Ryuk ve Uygulanabilecek SIGMA Kuralları


Ryuk

Genel bakış

Kripto paraların popülerliğinin artması ve takip edilebilirliğinin zor olmasından dolayı kripto para cinsinden fidye isteyen zararlı yazılımların sayısı her geçen gün artmaktadır. Sisteme bulaşıp sistemdeki dosyaları şifreleyip, belirli bir para karşılığı dosyalarınızı tekrardan eski haline getireceğini söyleyen zararlı yazılım türüne fidye yazılımı denir. WannaCry, BadRabbit, Petya bunlardan en çok duyulanlarıdır. Ryuk zararlısı da bir fidye yazılımı olup Hermes fidye yazılımını geliştiren grupla bağlantısı olduğu idda ediliyor.

Özet

Bu analiz, 2018 yılının Noel zamanı aktivitesini arttıran Ryuk fidye yazılımının neler yaptığını anlatmaya yöneliktir. Ryuk, başka bir dropper içerisinde gelip kendini ortaya çıkartıyor. Zararlının amacı sistemdeki dosyaları şifreleyip, kurbandan para almak. Kullanılan MITRE ATT&CK vektörleri ve sürecin genel olarak işleyişi hakkında bilgileri aşağıdaki görsellerde bulabilirsiniz.


Temel Bilgiler

Bu bölümde verilecek olan bilgiler ryuk fidye yazılımına ve onun dropperına aittir.

Ryuk.exe
 
MD5
86c314bc2dc37ba84f7364acd5108c2b
SHA-1
ad20c6fac565f901c82a21b70f9739037eb54818
SHA-256
9b86a50b36aea5cc4cb60573a3660cf799a9ec1f69a3d4572d3dc277361a0ad2
SSDEEP
3072:DOx8sc7Lzr/W2X3hMrP3WeGzZWkIVLjzCQ9tou:y61Tr/W2HarP299QY
Dosya boyutu
174.5 KB
Dosya türü
Win32 EXE


Dropper
MD5
5ac0f050f93f86e69026faea1fbb4450
SHA-1
9709774fde9ec740ad6fed8ed79903296ca9d571
SHA-256
23f8aa94ffb3c08a62735fe7fee5799880a8f322ce1d55ec49a13a3f85312db2
SSDEEP
6144:f5yaXtrA/WSo1rl3ALrlHQpn0BwK3SBDmhYfFQC:fTX6WSofcZ+KCIGD
Dosya boyutu
384 KB
Dosya türü
Win32 EXE

 

Analiz

Ryuk zararlısının dropperı çalışmaya başladıktan sonra rastgele 5 karakterden oluşan bir dosya ismi üretiyor. Sistemin 32 bit veya 64 bit olduğunu kontrol eden zararlı, her iki mimari içinde ayrı dosyayı içerisinde barındırıyor.



Mimari kontrolünden sonra işletim sistemi kontrolü yapıyor. Eğer Windwos Xp veya Windows 200 ise \Documents and Settings\Default User\ klasörüne değilse \users\Public klasörüne kaydediyor.
 Dropper görevini bitirmeden önce ShellExecuteW komutunu kullanarak bıraktığı dosyayı (gerçek Ryuk dosyasını) çalıştırıyor.
 
Ryuk çalıştıktan sonra bazı işlemleri ve servisleri taskkill ve net stop komutlarını kullanarak sonlandırıyor. Bu servislerin büyük çoğunlukla antivirüs ve yedek alma servisleri olduğunu görüyoruz.




Servis işlemleriyle beraber ilginç olarak debug bilgisini buluyoruz:


Ryuk kalıcılık sağlamak için klasik ve basit bir teknik olan Run registry’sine kendini aşağıdaki komutlar ekliyor
cmd.exe /C REG ADD "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "svchos" /t REG_SZ /d "%PUBLIC%\PbDRp.exe" /f ”

