వ్యాపారాలపై దాడి చేసే Ryuk ransomware ఎలా పని చేస్తుంది

Ryuk గత కొన్ని సంవత్సరాలలో అత్యంత ప్రసిద్ధ ransomware ఎంపికలలో ఒకటి. ఇది మొదట 2018 వేసవిలో కనిపించినప్పటి నుండి, ఇది సేకరించబడింది బాధితుల ఆకట్టుకునే జాబితా, ముఖ్యంగా వ్యాపార వాతావరణంలో, ఇది దాని దాడుల యొక్క ప్రధాన లక్ష్యం.

1 సాధారణ సమాచారం

ఈ పత్రం Ryuk ransomware వేరియంట్ యొక్క విశ్లేషణను కలిగి ఉంది, అలాగే సిస్టమ్‌లోకి మాల్వేర్‌ను లోడ్ చేయడానికి బాధ్యత వహించే లోడర్.

Ryuk ransomware మొదటిసారి 2018 వేసవిలో కనిపించింది. Ryuk మరియు ఇతర ransomware మధ్య ఉన్న తేడాలలో ఒకటి ఇది కార్పొరేట్ పరిసరాలపై దాడి చేసే లక్ష్యంతో ఉంది.

2019 మధ్యలో, సైబర్‌క్రిమినల్ గ్రూపులు ఈ ransomwareని ఉపయోగించి భారీ సంఖ్యలో స్పానిష్ కంపెనీలపై దాడి చేశాయి.

అన్నం. 1: Ryuk ransomware దాడికి సంబంధించి ఎల్ కాన్ఫిడెన్షియల్ నుండి సారాంశం [1]

అన్నం. 2: Ryuk ransomware [2] ఉపయోగించి జరిపిన దాడి గురించి El País నుండి సారాంశం
ఈ సంవత్సరం, Ryuk వివిధ దేశాలలో పెద్ద సంఖ్యలో కంపెనీలపై దాడి చేసింది. దిగువ బొమ్మలలో మీరు చూడగలిగినట్లుగా, జర్మనీ, చైనా, అల్జీరియా మరియు భారతదేశం తీవ్రంగా దెబ్బతిన్నాయి.

సైబర్ దాడుల సంఖ్యను పోల్చడం ద్వారా, Ryuk మిలియన్ల మంది వినియోగదారులను ప్రభావితం చేసిందని మరియు భారీ మొత్తంలో డేటాను రాజీ చేసి, ఫలితంగా తీవ్రమైన ఆర్థిక నష్టం జరిగిందని మనం చూడవచ్చు.

అన్నం. 3: ర్యుక్ యొక్క గ్లోబల్ యాక్టివిటీకి ఉదాహరణ.

అన్నం. 4: 16 దేశాలు Ryuk ద్వారా ఎక్కువగా ప్రభావితమయ్యాయి

అన్నం. 5: Ryuk ransomware ద్వారా దాడి చేయబడిన వినియోగదారుల సంఖ్య (మిలియన్లలో)

అటువంటి బెదిరింపుల యొక్క సాధారణ ఆపరేటింగ్ సూత్రం ప్రకారం, ఈ ransomware, ఎన్‌క్రిప్షన్ పూర్తయిన తర్వాత, ఎన్‌క్రిప్టెడ్ ఫైల్‌లకు ప్రాప్యతను పునరుద్ధరించడానికి పేర్కొన్న చిరునామాకు బిట్‌కాయిన్‌లలో చెల్లించాల్సిన విమోచన నోటిఫికేషన్‌ను బాధితుడికి చూపుతుంది.

ఈ మాల్వేర్ మొదటిసారి ప్రవేశపెట్టినప్పటి నుండి మార్చబడింది.
ఈ డాక్యుమెంట్‌లో విశ్లేషించబడిన ఈ ముప్పు యొక్క వైవిధ్యం జనవరి 2020లో దాడి ప్రయత్నంలో కనుగొనబడింది.

దాని సంక్లిష్టత కారణంగా, ఈ మాల్వేర్ తరచుగా వ్యవస్థీకృత సైబర్ నేర సమూహాలకు ఆపాదించబడుతుంది, దీనిని APT సమూహాలు అని కూడా పిలుస్తారు.

Ryuk కోడ్‌లోని భాగం మరొక ప్రసిద్ధ ransomware, హీర్మేస్ యొక్క కోడ్ మరియు నిర్మాణంతో గుర్తించదగిన సారూప్యతను కలిగి ఉంది, దానితో వారు అనేక సారూప్య విధులను పంచుకుంటారు. ఈ కారణంగానే Ryuk మొదట ఉత్తర కొరియా సమూహం Lazarus తో లింక్ చేయబడింది, ఆ సమయంలో ఇది హీర్మేస్ ransomware వెనుక ఉన్నట్లు అనుమానించబడింది.

