Un novu ransomware chjamatu Nemty hè apparsu nantu à a reta, chì hè suppostamente u successore di GrandCrab o Buran. U malware hè principalmente distribuitu da u situ web falsu di PayPal è hà una quantità di funzioni interessanti. I dettagli nantu à cumu funziona stu ransomware sò sottu u cut.
Novu ransomware Nemty scupertu da l'utilizatori 7 di settembre di u 2019. U malware hè statu distribuitu attraversu un situ web , hè ancu pussibule per ransomware per penetrà in un computer attraversu u kit di sfruttamentu RIG. L'attaccanti anu utilizatu metudi di ingegneria suciale per furzà l'utilizatore per eseguisce u schedariu cashback.exe, chì presuntamente hà ricevutu da u situ di PayPal.Hè ancu curiosu chì Nemty hà specificatu u portu sbagliatu per u serviziu proxy locale Tor, chì impedisce u malware di mandà. dati à u servitore. Per quessa, l'utilizatore duverà carricà i fugliali criptati à a reta Tor stessu s'ellu hà intenzione di pagà u riscattu è aspittà per a decifrazione da l'attaccanti.
Diversi fatti interessanti nantu à Nemty suggerenu chì hè statu sviluppatu da i stessi persone o da i cibercriminali assuciati cù Buran è GrandCrab.
- Cum'è GandCrab, Nemty hà un ovu di Pasqua - un ligame à una foto di u presidente russu Vladimir Putin cun un scherzu obscenu. U legatu GandCrab ransomware avia una maghjina cù u listessu testu.
- L'artefatti di lingua di i dui prugrammi puntanu à i stessi autori di lingua russa.
- Questu hè u primu ransomware à utilizà una chjave RSA 8092-bit. Ancu s'ellu ùn ci hè micca un puntu in questu: una chjave di 1024-bit hè abbastanza per prutegge da u pirate.
- Cum'è Buran, u ransomware hè scrittu in Object Pascal è compilatu in Borland Delphi.
Analisi statica
Esecuzione di codice maliziusu si faci in quattru tappe. U primu passu hè di eseguisce cashback.exe, un schedariu eseguibile PE32 sottu MS Windows cù una dimensione di 1198936 byte. U so codice hè statu scrittu in Visual C++ è compilatu u 14 d'ottobre di u 2013. Contene un archiviu chì hè sbulicatu automaticamente quandu eseguite cashback.exe. U software usa a libreria Cabinet.dll è e so funzioni FDICreate(), FDIDestroy() è altri per ottene schedari da l'archiviu .cab.
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
Dopu à unpacking l 'archiviu, trè schedari apparirà.
In seguitu, temp.exe hè lanciatu, un schedariu eseguibile PE32 sottu MS Windows cù una dimensione di 307200 bytes. U codice hè scrittu in Visual C++ è imballatu cù MPRESS packer, un packer simili à UPX.
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
U prossimu passu hè ironman.exe. Una volta lanciatu, temp.exe decripta i dati incrustati in temp è li rinomina in ironman.exe, un file eseguibile PE32 di 544768 byte. U codice hè compilatu in Borland Delphi.
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
L'ultimu passu hè di riavvia u schedariu ironman.exe. In runtime, trasfurmeghja u so codice è corre da a memoria. Questa versione di ironman.exe hè maliciosa è hè rispunsevule per a criptografia.
Vettore d'attaccu
Attualmente, u ransomware Nemty hè distribuitu attraversu u situ web pp-back.info.
A catena cumpleta di l'infezzione pò esse vistu à sandbox.
rimarchevuli
Cashback.exe - u principiu di l'attaccu. Comu digià dettu, cashback.exe unpacks u schedariu .cab chì cuntene. Dopu crea un cartulare TMP4351$.TMP di a forma %TEMP%IXxxx.TMP, induve xxx hè un numeru da 001 à 999.
In seguitu, una chjave di registru hè stallata, chì pare cusì:
"rundll32.exe" "C: Windowssystem32advpack.dll, DelNodeRunDLL32 "C: UsersMALWAR~1AppDataLocalTempIXPxxx.TMP""
Hè usatu per sguassà i schedari unpacked. Infine, cashback.exe principia u prucessu temp.exe.
Temp.exe hè a seconda tappa in a catena di infezzione
Questu hè u prucessu lanciatu da u schedariu cashback.exe, u sicondu passu di l'esekzione di virus. Pruvate di scaricà AutoHotKey, un strumentu per eseguisce scripts in Windows, è eseguisce u script WindowSpy.ahk situatu in a sezione di risorse di u schedariu PE.
