Ryuk గత కొన్ని సంవత్సరాలలో అత్యంత ప్రసిద్ధ ransomware ఎంపికలలో ఒకటి. ఇది మొదట 2018 వేసవిలో కనిపించినప్పటి నుండి, ఇది సేకరించబడింది , ముఖ్యంగా వ్యాపార వాతావరణంలో, ఇది దాని దాడుల యొక్క ప్రధాన లక్ష్యం.
1 సాధారణ సమాచారం
ఈ పత్రం Ryuk ransomware వేరియంట్ యొక్క విశ్లేషణను కలిగి ఉంది, అలాగే సిస్టమ్లోకి మాల్వేర్ను లోడ్ చేయడానికి బాధ్యత వహించే లోడర్.
Ryuk ransomware మొదటిసారి 2018 వేసవిలో కనిపించింది. Ryuk మరియు ఇతర ransomware మధ్య ఉన్న తేడాలలో ఒకటి ఇది కార్పొరేట్ పరిసరాలపై దాడి చేసే లక్ష్యంతో ఉంది.
2019 మధ్యలో, సైబర్క్రిమినల్ గ్రూపులు ఈ ransomwareని ఉపయోగించి భారీ సంఖ్యలో స్పానిష్ కంపెనీలపై దాడి చేశాయి.
అన్నం. 1: Ryuk ransomware దాడికి సంబంధించి ఎల్ కాన్ఫిడెన్షియల్ నుండి సారాంశం [1]
అన్నం. 2: Ryuk ransomware [2] ఉపయోగించి జరిపిన దాడి గురించి El País నుండి సారాంశం
ఈ సంవత్సరం, Ryuk వివిధ దేశాలలో పెద్ద సంఖ్యలో కంపెనీలపై దాడి చేసింది. దిగువ బొమ్మలలో మీరు చూడగలిగినట్లుగా, జర్మనీ, చైనా, అల్జీరియా మరియు భారతదేశం తీవ్రంగా దెబ్బతిన్నాయి.
సైబర్ దాడుల సంఖ్యను పోల్చడం ద్వారా, Ryuk మిలియన్ల మంది వినియోగదారులను ప్రభావితం చేసిందని మరియు భారీ మొత్తంలో డేటాను రాజీ చేసి, ఫలితంగా తీవ్రమైన ఆర్థిక నష్టం జరిగిందని మనం చూడవచ్చు.
అన్నం. 3: ర్యుక్ యొక్క గ్లోబల్ యాక్టివిటీకి ఉదాహరణ.
అన్నం. 4: 16 దేశాలు Ryuk ద్వారా ఎక్కువగా ప్రభావితమయ్యాయి
అన్నం. 5: Ryuk ransomware ద్వారా దాడి చేయబడిన వినియోగదారుల సంఖ్య (మిలియన్లలో)
అటువంటి బెదిరింపుల యొక్క సాధారణ ఆపరేటింగ్ సూత్రం ప్రకారం, ఈ ransomware, ఎన్క్రిప్షన్ పూర్తయిన తర్వాత, ఎన్క్రిప్టెడ్ ఫైల్లకు ప్రాప్యతను పునరుద్ధరించడానికి పేర్కొన్న చిరునామాకు బిట్కాయిన్లలో చెల్లించాల్సిన విమోచన నోటిఫికేషన్ను బాధితుడికి చూపుతుంది.
ఈ మాల్వేర్ మొదటిసారి ప్రవేశపెట్టినప్పటి నుండి మార్చబడింది.
ఈ డాక్యుమెంట్లో విశ్లేషించబడిన ఈ ముప్పు యొక్క వైవిధ్యం జనవరి 2020లో దాడి ప్రయత్నంలో కనుగొనబడింది.
దాని సంక్లిష్టత కారణంగా, ఈ మాల్వేర్ తరచుగా వ్యవస్థీకృత సైబర్ నేర సమూహాలకు ఆపాదించబడుతుంది, దీనిని APT సమూహాలు అని కూడా పిలుస్తారు.
Ryuk కోడ్లోని భాగం మరొక ప్రసిద్ధ ransomware, హీర్మేస్ యొక్క కోడ్ మరియు నిర్మాణంతో గుర్తించదగిన సారూప్యతను కలిగి ఉంది, దానితో వారు అనేక సారూప్య విధులను పంచుకుంటారు. ఈ కారణంగానే Ryuk మొదట ఉత్తర కొరియా సమూహం Lazarus తో లింక్ చేయబడింది, ఆ సమయంలో ఇది హీర్మేస్ ransomware వెనుక ఉన్నట్లు అనుమానించబడింది.
క్రౌడ్స్ట్రైక్ యొక్క ఫాల్కన్ X సేవ తదనంతరం Ryuk నిజానికి WIZARD స్పైడర్ సమూహంచే సృష్టించబడిందని పేర్కొంది [4].