క్రౌడ్‌స్ట్రైక్ యొక్క ఫాల్కన్ X సేవ తదనంతరం Ryuk నిజానికి WIZARD స్పైడర్ సమూహంచే సృష్టించబడిందని పేర్కొంది [4].

ఈ ఊహకు మద్దతుగా కొన్ని ఆధారాలు ఉన్నాయి. ముందుగా, ఈ ransomware వెబ్‌సైట్ exploit.inలో ప్రచారం చేయబడింది, ఇది రష్యన్ మాల్‌వేర్ మార్కెట్‌గా ప్రసిద్ధి చెందింది మరియు ఇది గతంలో కొన్ని రష్యన్ APT సమూహాలతో అనుబంధించబడింది.
ఈ వాస్తవం Ryuk లాజరస్ APT సమూహంచే అభివృద్ధి చేయబడిందనే సిద్ధాంతాన్ని తోసిపుచ్చింది, ఎందుకంటే ఇది సమూహం పనిచేసే విధానానికి సరిపోదు.

అదనంగా, Ryuk రష్యన్, ఉక్రేనియన్ మరియు బెలారసియన్ సిస్టమ్‌లలో పని చేయని ransomwareగా ప్రచారం చేయబడింది. ఈ ప్రవర్తన Ryuk యొక్క కొన్ని వెర్షన్‌లలో కనుగొనబడిన లక్షణం ద్వారా నిర్ణయించబడుతుంది, ఇక్కడ ఇది ransomware అమలులో ఉన్న సిస్టమ్ యొక్క భాషను తనిఖీ చేస్తుంది మరియు సిస్టమ్‌లో రష్యన్, ఉక్రేనియన్ లేదా బెలారసియన్ భాష ఉంటే దానిని అమలు చేయకుండా ఆపివేస్తుంది. చివరగా, WIZARD SPIDER బృందం హ్యాక్ చేసిన యంత్రం యొక్క నిపుణుల విశ్లేషణ, హెర్మేస్ ransomware యొక్క రూపాంతరంగా Ryuk అభివృద్ధిలో ఉపయోగించబడిన అనేక "కళాఖండాలను" బహిర్గతం చేసింది.

మరోవైపు, నిపుణులు గాబ్రియేలా నికోలావ్ మరియు లూసియానో ​​మార్టిన్స్ ర్యాన్సమ్‌వేర్‌ను APT గ్రూప్ క్రిప్టోటెక్ [5] అభివృద్ధి చేసి ఉండవచ్చని సూచించారు.
Ryuk కనిపించడానికి చాలా నెలల ముందు, ఈ సమూహం హీర్మేస్ ransomware యొక్క క్రొత్త సంస్కరణను అభివృద్ధి చేసిన అదే సైట్ యొక్క ఫోరమ్‌లో సమాచారాన్ని పోస్ట్ చేసింది.

చాలా మంది ఫోరమ్ వినియోగదారులు క్రిప్టోటెక్ వాస్తవానికి Ryuk సృష్టించారా అని ప్రశ్నించారు. ఆ తర్వాత గ్రూప్ తమను తాము సమర్థించుకుంది మరియు తాము 100% ransomwareని అభివృద్ధి చేసినట్లు తమ వద్ద ఆధారాలు ఉన్నాయని పేర్కొంది.

2. లక్షణాలు

మేము బూట్‌లోడర్‌తో ప్రారంభిస్తాము, దీని పని అది ఆన్‌లో ఉన్న సిస్టమ్‌ను గుర్తించడం, తద్వారా Ryuk ransomware యొక్క “సరైన” సంస్కరణను ప్రారంభించవచ్చు.
బూట్‌లోడర్ హాష్ క్రింది విధంగా ఉంది:

MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469

ఈ డౌన్‌లోడర్ యొక్క లక్షణాలలో ఒకటి, ఇందులో ఎటువంటి మెటాడేటా లేదు, అనగా. ఈ మాల్వేర్ సృష్టికర్తలు ఇందులో ఎలాంటి సమాచారాన్ని చేర్చలేదు.

వారు చట్టబద్ధమైన అప్లికేషన్‌ను నడుపుతున్నట్లు భావించేలా వినియోగదారుని మోసగించడానికి కొన్నిసార్లు అవి తప్పు డేటాను కలిగి ఉంటాయి. అయితే, మేము తరువాత చూస్తాము, ఇన్ఫెక్షన్ వినియోగదారు పరస్పర చర్యను కలిగి ఉండకపోతే (ఈ ransomware విషయంలో వలె), అప్పుడు దాడి చేసేవారు మెటాడేటాను ఉపయోగించడం అవసరమని భావించరు.

అన్నం. 6: నమూనా మెటా డేటా

నమూనా 32-బిట్ ఫార్మాట్‌లో కంపైల్ చేయబడింది, తద్వారా ఇది 32-బిట్ మరియు 64-బిట్ సిస్టమ్‌లలో రన్ అవుతుంది.

