Nemty izeneko ransomware berri bat agertu da sarean, ustez GrandCrab edo Buranen ondorengoa dena. Malwarea gehienbat PayPal webgune faltsutik banatzen da eta hainbat ezaugarri interesgarri ditu. Ransomware honen funtzionamenduari buruzko xehetasunak moztuta daude.
Erabiltzaileak aurkitu du Nemty ransomware berria 7ko irailaren 2019a. Malwarea webgune baten bidez banatu zen , RIG ustiapen-kitaren bidez ransomwarea ordenagailu batean sartzea ere posible da. Erasotzaileek ingeniaritza sozialeko metodoak erabili zituzten erabiltzailea cashback.exe fitxategia exekutatzera behartzeko, ustez PayPal webgunetik jaso zuena. Bitxia da Nemtyk tokiko proxy zerbitzurako Tor tokiko ataka okerra zehaztu izana, eta horrek malwarea bidaltzea eragozten du. datuak zerbitzariari. Hori dela eta, erabiltzaileak enkriptatutako fitxategiak Tor sarera berak igo beharko ditu erreskatea ordaindu eta erasotzaileen deszifraketaren zain egon nahi badu.
Nemtyri buruzko hainbat datu interesgarrik iradokitzen dute pertsona berberek edo Buran eta GrandCrab-ekin lotutako ziberkriminalek garatu zutela.
- GandCrab-ek bezala, Nemtyk Pazko arrautza bat du - Vladimir Putin Errusiako presidentearen argazki baten esteka txantxa lizun batekin. GandCrab ransomware-ak testu berdineko irudi bat zuen.
- Bi programen hizkuntza artefaktuek errusieraz hitz egiten duten egile berberak seinalatzen dituzte.
- Hau da 8092 biteko RSA gakoa erabiltzen duen lehen ransomwarea. Honek ezertarako balio ez duen arren: 1024 biteko gakoa nahikoa da hackingetik babesteko.
- Buran bezala, ransomwarea Object Pascal-en idatzita dago eta Borland Delphi-n konpilatuta dago.
Analisi Estatikoa
Kode maltzurren exekuzioa lau fasetan gertatzen da. Lehen urratsa cashback.exe exekutatzen da, MS Windows-en PE32 fitxategi exekutagarria 1198936 byteko tamaina duena. Bere kodea Visual C++-n idatzi zen eta 14ko urriaren 2013an bildu zen. Cashback.exe exekutatzen duzunean automatikoki deskonprimitzen den artxibo bat dauka. Softwareak Cabinet.dll liburutegia eta bere funtzioak FDICreate(), FDIDestroy() eta beste batzuk erabiltzen ditu .cab artxibotik fitxategiak lortzeko.
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
Artxiboa deskonprimitu ondoren, hiru fitxategi agertuko dira.
Ondoren, temp.exe abiarazten da, MS Windows-en PE32 fitxategi exekutagarria 307200 byteko tamaina duena. Kodea Visual C++-n idatzita dago eta MPRESS packer-ekin paketatuta dago, UPX-ren antzekoa.
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
Hurrengo urratsa ironman.exe da. Abian jarri ondoren, temp.exe-k kapsulatutako datuak deszifratzen ditu temp-ean eta ironman.exe izendatzen du, 32 byteko PE544768 fitxategi exekutagarria. Kodea Borland Delphi-n biltzen da.
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
Azken urratsa ironman.exe fitxategia berrabiaraztea da. Exekuzioan, bere kodea eraldatzen du eta memoriatik exekutatzen du. ironman.exe bertsio hau gaiztoa da eta enkriptatzeaz arduratzen da.
Eraso bektorea
Gaur egun, Nemty ransomware pp-back.info webgunearen bidez banatzen da.
Infekzio-kate osoa hemen ikus daiteke hareatza.
Instalazio-
Cashback.exe - erasoaren hasiera. Esan bezala, cashback.exe-k daukan .cab fitxategia deskonprimitzen du. Ondoren, %TEMP%IXxxx.TMP formako TMP4351$.TMP karpeta bat sortzen du, non xxx 001etik 999ra bitarteko zenbakia den.
Ondoren, erregistroko gako bat instalatzen da, itxura hau duena:
"rundll32.exe" "C:Windowssystem32advpack.dll, DelNodeRunDLL32 "C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP""
Despakitu gabeko fitxategiak ezabatzeko erabiltzen da. Azkenik, cashback.exe temp.exe prozesua abiarazten du.
Temp.exe infekzio-katearen bigarren etapa da
Hau cashback.exe fitxategiak abiarazitako prozesua da, birusaren exekuzioaren bigarren urratsa. AutoHotKey deskargatzen saiatzen da, Windows-en script-ak exekutatzeko tresna, eta PE fitxategiko baliabideen atalean dagoen WindowSpy.ahk scripta exekutatzen saiatzen da.
WindowSpy.ahk script-ak ironman.exe-ko fitxategi temporanea deszifratzen du RC4 algoritmoa eta IwantAcake pasahitza erabiliz. Pasahitzaren gakoa MD5 hashing algoritmoa erabiliz lortzen da.
temp.exe-k ironman.exe prozesua deitzen du.
