Риук је једна од најпознатијих опција за рансомвер у последњих неколико година. Од када се први пут појавио у лето 2018. године, сакупио се , посебно у пословном окружењу, које је главна мета његових напада.
1. Опште информације
Овај документ садржи анализу варијанте Риук рансомваре-а, као и учитавача одговорног за учитавање малвера у систем.
Риук рансомваре први пут се појавио у лето 2018. Једна од разлика између Риука и другог рансомваре-а је та што је усмерен на напад на корпоративно окружење.
Средином 2019. године, сајбер криминалне групе су напале велики број шпанских компанија користећи овај рансомваре.
Пиринач. 1: Извод из Ел Цонфиденциала о нападу Риук рансомвера [1]
Пиринач. 2: Извод из Ел Паиса о нападу извршеном помоћу Риук рансомваре-а [2]
Ове године Риук је напао велики број компанија у разним земљама. Као што можете видети на сликама испод, најтеже су погођене Немачка, Кина, Алжир и Индија.
Упоређујући број сајбер напада, можемо видети да је Риук утицао на милионе корисника и компромитовао огромну количину података, што је резултирало тешким економским губицима.
Пиринач. 3: Илустрација Рјукове глобалне активности.
Пиринач. 4: 16 земаља које су највише погођене Риуком
Пиринач. 5: Број корисника које је напао Риук рансомваре (у милионима)
Према уобичајеном принципу рада таквих претњи, овај рансомваре, након што је шифровање завршено, показује жртви обавештење о откупнини које се мора платити у биткоинима на наведену адресу да би се вратио приступ шифрованим датотекама.
Овај малвер се променио од када је први пут представљен.
Варијанта ове претње анализирана у овом документу откривена је током покушаја напада у јануару 2020.
Због своје сложености, овај малвер се често приписује организованим групама сајбер-криминалаца, познатим и као АПТ групе.
Део Риук кода има приметну сличност са кодом и структуром другог добро познатог рансомваре-а, Хермеса, са којим деле низ идентичних функција. Због тога је Риук првобитно био повезан са севернокорејском групом Лазарус, за коју се у то време сумњало да стоји иза рансомваре-а Хермес.
ЦровдСтрике-ов Фалцон Кс сервис је накнадно приметио да је Риук у ствари креирала група ВИЗАРД СПИДЕР [4].
Постоје неки докази који подржавају ову претпоставку. Прво, овај рансомваре је оглашен на веб локацији екплоит.ин, која је добро познато руско тржиште злонамерног софтвера и која је раније била повезана са неким руским АПТ групама.
Ова чињеница искључује теорију да је Рјука могла развити група Лазарус АПТ, јер то се не уклапа у начин на који група функционише.
Поред тога, Риук је рекламиран као рансомваре који неће радити на руским, украјинским и белоруским системима. Ово понашање је одређено функцијом која се налази у неким верзијама Риук-а, где проверава језик система на којем је покренут рансомвер и зауставља његово покретање ако систем има руски, украјински или белоруски језик. Коначно, стручна анализа машине коју је хаковао тим ВИЗАРД СПИДЕР открила је неколико „артефаката“ који су наводно коришћени у развоју Риука као варијанте Хермес рансомваре-а.
С друге стране, стручњаци Габриела Ницолао и Луциано Мартинс сугеришу да је рансомваре можда развила АПТ група ЦриптоТецх [5].
Ово произилази из чињенице да је неколико месеци пре појаве Риука ова група на форуму истог сајта објавила информацију да је развила нову верзију Хермес рансомваре-а.
Неколико корисника форума поставило је питање да ли је ЦриптоТецх заиста створио Риук. Група се тада бранила и изјавила да има доказе да су развили 100% рансомваре-а.
2. Карактеристике
Почињемо са боотлоадер-ом, чији је задатак да идентификује систем на којем се налази како би се могла покренути „исправна“ верзија Риук рансомваре-а.
Хеш покретача је следећи:
MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469
Једна од карактеристика овог преузимача је да не садржи никакве метаподатке, тј. Креатори овог малвера нису укључили никакве информације у њега.
