ව්‍යාපාරවලට පහර දෙන Ryuk ransomware ක්‍රියා කරන ආකාරය

Ryuk යනු පසුගිය වසර කිහිපය තුළ වඩාත්ම ප්‍රසිද්ධ ransomware විකල්පයන්ගෙන් එකකි. එය 2018 ගිම්හානයේදී ප්රථම වරට දර්ශනය වූ බැවින්, එය එකතු කර ඇත වින්දිතයින්ගේ ආකර්ෂණීය ලැයිස්තුව, විශේෂයෙන්ම එහි ප්‍රහාරවල ප්‍රධාන ඉලක්කය වන ව්‍යාපාරික පරිසරය තුළ.

1. සාමාන්ය තොරතුරු

මෙම ලේඛනයේ Ryuk ransomware ප්‍රභේදයේ විශ්ලේෂණයක් මෙන්ම අනිෂ්ට මෘදුකාංග පද්ධතියට පැටවීමට වගකිව යුතු ලෝඩරයද අඩංගු වේ.

Ryuk ransomware මුලින්ම දර්ශනය වූයේ 2018 ගිම්හානයේදීය. Ryuk සහ අනෙකුත් ransomware අතර ඇති එක් වෙනසක් නම් එය ආයතනික පරිසරයන්ට පහර දීම අරමුණු කර ගෙන තිබීමයි.

2019 මැද භාගයේදී, සයිබර් අපරාධ කණ්ඩායම් මෙම ransomware භාවිතා කරමින් ස්පාඤ්ඤ සමාගම් විශාල සංඛ්‍යාවකට පහර දුන්හ.

සහල්. 1: Ryuk ransomware ප්‍රහාරය සම්බන්ධයෙන් El Confidencial වෙතින් උපුටා ගැනීම [1]

සහල්. 2: Ryuk ransomware [2] භාවිතයෙන් සිදු කරන ලද ප්‍රහාරයක් ගැන El País වෙතින් උපුටා ගැනීම
මේ වසරේ Ryuk විවිධ රටවල සමාගම් විශාල ගණනකට පහර දී ඇත. පහත සංඛ්‍යාලේඛනවලින් ඔබට පෙනෙන පරිදි, ජර්මනිය, චීනය, ඇල්ජීරියාව සහ ඉන්දියාව වඩාත් පීඩාවට පත් විය.

සයිබර් ප්‍රහාර සංඛ්‍යාව සංසන්දනය කිරීමෙන්, Ryuk මිලියන ගණනක් පරිශීලකයින්ට බලපා ඇති අතර විශාල දත්ත ප්‍රමාණයක් සම්මුතියකට ලක් කර ඇති අතර එමඟින් දැඩි ආර්ථික පාඩුවක් සිදුවී ඇති බව අපට පෙනේ.

සහල්. 3: රියුක්ගේ ගෝලීය ක්‍රියාකාරකම් පිළිබඳ නිදර්ශනය.

සහල්. 4: Ryuk විසින් වඩාත්ම බලපෑමට ලක්වූ රටවල් 16

සහල්. 5: Ryuk ransomware මගින් පහර දුන් පරිශීලකයින් සංඛ්‍යාව (මිලියන ගණනින්)

එවැනි තර්ජන වල සුපුරුදු මෙහෙයුම් මූලධර්මයට අනුව, මෙම ransomware, සංකේතනය සම්පූර්ණ වූ පසු, වින්දිතයාට කප්පම් දැනුම්දීමක් පෙන්වයි, එය සංකේතාත්මක ලිපිගොනු වෙත ප්‍රවේශය යථා තත්වයට පත් කිරීම සඳහා නිශ්චිත ලිපිනයට බිට්කොයින් වලින් ගෙවිය යුතුය.

මෙම අනිෂ්ට මෘදුකාංගය මුලින්ම හඳුන්වා දුන් දා සිට වෙනස් වී ඇත.
මෙම ලේඛනයේ විශ්ලේෂණය කර ඇති මෙම තර්ජනයේ ප්‍රභේදය 2020 ජනවාරි මාසයේ ප්‍රහාරක උත්සාහයක් අතරතුර සොයා ගන්නා ලදී.

එහි සංකීර්ණත්වය හේතුවෙන්, මෙම අනිෂ්ට මෘදුකාංගය බොහෝ විට APT කණ්ඩායම් ලෙසද හැඳින්වෙන සංවිධානාත්මක සයිබර් අපරාධ කණ්ඩායම් වෙත ආරෝපණය වේ.

Ryuk කේතයේ කොටසක් තවත් ප්‍රසිද්ධ ransomware එකක් වන Hermes හි කේතය සහ ව්‍යුහයට සැලකිය යුතු සමානකමක් ඇති අතර ඒවා සමාන කාර්යයන් ගණනාවක් බෙදා ගනී. Ryuk මුලින් උතුරු කොරියානු කණ්ඩායමක් වන Lazarus සමඟ සම්බන්ධ වූයේ එබැවිනි, එය එවකට Hermes ransomware පිටුපස සිටි බවට සැක කරන ලදී.

