Ryuk గత కొన్ని సంవత్సరాలలో అత్యంత ప్రసిద్ధ ransomware ఎంపికలలో ఒకటి. ఇది మొదట 2018 వేసవిలో కనిపించినప్పటి నుండి, ఇది సేకరించబడింది
1 సాధారణ సమాచారం
ఈ పత్రం Ryuk ransomware వేరియంట్ యొక్క విశ్లేషణను కలిగి ఉంది, అలాగే సిస్టమ్లోకి మాల్వేర్ను లోడ్ చేయడానికి బాధ్యత వహించే లోడర్.
Ryuk ransomware మొదటిసారి 2018 వేసవిలో కనిపించింది. Ryuk మరియు ఇతర ransomware మధ్య ఉన్న తేడాలలో ఒకటి ఇది కార్పొరేట్ పరిసరాలపై దాడి చేసే లక్ష్యంతో ఉంది.
2019 మధ్యలో, సైబర్క్రిమినల్ గ్రూపులు ఈ ransomwareని ఉపయోగించి భారీ సంఖ్యలో స్పానిష్ కంపెనీలపై దాడి చేశాయి.
అన్నం. 1: Ryuk ransomware దాడికి సంబంధించి ఎల్ కాన్ఫిడెన్షియల్ నుండి సారాంశం [1]
అన్నం. 2: Ryuk ransomware [2] ఉపయోగించి జరిపిన దాడి గురించి El País నుండి సారాంశం
ఈ సంవత్సరం, Ryuk వివిధ దేశాలలో పెద్ద సంఖ్యలో కంపెనీలపై దాడి చేసింది. దిగువ బొమ్మలలో మీరు చూడగలిగినట్లుగా, జర్మనీ, చైనా, అల్జీరియా మరియు భారతదేశం తీవ్రంగా దెబ్బతిన్నాయి.
సైబర్ దాడుల సంఖ్యను పోల్చడం ద్వారా, Ryuk మిలియన్ల మంది వినియోగదారులను ప్రభావితం చేసిందని మరియు భారీ మొత్తంలో డేటాను రాజీ చేసి, ఫలితంగా తీవ్రమైన ఆర్థిక నష్టం జరిగిందని మనం చూడవచ్చు.
అన్నం. 3: ర్యుక్ యొక్క గ్లోబల్ యాక్టివిటీకి ఉదాహరణ.
అన్నం. 4: 16 దేశాలు Ryuk ద్వారా ఎక్కువగా ప్రభావితమయ్యాయి
అన్నం. 5: Ryuk ransomware ద్వారా దాడి చేయబడిన వినియోగదారుల సంఖ్య (మిలియన్లలో)
అటువంటి బెదిరింపుల యొక్క సాధారణ ఆపరేటింగ్ సూత్రం ప్రకారం, ఈ ransomware, ఎన్క్రిప్షన్ పూర్తయిన తర్వాత, ఎన్క్రిప్టెడ్ ఫైల్లకు ప్రాప్యతను పునరుద్ధరించడానికి పేర్కొన్న చిరునామాకు బిట్కాయిన్లలో చెల్లించాల్సిన విమోచన నోటిఫికేషన్ను బాధితుడికి చూపుతుంది.
ఈ మాల్వేర్ మొదటిసారి ప్రవేశపెట్టినప్పటి నుండి మార్చబడింది.
ఈ డాక్యుమెంట్లో విశ్లేషించబడిన ఈ ముప్పు యొక్క వైవిధ్యం జనవరి 2020లో దాడి ప్రయత్నంలో కనుగొనబడింది.
దాని సంక్లిష్టత కారణంగా, ఈ మాల్వేర్ తరచుగా వ్యవస్థీకృత సైబర్ నేర సమూహాలకు ఆపాదించబడుతుంది, దీనిని APT సమూహాలు అని కూడా పిలుస్తారు.
Ryuk కోడ్లోని భాగం మరొక ప్రసిద్ధ ransomware, హీర్మేస్ యొక్క కోడ్ మరియు నిర్మాణంతో గుర్తించదగిన సారూప్యతను కలిగి ఉంది, దానితో వారు అనేక సారూప్య విధులను పంచుకుంటారు. ఈ కారణంగానే Ryuk మొదట ఉత్తర కొరియా సమూహం Lazarus తో లింక్ చేయబడింది, ఆ సమయంలో ఇది హీర్మేస్ ransomware వెనుక ఉన్నట్లు అనుమానించబడింది.
క్రౌడ్స్ట్రైక్ యొక్క ఫాల్కన్ X సేవ తదనంతరం Ryuk నిజానికి WIZARD స్పైడర్ సమూహంచే సృష్టించబడిందని పేర్కొంది [4].