Ironman.exe - hirugarren urratsa
Ironman.exe-k iron.bmp fitxategiaren edukia irakurtzen du eta iron.txt fitxategi bat sortzen du hurrengo abiaraziko den kriptoblokeatzaile batekin.
Horren ondoren, birusak iron.txt kargatzen du memorian eta ironman.exe gisa berrabiaraziko du. Horren ondoren, iron.txt ezabatzen da.
ironman.exe NEMTY ransomwarearen zati nagusia da, kaltetutako ordenagailuan fitxategiak enkriptatzen dituena. Malwareak gorroto izeneko mutex bat sortzen du.
Egiten duen lehenengo gauza ordenagailuaren kokapen geografikoa zehaztea da. Nemty-k arakatzailea irekitzen du eta IP-a aurkitzen du . Gunean [IP]/countryName Herrialdea jasotako IPtik zehazten da, eta ordenagailua behean zerrendatutako eskualdeetako batean badago, malware kodearen exekuzioa gelditzen da:
- Errusia
- Byelorussia
- Ukraine
- Kazakhstan
- Tajikistan
Seguruenik, garatzaileek ez dute beren bizilekuetako herrialdeetako lege betearazteko agentzien arreta erakarri nahi, eta, beraz, ez dituzte fitxategiak enkriptatzen beren "etxeko" jurisdikzioetan.
Biktimaren IP helbidea goiko zerrendakoa ez bada, birusak erabiltzailearen informazioa enkriptatzen du.
Fitxategiak berreskuratzea ekiditeko, haien itzal kopiak ezabatzen dira:
Ondoren, zifratuko ez diren fitxategi eta karpeten zerrenda sortzen du, baita fitxategi-luzapenen zerrenda ere.
- leihoak
- $BERZIKLATU.BIN
- rsa
- NTDETECT.COM
- ntldr
- MSDOS.SYS
- IO.SYS
- boot.ini AUTOEXEC.BAT ntuser.dat
- mahaigaina.ini
- CONFIG.SYS
- BOOTSECT.BAK
- bootmgr
- programaren datuak
- Aplikazio datuak
- osoft
- Fitxategi komunak
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY Lausotzea
URLak eta kapsulatutako konfigurazio-datuak ezkutatzeko, Nemtyk base64 eta RC4 kodeketa algoritmo bat erabiltzen du fuckav gako-hitzarekin.
Deszifratze prozesua CryptStringToBinary erabiliz honako hau da
enkriptatze
Nemtyk hiru geruzako enkriptatzea erabiltzen du:
- AES-128-CBC fitxategietarako. 128 biteko AES gakoa ausaz sortzen da eta berdin erabiltzen da fitxategi guztietan. Erabiltzailearen ordenagailuko konfigurazio fitxategi batean gordetzen da. IV ausaz sortzen da fitxategi bakoitzerako eta enkriptatutako fitxategi batean gordetzen da.
- Fitxategiak enkriptatzeko RSA-2048 IV. Saiorako gako bikote bat sortzen da. Saioaren gako pribatua erabiltzailearen ordenagailuko konfigurazio fitxategi batean gordetzen da.
- RSA-8192. Gako publiko nagusia programan integratuta dago eta konfigurazio fitxategia enkriptatzeko erabiltzen da, RSA-2048 saiorako AES gakoa eta gako sekretua gordetzen dituena.
- Nemtyk lehenik 32 byte ausazko datu sortzen ditu. Lehenengo 16 byteak AES-128-CBC gako gisa erabiltzen dira.
Bigarren zifratze algoritmoa RSA-2048 da. Gako bikotea CryptGenKey() funtzioak sortzen du eta CryptImportKey() funtzioak inportatzen du.
Saiorako gako bikotea sortu ondoren, gako publikoa MS Cryptographic Service Providerra inportatzen da.
Saio baterako sortutako gako publiko baten adibidea:
Ondoren, gako pribatua CSPra inportatzen da.
Saio baterako sortutako gako pribatu baten adibidea:
Eta azkena RSA-8192 dator. Gako publiko nagusia enkriptatutako forman gordetzen da (Base64 + RC4) PE fitxategiko .data atalean.
RSA-8192 gakoak base64 deskodetu eta RC4 deszifratu ondoren fuckav pasahitzarekin itxura hau du.
Ondorioz, zifratze prozesu osoa honelakoa da:
- Sortu 128 biteko AES gako bat, fitxategi guztiak enkriptatzeko erabiliko dena.
- Sortu IV bat fitxategi bakoitzeko.
- RSA-2048 saio baterako gako bikote bat sortzea.
- Lehendik dagoen RSA-8192 gako baten desenkriptatzea base64 eta RC4 erabiliz.
- Zifratu fitxategien edukia AES-128-CBC algoritmoa erabiliz lehen urratsetik.
- IV enkriptatzea RSA-2048 gako publikoa eta base64 kodeketa erabiliz.