CrowdStrike හි Falcon X සේවාව පසුව සටහන් කළේ Ryuk ඇත්ත වශයෙන්ම WIZARD SPIDER කණ්ඩායම විසින් නිර්මාණය කරන ලද බවයි [4].

මෙම උපකල්පනය සනාථ කිරීමට යම් සාක්ෂි තිබේ. පළමුව, මෙම ransomware වෙබ් අඩවිය exploit.in හි ප්‍රචාරය කරන ලදී, එය සුප්‍රසිද්ධ රුසියානු අනිෂ්ට මෘදුකාංග වෙළඳපොළක් වන අතර මීට පෙර සමහර රුසියානු APT කණ්ඩායම් සමඟ සම්බන්ධ වී ඇත.
මෙම කරුණ Ryuk Lazarus APT කණ්ඩායම විසින් වර්ධනය කළ හැකි න්‍යාය බැහැර කරයි, මන්ද එය සමූහය ක්‍රියාත්මක වන ආකාරය සමඟ නොගැලපේ.

මීට අමතරව, Ryuk රුසියානු, යුක්රේන සහ බෙලාරුසියානු පද්ධති මත ක්රියා නොකරන ransomware ලෙස ප්රචාරය කරන ලදී. මෙම හැසිරීම Ryuk හි සමහර අනුවාදවල ඇති විශේෂාංගයක් මගින් තීරණය වේ, එහිදී එය ransomware ක්‍රියාත්මක වන පද්ධතියේ භාෂාව පරීක්ෂා කරන අතර පද්ධතියට රුසියානු, යුක්‍රේනියානු හෝ බෙලරුසියානු භාෂාවක් තිබේ නම් එය ක්‍රියාත්මක වීම නවත්වයි. අවසාන වශයෙන්, WIZARD SPIDER කණ්ඩායම විසින් හැක් කරන ලද යන්ත්‍රය පිළිබඳ විශේෂඥ විශ්ලේෂණයක් මගින් Hermes ransomware හි ප්‍රභේදයක් ලෙස Ryuk සංවර්ධනය කිරීමේදී භාවිතා කළ බව කියන "කෞතුක වස්තු" කිහිපයක් අනාවරණය විය.

අනෙක් අතට, විශේෂඥයන් වන Gabriela Nicolao සහ Luciano Martins යෝජනා කළේ APT කණ්ඩායම CryptoTech [5] විසින් කප්පම් මෘදුකාංගය නිපදවා ඇති බවයි.
Ryuk දර්ශනය වීමට මාස කිහිපයකට පෙර, මෙම කණ්ඩායම හර්මීස් ransomware හි නව අනුවාදයක් නිර්මාණය කර ඇති බවට එම වෙබ් අඩවියේම සංසදයේ තොරතුරු පළ කිරීම මෙයට හේතුවයි.

CryptoTech ඇත්ත වශයෙන්ම Ryuk නිර්මාණය කළේ දැයි සංසද භාවිතා කරන්නන් කිහිප දෙනෙක් ප්‍රශ්න කළහ. එවිට කණ්ඩායම තමන්ව ආරක්ෂා කර ගනිමින් ප්‍රකාශ කළේ තමන් ransomware වලින් 100% ක් නිපදවා ඇති බවට සාක්ෂි ඇති බවයි.

2. ලක්ෂණ

Ryuk ransomware හි “නිවැරදි” අනුවාදය දියත් කළ හැකි වන පරිදි එය ක්‍රියාත්මක වන පද්ධතිය හඳුනා ගැනීම එහි කාර්යය වන bootloader සමඟින් අපි ආරම්භ කරමු.
ඇරඹුම් කාරක හැෂ් පහත පරිදි වේ:

MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469

මෙම බාගැනීමේ එක් විශේෂාංගයක් නම් එහි කිසිදු පාරදත්ත අඩංගු නොවීමයි, i.e. මෙම අනිෂ්ට මෘදුකාංගයේ නිර්මාතෘවරුන් එහි කිසිදු තොරතුරක් ඇතුළත් කර නොමැත.

සමහර විට ඔවුන් නීත්‍යානුකූල යෙදුමක් ක්‍රියාත්මක කරන බවට පරිශීලකයා රවටා ගැනීමට වැරදි දත්ත ඇතුළත් කරයි. කෙසේ වෙතත්, අපි පසුව දකින පරිදි, ආසාදනය පරිශීලක අන්තර්ක්‍රියාකාරිත්වයට සම්බන්ධ නොවන්නේ නම් (මෙම ransomware සමඟ සිදු වන පරිදි), ප්‍රහාරකයන් පාර-දත්ත භාවිතා කිරීම අවශ්‍ය යැයි සලකන්නේ නැත.