3. పెనెట్రేషన్ వెక్టర్

Ryukని డౌన్‌లోడ్ చేసి, అమలు చేసే నమూనా రిమోట్ కనెక్షన్ ద్వారా మా సిస్టమ్‌లోకి ప్రవేశించింది మరియు ప్రాథమిక RDP దాడి ద్వారా యాక్సెస్ పారామితులు పొందబడ్డాయి.

అన్నం. 7: దాడి రిజిస్టర్

దాడి చేసే వ్యక్తి రిమోట్‌గా సిస్టమ్‌లోకి లాగిన్ చేయగలిగాడు. ఆ తర్వాత, అతను మా నమూనాతో ఎక్జిక్యూటబుల్ ఫైల్‌ను సృష్టించాడు.
ఈ ఎక్జిక్యూటబుల్ ఫైల్ రన్ అయ్యే ముందు యాంటీవైరస్ సొల్యూషన్ ద్వారా బ్లాక్ చేయబడింది.

అన్నం. 8: నమూనా తాళం

అన్నం. 9: నమూనా తాళం

హానికరమైన ఫైల్ బ్లాక్ చేయబడినప్పుడు, దాడి చేసే వ్యక్తి ఎక్జిక్యూటబుల్ ఫైల్ యొక్క గుప్తీకరించిన సంస్కరణను డౌన్‌లోడ్ చేయడానికి ప్రయత్నించాడు, అది కూడా బ్లాక్ చేయబడింది.

అన్నం. 10: దాడి చేసే వ్యక్తి అమలు చేయడానికి ప్రయత్నించిన నమూనాల సెట్

చివరగా, అతను గుప్తీకరించిన కన్సోల్ ద్వారా మరొక హానికరమైన ఫైల్‌ను డౌన్‌లోడ్ చేయడానికి ప్రయత్నించాడు
యాంటీవైరస్ రక్షణను దాటవేయడానికి పవర్‌షెల్. కానీ ఆయన కూడా అడ్డుకున్నారు.

అన్నం. 11: హానికరమైన కంటెంట్‌తో పవర్‌షెల్ బ్లాక్ చేయబడింది


అన్నం. 12: హానికరమైన కంటెంట్‌తో పవర్‌షెల్ బ్లాక్ చేయబడింది

4. లోడర్

ఇది అమలు చేసినప్పుడు, అది ఫోల్డర్‌కి ReadMe ఫైల్‌ను వ్రాస్తుంది % తాత్కాలిక%, ఇది Ryuk కోసం విలక్షణమైనది. ఈ ఫైల్ ప్రోటాన్‌మెయిల్ డొమైన్‌లోని ఇమెయిల్ చిరునామాను కలిగి ఉన్న విమోచన గమనిక, ఇది ఈ మాల్వేర్ కుటుంబంలో సర్వసాధారణం: [ఇమెయిల్ రక్షించబడింది]

అన్నం. 13: విమోచన డిమాండ్

బూట్‌లోడర్ నడుస్తున్నప్పుడు, ఇది యాదృచ్ఛిక పేర్లతో అనేక ఎక్జిక్యూటబుల్ ఫైల్‌లను ప్రారంభించడాన్ని మీరు చూడవచ్చు. అవి దాచిన ఫోల్డర్‌లో నిల్వ చేయబడతాయి ప్రజా, కానీ ఆపరేటింగ్ సిస్టమ్‌లో ఎంపిక సక్రియంగా లేకుంటే "దాచిన ఫైల్‌లు మరియు ఫోల్డర్‌లను చూపించు", అప్పుడు అవి దాగి ఉంటాయి. అంతేకాకుండా, ఈ ఫైల్‌లు 64-బిట్, పేరెంట్ ఫైల్ కాకుండా 32-బిట్.

అన్నం. 14: నమూనా ద్వారా ప్రారంభించబడిన ఎక్జిక్యూటబుల్ ఫైల్‌లు

మీరు పై చిత్రంలో చూడగలిగినట్లుగా, Ryuk icacls.exeని ప్రారంభించింది, ఇది అన్ని ACLలను (యాక్సెస్ కంట్రోల్ లిస్ట్‌లు) సవరించడానికి ఉపయోగించబడుతుంది, తద్వారా ఫ్లాగ్‌ల యాక్సెస్ మరియు సవరణను నిర్ధారిస్తుంది.

ఇది దోషాలు (/C)తో సంబంధం లేకుండా మరియు ఎటువంటి సందేశాలు (/Q) చూపకుండానే పరికరం (/T)లోని అన్ని ఫైల్‌లకు వినియోగదారులందరి క్రింద పూర్తి ప్రాప్యతను పొందుతుంది.

అన్నం. 15: icacls.exe యొక్క ఎగ్జిక్యూషన్ పారామితులు నమూనా ద్వారా ప్రారంభించబడ్డాయి

మీరు ఏ విండోస్ వెర్షన్‌ను నడుపుతున్నారో Ryuk తనిఖీ చేస్తుందని గమనించడం ముఖ్యం. దీని కోసం అతను
ఉపయోగించి సంస్కరణ తనిఖీని నిర్వహిస్తుంది GetVersionExW, దీనిలో ఇది జెండా విలువను తనిఖీ చేస్తుంది lpVersionInformationWindows యొక్క ప్రస్తుత వెర్షన్ కంటే కొత్తదా అని సూచిస్తుంది విండోస్ XP.