Понекад укључују погрешне податке како би навели корисника да помисли да користи легитимну апликацију. Међутим, као што ћемо касније видети, ако инфекција не укључује интеракцију корисника (као што је случај са овим рансомваре-ом), нападачи не сматрају потребним да користе метаподатке.
Пиринач. 6: Пример мета података
Узорак је компајлиран у 32-битном формату тако да може да ради на 32-битним и 64-битним системима.
3. Вектор пенетрације
Узорак који преузима и покреће Риук ушао је у наш систем путем удаљене везе, а параметри приступа су добијени прелиминарним РДП нападом.
Пиринач. 7: Регистар напада
Нападач је успео да се на даљину пријави у систем. Након тога је направио извршну датотеку са нашим узорком.
Ову извршну датотеку је блокирало антивирусно решење пре покретања.
Пиринач. 8: Закључавање узорка
Пиринач. 9: Закључавање узорка
Када је злонамерна датотека блокирана, нападач је покушао да преузме шифровану верзију извршне датотеке, која је такође била блокирана.
Пиринач. 10: Скуп узорака које је нападач покушао да покрене
Коначно, покушао је да преузме још једну злонамерну датотеку преко шифроване конзоле
ПоверСхелл да заобиђе антивирусну заштиту. Али и он је био блокиран.
Пиринач. 11: ПоверСхелл са злонамерним садржајем блокиран
Пиринач. 12: ПоверСхелл са злонамерним садржајем блокиран
4. Утоваривач
Када се покрене, записује РеадМе датотеку у фасциклу % Темп%, што је типично за Риук. Ова датотека је порука о откупнини која садржи адресу е-поште на домену протонмаил, што је прилично уобичајено у овој породици малвера: [емаил заштићен]
Пиринач. 13: Захтев за откупнином
Док је покретач покретан, можете видети да покреће неколико извршних датотека са насумичним именима. Они се чувају у скривеној фасцикли ЈАВНИ, али ако опција није активна у оперативном систему „Прикажи скривене датотеке и фасцикле“, онда ће остати скривени. Штавише, ове датотеке су 64-битне, за разлику од родитељске датотеке, која је 32-битна.
Пиринач. 14: Извршне датотеке које је покренуо узорак
Као што можете видети на слици изнад, Риук покреће ицацлс.еке, који ће се користити за модификовање свих АЦЛ-ова (листе контроле приступа), чиме се обезбеђује приступ и модификација заставица.
Под свим корисницима добија пун приступ свим датотекама на уређају (/Т) без обзира на грешке (/Ц) и без приказивања порука (/К).
Пиринач. 15: Параметри извршења ицацлс.еке покренуте од стране узорка
Важно је напоменути да Риук проверава коју верзију Виндовс-а користите. За ово он
врши проверу верзије користећи ГетВерсионЕкВ, у којој проверава вредност заставице лпВерсионИнформатионкоји означава да ли је тренутна верзија Виндовс-а новија од виндовс КСП.
У зависности од тога да ли користите верзију која је каснија од Виндовс КСП-а, покретач ће писати у локалну корисничку фасциклу - у овом случају у фасциклу %Јавно%.
Пиринач. 17: Провера верзије оперативног система
Фајл који се пише је Риук. Затим га покреће, прослеђујући сопствену адресу као параметар.
Пиринач. 18: Извршите Риук преко СхеллЕкецуте
Прва ствар коју Риук ради је примање улазних параметара. Овог пута постоје два улазна параметра (сам извршни фајл и адреса дроппера) који се користе за уклањање сопствених трагова.
Пиринач. 19: Креирање процеса
Такође можете видети да када једном покрене своје извршне датотеке, он се брише, не остављајући на тај начин никакав траг о сопственом присуству у фасцикли у којој је извршен.
