Ryuk 勒索软件如何攻击企业

Ryuk 是过去几年最著名的勒索软件之一。 自2018年夏天首次出现以来，它已经收集了 令人印象深刻的受害者名单尤其是商业环境，是其攻击的主要目标。

1. 一般信息

本文档包含对 Ryuk 勒索软件变体以及负责将恶意软件加载到系统中的加载程序的分析。

Ryuk 勒索软件首次出现于 2018 年夏天。 Ryuk 与其他勒索软件的区别之一是它的目标是攻击企业环境。

2019 年中期，网络犯罪团伙使用该勒索软件攻击了大量西班牙公司。

米。 1：摘自 El Confidential 关于 Ryuk 勒索软件攻击的内容 [1]

米。 2：摘自 El País 关于使用 Ryuk 勒索软件进行攻击的内容 [2]
今年以来，Ryuk 已经攻击了各国的大量公司。 如下图所示，德国、中国、阿尔及利亚和印度受到的打击最为严重。

通过对比网络攻击数量我们可以看到，Ryuk影响了数百万用户，泄露了大量数据，造成了严重的经济损失。

米。 图 3：Ryuk 全球活动插图。

米。 4：受Ryuk影响最严重的16个国家

米。 5：遭受 Ryuk 勒索软件攻击的用户数量（单位：百万）

根据此类威胁通常的操作原理，该勒索软件在加密完成后，会向受害者显示勒索通知，必须以比特币支付至指定地址才能恢复对加密文件的访问。

该恶意软件自首次引入以来已发生变化。
本文档中分析的此威胁的变体是在 2020 年 XNUMX 月的一次攻击尝试中发现的。

由于其复杂性，这种恶意软件通常归因于有组织的网络犯罪团体，也称为 APT 团体。

Ryuk 的部分代码与另一个著名勒索软件 Hermes 的代码和结构明显相似，它们共享许多相同的功能。 这就是为什么 Ryuk 最初与朝鲜组织 Lazarus 有联系，该组织当时被怀疑是 Hermes 勒索软件的幕后黑手。

CrowdStrike 的 Falcon X 服务随后指出，Ryuk 实际上是由 WIZARD SPIDER 组织创建的 [4]。

有一些证据支持这一假设。 首先，该勒索软件在exploit.in网站上发布广告，该网站是俄罗斯著名的恶意软件市场，此前曾与一些俄罗斯APT组织有关联。
这一事实排除了 Ryuk 可能是由 Lazarus APT 组织开发的理论，因为它不符合该集团的运作方式。

此外，Ryuk 被宣传为勒索软件，无法在俄罗斯、乌克兰和白俄罗斯系统上运行。 此行为是由 Ryuk 某些版本中的一项功能决定的，该功能会检查勒索软件运行的系统的语言，如果系统使用俄语、乌克兰语或白俄罗斯语，则阻止其运行。 最后，对 WIZARD SPIDER 团队入侵的机器进行的专家分析揭示了一些“工件”，据称这些“工件”被用作 Hermes 勒索软件的变体，用于开发 Ryuk。

另一方面，专家 Gabriela Nicolao 和 Luciano Martins 认为该勒索软件可能是由 APT 组织 CryptoTech 开发的 [5]。
这是因为，在 Ryuk 出现前几个月，该组织就在同一网站的论坛上发布了他们开发了新版本 Hermes 勒索软件的信息。

一些论坛用户质疑 CryptoTech 是否真的创建了 Ryuk。 该组织随后为自己辩护，并表示有证据表明他们已经开发了 100% 的勒索软件。

2. 特点

我们从引导加载程序开始，它的工作是识别其所在的系统，以便启动“正确”版本的 Ryuk 勒索软件。
引导加载程序哈希如下：

MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469

该下载器的特点之一是它不包含任何元数据，即该恶意软件的创建者未在其中包含任何信息。

有时它们包含错误的数据来欺骗用户认为他们正在运行合法的应用程序。 然而，正如我们稍后将看到的，如果感染不涉及用户交互（如该勒索软件的情况），那么攻击者认为没有必要使用元数据。

