针对Ryuk勒索软件的分析调查Part1

luochicun Web安全 2018年9月13日发布

导语:近日,安全公司CheckPoint在一份报告中,介绍了一种新型的勒索软件——Ryuk,根据分析,该勒索软件背后的团队已经在短短两周内获得了价值超过64万美元的比特币。

近日,安全公司CheckPoint在一份报告中,介绍了一种新型的勒索软件——Ryuk,根据分析,该勒索软件背后的团队已经在短短两周内获得了价值超过64万美元的比特币。

CheckPoint指出,此次类型的攻击比此前的勒索软件示例更具针对性,从开发阶段到加密过程,直到要求赎金,Ryuk的目标是那些有能力支付大量资金以使其网站重回正轨的企业。一旦被感染,这些公司就必须在两周内支付勒索者提出的比特币需求,否则受感染的文件将被自动删除。并且,赎金会因为勒索被忽视而每天增加。CheckPoint表示,可能会有更多的企业成为Ryuk攻击的受害者。

针对Ryuk勒索软件的分析

在过去的两周里,Ryuk疯狂的袭击了全球各个组织。不过到目前为止,该攻击针对的目标都是资金雄厚的企业,同时对每家受感染企业的数百台PC、存储和数据中心进行了感染。

虽然目前,Ryuk的技术含量相对较低,但它确实已经成功攻击了三家美国大型企业和全球其他大型组织。为此,一些组织为了取回他们的文件已经支付了巨额赎金。虽然赎金数量也会根据因受害者而异(范围在15 比特币到50 比特币之间),但累计起来,其幕后黑手已经获得了价值超过64万美元的比特币。

奇怪的是,在分析过程中,CheckPoint发现Ryuk的攻击活动及其内部的一些运行原理与HERMES勒索软件类似,目前它通常被认为是臭名昭着的朝鲜APT组织Lazarus开发的。该组织长期对韩国、美国进行渗透攻击,此外还对全球的金融机构进行攻击,堪称全球金融机构的最大威胁。该组织最早的攻击活动可以追溯到2007年。据国外安全公司的调查显示,Lazarus组织与2014年索尼影业遭黑客攻击事件,2016年孟加拉国银行数据泄露事件,2017年美国国防承包商、美国能源部门及英国、韩国等比特币交易所被攻击等事件有关。而2017年席卷全球的最臭名昭著的安全事件“Wannacry”勒索病毒也被怀疑是该组织所为。所以根据种种迹象,CheckPoint相信,Ryuk的幕后团队很可能就是Lazarus。不过也有可能是其他攻击团队,获得了HERMES的源代码。总之Ryuk与HERMES是脱不了干系的。

在下面的分析中,研究人员复盘了Ryuk参与的一些具有高度针对性的攻击,并将它与HERMES勒索软件进行了详细比较。研究人员还讨论了Ryuk在获取赎金后的销赃行为,研究人员通过追踪资金的往来痕迹,确认了Ryuk的开发者是如何将赎金钱包进行拆分和转移,来掩盖他们收到的付款痕迹。

Ryuk概述

与常见的勒索软件不同,Ryuk是通过大规模垃圾邮件活动和漏洞利用工具包进行传播的,专门用于自定义攻击。实际上,其自定义后的勒索方案是专门为小规模操作而构建的,因为Ryuk的攻击目标只针对被感染目标的关键资产和资源。所以,Ryuk的感染和传播过程都是由攻击者手动执行的。

当然,这意味着攻击者需要进行广泛的网络映射、黑客攻击和凭证收集,并在每次攻击之前进行。

两种版本的Ryuk的赎金说明

虽然在收集的样本中没有发现差异,但攻击者在向受害者发送赎金说明时,却呈现出了两种版本。一个是篇幅较长、措辞得体、优美的赎金说明,该版本的说明直接带来了50比特币(约32万美元)的赎金。而另一个则是篇幅较短、措辞直白严厉的赎金说明,该版本的说明带来了22.4万美元的赎金,其中赎金从15-35比特币不等。据分析,这可能意味着两种类型的攻击。

1.png

措辞得体、优美的赎金要求

2.png

篇幅较短、措辞直白严厉的赎金说明

Ryuk和HERMES的详细比较

HERMES勒索软件于2017年10月首次被捕获,准确地说,是在它攻击台湾远东国际银行(FEIB)的时候被发现的。根据分析,那次攻击就是朝鲜APT组织Lazarus发起的,在这次复杂的SWIFT攻击中,有6000万美元被盗,不过后来又被追回。至此之后,HERMES就被定义为专门针对网上银行的勒索软件了。