L'script WindowSpy.ahk decripta u schedariu temp in ironman.exe utilizendu l'algoritmu RC4 è a password IwantAcake. A chjave da a password hè ottenuta cù l'algoritmu di hashing MD5.
temp.exe poi chjama u prucessu ironman.exe.
Ironman.exe - terzu passu
Ironman.exe leghje u cuntenutu di u schedariu iron.bmp è crea un schedariu iron.txt cù un cryptolocker chì serà lanciatu dopu.
Dopu questu, u virus carica iron.txt in memoria è riavvia cum'è ironman.exe. Dopu questu, iron.txt hè sguassatu.
ironman.exe hè a parte principale di u ransomware NEMTY, chì cripta i schedari nantu à l'urdinatore affettatu. Malware crea un mutex chjamatu odiu.
A prima cosa chì face hè di determinà a situazione geografica di l'urdinatore. Nemty apre u navigatore è scopre l'IP . Nantu à u situ [IP]/countryName U paese hè determinatu da l'IP ricevuta, è se l'urdinatore si trova in una di e regioni elencate quì sottu, l'esekzione di u codice malware si ferma:
- Russia
- Bielorussia
- Ukraine
- Kazakistan
- Tudischi
Hè assai prubabile, i sviluppatori ùn volenu micca attirà l'attenzione di l'agenzii di l'infurzatori di a lege in i so paesi di residenza, è per quessa ùn cifrate micca i fugliali in a so ghjuridizione "casa".
Se l'indirizzu IP di a vittima ùn appartene micca à a lista sopra, u virus cripta l'infurmazioni di l'utilizatore.
Per prevene a ricuperazione di u schedariu, e so copie d'ombra sò sguassate:
Dopu crea una lista di schedarii è cartulare chì ùn saranu micca criptati, è ancu una lista di estensioni di schedari.
- finestri
- $RECYCLE.BIN
- rsa
- NTDETECT.COM
- ecc
- MSDOS.SYS
- IO.SYS
- boot.ini AUTOEXEC.BAT ntuser.dat
- desktop.ini
- SYS CONFIG.
- BOOTSECT.BAK
- bootmgr
- dati di prugramma
- dati app
- osoft
- I schedarii cumuni
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY Obfuscazione
Per ammuccià l'URL è i dati di cunfigurazione incrustati, Nemty usa un algoritmu di codificazione base64 è RC4 cù a keyword fuckav.
U prucessu di decryption cù CryptStringToBinary hè u seguitu
Criptografia
Nemty usa crittografia di trè strati:
- AES-128-CBC per i schedari. A chjave AES 128-bit hè generata aleatoriamente è hè aduprata a stessa per tutti i schedari. Hè guardatu in un schedariu di cunfigurazione in l'urdinatore di l'utilizatore. U IV hè generatu aleatoriamente per ogni schedariu è guardatu in un schedariu criptatu.
- RSA-2048 per l'encryption di file IV. Un paru chjave per a sessione hè generatu. A chjave privata per a sessione hè guardata in un schedariu di cunfigurazione in l'urdinatore di l'utilizatore.
- RSA-8192. A chjave publica maestra hè integrata in u prugramma è hè aduprata per criptà u schedariu di cunfigurazione, chì guarda a chjave AES è a chjave secreta per a sessione RSA-2048.
- Nemty genera prima 32 bytes di dati casuali. I primi 16 bytes sò usati cum'è a chjave AES-128-CBC.
U sicondu algoritmu di criptografia hè RSA-2048. U paru chjave hè generatu da a funzione CryptGenKey () è impurtata da a funzione CryptImportKey ().
Quandu u paru di chjave per a sessione hè generatu, a chjave publica hè impurtata in u MS Cryptographic Service Provider.
Un esempiu di una chjave publica generata per una sessione:
Dopu, a chjave privata hè impurtata in u CSP.
Un esempiu di una chjave privata generata per una sessione:
È l'ultimu vene RSA-8192. A chjave publica principale hè guardata in forma criptata (Base64 + RC4) in a sezione .data di u schedariu PE.
A chjave RSA-8192 dopu a decodificazione di base64 è a decodificazione RC4 cù a password fuckav pare cusì.
In u risultatu, tuttu u prucessu di criptografia s'assumiglia cusì:
- Generate una chjave AES 128-bit chì serà usata per criptà tutti i schedari.
- Crea un IV per ogni schedariu.
- Creazione di una coppia di chjave per una sessione RSA-2048.
- Decryption di una chjave RSA-8192 esistente utilizendu base64 è RC4.
- Cripte u cuntenutu di u schedariu utilizendu l'algoritmu AES-128-CBC da u primu passu.
