Ryuk 是最危险的勒索软件家族之一。据称由专门的网络犯罪参与者运营，该勒索软件家族在过去两年中主要致力于针对企业发动攻击。勒索的比特币数量取决于目标的规模，该组织用于收集赎金的一些钱包在几周内达到了数百万美元。

阻止此类攻击是安全团队的主要工作之一。在预防此类攻击方面，安全团队可以做什么？情报就是力量，需要做的第一件事就是了解新攻击行动的运作方式。攻击是否通过网络钓鱼或利用任何漏洞进行传播？是否使用暴力破解？也许攻击者联合使用二者？除了上述的 TTP，我们还需要尽可能多的技术细节。这将产生非常有价值的 IOC 指标，可以用来阻止恶意攻击、保护基础设施架构。

我们需要快速撒下渔网，以捕捉与新的攻击行动有关的一切！然后保持监控，以确保随着攻击者的发展我们不断更新情报信息。本文中，我们将描述如何使用 VirusTotal 检测和监视 Ryuk 的新攻击行动。但是，这是一个非常特殊的情况，在这里我们想展示我们的 IDA 插件如何在处理样本时为我们节省大量时间。

启动调查

两星期前，两个恶意文件上传到 VirusTotal（1，2）。根据 YARA 规则的判定，这些文件看起来像是 Ryuk 恶意软件。仔细观察可以发现，这些文件可能是从内存中 dump 出来的：反汇编的代码中有大量的内存映射地址，并且没有导入表。与此同时，这些样本在执行时崩溃了，肯定是破损的 PE 文件。

鉴于这些都是最新的样本，我们想要了解这次攻击行动的全貌的话就要寻找类似的样本。值得注意的是，因为内存 dump 的关系，某些段和内存映射的地址是特异的、唯一的，如果基于此检索样本，无法找到关联的样本。

IDA 上场

一个选择是复原样本，这个工程非常复杂且耗时。也可以使用我们的 IDA 插件来检索样本。使用“搜索相似代码”功能，就可以创建检索查询，是解决问题的理想选择。

将样本拖入 IDA 分析后可以发现，反汇编引擎无法正确识别很多函数。也正是因此，是搜索代码相似度的好选择。

查询不考虑内存映射地址，找到文件的列表会按照首次提交时间排序。其中有一些样本带有沙盒结果，这意味着该样本执行不会崩溃。选择一个原始样本，再选一个有行为信息的样本：

在比较这两个样本时：

• 相似性搜索不会显示相似
• 有一部分相同的长字节序列
  

是想要找的样本吗？

我们对找到新样本充满信心，查看该样本 0x35008A60 处的函数，使用 IDA 插件选择比较长的指令序列重新搜索。发现 4 个匹配的结果文件：此前的两个初始样本，另一个破损的文件，以及沙盒可执行的文件。这是我们通过代码相似第二次关联到该文件。

可以发现，它与两个最初的破损文件都有同样的 PE 入口点，且 WinMain 函数也相同。简单来看，样本的函数逻辑非常简单，只有三个代码块。但是将对抗 IDA 反汇编的混淆去掉后，可以直接比较两个函数的相似之处，可以确定是原始的样本。

怎么办？

截止到目前为止，还没有 Yara 规则可以较好地检测原始样本。文件中可以找到加密的字符串，这些字符串对发现类似的样本非常有用。这些字符串在破损的文件中也存在，存储在 .gfids 段中。在这个段表明，这些字符串最初可能被加密，执行后被解密。这可以作为原始样本的线索，使用 VT-IDA 插件，检索同类样本文件。

不出所料，发现了此前找到的四个文件，又新发现了两个其他的样本文件在我们发现的文件前三天提交，也可以继续扩展调查。

这些字符串都可以用来改进原始的 Yara 规则，将其提交到 LiveHunt 即可跟踪到攻击者的最新活动。本文中提到的内容也可以在 VT-Graph中查看详细信息。

参考来源

VirusTotal