ఈ ఊహకు మద్దతుగా కొన్ని ఆధారాలు ఉన్నాయి. ముందుగా, ఈ ransomware వెబ్సైట్ exploit.inలో ప్రచారం చేయబడింది, ఇది రష్యన్ మాల్వేర్ మార్కెట్గా ప్రసిద్ధి చెందింది మరియు ఇది గతంలో కొన్ని రష్యన్ APT సమూహాలతో అనుబంధించబడింది.
ఈ వాస్తవం Ryuk లాజరస్ APT సమూహంచే అభివృద్ధి చేయబడిందనే సిద్ధాంతాన్ని తోసిపుచ్చింది, ఎందుకంటే ఇది సమూహం పనిచేసే విధానానికి సరిపోదు.
అదనంగా, Ryuk రష్యన్, ఉక్రేనియన్ మరియు బెలారసియన్ సిస్టమ్లలో పని చేయని ransomwareగా ప్రచారం చేయబడింది. ఈ ప్రవర్తన Ryuk యొక్క కొన్ని వెర్షన్లలో కనుగొనబడిన లక్షణం ద్వారా నిర్ణయించబడుతుంది, ఇక్కడ ఇది ransomware అమలులో ఉన్న సిస్టమ్ యొక్క భాషను తనిఖీ చేస్తుంది మరియు సిస్టమ్లో రష్యన్, ఉక్రేనియన్ లేదా బెలారసియన్ భాష ఉంటే దానిని అమలు చేయకుండా ఆపివేస్తుంది. చివరగా, WIZARD SPIDER బృందం హ్యాక్ చేసిన యంత్రం యొక్క నిపుణుల విశ్లేషణ, హెర్మేస్ ransomware యొక్క రూపాంతరంగా Ryuk అభివృద్ధిలో ఉపయోగించబడిన అనేక "కళాఖండాలను" బహిర్గతం చేసింది.
మరోవైపు, నిపుణులు గాబ్రియేలా నికోలావ్ మరియు లూసియానో మార్టిన్స్ ర్యాన్సమ్వేర్ను APT గ్రూప్ క్రిప్టోటెక్ [5] అభివృద్ధి చేసి ఉండవచ్చని సూచించారు.
Ryuk కనిపించడానికి చాలా నెలల ముందు, ఈ సమూహం హీర్మేస్ ransomware యొక్క క్రొత్త సంస్కరణను అభివృద్ధి చేసిన అదే సైట్ యొక్క ఫోరమ్లో సమాచారాన్ని పోస్ట్ చేసింది.
చాలా మంది ఫోరమ్ వినియోగదారులు క్రిప్టోటెక్ వాస్తవానికి Ryuk సృష్టించారా అని ప్రశ్నించారు. ఆ తర్వాత గ్రూప్ తమను తాము సమర్థించుకుంది మరియు తాము 100% ransomwareని అభివృద్ధి చేసినట్లు తమ వద్ద ఆధారాలు ఉన్నాయని పేర్కొంది.
2. లక్షణాలు
మేము బూట్లోడర్తో ప్రారంభిస్తాము, దీని పని అది ఆన్లో ఉన్న సిస్టమ్ను గుర్తించడం, తద్వారా Ryuk ransomware యొక్క “సరైన” సంస్కరణను ప్రారంభించవచ్చు.
బూట్లోడర్ హాష్ క్రింది విధంగా ఉంది:
MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469
ఈ డౌన్లోడర్ యొక్క లక్షణాలలో ఒకటి, ఇందులో ఎటువంటి మెటాడేటా లేదు, అనగా. ఈ మాల్వేర్ సృష్టికర్తలు ఇందులో ఎలాంటి సమాచారాన్ని చేర్చలేదు.
వారు చట్టబద్ధమైన అప్లికేషన్ను నడుపుతున్నట్లు భావించేలా వినియోగదారుని మోసగించడానికి కొన్నిసార్లు అవి తప్పు డేటాను కలిగి ఉంటాయి. అయితే, మేము తరువాత చూస్తాము, ఇన్ఫెక్షన్ వినియోగదారు పరస్పర చర్యను కలిగి ఉండకపోతే (ఈ ransomware విషయంలో వలె), అప్పుడు దాడి చేసేవారు మెటాడేటాను ఉపయోగించడం అవసరమని భావించరు.
అన్నం. 6: నమూనా మెటా డేటా
నమూనా 32-బిట్ ఫార్మాట్లో కంపైల్ చేయబడింది, తద్వారా ఇది 32-బిట్ మరియు 64-బిట్ సిస్టమ్లలో రన్ అవుతుంది.
