Ryuk është një nga opsionet më të famshme të ransomware në vitet e fundit. Që kur u shfaq për herë të parë në verën e vitit 2018, ka mbledhur , veçanërisht në mjedisin e biznesit, i cili është objektivi kryesor i sulmeve të saj.
1. Informacion i përgjithshëm
Ky dokument përmban një analizë të variantit të ransomware Ryuk, si dhe ngarkuesin përgjegjës për ngarkimin e malware në sistem.
ransomware Ryuk u shfaq për herë të parë në verën e 2018. Një nga ndryshimet midis Ryuk dhe ransomware të tjerë është se ai synon të sulmojë mjediset e korporatave.
Në mesin e vitit 2019, grupet kriminale kibernetike sulmuan një numër të madh kompanish spanjolle duke përdorur këtë ransomware.
Oriz. 1: Fragment nga El Confidencial në lidhje me sulmin ransomware Ryuk [1]
Oriz. 2: Fragment nga El País rreth një sulmi të kryer duke përdorur ransomware Ryuk [2]
Këtë vit, Ryuk ka sulmuar një numër të madh kompanish në vende të ndryshme. Siç mund ta shihni në figurat e mëposhtme, Gjermania, Kina, Algjeria dhe India ishin më të goditurat.
Duke krahasuar numrin e sulmeve kibernetike, mund të shohim se Ryuk ka prekur miliona përdorues dhe ka komprometuar një sasi të madhe të dhënash, duke rezultuar në humbje të rënda ekonomike.
Oriz. 3: Ilustrim i aktivitetit global të Ryuk.
Oriz. 4: 16 vendet më të prekura nga Ryuk
Oriz. 5: Numri i përdoruesve të sulmuar nga ransomware Ryuk (në miliona)
Sipas parimit të zakonshëm të funksionimit të kërcënimeve të tilla, ky ransomware, pasi kriptimi të përfundojë, i tregon viktimës një njoftim shpërblimi që duhet të paguhet në bitcoin në adresën e specifikuar për të rivendosur aksesin në skedarët e koduar.
Ky malware ka ndryshuar që kur u prezantua për herë të parë.
Varianti i këtij kërcënimi i analizuar në këtë dokument u zbulua gjatë një tentative sulmi në janar 2020.
Për shkak të kompleksitetit të tij, ky malware shpesh i atribuohet grupeve të organizuara kriminale kibernetike, të njohura gjithashtu si grupe APT.
Një pjesë e kodit Ryuk ka një ngjashmëri të dukshme me kodin dhe strukturën e një ransomware tjetër të njohur, Hermes, me të cilin ata ndajnë një sërë funksionesh identike. Kjo është arsyeja pse Ryuk fillimisht ishte i lidhur me grupin koreano-verior Lazarus, i cili në atë kohë dyshohej se qëndronte pas ransomware-it Hermes.
Shërbimi Falcon X i CrowdStrike më pas vuri në dukje se Ryuk në fakt ishte krijuar nga grupi WIZARD SPIDER [4].
Ka disa prova për të mbështetur këtë supozim. Së pari, ky ransomware u reklamua në faqen e internetit exploit.in, i cili është një treg i njohur rus i malware-ve dhe që më parë ka qenë i lidhur me disa grupe ruse APT.
Ky fakt përjashton teorinë se Ryuk mund të ishte zhvilluar nga grupi Lazarus APT, sepse nuk përputhet me mënyrën se si funksionon grupi.
Për më tepër, Ryuk u reklamua si një ransomware që nuk do të funksionojë në sistemet ruse, ukrainase dhe bjelloruse. Kjo sjellje përcaktohet nga një veçori që gjendet në disa versione të Ryuk, ku kontrollon gjuhën e sistemit në të cilin po funksionon ransomware dhe e ndalon atë të funksionojë nëse sistemi ka një gjuhë ruse, ukrainase ose bjelloruse. Më në fund, një analizë eksperte e makinës që u hakerua nga ekipi i WIZARD SPIDER zbuloi disa "artefakte" që dyshohet se ishin përdorur në zhvillimin e Ryuk si një variant i ransomware-it Hermes.