మీరు Windows XP కంటే తర్వాత సంస్కరణను అమలు చేస్తున్నారా అనేదానిపై ఆధారపడి, బూట్ లోడర్ స్థానిక వినియోగదారు ఫోల్డర్‌కు వ్రాస్తుంది - ఈ సందర్భంలో ఫోల్డర్‌కు %ప్రజా%.

అన్నం. 17: ఆపరేటింగ్ సిస్టమ్ సంస్కరణను తనిఖీ చేస్తోంది

వ్రాయబడుతున్న ఫైల్ Ryuk. ఇది దాని స్వంత చిరునామాను పారామీటర్‌గా పంపుతూ దానిని అమలు చేస్తుంది.

అన్నం. 18: ShellExecute ద్వారా Ryukని అమలు చేయండి

Ryuk చేసే మొదటి పని ఇన్‌పుట్ పారామితులను స్వీకరించడం. ఈసారి దాని స్వంత జాడలను తీసివేయడానికి రెండు ఇన్‌పుట్ పారామితులు (ఎక్జిక్యూటబుల్ మరియు డ్రాపర్ చిరునామా) ఉపయోగించబడతాయి.

అన్నం. 19: ఒక ప్రక్రియను సృష్టించడం

మీరు దాని ఎక్జిక్యూటబుల్‌లను అమలు చేసిన తర్వాత, అది స్వయంగా తొలగించబడుతుందని కూడా మీరు చూడవచ్చు, తద్వారా అది అమలు చేయబడిన ఫోల్డర్‌లో దాని స్వంత ఉనికిని ఏదీ వదిలివేయదు.

అన్నం. 20: ఫైల్‌ను తొలగిస్తోంది

5. RYUK

5.1 ఉనికి
Ryuk, ఇతర మాల్వేర్ లాగా, సాధ్యమైనంత ఎక్కువ కాలం పాటు సిస్టమ్‌లో ఉండటానికి ప్రయత్నిస్తుంది. పైన చూపిన విధంగా, ఈ లక్ష్యాన్ని సాధించడానికి ఒక మార్గం రహస్యంగా ఎక్జిక్యూటబుల్ ఫైల్‌లను సృష్టించడం మరియు అమలు చేయడం. దీన్ని చేయడానికి, రిజిస్ట్రీ కీని మార్చడం అత్యంత సాధారణ పద్ధతి కరెంట్‌వర్షన్ రన్.
ఈ సందర్భంలో, ఈ ప్రయోజనం కోసం మొదటి ఫైల్ ప్రారంభించబడుతుందని మీరు చూడవచ్చు VWjRF.exe
(ఫైల్ పేరు యాదృచ్ఛికంగా రూపొందించబడింది) ప్రారంభించబడింది cmd.exe.

అన్నం. 21: VWjRF.exeని అమలు చేస్తోంది

అప్పుడు ఆదేశాన్ని నమోదు చేయండి RUN పేరుతో"svchos". కాబట్టి, మీరు ఎప్పుడైనా రిజిస్ట్రీ కీలను తనిఖీ చేయాలనుకుంటే, svchostతో ఈ పేరు యొక్క సారూప్యతను బట్టి మీరు ఈ మార్పును సులభంగా కోల్పోవచ్చు. ఈ కీకి ధన్యవాదాలు, Ryuk సిస్టమ్‌లో దాని ఉనికిని నిర్ధారిస్తుంది. సిస్టమ్ లేకపోతే ఇంకా సోకింది , అప్పుడు మీరు సిస్టమ్‌ను రీబూట్ చేసినప్పుడు, ఎక్జిక్యూటబుల్ మళ్లీ ప్రయత్నిస్తుంది.

అన్నం. 22: నమూనా రిజిస్ట్రీ కీలో ఉనికిని నిర్ధారిస్తుంది

ఈ ఎక్జిక్యూటబుల్ రెండు సేవలను నిలిపివేస్తుందని కూడా మనం చూడవచ్చు:
"ఆడియోఎండ్ పాయింట్ బిల్డర్", దాని పేరు సూచించినట్లుగా, సిస్టమ్ ఆడియోకు అనుగుణంగా ఉంటుంది,

అన్నం. 23: నమూనా సిస్టమ్ ఆడియో సేవను నిలిపివేస్తుంది

и సామ్స్, ఇది ఖాతా నిర్వహణ సేవ. ఈ రెండు సేవలను నిలిపివేయడం ర్యుక్ యొక్క లక్షణం. ఈ సందర్భంలో, సిస్టమ్ SIEM సిస్టమ్‌కు కనెక్ట్ చేయబడితే, ransomware పంపడాన్ని ఆపడానికి ప్రయత్నిస్తుంది రీప్లో ఏదైనా హెచ్చరికలు. ఈ విధంగా, Ryukని అమలు చేసిన తర్వాత కొన్ని SAM సేవలు వాటి పనిని సరిగ్గా ప్రారంభించలేవు కాబట్టి అతను తన తదుపరి దశలను రక్షిస్తాడు.

