Ryuk ve Uygulanabilecek SIGMA Kuralları


Ryuk

Genel bakış

Kripto paraların popülerliğinin artması ve takip edilebilirliğinin zor olmasından dolayı kripto para cinsinden fidye isteyen zararlı yazılımların sayısı her geçen gün artmaktadır. Sisteme bulaşıp sistemdeki dosyaları şifreleyip, belirli bir para karşılığı dosyalarınızı tekrardan eski haline getireceğini söyleyen zararlı yazılım türüne fidye yazılımı denir. WannaCry, BadRabbit, Petya bunlardan en çok duyulanlarıdır. Ryuk zararlısı da bir fidye yazılımı olup Hermes fidye yazılımını geliştiren grupla bağlantısı olduğu idda ediliyor.

Özet

Bu analiz, 2018 yılının Noel zamanı aktivitesini arttıran Ryuk fidye yazılımının neler yaptığını anlatmaya yöneliktir. Ryuk, başka bir dropper içerisinde gelip kendini ortaya çıkartıyor. Zararlının amacı sistemdeki dosyaları şifreleyip, kurbandan para almak. Kullanılan MITRE ATT&CK vektörleri ve sürecin genel olarak işleyişi hakkında bilgileri aşağıdaki görsellerde bulabilirsiniz.


Temel Bilgiler

Bu bölümde verilecek olan bilgiler ryuk fidye yazılımına ve onun dropperına aittir.

Ryuk.exe
 
MD5
86c314bc2dc37ba84f7364acd5108c2b
SHA-1
ad20c6fac565f901c82a21b70f9739037eb54818
SHA-256
9b86a50b36aea5cc4cb60573a3660cf799a9ec1f69a3d4572d3dc277361a0ad2
SSDEEP
3072:DOx8sc7Lzr/W2X3hMrP3WeGzZWkIVLjzCQ9tou:y61Tr/W2HarP299QY
Dosya boyutu
174.5 KB
Dosya türü
Win32 EXE


Dropper
MD5
5ac0f050f93f86e69026faea1fbb4450
SHA-1
9709774fde9ec740ad6fed8ed79903296ca9d571
SHA-256
23f8aa94ffb3c08a62735fe7fee5799880a8f322ce1d55ec49a13a3f85312db2
SSDEEP
6144:f5yaXtrA/WSo1rl3ALrlHQpn0BwK3SBDmhYfFQC:fTX6WSofcZ+KCIGD
Dosya boyutu
384 KB
Dosya türü
Win32 EXE

 

Analiz

Ryuk zararlısının dropperı çalışmaya başladıktan sonra rastgele 5 karakterden oluşan bir dosya ismi üretiyor. Sistemin 32 bit veya 64 bit olduğunu kontrol eden zararlı, her iki mimari içinde ayrı dosyayı içerisinde barındırıyor.



Mimari kontrolünden sonra işletim sistemi kontrolü yapıyor. Eğer Windwos Xp veya Windows 200 ise \Documents and Settings\Default User\ klasörüne değilse \users\Public klasörüne kaydediyor.
 Dropper görevini bitirmeden önce ShellExecuteW komutunu kullanarak bıraktığı dosyayı (gerçek Ryuk dosyasını) çalıştırıyor.
 
Ryuk çalıştıktan sonra bazı işlemleri ve servisleri taskkill ve net stop komutlarını kullanarak sonlandırıyor. Bu servislerin büyük çoğunlukla antivirüs ve yedek alma servisleri olduğunu görüyoruz.




Servis işlemleriyle beraber ilginç olarak debug bilgisini buluyoruz:


Ryuk kalıcılık sağlamak için klasik ve basit bir teknik olan Run registry’sine kendini aşağıdaki komutlar ekliyor
cmd.exe /C REG ADD "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "svchos" /t REG_SZ /d "%PUBLIC%\PbDRp.exe" /f ”