米。 6：元数据示例

该示例以 32 位格式编译，因此可以在 32 位和 64 位系统上运行。

3. 穿透向量

下载并运行Ryuk的样本通过远程连接进入我们的系统，并通过初步的RDP攻击获取访问参数。

米。 7：攻击寄存器

攻击者成功远程登录系统。 之后，他用我们的示例创建了一个可执行文件。
该可执行文件在运行之前被防病毒解决方案阻止。

米。 8：图案锁

米。 9：图案锁

当恶意文件被阻止时，攻击者尝试下载可执行文件的加密版本，该文件也被阻止。

米。 10：攻击者尝试运行的样本集

最后，他尝试通过加密控制台下载另一个恶意文件
PowerShell 绕过防病毒保护。 但他也被挡住了。

米。 11：恶意内容被阻止的 PowerShell


米。 12：恶意内容被阻止的 PowerShell

4.装载机

执行时，会将 ReadMe 文件写入该文件夹 ％TEMP％，这是 Ryuk 的典型特征。 该文件是一封勒索信，其中包含 protonmail 域中的电子邮件地址，这在该恶意软件家族中很常见： [电子邮件保护]

米。 13: 赎金要求

当引导加载程序运行时，您可以看到它启动了几个具有随机名称的可执行文件。 它们存储在隐藏文件夹中 PUBLIC，但如果该选项在操作系统中未激活 “显示隐藏的文件和文件夹”，那么它们将保持隐藏状态。 此外，这些文件是 64 位的，与 32 位的父文件不同。

米。 14：样本启动的可执行文件

如上图所示，Ryuk 启动 icacls.exe，它将用于修改所有 ACL（访问控制列表），从而确保标志的访问和修改。

它可以让所有用户完全访问设备上的所有文件 (/T)，无论错误如何 (/C)，并且不会显示任何消息 (/Q)。

米。 15：样本启动的icacls.exe执行参数

请务必注意，Ryuk 会检查您正在运行的 Windows 版本。 为此他
使用执行版本检查 获取版本ExW，其中检查标志的值 lp版本信息指示当前 Windows 版本是否比 Windows XP中.

根据您运行的版本是否高于 Windows XP，引导加载程序将写入本地用户文件夹 - 在本例中为该文件夹 ％民众％.

米。 17：检查操作系统版本

正在写入的文件是 Ryuk。 然后它运行它，并将其自己的地址作为参数传递。

米。 18：通过 ShellExecute 执行 Ryuk

Ryuk 做的第一件事是接收输入参数。 这次有两个输入参数（可执行文件本身和释放器地址）用于删除其自身的痕迹。

米。 19：创建流程

您还可以看到，一旦它运行了可执行文件，它就会删除自身，从而在执行它的文件夹中不留下任何痕迹。

米。 20：删除文件

5. 琉克

5.1 存在
Ryuk 与其他恶意软件一样，会尝试尽可能长时间地停留在系统上。 如上所示，实现这一目标的一种方法是秘密创建并运行可执行文件。 为此，最常见的做法是更改注册表项 当前版本运行.
在这种情况下，您可以看到为此目的要启动的第一个文件 大众jRF.exe
（文件名随机生成）启动 CMD.EXE.

米。 21：执行VWjRF.exe

然后输入命令 跑 以名字“SVCHOS因此，如果您想随时检查注册表项，则很容易错过此更改，因为该名称与 svchost 相似。借助此项，Ryuk 确保其在系统中的存在。如果系统没有尚未被感染，那么当您重新启动系统时，可执行文件将重试。

米。 22：该示例确保注册表项中存在

我们还可以看到该可执行文件停止了两项服务：
"音频端点生成器”，顾名思义，对应系统音频，

米。 23：示例停止系统音频服务

и 萨姆斯，这是一项帐户管理服务。 停止这两个服务是Ryuk的一个特点。 在这种情况下，如果系统连接到 SIEM 系统，勒索软件会尝试停止发送到 SIEM 任何警告。 通过这种方式，他可以保护他的下一步，因为一些 SAM 服务在执行 Ryuk 后将无法正常开始工作。

