ගොනු සහ ෆෝල්ඩර පෙන්වන්න, ඒවා සැඟවී පවතිනු ඇත. එපමණක් නොව, මෙම ගොනු මව් ගොනුව මෙන් නොව 64-බිට් වේ, එය 32-බිට් වේ.
රූපය 14: නියැදිය මඟින් දියත් කරන ලද ක්රියාත්මක කළ හැකි ගොනු
ඉහත රූපයේ ඔබට දැකිය හැකි පරිදි, Ryuk විසින් icacls.exe ධාවනය කරනු ලබන අතර එය සියලුම ACL (ප්රවේශ පාලන ලැයිස්තු) වෙනස් කිරීමට භාවිතා කරනු ඇත, එමඟින් ප්රවේශය සහ ධජ වෙනස්කම් සහතික කෙරේ.
දෝෂ (/C) නොසලකා සහ කිසිදු පණිවිඩයක් (/Q) නොපෙන්වා, උපාංගයේ ඇති සියලුම ගොනු වෙත සියලුම පරිශීලකයින් යටතේ (/T) සම්පූර්ණ ප්රවේශය එයට ලැබේ.
රූපය 15: නියැදිය මඟින් දියත් කරන ලද icacls.exe හි ක්රියාත්මක කිරීමේ පරාමිතීන්
Ryuk විසින් ක්රියාත්මක වන Windows අනුවාදය පරීක්ෂා කරන බව සැලකිල්ලට ගැනීම වැදගත්ය. මෙය සිදු කිරීම සඳහා, එය
භාවිතා කරමින් අනුවාද පරීක්ෂාවක් සිදු කරයි අනුවාදයExW ලබා ගන්න, එය ධජයේ අගය පරීක්ෂා කරන lpඅනුවාද තොරතුරු, වත්මන් වින්ඩෝස් අනුවාදය පසුවද යන්න පෙන්වයි වින්ඩෝස් එක්ස්පී.
ඔබ Windows XP වලට වඩා පසු අනුවාදයක් ධාවනය කරන්නේද යන්න මත පදනම්ව, ඇරඹුම් කාරකය දේශීය පරිශීලක ෆෝල්ඩරයට ලියනු ඇත - මෙම අවස්ථාවේදී, ෆෝල්ඩරය %පොදු%.
රූපය 17: මෙහෙයුම් පද්ධති අනුවාදය පරීක්ෂා කිරීම
ලියනු ලබන ගොනුව Ryuk වේ. ඉන්පසු එය එය ක්රියාත්මක කරයි, පරාමිතියක් ලෙස තමන්ගේම ලිපිනය ලබා දෙයි.
රූපය 18: ShellExecute හරහා Ryuk ක්රියාත්මක කිරීම
රියුක් මුලින්ම කරන්නේ ආදාන පරාමිතීන් ලබා ගැනීමයි. මෙවර, ආදාන පරාමිතීන් දෙකක් ඇත (ක්රියාත්මක කළ හැකි දේ සහ ඩ්රොපර් ලිපිනය), ඒවා තමන්ගේම සලකුණු ඉවත් කිරීමට භාවිතා කරයි.
රූපය 19: ක්රියාවලියක් නිර්මාණය කිරීම
එය එහි ක්රියාත්මක කළ හැකි ගොනු ක්රියාත්මක කළ පසු, එය තනිවම මකා දමන බවත්, එමඟින් එය ක්රියාත්මක කළ ෆෝල්ඩරයේ එහි පැවැත්ම පිළිබඳ කිසිදු හෝඩුවාවක් ඉතිරි නොවන බවත් ඔබට දැක ගත හැකිය.
රූපය 20: ගොනුවක් මකා දැමීම
5. රියුක්
5.1 පැවැත්ම
අනෙකුත් අනිෂ්ට මෘදුකාංග මෙන් රියුක් ද හැකි තාක් කල් පද්ධතිය තුළ රැඳී සිටීමට උත්සාහ කරයි. ඉහත පෙන්වා ඇති පරිදි, මෙය සාක්ෂාත් කර ගැනීමට එක් ක්රමයක් වන්නේ රහසිගතව ක්රියාත්මක කළ හැකි ගොනු නිර්මාණය කර ක්රියාත්මක කිරීමයි. මේ සඳහා වඩාත් පොදු ක්රමය වන්නේ රෙජිස්ට්රි යතුරක් වෙනස් කිරීමයි. වත්මන් අනුවාදය ධාවනය.
