Ryuk mangrupikeun salah sahiji pilihan ransomware anu paling kasohor dina sababaraha taun ka pengker. Kusabab éta mimiti muncul dina usum panas 2018, éta parantos dikumpulkeun , utamana dina lingkungan bisnis, nu mangrupakeun target utama serangan na.
1. Inpo umum
Dokumén ieu ngandung analisa varian Ryuk ransomware, ogé loader anu tanggung jawab pikeun ngamuat malware kana sistem.
Ransomware Ryuk mimiti muncul dina usum panas 2018. Salah sahiji bédana antara Ryuk sareng ransomware sanés nyaéta tujuanana pikeun nyerang lingkungan perusahaan.
Dina pertengahan 2019, grup cybercriminal nyerang sajumlah ageung perusahaan Spanyol nganggo ransomware ieu.
Sangu. 1: Petikan tina El Confidencial ngeunaan serangan ransomware Ryuk [1]
Sangu. 2: Kutipan ti El País ngeunaan serangan anu dilakukeun nganggo ransomware Ryuk [2]
Taun ieu, Ryuk parantos nyerang sajumlah ageung perusahaan di sababaraha nagara. Sakumaha anjeun tiasa tingali dina inohong di handap, Jérman, Cina, Aljazair jeung India éta hardest hit.
Ku ngabandingkeun jumlah serangan cyber, urang bisa nempo yén Ryuk geus kapangaruhan jutaan pamaké sarta compromised jumlah badag data, hasilna leungitna ékonomi parna.
Sangu. 3: Ilustrasi kagiatan global Ryuk.
Sangu. 4: 16 nagara paling kapangaruhan ku Ryuk
Sangu. 5: Jumlah pangguna anu diserang ku ransomware Ryuk (jutaan)
Nurutkeun prinsip operasi dawam tina ancaman misalna, ransomware ieu, sanggeus enkripsi réngsé, nembongkeun korban bewara tebusan nu kudu dibayar dina bitcoins ka alamat dieusian pikeun mulangkeun aksés ka file énkripsi.
malware ieu geus robah ti mimiti diwanohkeun.
Varian ancaman ieu anu dianalisis dina dokumén ieu kapanggih nalika usaha serangan dina Januari 2020.
Alatan pajeulitna, malware ieu mindeng attributed ka grup cybercriminal diatur, ogé katelah grup APT.
Bagian tina kode Ryuk ngabogaan kasaruaan noticeable kana kode jeung struktur ransomware sejen well-dipikawanoh, Hermes, kalawan nu aranjeunna babagi sababaraha fungsi idéntik. Ieu sababna Ryuk mimitina dihubungkeun sareng grup Koréa Kalér Lazarus, anu dina waktos éta disangka aya tukangeun ransomware Hermes.
Ladenan Falcon X CrowdStrike salajengna nyatakeun yén Ryuk saleresna diciptakeun ku grup WIZARD SPIDER [4].
Aya sababaraha bukti pikeun ngarojong asumsi ieu. Mimiti, ransomware ieu diémbarkeun dina situs wéb exploit.in, anu mangrupikeun pasar malware Rusia anu terkenal sareng sateuacana aya hubunganana sareng sababaraha grup APT Rusia.
Kanyataan ieu ngaluarkeun téori yén Ryuk tiasa dikembangkeun ku grup Lazarus APT, sabab teu cocog jeung cara grup beroperasi.
Salaku tambahan, Ryuk diémbarkeun salaku ransomware anu moal tiasa dianggo dina sistem Rusia, Ukrania sareng Belarusian. Paripolah ieu ditangtukeun ku fitur anu aya dina sababaraha vérsi Ryuk, dimana éta pariksa basa sistem dimana ransomware dijalankeun sareng ngeureunkeunana ngajalankeun upami sistemna ngagaduhan basa Rusia, Ukrania atanapi Belarusian. Tungtungna, analisa ahli mesin anu diretas ku tim WIZARD SPIDER ngungkabkeun sababaraha "artefak" anu disangka dianggo dina pamekaran Ryuk salaku varian ransomware Hermes.