සහල්. 6: නියැදි මෙටා දත්ත

නියැදිය 32-bit සහ 32-bit පද්ධති දෙකෙහිම ධාවනය කළ හැකි වන පරිදි 64-bit ආකෘතියෙන් සම්පාදනය කරන ලදී.

3. විනිවිද යාමේ දෛශිකය

Ryuk බාගත කර ධාවනය කරන නියැදිය දුරස්ථ සම්බන්ධතාවයක් හරහා අපගේ පද්ධතියට ඇතුළු වූ අතර ප්‍රවේශ පරාමිතීන් මූලික RDP ප්‍රහාරයක් හරහා ලබා ගන්නා ලදී.

සහල්. 7: ප්‍රහාර ලේඛනය

ප්‍රහාරකයා දුරස්ථව පද්ධතියට ඇතුළු වීමට සමත් විය. ඊට පස්සේ, ඔහු අපේ නියැදිය සමඟ ක්රියාත්මක කළ හැකි ගොනුවක් නිර්මාණය කළේය.
මෙම ක්‍රියාත්මක කළ හැකි ගොනුව ක්‍රියාත්මක වීමට පෙර ප්‍රති-වයිරස විසඳුමක් මඟින් අවහිර කරන ලදී.

සහල්. 8: රටා අගුල

සහල්. 9: රටා අගුල

අනිෂ්ට ගොනුව අවහිර වූ විට, ප්‍රහාරකයා ක්‍රියාත්මක කළ හැකි ගොනුවේ සංකේතාත්මක අනුවාදයක් බාගැනීමට උත්සාහ කළ අතර එයද අවහිර විය.

සහල්. 10: ප්‍රහාරකයා ධාවනය කිරීමට උත්සාහ කළ සාම්පල කට්ටලයක්

අවසාන වශයෙන්, ඔහු සංකේතාත්මක කොන්සෝලය හරහා තවත් අනිෂ්ට ගොනුවක් බාගත කිරීමට උත්සාහ කළේය
ප්‍රති-වයිරස ආරක්ෂාව මඟ හැරීමට PowerShell. නමුත් ඔහුද අවහිර විය.

සහල්. 11: අනිෂ්ට අන්තර්ගතය සහිත PowerShell අවහිර කර ඇත


සහල්. 12: අනිෂ්ට අන්තර්ගතය සහිත PowerShell අවහිර කර ඇත

4. ලෝඩරය

එය ක්‍රියාත්මක වන විට, එය ෆෝල්ඩරයට ReadMe ගොනුවක් ලියයි % temp%, Ryuk සඳහා සාමාන්ය වේ. මෙම ගොනුව ප්‍රෝටෝනමේල් වසමේ ඇති ඊමේල් ලිපිනයක් අඩංගු කප්පම් සටහනකි, එය මෙම අනිෂ්ට මෘදුකාංග පවුල තුළ බහුලව දක්නට ලැබේ: [විද්‍යුත් ආරක්‍ෂිත]

සහල්. 13: කප්පම් ඉල්ලීම

ඇරඹුම් කාරකය ක්‍රියාත්මක වන අතරතුර, එය අහඹු නම් සහිත ක්‍රියාත්මක කළ හැකි ගොනු කිහිපයක් දියත් කරන බව ඔබට දැක ගත හැකිය. ඒවා සැඟවුණු ෆෝල්ඩරයක ගබඩා කර ඇත පොදු, නමුත් විකල්පය මෙහෙයුම් පද්ධතියේ ක්රියාකාරී නොවේ නම් "සැඟවුණු ගොනු සහ ෆෝල්ඩර පෙන්වන්න", එවිට ඔවුන් සැඟවී පවතිනු ඇත. එපමණක් නොව, මෙම ගොනු 64-bit වේ, මව් ගොනුව මෙන් නොව, 32-bit වේ.

සහල්. 14: නියැදිය මඟින් දියත් කළ හැකි ක්‍රියාත්මක කළ හැකි ගොනු

ඉහත රූපයේ ඔබට පෙනෙන පරිදි, Ryuk විසින් icacls.exe දියත් කරයි, එය සියලුම ACL (ප්‍රවේශ පාලන ලැයිස්තු) වෙනස් කිරීමට භාවිතා කරනු ඇත, එමඟින් කොඩිවලට ප්‍රවේශය සහ වෙනස් කිරීම සහතික කෙරේ.

දෝෂ (/C) නොතකා සහ කිසිදු පණිවිඩයක් (/Q) නොපෙන්වා උපාංගයේ (/T) සියලුම ගොනු වෙත සියලුම පරිශීලකයන් යටතේ පූර්ණ ප්‍රවේශය එයට ලැබේ.