මෙම අවස්ථාවේදී, මෙම කාර්යය සඳහා ක්රියාත්මක කළ යුතු පළමු ගොනුව බව ඔබට දැක ගත හැකිය වීඩබ්ලිව්ජආර්එෆ්.එක්ස්
(ගොනු නාමය අහඹු ලෙස ජනනය කර ඇත) දියත් කරයි cmd.exe.
රූපය 21: VWjRF.exe ගොනුව ක්රියාත්මක කිරීම
ඉන්පසු විධානය ඇතුළත් කරනු ලැබේ RUN "නම සමඟ"svchos විසින් තවත්". එමනිසා, ඔබ ඕනෑම වේලාවක ඔබේ රෙජිස්ට්රි යතුරු පරීක්ෂා කළහොත්, මෙම නම svchost හා සමාන බැවින් ඔබට මෙම වෙනස පහසුවෙන් මග හැරිය හැක. පද්ධතිය තුළ එහි පැවැත්ම සහතික කිරීම සඳහා රියුක් මෙම යතුර භාවිතා කරයි. පද්ධතිය තවමත් ආසාදනය වී නොමැති නම්, ඔබ නැවත ආරම්භ කරන විට ක්රියාත්මක කළ හැකි ගොනුව නැවත උත්සාහ කරනු ඇත.
රූපය 22: නියැදිය රෙජිස්ට්රි යතුරේ පැවැත්ම සහතික කරයි
මෙම ක්රියාත්මක කළ හැකි ගොනුව සේවා දෙකක් නවත්වන බව අපට දැක ගත හැකිය:
"ශ්රව්ය අන්ත ලක්ෂ්ය සාදන්නා", එහි නමට අනුව, පද්ධති ශ්රව්යයට අනුරූප වේ,
රූපය 23: නියැදිය පද්ධති ශ්රව්ය සේවාව නතර කරයි
и සැම්ස්, එය ගිණුම් කළමනාකරණ සේවාවයි. මෙම සේවාවන් දෙක නැවැත්වීම රියුක් හි ලක්ෂණයකි. මෙම අවස්ථාවේදී, පද්ධතිය SIEM පද්ධතියකට සම්බන්ධ කර ඇත්නම්, ransomware යැවීම නැවැත්වීමට උත්සාහ කරයි අනතුරු ඇඟවීම් නිකුත් නොකෙරේ. රියුක් ක්රියාත්මක කිරීමෙන් පසු සමහර SAM සේවාවන් නිවැරදිව ආරම්භ කිරීමට නොහැකි වන බැවින්, මෙය ඔහුගේ ඊළඟ පියවර ආරක්ෂා කරයි.
රූපය 24: නියැදිය Samss සේවාව නවත්වයි
5.2 වරප්රසාද
සාමාන්යයෙන් කිවහොත්, රියුක් ආරම්භ වන්නේ ජාලයක් තුළ පාර්ශ්වීයව ගමන් කිරීමෙනි, නැතහොත් එය වෙනත් අනිෂ්ට මෘදුකාංගයක් මඟින් දියත් කරනු ලැබේ, උදාහරණයක් ලෙස හෝ , එමඟින් වරප්රසාද ඉහළ යාමකදී, මෙම ඉහළ අයිතිවාසිකම් ransomware වෙත මාරු කරනු ලැබේ.
ක්රියාත්මක කිරීමේ ක්රියාවලියට පෙරවදනක් ලෙස, අපි ඔහු එම ක්රියාවලිය සිදු කරන ආකාරය දකිමු. තමා ලෙසම අනුකරණය කරන්න, එනම් ප්රවේශ ටෝකනයේ ආරක්ෂක අන්තර්ගතය ප්රවාහයට යවනු ලබන අතර, එහිදී එය වහාම ලබා ගනු ඇත. වත්මන් නූල් ලබා ගන්න.
රූපය 25: අනුකරණය කරන්නෙකු ලෙස හැඳින්වීම
එවිට අපට පෙනෙන්නේ එය ප්රවාහය සමඟ ප්රවේශ ටෝකනයක් සම්බන්ධ කරන බවයි. තවද අපට පෙනෙන්නේ එක් ධජයක් අපේක්ෂිත ප්රවේශය, එය නූල් එකට ලැබෙන ප්රවේශය පාලනය කිරීමට භාවිතා කළ හැකිය. මෙම අවස්ථාවේදී, edx වෙත ලැබෙන අගය විය යුතුය ටෝකන්_සියලු_ඒසීඑස්එස් හෝ වෙනත් ආකාරයකින් - ටෝකන්_ලිවීම.