Nga ana tjetër, ekspertët Gabriela Nicolao dhe Luciano Martins sugjeruan se ransomware mund të jetë zhvilluar nga grupi APT CryptoTech [5].
Kjo rrjedh nga fakti se disa muaj para shfaqjes së Ryuk, ky grup postoi informacion në forumin e së njëjtës faqe se ata kishin zhvilluar një version të ri të ransomware-it Hermes.
Disa përdorues të forumit vunë në dyshim nëse CryptoTech krijoi vërtet Ryuk. Grupi më pas u mbrojt dhe deklaroi se kishte prova se ata kishin zhvilluar 100% të ransomware.
2. Karakteristikat
Ne fillojmë me ngarkuesin, detyra e të cilit është të identifikojë sistemin në të cilin është në mënyrë që të mund të lëshohet versioni "korrekt" i ransomware-it Ryuk.
Hash-i i bootloader-it është si më poshtë:
MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469
Një nga veçoritë e këtij shkarkuesi është se nuk përmban asnjë metadatë, d.m.th. Krijuesit e këtij malware nuk kanë përfshirë asnjë informacion në të.
Ndonjëherë ato përfshijnë të dhëna të gabuara për të mashtruar përdoruesin që të mendojë se po ekzekuton një aplikacion legjitim. Megjithatë, siç do të shohim më vonë, nëse infeksioni nuk përfshin ndërveprimin e përdoruesit (siç është rasti me këtë ransomware), atëherë sulmuesit nuk e konsiderojnë të nevojshme përdorimin e meta të dhënave.
Oriz. 6: Shembull i të dhënave meta
Mostra u përpilua në formatin 32-bit në mënyrë që të mund të funksionojë në të dy sistemet 32-bit dhe 64-bit.
3. Vektori i depërtimit
Mostra që shkarkon dhe ekzekuton Ryuk hyri në sistemin tonë përmes një lidhjeje në distancë dhe parametrat e aksesit u morën përmes një sulmi paraprak RDP.
Oriz. 7: Regjistrohu i sulmeve
Sulmuesi arriti të identifikohej në sistem nga distanca. Pas kësaj, ai krijoi një skedar të ekzekutueshëm me mostrën tonë.
Ky skedar i ekzekutueshëm u bllokua nga një zgjidhje antivirus përpara se të ekzekutohej.
Oriz. 8: Kyçja e modelit
Oriz. 9: Kyçja e modelit
Kur skedari me qëllim të keq u bllokua, sulmuesi u përpoq të shkarkonte një version të koduar të skedarit të ekzekutueshëm, i cili gjithashtu u bllokua.
Oriz. 10: Një grup mostrash që sulmuesi u përpoq të ekzekutonte
Më në fund, ai u përpoq të shkarkonte një skedar tjetër me qëllim të keq përmes tastierës së koduar
PowerShell për të anashkaluar mbrojtjen antivirus. Por edhe ai u bllokua.
Oriz. 11: PowerShell me përmbajtje me qëllim të keq u bllokua
Oriz. 12: PowerShell me përmbajtje me qëllim të keq u bllokua
4. Ngarkues
Kur ekzekutohet, ai shkruan një skedar ReadMe në dosje % Temp%, e cila është tipike për Ryuk. Ky skedar është një shënim shpërblimi që përmban një adresë emaili në domenin e protonmail, e cila është mjaft e zakonshme në këtë familje malware: [email mbrojtur]
Oriz. 13: Kërkesa për Shpërblim
Ndërsa bootloader po funksionon, mund të shihni se ai lëshon disa skedarë të ekzekutueshëm me emra të rastësishëm. Ato ruhen në një dosje të fshehur PUBLIKE, por nëse opsioni nuk është aktiv në sistemin operativ "Shfaq skedarët dhe dosjet e fshehura", atëherë ato do të mbeten të fshehura. Për më tepër, këta skedarë janë 64-bit, ndryshe nga skedari prind, i cili është 32-bit.