- Criptazione IV utilizendu a chjave publica RSA-2048 è a codificazione base64.
- Aghjunghjendu un IV criptatu à a fine di ogni schedariu criptatu.
- Aghjunghjendu una chjave AES è una chjave privata di sessione RSA-2048 à a cunfigurazione.
- Dati di cunfigurazione descritti in a sezione circa l'urdinatore infettatu sò criptati cù a chjave publica principale RSA-8192.
- U schedariu criptatu pare cusì:
Esempiu di schedarii criptati:
Raccolta infurmazione nantu à l'urdinatore infettatu
U ransomware raccoglie chjavi per decifrare i fugliali infettati, cusì l'attaccante pò veramente creà un decryptor. Inoltre, Nemty raccoglie dati di l'utilizatori cum'è u nome d'utilizatore, u nome di l'urdinatore, u prufilu di hardware.
Chjama e funzioni GetLogicalDrives (), GetFreeSpace (), GetDriveType () per cullà l'infurmazioni nantu à e unità di l'urdinatore infettatu.
L'infurmazioni raccolte sò guardate in un schedariu di cunfigurazione. Dopu avè decodificatu a stringa, avemu una lista di parametri in u schedariu di cunfigurazione:
Esempiu di cunfigurazione di un computer infettatu:
U mudellu di cunfigurazione pò esse rapprisintatu cusì:
{"Generale": {"IP":"[IP]", "Paese":"[Paese]", "ComputerName":"[ComputerName]", "Username":"[Username]", "OS": "[OS]", "isRU":false, "versione":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[FileID]_", "UserID":"[ UserID]", "key":"[key]", "pr_key":"[pr_key]
Nemty guarda i dati raccolti in formatu JSON in u schedariu %USER%/_NEMTY_.nemty. FileID hè 7 caratteri longu è generatu aleatoriu. Per esempiu: _NEMTY_tgdLYrd_.nemty. U FileID hè ancu appiccicatu à a fine di u schedariu criptatu.
Missaghju di riscattu
Dopu avè criptatu i fugliali, u schedariu _NEMTY_[FileID]-DECRYPT.txt appare nantu à u desktop cù u cuntenutu seguente:
À a fine di u schedariu ci hè infurmazione criptata nantu à l'urdinatore infettatu.
A cumunicazione in rete
U prucessu ironman.exe scarica a distribuzione di u navigatore Tor da l'indirizzu è prova à stallà lu.
Nemty poi prova di mandà dati di cunfigurazione à 127.0.0.1:9050, induve aspetta di truvà un proxy di navigatore Tor chì funziona. Tuttavia, per automaticamente, u proxy Tor ascolta u portu 9150, è u portu 9050 hè utilizatu da u dimoniu Tor in Linux o Expert Bundle in Windows. Cusì, nisuna dati hè mandatu à u servitore di l'attaccante. Invece, l'utilizatore pò scaricà manualmente u schedariu di cunfigurazione visitendu u serviziu di decryption Tor via u ligame furnitu in u missaghju di riscattu.
Cunnessu à u proxy Tor:
HTTP GET crea una dumanda à 127.0.0.1:9050/public/gate?data=
Quì pudete vede i porti TCP aperti chì sò usati da u proxy TORlocal:
U serviziu di decrittazione Nemty nantu à a reta Tor:
Pudete carricà una foto criptata (jpg, png, bmp) per pruvà u serviziu di decryption.
Dopu questu, l'attaccante dumanda à pagà un riscattu. In casu di mancatu pagamentu, u prezzu hè radduppiatu.
cunchiusioni
À u mumentu, ùn hè micca pussibule di decrypt i fugliali criptati da Nemty senza pagà un riscattu. Questa versione di ransomware hà caratteristiche cumuni cù u ransomware Buran è u GandCrab anticu: compilazione in Borland Delphi è imagine cù u stessu testu. Inoltre, questu hè u primu encryptor chì usa una chjave RSA 8092-bit, chì, di novu, ùn hà micca sensu, postu chì una chjave 1024-bit hè abbastanza per a prutezzione. Infine, è interessante, prova di utilizà u portu sbagliatu per u serviziu proxy Tor locale.
Tuttavia, suluzioni и impediscenu chì u ransomware Nemty ghjunghje à i PC di l'utilizatori è i dati, è i fornituri ponu prutezzione di i so clienti . Pienu furnisce micca solu copia di salvezza, ma ancu prutezzione cù l'usu , una tecnulugia speciale basatu annantu à l'intelligenza artificiale è l'euristiche cumportamentali chì permette di neutralizà ancu malware scunnisciutu ancu.
Source: www.habr.com