🥇Γνωρίστε το ransomware Nemty από τον ψεύτικο ιστότοπο PayPal

Ένα νέο ransomware που ονομάζεται Nemty εμφανίστηκε στο δίκτυο, το οποίο υποτίθεται ότι είναι ο διάδοχος του GrandCrab ή του Buran. Το κακόβουλο λογισμικό διανέμεται κυρίως από τον ψεύτικο ιστότοπο του PayPal και έχει μια σειρά από ενδιαφέροντα χαρακτηριστικά. Λεπτομέρειες σχετικά με τον τρόπο λειτουργίας αυτού του ransomware είναι υπό περικοπή.

Νέο Nemty ransomware ανακαλύφθηκε από χρήστη nao_sec 7 Σεπτεμβρίου 2019. Το κακόβουλο λογισμικό διανεμήθηκε μέσω ιστότοπου μεταμφιεσμένος σε PayPal, είναι επίσης δυνατό το ransomware να διεισδύσει σε έναν υπολογιστή μέσω του κιτ εκμετάλλευσης RIG. Οι εισβολείς χρησιμοποίησαν μεθόδους κοινωνικής μηχανικής για να αναγκάσουν τον χρήστη να εκτελέσει το αρχείο cashback.exe, το οποίο φέρεται να έλαβε από τον ιστότοπο του PayPal. Είναι επίσης περίεργο ότι ο Nemty καθόρισε λάθος θύρα για την τοπική υπηρεσία διακομιστή μεσολάβησης Tor, η οποία εμποδίζει την αποστολή του κακόβουλου λογισμικού δεδομένα στον διακομιστή. Επομένως, ο χρήστης θα πρέπει να ανεβάσει ο ίδιος κρυπτογραφημένα αρχεία στο δίκτυο Tor εάν σκοπεύει να πληρώσει τα λύτρα και να περιμένει την αποκρυπτογράφηση από τους εισβολείς.

Πολλά ενδιαφέροντα στοιχεία για τον Nemty υποδηλώνουν ότι αναπτύχθηκε από τους ίδιους ανθρώπους ή από εγκληματίες του κυβερνοχώρου που σχετίζονται με τον Buran και τον GrandCrab.

Όπως ο GandCrab, ο Nemty έχει ένα πασχαλινό αυγό - ένας σύνδεσμος για μια φωτογραφία του Ρώσου προέδρου Βλαντιμίρ Πούτιν με ένα άσεμνο αστείο. Το παλαιού τύπου ransomware GandCrab είχε μια εικόνα με το ίδιο κείμενο.
Τα γλωσσικά τεχνουργήματα και των δύο προγραμμάτων παραπέμπουν στους ίδιους ρωσόφωνους συγγραφείς.
Αυτό είναι το πρώτο ransomware που χρησιμοποιεί κλειδί RSA 8092-bit. Αν και δεν έχει νόημα σε αυτό: ένα κλειδί 1024-bit είναι αρκετά για να προστατεύσει από την εισβολή.
Όπως το Buran, το ransomware είναι γραμμένο σε Object Pascal και μεταγλωττίζεται στο Borland Delphi.

Στατική Ανάλυση

Η εκτέλεση του κακόβουλου κώδικα πραγματοποιείται σε τέσσερα στάδια. Το πρώτο βήμα είναι να εκτελέσετε το cashback.exe, ένα εκτελέσιμο αρχείο PE32 στα MS Windows με μέγεθος 1198936 byte. Ο κώδικάς του γράφτηκε σε Visual C++ και μεταγλωττίστηκε στις 14 Οκτωβρίου 2013. Περιέχει ένα αρχείο που αποσυσκευάζεται αυτόματα όταν εκτελείτε το cashback.exe. Το λογισμικό χρησιμοποιεί τη βιβλιοθήκη Cabinet.dll και τις λειτουργίες της FDICreate(), FDIDestroy() και άλλες για τη λήψη αρχείων από το αρχείο .cab.

SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC

Μετά την αποσυσκευασία του αρχείου, θα εμφανιστούν τρία αρχεία.

Στη συνέχεια, εκκινείται το temp.exe, ένα εκτελέσιμο αρχείο PE32 στα MS Windows με μέγεθος 307200 byte. Ο κώδικας είναι γραμμένος σε Visual C++ και συσκευάζεται με συσκευή συσκευασίας MPRESS, ένα πακέτο παρόμοιο με το UPX.

SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD

Το επόμενο βήμα είναι το ironman.exe. Μόλις εκκινηθεί, το temp.exe αποκρυπτογραφεί τα ενσωματωμένα δεδομένα στο temp και τα μετονομάζει σε ironman.exe, ένα εκτελέσιμο αρχείο PE32 544768 byte. Ο κώδικας έχει μεταγλωττιστεί στο Borland Delphi.

SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88

Το τελευταίο βήμα είναι να επανεκκινήσετε το αρχείο ironman.exe. Κατά το χρόνο εκτέλεσης, μετασχηματίζει τον κώδικά του και εκτελείται από τη μνήμη. Αυτή η έκδοση του ironman.exe είναι κακόβουλη και είναι υπεύθυνη για την κρυπτογράφηση.

Διάνυσμα επίθεσης

Επί του παρόντος, το ransomware Nemty διανέμεται μέσω του ιστότοπου pp-back.info.

Μπορείτε να δείτε την πλήρη αλυσίδα μόλυνσης στο app.any.run sandbox.

Εγκατάσταση

Cashback.exe - η αρχή της επίθεσης. Όπως αναφέρθηκε ήδη, το cashback.exe αποσυσκευάζει το αρχείο .cab που περιέχει. Στη συνέχεια, δημιουργεί έναν φάκελο TMP4351$.TMP της μορφής %TEMP%IXxxx.TMP, όπου το xxx είναι ένας αριθμός από το 001 έως το 999.

Στη συνέχεια, εγκαθίσταται ένα κλειδί μητρώου, το οποίο μοιάζει με αυτό:

[HKLMSOFTWAREWOW6432NodeMicrosoftWindowsCurrentVersionRunOncewextract_cleanup0]
"rundll32.exe" "C:Windowssystem32advpack.dll,DelNodeRunDLL32"C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP""

Χρησιμοποιείται για τη διαγραφή μη συσκευασμένων αρχείων. Τέλος, το cashback.exe ξεκινά τη διαδικασία temp.exe.

Το Temp.exe είναι το δεύτερο στάδιο στην αλυσίδα μόλυνσης

Αυτή είναι η διαδικασία που ξεκίνησε από το αρχείο cashback.exe, το δεύτερο βήμα της εκτέλεσης του ιού. Προσπαθεί να κατεβάσει το AutoHotKey, ένα εργαλείο για την εκτέλεση σεναρίων στα Windows, και να εκτελέσει το σενάριο WindowSpy.ahk που βρίσκεται στην ενότητα πόρων του αρχείου PE.

Η δέσμη ενεργειών WindowSpy.ahk αποκρυπτογραφεί το αρχείο temp στο ironman.exe χρησιμοποιώντας τον αλγόριθμο RC4 και τον κωδικό πρόσβασης IwantAcake. Το κλειδί από τον κωδικό πρόσβασης λαμβάνεται χρησιμοποιώντας τον αλγόριθμο κατακερματισμού MD5.

Στη συνέχεια, το temp.exe καλεί τη διαδικασία ironman.exe.

Ironman.exe - τρίτο βήμα

Το Ironman.exe διαβάζει τα περιεχόμενα του αρχείου iron.bmp και δημιουργεί ένα αρχείο iron.txt με ένα cryptolocker που θα εκκινηθεί στη συνέχεια.

Μετά από αυτό, ο ιός φορτώνει το iron.txt στη μνήμη και το επανεκκινεί ως ironman.exe. Μετά από αυτό, το iron.txt διαγράφεται.

Το ironman.exe είναι το κύριο μέρος του NEMTY ransomware, το οποίο κρυπτογραφεί αρχεία στον επηρεαζόμενο υπολογιστή. Το κακόβουλο λογισμικό δημιουργεί ένα mutex που ονομάζεται μίσος.