 
Kalıcılık sağlandıktan sonra, içerisindeki kodu başka işleme yazmak için arayışa giriyor. Bunun için explorer.exe, csrss.exe ve lsaas.exe dışında ki bütün işlemleri deniyor. Kodunu enjekte etmek için gayet basit bir yol izliyor. OpenProcess ile işleme bakıp, VirtualAllocEx ile kendine yer ayırıp, kodu yazmaya çalışıyor.
Enjekte edilen kodun asıl işlerin yapıldığı kod parçası. İlk başta basit bir xor mekanizması kullanarak API kullanımlarını anlamlı hal getiriyor. Ondan sonra sadece Admin kullanıcısının okuyabileceği bir dosya oluşturuyor. Eğer bu dosyayı oluşturmada hata alırsa, 5 kere daha deneyip kendini bitiriyor. Eğer hata almazsa devam ediyor.
Ryuk RSA algoritmasını kullanarak anahtarları oluşturduktan sonra AES-256 şifreleme algoritması ile dosyaları şifrelemeye başlıyor. Bunun için bütün klasörleri, network yapılarını, harici diskleri teker teker gezerek şifrelemeyi gerçekleştiriyor. Her klasörde 1 adet RyukReadMe.txt isminde bir dosya bırakıyor. Bu dosya şu şekildedir:




Fakat internet tarayıclarının ve bazı sistem dosyalarını şifrelemeden geçtiğini, bunun nedeninin ise fidyeyi vermek isteyen kullanıcıya bir engel çıkarmak istememesidir.
En son aşamada şifrelemede kullandığı anahtarı yok edip, shadow dosyaları ve yedekleri (backup) de silerek işini bitiriyor.

Öneriler

  • Bilinçlenmek en büyük önlemlerden biridir. Gündemi takip edebilecek kadar bilgi çok şey değiştirebilir.
  • Bilmediğiniz kaynaklardan gelen dosyalara karşı dikkatli olun.
  • Fidye yazılımlarının etkilerini azaltmak için yapılabilecek en iyi önlem sürekli yedek almaktır.
  • Güvenmediğiniz dosyaları çevrimiçi araçlarla (VirusTotal, hybrid-analysis vb.) kolayca analiz edip, ondan sonra çalıştırabilirsiniz.
  • Güvenilir antivirüs programları kullanabilirsiniz.
  • Güncellemeri takip edip, sisteminize kurmalısınız.

Ryuk’un Tespiti İçin Uygulanabilecek SIGMA Kuralları

title: Ryuk Ransomware
description: Detects Ryuk Ransomware
references:
https://www.hybrid-analysis.com/sample/5d92914acdfb551c237866cc4cce6c80aeeeb695e52beecd2613694302c62271/5b7c0aa57ca3e169f53c137b
https://research.checkpoint.com/ryuk-ransomware-targeted-campaign-break/
author: Burak ÇARIKÇI
logsource:
product: windows
service: sysmon
detection:
selection1:
EventID: 13
TargetObject:
- '\SOFTWARE\Microsoft\Windows\CurrentVersion\Run'
EventType: 'SetValue'
selection2:
EventID: 1
CommandLine:
- 'REG ADD "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "svchos" /t REG_SZ /d "C:\*.exe" /f'
- 'stop *'
- 'net stop *'
- 'taskkill *'
- '*RyukReadMe*'
selection3:
EventID:11
TargetObject:
- '*RyukReadMe*'
condition: (selection1 and selection2) or selection
fields:
- CommandLine
- ParentCommandLine
- TargetObject
- EventType
level: critical
status: experimental

Kaynakça

  1. Ryuk Ransomware: A Targeted Campaign Break-Down: https://research.checkpoint.com/ryuk-ransomware-targeted-campaign-break/
  2. Hybrid-Analysis Ryuk.exe Analiz Raporu: https://www.hybrid-analysis.com/sample/5d92914acdfb551c237866cc4cce6c80aeeeb695e52beecd2613694302c62271/5b7c0aa57ca3e169f53c137b
  3. Hybrid-Analysis Dropper.exe Analiz Raporu: https://www.hybrid-analysis.com/sample/23f8aa94ffb3c08a62735fe7fee5799880a8f322ce1d55ec49a13a3f85312db2?environmentId=100
  4. VirusTotal Ryuk.exe Analiz Raporu: https://www.virustotal.com/#/file/9b86a50b36aea5cc4cb60573a3660cf799a9ec1f69a3d4572d3dc277361a0ad2/detection
  5. VirusTotal Dropper.exe Analiz Raporu: https://www.virustotal.com/#/file/23f8aa94ffb3c08a62735fe7fee5799880a8f322ce1d55ec49a13a3f85312db2