 
Kalıcılık sağlandıktan sonra, içerisindeki kodu başka işleme yazmak için arayışa giriyor. Bunun için explorer.exe, csrss.exe ve lsaas.exe dışında ki bütün işlemleri deniyor. Kodunu enjekte etmek için gayet basit bir yol izliyor. OpenProcess ile işleme bakıp, VirtualAllocEx ile kendine yer ayırıp, kodu yazmaya çalışıyor.
Enjekte edilen kodun asıl işlerin yapıldığı kod parçası. İlk başta basit bir xor mekanizması kullanarak API kullanımlarını anlamlı hal getiriyor. Ondan sonra sadece Admin kullanıcısının okuyabileceği bir dosya oluşturuyor. Eğer bu dosyayı oluşturmada hata alırsa, 5 kere daha deneyip kendini bitiriyor. Eğer hata almazsa devam ediyor.
Ryuk RSA algoritmasını kullanarak anahtarları oluşturduktan sonra AES-256 şifreleme algoritması ile dosyaları şifrelemeye başlıyor. Bunun için bütün klasörleri, network yapılarını, harici diskleri teker teker gezerek şifrelemeyi gerçekleştiriyor. Her klasörde 1 adet RyukReadMe.txt isminde bir dosya bırakıyor. Bu dosya şu şekildedir:




Fakat internet tarayıclarının ve bazı sistem dosyalarını şifrelemeden geçtiğini, bunun nedeninin ise fidyeyi vermek isteyen kullanıcıya bir engel çıkarmak istememesidir.
En son aşamada şifrelemede kullandığı anahtarı yok edip, shadow dosyaları ve yedekleri (backup) de silerek işini bitiriyor.

Öneriler

  • Bilinçlenmek en büyük önlemlerden biridir. Gündemi takip edebilecek kadar bilgi çok şey değiştirebilir.
  • Bilmediğiniz kaynaklardan gelen dosyalara karşı dikkatli olun.
  • Fidye yazılımlarının etkilerini azaltmak için yapılabilecek en iyi önlem sürekli yedek almaktır.
  • Güvenmediğiniz dosyaları çevrimiçi araçlarla (VirusTotal, hybrid-analysis vb.) kolayca analiz edip, ondan sonra çalıştırabilirsiniz.
  • Güvenilir antivirüs programları kullanabilirsiniz.
  • Güncellemeri takip edip, sisteminize kurmalısınız.

Ryuk’un Tespiti İçin Uygulanabilecek SIGMA Kuralları

title: Ryuk Ransomware
description: Detects Ryuk Ransomware
references:
https://www.hybrid-analysis.com/sample/5d92914acdfb551c237866cc4cce6c80aeeeb695e52beecd2613694302c62271/5b7c0aa57ca3e169f53c137b
https://research.checkpoint.com/ryuk-ransomware-targeted-campaign-break/
author: Burak ÇARIKÇI
logsource:
product: windows
service: sysmon
detection:
selection1:
EventID: 13
TargetObject:
- '\SOFTWARE\Microsoft\Windows\CurrentVersion\Run'
EventType: 'SetValue'
selection2:
EventID: 1
CommandLine:
- 'REG ADD "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "svchos" /t REG_SZ /d "C:\*.exe" /f'
- 'stop *'
- 'net stop *'
- 'taskkill *'
- '*RyukReadMe*'
selection3:
EventID:11
TargetObject:
- '*RyukReadMe*'
condition: (selection1 and selection2) or selection
fields:
- CommandLine
- ParentCommandLine
- TargetObject
- EventType
level: critical
status: experimental

Kaynakça

  1. Ryuk Ransomware: A Targeted Campaign Break-Down: https://research.checkpoint.com/ryuk-ransomware-targeted-campaign-break/
  2. Hybrid-Analysis Ryuk.exe Analiz Raporu: https://www.hybrid-analysis.com/sample/5d92914acdfb551c237866cc4cce6c80aeeeb695e52beecd2613694302c62271/5b7c0aa57ca3e169f53c137b
  3. Hybrid-Analysis Dropper.exe Analiz Raporu: https://www.hybrid-analysis.com/sample/23f8aa94ffb3c08a62735fe7fee5799880a8f322ce1d55ec49a13a3f85312db2?environmentId=100
  4. VirusTotal Ryuk.exe Analiz Raporu: https://www.virustotal.com/#/file/9b86a50b36aea5cc4cb60573a3660cf799a9ec1f69a3d4572d3dc277361a0ad2/detection
  5. VirusTotal Dropper.exe Analiz Raporu: https://www.virustotal.com/#/file/23f8aa94ffb3c08a62735fe7fee5799880a8f322ce1d55ec49a13a3f85312db2


 Burak ÇARIKÇI














Yorumlar

Bu blogdaki popüler yayınlar

1. Geleneksel Stajyer CTF Soru ve Cevapları

2. Geleneksel Stajyer CTF Soru ve Cevapları - 2017

Saldırı Tespit Sistemlerinde Derin Öğrenme Yaklaşımı - 2