සහල්. 15: නියැදිය මඟින් දියත් කරන ලද icacls.exe හි ක්‍රියාත්මක කිරීමේ පරාමිතීන්

Ryuk ඔබ ධාවනය කරන්නේ කුමන Windows අනුවාදයදැයි පරීක්ෂා කරන බව සැලකිල්ලට ගැනීම වැදගත්ය. මේ සඳහා ඔහු
භාවිතා කරමින් අනුවාද පරීක්ෂාවක් සිදු කරයි GetVersionExW, එය කොඩියේ වටිනාකම පරීක්ෂා කරයි lpVersionInformationවින්ඩෝස් හි වත්මන් අනුවාදය වඩා අලුත්ද යන්න පෙන්නුම් කරයි වින්ඩෝස් එක්ස්පී.

ඔබ Windows XP ට වඩා පසුව අනුවාදයක් ධාවනය කරන්නේද යන්න මත පදනම්ව, ඇරඹුම් කාරකය දේශීය පරිශීලක ෆෝල්ඩරයට ලියයි - මෙම අවස්ථාවේදී ෆෝල්ඩරයට %පොදු%.

සහල්. 17: මෙහෙයුම් පද්ධති අනුවාදය පරීක්ෂා කිරීම

ලියා ඇති ගොනුව Ryuk වේ. එය පසුව එය ධාවනය කරයි, පරාමිතියක් ලෙස තමන්ගේම ලිපිනය පසුකරයි.

සහල්. 18: ShellExecute හරහා Ryuk ක්‍රියාත්මක කරන්න

Ryuk කරන පළමු දෙය නම් ආදාන පරාමිතීන් ලබා ගැනීමයි. මෙවර ආදාන පරාමිති දෙකක් (ක්‍රියාත්මක කළ හැකි සහ dropper ලිපිනය) එහිම හෝඩුවාවන් ඉවත් කිරීමට භාවිතා කරයි.

සහල්. 19: ක්‍රියාවලියක් නිර්මාණය කිරීම

එය ක්‍රියාත්මක කළ හැකි ඒවා ක්‍රියාත්මක කළ පසු, එය මකා දමන බවත්, එමඟින් එය ක්‍රියාත්මක කළ ෆෝල්ඩරයේ තමන්ගේම පැවැත්ම පිළිබඳ කිසිදු හෝඩුවාවක් ඉතිරි නොවන බවත් ඔබට දැක ගත හැකිය.

සහල්. 20: ගොනුවක් මකා දැමීම

5. RYUK

5.1 සිටීම
Ryuk, අනෙකුත් අනිෂ්ට මෘදුකාංග මෙන්, හැකි තාක් දුරට පද්ධතිය මත රැඳී සිටීමට උත්සාහ කරයි. ඉහත පෙන්වා ඇති පරිදි, මෙම ඉලක්කය සපුරා ගැනීම සඳහා එක් ක්රමයක් වන්නේ රහසිගතව ක්රියාත්මක කළ හැකි ගොනු නිර්මාණය කර ධාවනය කිරීමයි. මෙය සිදු කිරීම සඳහා, වඩාත් පොදු භාවිතය වන්නේ රෙජිස්ට්රි යතුර වෙනස් කිරීමයි CurrentVersion Run.
මෙම අවස්ථාවේදී, මෙම කාර්යය සඳහා පළමු ගොනුව දියත් කරන බව ඔබට පෙනෙනු ඇත VWjRF.exe
(ගොනු නාමය අහඹු ලෙස ජනනය වේ) දියත් කරයි cmd.exe.

සහල්. 21: VWjRF.exe ක්‍රියාත්මක කිරීම

ඉන්පසු විධානය ඇතුල් කරන්න RUN නම සමඟ "svchos". මේ අනුව, ඔබට ඕනෑම වේලාවක රෙජිස්ට්‍රි යතුරු පරීක්ෂා කිරීමට අවශ්‍ය නම්, svchost සමඟ මෙම නමේ ඇති සමානත්වය ලබා දී ඔබට මෙම වෙනස පහසුවෙන් මග හැරිය හැක. මෙම යතුරට ස්තූතියි, Ryuk පද්ධතිය තුළ එහි පැවැත්ම සහතික කරයි. පද්ධතිය නොමැති නම් තවමත් ආසාදනය වී ඇත, එවිට ඔබ පද්ධතිය නැවත ආරම්භ කරන විට, ක්රියාත්මක කළ හැකි ය නැවත උත්සාහ කරනු ඇත.