3. పెనెట్రేషన్ వెక్టర్
Ryukని డౌన్లోడ్ చేసి, అమలు చేసే నమూనా రిమోట్ కనెక్షన్ ద్వారా మా సిస్టమ్లోకి ప్రవేశించింది మరియు ప్రాథమిక RDP దాడి ద్వారా యాక్సెస్ పారామితులు పొందబడ్డాయి.
అన్నం. 7: దాడి రిజిస్టర్
దాడి చేసే వ్యక్తి రిమోట్గా సిస్టమ్లోకి లాగిన్ చేయగలిగాడు. ఆ తర్వాత, అతను మా నమూనాతో ఎక్జిక్యూటబుల్ ఫైల్ను సృష్టించాడు.
ఈ ఎక్జిక్యూటబుల్ ఫైల్ రన్ అయ్యే ముందు యాంటీవైరస్ సొల్యూషన్ ద్వారా బ్లాక్ చేయబడింది.
అన్నం. 8: నమూనా తాళం
అన్నం. 9: నమూనా తాళం
హానికరమైన ఫైల్ బ్లాక్ చేయబడినప్పుడు, దాడి చేసే వ్యక్తి ఎక్జిక్యూటబుల్ ఫైల్ యొక్క గుప్తీకరించిన సంస్కరణను డౌన్లోడ్ చేయడానికి ప్రయత్నించాడు, అది కూడా బ్లాక్ చేయబడింది.
అన్నం. 10: దాడి చేసే వ్యక్తి అమలు చేయడానికి ప్రయత్నించిన నమూనాల సెట్
చివరగా, అతను గుప్తీకరించిన కన్సోల్ ద్వారా మరొక హానికరమైన ఫైల్ను డౌన్లోడ్ చేయడానికి ప్రయత్నించాడు
యాంటీవైరస్ రక్షణను దాటవేయడానికి పవర్షెల్. కానీ ఆయన కూడా అడ్డుకున్నారు.
అన్నం. 11: హానికరమైన కంటెంట్తో పవర్షెల్ బ్లాక్ చేయబడింది
అన్నం. 12: హానికరమైన కంటెంట్తో పవర్షెల్ బ్లాక్ చేయబడింది
4. లోడర్
ఇది అమలు చేసినప్పుడు, అది ఫోల్డర్కి ReadMe ఫైల్ను వ్రాస్తుంది % తాత్కాలిక%, ఇది Ryuk కోసం విలక్షణమైనది. ఈ ఫైల్ ప్రోటాన్మెయిల్ డొమైన్లోని ఇమెయిల్ చిరునామాను కలిగి ఉన్న విమోచన గమనిక, ఇది ఈ మాల్వేర్ కుటుంబంలో సర్వసాధారణం: [ఇమెయిల్ రక్షించబడింది]
అన్నం. 13: విమోచన డిమాండ్
బూట్లోడర్ నడుస్తున్నప్పుడు, ఇది యాదృచ్ఛిక పేర్లతో అనేక ఎక్జిక్యూటబుల్ ఫైల్లను ప్రారంభించడాన్ని మీరు చూడవచ్చు. అవి దాచిన ఫోల్డర్లో నిల్వ చేయబడతాయి ప్రజా, కానీ ఆపరేటింగ్ సిస్టమ్లో ఎంపిక సక్రియంగా లేకుంటే "దాచిన ఫైల్లు మరియు ఫోల్డర్లను చూపించు", అప్పుడు అవి దాగి ఉంటాయి. అంతేకాకుండా, ఈ ఫైల్లు 64-బిట్, పేరెంట్ ఫైల్ కాకుండా 32-బిట్.
అన్నం. 14: నమూనా ద్వారా ప్రారంభించబడిన ఎక్జిక్యూటబుల్ ఫైల్లు
మీరు పై చిత్రంలో చూడగలిగినట్లుగా, Ryuk icacls.exeని ప్రారంభించింది, ఇది అన్ని ACLలను (యాక్సెస్ కంట్రోల్ లిస్ట్లు) సవరించడానికి ఉపయోగించబడుతుంది, తద్వారా ఫ్లాగ్ల యాక్సెస్ మరియు సవరణను నిర్ధారిస్తుంది.
ఇది దోషాలు (/C)తో సంబంధం లేకుండా మరియు ఎటువంటి సందేశాలు (/Q) చూపకుండానే పరికరం (/T)లోని అన్ని ఫైల్లకు వినియోగదారులందరి క్రింద పూర్తి ప్రాప్యతను పొందుతుంది.