Di sisi anu sanés, para ahli Gabriela Nicolao sareng Luciano Martins ngusulkeun yén ransomware tiasa dikembangkeun ku grup APT CryptoTech [5].
Ieu nuturkeun kanyataan yén sababaraha bulan sateuacan penampilan Ryuk, grup ieu ngeposkeun inpormasi dina forum situs anu sami yén aranjeunna parantos ngembangkeun versi énggal tina ransomware Hermes.
Sababaraha pamaké forum questioned naha CryptoTech sabenerna dijieun Ryuk. Grup éta teras ngabela diri sareng nyatakeun yén éta ngagaduhan bukti yén aranjeunna parantos ngembangkeun 100% tina ransomware.
2. Ciri
Urang mimitian ku bootloader, anu tugasna pikeun ngaidentipikasi sistem anu diaktipkeun supados versi "leres" tina ransomware Ryuk tiasa diluncurkeun.
Hash bootloader nyaéta kieu:
MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469
Salah sahiji fitur pangunduh ieu nyaéta henteu ngandung metadata, nyaéta. Anu nyiptakeun malware ieu henteu ngalebetkeun inpormasi naon waé di jerona.
Kadang-kadang aranjeunna kalebet data anu salah pikeun nipu pangguna pikeun mikir yén aranjeunna ngajalankeun aplikasi anu sah. Nanging, sakumaha anu bakal urang tingali engké, upami inféksi henteu ngalibetkeun interaksi pangguna (sapertos kasus ransomware ieu), maka panyerang henteu nganggap éta kedah nganggo metadata.
Sangu. 6: Sampel Meta Data
Sampel ieu disusun dina format 32-bit supados tiasa dijalankeun dina sistem 32-bit sareng 64-bit.
3. Vektor penetrasi
Sampel anu diunduh sareng dijalankeun Ryuk diasupkeun kana sistem kami liwat sambungan jauh, sareng parameter aksés dicandak ngalangkungan serangan RDP awal.
Sangu. 7: Serangan ngadaptar
Panyerang junun asup kana sistem jarak jauh. Saatos éta, anjeunna nyiptakeun file anu tiasa dieksekusi sareng conto urang.
File laksana ieu diblokir ku solusi antipirus sateuacan jalan.
Sangu. 8: Pola konci
Sangu. 9: Pola konci
Nalika file jahat diblokir, panyerang nyobian ngaunduh versi énkripsi tina file anu tiasa dieksekusi, anu ogé diblokir.
Sangu. 10: Setel conto anu dicobian ku panyerang
Tungtungna, anjeunna nyobian ngaunduh file jahat anu sanés ngalangkungan konsol énkripsi
PowerShell pikeun ngalangkungan panyalindungan antipirus. Tapi anjeunna ogé diblokir.
Sangu. 11: PowerShell sareng eusi jahat dipeungpeuk
Sangu. 12: PowerShell sareng eusi jahat dipeungpeuk
4. Pamuat
Nalika dieksekusi, nyerat file ReadMe kana polder % Temp%, nu has pikeun Ryuk. Berkas ieu mangrupikeun catetan tebusan anu ngandung alamat email dina domain protonmail, anu cukup umum dina kulawarga malware ieu: [email dijaga]
Sangu. 13: Paménta Tebusan
Nalika bootloader dijalankeun, anjeun tiasa ningali yén éta ngaluncurkeun sababaraha file anu tiasa dieksekusi kalayan nami acak. Éta disimpen dina folder disumputkeun AWAM, tapi lamun pilihan teu aktip dina sistem operasi "Témbongkeun file sareng polder disumputkeun", tuluy maranehna bakal tetep disumputkeun. Sumawona, file ieu 64-bit, teu sapertos file indungna, nyaéta 32-bit.
