Verteidigung gegen Malware mit EPM: Ryuk, Emotet, TrickBot

Was ist RYUK – Warum ist es neu?

Ryuk ist eine Art von Ransomware, die alle Daten auf einem infizierten System verschlüsselt und sie unzugänglich macht, bis ein Lösegeld gezahlt wird. Sie wurde erstmals 2018 gemeldet und ist besonders dafür bekannt und berüchtigt, dass sie auf große Unternehmens-Umgebungen abzielt.

Die Analyse der Malware hat gezeigt, dass Ryuk von einer anderen Art von Ransomware namens Hermes abstammt, von der bekannt ist, dass sie im Deep Web im Quellcode-Format öffentlich verfügbar ist und sogar bis heute gepflegt wird. Im Gegensatz zu den bisher entdeckten Hermes-Derivaten zielen die Entwickler von Ryuk auf große, öffentlich-rechtliche Organisationen ab.

Auch Ryuk selbst wird ständig weiterentwickelt; in den letzten Monaten gab es viele Berichte über verschiedene Varianten der gleichen Malware-Familie. Je mehr Exemplare gefunden wurden, desto mehr Funktionalitäten wurden vermutlich zu den verschiedenen Binärdateien hinzugefügt. Zu diesen Funktionen gehören Anti-Analyse-Mechanismen, Virtualisierungserkennung und verschiedene Ping-ähnliche Anfragen in verschiedenen Phasen der Infektion.

Wie funktioniert die Ryuk-Malware?

Die Identifizierung der Infektionsvektoren von Ryuk war schon immer schwierig, da die Ransomware in der Regel alle Spuren ihres Droppers als Teil ihrer Routine beseitigt. Im Laufe der Zeit haben viele Berichte gezeigt, dass Ryuk durch andere Malware wie Emotet oder TrickBot heruntergeladen werden kann. Es ist jedoch nicht auszuschließen, dass auch andere Sicherheitslücken oder Schwachstellen in Unternehmenssystemen als potenzielle Infektionspunkte in Frage kommen.

Bei der größeren “Triple Threat”-Angriffsmethodik mit Emotet und TrickBot beginnt der erste Schritt mit einer Phishing-E-Mail. Diese scheinbar harmlose E-Mail enthält eine angehängte Microsoft Office-Dokumentendatei mit bösartigem Makrocode (eine sehr häufige Infektionstechnik). Dieser bösartige Code versucht, Emotet mit einem einzigen PowerShell-Befehl herunterzuladen und auszuführen, ohne Skriptdateien zu verwenden. Damit beginnt der Ryuk-Infektions- und Verschlüsselungsprozess.

Aber was ist Emotet?

Emotet selbst ist ein Trojaner, von dem zuerst berichtet wurde, dass er als Sammler von Bankdaten von infizierten Hosts fungiert. Im Laufe der Jahre, in denen er aktiv war, wurde er jedoch so aktualisiert, dass er auch als Loader fungiert. In diesem Fall wird er von den Entwicklern verwendet, um zusätzliche Nutzdaten herunterzuladen, nachdem sie sich erfolgreich Zugang zu einem System verschafft haben. Diese Nutzdaten sind es, die die Computer Malware TrickBot in Aktion treten lassen.

Inwiefern sind TrickBot und Ryuk miteinander verbunden?

TrickBot war ursprünglich ebenfalls ein Trojaner, der Bankdaten und andere Anmeldeinformationen stehlen sollte. Jedoch haben die Entwickler seine Fähigkeiten über die Zeit erweitert, um ein komplettes modulares Framework zu schaffen, das anderen Schadprogrammen Zugriff auf das bereits infizierte System bietet. In diesem Fall sammelt TrickBot, sobald das Zielsystem infiziert ist, Informationen und stellt sie den Tätern zur Verfügung, damit diese prüfen können, ob das System aus dem Bereich  stammt, auf den sie abzielen, und entscheiden können, ob sie mit dem Angriff fortfahren oder nicht.

Anschließend nutzt TrickBot (möglicherweise unter Verwendung weiterer Nutzdaten) die zuvor gesammelten Informationen, um sich mit Admin-Anmeldeinformationen und einer Liste erreichbarer Adressen auf andere Systeme im selben Netzwerk zu bewegen. Nach einer erfolgreichen Verbindung zu einem Server (zum Beispiel einem Domänencontroller) werden die Nutzdaten von Ryuk in die Windows-Verwaltungsfreigaben (Admin$, C$ usw.) kopiert, zusammen mit einigen anderen legitimen Tools wie PsExec. Von hier aus übertragen die Angreifer Ryuk so weit wie möglich auf einzelne Hosts und führen es aus.