ఈ ఊహకు మద్దతుగా కొన్ని ఆధారాలు ఉన్నాయి. ముందుగా, ఈ ransomware వెబ్సైట్ exploit.inలో ప్రచారం చేయబడింది, ఇది రష్యన్ మాల్వేర్ మార్కెట్గా ప్రసిద్ధి చెందింది మరియు ఇది గతంలో కొన్ని రష్యన్ APT సమూహాలతో అనుబంధించబడింది.
ఈ వాస్తవం Ryuk లాజరస్ APT సమూహంచే అభివృద్ధి చేయబడిందనే సిద్ధాంతాన్ని తోసిపుచ్చింది, ఎందుకంటే ఇది సమూహం పనిచేసే విధానానికి సరిపోదు.
అదనంగా, Ryuk రష్యన్, ఉక్రేనియన్ మరియు బెలారసియన్ సిస్టమ్లలో పని చేయని ransomwareగా ప్రచారం చేయబడింది. ఈ ప్రవర్తన Ryuk యొక్క కొన్ని వెర్షన్లలో కనుగొనబడిన లక్షణం ద్వారా నిర్ణయించబడుతుంది, ఇక్కడ ఇది ransomware అమలులో ఉన్న సిస్టమ్ యొక్క భాషను తనిఖీ చేస్తుంది మరియు సిస్టమ్లో రష్యన్, ఉక్రేనియన్ లేదా బెలారసియన్ భాష ఉంటే దానిని అమలు చేయకుండా ఆపివేస్తుంది. చివరగా, WIZARD SPIDER బృందం హ్యాక్ చేసిన యంత్రం యొక్క నిపుణుల విశ్లేషణ, హెర్మేస్ ransomware యొక్క రూపాంతరంగా Ryuk అభివృద్ధిలో ఉపయోగించబడిన అనేక "కళాఖండాలను" బహిర్గతం చేసింది.
మరోవైపు, నిపుణులు గాబ్రియేలా నికోలావ్ మరియు లూసియానో మార్టిన్స్ ర్యాన్సమ్వేర్ను APT గ్రూప్ క్రిప్టోటెక్ [5] అభివృద్ధి చేసి ఉండవచ్చని సూచించారు.
Ryuk కనిపించడానికి చాలా నెలల ముందు, ఈ సమూహం హీర్మేస్ ransomware యొక్క క్రొత్త సంస్కరణను అభివృద్ధి చేసిన అదే సైట్ యొక్క ఫోరమ్లో సమాచారాన్ని పోస్ట్ చేసింది.
చాలా మంది ఫోరమ్ వినియోగదారులు క్రిప్టోటెక్ వాస్తవానికి Ryuk సృష్టించారా అని ప్రశ్నించారు. ఆ తర్వాత గ్రూప్ తమను తాము సమర్థించుకుంది మరియు తాము 100% ransomwareని అభివృద్ధి చేసినట్లు తమ వద్ద ఆధారాలు ఉన్నాయని పేర్కొంది.
2. లక్షణాలు
మేము బూట్లోడర్తో ప్రారంభిస్తాము, దీని పని అది ఆన్లో ఉన్న సిస్టమ్ను గుర్తించడం, తద్వారా Ryuk ransomware యొక్క “సరైన” సంస్కరణను ప్రారంభించవచ్చు.
బూట్లోడర్ హాష్ క్రింది విధంగా ఉంది:
MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469
ఈ డౌన్లోడర్ యొక్క లక్షణాలలో ఒకటి, ఇందులో ఎటువంటి మెటాడేటా లేదు, అనగా. ఈ మాల్వేర్ సృష్టికర్తలు ఇందులో ఎలాంటి సమాచారాన్ని చేర్చలేదు.
వారు చట్టబద్ధమైన అప్లికేషన్ను నడుపుతున్నట్లు భావించేలా వినియోగదారుని మోసగించడానికి కొన్నిసార్లు అవి తప్పు డేటాను కలిగి ఉంటాయి. అయితే, మేము తరువాత చూస్తాము, ఇన్ఫెక్షన్ వినియోగదారు పరస్పర చర్యను కలిగి ఉండకపోతే (ఈ ransomware విషయంలో వలె), అప్పుడు దాడి చేసేవారు మెటాడేటాను ఉపయోగించడం అవసరమని భావించరు.
అన్నం. 6: నమూనా మెటా డేటా
నమూనా 32-బిట్ ఫార్మాట్లో కంపైల్ చేయబడింది, తద్వారా ఇది 32-బిట్ మరియు 64-బిట్ సిస్టమ్లలో రన్ అవుతుంది.