Το πρώτο πράγμα που κάνει είναι να προσδιορίσει τη γεωγραφική θέση του υπολογιστή. Ο Nemty ανοίγει το πρόγραμμα περιήγησης και ανακαλύπτει την IP http://api.ipify.org. Σε σύνδεση api.db-ip.com/v2/free[IP]/countryName Η χώρα προσδιορίζεται από τη ληφθείσα IP και εάν ο υπολογιστής βρίσκεται σε μία από τις περιοχές που αναφέρονται παρακάτω, η εκτέλεση του κώδικα κακόβουλου λογισμικού σταματά:

Ρωσία
Λευκορωσία
Ουκρανία
Καζακστάν
Τατζικιστάν

Πιθανότατα, οι προγραμματιστές δεν θέλουν να προσελκύσουν την προσοχή των υπηρεσιών επιβολής του νόμου στις χώρες διαμονής τους και, ως εκ τούτου, δεν κρυπτογραφούν αρχεία στις «οικιακές» δικαιοδοσίες τους.

Εάν η διεύθυνση IP του θύματος δεν ανήκει στην παραπάνω λίστα, τότε ο ιός κρυπτογραφεί τις πληροφορίες του χρήστη.

Για να αποτραπεί η ανάκτηση αρχείων, τα σκιώδη αντίγραφά τους διαγράφονται:

Στη συνέχεια δημιουργεί μια λίστα αρχείων και φακέλων που δεν θα είναι κρυπτογραφημένα, καθώς και μια λίστα με επεκτάσεις αρχείων.

παράθυρα
$ RECYCLE.BIN
RSA
NTDETECT.COM
ntldr
ΜΣΔΟΣ.ΣΥΣ
ΙΩ.ΣΥΣ
boot.ini AUTOEXEC.BAT ntuser.dat
Desktop.ini
ΔΙΑΜΟΡΦΩΣΗ SYS.
BOOTSECT.BAK
Bootmgr
δεδομένα του προγράμματος
appdata
osoft
Κοινά αρχεία

log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY

Συσκότιση

Για την απόκρυψη διευθύνσεων URL και ενσωματωμένων δεδομένων διαμόρφωσης, ο Nemty χρησιμοποιεί έναν αλγόριθμο κωδικοποίησης base64 και RC4 με τη λέξη-κλειδί fuckav.

Η διαδικασία αποκρυπτογράφησης χρησιμοποιώντας το CryptStringToBinary είναι η εξής

Κρυπτογράφηση

Το Nemty χρησιμοποιεί κρυπτογράφηση τριών επιπέδων:

AES-128-CBC για αρχεία. Το κλειδί AES 128 bit δημιουργείται τυχαία και χρησιμοποιείται το ίδιο για όλα τα αρχεία. Αποθηκεύεται σε ένα αρχείο ρυθμίσεων στον υπολογιστή του χρήστη. Το IV δημιουργείται τυχαία για κάθε αρχείο και αποθηκεύεται σε ένα κρυπτογραφημένο αρχείο.
RSA-2048 για κρυπτογράφηση αρχείων IV. Δημιουργείται ένα ζεύγος κλειδιών για τη συνεδρία. Το ιδιωτικό κλειδί για τη συνεδρία αποθηκεύεται σε ένα αρχείο διαμόρφωσης στον υπολογιστή του χρήστη.
RSA-8192. Το κύριο δημόσιο κλειδί είναι ενσωματωμένο στο πρόγραμμα και χρησιμοποιείται για την κρυπτογράφηση του αρχείου διαμόρφωσης, το οποίο αποθηκεύει το κλειδί AES και το μυστικό κλειδί για την περίοδο λειτουργίας RSA-2048.
Το Nemty δημιουργεί αρχικά 32 byte τυχαίων δεδομένων. Τα πρώτα 16 byte χρησιμοποιούνται ως κλειδί AES-128-CBC.

Ο δεύτερος αλγόριθμος κρυπτογράφησης είναι ο RSA-2048. Το ζεύγος κλειδιών δημιουργείται από τη συνάρτηση CryptGenKey() και εισάγεται από τη συνάρτηση CryptImportKey().

Μόλις δημιουργηθεί το ζεύγος κλειδιών για τη συνεδρία, το δημόσιο κλειδί εισάγεται στον πάροχο υπηρεσιών κρυπτογράφησης MS.

Ένα παράδειγμα δημόσιου κλειδιού που δημιουργήθηκε για μια περίοδο λειτουργίας:

Στη συνέχεια, το ιδιωτικό κλειδί εισάγεται στο CSP.