Das Ziel einer Endpoint Privilege Management-Lösung wie WALLIX BestSafe ist es, das Prinzip des geringsten Privilegs anzuwenden, um die Infektion in den frühesten Phasen zu stoppen. Das heißt, Lösungen und Prozesse zu implementieren, die Emotet – oder jede andere Malware – effektiv daran hindern, ihre notwendigen Schritte auszuführen und eine potenzielle Infektion und als Resultat deren Ausbreitung zu blockieren.

Ryuk Ransomware im Überblick

Ryuk besteht aus zwei Haupt-Nutzdaten: einem Dropper und der ausführbaren Datei selbst. Der Dropper ist schwer zu finden, da die ausführbare Datei dafür sorgt, dass sie bei der Ausführung gelöscht wird.

Wenn er ausgeführt wird, prüft der Dropper die Windows-Version und ob es sich um 32 oder 64 Bit handelt. Dann erstellt er einen gemeinsamen Ordnerpfad. Wenn es sich um Windows XP oder Windows Server 2003 handelt, legt er die ausführbare Ryuk-Datei unter “C:\Dokumente und Einstellungen\Standardbenutzer\” ab, und wenn es sich um Windows Vista oder höher handelt, legt er sie unter “C: Benutzer\Öffentlich” ab. Anschließend wird die neu geschriebene ausführbare Datei ausgeführt und der Dropper gelöscht.

Der Dropper ist auch dafür bekannt, dass er mehrere Antimalware-Dienste und damit verbundene Prozesse stoppt, was ihm dabei hilft, Systeme unentdeckt zu infiltrieren.

Die Ausführung & Prozessinfiltration

Der ausführbare Teil von Ryuk verwendet den Schlüssel „HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run“, um die Persistenz zu erreichen. Die ausführbare Datei erstellt einen neuen Wert unter dem Namen “svchos”, wodurch die ausführbare Datei Ryuk jedes Mal in Aktion tritt, wenn sich der aktuelle Benutzer anmeldet.

Um eine schnelle Identifizierung zu vermeiden, führt Ryuk aber die Verschlüsselung nicht innerhalb seines eigenen Prozessspeichers durch, sondern verwendet einen aktuell laufenden Prozess, dem das System bereits vertraut.

Dafür muss Ryuk zunächst seine Prozess-Token-Rechte anpassen, um speziell das “SeDebugPrivilege” zu aktivieren, das laut Microsoft „notwendig ist, um den Speicher eines Prozesses, der einem anderen Konto gehört, zu debuggen und anzupassen. Mit diesem Privileg kann der Benutzer einen Debugger an einen beliebigen Prozess oder an den Systemkern anhängen“.

Um eine solche Aktion durchzuführen, muss der Prozess das Privileg zuvor in seinem Token haben. Wenn der Benutzer, der Ryuk ausführt, kein Administrator ist, kann Ryuk dieses Privileg nicht aktivieren und alle nachfolgenden Operationen schlagen fehl.

Bevor Ryuk in einen bestehenden Prozess eingeschleust wird, werden alle auf dem System laufenden Prozesse aufgelistet. Danach integriert er sich in einen ausgewählten Prozess, solange dieser nicht “csrss.exe”, “lsaas.exe” oder “explorer.exe” heißt oder unter dem Systemkonto NT_AUTHORITY läuft.

Dazu verwendet Ryuk eine gängige Prozessinjektionstechnik, die darin besteht, einem Host-Prozess Speicher zuzuweisen, diesen mit bösartigem Code zu versehen und sicherzustellen, dass der Remote-Prozess diesen lädt, indem er einen Remote-Thread im Zielprozess erstellt. Aus diesem Grund ist das “SeDebugPrivilege” so wichtig. Ohne dieses Privileg und Zugangsrecht kann diese Technik nicht funktionieren.

Der eingeschleuste Prozess führt schließlich eine Batch-Datei aus, die in einem früheren Schritt abgelegt wurde. Diese Datei enthält mehrere Verwendungen der Befehle “vssadmin” und “delete”. Das Ziel ist es, die Konfiguration zu ändern und Wiederherstellungspunkte oder Backups zu löschen. Dabei handelt es sich um ein gängiges Vorgehen von Ransomware, das noch vor der Verschlüsselung durchgeführt wird, um sicherzustellen, dass das Opfer gezwungen ist, für die Wiederherstellung wertvoller Dateien zu zahlen, die nicht über ein Backup wiederhergestellt werden können.

“vssadmin.exe” ist ein Befehlszeilen-Tool, das den Volume Shadow Copy Service (VSS) verwaltet, der stabile Images für Backups auf laufenden Systemen erfasst und kopiert. Viele Backup-Lösungen wie Microsoft Restore Point oder Microsoft Windows Server Backup verwenden es, aber auch Drittanbieter können auf diese Technologie zurückgreifen.