అన్నం. 15: icacls.exe యొక్క ఎగ్జిక్యూషన్ పారామితులు నమూనా ద్వారా ప్రారంభించబడ్డాయి
మీరు ఏ విండోస్ వెర్షన్ను నడుపుతున్నారో Ryuk తనిఖీ చేస్తుందని గమనించడం ముఖ్యం. దీని కోసం అతను
ఉపయోగించి సంస్కరణ తనిఖీని నిర్వహిస్తుంది GetVersionExW, దీనిలో ఇది జెండా విలువను తనిఖీ చేస్తుంది lpVersionInformationWindows యొక్క ప్రస్తుత వెర్షన్ కంటే కొత్తదా అని సూచిస్తుంది విండోస్ XP.
మీరు Windows XP కంటే తర్వాత సంస్కరణను అమలు చేస్తున్నారా అనేదానిపై ఆధారపడి, బూట్ లోడర్ స్థానిక వినియోగదారు ఫోల్డర్కు వ్రాస్తుంది - ఈ సందర్భంలో ఫోల్డర్కు %ప్రజా%.
అన్నం. 17: ఆపరేటింగ్ సిస్టమ్ సంస్కరణను తనిఖీ చేస్తోంది
వ్రాయబడుతున్న ఫైల్ Ryuk. ఇది దాని స్వంత చిరునామాను పారామీటర్గా పంపుతూ దానిని అమలు చేస్తుంది.
అన్నం. 18: ShellExecute ద్వారా Ryukని అమలు చేయండి
Ryuk చేసే మొదటి పని ఇన్పుట్ పారామితులను స్వీకరించడం. ఈసారి దాని స్వంత జాడలను తీసివేయడానికి రెండు ఇన్పుట్ పారామితులు (ఎక్జిక్యూటబుల్ మరియు డ్రాపర్ చిరునామా) ఉపయోగించబడతాయి.
అన్నం. 19: ఒక ప్రక్రియను సృష్టించడం
మీరు దాని ఎక్జిక్యూటబుల్లను అమలు చేసిన తర్వాత, అది స్వయంగా తొలగించబడుతుందని కూడా మీరు చూడవచ్చు, తద్వారా అది అమలు చేయబడిన ఫోల్డర్లో దాని స్వంత ఉనికిని ఏదీ వదిలివేయదు.
అన్నం. 20: ఫైల్ను తొలగిస్తోంది
5. RYUK
5.1 ఉనికి
Ryuk, ఇతర మాల్వేర్ లాగా, సాధ్యమైనంత ఎక్కువ కాలం పాటు సిస్టమ్లో ఉండటానికి ప్రయత్నిస్తుంది. పైన చూపిన విధంగా, ఈ లక్ష్యాన్ని సాధించడానికి ఒక మార్గం రహస్యంగా ఎక్జిక్యూటబుల్ ఫైల్లను సృష్టించడం మరియు అమలు చేయడం. దీన్ని చేయడానికి, రిజిస్ట్రీ కీని మార్చడం అత్యంత సాధారణ పద్ధతి కరెంట్వర్షన్ రన్.
ఈ సందర్భంలో, ఈ ప్రయోజనం కోసం మొదటి ఫైల్ ప్రారంభించబడుతుందని మీరు చూడవచ్చు VWjRF.exe
(ఫైల్ పేరు యాదృచ్ఛికంగా రూపొందించబడింది) ప్రారంభించబడింది cmd.exe.
అన్నం. 21: VWjRF.exeని అమలు చేస్తోంది
అప్పుడు ఆదేశాన్ని నమోదు చేయండి RUN పేరుతో"svchos". కాబట్టి, మీరు ఎప్పుడైనా రిజిస్ట్రీ కీలను తనిఖీ చేయాలనుకుంటే, svchostతో ఈ పేరు యొక్క సారూప్యతను బట్టి మీరు ఈ మార్పును సులభంగా కోల్పోవచ్చు. ఈ కీకి ధన్యవాదాలు, Ryuk సిస్టమ్లో దాని ఉనికిని నిర్ధారిస్తుంది. సిస్టమ్ లేకపోతే ఇంకా సోకింది , అప్పుడు మీరు సిస్టమ్ను రీబూట్ చేసినప్పుడు, ఎక్జిక్యూటబుల్ మళ్లీ ప్రయత్నిస్తుంది.