සහල්. 22: නියැදිය රෙජිස්ට්‍රි යතුරේ සිටීම සහතික කරයි

මෙම ක්‍රියාත්මක කිරීම සේවා දෙකක් නවත්වන බව ද අපට දැක ගත හැකිය:
"audioendpointbuilder", එහි නමට අනුව, පද්ධති ශ්රව්ය උපකරණ වලට අනුරූප වේ,

සහල්. 23: නියැදිය පද්ධති ශ්‍රව්‍ය සේවාව නතර කරයි

и සැම්ස්, එය ගිණුම් කළමනාකරණ සේවාවකි. මෙම සේවා දෙක නැවැත්වීම රියුක්ගේ ලක්ෂණයකි. මෙම අවස්ථාවේදී, පද්ධතිය SIEM පද්ධතියකට සම්බන්ධ කර ඇත්නම්, ransomware වෙත යැවීම නතර කිරීමට උත්සාහ කරයි. සියම් ඕනෑම අනතුරු ඇඟවීමක්. මේ ආකාරයෙන්, Ryuk ක්‍රියාත්මක කිරීමෙන් පසු සමහර SAM සේවාවන්ට ඔවුන්ගේ වැඩ නිවැරදිව ආරම්භ කිරීමට නොහැකි වන බැවින් ඔහු ඔහුගේ ඊළඟ පියවර ආරක්ෂා කරයි.

සහල්. 24: නියැදිය සැම්ස් සේවාව නතර කරයි

5.2 වරප්රසාද

පොදුවේ ගත් කල, Ryuk ආරම්භ වන්නේ ජාලය තුළ පාර්ශ්වීයව ගමන් කිරීමෙන් හෝ එය වෙනත් අනිෂ්ට මෘදුකාංගයක් මඟින් දියත් කිරීමෙනි හැඟීම් හෝ ට්‍රික්බොට්, වරප්‍රසාද උත්සන්න වූ විට, මෙම උසස් අයිතීන් ransomware වෙත මාරු කරයි.

ඊට පෙර, ක්‍රියාත්මක කිරීමේ ක්‍රියාවලියේ පෙරවදනක් ලෙස, ඔහු එම ක්‍රියාවලිය සිදු කරනු අපට පෙනේ ImpsonateSelf, එයින් අදහස් කරන්නේ ප්‍රවේශ ටෝකනයේ ආරක්‍ෂිත අන්තර්ගතය ප්‍රවාහයට යවනු ලබන අතර එහිදී එය භාවිතයෙන් වහාම ලබා ගන්නා බවයි. GetCurrentThread.

සහල්. 25: ImpersonateSelf අමතන්න

එවිට එය ප්‍රවේශ ටෝකනයක් නූල් එකක් සමඟ සම්බන්ධ කරන බව අපට පෙනේ. එක් කොඩියක් බව ද අපට පෙනේ කැමති ප්‍රවේශය, නූල් වලට ඇති ප්‍රවේශය පාලනය කිරීමට භාවිතා කළ හැක. මෙම අවස්ථාවේදී edx ට ලැබෙන අගය විය යුතුය TOKEN_ALL_ACESS එසේත් නැතිනම් - TOKEN_WRITE.

සහල්. 26: ප්‍රවාහ ටෝකනයක් නිර්මාණය කිරීම

එවිට ඔහු භාවිතා කරනු ඇත SeDebugPrivilege සහ නූල් මත නිදොස් කිරීමේ අවසර ලබා ගැනීමට ඇමතුමක් ලබා දෙනු ඇත, ප්රතිඵලයක් ලෙස PROCESS_ALL_ACCESS, ඔහුට අවශ්‍ය ඕනෑම ක්‍රියාවලියකට ප්‍රවේශ වීමට හැකි වනු ඇත. දැන්, එන්ක්‍රිප්ටරයට දැනටමත් සූදානම් කර ඇති ප්‍රවාහයක් ඇති බැවින්, ඉතිරිව ඇත්තේ අවසාන අදියර කරා යාමට පමණි.

සහල්. 27: SeDebugPrivilege සහ Privilege Escalation Function ඇමතීම

එක් අතකින්, අපට LookupPrivilegeValueW ඇත, එය අපට වැඩි කිරීමට අවශ්‍ය වරප්‍රසාද පිළිබඳ අවශ්‍ය තොරතුරු සපයයි.

සහල්. 28: වරප්‍රසාද උත්සන්න කිරීම සඳහා වරප්‍රසාද පිළිබඳ තොරතුරු ඉල්ලන්න

අනෙක් අතට, අපට තිබේ ටෝකන් වරප්‍රසාද සකස් කරන්න, අපගේ ප්‍රවාහයට අවශ්‍ය අයිතිවාසිකම් ලබා ගැනීමට අපට ඉඩ සලසයි. මෙම අවස්ථාවේ දී, වඩාත්ම වැදගත් දෙය වන්නේ නිව් ස්ටේට්, කාගේ ධජය වරප්‍රසාද ලබා දෙනු ඇත.