3. పెనెట్రేషన్ వెక్టర్
Ryukని డౌన్లోడ్ చేసి, అమలు చేసే నమూనా రిమోట్ కనెక్షన్ ద్వారా మా సిస్టమ్లోకి ప్రవేశించింది మరియు ప్రాథమిక RDP దాడి ద్వారా యాక్సెస్ పారామితులు పొందబడ్డాయి.
అన్నం. 7: దాడి రిజిస్టర్
దాడి చేసే వ్యక్తి రిమోట్గా సిస్టమ్లోకి లాగిన్ చేయగలిగాడు. ఆ తర్వాత, అతను మా నమూనాతో ఎక్జిక్యూటబుల్ ఫైల్ను సృష్టించాడు.
ఈ ఎక్జిక్యూటబుల్ ఫైల్ రన్ అయ్యే ముందు యాంటీవైరస్ సొల్యూషన్ ద్వారా బ్లాక్ చేయబడింది.
అన్నం. 8: నమూనా తాళం
అన్నం. 9: నమూనా తాళం
హానికరమైన ఫైల్ బ్లాక్ చేయబడినప్పుడు, దాడి చేసే వ్యక్తి ఎక్జిక్యూటబుల్ ఫైల్ యొక్క గుప్తీకరించిన సంస్కరణను డౌన్లోడ్ చేయడానికి ప్రయత్నించాడు, అది కూడా బ్లాక్ చేయబడింది.
అన్నం. 10: దాడి చేసే వ్యక్తి అమలు చేయడానికి ప్రయత్నించిన నమూనాల సెట్
చివరగా, అతను గుప్తీకరించిన కన్సోల్ ద్వారా మరొక హానికరమైన ఫైల్ను డౌన్లోడ్ చేయడానికి ప్రయత్నించాడు
యాంటీవైరస్ రక్షణను దాటవేయడానికి పవర్షెల్. కానీ ఆయన కూడా అడ్డుకున్నారు.
అన్నం. 11: హానికరమైన కంటెంట్తో పవర్షెల్ బ్లాక్ చేయబడింది
అన్నం. 12: హానికరమైన కంటెంట్తో పవర్షెల్ బ్లాక్ చేయబడింది
4. లోడర్
Когда он выполняется, он записывает файл ReadMe в папку % తాత్కాలిక%, ఇది Ryuk కోసం విలక్షణమైనది. ఈ ఫైల్ ప్రోటాన్మెయిల్ డొమైన్లోని ఇమెయిల్ చిరునామాను కలిగి ఉన్న విమోచన గమనిక, ఇది ఈ మాల్వేర్ కుటుంబంలో సర్వసాధారణం: msifelabem1981@protonmail.com
అన్నం. 13: విమోచన డిమాండ్
బూట్లోడర్ నడుస్తున్నప్పుడు, ఇది యాదృచ్ఛిక పేర్లతో అనేక ఎక్జిక్యూటబుల్ ఫైల్లను ప్రారంభించడాన్ని మీరు చూడవచ్చు. అవి దాచిన ఫోల్డర్లో నిల్వ చేయబడతాయి ప్రజా, కానీ ఆపరేటింగ్ సిస్టమ్లో ఎంపిక సక్రియంగా లేకుంటే "దాచిన ఫైల్లు మరియు ఫోల్డర్లను చూపించు", అప్పుడు అవి దాగి ఉంటాయి. అంతేకాకుండా, ఈ ఫైల్లు 64-బిట్, పేరెంట్ ఫైల్ కాకుండా 32-బిట్.
అన్నం. 14: నమూనా ద్వారా ప్రారంభించబడిన ఎక్జిక్యూటబుల్ ఫైల్లు
మీరు పై చిత్రంలో చూడగలిగినట్లుగా, Ryuk icacls.exeని ప్రారంభించింది, ఇది అన్ని ACLలను (యాక్సెస్ కంట్రోల్ లిస్ట్లు) సవరించడానికి ఉపయోగించబడుతుంది, తద్వారా ఫ్లాగ్ల యాక్సెస్ మరియు సవరణను నిర్ధారిస్తుంది.
ఇది దోషాలు (/C)తో సంబంధం లేకుండా మరియు ఎటువంటి సందేశాలు (/Q) చూపకుండానే పరికరం (/T)లోని అన్ని ఫైల్లకు వినియోగదారులందరి క్రింద పూర్తి ప్రాప్యతను పొందుతుంది.
అన్నం. 15: icacls.exe యొక్క ఎగ్జిక్యూషన్ పారామితులు నమూనా ద్వారా ప్రారంభించబడ్డాయి
మీరు ఏ విండోస్ వెర్షన్ను నడుపుతున్నారో Ryuk తనిఖీ చేస్తుందని గమనించడం ముఖ్యం. దీని కోసం అతను
ఉపయోగించి సంస్కరణ తనిఖీని నిర్వహిస్తుంది GetVersionExW, దీనిలో ఇది జెండా విలువను తనిఖీ చేస్తుంది lpVersionInformationWindows యొక్క ప్రస్తుత వెర్షన్ కంటే కొత్తదా అని సూచిస్తుంది విండోస్ XP.