Пиринач. 20: Брисање датотеке
5. РИУК
5.1 Присуство
Риук, као и други злонамерни софтвер, покушава да остане на систему што је дуже могуће. Као што је горе приказано, један од начина да се постигне овај циљ је тајно креирање и покретање извршних датотека. Да бисте то урадили, најчешћа пракса је промена кључа регистратора ЦуррентВерсионРун.
У овом случају, можете видети да је у ту сврху прва датотека која се покреће ВВјРФ.еке
(име датотеке је насумично генерисано) се покреће цмд.еке.
Пиринач. 21: Извршавање ВВјРФ.еке
Затим унесите команду ТРЧАЊЕ Са именом "свцхос". Дакле, ако желите да проверите кључеве регистратора у било ком тренутку, можете лако да пропустите ову промену, с обзиром на сличност овог имена са свцхост. Захваљујући овом кључу, Риук обезбеђује његово присуство у систему. Ако систем није још увек заражен, онда када поново покренете систем, извршни фајл ће покушати поново.
Пиринач. 22: Узорак осигурава присуство у кључу регистратора
Такође можемо видети да овај извршни фајл зауставља две услуге:
"аудиоендпоинтбуилдер“, што, како му име каже, одговара системском звуку,
Пиринач. 23: Сампле зауставља системску аудио услугу
и Самсс, што је услуга управљања налогом. Заустављање ове две услуге је карактеристика Риука. У овом случају, ако је систем повезан са СИЕМ системом, рансомваре покушава да заустави слање на било каква упозорења. На овај начин он штити своје следеће кораке јер неке САМ услуге неће моћи исправно да почну са радом након извршења Риука.
Пиринач. 24: Узорак зауставља Самсс услугу
5.2 Привилегије
Уопштено говорећи, Риук почиње тако што се креће бочно унутар мреже или га покреће други злонамерни софтвер као што је нпр или , који, у случају ескалације привилегија, преноси ова повишена права на рансомваре.
Претходно, као увод у процес имплементације, видимо да он спроводи процес ИмперсонатеСелф, што значи да ће безбедносни садржај приступног токена бити прослеђен у ток, где ће одмах бити преузет помоћу ГетЦуррентТхреад.
Пиринач. 25: Позовите ИмперсонатеСелф
Тада видимо да ће повезати приступни токен са нити. Видимо и да је једна од застава ДесиредАццесс, који се може користити за контролу приступа који ће имати нит. У овом случају вредност коју ће едк добити треба да буде ТОКЕН_АЛЛ_АЦЕСС или у супротном - ТОКЕН_ВРИТЕ.
Пиринач. 26: Креирање токена тока
Онда ће користити СеДебугПривилеге и упутиће позив за добијање дозвола за отклањање грешака на нити, што резултира ПРОЦЕСС_АЛЛ_АЦЦЕСС, он ће моћи да приступи сваком потребном процесу. Сада, с обзиром да енкриптор већ има припремљен ток, остаје само да пређемо на завршну фазу.
Пиринач. 27: Позивање функције СеДебугПривилеге и ескалације привилегија
С једне стране, имамо ЛоокупПривилегеВалуеВ, који нам пружа неопходне информације о привилегијама које желимо да повећамо.
Пиринач. 28: Захтевајте информације о привилегијама за ескалацију привилегија
С друге стране, имамо АдјустТокенПривилегес, што нам омогућава да добијемо неопходна права на наш ток. У овом случају, најважније је НевСтате, чија ће застава дати привилегије.
Пиринач. 29: Подешавање права за токен
5.3 Имплементација
У овом одељку ћемо показати како узорак изводи процес имплементације који је претходно поменут у овом извештају.
Главни циљ процеса имплементације, као и ескалације, јесте добијање приступа копије у сенци. Да би то урадио, он мора да ради са нити са правима која су већа од права локалног корисника. Једном када стекне таква повишена права, избрисаће копије и извршити промене у другим процесима како би онемогућио повратак на ранију тачку враћања у оперативном систему.