Oriz. 14: Skedarët e ekzekutueshëm të nisur nga kampioni
Siç mund ta shihni në imazhin e mësipërm, Ryuk lëshon icacls.exe, i cili do të përdoret për të modifikuar të gjitha ACL-të (listat e kontrollit të aksesit), duke siguruar kështu aksesin dhe modifikimin e flamujve.
Merr akses të plotë nga të gjithë përdoruesit në të gjithë skedarët në pajisje (/T) pavarësisht nga gabimet (/C) dhe pa shfaqur asnjë mesazh (/Q).
Oriz. 15: Parametrat e ekzekutimit të icacls.exe të lëshuara nga kampioni
Është e rëndësishme të theksohet se Ryuk kontrollon se cilin version të Windows po përdorni. Për këtë ai
kryen një kontroll versioni duke përdorur GetVersionExW, në të cilin kontrollon vlerën e flamurit lpVersionInformacionduke treguar nëse versioni aktual i Windows është më i ri se Windows XP.
Në varësi të faktit nëse po ekzekutoni një version më vonë se Windows XP, ngarkuesi i nisjes do të shkruajë në dosjen e përdoruesit lokal - në këtë rast në dosje %Publik%.
Oriz. 17: Kontrollimi i versionit të sistemit operativ
Dosja që po shkruhet është Ryuk. Më pas e ekzekuton atë, duke kaluar adresën e vet si parametër.
Oriz. 18: Ekzekutoni Ryuk përmes ShellExecute
Gjëja e parë që bën Ryuk është të marrë parametrat e hyrjes. Këtë herë ka dy parametra hyrës (vetë ekzekutuesi dhe adresa pikatore) që përdoren për të hequr gjurmët e veta.
Oriz. 19: Krijimi i një procesi
Ju gjithashtu mund të shihni se pasi të ketë ekzekutuar ekzekutuesit e tij, ai fshihet vetë, duke mos lënë kështu asnjë gjurmë të pranisë së tij në dosjen ku është ekzekutuar.
Oriz. 20: Fshirja e një skedari
5. RYUK
5.1 Prania
Ryuk, si malware të tjerë, përpiqet të qëndrojë në sistem për aq kohë sa të jetë e mundur. Siç u tregua më lart, një mënyrë për të arritur këtë qëllim është krijimi dhe ekzekutimi i fshehtë i skedarëve të ekzekutueshëm. Për ta bërë këtë, praktika më e zakonshme është ndryshimi i çelësit të regjistrit Versioni aktual i ekzekutimit.
Në këtë rast, ju mund të shihni se për këtë qëllim skedari i parë që do të hapet VWjRF.exe
(emri i skedarit krijohet rastësisht) niset cmd.exe.
Oriz. 21: Ekzekutimi i VWjRF.exe
Pastaj fut komandën RUN me emrin "svchos". Kështu, nëse dëshironi të kontrolloni çelësat e regjistrit në çdo kohë, mund ta humbisni lehtësisht këtë ndryshim, duke pasur parasysh ngjashmërinë e këtij emri me svchost. Falë këtij çelësi, Ryuk siguron praninë e tij në sistem. Nëse sistemi nuk e ka ende i infektuar, atëherë kur të rindizni sistemin, ekzekutuesi do të provojë përsëri.
Oriz. 22: Mostra siguron praninë në çelësin e regjistrit
Mund të shohim gjithashtu se ky ekzekutues ndalon dy shërbime:
"ndërtues i pikave audio", e cila, siç sugjeron emri i saj, korrespondon me audion e sistemit,
Oriz. 23: Shembulli ndalon shërbimin audio të sistemit
и Samss, i cili është një shërbim i menaxhimit të llogarisë. Ndalimi i këtyre dy shërbimeve është një karakteristikë e Ryuk. Në këtë rast, nëse sistemi është i lidhur me një sistem SIEM, ransomware përpiqet të ndalojë dërgimin në çdo paralajmërim. Në këtë mënyrë, ai mbron hapat e tij të ardhshëm pasi disa shërbime SAM nuk do të jenë në gjendje të fillojnë punën e tyre si duhet pas ekzekutimit të Ryuk.
