Câu chuyện về phần mềm độc hại GrimAgent được Ryuk sử dụng

Tóm tắt điều hành

Hoạt động của ransomware tăng mạnh trong vài năm qua và trở thành bộ mặt của tội phạm mạng vào năm 2021.

Theo báo cáo “Ransomware Uncovered 2020-2021” , số lượng các cuộc tấn công ransomware đã tăng hơn 150% vào năm 2020. Các cuộc tấn công đã tăng lên trong không chỉ số lượng mà còn cả quy mô và mức độ tinh vi – yêu cầu tiền chuộc trung bình tăng hơn gấp đôi và lên tới 170.000 USD vào năm 2020. Điển hình như vụ: Colonial Pipeline được cho là đã trả 5 triệu USD để lấy lại hoạt động kinh doanh của mình. Vụ việc đã đẩy câu hỏi về ransomware lên hàng đầu trong chương trình nghị sự chính trị.

Trong khi đó, năm 2021 tiếp tục chứng minh rằng không có công ty nào miễn nhiễm với bệnh dịch ransomware. Kẻ xấu khai thác ransomware không quan tâm đến ngành công nghiệp miễn là nạn nhân có thể trả tiền chuộc. Triển vọng thu được lợi nhuận nhanh chóng thúc đẩy nhiều đối tượng tham gia vào hoạt động phạm pháp này. Hoạt động của ransomware không có dấu hiệu chậm lại. Các băng nhóm phát triển. Họ thay đổi chiến thuật, kỹ thuật phòng thủ và thủ tục để đảm bảo rằng hoạt động kinh doanh bất hợp pháp của họ phát triển mạnh.

Các cuộc tấn công ransomware được thực hiện bởi con người, việc hiểu rõ phương thức hoạt động và bộ công cụ được sử dụng bởi những kẻ tấn công là điều cần thiết đối với các công ty muốn tránh thời gian chết tốn kém. Cuối cùng, biết cách các băng đảng ransomware hoạt động và có thể ngăn chặn các cuộc tấn công của chúng sẽ tiết kiệm chi phí hơn so với việc trả tiền chuộc.

Một trong những xu hướng cơ bản của năm 2021 cần lưu ý là việc sử dụng phần mềm độc hại . Băng đảng ransomware khét tiếng Ryuk, chịu trách nhiệm cho nhiều vụ tấn công mạng nổi tiếng (bao gồm cả vụ tấn công vào hệ thống Trường Công lập Quận Baltimore) cũng vậy. Phần mềm bổ sung gần đây nhất cho kho vũ khí của họ, vẫn chưa được khám phá, là phần mềm độc hại có tên GrimAgent .

Nhóm của chúng tôi đã thực hiện phân tích toàn diện đầu tiên về cửa hậu GrimAgent . Nó chủ yếu dành cho các kỹ sư đảo ngược, các nhà nghiên cứu và các nhóm màu xanh lam để họ có thể tạo và thực hiện các quy tắc giúp giám sát chặt chẽ mối đe dọa mạng này. Nhóm Tình báo Đe doạ của Group-IBđã tạo ra các quy tắc Yara và Suricata cũng như ánh xạ các TTP của GrimAgent theo ma trận MITER ATT & CK®.

Giới thiệu

GrimAgent là một phần mềm độc hại được phân loại là một cửa sau và đã được sử dụng như một giai đoạn trước của ransomware Ryuk. Họ ransomware xuất hiện vào năm 2018 và bị nghi ngờ nhầm cho Triều Tiên. Sau đó, nó được cho là do hai kẻ đe dọa, FIN6 và Wizard Spider .

Câu chuyện về phần mềm độc hại GrimAgent được Ryuk sử dụng

Do kiến thức hạn chế về mối liên hệ giữa Ryuk và GrimAgent, chúng tôi quyết định nghiên cứu các mẫu GrimAgent được phát hiện trong tự nhiên và chỉ ra cách GrimAgent kết nối với Ryuk . Bài viết phân tích chuỗi thực thi, TTP và các đặc điểm liên quan của phần mềm độc hại.

Mẫu GrimAgent đầu tiên được biết đến ( SHA-256: 03ec9000b493c716e5aea4876a2fc5360c695b25d6f4cd24f60288c6a1c65ce5) đã được tải lên VirusTotal vào ngày 9 tháng 8 năm 2020 lúc 19:20:54. Đáng chú ý là một tệp nhị phân nhúng vào phần mềm độc hại ban đầu đã được sử dụng và có dấu thời gian là 2020-07-26 , dấu thời gian có thể đã được thay đổi nhưng ngày trùng với giả thuyết của chúng tôi về phần mềm độc hại mới.

Từ quan điểm chức năng, phần mềm độc hại là một cửa sau, nhưng nó hoạt động giống như một con bot. Chúng tôi đã phân tích một giao thức mạng tùy chỉnh hoàn toàn khác, trong đó máy tính bị nhiễm sẽ đăng ký ở phía máy chủ và cung cấp một chuỗi do thám của máy khách, sau đó nó sẽ liên tục đưa ra yêu cầu tới máy chủ C&C hỏi đâu là lệnh tiếp theo được thực thi. Trong quá trình nghiên cứu của mình, chúng tôi đã thực hiện một số thử nghiệm với mục đích để có được tải trọng ở giai đoạn tiếp theo. Chúng tôi đã lây nhiễm một số thiết bị thử nghiệm với các cài đặt khác nhau, nhưng không quản lý được bất kỳ tải trọng nào. Dựa trên phát hiện của chúng tôi, có khả năng tác nhân đã thực hiện các cơ chế bảo vệ và phân phối khác nhau để bảo vệ tính toàn vẹn của hệ thống và đảm bảo rằng các hoạt động hoàn hảo – điều này không có gì lạ và chúng tôi đã chứng kiến điều này trong quá khứ.Điều này có nghĩa là các nhà phát triển GrimAgent có khả năng triển khai các hệ thống phát hiện mối đe dọa có khả năng phát hiện hộp cát hoặc yêu cầu bot để tự bảo vệ mình khỏi những thứ như phân tích, thêm bộ lọc dựa trên vị trí địa lý và danh sách đen / danh sách trắng. Sự tỉ mỉ tột độ của các tác nhân đằng sau phần mềm độc hại và sự chú ý của họ đến từng chi tiết khi thực hiện các cuộc tấn công đều có liên quan và đáng chú ý.