మీరు Windows XP కంటే తర్వాత సంస్కరణను అమలు చేస్తున్నారా అనేదానిపై ఆధారపడి, బూట్ లోడర్ స్థానిక వినియోగదారు ఫోల్డర్కు వ్రాస్తుంది - ఈ సందర్భంలో ఫోల్డర్కు %ప్రజా%.
అన్నం. 17: ఆపరేటింగ్ సిస్టమ్ సంస్కరణను తనిఖీ చేస్తోంది
వ్రాయబడుతున్న ఫైల్ Ryuk. ఇది దాని స్వంత చిరునామాను పారామీటర్గా పంపుతూ దానిని అమలు చేస్తుంది.
అన్నం. 18: ShellExecute ద్వారా Ryukని అమలు చేయండి
Ryuk చేసే మొదటి పని ఇన్పుట్ పారామితులను స్వీకరించడం. ఈసారి దాని స్వంత జాడలను తీసివేయడానికి రెండు ఇన్పుట్ పారామితులు (ఎక్జిక్యూటబుల్ మరియు డ్రాపర్ చిరునామా) ఉపయోగించబడతాయి.
అన్నం. 19: ఒక ప్రక్రియను సృష్టించడం
మీరు దాని ఎక్జిక్యూటబుల్లను అమలు చేసిన తర్వాత, అది స్వయంగా తొలగించబడుతుందని కూడా మీరు చూడవచ్చు, తద్వారా అది అమలు చేయబడిన ఫోల్డర్లో దాని స్వంత ఉనికిని ఏదీ వదిలివేయదు.
అన్నం. 20: ఫైల్ను తొలగిస్తోంది
5. RYUK
5.1 ఉనికి
Ryuk, ఇతర మాల్వేర్ లాగా, సాధ్యమైనంత ఎక్కువ కాలం పాటు సిస్టమ్లో ఉండటానికి ప్రయత్నిస్తుంది. పైన చూపిన విధంగా, ఈ లక్ష్యాన్ని సాధించడానికి ఒక మార్గం రహస్యంగా ఎక్జిక్యూటబుల్ ఫైల్లను సృష్టించడం మరియు అమలు చేయడం. దీన్ని చేయడానికి, రిజిస్ట్రీ కీని మార్చడం అత్యంత సాధారణ పద్ధతి కరెంట్వర్షన్ రన్.
ఈ సందర్భంలో, ఈ ప్రయోజనం కోసం మొదటి ఫైల్ ప్రారంభించబడుతుందని మీరు చూడవచ్చు VWjRF.exe
(ఫైల్ పేరు యాదృచ్ఛికంగా రూపొందించబడింది) ప్రారంభించబడింది cmd.exe.
అన్నం. 21: VWjRF.exeని అమలు చేస్తోంది
అప్పుడు ఆదేశాన్ని నమోదు చేయండి RUN పేరుతో"svchos". కాబట్టి, మీరు ఎప్పుడైనా రిజిస్ట్రీ కీలను తనిఖీ చేయాలనుకుంటే, svchostతో ఈ పేరు యొక్క సారూప్యతను బట్టి మీరు ఈ మార్పును సులభంగా కోల్పోవచ్చు. ఈ కీకి ధన్యవాదాలు, Ryuk సిస్టమ్లో దాని ఉనికిని నిర్ధారిస్తుంది. సిస్టమ్ లేకపోతే ఇంకా సోకింది , అప్పుడు మీరు సిస్టమ్ను రీబూట్ చేసినప్పుడు, ఎక్జిక్యూటబుల్ మళ్లీ ప్రయత్నిస్తుంది.
అన్నం. 22: నమూనా రిజిస్ట్రీ కీలో ఉనికిని నిర్ధారిస్తుంది
ఈ ఎక్జిక్యూటబుల్ రెండు సేవలను నిలిపివేస్తుందని కూడా మనం చూడవచ్చు:
"ఆడియోఎండ్ పాయింట్ బిల్డర్", которая, как следует из ее названия, соответствует системному аудио,
అన్నం. 23: నమూనా సిస్టమ్ ఆడియో సేవను నిలిపివేస్తుంది
и సామ్స్, ఇది ఖాతా నిర్వహణ సేవ. ఈ రెండు సేవలను నిలిపివేయడం ర్యుక్ యొక్క లక్షణం. ఈ సందర్భంలో, సిస్టమ్ SIEM సిస్టమ్కు కనెక్ట్ చేయబడితే, ransomware పంపడాన్ని ఆపడానికి ప్రయత్నిస్తుంది ఏదైనా హెచ్చరికలు. ఈ విధంగా, Ryukని అమలు చేసిన తర్వాత కొన్ని SAM సేవలు వాటి పనిని సరిగ్గా ప్రారంభించలేవు కాబట్టి అతను తన తదుపరి దశలను రక్షిస్తాడు.