Ένα παράδειγμα ιδιωτικού κλειδιού που δημιουργήθηκε για μια περίοδο λειτουργίας:

Και τελευταίο έρχεται το RSA-8192. Το κύριο δημόσιο κλειδί αποθηκεύεται σε κρυπτογραφημένη μορφή (Base64 + RC4) στην ενότητα .data του αρχείου PE.

Το κλειδί RSA-8192 μετά την αποκωδικοποίηση του base64 και την αποκρυπτογράφηση RC4 με τον κωδικό πρόσβασης fuckav μοιάζει με αυτό.

Ως αποτέλεσμα, ολόκληρη η διαδικασία κρυπτογράφησης μοιάζει με αυτό:

Δημιουργήστε ένα κλειδί AES 128-bit που θα χρησιμοποιηθεί για την κρυπτογράφηση όλων των αρχείων.
Δημιουργήστε ένα IV για κάθε αρχείο.
Δημιουργία ζεύγους κλειδιών για μια περίοδο λειτουργίας RSA-2048.
Αποκρυπτογράφηση ενός υπάρχοντος κλειδιού RSA-8192 με χρήση base64 και RC4.
Κρυπτογραφήστε τα περιεχόμενα του αρχείου χρησιμοποιώντας τον αλγόριθμο AES-128-CBC από το πρώτο βήμα.
Κρυπτογράφηση IV με χρήση δημόσιου κλειδιού RSA-2048 και κωδικοποίησης base64.
Προσθήκη κρυπτογραφημένου IV στο τέλος κάθε κρυπτογραφημένου αρχείου.
Προσθήκη κλειδιού AES και ιδιωτικού κλειδιού περιόδου λειτουργίας RSA-2048 στη διαμόρφωση.
Δεδομένα διαμόρφωσης που περιγράφονται στην ενότητα συλλογή πληροφοριών σχετικά με τον μολυσμένο υπολογιστή κρυπτογραφούνται χρησιμοποιώντας το κύριο δημόσιο κλειδί RSA-8192.
Το κρυπτογραφημένο αρχείο μοιάζει με αυτό:

Παράδειγμα κρυπτογραφημένων αρχείων:

Συλλογή πληροφοριών σχετικά με τον μολυσμένο υπολογιστή

Το ransomware συλλέγει κλειδιά για την αποκρυπτογράφηση μολυσμένων αρχείων, ώστε ο εισβολέας να μπορεί να δημιουργήσει πραγματικά έναν αποκρυπτογραφητή. Επιπλέον, η Nemty συλλέγει δεδομένα χρήστη όπως όνομα χρήστη, όνομα υπολογιστή, προφίλ υλικού.

Καλεί τις συναρτήσεις GetLogicalDrives(), GetFreeSpace(), GetDriveType() για να συλλέξει πληροφορίες σχετικά με τις μονάδες δίσκου του μολυσμένου υπολογιστή.

Οι πληροφορίες που συλλέγονται αποθηκεύονται σε ένα αρχείο διαμόρφωσης. Έχοντας αποκωδικοποιήσει τη συμβολοσειρά, λαμβάνουμε μια λίστα παραμέτρων στο αρχείο διαμόρφωσης:

Παράδειγμα διαμόρφωσης μολυσμένου υπολογιστή:

Το πρότυπο διαμόρφωσης μπορεί να αναπαρασταθεί ως εξής:

{"General": {"IP":"[IP]", "Country":"[Country]", "ComputerName":"[ComputerName]", "Username":"[Username]", "OS": "[OS]", "isRU":false, "version":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[FileID]_", "UserID":"[ UserID]", "key":"[key]", "pr_key":"[pr_key]

Το Nemty αποθηκεύει τα δεδομένα που συλλέγονται σε μορφή JSON στο αρχείο %USER%/_NEMTY_.nemty. Το αναγνωριστικό αρχείου αποτελείται από 7 χαρακτήρες και δημιουργείται τυχαία. Για παράδειγμα: _NEMTY_tgdLYrd_.nemty. Το αναγνωριστικό αρχείου προσαρτάται επίσης στο τέλος του κρυπτογραφημένου αρχείου.