అన్నం. 22: నమూనా రిజిస్ట్రీ కీలో ఉనికిని నిర్ధారిస్తుంది
ఈ ఎక్జిక్యూటబుల్ రెండు సేవలను నిలిపివేస్తుందని కూడా మనం చూడవచ్చు:
"ఆడియోఎండ్ పాయింట్ బిల్డర్", దాని పేరు సూచించినట్లుగా, సిస్టమ్ ఆడియోకు అనుగుణంగా ఉంటుంది,
అన్నం. 23: నమూనా సిస్టమ్ ఆడియో సేవను నిలిపివేస్తుంది
и సామ్స్, ఇది ఖాతా నిర్వహణ సేవ. ఈ రెండు సేవలను నిలిపివేయడం ర్యుక్ యొక్క లక్షణం. ఈ సందర్భంలో, సిస్టమ్ SIEM సిస్టమ్కు కనెక్ట్ చేయబడితే, ransomware పంపడాన్ని ఆపడానికి ప్రయత్నిస్తుంది
అన్నం. 24: నమూనా Samss సేవను నిలిపివేస్తుంది
5.2 అధికారాలు
సాధారణంగా చెప్పాలంటే, Ryuk నెట్వర్క్లో పార్శ్వంగా కదలడం ద్వారా ప్రారంభమవుతుంది లేదా మరొక మాల్వేర్ ద్వారా ప్రారంభించబడుతుంది
ముందుగా, అమలు ప్రక్రియకు నాందిగా, అతను ప్రక్రియను నిర్వహించడాన్ని మనం చూస్తాము నేనే వలె నటించు, అంటే యాక్సెస్ టోకెన్లోని సెక్యూరిటీ కంటెంట్లు స్ట్రీమ్కి పంపబడతాయి, అక్కడ అది ఉపయోగించి వెంటనే తిరిగి పొందబడుతుంది GetCurrentThread.
అన్నం. 25: ImpersonateSelfకు కాల్ చేయండి
అది యాక్సెస్ టోకెన్ను థ్రెడ్తో అనుబంధిస్తుందని మనం చూస్తాము. జెండాలు ఒకటి అని కూడా చూస్తాం కావలసిన యాక్సెస్, ఇది థ్రెడ్ కలిగి ఉండే యాక్సెస్ని నియంత్రించడానికి ఉపయోగించవచ్చు. ఈ సందర్భంలో edx అందుకునే విలువ ఉండాలి TOKEN_ALL_ACESS లేదా లేకపోతే - TOKEN_WRITE.
అన్నం. 26: ఫ్లో టోకెన్ను సృష్టిస్తోంది
అప్పుడు అతను ఉపయోగిస్తాడు SeDebugPrivilege మరియు థ్రెడ్లో డీబగ్ అనుమతులను పొందడానికి కాల్ చేస్తుంది, ఫలితంగా PROCESS_ALL_ACCESS, అతను ఏదైనా అవసరమైన ప్రక్రియను యాక్సెస్ చేయగలడు. ఇప్పుడు, ఎన్క్రిప్టర్ ఇప్పటికే సిద్ధం చేసిన స్ట్రీమ్ను కలిగి ఉన్నందున, చివరి దశకు వెళ్లడమే మిగిలి ఉంది.
అన్నం. 27: SeDebugPrivilege మరియు ప్రివిలేజ్ ఎస్కలేషన్ ఫంక్షన్కి కాల్ చేస్తోంది
ఒకవైపు, మేము LookupPrivilegeValueWని కలిగి ఉన్నాము, ఇది మేము పెంచాలనుకుంటున్న అధికారాల గురించి అవసరమైన సమాచారాన్ని అందిస్తుంది.
అన్నం. 28: ప్రివిలేజ్ పెంపు కోసం ప్రత్యేకాధికారాల గురించి సమాచారాన్ని అభ్యర్థించండి
మరోవైపు, మనకు ఉంది టోకెన్ ప్రివిలేజ్లను సర్దుబాటు చేయండి, ఇది మా స్ట్రీమ్కు అవసరమైన హక్కులను పొందేందుకు అనుమతిస్తుంది. ఈ సందర్భంలో, అతి ముఖ్యమైన విషయం కొత్త రాష్ట్రం, ఎవరి జెండా అధికారాలను మంజూరు చేస్తుంది.
అన్నం. 29: టోకెన్ కోసం అనుమతులను సెటప్ చేయడం
5.3 అమలు
ఈ విభాగంలో, ఈ నివేదికలో గతంలో పేర్కొన్న అమలు ప్రక్రియను నమూనా ఎలా నిర్వహిస్తుందో మేము చూపుతాము.
అమలు ప్రక్రియ యొక్క ప్రధాన లక్ష్యం, అలాగే పెరుగుదల, యాక్సెస్ పొందడం నీడ కాపీలు. దీన్ని చేయడానికి, అతను స్థానిక వినియోగదారు కంటే ఎక్కువ హక్కులతో కూడిన థ్రెడ్తో పని చేయాలి. అటువంటి ఎలివేటెడ్ హక్కులను పొందిన తర్వాత, ఇది ఆపరేటింగ్ సిస్టమ్లోని మునుపటి పునరుద్ధరణ పాయింట్కి తిరిగి రావడం అసాధ్యం చేయడానికి కాపీలను తొలగిస్తుంది మరియు ఇతర ప్రక్రియలకు మార్పులు చేస్తుంది.