అన్నం. 24: నమూనా Samss సేవను నిలిపివేస్తుంది
5.2 అధికారాలు
సాధారణంగా చెప్పాలంటే, Ryuk నెట్వర్క్లో పార్శ్వంగా కదలడం ద్వారా ప్రారంభమవుతుంది లేదా మరొక మాల్వేర్ ద్వారా ప్రారంభించబడుతుంది లేదా , ఇది ప్రత్యేకాధికారాల పెరుగుదల సందర్భంలో, ఈ ఎలివేటెడ్ హక్కులను ransomwareకి బదిలీ చేస్తుంది.
ముందుగా, అమలు ప్రక్రియకు నాందిగా, అతను ప్రక్రియను నిర్వహించడాన్ని మనం చూస్తాము నేనే వలె నటించు, అంటే యాక్సెస్ టోకెన్లోని సెక్యూరిటీ కంటెంట్లు స్ట్రీమ్కి పంపబడతాయి, అక్కడ అది ఉపయోగించి వెంటనే తిరిగి పొందబడుతుంది GetCurrentThread.
అన్నం. 25: ImpersonateSelfకు కాల్ చేయండి
అది యాక్సెస్ టోకెన్ను థ్రెడ్తో అనుబంధిస్తుందని మనం చూస్తాము. జెండాలు ఒకటి అని కూడా చూస్తాం కావలసిన యాక్సెస్, ఇది థ్రెడ్ కలిగి ఉండే యాక్సెస్ని నియంత్రించడానికి ఉపయోగించవచ్చు. ఈ సందర్భంలో edx అందుకునే విలువ ఉండాలి TOKEN_ALL_ACESS లేదా లేకపోతే - TOKEN_WRITE.
అన్నం. 26: ఫ్లో టోకెన్ను సృష్టిస్తోంది
అప్పుడు అతను ఉపయోగిస్తాడు SeDebugPrivilege и сделает вызов для получения отладочных прав Debug по отношению к потоку, в результате чего, указав PROCESS_ALL_ACCESS, అతను ఏదైనా అవసరమైన ప్రక్రియను యాక్సెస్ చేయగలడు. ఇప్పుడు, ఎన్క్రిప్టర్ ఇప్పటికే సిద్ధం చేసిన స్ట్రీమ్ను కలిగి ఉన్నందున, చివరి దశకు వెళ్లడమే మిగిలి ఉంది.
Рис. 27: Вызов SeDebugPrivilege и функция эскалации прав
ఒకవైపు, మేము LookupPrivilegeValueWని కలిగి ఉన్నాము, ఇది మేము పెంచాలనుకుంటున్న అధికారాల గురించి అవసరమైన సమాచారాన్ని అందిస్తుంది.
అన్నం. 28: ప్రివిలేజ్ పెంపు కోసం ప్రత్యేకాధికారాల గురించి సమాచారాన్ని అభ్యర్థించండి
మరోవైపు, మనకు ఉంది టోకెన్ ప్రివిలేజ్లను సర్దుబాటు చేయండి, ఇది మా స్ట్రీమ్కు అవసరమైన హక్కులను పొందేందుకు అనుమతిస్తుంది. ఈ సందర్భంలో, అతి ముఖ్యమైన విషయం కొత్త రాష్ట్రం, ఎవరి జెండా అధికారాలను మంజూరు చేస్తుంది.
అన్నం. 29: టోకెన్ కోసం అనుమతులను సెటప్ చేయడం
5.3 అమలు
ఈ విభాగంలో, ఈ నివేదికలో గతంలో పేర్కొన్న అమలు ప్రక్రియను నమూనా ఎలా నిర్వహిస్తుందో మేము చూపుతాము.
Основной целью процесса внедрения, как и эскалации, является получение доступа к నీడ కాపీలు. దీన్ని చేయడానికి, అతను స్థానిక వినియోగదారు కంటే ఎక్కువ హక్కులతో కూడిన థ్రెడ్తో పని చేయాలి. అటువంటి ఎలివేటెడ్ హక్కులను పొందిన తర్వాత, ఇది ఆపరేటింగ్ సిస్టమ్లోని మునుపటి పునరుద్ధరణ పాయింట్కి తిరిగి రావడం అసాధ్యం చేయడానికి కాపీలను తొలగిస్తుంది మరియు ఇతర ప్రక్రియలకు మార్పులు చేస్తుంది.