Sangu. 14: file laksana dibuka ku sampel
Sakumaha anjeun tiasa tingali dina gambar di luhur, Ryuk ngaluncurkeun icacls.exe, anu bakal dianggo pikeun ngarobih sadayana ACL (Daptar kontrol aksés), sahingga mastikeun aksés sareng modifikasi bendera.
Éta ngagaduhan aksés pinuh dina sadaya pangguna ka sadaya file dina alat (/T) henteu paduli kasalahan (/C) sareng tanpa nunjukkeun pesen (/Q).
Sangu. 15: Parameter palaksanaan icacls.exe diluncurkeun ku sampel
Penting pikeun dicatet yén Ryuk pariksa versi Windows anu anjeun jalankeun. Pikeun ieu anjeunna
ngalakukeun cek versi nganggo GetVersionExW, dimana eta mariksa nilai bandéra lpVérsionInpormasinunjukkeun naha versi Windows ayeuna leuwih anyar ti Windows XP.
Gumantung kana naha anjeun ngajalankeun versi engké ti Windows XP, boot loader bakal nulis ka folder pamaké lokal - dina hal ieu ka folder. %Umum%.
Sangu. 17: Mariksa versi sistem operasi
Berkas anu ditulis nyaéta Ryuk. Ieu lajeng ngajalankeun eta, ngalirkeun alamat sorangan salaku parameter a.
Sangu. 18: Ngaéksekusi Ryuk via ShellExecute
Hal kahiji anu dilakukeun ku Ryuk nyaéta nampi parameter input. Waktos ieu aya dua parameter input (eksekusi sorangan sareng alamat dropper) anu dianggo pikeun ngahapus jejak sorangan.
Sangu. 19: Nyieun Prosés
Anjeun oge bisa nempo yén sakali geus ngajalankeun executables na, eta mupus sorangan, sahingga teu ninggalkeun renik ayana sorangan dina folder dimana eta dieksekusi.
Sangu. 20: Ngahapus file
5. RYUK
5.1 Ayana
Ryuk, sapertos malware anu sanés, nyobian tetep dina sistem salami mungkin. Sakumaha anu dipidangkeun di luhur, salah sahiji cara pikeun ngahontal tujuan ieu nyaéta nyiptakeun sareng ngajalankeun file anu tiasa dieksekusi. Pikeun ngalakukeun ieu, prakték anu paling umum nyaéta ngarobih konci pendaptaran AyeunaVersionRun.
Dina hal ieu, anjeun tiasa ningali yén pikeun tujuan ieu file anu munggaran diluncurkeun VWjRF.exe
(ngaran file dihasilkeun acak) ngajalankeun cmd.exe.
Sangu. 21: Ngalaksanakeun VWjRF.exe
Teras lebetkeun paréntah lalumpatan Kalayan ngaran"svchos". Ku kituna, upami anjeun hoyong pariksa konci pendaptaran iraha wae, anjeun bisa kalayan gampang sono parobahan ieu, dibere kasaruaan ngaran ieu kalawan svchost. Hatur nuhun kana konci ieu, Ryuk ensures ayana na dina sistem. Lamun sistem teu boga. acan kainféksi , teras nalika anjeun reboot sistem, executable bakal cobian deui.
Sangu. 22: Sampel mastikeun ayana dina konci pendaptaran
Urang ogé tiasa ningali yén laksana ieu ngeureunkeun dua jasa:
"audioendpointbuilder", nu, sakumaha ngaranna nunjukkeun, pakait jeung sistem audio,
Sangu. 23: Sampel ngeureunkeun jasa audio sistem
и Samss, anu mangrupikeun jasa manajemén akun. Ngeureunkeun dua jasa ieu mangrupikeun ciri Ryuk. Dina hal ieu, lamun sistem disambungkeun ka sistem SIEM, ransomware nu nyoba eureun ngirim ka sagala warnings. Ku cara kieu, anjeunna ngajaga léngkah-léngkah salajengna sabab sababaraha jasa SAM moal tiasa ngamimitian padamelanna leres saatos ngalaksanakeun Ryuk.