అన్నం. 24: నమూనా Samss సేవను నిలిపివేస్తుంది

5.2 అధికారాలు

సాధారణంగా చెప్పాలంటే, Ryuk నెట్‌వర్క్‌లో పార్శ్వంగా కదలడం ద్వారా ప్రారంభమవుతుంది లేదా మరొక మాల్వేర్ ద్వారా ప్రారంభించబడుతుంది Emotet లేదా ట్రిక్‌బాట్, ఇది ప్రత్యేకాధికారాల పెరుగుదల సందర్భంలో, ఈ ఎలివేటెడ్ హక్కులను ransomwareకి బదిలీ చేస్తుంది.

ముందుగా, అమలు ప్రక్రియకు నాందిగా, అతను ప్రక్రియను నిర్వహించడాన్ని మనం చూస్తాము నేనే వలె నటించు, అంటే యాక్సెస్ టోకెన్‌లోని సెక్యూరిటీ కంటెంట్‌లు స్ట్రీమ్‌కి పంపబడతాయి, అక్కడ అది ఉపయోగించి వెంటనే తిరిగి పొందబడుతుంది GetCurrentThread.

అన్నం. 25: ImpersonateSelfకు కాల్ చేయండి

అది యాక్సెస్ టోకెన్‌ను థ్రెడ్‌తో అనుబంధిస్తుందని మనం చూస్తాము. జెండాలు ఒకటి అని కూడా చూస్తాం కావలసిన యాక్సెస్, ఇది థ్రెడ్ కలిగి ఉండే యాక్సెస్‌ని నియంత్రించడానికి ఉపయోగించవచ్చు. ఈ సందర్భంలో edx అందుకునే విలువ ఉండాలి TOKEN_ALL_ACESS లేదా లేకపోతే - TOKEN_WRITE.

అన్నం. 26: ఫ్లో టోకెన్‌ను సృష్టిస్తోంది

అప్పుడు అతను ఉపయోగిస్తాడు SeDebugPrivilege మరియు థ్రెడ్‌లో డీబగ్ అనుమతులను పొందడానికి కాల్ చేస్తుంది, ఫలితంగా PROCESS_ALL_ACCESS, అతను ఏదైనా అవసరమైన ప్రక్రియను యాక్సెస్ చేయగలడు. ఇప్పుడు, ఎన్‌క్రిప్టర్ ఇప్పటికే సిద్ధం చేసిన స్ట్రీమ్‌ను కలిగి ఉన్నందున, చివరి దశకు వెళ్లడమే మిగిలి ఉంది.

అన్నం. 27: SeDebugPrivilege మరియు ప్రివిలేజ్ ఎస్కలేషన్ ఫంక్షన్‌కి కాల్ చేస్తోంది

ఒకవైపు, మేము LookupPrivilegeValueWని కలిగి ఉన్నాము, ఇది మేము పెంచాలనుకుంటున్న అధికారాల గురించి అవసరమైన సమాచారాన్ని అందిస్తుంది.

అన్నం. 28: ప్రివిలేజ్ పెంపు కోసం ప్రత్యేకాధికారాల గురించి సమాచారాన్ని అభ్యర్థించండి

మరోవైపు, మనకు ఉంది టోకెన్ ప్రివిలేజ్‌లను సర్దుబాటు చేయండి, ఇది మా స్ట్రీమ్‌కు అవసరమైన హక్కులను పొందేందుకు అనుమతిస్తుంది. ఈ సందర్భంలో, అతి ముఖ్యమైన విషయం కొత్త రాష్ట్రం, ఎవరి జెండా అధికారాలను మంజూరు చేస్తుంది.

అన్నం. 29: టోకెన్ కోసం అనుమతులను సెటప్ చేయడం

5.3 అమలు

ఈ విభాగంలో, ఈ నివేదికలో గతంలో పేర్కొన్న అమలు ప్రక్రియను నమూనా ఎలా నిర్వహిస్తుందో మేము చూపుతాము.

అమలు ప్రక్రియ యొక్క ప్రధాన లక్ష్యం, అలాగే పెరుగుదల, యాక్సెస్ పొందడం నీడ కాపీలు. దీన్ని చేయడానికి, అతను స్థానిక వినియోగదారు కంటే ఎక్కువ హక్కులతో కూడిన థ్రెడ్‌తో పని చేయాలి. అటువంటి ఎలివేటెడ్ హక్కులను పొందిన తర్వాత, ఇది ఆపరేటింగ్ సిస్టమ్‌లోని మునుపటి పునరుద్ధరణ పాయింట్‌కి తిరిగి రావడం అసాధ్యం చేయడానికి కాపీలను తొలగిస్తుంది మరియు ఇతర ప్రక్రియలకు మార్పులు చేస్తుంది.