ఈ రకమైన మాల్వేర్తో విలక్షణమైనదిగా, ఇది ఉపయోగిస్తుంది CreateToolHelp32Snapshotకనుక ఇది ప్రస్తుతం నడుస్తున్న ప్రక్రియల యొక్క స్నాప్షాట్ను తీసుకుంటుంది మరియు ఉపయోగించి ఆ ప్రక్రియలను యాక్సెస్ చేయడానికి ప్రయత్నిస్తుంది ఓపెన్ ప్రాసెస్. ఇది ప్రాసెస్కి ప్రాప్యతను పొందిన తర్వాత, ప్రాసెస్ పారామితులను పొందేందుకు దాని సమాచారంతో కూడిన టోకెన్ను కూడా తెరుస్తుంది.
అన్నం. 30: కంప్యూటర్ నుండి ప్రక్రియలను తిరిగి పొందడం
CreateToolhelp140002Snapshotని ఉపయోగించి ఇది రొటీన్ 9D32Cలో రన్నింగ్ ప్రాసెస్ల జాబితాను ఎలా పొందుతుందో మనం డైనమిక్గా చూడవచ్చు. వాటిని స్వీకరించిన తర్వాత, అతను జాబితా ద్వారా వెళ్తాడు, అతను విజయం సాధించే వరకు OpenProcessని ఉపయోగించి ప్రాసెస్లను ఒక్కొక్కటిగా తెరవడానికి ప్రయత్నిస్తాడు. ఈ సందర్భంలో, అతను ప్రారంభించగలిగిన మొదటి ప్రక్రియ "taskhost.exe".
అన్నం. 31: ఒక ప్రక్రియను పొందడానికి డైనమిక్గా ఒక విధానాన్ని అమలు చేయండి
ఇది తదనంతరం ప్రాసెస్ టోకెన్ సమాచారాన్ని చదువుతుందని మనం చూడవచ్చు, కనుక ఇది కాల్ చేస్తుంది OpenProcessToken పారామీటర్ తో "20008"
అన్నం. 32: ప్రాసెస్ టోకెన్ సమాచారాన్ని చదవండి
ఇది ఇంజెక్ట్ చేయబడే ప్రక్రియ కాదా అని కూడా తనిఖీ చేస్తుంది csrss.exe, explorer.exe, lsaas.exe లేదా అతను హక్కుల సమితిని కలిగి ఉంటాడు NT అధికారం.
అన్నం. 33: మినహాయించబడిన ప్రక్రియలు
ప్రాసెస్ టోకెన్ సమాచారాన్ని ఉపయోగించి ఇది మొదట చెక్ను ఎలా నిర్వహిస్తుందో మనం డైనమిక్గా చూడవచ్చు 140002D9C ప్రక్రియను అమలు చేయడానికి హక్కులు ఉపయోగించబడుతున్న ఖాతా ఖాతా కాదా అని తెలుసుకోవడానికి NT అథారిటీ.
అన్నం. 34: NT అథారిటీ తనిఖీ
А позже, вне процедуры, он проверяет, что это не csrss.exe, explorer.exe లేదా lsaas.exe.
అన్నం. 35: NT అథారిటీ తనిఖీ
అతను ప్రక్రియల స్నాప్షాట్ తీసిన తర్వాత, ప్రాసెస్లను తెరిచి, వాటిలో ఏదీ మినహాయించబడలేదని ధృవీకరించిన తర్వాత, అతను ఇంజెక్ట్ చేయబడే ప్రక్రియలను మెమరీలో వ్రాయడానికి సిద్ధంగా ఉంటాడు.
దీన్ని చేయడానికి, ఇది మొదట మెమరీలో ఒక ప్రాంతాన్ని రిజర్వ్ చేస్తుంది (VirtualAllocEx), దానిలో వ్రాస్తాడు (రైట్ ప్రాసెస్ మెమరీ) మరియు థ్రెడ్ను సృష్టిస్తుంది (రిమోట్ థ్రెడ్ సృష్టించండి) ఈ ఫంక్షన్లతో పని చేయడానికి, ఇది ఎంచుకున్న ప్రాసెస్ల PIDలను ఉపయోగిస్తుంది, ఇది గతంలో ఉపయోగించి పొందింది CreateToolhelp32Snapshot.
అన్నం. 36: కోడ్ పొందుపరచండి
ఫంక్షన్కి కాల్ చేయడానికి PID ప్రాసెస్ని ఎలా ఉపయోగిస్తుందో ఇక్కడ మనం డైనమిక్గా గమనించవచ్చు VirtualAllocEx.