 Burak ÇARIKÇI














Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

1. Geleneksel Stajyer CTF Soru ve Cevapları

Resim
İlkini 26 Mayıs - 1 Haziran 2016 tarihleri arasında gerçekleştirmiş olduğumuz ve bundan sonraki stajyer alım süreçlerinde de devamlı gerçekleştirmeyi düşündüğümüz CTF (Capture The Flag) yarışmamızda sorulan sorular ve çözümleri için izlenebilecek adımlar aşağıda verilmiştir. 1. Verilen soruda "Her görünenin ardında gizli bir şeyler vardır." ile olayın sadece bir resimden ibaret olmadığı ve bir şeylerin gizlendiği/gizlenebileceği anlatılmaya çalışılmıştır. Burada da ilk olarak data gizleme/saklama bilimi olan Steganografi'nin akıllara gelmesi gerekmekteydi. Steganografi ile ilgili ayrıntılı bilgi için bkz . Resim dosyalarına farklı yöntemler ile data saklanabilmektedir. Popüler olarak kullanılan Steghide aracıyla, graph-theoretic yaklaşımıyla veri saklama işlemi yapılabilir. Soruda verilen resim aşağıdaki gibidir. Steghide ile resim içerisindeki datayı çıkartmayı denediğimiz zaman parola soracaktır. Brute force ile doğru parolayı bulmanız gerekmekte,
Devamını okuyun

2. Geleneksel Stajyer CTF Soru ve Cevapları - 2017

Resim
2. si düzenlenen CRYPTTECH Stajyer CTF'inde sorulan soruların çözümlerinden önce yarışma içeriğine dair birkaç istatistik ile başlangıcı yapalım. CTF ‘17’de sorduğumuz soruların genel görüntüsü aşağıdaki gibidir. Flag formatıyla beraber toplamda 16 soru sorulmuştur. 75 kayıtlı kullanıcının olduğu CTF’te aktif 42 katılım olmuştur. Sorulara göz attıktan sonra korkup kaçanların sayısını bilemiyoruz. 2000 ’e yakın cevabın girildiği sistemde; 213 doğru cevap, 1682 yanlış cevap girilmiştir.   Sorulara verilen cevapların dağılımı aşağıdaki gibi olmuştur; CEVAPLAR Soru 1: Başlangıç olarak sonraki sorularda verilecek cevapların formatının nasıl olması gerektiğini belirten format üzerine kurulu bir sorumuz vardı; Bu soruya inatla yanlış cevaplar veren ve cevap soruda yazmasına rağmen ipucu isteyip 7 puanını kaptıran arkadaşlara selam olsun. Cevap 1: CT_{flag} Soru 2: Sorudan anlaşılması beklenen, verilen klasördeki 66 resim içerisinden aynı hash (heş) değerine s
Devamını okuyun

B*-Tree (BTree, BPlusTree) Veri Yapısı ile Veri İndeksleme

Resim
Veri indeksleme Veri asıl kaynağına yazılırken bir format takip edilir. Bu formata göre, bazı sorgulamaların yapılması çok zaman almaktadır. Bazen tüm verinin taranması gerekebilir. Veriye erişimi hızlandırmak için, asıl veriye ek olarak, farklı biçimlerde tekrar bilgi yazılması gerekmektedir. Farklı biçimlerde verinin tekrar yazılması işlemi "indeksleme" olarak adlandırılmaktadır. İndeksleme yaklaşımında, indekslenecek anahtar veri ve asıl veriye referans bulunmaktadır. ( <Key,Pointer> ) Asıl veri değiştiğinde, indeks verilerinin de güncellenmesi gerekir. Bu yazımızda; önemli indeksleme tekniklerinden olan BTree ve BPlusTree veri yapılarının özellikleri hakkında bilgi verilecektir. BPlusTree, ilişkisel veritabanlarında en çok kullanılan ağaç veri yapısıdır. BTree Veri yapısı BTree, ağaç şeklinde dinamik bir veri yapısıdır. Nodlar ve nod içindeki sıralı elemanlardan oluşur. Kök noddan başlayarak; her bir elemanın küçük değerleri, sola doğru, büyük değerleri is
Devamını okuyun