Као што је типично за овај тип малвера, он користи ЦреатеТоолХелп32Снапсхоттако да прави снимак тренутно покренутих процеса и покушава да приступи тим процесима користећи ОпенПроцесс. Када добије приступ процесу, такође отвара токен са својим информацијама да би добио параметре процеса.
Пиринач. 30: Преузимање процеса са рачунара
Можемо динамички да видимо како добија листу покренутих процеса у рутини 140002Д9Ц користећи ЦреатеТоолхелп32Снапсхот. Након што их прими, он пролази кроз листу, покушавајући да отвори процесе један по један користећи ОпенПроцесс док не успе. У овом случају, први процес који је могао да отвори је био "таскхост.еке".
Пиринач. 31: Динамички извршите процедуру да бисте добили процес
Можемо видети да он накнадно чита информације о токену процеса, па позива ОпенПроцессТокен са параметром "20008"
Пиринач. 32: Прочитајте информације о токену процеса
Такође проверава да процес у који ће бити убризган није Цсрсс.еке, екплорер.еке, лсаас.еке или да има скуп права НТ ауторитет.
Пиринач. 33: Искључени процеси
Можемо динамички да видимо како прво обавља проверу користећи информације о токену процеса у 140002Д9Ц како би се сазнало да ли је налог чија се права користе за извршавање процеса налог НТ АУТХОРИТИ.
Пиринач. 34: Провера НТ АУТОРИТЕТА
А касније, мимо процедуре, проверава да то није цсрсс.еке, екплорер.еке или лсаас.еке.
Пиринач. 35: Провера НТ АУТОРИТЕТА
Када направи снимак процеса, отвори процесе и провери да ниједан од њих није искључен, спреман је да запише у меморију процесе који ће бити убачени.
Да би то урадио, прво резервише област у меморији (ВиртуалАллоцЕк), уписује у њега (ВритеПроцессмемори) и креира нит (ЦреатеРемотеТхреад). За рад са овим функцијама користи ПИД-ове изабраних процеса које је претходно добио помоћу ЦреатеТоолхелп32Снапсхот.
Пиринач. 36: Угради код
Овде можемо динамички посматрати како користи ПИД процеса за позивање функције ВиртуалАллоцЕк.
Пиринач. 37: Позовите ВиртуалАллоцЕк
5.4 Шифровање
У овом одељку ћемо погледати део за шифровање овог узорка. На следећој слици можете видети две потпрограме под називом "ЛоадЛибрари_ЕнцодеСтринг" и "Енцоде_Фунц“, који су одговорни за спровођење поступка шифровања.
Пиринач. 38: Поступци шифровања
На почетку можемо видети како учитава стринг који ће се касније користити за демаскирање свега што је потребно: увоза, ДЛЛ-ова, команди, датотека и ЦСП-ова.
Пиринач. 39: Коло за демаскирање
Следећа слика приказује први увоз који демаскира у регистру Р4. ЛоадЛибрари. Ово ће се касније користити за учитавање потребних ДЛЛ-ова. Такође можемо видети још једну линију у регистру Р12, која се користи заједно са претходним редом за обављање демаскицирања.
Пиринач. 40: Динамичка демаскирање
Наставља да преузима команде које ће покренути касније да би онемогућио прављење резервних копија, тачке враћања и безбедне режиме покретања.
Пиринач. 41: Команде за учитавање
Затим учитава локацију на коју ће испустити 3 датотеке: Виндовс.бат, рун.сцт и старт.бат.
Пиринач. 42: Локације фајлова
Ове 3 датотеке се користе за проверу привилегија које свака локација има. Ако потребне привилегије нису доступне, Риук зауставља извршење.
Наставља да учитава редове који одговарају трима датотекама. Први, ДЕЦРИПТ_ИНФОРМАТИОН.хтмл, садржи информације неопходне за опоравак датотека. друго, ЈАВНИ, садржи РСА јавни кључ.
Пиринач. 43: Ред ДЕЦРИПТ ИНФОРМАТИОН.хтмл
треће, УНИКУЕ_ИД_ДО_НОТ_РЕМОВЕ, садржи шифровани кључ који ће се користити у следећој рутини за извођење шифровања.