అన్నం. 37: VirtualAllocExకి కాల్ చేయండి
5.4 ఎన్క్రిప్షన్
ఈ విభాగంలో, మేము ఈ నమూనా యొక్క ఎన్క్రిప్షన్ భాగాన్ని పరిశీలిస్తాము. కింది చిత్రంలో మీరు "అని పిలువబడే రెండు సబ్రూటీన్లను చూడవచ్చు.LoadLibrary_EncodeString"మరియు"ఎన్కోడ్_ఫంక్", ఇవి ఎన్క్రిప్షన్ విధానాన్ని నిర్వహించడానికి బాధ్యత వహిస్తాయి.
అన్నం. 38: ఎన్క్రిప్షన్ విధానాలు
ఇది స్ట్రింగ్ను ఎలా లోడ్ చేస్తుందో ప్రారంభంలో మనం చూడవచ్చు: దిగుమతి, DLLలు, కమాండ్లు, ఫైల్లు మరియు CSPలు.
అన్నం. 39: డియోబస్కేషన్ సర్క్యూట్
కింది బొమ్మ రిజిస్టర్ R4లో డియోబ్ఫుస్కేట్ చేసిన మొదటి దిగుమతిని చూపుతుంది. Loadlibrary. అవసరమైన DLLలను లోడ్ చేయడానికి ఇది తర్వాత ఉపయోగించబడుతుంది. రిజిస్టర్ R12లో మనం మరొక పంక్తిని కూడా చూడవచ్చు, ఇది deobfuscation నిర్వహించడానికి మునుపటి లైన్తో పాటు ఉపయోగించబడుతుంది.
అన్నం. 40: డైనమిక్ డియోబ్ఫస్కేషన్
ఇది బ్యాకప్లను నిలిపివేయడానికి, పాయింట్లను పునరుద్ధరించడానికి మరియు సురక్షిత బూట్ మోడ్లను నిలిపివేయడానికి తర్వాత అమలు చేసే ఆదేశాలను డౌన్లోడ్ చేయడం కొనసాగిస్తుంది.
అన్నం. 41: ఆదేశాలను లోడ్ చేస్తోంది
అప్పుడు అది 3 ఫైల్లను డ్రాప్ చేసే స్థానాన్ని లోడ్ చేస్తుంది: Windows.bat, run.sct и ప్రారంభం.బ్యాట్.
అన్నం. 42: ఫైల్ స్థానాలు
ఈ 3 ఫైల్లు ప్రతి లొకేషన్కు ఉన్న అధికారాలను తనిఖీ చేయడానికి ఉపయోగించబడతాయి. అవసరమైన అధికారాలు అందుబాటులో లేకుంటే, Ryuk అమలును ఆపివేస్తుంది.
ఇది మూడు ఫైల్లకు సంబంధించిన లైన్లను లోడ్ చేయడం కొనసాగిస్తుంది. ప్రధమ, DECRYPT_INFORMATION.html, ఫైల్లను పునరుద్ధరించడానికి అవసరమైన సమాచారాన్ని కలిగి ఉంటుంది. రెండవ, ప్రజా, RSA పబ్లిక్ కీని కలిగి ఉంది.
అన్నం. 43: లైన్ డీక్రిప్ట్ ఇన్ఫర్మేషన్.html
మూడవది, UNIQUE_ID_DO_NOT_REMOVE, గుప్తీకరణను నిర్వహించడానికి తదుపరి దినచర్యలో ఉపయోగించబడే గుప్తీకరించిన కీని కలిగి ఉంటుంది.
అన్నం. 44: లైన్ యూనిక్ ఐడి తీసివేయబడదు
చివరగా, ఇది అవసరమైన దిగుమతులు మరియు CSPలతో పాటు అవసరమైన లైబ్రరీలను డౌన్లోడ్ చేస్తుంది (మైక్రోసాఫ్ట్ మెరుగైన RSA и AES క్రిప్టోగ్రాఫిక్ ప్రొవైడర్).
అన్నం. 45: లైబ్రరీలను లోడ్ చేస్తోంది
అన్ని డీయోబ్ఫస్కేషన్ పూర్తయిన తర్వాత, ఇది ఎన్క్రిప్షన్కు అవసరమైన చర్యలను కొనసాగిస్తుంది: అన్ని లాజికల్ డ్రైవ్లను లెక్కించడం, మునుపటి రొటీన్లో లోడ్ చేయబడిన వాటిని అమలు చేయడం, సిస్టమ్లో ఉనికిని బలోపేతం చేయడం, RyukReadMe.html ఫైల్ను విసిరేయడం, ఎన్క్రిప్షన్, అన్ని నెట్వర్క్ డ్రైవ్లను లెక్కించడం , గుర్తించబడిన పరికరాలకు మార్పు మరియు వాటి గుప్తీకరణ.