米。 24：样本停止 Samss 服务

5.2 特权

一般来说，Ryuk 首先在网络内横向移动，或者由其他恶意软件启动，例如 Emotet или Trickbot，在权限升级的情况下，会将这些提升的权限转移给勒索软件。

事先，作为实施过程的前奏，我们看到他执行该过程 冒充自己，这意味着访问令牌的安全内容将被传递到流，在流中将立即使用 获取当前线程.

米。 25：调用 ImpersonateSelf

然后我们看到它将访问令牌与线程相关联。 我们还看到其中一个标志是 期望访问，可用于控制线程将拥有的访问权限。 在这种情况下，edx 将收到的值应该是 TOKEN_ALL_ACESS 或以其他方式 - TOKEN_WRITE.

米。 26：创建流令牌

然后他会使用 调试权限 并会调用以获取线程的 Debug 权限，从而导致 PROCESS_ALL_ACCESS，他将能够访问任何所需的进程。 现在，考虑到加密器已经准备好了流，剩下的就是进入最后阶段。

米。 27：调用SeDebugPrivilege和权限提升函数

一方面，我们有 LookupPrivilegeValueW，它为我们提供了有关我们想要增加的权限的必要信息。

米。 28：请求有关权限升级的权限信息

另一方面，我们有 AdjustTokenPrivileges，这使我们能够获得我们的流的必要权利。 在这种情况下，最重要的是 新州，其标志将授予特权。

米。 29：设置令牌的权限

5.3 实施

在本节中，我们将展示该示例如何执行本报告前面提到的实施过程。

实施过程以及升级的主要目标是获得 卷影副本。 为此，他需要使用权限高于本地用户的线程。 一旦获得如此提升的权限，它将删除副本并对其他进程进行更改，以便无法返回到操作系统中较早的还原点。

正如此类恶意软件的典型特征，它使用 CreateToolHelp32Snapshot因此它会拍摄当前正在运行的进程的快照并尝试使用以下命令访问这些进程 OpenProcess。 一旦获得对流程的访问权限，它还会打开一个带有其信息的令牌来获取流程参数。

米。 30：从计算机检索进程

我们可以动态地看到它如何使用CreateToolhelp140002Snapshot在例程9D32C中获取正在运行的进程列表。 收到它们后，他浏览列表，尝试使用 OpenProcess 逐个打开进程，直到成功。 在这种情况下，他能够打开的第一个进程是 “任务主机.exe”.

米。 31：动态执行过程来获取进程

我们可以看到它随后读取了进程token信息，因此调用 OpenProcessToken 带参数“20008"

米。 32：读取进程令牌信息

它还检查将要注入的进程是否不是 CSRSS.EXE, 资源管理器.exe、lsaas.exe 或者他拥有一系列权利 新界权威.

米。 33：排除的进程

我们可以动态地看到它如何首先使用进程令牌信息执行检查 140002D9C 为了查明其权限被用来执行进程的帐户是否是一个帐户 北领地当局.

米。 34：NT 当局检查

后来，在程序之外，他检查这不是 csrss.exe、资源管理器.exe или lsaas.exe.

米。 35：NT 当局检查

一旦他拍摄了进程的快照、打开了进程并验证了没有排除任何进程，他就准备好将要注入的进程写入内存。

为此，它首先在内存中保留一个区域（虚拟分配器），写入（写进程内存）并创建一个线程（远程线程）。 为了使用这些功能，它使用所选进程的 PID，该 PID 是之前使用以下方法获得的 CreateToolhelp32Snapshot.