ఈ రకమైన మాల్వేర్‌తో విలక్షణమైనదిగా, ఇది ఉపయోగిస్తుంది CreateToolHelp32Snapshotకనుక ఇది ప్రస్తుతం నడుస్తున్న ప్రక్రియల యొక్క స్నాప్‌షాట్‌ను తీసుకుంటుంది మరియు ఉపయోగించి ఆ ప్రక్రియలను యాక్సెస్ చేయడానికి ప్రయత్నిస్తుంది ఓపెన్ ప్రాసెస్. ఇది ప్రాసెస్‌కి ప్రాప్యతను పొందిన తర్వాత, ప్రాసెస్ పారామితులను పొందేందుకు దాని సమాచారంతో కూడిన టోకెన్‌ను కూడా తెరుస్తుంది.

అన్నం. 30: కంప్యూటర్ నుండి ప్రక్రియలను తిరిగి పొందడం

CreateToolhelp140002Snapshotని ఉపయోగించి ఇది రొటీన్ 9D32Cలో రన్నింగ్ ప్రాసెస్‌ల జాబితాను ఎలా పొందుతుందో మనం డైనమిక్‌గా చూడవచ్చు. వాటిని స్వీకరించిన తర్వాత, అతను జాబితా ద్వారా వెళ్తాడు, అతను విజయం సాధించే వరకు OpenProcessని ఉపయోగించి ప్రాసెస్‌లను ఒక్కొక్కటిగా తెరవడానికి ప్రయత్నిస్తాడు. ఈ సందర్భంలో, అతను ప్రారంభించగలిగిన మొదటి ప్రక్రియ "taskhost.exe".

అన్నం. 31: ఒక ప్రక్రియను పొందడానికి డైనమిక్‌గా ఒక విధానాన్ని అమలు చేయండి

ఇది తదనంతరం ప్రాసెస్ టోకెన్ సమాచారాన్ని చదువుతుందని మనం చూడవచ్చు, కనుక ఇది కాల్ చేస్తుంది OpenProcessToken పారామీటర్ తో "20008"

అన్నం. 32: ప్రాసెస్ టోకెన్ సమాచారాన్ని చదవండి

ఇది ఇంజెక్ట్ చేయబడే ప్రక్రియ కాదా అని కూడా తనిఖీ చేస్తుంది csrss.exe, explorer.exe, lsaas.exe లేదా అతను హక్కుల సమితిని కలిగి ఉంటాడు NT అధికారం.

అన్నం. 33: మినహాయించబడిన ప్రక్రియలు

ప్రాసెస్ టోకెన్ సమాచారాన్ని ఉపయోగించి ఇది మొదట చెక్‌ను ఎలా నిర్వహిస్తుందో మనం డైనమిక్‌గా చూడవచ్చు 140002D9C ప్రక్రియను అమలు చేయడానికి హక్కులు ఉపయోగించబడుతున్న ఖాతా ఖాతా కాదా అని తెలుసుకోవడానికి NT అథారిటీ.

అన్నం. 34: NT అథారిటీ తనిఖీ

మరియు తరువాత, ప్రక్రియ వెలుపల, అతను ఇది కాదని తనిఖీ చేస్తాడు csrss.exe, explorer.exe లేదా lsaas.exe.

అన్నం. 35: NT అథారిటీ తనిఖీ

అతను ప్రక్రియల స్నాప్‌షాట్ తీసిన తర్వాత, ప్రాసెస్‌లను తెరిచి, వాటిలో ఏదీ మినహాయించబడలేదని ధృవీకరించిన తర్వాత, అతను ఇంజెక్ట్ చేయబడే ప్రక్రియలను మెమరీలో వ్రాయడానికి సిద్ధంగా ఉంటాడు.

దీన్ని చేయడానికి, ఇది మొదట మెమరీలో ఒక ప్రాంతాన్ని రిజర్వ్ చేస్తుంది (VirtualAllocEx), దానిలో వ్రాస్తాడు (రైట్ ప్రాసెస్ మెమరీ) మరియు థ్రెడ్‌ను సృష్టిస్తుంది (రిమోట్ థ్రెడ్ సృష్టించండి) ఈ ఫంక్షన్‌లతో పని చేయడానికి, ఇది ఎంచుకున్న ప్రాసెస్‌ల PIDలను ఉపయోగిస్తుంది, ఇది గతంలో ఉపయోగించి పొందింది CreateToolhelp32Snapshot.

అన్నం. 36: కోడ్ పొందుపరచండి

ఫంక్షన్‌కి కాల్ చేయడానికి PID ప్రాసెస్‌ని ఎలా ఉపయోగిస్తుందో ఇక్కడ మనం డైనమిక్‌గా గమనించవచ్చు VirtualAllocEx.