සහල්. 26: ප්රවාහ ටෝකනයක් නිර්මාණය කිරීම
එවිට ඔහු භාවිතා කරනු ඇත SeDebug වරප්රසාදය සහ නූල් එකේ නිදොස් කිරීමේ අවසර ලබා ගැනීමට ඇමතුමක් ලබා දෙනු ඇත, එහි ප්රතිඵලයක් ලෙස, සඳහන් කිරීමෙන් ක්රියාවලිය_සියලුම_ප්රවේශය, එයට අවශ්ය ඕනෑම ක්රියාවලියකට ප්රවේශ වීමට හැකි වනු ඇත. දැන්, ransomware සතුව දැනටමත් සූදානම් කළ ප්රවාහයක් ඇති බැවින්, ඉතිරිව ඇත්තේ අවසාන අදියර කරා යාම පමණි.
රූපය 27: SeDebugPrivilege ඇමතුම් සහ වරප්රසාද උත්සන්න කිරීමේ ශ්රිතය
එක් අතකින්, අපට LookupPrivilegeValueW ඇත, එය අපට වැඩි කිරීමට අවශ්ය වරප්රසාද පිළිබඳ අවශ්ය තොරතුරු සපයයි.
රූපය 28: වැඩිවීම සඳහා වරප්රසාද පිළිබඳ තොරතුරු ඉල්ලා සිටීම
අනෙක් අතට, අපට තිබේ ටෝකන් වරප්රසාද සකසන්න, එමඟින් අපගේ ප්රවාහයට අවශ්ය අයිතිවාසිකම් ලබා ගැනීමට අපට ඉඩ සලසයි. මෙම අවස්ථාවේදී, වඩාත්ම වැදගත් දෙය නම් නිව්ස්ටේට්, කාගේ ධජය වරප්රසාද ලබා දෙනු ඇත.
රූපය 29: ටෝකන් අවසර සැකසීම
5.3 ක්රියාත්මක කිරීම
මෙම කොටසේදී, මෙම වාර්තාවේ කලින් සඳහන් කළ ක්රියාත්මක කිරීමේ ක්රියාවලිය නියැදිය මඟින් සිදු කරන ආකාරය අපි පෙන්වමු.
ක්රියාත්මක කිරීමේ ක්රියාවලියේ ප්රධාන ඉලක්කය මෙන්ම උත්සන්න කිරීම, ප්රවේශය ලබා ගැනීමයි සෙවනැලි පිටපත්මෙය සිදු කිරීම සඳහා, එය දේශීය පරිශීලකයාට වඩා ඉහළ වරප්රසාද සහිත නූලක ක්රියාත්මක විය යුතුය. එය මෙම ඉහළ වරප්රසාද ලබා ගත් පසු, එය පිටපත් මකා දමා මෙහෙයුම් පද්ධතියේ පෙර ප්රතිසාධන ලක්ෂ්යයකට ආපසු යාමට නොහැකි වන පරිදි අනෙකුත් ක්රියාවලීන් වෙනස් කරනු ඇත.
මෙම වර්ගයේ අනිෂ්ට මෘදුකාංග සමඟ සාමාන්ය පරිදි, එය එන්නත් කිරීම සිදු කිරීම සඳහා ගෙවීම් බරක් භාවිතා කරයි. CreateToolHelp32Snapshot, එබැවින් එය දැනට ක්රියාත්මක වන ක්රියාවලීන්ගේ සැණෙළියක් ගෙන එම ක්රියාවලීන් වෙත ප්රවේශ වීමට උත්සාහ කරයි OpenProcessඑය ක්රියාවලියට ප්රවේශය ලබා ගත් පසු, ක්රියාවලි පරාමිතීන් ලබා ගැනීම සඳහා එහි තොරතුරු සහිත ටෝකනයක් ද විවෘත කරයි.