සහල්. 29: ටෝකනයක් සඳහා අවසර සැකසීම

5.3 ක්රියාත්මක කිරීම

මෙම කොටසේදී, මෙම වාර්තාවේ කලින් සඳහන් කර ඇති ක්‍රියාත්මක කිරීමේ ක්‍රියාවලිය නියැදිය සිදු කරන්නේ කෙසේදැයි අපි පෙන්වමු.

ක්‍රියාත්මක කිරීමේ ක්‍රියාවලියේ ප්‍රධාන ඉලක්කය මෙන්ම උත්සන්න කිරීම සඳහා ප්‍රවේශය ලබා ගැනීමයි සෙවන පිටපත්. මෙය සිදු කිරීම සඳහා, ඔහු දේශීය පරිශීලකයාගේ අයිතිවාසිකම්වලට වඩා ඉහළ අයිතිවාසිකම් සහිත නූල් සමඟ වැඩ කිරීමට අවශ්ය වේ. එය එවැනි උසස් අයිතිවාසිකම් ලබා ගත් පසු, එය මෙහෙයුම් පද්ධතියේ පෙර ප්‍රතිසාධන ලක්ෂ්‍යයකට ආපසු යාමට නොහැකි වන පරිදි පිටපත් මකා දමා වෙනත් ක්‍රියාවලීන්ට වෙනස්කම් සිදු කරයි.

මෙම වර්ගයේ අනිෂ්ට මෘදුකාංග සමඟ සාමාන්‍ය පරිදි, එය භාවිතා කරයි CreateToolHelp32Snapshotඑබැවින් එය දැනට ක්‍රියාත්මක වන ක්‍රියාවලි වල සැණරුවක් ගන්නා අතර භාවිතා කරමින් එම ක්‍රියාවලි වෙත ප්‍රවේශ වීමට උත්සාහ කරයි OpenProcess. එය ක්‍රියාවලියට ප්‍රවේශය ලබා ගත් පසු, එය ක්‍රියාවලි පරාමිතීන් ලබා ගැනීම සඳහා එහි තොරතුරු සහිත ටෝකනයක් ද විවෘත කරයි.

සහල්. 30: පරිගණකයකින් ක්‍රියාවලි ලබා ගැනීම

CreateToolhelp140002Snapshot භාවිතයෙන් එය සාමාන්‍ය 9D32C හි ධාවන ක්‍රියාවලි ලැයිස්තුව ලබා ගන්නේ කෙසේදැයි අපට ගතිකව දැකිය හැකිය. ඒවා ලැබීමෙන් පසු, ඔහු ලැයිස්තුව හරහා යයි, ඔහු සාර්ථක වන තෙක් OpenProcess භාවිතයෙන් ක්‍රියාවලි එකින් එක විවෘත කිරීමට උත්සාහ කරයි. මෙම නඩුවේදී, ඔහු විවෘත කිරීමට හැකි වූ පළමු ක්රියාවලිය විය "taskhost.exe".

සහල්. 31: ක්‍රියාවලියක් ලබා ගැනීම සඳහා ක්‍රියා පටිපාටියක් ගතිකව ක්‍රියාත්මක කරන්න

එය පසුව ක්‍රියාවලි ටෝකන් තොරතුරු කියවන බව අපට දැකිය හැක, එබැවින් එය අමතයි OpenProcessToken පරාමිතිය සමඟ "20008"

සහල්. 32: ක්‍රියාවලි ටෝකන් තොරතුරු කියවන්න

එය එන්නත් කරනු ලබන ක්‍රියාවලිය නොවේදැයි පරීක්ෂා කරයි csrss.exe, explorer.exe, lsaas.exe නැතහොත් ඔහුට අයිතිවාසිකම් කට්ටලයක් ඇති බවය NT අධිකාරිය.

සහල්. 33: බැහැර කරන ලද ක්‍රියාවලි

ක්‍රියාවලි ටෝකන් තොරතුරු භාවිතා කර එය මුලින්ම චෙක්පත සිදු කරන්නේ කෙසේදැයි අපට ගතිකව දැක ගත හැක 140002D9C ක්‍රියාවලියක් ක්‍රියාත්මක කිරීමට භාවිතා කරන අයිතීන් ඇති ගිණුම ගිණුමක් ද යන්න සොයා බැලීම සඳහා එන්ටී අධිකාරිය.

සහල්. 34: NT අධිකාරිය පරීක්ෂා කිරීම

පසුව, ක්රියා පටිපාටියෙන් පිටත, මෙය එසේ නොවන බව ඔහු පරීක්ෂා කරයි csrss.exe, explorer.exe හෝ lsaas.exe.

සහල්. 35: NT අධිකාරිය පරීක්ෂා කිරීම

ඔහු ක්‍රියාවලිවල සැණරුවක් ගෙන, ක්‍රියාවලි විවෘත කර, ඒවා කිසිවක් බැහැර කර නැති බව තහවුරු කරගත් පසු, එන්නත් කරන ක්‍රියාවලි මතකයට ලිවීමට ඔහු සූදානම් වේ.