అన్నం. 37: VirtualAllocExకి కాల్ చేయండి

5.4 ఎన్క్రిప్షన్
ఈ విభాగంలో, మేము ఈ నమూనా యొక్క ఎన్క్రిప్షన్ భాగాన్ని పరిశీలిస్తాము. కింది చిత్రంలో మీరు "అని పిలువబడే రెండు సబ్‌రూటీన్‌లను చూడవచ్చు.LoadLibrary_EncodeString"మరియు"ఎన్‌కోడ్_ఫంక్", ఇవి ఎన్క్రిప్షన్ విధానాన్ని నిర్వహించడానికి బాధ్యత వహిస్తాయి.

అన్నం. 38: ఎన్క్రిప్షన్ విధానాలు

ఇది స్ట్రింగ్‌ను ఎలా లోడ్ చేస్తుందో ప్రారంభంలో మనం చూడవచ్చు: దిగుమతి, DLLలు, కమాండ్‌లు, ఫైల్‌లు మరియు CSPలు.

అన్నం. 39: డియోబస్కేషన్ సర్క్యూట్

కింది బొమ్మ రిజిస్టర్ R4లో డియోబ్‌ఫుస్కేట్ చేసిన మొదటి దిగుమతిని చూపుతుంది. Loadlibrary. అవసరమైన DLLలను లోడ్ చేయడానికి ఇది తర్వాత ఉపయోగించబడుతుంది. రిజిస్టర్ R12లో మనం మరొక పంక్తిని కూడా చూడవచ్చు, ఇది deobfuscation నిర్వహించడానికి మునుపటి లైన్‌తో పాటు ఉపయోగించబడుతుంది.

అన్నం. 40: డైనమిక్ డియోబ్‌ఫస్కేషన్

ఇది బ్యాకప్‌లను నిలిపివేయడానికి, పాయింట్‌లను పునరుద్ధరించడానికి మరియు సురక్షిత బూట్ మోడ్‌లను నిలిపివేయడానికి తర్వాత అమలు చేసే ఆదేశాలను డౌన్‌లోడ్ చేయడం కొనసాగిస్తుంది.

అన్నం. 41: ఆదేశాలను లోడ్ చేస్తోంది

అప్పుడు అది 3 ఫైల్‌లను డ్రాప్ చేసే స్థానాన్ని లోడ్ చేస్తుంది: Windows.bat, run.sct и ప్రారంభం.బ్యాట్.

అన్నం. 42: ఫైల్ స్థానాలు

ఈ 3 ఫైల్‌లు ప్రతి లొకేషన్‌కు ఉన్న అధికారాలను తనిఖీ చేయడానికి ఉపయోగించబడతాయి. అవసరమైన అధికారాలు అందుబాటులో లేకుంటే, Ryuk అమలును ఆపివేస్తుంది.

ఇది మూడు ఫైల్‌లకు సంబంధించిన లైన్‌లను లోడ్ చేయడం కొనసాగిస్తుంది. ప్రధమ, DECRYPT_INFORMATION.html, ఫైల్‌లను పునరుద్ధరించడానికి అవసరమైన సమాచారాన్ని కలిగి ఉంటుంది. రెండవ, ప్రజా, RSA పబ్లిక్ కీని కలిగి ఉంది.

అన్నం. 43: లైన్ డీక్రిప్ట్ ఇన్ఫర్మేషన్.html

మూడవది, UNIQUE_ID_DO_NOT_REMOVE, గుప్తీకరణను నిర్వహించడానికి తదుపరి దినచర్యలో ఉపయోగించబడే గుప్తీకరించిన కీని కలిగి ఉంటుంది.

అన్నం. 44: లైన్ యూనిక్ ఐడి తీసివేయబడదు

చివరగా, ఇది అవసరమైన దిగుమతులు మరియు CSPలతో పాటు అవసరమైన లైబ్రరీలను డౌన్‌లోడ్ చేస్తుంది (మైక్రోసాఫ్ట్ మెరుగైన RSA и AES క్రిప్టోగ్రాఫిక్ ప్రొవైడర్).

అన్నం. 45: లైబ్రరీలను లోడ్ చేస్తోంది

అన్ని డీయోబ్‌ఫస్కేషన్ పూర్తయిన తర్వాత, ఇది ఎన్‌క్రిప్షన్‌కు అవసరమైన చర్యలను కొనసాగిస్తుంది: అన్ని లాజికల్ డ్రైవ్‌లను లెక్కించడం, మునుపటి రొటీన్‌లో లోడ్ చేయబడిన వాటిని అమలు చేయడం, సిస్టమ్‌లో ఉనికిని బలోపేతం చేయడం, RyukReadMe.html ఫైల్‌ను విసిరేయడం, ఎన్‌క్రిప్షన్, అన్ని నెట్‌వర్క్ డ్రైవ్‌లను లెక్కించడం , గుర్తించబడిన పరికరాలకు మార్పు మరియు వాటి గుప్తీకరణ.
ఇదంతా లోడ్ చేయడంతో మొదలవుతుంది"cmd.exe"మరియు RSA పబ్లిక్ కీ రికార్డులు.