රූපය 30: පරිගණකයකින් ක්රියාවලි ලබා ගැනීම
CreateToolhelp32Snapshot භාවිතයෙන් 140002D9C උප චර්යාවේ ක්රියාත්මක වන ක්රියාවලි ලැයිස්තුවක් ගතිකව ලබා ගන්නා ආකාරය අපට දැක ගත හැකිය. එය ඒවා ලබා ගත් පසු, එය ලැයිස්තුව හරහා නැවත නැවත සිදු කරයි, එය සාර්ථක වන තෙක් OpenProcess භාවිතයෙන් එක් එක් ක්රියාවලිය එකින් එක විවෘත කිරීමට උත්සාහ කරයි. මෙම අවස්ථාවේදී, එය විවෘත කිරීමට හැකි වූ පළමු ක්රියාවලිය වූයේ taskhost.exe බාගන්න.
රූපය 31: ක්රියාවලියක් ලබා ගැනීම සඳහා ක්රියා පටිපාටියක් ගතිකව ක්රියාත්මක කිරීම
එය පසුව ක්රියාවලි ටෝකන් තොරතුරු කියවන බව අපට දැක ගත හැකිය, එබැවින් එය අමතන්නේ විවෘත ක්රියාවලිය ටෝකනය "" පරාමිතිය සමඟ20008"
රූපය 32: ක්රියාවලි ටෝකන් තොරතුරු කියවීම
එය ක්රියාත්මක කරනු ලබන ක්රියාවලිය එසේ නොවන බව ද එය පරීක්ෂා කරයි csrss.exe, එක්ස්ප්ලෝරර්.එක්ස්, එල්එස්ඒඒඑස්.එක්ස් නැතහොත් ඔහුට අයිතිවාසිකම් කට්ටලයක් ඇති බව NT අධිකාරිය.
රූපය 33: බැහැර කරන ලද ක්රියාවලීන්
ක්රියාවලි ටෝකන් තොරතුරු භාවිතා කරමින් එය මුලින්ම පරීක්ෂාවක් සිදු කරන ආකාරය අපට ගතිකව දැක ගත හැකිය 140002D9C ක්රියාවලිය ක්රියාත්මක කිරීමට අයිතිවාසිකම් භාවිතා කරන ගිණුම ගිණුමද යන්න සොයා ගැනීමට NT අධිකාරිය.
සහල්. 34: NT අධිකාරියේ පරීක්ෂාව
පසුව, ක්රියා පටිපාටියෙන් පිටත, ඔහු එය එසේ නොවන බව පරීක්ෂා කරයි csrss.exe, එක්ස්ප්ලෝරර්.exe හෝ lsaas.exe ගොනුව.
සහල්. 35: NT අධිකාරියේ පරීක්ෂාව
එය ක්රියාවලිවල සැණෙළියක් ගෙන, ක්රියාවලි විවෘත කර, ඒවා කිසිවක් බැහැර කර නොමැති බව සත්යාපනය කළ පසු, මතකයට එන්නත් කිරීම සඳහා ක්රියාවලි ලිවීමට එය සූදානම් වේ.
මෙය සිදු කිරීම සඳහා, එය මුලින්ම මතකයේ ප්රදේශයක් වෙන් කරයි (වර්චුවල්ඇලොක්එක්ස්), එයට ලියයි (ලිවීමේ ක්රියාවලිය මතකය) සහ ධාරාවක් නිර්මාණය කරයි (දුරස්ථ නූල් සාදන්න). මෙම ශ්රිත සමඟ වැඩ කිරීමට, එය කලින් ලබාගත් තෝරාගත් ක්රියාවලීන්ගේ PID භාවිතා කරයි. මෙවලම් සාදන්නhelp32Snapshot.
රූපය 36: කාවැද්දූ කේතය
මෙහිදී අපට ශ්රිතය ඇමතීමට ක්රියාවලිය PID භාවිතා කරන ආකාරය ගතිකව නිරීක්ෂණය කළ හැකිය. වර්චුවල් ඇලෝක්එක්ස්.
රූපය 37: VirtualAllocEx ඇමතීම
5.4 සංකේතනය
මෙම කොටසේදී, අපි මෙම නියැදියේ සංකේතාංකන කොටස දෙස බලමු. පහත රූපයේ, ඔබට "" ලෙස නම් කර ඇති උප චර්යා දෙකක් දැකිය හැකිය.LoadLibrary_EncodeString"සහ"එන්කෝඩ්_ෆන්ක්", සංකේතාංකන ක්රියා පටිපාටිය ක්රියාත්මක කිරීම සඳහා වගකිව යුතු ය.