Oriz. 24: Shembulli ndalon shërbimin Samss
5.2 Privilegjet
Në përgjithësi, Ryuk fillon duke lëvizur anash brenda rrjetit ose lëshohet nga një malware tjetër si p.sh. ose , të cilat, në rast të përshkallëzimit të privilegjeve, i transferojnë këto të drejta të ngritura te ransomware.
Paraprakisht, si një prelud i procesit të zbatimit, ne e shohim atë të kryejë procesin imitoj veten, që do të thotë se përmbajtja e sigurisë së shenjës së aksesit do t'i kalohet transmetimit, ku do të merret menjëherë duke përdorur GetCurrentThread.
Oriz. 25: Call ImpersonateSelf
Më pas shohim se ai do të shoqërojë një shenjë aksesi me një fije. Po ashtu shohim që një nga flamujt është Qasja e dëshiruar, i cili mund të përdoret për të kontrolluar aksesin që do të ketë thread. Në këtë rast vlera që do të marrë edx duhet të jetë TOKEN_ALL_ACESS ose ndryshe - TOKEN_SHKRUAJ.
Oriz. 26: Krijimi i një Token Flow
Pastaj ai do të përdorë SeDebugPrivilege dhe do të bëjë një telefonatë për të marrë lejet e korrigjimit në thread, duke rezultuar në PROCESS_ALL_ACCESS, ai do të jetë në gjendje të aksesojë çdo proces të kërkuar. Tani, duke qenë se enkriptuesi tashmë ka një transmetim të përgatitur, gjithçka që mbetet është të vazhdohet në fazën përfundimtare.
Oriz. 27: Thirrja e funksionit SeDebugPrivilege dhe Privilege Escalation
Nga njëra anë, ne kemi LookupPrivilegeValueW, i cili na siguron informacionin e nevojshëm për privilegjet që duam të rrisim.
Oriz. 28: Kërkoni informacion për privilegjet për përshkallëzimin e privilegjeve
Nga ana tjetër, ne kemi AdjustTokenPrivileges, e cila na lejon të marrim të drejtat e nevojshme për transmetimin tonë. Në këtë rast, gjëja më e rëndësishme është Shteti i Ri, flamuri i të cilit do të japë privilegje.
Oriz. 29: Vendosja e lejeve për një shenjë
5.3 Zbatimi
Në këtë seksion, ne do të tregojmë se si mostra kryen procesin e zbatimit të përmendur më parë në këtë raport.
Qëllimi kryesor i procesit të zbatimit, si dhe përshkallëzimi, është të fitohet akses në kopje hije. Për ta bërë këtë, ai duhet të punojë me një fije me të drejta më të larta se ato të përdoruesit lokal. Pasi të fitojë të drejta të tilla të ngritura, do të fshijë kopjet dhe do të bëjë ndryshime në procese të tjera në mënyrë që ta bëjë të pamundur kthimin në një pikë të mëparshme rikuperimi në sistemin operativ.
Siç është tipike me këtë lloj malware, ai përdor CreateToolHelp32Snapshotkështu që merr një fotografi të proceseve që janë duke u ekzekutuar aktualisht dhe përpiqet t'i qaset atyre proceseve duke përdorur Procesi i hapur. Pasi të ketë akses në proces, ai gjithashtu hap një token me informacionin e tij për të marrë parametrat e procesit.
Oriz. 30: Marrja e proceseve nga një kompjuter
Ne mund të shohim në mënyrë dinamike se si merr listën e proceseve të ekzekutimit në rutinën 140002D9C duke përdorur CreateToolhelp32Snapshot. Pas marrjes së tyre, ai kalon nëpër listë, duke u përpjekur të hapë proceset një nga një duke përdorur OpenProcess derisa të ketë sukses. Në këtë rast, procesi i parë që mundi të hapte ishte "taskhost.exe".