然而,毫无疑问,就Ryuk而言,过去两周内发生的攻击绝不仅仅是一场小打小闹,而是其未来攻击的铺垫。事实上,由于其幕后团队已获取的赎金相当诱人,所以Ryuk的攻击绝不会就此作罢。

研究人员对Ryuk和HERMES的技术特点进行了比较后,发现编写Ryuk的人要么拥有HERMES勒索软件的源代码,要么就是Lazarus本身。

底层代码的比较

在检查Ryuk的代码时,一个有趣的发现是它的加密逻辑类似于之前Malwarebytes概述的HERMES勒索软件。

实际上,如果研究人员比较加密单个文件的函数,就会发现它们的结构有很多相似之处,如下面的调用流程图所示。

3.png

Ryuk和Hermes中加密函数的调用流程图

事实上,似乎Ryuk的开发者甚至都懒得更改加密文件中的标记,因为用于生成、放置和验证该标记的代码是用来确定文件是否已经加密,这些标记在这两种恶意软件中都是相同的。

4.png

Ryuk和Hermes的标记生成

5.png

Ryuk和Hermes的标记检查

另外,调用上述例程的函数在两种情况下都执行非常类似的操作。例如,两者都将类似的文件夹列入白名单(例如“Ahnlab”,“Microsoft”,“$Recycle.Bi”等),以避免对存储在其中的文件进行加密。此外,两者都在同一路径中编写了一个名为“window.bat”的批处理脚本,并使用类似的脚本删除shadow volume和备份文件。同样,在这两种情况下,都有文件被拖到磁盘(“PUBLIC”和“UNIQUE_ID_DO_NOT_REMOVE”),它们在名称和用途上类似。

还应该注意的是,所有上述执行逻辑都保存在Ryuk的32位和64位版本中,研究人员都存有各自的样本(见附录)。如果代码跨越了不同体系结构,还有如此的相似性,只能说明底层源代码相同。

技术分析

DROPPER木马程序

Ryuk的DROPPER木马程序简单明了。它包含勒索软件的32位和64位模块,在dropper的二进制文件中会被连续地嵌入。在执行开始时,dropper使用srand函数和GetTickCount函数(用于生成种子)生成一个5位字母的随机文件名。

然后,根据受害者计算机上的Windows版本,将上述有效载荷文件写入一个目录。如果是windowsxp或windows2000版本,载荷文件将创建在“\Documents and Settings\Default User\”目录中,否则将将创建在“\users\Public\” 目录中。

如果文件创建失败,则dropper会尝试使用自己的名称将其写入自己的目录中,并将字母“V”作为名称的最后一个字符,以方便区分。

文件创建成功后,dropper会检查进程是否在Wow64下运行,并根据检查结果写入合适的有效载荷(32位或64位)。

最后,在执行终止之前,dropper会调用ShellExecuteW来执行刚刚编写的Ryuk勒索软件载荷。

二进制进程

在执行二进制进程时,Ryuk勒索软件先进行几秒钟的睡眠,然后检查它是否以参数执行。如果以参数执行,二进制进程就会被用作DeleteFileW删除文件的路径。基于恶意软件的dropper代码,此参数将是dropper本身的路径。接下来,Ryuk将在预定义的服务和进程名称列表上执行taskkill和和net stop命令,来终止40多个进程并停止180多个服务,而这些服务和进程主要属于杀毒软件、数据库、备份和文档编辑软件。

6.png

被终止的进程和服务的部分列表

持久性攻击和枚举进程

为了确保在重新启动后恶意软件能够继续执行,Ryuk使用了一种直接持久性攻击技术,并使用以下命令将自身写入Run注册表项:

‘reg add /C REG ADD “HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run” /v “svchos” /t REG_SZ /d’

然后它将尝试调用SeDebugPrivilege权限,以便在后续操作中具有扩展的功能,并通过形成一系列结构来为后来的注入做准备。数组中的每个条目都表示系统中正在运行的进程,并包含进程的名称、PID和表示其所有者的帐户类型的编号(如下图所示)。在将上述进程列表放在一起后,Ryuk将进行一次遍历并尝试将代码注入每个遍历过的进程的地址空间,不过“explorer.exe”,“csrss.exe”,“lsaas.exe”或不是由NT授权运行的进程除外。

7.png

表示系统中正在运行的进程的数组条目

在下一篇文章中,我会接着介绍Ryuk和Hermes的其他技术相似之处(注入方法、加密方案),并对幕后团队的销赃行为进行分析,感兴趣的读者可以继续关注我。

本文翻译自:https://research.checkpoint.com/ryuk-ransomware-targeted-campaign-break/如若转载,请注明原文地址: http://www.4hou.com/web/13205.html
点赞 10
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论