Пиринач. 44: Линија УНИКУЕ ИД НЕ УКЛАЊАЈТЕ
Коначно, преузима потребне библиотеке заједно са потребним увозом и ЦСП-овима (Мицрософт Енханцед РСА и АЕС криптографски провајдер).
Пиринач. 45: Учитавање библиотека
Након што се заврши демаскирање, наставља се са извршавањем радњи потребних за шифровање: набрајање свих логичких дискова, извршавање онога што је учитано у претходној рутини, јачање присуства у систему, бацање РиукРеадМе.хтмл датотеке, шифровање, набрајање свих мрежних дискова , прелазак на откривене уређаје и њихово шифровање.
Све почиње са учитавањем"цмд.еке“ и записи јавног кључа РСА.
Пиринач. 46: Припрема за шифровање
Затим користи све логичке дискове ГетЛогицалДривес и онемогућава све резервне копије, тачке враћања и безбедне режиме покретања.
Пиринач. 47: Деактивирање алата за опоравак
Након тога јача своје присуство у систему, као што смо видели горе, и уписује први фајл РиукРеадМе.хтмл в ТЕМПЕРАТУРА.
Пиринач. 48: Објављивање обавештења о откупнини
На следећој слици можете видети како креира датотеку, преузима садржај и уписује га:
Пиринач. 49: Учитавање и писање садржаја датотеке
Да би могао да изврши исте радње на свим уређајима, користи
"ицацлс.еке“, као што смо показали горе.
Пиринач. 50: Коришћење ицалцлс.еке
И коначно, почиње да шифрује датотеке осим „*.еке“, „*.длл“ датотека, системских датотека и других локација наведених у облику шифроване беле листе. Да би то урадио, користи увоз: ЦриптАцкуиреЦонтектВ (где је наведена употреба АЕС и РСА), ЦриптДеривеКеи, ЦриптГенКеи, ЦриптДестроиКеи итд. Такође покушава да прошири свој домет на откривене мрежне уређаје користећи ВНетЕнумРесоурцеВ, а затим их шифрује.
Пиринач. 51: Шифровање системских датотека
6. Увоз и одговарајуће заставе
Испод је табела која наводи најрелевантније увозе и ознаке које користи узорак:
7. МОК
референце
- усерсПублицрун.сцт
- Старт МенуПрограмсСтартупстарт.бат АппДатаРоамингМицрософтВиндовсСтарт
- МенуПрограмсСтартупстарт.бат
Технички извештај о Риук рансомваре-у саставили су стручњаци из антивирусне лабораторије ПандаЛабс.
8. Везе
1. „Еверис и Приса Радио суфрен ун граве цибератакуе куе сецуестра сус системас.”хттпс://ввв. елцонфиденциал.цом/тецнологиа/2019-11-04/еверис-ла-сер-цибератакуе-рансомваре-15_2312019/, Објављено 04.
2. „Ун вирус де ориген русо атаца а импортантес емпресас еспанолас.“ хттпс: //елпаис.цом/тецнологиа/2019/11/04/ацтуалидад/1572897654_ 251312.хтмл, Публицада ел 04/11/2019.
3. „ВБ2019 рад: Схинигамијева освета: дуги реп Риук малвера.“ хттпс://сецурелист.цом/стори-оф-тхе-иеар-2019-цитиес-ундер-рансомваре-сиеге/95456/, Публицада ел 11 /12/2019
4. „Лов на велике дивљачи са Риуком: још један профитабилан бциљани Рансомваре.“ хттпс://ввв. цровдстрике.цом/блог/биг-гаме-хунтинг-витх-риук-анотхер-луцративе-таргетед-рансомваре/, Објављено 10.
5. „ВБ2019 рад: Шинигамијева освета: дуги реп Риук малвера.“ хттпс://ввв. вирусбуллетин.цом/вирусбуллетин/2019/10/ вб2019-папер-схинигамис-ревенге-лонг-таил-р
Извор: ввв.хабр.цом