ఈ రకమైన మాల్వేర్తో విలక్షణమైనదిగా, ఇది ఉపయోగిస్తుంది CreateToolHelp32Snapshotకనుక ఇది ప్రస్తుతం నడుస్తున్న ప్రక్రియల యొక్క స్నాప్షాట్ను తీసుకుంటుంది మరియు ఉపయోగించి ఆ ప్రక్రియలను యాక్సెస్ చేయడానికి ప్రయత్నిస్తుంది ఓపెన్ ప్రాసెస్. ఇది ప్రాసెస్కి ప్రాప్యతను పొందిన తర్వాత, ప్రాసెస్ పారామితులను పొందేందుకు దాని సమాచారంతో కూడిన టోకెన్ను కూడా తెరుస్తుంది.
అన్నం. 30: కంప్యూటర్ నుండి ప్రక్రియలను తిరిగి పొందడం
CreateToolhelp140002Snapshotని ఉపయోగించి ఇది రొటీన్ 9D32Cలో రన్నింగ్ ప్రాసెస్ల జాబితాను ఎలా పొందుతుందో మనం డైనమిక్గా చూడవచ్చు. వాటిని స్వీకరించిన తర్వాత, అతను జాబితా ద్వారా వెళ్తాడు, అతను విజయం సాధించే వరకు OpenProcessని ఉపయోగించి ప్రాసెస్లను ఒక్కొక్కటిగా తెరవడానికి ప్రయత్నిస్తాడు. ఈ సందర్భంలో, అతను ప్రారంభించగలిగిన మొదటి ప్రక్రియ "taskhost.exe".
అన్నం. 31: ఒక ప్రక్రియను పొందడానికి డైనమిక్గా ఒక విధానాన్ని అమలు చేయండి
ఇది తదనంతరం ప్రాసెస్ టోకెన్ సమాచారాన్ని చదువుతుందని మనం చూడవచ్చు, కనుక ఇది కాల్ చేస్తుంది OpenProcessToken పారామీటర్ తో "20008"
అన్నం. 32: ప్రాసెస్ టోకెన్ సమాచారాన్ని చదవండి
ఇది ఇంజెక్ట్ చేయబడే ప్రక్రియ కాదా అని కూడా తనిఖీ చేస్తుంది csrss.exe, explorer.exe, lsaas.exe లేదా అతను హక్కుల సమితిని కలిగి ఉంటాడు NT అధికారం.
అన్నం. 33: మినహాయించబడిన ప్రక్రియలు
ప్రాసెస్ టోకెన్ సమాచారాన్ని ఉపయోగించి ఇది మొదట చెక్ను ఎలా నిర్వహిస్తుందో మనం డైనమిక్గా చూడవచ్చు 140002D9C ప్రక్రియను అమలు చేయడానికి హక్కులు ఉపయోగించబడుతున్న ఖాతా ఖాతా కాదా అని తెలుసుకోవడానికి NT అథారిటీ.
అన్నం. 34: NT అథారిటీ తనిఖీ
మరియు తరువాత, ప్రక్రియ వెలుపల, అతను ఇది కాదని తనిఖీ చేస్తాడు csrss.exe, explorer.exe లేదా lsaas.exe.
అన్నం. 35: NT అథారిటీ తనిఖీ
అతను ప్రక్రియల స్నాప్షాట్ తీసిన తర్వాత, ప్రాసెస్లను తెరిచి, వాటిలో ఏదీ మినహాయించబడలేదని ధృవీకరించిన తర్వాత, అతను ఇంజెక్ట్ చేయబడే ప్రక్రియలను మెమరీలో వ్రాయడానికి సిద్ధంగా ఉంటాడు.
దీన్ని చేయడానికి, ఇది మొదట మెమరీలో ఒక ప్రాంతాన్ని రిజర్వ్ చేస్తుంది (VirtualAllocEx), దానిలో వ్రాస్తాడు (రైట్ ప్రాసెస్ మెమరీ) మరియు థ్రెడ్ను సృష్టిస్తుంది (రిమోట్ థ్రెడ్ సృష్టించండి) ఈ ఫంక్షన్లతో పని చేయడానికి, ఇది ఎంచుకున్న ప్రాసెస్ల PIDలను ఉపయోగిస్తుంది, ఇది గతంలో ఉపయోగించి పొందింది CreateToolhelp32Snapshot.
అన్నం. 36: కోడ్ పొందుపరచండి
ఫంక్షన్కి కాల్ చేయడానికి PID ప్రాసెస్ని ఎలా ఉపయోగిస్తుందో ఇక్కడ మనం డైనమిక్గా గమనించవచ్చు VirtualAllocEx.