Sangu. 24: Sampel ngeureunkeun jasa Samss
5.2 Kaistimewaan
Sacara umum, Ryuk dimimitian ku mindahkeun gurat dina jaringan atanapi diluncurkeun ku malware anu sanés sapertos atawa , nu, dina acara escalation hak husus, mindahkeun hak elevated ieu ka ransomware nu.
Sateuacanna, salaku prelude kana prosés palaksanaan, urang tingali anjeunna ngalaksanakeun prosés ImpersonateSelf, anu hartosna eusi kaamanan tina token aksés bakal dikirimkeun ka stream, dimana éta bakal langsung dicandak nganggo GetCurrentThread.
Sangu. 25: Telepon ImpersonateSelf
Teras we ningali yén éta bakal ngahubungkeun token aksés sareng benang. Urang ogé ningali yén salah sahiji umbul téh DesiredAccess, nu bisa dipaké pikeun ngadalikeun aksés nu thread bakal boga. Dina hal ieu nilai nu edx bakal nampa kudu TOKEN_ALL_ACESS atanapi sanés- TOKEN_WRITE.
Sangu. 26: Nyieun Token Aliran
Lajeng anjeunna bakal ngagunakeun SeDebugPrivilege sarta bakal nelepon pikeun ménta idin Debug dina thread, hasilna PROCESS_ALL_ACCESS, anjeunna bakal tiasa ngakses sagala prosés diperlukeun. Ayeuna, nunjukkeun yén énkripsi parantos ngagaduhan aliran anu disiapkeun, anu tetep nyaéta pikeun neraskeun kana tahap ahir.
Sangu. 27: Nyauran SeDebugPrivilege sareng Privilege Escalation Function
Di hiji sisi, urang gaduh LookupPrivilegeValueW, anu nyayogikeun inpormasi anu dipikabutuh ngeunaan hak-hak anu urang hoyong ningkat.
Sangu. 28: Nyuhunkeun inpormasi ngeunaan hak husus pikeun escalation hak husus
Di sisi séjén, urang boga AdjustTokenPrivileges, nu ngamungkinkeun urang pikeun ménta hak diperlukeun pikeun stream urang. Dina hal ieu, hal anu paling penting nyaéta Nagara Anyar, anu bandéra bakal méré hak husus.
Sangu. 29: Nyetel idin pikeun token a
5.3 Palaksanaan
Dina bagian ieu, urang bakal nunjukkeun kumaha conto ngalaksanakeun prosés palaksanaan anu disebatkeun dina laporan ieu.
Tujuan utama prosés palaksanaan, kitu ogé escalation, nyaéta pikeun meunangkeun aksés ka salinan kalangkang. Jang ngalampahkeun ieu, manéhna kudu digawekeun ku thread kalawan hak leuwih luhur ti pamaké lokal. Sakali eta gains hak elevated misalna, éta bakal ngahapus salinan sarta nyieun parobahan ka prosés séjén dina urutan sangkan teu mungkin balik ka titik balikkeun saméméhna dina sistem operasi.
Sapertos has sareng jinis malware ieu, éta ngagunakeun CreateToolHelp32Snapshotjanten peryogi snapshot tina prosés anu ayeuna jalan sareng nyobian ngaksés prosés éta nganggo OpenProcess. Sakali eta gains aksés ka prosés, éta ogé muka token kalayan informasi na pikeun ménta parameter prosés.
Sangu. 30: Retrieving prosés tina komputer
Urang sacara dinamis tiasa ningali kumaha kéngingkeun daptar prosés anu ngajalankeun dina rutin 140002D9C nganggo CreateToolhelp32Snapshot. Saatos nampi éta, anjeunna ngalangkungan daptar, nyobian muka prosés hiji-hiji nganggo OpenProcess dugi ka suksés. Dina hal ieu, prosés munggaran anjeunna tiasa muka éta "taskhost.exe".