රූපය 38: සංකේතාංකන ක්රියා පටිපාටි
ආරම්භයේදී අපට එය string එකක් පූරණය කරන ආකාරය දැක ගත හැකි අතර එය පසුව අවශ්ය සියල්ල deobfuscate කිරීමට භාවිතා කරනු ඇත: imports, DLLs, commands, files සහ CSPs.
රූපය 39: ඩිඕබ්ෆස්කේෂන් දාමය
පහත රූපයේ දැක්වෙන්නේ එය R4 ලේඛනයේ ඩිඕබ්ෆස්කේට් කරන පළමු ආයාතයයි, පැටවුම් පුස්තකාලයඅවශ්ය DLL පූරණය කිරීම සඳහා මෙය පසුව භාවිතා කරනු ඇත. අපට තවත් නූලක් R12 ලේඛනයේ දැකිය හැකිය, එය පෙර නූල සමඟ ඒකාබද්ධව deobfuscation සිදු කිරීමට භාවිතා කරයි.
රූපය 40: ගතික විසංයෝජනය
උපස්ථ, ප්රතිසාධන ලක්ෂ්ය සහ ආරක්ෂිත ඇරඹුම් මාතයන් අක්රිය කිරීමට පසුව ක්රියාත්මක කරන විධාන එය දිගටම පූරණය කරයි.
රූපය 41: විධාන පූරණය කිරීම
ඉන්පසු ඔහු ගොනු 3ක් දමන ස්ථානයක් පූරණය කරයි: වින්ඩෝස්.බැට්, ධාවනය.sct и start.bat (ආරම්භ කරන්න).
රූපය 42: ගොනු ස්ථාන
මෙම ගොනු තුන භාවිතා කරනුයේ එක් එක් ස්ථානයේ වරප්රසාද පරීක්ෂා කිරීමටයි. අවශ්ය වරප්රසාද නොමැති නම්, රියුක් ක්රියාත්මක කිරීම නවත්වයි.
එය ගොනු තුනකට අනුරූප රේඛා පූරණය කිරීම දිගටම කරගෙන යයි. පළමු එක, DECRYPT_INFORMATION.html, ගොනු නැවත ලබා ගැනීමට අවශ්ය තොරතුරු අඩංගු වේ. දෙවැන්න, පොදු, හි RSA පොදු යතුර අඩංගු වේ.
රූපය 43: DECRYPT INFORMATION.html රේඛාව
තෙවනුව, අද්විතීය_හැඳුනුම්පත_ඉවත් නොකරන්න_කරන්න, හි සංකේතනය සිදු කිරීම සඳහා ඊළඟ චර්යාවේ භාවිතා කරන සංකේතාත්මක යතුර අඩංගු වේ.
රූපය 44: අද්විතීය හැඳුනුම්පත ඉවත් නොකරන්න රේඛාව
අවසාන වශයෙන්, එය අවශ්ය පුස්තකාල සහ අවශ්ය ආයාත සහ CSP පූරණය කරයි (මයික්රොසොෆ්ට් වැඩිදියුණු කළ RSA и AES ගුප්ත ලේඛන සැපයුම්කරු).
රූපය 45: පුස්තකාල පූරණය කිරීම
සියලුම deobfuscation අවසන් වූ පසු, එය සංකේතනය සඳහා අවශ්ය ක්රියා සිදු කිරීමට ඉදිරියට යයි: සියලුම තාර්කික ධාවක ගණන් කිරීම, පෙර උප චර්යාවේ පටවා ඇති දේ ක්රියාත්මක කිරීම, පද්ධතිය තුළ එහි පැවැත්ම ශක්තිමත් කිරීම, RyukReadMe.html ගොනුව අතහැර දැමීම, සංකේතනය කිරීම, සියලුම ජාල ධාවක ගණන් කිරීම, අනාවරණය කරගත් උපාංග වෙත මාරු වීම සහ ඒවා සංකේතනය කිරීම.
ඒ සියල්ල ආරම්භ වන්නේ "පූරණය කිරීමෙනි"cmd.exe"සහ පොදු RSA යතුරේ වාර්තා.