Darüber hinaus ist bekannt, dass einige Exemplare von Ryuk über die Windows-Anwendung “icacls.exe” die Zugriffskontrolllisten der Originaldokumente auf “vollständig” für “jeden Benutzer” ändern.

Um das kurz zusammenzufassen: Ryuk injiziert sich also in einen entfernten Prozess und erstellt einen Thread, um die Verschlüsselung an andere laufende Prozesse zu delegieren, mit dem Ziel, eine Entdeckung zu vermeiden.

Der Verschlüsselungsprozess

Der Verschlüsselungsprozess erstellt für jede Datei, die er verschlüsselt, einen neuen Thread, was ihn sehr schnell macht. Hierbei wird jede Datei mit ihrem eigenen AES-Schlüssel verschlüsselt.

Nachdem die Datei nun also verschlüsselt wurde, wird ihr eine Dateierweiterung “.RYK” angehängt. In alle Verzeichnisse wird eine Lösegeldforderung (RyukReadMe.txt) geschrieben. Ryuk verwendet eine Kombination aus symmetrischer (AES) und asymmetrischer (RSA) Verschlüsselung, um Dateien zu chiffrieren. Ohne den von den Autoren bereitgestellten privaten Schlüssel können die Dateien nicht entschlüsselt werden und sind nicht wiederherstellbar.

Anschließend werden die Dateien auf dem Zielsystem mit mehrfach gesicherten privaten Schlüsseln verschlüsselt.

Ryuk nutzt die Windows CryptoAPI für die Verschlüsselungsphase. Bevor Ryuk die Verschlüsselungsphase an andere Prozesse delegieren kann, muss es neben anderen Vorgängen die eingebetteten Schlüssel importieren.

Ryuk mit Wallix BestSafe aufhalten

Herkömmliche Antiviren-Software und Scanner sind gegen Ryuk und andere moderne Ransomware machtlos. Das ist die traurige Wahrheit, und zwar auf Grund der einfachen Tatsache, dass diese Tools Vorkenntnisse über Bedrohungen benötigen, um sie zu erkennen. Da ständig neue Malware mit neuen Techniken und subtilen Methoden auftaucht, gibt es für Antivirenlösungen keine Möglichkeit, damit Schritt zu halten.

Der Schutz vor Ransomware, Malware und Kryptoviren erfordert einen proaktiven, innovativen Ansatz für die Sicherheit. WALLIX BestSafe bietet eine bahnbrechende Endpunktsicherheit, die diese Infizierung bereits im Entstehen stoppen kann.

Da Ryuk die Verschlüsselung nicht direkt durchführt, sondern bestehende und vertrauenswürdige Prozesse für die Verschlüsselung missbraucht, ist es wichtig, dass eine Sicherheitslösung in der Lage ist, dieses ungewöhnliche Verhalten auch bei bekannten Anwendungen zu erkennen. WALLIX BestSafe ermöglicht es, auf Anwendungs- und Prozessebene genau zu definieren, welche Programme welche Aktionen durchführen dürfen und welche nicht. Wenn Ryuk also versucht, ein vertrauenswürdiges Programm zur Verschlüsselung von Unternehmensdaten zu zwingen, erkennt WALLIX BestSafe den verdächtigen Prozess und verhindert die Ausführung der Aktion.

Wie stoppt WALLIX BestSafe Endpoint Privilege Management Ransomware wie Ryuk?

Schritt 1: Die Schadsoftware von Anfang an stoppen
  • WALLIX BestSafe blockiert die Ausführung der Dropper-Datei von vornherein und verhindert so, dass der gesamte Prozess überhaupt beginnt. Dabei wird beispielsweise davon ausgegangen, dass das Prinzip der geringsten Privilegien angewandt wurde und der Benutzer daher keinen Zugriff auf Systemdateien und -ordner hat. BestSafe kann auch das Änderungsdatum der Datei auf Dateisystemebene überprüfen. Normalerweise funktioniert Malware, indem sie Nutzdaten herunterlädt und ausführt. Man kann also davon ausgehen, dass ein Prozess, dessen ausführbare Datei gerade erstellt wurde, potenziell gefährlich ist.
  • Sollte der Dropper, rein hypothetisch gesehen, erfolgreich ausgeführt werden, würde die Ausführung der abgelegten ausführbaren Dateien ebenfalls durch diese Regel blockiert werden. Die Ryuk-Malware ist mit einem von einer vertrauenswürdigen Zertifizierungsstelle ausgestellten Code Signing Certificate versehen. Daher muss die Regel auch dann gelten, wenn der Prozess signiert und vertrauenswürdig ist.
  • Unter dieser BestSafe-Regel existiert kein Registrierungsschlüssel, den Ryuk zum Fortbestehen nach einem Neustart verwendet, so dass die Malware nicht fortfahren kann und bei der nächsten Anmeldung nicht automatisch wieder ausgeführt wird.
  • BestSafe kann verhindern, dass ein beliebiger Prozess eine Privilegienerweiterung durchführt, unabhängig von der Berechtigungsstufe des Benutzers. Daher würden alle nachfolgenden Operationen fehlschlagen, einschließlich der raffinierten Prozessinjektionstechnik.
Schritt 2: Verhinderung weiterer verdächtiger Aktionen