Theo hệ thống Phân bổ & Tình báo Đe dọa của Group-IB, các nhà khai thác Ryuk đã sử dụng phần mềm độc hại hàng hóa khác nhau theo thời gian (bao gồm Emotet, TrickBot, Bazar, Buer và SilentNight) để triển khai ransomware. Tuy nhiên, những cú đánh lớn mà Trickbot và Emotet phải gánh chịu có thể đã thúc đẩy các nhà điều hành Ryuk hợp tác với GrimAgent. Phân tích chi tiết về các TTP mới nhất được sử dụng bởi các chủng ransomware khác nhau có sẵn trong báo cáo Ransomware Uncovered 2020/2021 .

Kết nối với Ryuk

Phân tích miền GrimAgent Command and Control đã tiết lộ một URL thú vị. Khi đưa ra yêu cầu trên miền, máy chủ Command and Control sẽ trả về nội dung được thiết kế cho nạn nhân của phần mềm tống tiền Ryuk, ngoài việc tiết lộ vị trí của nó trên mạng TOR.

Trang đích ra lệnh và kiểm soát:

Mã nguồn trang đích ra lệnh và kiểm soát:

< html > < body > < style > p:hover {     background: black;     color:white  } < /style><script> = 'IDyIOJ4u'; = 'http[:]//etnbhivw5fjqytbmvt2o6zle3avqn6rrugfc35kmcmedbbgqbxtknlqd[.]onion';	script > < p onclick = 'info()' style = 'font-weight:bold;font-size:127%; top:0;left:0;border: 1px solid black;padding: 7px 29px;width:85px;' > &nbsp; &nbsp; contact < /p><p style='position:absolute;bottom:0;right:1%;font-weight:bold;font-size:171%'>&#98;&#97;&#108;&#97;&#110;&#99;&#101;&#32;&#111;&#102;&#32;&#115;&#104;&#97;&#100;&#111;&#119;&#32;&#117;&#110;&#105;&#118;&#101;&#114;&#115;&#101;p > < div style = 'font-size: 551%;font-weight:bold;width:51%;height:51%;overflow:auto;margin:auto;position:absolute;top:36%;left:41%;' > &#82; &#121; &#117; &#107; < /div><script>function info(){alert('INSTRUCTION: 1. Download tor browser. 2. Open link through tor browser: ' + + ' 3. Fill the form, your password: '+ +' We will contact you shortly. Always send files for test decryption.');};  < /body>

Ryuk Cpanel

Những phát hiện này cho thấy cửa hậu GrimAgent đang được sử dụng như một phần hoạt động của Ryuk . Chúng tôi không quan sát thấy bất kỳ hoạt động bán hoặc quảng cáo nào liên quan đến GrimAgent trên các diễn đàn ngầm, cũng như không có bất kỳ việc sử dụng phần mềm độc hại nào trong chuỗi lây nhiễm của bất kỳ phần mềm độc hại nào khác ngoài Ryuk. Dựa trên các dữ kiện trên, chúng tôi tin rằng phần mềm độc hại này được sử dụng bởi cùng một TA sử dụng Ruyk ransomware và không sử dụng MaaS.

Chức năng

Lấy thông tin về nạn nhân:
- IP và mã quốc gia
- Miền
- Nhà cung cấp
- Phiên bản xây dựng
- Hệ điều hành
- Vòm
- tên tài khoản
- Đặc quyền
- user_id (được tính để xác định khách hàng bị nhiễm)
Khóa AES thu được từ C2 để mã hóa thông tin liên lạc
Hành hình
Thực thi shellcode (trình khởi chạy MZ)
Tải xuống và thực thi
Cập nhật
Thực thi DLL (MZ launcher trampoline)

Lược đồ mã hóa / giải mã

Hai khóa giải mã được sử dụng để giải mã các chuỗi (được giải mã bằng cùng một thuật toán).

Bốn phím được sử dụng:

Khóa RSA công khai của máy chủ được mã hóa cứng : Được sử dụng để mã hóa yêu cầu đầu tiên đến máy chủ Lệnh và Điều khiển và đăng ký máy khách bị nhiễm ở phía máy chủ.
Khóa công khai và riêng tư RSA của ứng dụng khách đã tạo: Cả hai đều được lưu trữ tại tệp cấu hình.a. Khóa RSA công khai
i. Được sử dụng để tính user_id nhằm theo dõi và xác định người dùng bị nhiễm.
ii. Được gửi đến C2 theo yêu cầu đầu tiên cùng với sự trinh sát của khách hàng; được sử dụng để mã hóa
khóa AES do C2 gửi.
Được sử dụng để tính user_id nhằm theo dõi và xác định người dùng bị nhiễm.b. Khóa RSA riêng: Dùng để giải mã khóa AES nhận được.
Khóa AES: Được sử dụng để ra lệnh và điều khiển các giao tiếp xa hơn (mã hóa đối xứng).