అన్నం. 37: VirtualAllocExకి కాల్ చేయండి
5.4 ఎన్క్రిప్షన్
ఈ విభాగంలో, మేము ఈ నమూనా యొక్క ఎన్క్రిప్షన్ భాగాన్ని పరిశీలిస్తాము. కింది చిత్రంలో మీరు "అని పిలువబడే రెండు సబ్రూటీన్లను చూడవచ్చు.LoadLibrary_EncodeString"మరియు"ఎన్కోడ్_ఫంక్", ఇవి ఎన్క్రిప్షన్ విధానాన్ని నిర్వహించడానికి బాధ్యత వహిస్తాయి.
అన్నం. 38: ఎన్క్రిప్షన్ విధానాలు
ఇది స్ట్రింగ్ను ఎలా లోడ్ చేస్తుందో ప్రారంభంలో మనం చూడవచ్చు: దిగుమతి, DLLలు, కమాండ్లు, ఫైల్లు మరియు CSPలు.
అన్నం. 39: డియోబస్కేషన్ సర్క్యూట్
కింది బొమ్మ రిజిస్టర్ R4లో డియోబ్ఫుస్కేట్ చేసిన మొదటి దిగుమతిని చూపుతుంది. Loadlibrary. అవసరమైన DLLలను లోడ్ చేయడానికి ఇది తర్వాత ఉపయోగించబడుతుంది. రిజిస్టర్ R12లో మనం మరొక పంక్తిని కూడా చూడవచ్చు, ఇది deobfuscation నిర్వహించడానికి మునుపటి లైన్తో పాటు ఉపయోగించబడుతుంది.
అన్నం. 40: డైనమిక్ డియోబ్ఫస్కేషన్
ఇది బ్యాకప్లను నిలిపివేయడానికి, పాయింట్లను పునరుద్ధరించడానికి మరియు సురక్షిత బూట్ మోడ్లను నిలిపివేయడానికి తర్వాత అమలు చేసే ఆదేశాలను డౌన్లోడ్ చేయడం కొనసాగిస్తుంది.
అన్నం. 41: ఆదేశాలను లోడ్ చేస్తోంది
అప్పుడు అది 3 ఫైల్లను డ్రాప్ చేసే స్థానాన్ని లోడ్ చేస్తుంది: Windows.bat, run.sct и ప్రారంభం.బ్యాట్.
అన్నం. 42: ఫైల్ స్థానాలు
ఈ 3 ఫైల్లు ప్రతి లొకేషన్కు ఉన్న అధికారాలను తనిఖీ చేయడానికి ఉపయోగించబడతాయి. అవసరమైన అధికారాలు అందుబాటులో లేకుంటే, Ryuk అమలును ఆపివేస్తుంది.
ఇది మూడు ఫైల్లకు సంబంధించిన లైన్లను లోడ్ చేయడం కొనసాగిస్తుంది. ప్రధమ, DECRYPT_INFORMATION.html, ఫైల్లను పునరుద్ధరించడానికి అవసరమైన సమాచారాన్ని కలిగి ఉంటుంది. రెండవ, ప్రజా, RSA పబ్లిక్ కీని కలిగి ఉంది.
అన్నం. 43: లైన్ డీక్రిప్ట్ ఇన్ఫర్మేషన్.html
మూడవది, UNIQUE_ID_DO_NOT_REMOVE, గుప్తీకరణను నిర్వహించడానికి తదుపరి దినచర్యలో ఉపయోగించబడే గుప్తీకరించిన కీని కలిగి ఉంటుంది.
అన్నం. 44: లైన్ యూనిక్ ఐడి తీసివేయబడదు
చివరగా, ఇది అవసరమైన దిగుమతులు మరియు CSPలతో పాటు అవసరమైన లైబ్రరీలను డౌన్లోడ్ చేస్తుంది (మైక్రోసాఫ్ట్ మెరుగైన RSA и AES క్రిప్టోగ్రాఫిక్ ప్రొవైడర్).
అన్నం. 45: లైబ్రరీలను లోడ్ చేస్తోంది
అన్ని డీయోబ్ఫస్కేషన్ పూర్తయిన తర్వాత, ఇది ఎన్క్రిప్షన్కు అవసరమైన చర్యలను కొనసాగిస్తుంది: అన్ని లాజికల్ డ్రైవ్లను లెక్కించడం, మునుపటి రొటీన్లో లోడ్ చేయబడిన వాటిని అమలు చేయడం, సిస్టమ్లో ఉనికిని బలోపేతం చేయడం, RyukReadMe.html ఫైల్ను విసిరేయడం, ఎన్క్రిప్షన్, అన్ని నెట్వర్క్ డ్రైవ్లను లెక్కించడం , గుర్తించబడిన పరికరాలకు మార్పు మరియు వాటి గుప్తీకరణ.
