Ryuk勒索病毒新变种详解

2020年由于新冠病毒(COVID-19)的持续传播导致远程办公的需求激增，同时网络攻击事件也跟着激增，其中勒索病毒最为明显。整个2020年勒索病毒呈爆发状态，攻击规模以及勒索赎金都有了很大的增幅。其中被勒索赎金最高的为富士康勒索事件。2020年12月富士康位于墨西哥工厂的服务器遭到勒索病毒攻击，攻击者要求富士康在限期21天内支付1804.0955枚比特币，约合2.3亿元人民币。

目前最为流行的勒索病毒家族为Maze、REvil、Sodinokibi 、NetWalker、Ryuk等。随着攻防的演进，2020年勒索病毒也增加了新的特点。比如，勒索分成了两阶段勒索。先要求受害者支付赎金换取密钥以解密文件，然后要求受害者支付另一笔赎金来保证机密信息不被公开。同时，勒索病毒的操纵者们从性价比的角度出发，改变策略，攻击目标从广撒网改到精准投放，打击关键的高价值目标，以此换取高额赎金。还有就是从单纯勒索行为到与僵尸网络，挖矿等相互结合。

Ryuk勒索病毒最早在2018年由国外安全公司披露出来，其主要特点是通过垃圾邮件以及漏洞利用工具包进行传播。阿里云安全中心最近捕获到一个ryuk新型变种样本，我们对其横向传播技术进行了详细的分析，以此揭示勒索病毒常见的技术手段。通过分析大家会发现，勒索病毒会想尽一切办法进行传播，扩大战果，造成最大的破坏。最后我们会给出防范建议。

二、详细分析

1. 反调试和脱壳

样本编译时间为2021.1.22，VT上首次出现的时间为2021.2.2，所以样本还是很新的。第一件事当然是IDA里做静态分析。分析发现样本使用了独有的加壳程序，这会给静态分析带来麻烦。所以我们尝试让它自己运行到脱壳解密的状态，然后我们再做进一步的分析。如下图，样本对使用的资源，比如字符串是有加密的。

解决了反调试问题后，样本的代码会对自身进行脱壳解密，随后我们把内存转储出来，再修复一下IAT，这样再分析代码就会清晰很多了。

2. fileless加密勒索方式

在随后的分析中我们发现一个有意思的地方，Ryuk勒索病毒在感染远程机器的时候，并不是将可执行文件传输过去，然后拉起再加密。而是通过SMB协议，远程感染加密了文件。这样做的好处是，在被攻击机器上，读写文件的上下文都是系统进程。这对于防御引擎来说，将很难决策是否是恶意的勒索行为。

攻击者使用SMB协议进行远程登录和文件访问，需要先具备登录权限。在很多企业局域网环境下，服务器的登录口令都是一样的，这种情况下，攻击者通过mimikatz和wce等方式可以拿到账户的登录凭证信息，以此再建立smb会话就很容易了。此处不展开讨论。

远程感染的过程分析如下：

我们在测试环境有两台同样用户名密码的测试机：测试机1(192.168.0.28)，测试机2(192.168.0.31)，在测试机1运行勒索样本，在测试机2抓包分析。
 

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!