රූපය 46: සංකේතනය සඳහා සූදානම් වීම
ඉන්පසු එය භාවිතා කරන සියලුම තාර්කික ධාවක ලබා ගනී ලොජිකල් ඩ්රයිව්ස් ලබා ගන්න සහ සියලුම උපස්ථ, ප්රතිස්ථාපන ලක්ෂ්ය සහ ආරක්ෂිත ඇරඹුම් මාතයන් අක්රීය කරයි.
රූපය 47: ප්රතිසාධන මෙවලම් අක්රිය කිරීම
මෙයින් පසු, අප ඉහත දුටු පරිදි, එය පද්ධතිය තුළ එහි පැවැත්ම ශක්තිමත් කර පළමු ගොනුව ලියයි. රියුක් රීඩ්මී.එච්ටීඑම්එල් в තාවකාලික.
රූපය 48: කප්පම් දැන්වීමක් ප්රකාශයට පත් කිරීම
පහත රූපයේ ඔබට එය ගොනුවක් නිර්මාණය කරන ආකාරය, අන්තර්ගතය පූරණය කරන ආකාරය සහ එය ලියන ආකාරය දැක ගත හැකිය:
රූපය 49: ගොනු අන්තර්ගතය පූරණය කිරීම සහ ලිවීම
සියලුම උපාංගවල එකම ක්රියා සිදු කිරීමට හැකිවීම සඳහා, එය භාවිතා කරන්නේ
"icacls.exe භාවිතා කරන්න", අපි ඉහත පෙන්වා දුන් පරිදි.
රූපය 50: icalcls.exe භාවිතා කිරීම
අවසාන වශයෙන්, එය *.exe, *.dll, පද්ධති ගොනු සහ සංකේතනය කළ සුදු ලැයිස්තුවක නිශ්චිතව දක්වා ඇති අනෙකුත් ස්ථාන හැර ගොනු සංකේතනය කිරීම ආරම්භ කරයි. මෙය සිදු කිරීම සඳහා, එය ආයාත භාවිතා කරයි: CryptAcquireContextW (AES සහ RSA භාවිතය දක්වා ඇති තැන), CryptDeriveKey, CryptGenKey, ක්රිප්ට්ඩෙස්ට්රොයිකී ආදිය WNetEnumResourceW භාවිතයෙන් සොයාගත් ජාල උපාංග වෙත එහි ක්රියාකාරිත්වය දීර්ඝ කර ඒවා සංකේතනය කිරීමට ද උත්සාහයක් ගනු ලැබේ.
රූපය 51: පද්ධති ගොනු සංකේතනය කිරීම
6. ආනයන සහ අනුරූප කොඩි
පහත දැක්වෙන්නේ නියැදිය විසින් භාවිතා කරන ලද වඩාත්ම අදාළ ආනයන සහ කොඩි ලැයිස්තුගත කරන වගුවකි:
7. අයිඕසී
යොමු
- පරිශීලකයන්පබ්ලික්රන්.එස්.සී.ටී.
- ආරම්භක MenuProgramsStartupstart.bat AppDataRoamingMicrosoftWindowsStart
- මෙනු වැඩසටහන් ආරම්භ කරන්න.bat
Ryuk ransomware පිළිබඳ තාක්ෂණික වාර්තාවක් PandaLabs ප්රති-වයිරස රසායනාගාරයේ විශේෂඥයින් විසින් සම්පාදනය කරන ලදී.
8. සබැඳි
1. “Everis y Prisa Radio sufren un grave ciberataque que secuestra sus sistemas.”https://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, Publicada el 04/11/2019.
2. "Un virus de origen ruso ataca a importantes empresas españolas." https: //elpais.com/tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, Publicada el 04/11/2019.
3. “VB2019 පත්රිකාව: ෂිනිගාමිගේ පළිගැනීම: රියුක් අනිෂ්ට මෘදුකාංගයේ දිගු වලිගය.” https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, 2019/11/12 දින ප්රකාශයට පත් කරන ලදී.
4. “රියුක් සමඟ විශාල ක්රීඩා දඩයම: තවත් ලාභදායීbඉලක්කගත රැන්සම්වෙයාර්.” https://www. crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/, 2019/01/10 දින ප්රකාශයට පත් කරන ලදී.
5. “VB2019 පත්රිකාව: ෂිනිගාමිගේ පළිගැනීම: රියුක් අනිෂ්ට මෘදුකාංගයේ දිගු වලිගය.” https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigamis-revenge-long-tail-r
මූලාශ්රය: www.habr.com