Μήνυμα λύτρων

Μετά την κρυπτογράφηση των αρχείων, το αρχείο _NEMTY_[FileID]-DECRYPT.txt εμφανίζεται στην επιφάνεια εργασίας με το ακόλουθο περιεχόμενο:

Στο τέλος του αρχείου υπάρχουν κρυπτογραφημένες πληροφορίες για τον μολυσμένο υπολογιστή.

Επικοινωνία δικτύου

Η διαδικασία ironman.exe πραγματοποιεί λήψη της διανομής του προγράμματος περιήγησης Tor από τη διεύθυνση https://dist.torproject.org/torbrowser/8.5.4/tor-win32-0.4.0.5.zip και προσπαθεί να το εγκαταστήσει.

Στη συνέχεια, η Nemty προσπαθεί να στείλει δεδομένα διαμόρφωσης στο 127.0.0.1:9050, όπου αναμένει να βρει έναν λειτουργικό διακομιστή μεσολάβησης του προγράμματος περιήγησης Tor. Ωστόσο, από προεπιλογή ο διακομιστής μεσολάβησης Tor ακούει στη θύρα 9150 και η θύρα 9050 χρησιμοποιείται από τον δαίμονα Tor στο Linux ή το Expert Bundle στα Windows. Έτσι, δεν αποστέλλονται δεδομένα στον διακομιστή του εισβολέα. Αντίθετα, ο χρήστης μπορεί να πραγματοποιήσει λήψη του αρχείου διαμόρφωσης με μη αυτόματο τρόπο, επισκεπτόμενος την υπηρεσία αποκρυπτογράφησης Tor μέσω του συνδέσμου που παρέχεται στο μήνυμα λύτρων.

Σύνδεση σε διακομιστή μεσολάβησης Tor:

Το HTTP GET δημιουργεί ένα αίτημα στο 127.0.0.1:9050/public/gate?data=

Εδώ μπορείτε να δείτε τις ανοιχτές θύρες TCP που χρησιμοποιούνται από τον TORlocal proxy:

Υπηρεσία αποκρυπτογράφησης Nemty στο δίκτυο Tor:

Μπορείτε να ανεβάσετε μια κρυπτογραφημένη φωτογραφία (jpg, png, bmp) για να δοκιμάσετε την υπηρεσία αποκρυπτογράφησης.

Μετά από αυτό, ο εισβολέας ζητά να πληρώσει λύτρα. Σε περίπτωση μη πληρωμής η τιμή διπλασιάζεται.

Συμπέρασμα

Προς το παρόν, δεν είναι δυνατή η αποκρυπτογράφηση αρχείων που έχουν κρυπτογραφηθεί από τον Nemty χωρίς να πληρώσετε λύτρα. Αυτή η έκδοση του ransomware έχει κοινά χαρακτηριστικά με το Buran ransomware και το ξεπερασμένο GandCrab: συλλογή στο Borland Delphi και εικόνες με το ίδιο κείμενο. Επιπλέον, αυτός είναι ο πρώτος κρυπτογραφητής που χρησιμοποιεί κλειδί RSA 8092 bit, κάτι που και πάλι δεν έχει νόημα, αφού ένα κλειδί 1024 bit είναι αρκετό για προστασία. Τέλος, και είναι ενδιαφέρον, προσπαθεί να χρησιμοποιήσει λάθος θύρα για την τοπική υπηρεσία διακομιστή μεσολάβησης Tor.

Ωστόσο, λύσεις Το Acronis Backup и Acronis True Image εμποδίζουν το ransomware Nemty να φτάσει σε υπολογιστές και δεδομένα χρηστών και οι πάροχοι μπορούν να προστατεύσουν τους πελάτες τους με Acronis Backup Cloud. Γεμάτος Κυβερνοπροστασία παρέχει όχι μόνο αντίγραφα ασφαλείας, αλλά και προστασία κατά τη χρήση Acronis Active Protection, μια ειδική τεχνολογία που βασίζεται στην τεχνητή νοημοσύνη και στην ευρετική συμπεριφορά που σας επιτρέπει να εξουδετερώνετε ακόμη και άγνωστα κακόβουλα προγράμματα.

Πηγή: www.habr.com

Γνωρίστε το Nemty ransomware από τον ψεύτικο ιστότοπο του PayPal