米。 36: 嵌入代码

这里我们可以动态观察它是如何利用进程PID来调用函数的 虚拟分配Ex。

米。 37：调用VirtualAllocEx

5.4 加密
在本节中，我们将了解此示例的加密部分。 在下图中，您可以看到两个名为“LoadLibrary_EncodeString“和”编码函数”，它们负责执行加密过程。

米。 38：加密程序

一开始我们可以看到它如何加载一个字符串，该字符串稍后将用于反混淆所需的所有内容：导入、DLL、命令、文件和 CSP。

米。 39：反混淆电路

下图显示了它在寄存器 R4 中反混淆的第一个导入。 调用LoadLibrary。 稍后将使用它来加载所需的 DLL。 我们还可以在寄存器 R12 中看到另一行，它与前一行一起用于执行反混淆。

米。 40：动态反混淆

它继续下载稍后运行的命令以禁用备份、还原点和安全启动模式。

米。 41：加载命令

然后它加载将放置 3 个文件的位置： Windows.bat、运行.sct и 启动文件.

米。 42: 文件位置

这3个文件用于检查每个位置拥有的权限。 如果所需的权限不可用，Ryuk 将停止执行。

它继续加载与三个文件相对应的行。 第一的， DECRYPT_INFORMATION.html，包含恢复文件所需的信息。 第二， PUBLIC，包含 RSA 公钥。

米。 43：行解密信息.html

第三， UNIQUE_ID_DO_NOT_REMOVE，包含将在下一个例程中用于执行加密的加密密钥。

米。 44：线路唯一 ID 请勿删除

最后，它会下载所需的库以及所需的导入和 CSP（微软增强型 RSA и AES 加密提供商).

米。 45: 加载库

所有反混淆完成后，它继续执行加密所需的操作：枚举所有逻辑驱动器、执行上一个例程中加载的内容、加强在系统中的存在、抛出 RyukReadMe.html 文件、加密、枚举所有网络驱动器，转换到检测到的设备及其加密。
一切从加载开始”CMD.EXE”和 RSA 公钥记录。

米。 46：准备加密

然后它使用所有逻辑驱动器 GetLogicalDrives 并禁用所有备份、还原点和安全启动模式。

米。 47：停用恢复工具

之后，它会加强其在系统中的存在，如我们上面所见，并写入第一个文件 RyukReadMe.html в TEMP.

米。 48：发布勒索通知

在下图中，您可以看到它如何创建文件、下载内容并写入：

米。 49：加载和写入文件内容

为了能够在所有设备上执行相同的操作，他使用
"icacls.exe”，如我们上面所示。

米。 50：使用icalcls.exe

最后，它开始加密除“*.exe”、“*.dll”文件、系统文件和以加密白名单形式指定的其他位置之外的文件。 为此，它使用导入： CryptAcquireContextW （其中指定使用 AES 和 RSA）， CryptDeriveKey、CryptGenKey, 地穴销毁钥匙 ETC。 它还尝试使用 WNetEnumResourceW 将其范围扩展到发现的网络设备，然后对其进行加密。

米。 51：加密系统文件

6. 导入和相应的标志

下表列出了示例使用的最相关的导入和标志：

7. 国际奥委会

引用

• usersPublicrun.sct
• 开始菜单程序Startupstart.bat AppDataRoamingMicrosoftWindowsStart
• 菜单程序启动start.bat

关于 Ryuk 勒索软件的技术报告是由反病毒实验室 PandaLabs 的专家编写的。

8. 链接

1.“Everis y Prisa Radio sufren un grand ciberataque que secuestra sus sistemas。”https://www. elconfidential.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/，Publicada el 04/11/2019。

2.“联合国病毒起源于西班牙，是重要的西班牙企业。” https://elpais.com/tecnologia/2019/11/04/actualidad/1572897654_ 251312.html，Publicada el 04/11/2019。

3.“VB2019 论文：Shinigami 的复仇：Ryuk 恶意软件的长尾。”https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/，Publicada el 11 /12/2019

4.“用 Ryuk 狩猎大型游戏：另一种有利可图的针对性勒索软件。”https://www. crowstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/，Publicada el 10/01/2019。

5.“VB2019论文：死神的复仇：Ryuk恶意软件的长尾。”https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigamis-revenge-long-tail-r

来源： habr.com