ఇదంతా లోడ్ చేయడంతో మొదలవుతుంది"cmd.exe"మరియు RSA పబ్లిక్ కీ రికార్డులు.
అన్నం. 46: ఎన్క్రిప్షన్ కోసం సిద్ధమవుతోంది
అప్పుడు అది ఉపయోగించి అన్ని లాజికల్ డ్రైవ్లను పొందుతుంది GetLogicalDrives మరియు అన్ని బ్యాకప్లు, పునరుద్ధరణ పాయింట్లు మరియు సురక్షిత బూట్ మోడ్లను నిలిపివేస్తుంది.
అన్నం. 47: రికవరీ సాధనాలను నిష్క్రియం చేయడం
ఆ తరువాత, మేము పైన చూసినట్లుగా, సిస్టమ్లో దాని ఉనికిని బలపరుస్తుంది మరియు మొదటి ఫైల్ను వ్రాస్తుంది RyukReadMe.html в TEMP.
అన్నం. 48: విమోచన నోటీసును ప్రచురించడం
కింది చిత్రంలో ఇది ఫైల్ను ఎలా సృష్టిస్తుందో, కంటెంట్ను డౌన్లోడ్ చేసి ఎలా వ్రాస్తుందో మీరు చూడవచ్చు:
అన్నం. 49: ఫైల్ కంటెంట్లను లోడ్ చేయడం మరియు వ్రాయడం
అన్ని పరికరాలలో ఒకే విధమైన చర్యలను చేయగలిగేలా, అతను ఉపయోగిస్తాడు
"icacls.exe", మేము పైన చూపినట్లు.
అన్నం. 50: icalcls.exeని ఉపయోగించడం
చివరకు, ఇది “*.exe”, “*.dll” ఫైల్లు, సిస్టమ్ ఫైల్లు మరియు ఎన్క్రిప్టెడ్ వైట్ లిస్ట్ రూపంలో పేర్కొన్న ఇతర స్థానాలకు మినహా ఫైల్లను ఎన్క్రిప్ట్ చేయడం ప్రారంభిస్తుంది. దీన్ని చేయడానికి, ఇది దిగుమతులను ఉపయోగిస్తుంది: CryptAcquireContextW (AES మరియు RSA యొక్క ఉపయోగం పేర్కొనబడిన చోట) CryptDeriveKey, CryptGenKey, CryptDestroyKey మొదలైనవి ఇది WNetEnumResourceWని ఉపయోగించి కనుగొనబడిన నెట్వర్క్ పరికరాలకు దాని పరిధిని విస్తరించడానికి ప్రయత్నిస్తుంది మరియు వాటిని గుప్తీకరించడానికి కూడా ప్రయత్నిస్తుంది.
అన్నం. 51: సిస్టమ్ ఫైల్లను గుప్తీకరించడం
6. దిగుమతులు మరియు సంబంధిత జెండాలు
నమూనా ద్వారా ఉపయోగించే అత్యంత సంబంధిత దిగుమతులు మరియు ఫ్లాగ్లను జాబితా చేసే పట్టిక క్రింద ఉంది:
7. IOC
సూచనలు
- userPublicrun.sct
- Start MenuProgramsStartupstart.bat AppDataRoamingMicrosoftWindowsStart
- MenuProgramsStartupstart.bat
Ryuk ransomwareపై సాంకేతిక నివేదికను యాంటీవైరస్ లేబొరేటరీ PandaLabs నుండి నిపుణులు సంకలనం చేశారు.
8. లింకులు
1. “ఎవెరిస్ వై ప్రిసా రేడియో సుఫ్రెన్ అన్ గ్రేవ్ సిబెరాటాక్ క్యూ సెక్యూస్ట్రా సస్ సిస్టమ్స్.”https://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, Publicada el 04/11/2019.
2. “అన్ వైరస్ డి ఆరిజెన్ రూసో అటాకా ఎ ఇంపార్టెంట్స్ ఎంప్రెసాస్ ఎస్పానోలాస్.” https: //elpais.com/tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, Publicada el 04/11.
3. “VB2019 పేపర్: షినిగామి రివెంజ్: ది లాంగ్ టెయిల్ ఆఫ్ ది ర్యుక్ మాల్వేర్.” https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, Publicada el 11 /12/2019
4. “ర్యుక్తో పెద్ద గేమ్ హంటింగ్: మరో లాభదాయకంbటార్గెటెడ్ రాన్సమ్వేర్.”https://www. crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucraative-targeted-ransomware/, Publicada el 10/01/2019.
5. “VB2019 పేపర్: షినిగామి రివెంజ్: ది లాంగ్ టెయిల్ ఆఫ్ ది ర్యుక్ మాల్వేర్.” https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigamis-revenge-long-tail-r
మూలం: www.habr.com