Sangu. 31: Dinamis Laksanakeun Prosedur pikeun Meunangkeun Prosés
Urang tiasa ningali yén éta salajengna maca inpormasi token prosés, janten nyauran OpenProcessToken kalawan parameter "20008"
Sangu. 32: Baca informasi token prosés
Éta ogé pariksa yén prosés anu bakal disuntikkeun henteu csrss.exe, explorer.exe, lsaas.exe atanapi yén anjeunna gaduh sakumpulan hak otoritas NT.
Sangu. 33: Prosés teu kaasup
Urang sacara dinamis tiasa ningali kumaha mimitina ngalaksanakeun cek nganggo inpormasi token prosés 140002D9C pikeun manggihan naha akun anu hakna dipaké pikeun ngaéksekusi prosés mangrupa akun NT OTORITAS.
Sangu. 34: NT Otoritas pariksa
Sareng engké, di luar prosedur, anjeunna mariksa yén ieu sanés csrss.exe, explorer.exe atawa lsaas.exe.
Sangu. 35: NT Otoritas pariksa
Sakali anjeunna nyandak snapshot tina prosés, muka prosés, sarta diverifikasi yén taya sahijina anu kaasup, anjeunna siap nulis memori prosés nu bakal nyuntik.
Jang ngalampahkeun ieu, mimitina cadangan wewengkon dina mémori (VirtualAllocEx), nulis kana eta (WriteProcessmemory) jeung nyieun thread (CreateRemoteThread). Pikeun damel sareng fungsi ieu, éta ngagunakeun PID tina prosés anu dipilih, anu saacanna dianggo CreateToolhelp32Snapshot.
Sangu. 36: Kode Lebetkeun
Di dieu urang tiasa sacara dinamis niténan kumaha ngagunakeun prosés PID pikeun nelepon fungsina VirtualAllocEx.
Sangu. 37: Telepon VirtualAllocEx
5.4 Énkripsi
Dina bagian ieu, urang bakal ningali bagian énkripsi tina conto ieu. Dina gambar di handap ieu anjeun tiasa ningali dua subrutin anu disebut "LoadLibrary_EncodeString"Jeung"Encode_Func", anu tanggung jawab pikeun ngalaksanakeun prosedur enkripsi.
Sangu. 38: Prosedur énkripsi
Dina awal urang bisa ningali kumaha eta beban string anu engké bakal dipaké pikeun deobfuscate sagalana nu diperlukeun: impor, DLLs, paréntah, file na CSPs.
Sangu. 39: sirkuit Deobfuscation
Gambar di handap ieu nembongkeun impor munggaran eta deobfuscates dina register R4. LoadLibrary. Ieu bakal dianggo engké pikeun ngamuat DLL anu diperyogikeun. Urang ogé bisa ningali garis sejen dina register R12, nu dipaké babarengan jeung garis saméméhna pikeun deobfuscation nedunan.
Sangu. 40: Deobfuscation dinamis
Terus ngaunduh paréntah anu bakal dijalankeun engké pikeun nganonaktipkeun cadangan, malikkeun titik, sareng modeu boot aman.
Sangu. 41: Loading paréntah
Teras éta ngamuat lokasi dimana éta bakal lungsur 3 file: Windows.bat, run.sct и ngamimitian.bat.
Sangu. 42: Lokasi koropak
3 file ieu dianggo pikeun mariksa hak istimewa anu dipiboga ku unggal lokasi. Lamun hak husus diperlukeun teu sadia, Ryuk eureun palaksanaan.
Terus ngamuat garis anu pakait sareng tilu file. kahiji, DECRYPT_INFORMATION.html, ngandung inpormasi anu dipikabutuh pikeun cageur file. kadua, AWAM, ngandung konci publik RSA.