Sollte BestSafe aus irgendeinem Grund nicht so konfiguriert sein, dass es alle vorherigen Schritte stoppt, können wir uns immer noch auf weitere wichtige Funktionen zum Schutz vor bösartigen Aktionen verlassen.

  • Regelkonfigurationen können die Aktivität weiter einschränken. Dabei kann zum Beispiel jeder Subprozess eines übergeordneten Prozesses blockiert werden, der unter dem  Profil des Benutzers ausgeführt und dessen ausführbare Datei vor weniger als 5 Minuten geändert wurde.
  • Darüber hinaus kann eine BestSafe-Ransomware-Regel so konfiguriert werden, dass sie jeden Prozess blockiert, der unter dem Profil des Benutzers ausgeführt wird, der versucht, einen der Prozesse in einer Liste auszuführen, und dessen ausführbare Datei auch innerhalb eines bestimmten Zeitraums geändert wurde. Wenn der Prozess der Ransomware-Regel versucht, einen dieser Prozesse zu starten, wird er von BestSafe beendet. Denn diese Liste wird mit Prozessen gefüllt, die häufig von Malware und insbesondere von Ransomware, einschließlich Ryuk, verwendet werden (Löschen von Backups, Wiederherstellungspunkte, Erteilen von Privilegien usw.).
Schritt 3: Verschlüsselung blockieren

Sollte es dazu kommen, dass BestSafe nicht alle vorherigen Schritte stoppen konnte und die Ransomware die Verschlüsselungsphase erreicht, gibt es noch einen weiteren Schritt, der zusätzliche Schlüsselfunktionen ins Spiel bringt.

  • BestSafe erkennt Ransomware-Aufrufe an die Windows CryptoAPI und stoppt die Ausführung des Prozessbaums (d. h. den Prozess, der alles gestartet hat, sowie alle Prozesse, die er ausgeführt hat). Dazu werden dieselben Ransomware-Regeln und -Flags wie in den vorherigen Schritten sowie einige Bedingungen verwendet, die darauf abzielen, ein Verhalten zu erkennen, das nur Ransomware ausführen würde.

Ransomware mit Endpoint Privilege Management (EPM) stoppen

Ryuk ist eine der fortschrittlichsten Ransomware-Varianten, die wir je gesehen haben. Das liegt vor allem an der Kombination aus drei verschiedenen Malware-Typen und der Kommunikation zwischen den Opfern und den Hackern.

Diese Raffinesse hat jedoch ihren Preis, und die Prozessinjektionstechnik erfordert, dass die Malware über Administratorenrechte verfügt (zumindest für die Verschlüsselungsphase). Dies macht Ryuk zu einer der wenigen Formen von Ransomware, die diese Rechte voraussetzt. Das ist deshalb so besonders, da der Hauptgrund, warum Ransomware schwer zu erkennen war, bislang immer darin lag, dass eben diese Rechte nicht vorausgesetzt wurden.

Demnach kann Ransomware nicht sehr weit kommen und die Dateien nicht verschlüsseln, wenn der Benutzer, der diese Malware ausführt, ein Standardbenutzer ist und über keinerlei privilegierte Anmeldeinformationen verfügt. Die Anwendung des Prinzips der geringsten Privilegien durch ein starkes Endpunktmanagement ist daher entscheidend.

Für Unternehmen, die noch kein echtes Least-Privilege-Modell eingeführt haben, bietet WALLIX BestSafe die Möglichkeit, Anwendungen zu deeskalieren, selbst wenn die Benutzer, die sie ausführen, Administrator-Benutzer sind. Durch die Anwendung allgemeiner Regeln auf das Benutzerprofil und die Deeskalierung jeder Anwendung hätte Ryuk versucht, ohne Berechtigungen zu arbeiten, und wäre gescheitert. Währenddessen ist der Benutzer immer noch ein vollwertiger Administrator mit vollen Administratorrechten.

Stoppen Sie Ryuk und andere Ransomware, Malware und Kryptoviren mit WALLIX BestSafe Endpoint Privilege Management direkt vor Ort.