මෙය සිදු කිරීම සඳහා, එය මුලින්ම මතකයේ ප්රදේශයක් වෙන් කරයි (VirtualAllocEx), එහි ලියයි (WriteProcessmemory) සහ නූල් නිර්මාණය කරයි (CreateRemoteThread) මෙම කාර්යයන් සමඟ වැඩ කිරීම සඳහා, එය කලින් භාවිතා කර ලබාගත් තෝරාගත් ක්රියාවලීන්ගේ PID භාවිතා කරයි CreateToolhelp32Snapshot.

සහල්. 36: කාවැද්දූ කේතය

ශ්‍රිතය ඇමතීමට PID ක්‍රියාවලිය භාවිතා කරන ආකාරය මෙහිදී අපට ගතිකව නිරීක්ෂණය කළ හැක VirtualAllocEx.

සහල්. 37: VirtualAllocEx අමතන්න

5.4 සංකේතනය
මෙම කොටසේදී, අපි මෙම නියැදියේ සංකේතාංකන කොටස දෙස බලමු. පහත පින්තූරයේ ඔබට "" යනුවෙන් හැඳින්වෙන උප චර්යා දෙකක් දැකිය හැකිය.LoadLibrary_EncodeString""Encode_Func", සංකේතාංකන ක්රියා පටිපාටිය ක්රියාත්මක කිරීම සඳහා වගකිව යුතු වේ.

සහල්. 38: සංකේතාංකන ක්රියා පටිපාටි

ආයාත කිරීම්, DLLs, විධාන, ගොනු සහ CSPs: අවශ්‍ය සියල්ල deobfuscate කිරීමට පසුව භාවිතා කරන තන්තුවක් පූරණය කරන්නේ කෙසේදැයි ආරම්භයේදී අපට දැකගත හැක.

සහල්. 39: Deobfuscation පරිපථය

පහත රූපයේ දැක්වෙන්නේ එය R4 රෙජිස්ටරයේ deobfuscates පළමු ආනයනය පෙන්වයි. පැටවුම් පුස්තකාලය. අවශ්‍ය DLL පූරණය කිරීමට මෙය පසුව භාවිතා කරනු ඇත. අපට තවත් පේළියක් R12 ලේඛනයේ දැකිය හැකිය, එය deobfuscation සිදු කිරීම සඳහා පෙර පේළිය සමඟ භාවිතා වේ.

සහල්. 40: ගතික deobfuscation

එය උපස්ථ අක්‍රිය කිරීමට, ලකුණු ප්‍රතිසාධනය කිරීමට සහ ආරක්ෂිත ඇරඹුම් මාතයන් සඳහා පසුව ක්‍රියාත්මක වන විධාන බාගත කිරීම දිගටම කරගෙන යයි.

සහල්. 41: විධාන පූරණය කිරීම

එවිට එය ගොනු 3ක් වැටෙන ස්ථානය පූරණය කරයි: Windows.bat, run.sct и start.bat.

සහල්. 42: ගොනු ස්ථාන

මෙම ගොනු 3 එක් එක් ස්ථානයට ඇති වරප්‍රසාද පරීක්ෂා කිරීමට භාවිතා කරයි. අවශ්ය වරප්රසාද නොමැති නම්, Ryuk ක්රියාත්මක කිරීම නතර කරයි.

එය ගොනු තුනට අනුරූප රේඛා පූරණය කිරීම දිගටම කරගෙන යයි. පලමු, DECRYPT_INFORMATION.html, ගොනු නැවත ලබා ගැනීමට අවශ්ය තොරතුරු අඩංගු වේ. දෙවැනි, පොදු, RSA පොදු යතුර අඩංගු වේ.

සහල්. 43: රේඛාව විකේතනය තොරතුරු.html

තුන්වන, UNIQUE_ID_DO_NOT_REMOVE, සංකේතනය සිදු කිරීම සඳහා මීළඟ දිනචරියාවේදී භාවිත කෙරෙන සංකේතනය කළ යතුර අඩංගු වේ.

සහල්. 44: රේඛා අනන්‍ය ID ඉවත් නොකරන්න

අවසාන වශයෙන්, එය අවශ්‍ය ආයාත සහ CSPs සමඟ අවශ්‍ය පුස්තකාල බාගත කරයි (Microsoft වැඩි දියුණු කළ RSA и AES ගුප්ත ලේඛන සපයන්නා).