Oriz. 31: Ekzekutoni në mënyrë dinamike një procedurë për të marrë një proces
Mund të shohim se më pas lexon informacionin e tokenit të procesit, kështu që thërret OpenProcessToken me parametrin "20008"
Oriz. 32: Lexoni informacionin e tokenit të procesit
Ai gjithashtu kontrollon që procesi në të cilin do të injektohet nuk është csrss.exe, explorer.exe, lsaas.exe ose se ai ka një sërë të drejtash autoriteti i NT.
Oriz. 33: Proceset e përjashtuara
Ne mund të shohim në mënyrë dinamike se si e kryen fillimisht kontrollin duke përdorur informacionin e tokenit të procesit në 140002D9C për të gjetur nëse llogaria, të drejtat e së cilës përdoren për të ekzekutuar një proces është një llogari AUTORITETI NT.
Oriz. 34: Kontrolli i AUTORITETIT NT
Dhe më vonë, jashtë procedurës, ai kontrollon se kjo nuk është csrss.exe, explorer.exe ose lsaas.exe.
Oriz. 35: Kontrolli i AUTORITETIT NT
Pasi të ketë marrë një fotografi të proceseve, të hapë proceset dhe të verifikojë që asnjë prej tyre nuk është i përjashtuar, ai është gati të shkruajë në kujtesë proceset që do të injektohen.
Për ta bërë këtë, së pari rezervon një zonë në memorie (VirtualAllocEx), shkruan në të (WriteProcessmemory) dhe krijon një fije (Krijo RemoteThread). Për të punuar me këto funksione, ai përdor PID-të e proceseve të zgjedhura, të cilat i kishte marrë më parë duke përdorur CreateToolhelp32Snapshot.
Oriz. 36: Vendos kodin
Këtu mund të vëzhgojmë në mënyrë dinamike se si përdor procesi PID për të thirrur funksionin VirtualAllocEx.
Oriz. 37: Telefononi VirtualAllocEx
5.4 Enkriptimi
Në këtë seksion, ne do të shikojmë pjesën e kriptimit të këtij kampioni. Në foton e mëposhtme mund të shihni dy nënprograme të quajtura "LoadLibrary_EncodeString"Dhe"Encode_Func“, të cilat janë përgjegjëse për kryerjen e procedurës së enkriptimit.
Oriz. 38: Procedurat e enkriptimit
Në fillim ne mund të shohim se si ngarkon një varg që më vonë do të përdoret për të zhbërë gjithçka që nevojitet: importe, DLL, komanda, skedarë dhe CSP.
Oriz. 39: Qarku i zbërthimit
Figura në vijim tregon importin e parë që ai dekompozon në regjistrin R4. Libraria e ngarkesës. Kjo do të përdoret më vonë për të ngarkuar DLL-të e kërkuara. Ne gjithashtu mund të shohim një linjë tjetër në regjistrin R12, e cila përdoret së bashku me rreshtin e mëparshëm për të kryer deobfuscation.
Oriz. 40: Zhdukje dinamike
Ai vazhdon të shkarkojë komanda që do të ekzekutohen më vonë për të çaktivizuar kopjet rezervë, pikat e rivendosjes dhe mënyrat e sigurta të nisjes.
Oriz. 41: Ngarkimi i komandave
Pastaj ngarkon vendndodhjen ku do të lëshojë 3 skedarë: Windows.bat, run.sct и fillo.bat.
Oriz. 42: Vendndodhjet e skedarëve
Këta 3 skedarë përdoren për të kontrolluar privilegjet që ka çdo vendndodhje. Nëse privilegjet e kërkuara nuk janë të disponueshme, Ryuk ndalon ekzekutimin.
Ai vazhdon të ngarkojë linjat që korrespondojnë me tre skedarët. Së pari, DECRYPT_INFORMATION.html, përmban informacionin e nevojshëm për të rikuperuar skedarët. Së dyti, PUBLIKE, përmban çelësin publik RSA.
Oriz. 43: Rreshti DEKRIPT INFORMACION.html
Së treti, UNIQUE_ID_MO_NOT_HEQ, përmban çelësin e enkriptuar që do të përdoret në rutinën tjetër për të kryer enkriptimin.