అన్నం. 46: ఎన్‌క్రిప్షన్ కోసం సిద్ధమవుతోంది

అప్పుడు అది ఉపయోగించి అన్ని లాజికల్ డ్రైవ్‌లను పొందుతుంది GetLogicalDrives మరియు అన్ని బ్యాకప్‌లు, పునరుద్ధరణ పాయింట్లు మరియు సురక్షిత బూట్ మోడ్‌లను నిలిపివేస్తుంది.

అన్నం. 47: రికవరీ సాధనాలను నిష్క్రియం చేయడం

ఆ తరువాత, మేము పైన చూసినట్లుగా, సిస్టమ్‌లో దాని ఉనికిని బలపరుస్తుంది మరియు మొదటి ఫైల్‌ను వ్రాస్తుంది RyukReadMe.html в TEMP.

అన్నం. 48: విమోచన నోటీసును ప్రచురించడం

కింది చిత్రంలో ఇది ఫైల్‌ను ఎలా సృష్టిస్తుందో, కంటెంట్‌ను డౌన్‌లోడ్ చేసి ఎలా వ్రాస్తుందో మీరు చూడవచ్చు:

అన్నం. 49: ఫైల్ కంటెంట్‌లను లోడ్ చేయడం మరియు వ్రాయడం

అన్ని పరికరాలలో ఒకే విధమైన చర్యలను చేయగలిగేలా, అతను ఉపయోగిస్తాడు
"icacls.exe", మేము పైన చూపినట్లు.

అన్నం. 50: icalcls.exeని ఉపయోగించడం

చివరకు, ఇది “*.exe”, “*.dll” ఫైల్‌లు, సిస్టమ్ ఫైల్‌లు మరియు ఎన్‌క్రిప్టెడ్ వైట్ లిస్ట్ రూపంలో పేర్కొన్న ఇతర స్థానాలకు మినహా ఫైల్‌లను ఎన్‌క్రిప్ట్ చేయడం ప్రారంభిస్తుంది. దీన్ని చేయడానికి, ఇది దిగుమతులను ఉపయోగిస్తుంది: CryptAcquireContextW (AES మరియు RSA యొక్క ఉపయోగం పేర్కొనబడిన చోట) CryptDeriveKey, CryptGenKey, CryptDestroyKey మొదలైనవి ఇది WNetEnumResourceWని ఉపయోగించి కనుగొనబడిన నెట్‌వర్క్ పరికరాలకు దాని పరిధిని విస్తరించడానికి ప్రయత్నిస్తుంది మరియు వాటిని గుప్తీకరించడానికి కూడా ప్రయత్నిస్తుంది.

అన్నం. 51: సిస్టమ్ ఫైల్‌లను గుప్తీకరించడం

6. దిగుమతులు మరియు సంబంధిత జెండాలు

నమూనా ద్వారా ఉపయోగించే అత్యంత సంబంధిత దిగుమతులు మరియు ఫ్లాగ్‌లను జాబితా చేసే పట్టిక క్రింద ఉంది:

7. IOC

సూచనలు

• userPublicrun.sct
• Start MenuProgramsStartupstart.bat AppDataRoamingMicrosoftWindowsStart
• MenuProgramsStartupstart.bat

Ryuk ransomwareపై సాంకేతిక నివేదికను యాంటీవైరస్ లేబొరేటరీ PandaLabs నుండి నిపుణులు సంకలనం చేశారు.

8. లింకులు

1. “ఎవెరిస్ వై ప్రిసా రేడియో సుఫ్రెన్ అన్ గ్రేవ్ సిబెరాటాక్ క్యూ సెక్యూస్ట్రా సస్ సిస్టమ్స్.”https://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, Publicada el 04/11/2019.

2. “అన్ వైరస్ డి ఆరిజెన్ రూసో అటాకా ఎ ఇంపార్టెంట్స్ ఎంప్రెసాస్ ఎస్పానోలాస్.” https: //elpais.com/tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, Publicada el 04/11.

3. “VB2019 పేపర్: షినిగామి రివెంజ్: ది లాంగ్ టెయిల్ ఆఫ్ ది ర్యుక్ మాల్వేర్.” https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, Publicada el 11 /12/2019

4. “ర్యుక్‌తో పెద్ద గేమ్ హంటింగ్: మరో లాభదాయకంbటార్గెటెడ్ రాన్సమ్‌వేర్.”https://www. crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucraative-targeted-ransomware/, Publicada el 10/01/2019.

5. “VB2019 పేపర్: షినిగామి రివెంజ్: ది లాంగ్ టెయిల్ ఆఫ్ ది ర్యుక్ మాల్వేర్.” https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigamis-revenge-long-tail-r

మూలం: www.habr.com