Sangu. 43: Garis DECRYPT INFORMATION.html
katilu, UNIQUE_ID_DO_NOT_REMOVE, ngandung konci énkripsi anu bakal dianggo dina rutin salajengna pikeun ngalakukeun enkripsi.
Sangu. 44: Garis ID UNIK TEU Cabut
Tungtungna, éta ngaunduh perpustakaan anu diperyogikeun sareng impor sareng CSP anu diperyogikeun (Microsoft Enhanced RSA и Panyadia Kriptografi AES).
Sangu. 45: Ngamuat perpustakaan
Sanggeus kabéh deobfuscation réngsé, éta proceeds nedunan lampah diperlukeun pikeun enkripsi: enumerating sadaya drive logis, executing naon dimuat dina rutin saméméhna, strengthening ayana dina sistem, ngalungkeun file RyukReadMe.html, enkripsi, enumerating sadaya drive jaringan. , transisi ka alat nu dideteksi jeung enkripsi maranéhanana.
Éta sadayana dimimitian ku loading"cmd.exe"Jeung RSA rékaman konci publik.
Sangu. 46: Nyiapkeun pikeun énkripsi
Lajeng meunang sagala drive logis ngagunakeun GetLogicalDrives sareng nganonaktipkeun sadaya cadangan, malikkeun titik sareng modeu boot aman.
Sangu. 47: Nonaktipkeun alat pamulihan
Saatos éta, éta nguatkeun ayana dina sistem, sapertos anu urang tingali di luhur, sareng nyerat file anu munggaran RyukReadMe.html в TEMP.
Sangu. 48: Nerbitkeun bewara tebusan
Dina gambar di handap ieu anjeun tiasa ningali kumaha nyiptakeun file, ngaunduh kontén sareng nyeratna:
Sangu. 49: Ngamuat sareng nyerat eusi file
Pikeun tiasa ngalakukeun tindakan anu sami dina sadaya alat, anjeunna nganggo
"icacls.exe", sakumaha anu kami nunjukkeun di luhur.
Sangu. 50: Ngagunakeun icalcls.exe
Sarta pamustunganana, dimimitian encrypting file iwal "*.exe", "*.dll" file, file sistem jeung lokasi sejenna dieusian dina bentuk daptar bodas énkripsi. Jang ngalampahkeun ieu, ngagunakeun impor: CryptoAcquireContextW (dimana pamakéan AES sareng RSA dieusian), CryptDeriveKey, CryptGenKey, CryptoDestroyKey jsb. Éta ogé nyobian manjangkeun jangkauanna ka alat jaringan anu kapanggih nganggo WNetEnumResourceW teras énkripsi.
Sangu. 51: Énkripsi file sistem
6. Impor jeung umbul pakait
Di handap ieu tabel daptar impor sareng bandéra anu paling relevan anu dianggo ku sampel:
7. IOC
rujukan
- usersPublicrun.sct
- Mimitian MenuProgramsStartupstart.bat AppDataRoamingMicrosoftWindowsStart
- MenuProgramsStartupstart.bat
Laporan téknis ngeunaan ransomware Ryuk disusun ku para ahli ti laboratorium antipirus PandaLabs.
8. Tumbu
1. "Everis y Prisa Radio sufren un grave ciberataque que secuestra sus sistemas."https://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, Publicada el 04/11/2019.
2. "Un virus de origen ruso ataca a importantes empresas españolas." HTTPS: //elpais.com/tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, Publikasi dina 04/11/2019.
3. "Kertas VB2019: Dendam Shinigami: buntut panjang tina malware Ryuk." https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, Publicada el 11 /12/2019
4. "Big Game Hunting kalawan Ryuk: Lain LucrativebTargeted Ransomware. "https: // www. crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/, Publikasikeun dina 10/01/2019.
5. "Kertas VB2019: dendam Shinigami: buntut panjang tina malware Ryuk. "HTTPS: // www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigamis-revenge-long-tail-r
sumber: www.habr.com