සහල්. 45: පුස්තකාල පූරණය කිරීම

සියලුම deobfuscation අවසන් වූ පසු, එය සංකේතනය සඳහා අවශ්‍ය ක්‍රියා සිදු කරයි: සියලුම තාර්කික ධාවක ගණන් කිරීම, පෙර දිනචරියාවේ පටවා ඇති දේ ක්‍රියාත්මක කිරීම, පද්ධතියේ පැවැත්ම ශක්තිමත් කිරීම, RyukReadMe.html ගොනුව විසි කිරීම, සංකේතනය කිරීම, සියලුම ජාල ධාවක ගණන් කිරීම. , හඳුනාගත් උපාංග වෙත සංක්‍රමණය සහ ඒවායේ සංකේතනය.
ඒ සියල්ල ආරම්භ වන්නේ පැටවීමෙනි"cmd.exe"සහ RSA පොදු යතුරු වාර්තා.

සහල්. 46: සංකේතනය සඳහා සූදානම් වෙමින්

එවිට එය භාවිතා කරන සියලුම තාර්කික ධාවකයන් ලබා ගනී GetLogicalDrives සහ සියලුම උපස්ථ, ප්‍රතිස්ථාපන ලක්ෂ්‍ය සහ ආරක්ෂිත ඇරඹුම් මාතයන් අක්‍රීය කරයි.

සහල්. 47: ප්‍රතිසාධන මෙවලම් අක්‍රිය කිරීම

ඊට පසු, අප ඉහත දුටු පරිදි එය පද්ධතිය තුළ එහි පැවැත්ම ශක්තිමත් කර පළමු ගොනුව ලියයි RyukReadMe.html в තාවකාලික.

සහල්. 48: කප්පම් දැන්වීමක් ප්‍රකාශයට පත් කිරීම

පහත පින්තූරයේ එය ගොනුවක් සාදන ආකාරය, අන්තර්ගතය බාගත කර එය ලියන ආකාරය ඔබට දැක ගත හැකිය:

සහල්. 49: ගොනු අන්තර්ගතයන් පැටවීම සහ ලිවීම

සියලුම උපාංගවල එකම ක්‍රියාවන් සිදු කිරීමට හැකි වීම සඳහා, ඔහු භාවිතා කරයි
"icacls.exe", අප ඉහත පෙන්වා දුන් පරිදි.

සහල්. 50: icalcls.exe භාවිතා කිරීම

අවසාන වශයෙන්, එය "*.exe", "*.dll" ගොනු, පද්ධති ගොනු සහ සංකේතාත්මක සුදු ලැයිස්තුවක ආකාරයෙන් දක්වා ඇති අනෙකුත් ස්ථාන හැර ගොනු සංකේතනය කිරීම ආරම්භ කරයි. මෙය සිදු කිරීම සඳහා, එය ආනයනය භාවිතා කරයි: CryptAcquireContextW (AES සහ RSA භාවිතය නිශ්චිතව දක්වා ඇත) CryptDeriveKey, CryptGenKey, CryptDestroyKey ආදිය එය WNetEnumResourceW භාවිතයෙන් සොයාගත් ජාල උපාංග වෙත එහි ප්‍රවේශය දිගු කර ඒවා සංකේතනය කිරීමට ද උත්සාහ කරයි.

සහල්. 51: පද්ධති ගොනු සංකේතනය කිරීම

6. ආනයනය සහ අනුරූප කොඩි

පහත දැක්වෙන්නේ නියැදිය මගින් භාවිතා කරන වඩාත්ම අදාළ ආනයන සහ කොඩි ලැයිස්තුගත කරන වගුවකි:

7. IOC

යොමු

• පරිශීලකයන්Publicrun.sct
• Start MenuProgramsStartupstart.bat AppDataRoamingMicrosoftWindowsStart
• MenuProgramsStartupstart.bat

Ryuk ransomware පිළිබඳ තාක්ෂණික වාර්තාවක් PandaLabs ප්‍රති-වයිරස රසායනාගාරයේ ප්‍රවීණයන් විසින් සම්පාදනය කරන ලදී.

8. සබැඳි

1. “Everis y Prisa Radio sufren un grave ciberataque que secuestra sus sistemas.”https://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, Publicada el 04/11/2019.

2. “Un virus de origen ruso ataca a importantes empresas españolas.” https: //elpais.com/tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, Publicada el 04/11.

3. “VB2019 කඩදාසි: ෂිනිගාමිගේ පළිගැනීම: Ryuk අනිෂ්ට මෘදුකාංගයේ දිගු වලිගය.” https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, Publicada el 11 /12/2019

4. “රියුක් සමඟ විශාල ක්‍රීඩාවක් දඩයම් කිරීම: තවත් ලාභදායීbTargeted Ransomware.”https://www. crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/, Publicada el 10/01/2019.

5. “VB2019 කඩදාසි: ෂිනිගාමිගේ පළිගැනීම: Ryuk අනිෂ්ට මෘදුකාංගයේ දිගු වලිගය.” https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigamis-revenge-long-tail-r

මූලාශ්රය: www.habr.com