Oriz. 44: ID-ja UNIKE e linjës MOS HIQ
Së fundi, ai shkarkon bibliotekat e kërkuara së bashku me importet dhe CSP-të e kërkuara (RSA e përmirësuar e Microsoft и Ofruesi kriptografik AES).
Oriz. 45: Duke ngarkuar bibliotekat
Pasi të ketë përfunduar i gjithë deobfuscimi, ai vazhdon të kryejë veprimet e kërkuara për enkriptim: numërimi i të gjitha disqeve logjike, ekzekutimi i asaj që ishte ngarkuar në rutinën e mëparshme, forcimi i pranisë në sistem, hedhja e skedarit RyukReadMe.html, enkriptimi, numërimi i të gjitha disqeve të rrjetit. , kalimi në pajisjet e zbuluara dhe enkriptimi i tyre.
Gjithçka fillon me ngarkimin"cmd.exe" dhe të dhënat e çelësit publik RSA.
Oriz. 46: Përgatitja për enkriptim
Pastaj merr të gjitha disqet logjike duke përdorur GetLogicalDrives dhe çaktivizon të gjitha kopjet rezervë, pikat e rivendosjes dhe mënyrat e sigurta të nisjes.
Oriz. 47: Çaktivizimi i mjeteve të rikuperimit
Pas kësaj, ai forcon praninë e tij në sistem, siç e pamë më lart, dhe shkruan skedarin e parë RyukReadMe.html в Temp.
Oriz. 48: Publikimi i një njoftimi për shpërblesë
Në foton e mëposhtme mund të shihni se si krijon një skedar, shkarkon përmbajtjen dhe e shkruan atë:
Oriz. 49: Ngarkimi dhe shkrimi i përmbajtjes së skedarit
Për të qenë në gjendje të kryejë të njëjtat veprime në të gjitha pajisjet, ai përdor
"icacls.exe“, siç e treguam më lart.
Oriz. 50: Duke përdorur icalcls.exe
Dhe së fundi, fillon të kodojë skedarët, përveç skedarëve "*.exe", "*.dll", skedarëve të sistemit dhe vendndodhjeve të tjera të specifikuara në formën e një liste të bardhë të koduar. Për ta bërë këtë, ai përdor importet: CryptAcquireContextW (ku specifikohet përdorimi i AES dhe RSA), CryptDeriveKey, CryptGenKey, CryptDestroyKey etj. Ai gjithashtu përpiqet të zgjerojë shtrirjen e tij në pajisjet e rrjetit të zbuluara duke përdorur WNetEnumResourceW dhe më pas t'i kodojë ato.
Oriz. 51: Kriptimi i skedarëve të sistemit
6. Importet dhe flamujt përkatës
Më poshtë është një tabelë që rendit importet dhe flamujt më të rëndësishëm të përdorur nga kampioni:
7. IOC
Referencat
- përdoruesitPublicrun.sct
- Start MenuProgramsStartupstart.bat AppDataRoamingMicrosoftWindowsStart
- MenuProgramsStartupstart.bat
Një raport teknik mbi ransomware-in Ryuk u përpilua nga ekspertë nga laboratori antivirus PandaLabs.
8. Lidhjet
1. “Everis y Prisa Radio sufren un grave ciberataque que secuestra sus sistemas.”https://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, Publikuar 04/11/2019.
2. "Un virus de origen ruso ataca a importantes empresas españolas." https: //elpais.com/tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, Publicada el 04/11/2019.
3. “Letër VB2019: Hakmarrja e Shinigamit: bishti i gjatë i malware Ryuk.” https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, Publikimi el 11 /12/2019
4. "Gjuetia e lojërave të mëdha me Ryuk: Një tjetër Ransomware i synuar me fitim."https://www. crowdstrike.com/blog/big-game-hunting-with-ryuk-onether-lucrative-targeted-ransomware/, Publikuar më 10/01/2019.
5. “Letra VB2019: Hakmarrja e Shinigamit: bishti i gjatë i malware Ryuk.” https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigami-revenge-long-tail-r
Burimi: www.habr.com