- Enkriptatutako IV bat gehitzea enkriptatutako fitxategi bakoitzaren amaieran.
- AES gakoa eta RSA-2048 saioko gako pribatua gehitzea konfigurazioari.
- atalean deskribatutako konfigurazio datuak kutsatutako ordenagailuari buruz RSA-8192 gako publiko nagusia erabiliz zifratzen dira.
- Enkriptatutako fitxategiak itxura hau du:
Enkriptatutako fitxategien adibidea:
Kutsatutako ordenagailuari buruzko informazioa biltzea
Ransomwareak infektatutako fitxategiak deszifratzeko gakoak biltzen ditu, beraz, erasotzaileak deszifratzaile bat sor dezake. Horrez gain, Nemty-k erabiltzaileen datuak biltzen ditu, hala nola, erabiltzaile-izena, ordenagailuaren izena, hardware-profila.
GetLogicalDrives(), GetFreeSpace(), GetDriveType() funtzioetara deitzen du kutsatutako ordenagailuaren unitateei buruzko informazioa biltzeko.
Bildutako informazioa konfigurazio fitxategi batean gordetzen da. Katea deskodetu ondoren, parametroen zerrenda bat jasoko dugu konfigurazio fitxategian:
Kutsatutako ordenagailu baten konfigurazio adibidea:
Konfigurazio txantiloia honela irudikatu daiteke:
{"General": {"IP":"[IP]", "Herrialdea":"[Herrialdea]", "Ordenagailuaren izena":"[Ordenagailuaren izena]", "Erabiltzaile izena":"[Erabiltzaile izena]", "OS": "[OS]", "isRU":false, "bertsioa":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[FileID]_", "UserID":"[ Erabiltzaile ID]", "gakoa":"[gakoa]", "pr_key":"[pr_key]
Nemty-k bildutako datuak JSON formatuan gordetzen ditu %USER%/_NEMTY_.nemty fitxategian. Fitxategiaren IDa 7 karaktere ditu eta ausaz sortzen da. Adibidez: _NEMTY_tgdLYrd_.nemty. Fitxategiaren IDa ere enkriptatutako fitxategiaren amaieran eransten da.
Erreskate mezua
Fitxategiak enkriptatu ondoren, _NEMTY_[FileID]-DECRYPT.txt fitxategia mahaigainean agertzen da eduki honekin:
Fitxategiaren amaieran kutsatutako ordenagailuari buruzko informazio zifratua dago.
Sareko komunikazioa
ironman.exe prozesuak Tor arakatzailearen banaketa deskargatzen du helbidetik eta instalatzen saiatzen da.
Nemty-k konfigurazio-datuak 127.0.0.1:9050-ra bidaltzen saiatzen da, non funtzionatzen duen Tor arakatzailearen proxy bat aurkitzea espero du. Hala ere, lehenespenez Tor proxyak 9150 atakan entzuten du, eta 9050 ataka Linux-en Tor daemonak edo Expert Bundle Windows-en erabiltzen du. Horrela, ez da daturik bidaltzen erasotzailearen zerbitzarira. Horren ordez, erabiltzaileak eskuz deskargatu dezake konfigurazio fitxategia Tor deszifratze zerbitzua bisitatuz erreskate mezuan emandako estekaren bidez.
Tor proxy-ra konektatzen:
HTTP GET-k eskaera bat sortzen du 127.0.0.1:9050/public/gate?data=
Hemen TORlocal proxyak erabiltzen dituen TCP portu irekiak ikus ditzakezu:
Nemty deszifratze zerbitzua Tor sarean:
Enkriptatutako argazki bat (jpg, png, bmp) igo dezakezu deszifratze-zerbitzua probatzeko.
Horren ostean, erasotzaileak erreskatea ordaintzeko eskatzen du. Ordainketarik egin ezean prezioa bikoiztu egiten da.
Ondorioa
Momentuz, ezin da Nemty-k enkriptatutako fitxategiak deszifratu erreskatea ordaindu gabe. Ransomwarearen bertsio honek ezaugarri komunak ditu Buran ransomwarearekin eta GandCrab zaharkituarekin: Borland Delphi-n biltzea eta testu berdineko irudiak. Horrez gain, hau da 8092 biteko RSA gako bat erabiltzen duen lehen enkriptatzailea, eta horrek, berriro ere, ez du zentzurik, 1024 biteko gakoa nahikoa baita babesteko. Azkenik, eta interesgarria da, tokiko Tor proxy zerbitzurako ataka okerra erabiltzen saiatzen da.
Hala ere, irtenbideak ΠΈ Saihestu Nemty ransomwarea erabiltzailearen ordenagailuetara eta datuetara iristea, eta hornitzaileek bezeroak babestu ditzakete ... Osoa babeskopia ez ezik, babesa ere eskaintzen du , adimen artifizialean eta jokabide-heuristikan oinarritutako teknologia berezia, oraindik malware ezezaguna ere neutralizatzeko aukera ematen duena.
Iturria: www.habr.com