ఇదంతా లోడ్ చేయడంతో మొదలవుతుంది"cmd.exe"మరియు RSA పబ్లిక్ కీ రికార్డులు.
అన్నం. 46: ఎన్క్రిప్షన్ కోసం సిద్ధమవుతోంది
అప్పుడు అది ఉపయోగించి అన్ని లాజికల్ డ్రైవ్లను పొందుతుంది GetLogicalDrives మరియు అన్ని బ్యాకప్లు, పునరుద్ధరణ పాయింట్లు మరియు సురక్షిత బూట్ మోడ్లను నిలిపివేస్తుంది.
అన్నం. 47: రికవరీ సాధనాలను నిష్క్రియం చేయడం
ఆ తరువాత, మేము పైన చూసినట్లుగా, సిస్టమ్లో దాని ఉనికిని బలపరుస్తుంది మరియు మొదటి ఫైల్ను వ్రాస్తుంది RyukReadMe.html в TEMP.
అన్నం. 48: విమోచన నోటీసును ప్రచురించడం
కింది చిత్రంలో ఇది ఫైల్ను ఎలా సృష్టిస్తుందో, కంటెంట్ను డౌన్లోడ్ చేసి ఎలా వ్రాస్తుందో మీరు చూడవచ్చు:
అన్నం. 49: ఫైల్ కంటెంట్లను లోడ్ చేయడం మరియు వ్రాయడం
అన్ని పరికరాలలో ఒకే విధమైన చర్యలను చేయగలిగేలా, అతను ఉపయోగిస్తాడు
"icacls.exe", మేము పైన చూపినట్లు.
అన్నం. 50: icalcls.exeని ఉపయోగించడం
చివరకు, ఇది “*.exe”, “*.dll” ఫైల్లు, సిస్టమ్ ఫైల్లు మరియు ఎన్క్రిప్టెడ్ వైట్ లిస్ట్ రూపంలో పేర్కొన్న ఇతర స్థానాలకు మినహా ఫైల్లను ఎన్క్రిప్ట్ చేయడం ప్రారంభిస్తుంది. దీన్ని చేయడానికి, ఇది దిగుమతులను ఉపయోగిస్తుంది: CryptAcquireContextW (AES మరియు RSA యొక్క ఉపయోగం పేర్కొనబడిన చోట) CryptDeriveKey, CryptGenKey, CryptDestroyKey మొదలైనవి ఇది WNetEnumResourceWని ఉపయోగించి కనుగొనబడిన నెట్వర్క్ పరికరాలకు దాని పరిధిని విస్తరించడానికి ప్రయత్నిస్తుంది మరియు వాటిని గుప్తీకరించడానికి కూడా ప్రయత్నిస్తుంది.
అన్నం. 51: సిస్టమ్ ఫైల్లను గుప్తీకరించడం
6. దిగుమతులు మరియు సంబంధిత జెండాలు
నమూనా ద్వారా ఉపయోగించే అత్యంత సంబంధిత దిగుమతులు మరియు ఫ్లాగ్లను జాబితా చేసే పట్టిక క్రింద ఉంది:
7. IOC
సూచనలు
- userPublicrun.sct
- Start MenuProgramsStartupstart.bat AppDataRoamingMicrosoftWindowsStart
- MenuProgramsStartupstart.bat
Ryuk ransomwareపై సాంకేతిక నివేదికను యాంటీవైరస్ లేబొరేటరీ PandaLabs నుండి నిపుణులు సంకలనం చేశారు.
8. లింకులు
1. “ఎవెరిస్ వై ప్రిసా రేడియో సుఫ్రెన్ అన్ గ్రేవ్ సిబెరాటాక్ క్యూ సెక్యూస్ట్రా సస్ సిస్టమ్స్.”https://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, Publicada el 04/11/2019.
2. “అన్ వైరస్ డి ఆరిజెన్ రూసో అటాకా ఎ ఇంపార్టెంట్స్ ఎంప్రెసాస్ ఎస్పానోలాస్.” https: //elpais.com/tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, Publicada el 04/11.
3. “VB2019 పేపర్: షినిగామి రివెంజ్: ది లాంగ్ టెయిల్ ఆఫ్ ది ర్యుక్ మాల్వేర్.” https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, Publicada el 11 /12/2019
4. “ర్యుక్తో పెద్ద గేమ్ హంటింగ్: మరో లాభదాయకంbటార్గెటెడ్ రాన్సమ్వేర్.”https://www. crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucraative-targeted-ransomware/, Publicada el 10/01/2019.
5. “VB2019 పేపర్: షినిగామి రివెంజ్: ది లాంగ్ టెయిల్ ఆఫ్ ది ర్యుక్ మాల్వేర్.” https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigamis-revenge-long-tail-r
మూలం: www.habr.com