ProHoster > وبلاگ > اداره > با باج افزار Nemty از سایت جعلی PayPal آشنا شوید
با باج افزار Nemty از سایت جعلی PayPal آشنا شوید
باج افزار جدیدی به نام Nemty در شبکه ظاهر شده است که ظاهراً جانشین GrandCrab یا Buran است. این بدافزار عمدتاً از وب سایت جعلی PayPal توزیع می شود و دارای تعدادی ویژگی جالب است. جزئیات در مورد نحوه عملکرد این باج افزار در دست بررسی است.
باج افزار جدید Nemty توسط کاربر کشف شد nao_sec 7 سپتامبر 2019. بدافزار از طریق یک وب سایت توزیع شده است مبدل به عنوان PayPal، همچنین امکان نفوذ باج افزار به رایانه از طریق کیت بهره برداری RIG وجود دارد. مهاجمان از روشهای مهندسی اجتماعی برای وادار کردن کاربر به اجرای فایل cashback.exe استفاده کردند که ظاهراً از وبسایت PayPal دریافت کرده است. همچنین عجیب است که Nemty پورت اشتباهی را برای سرویس پروکسی محلی Tor تعیین کرده است که از ارسال بدافزار جلوگیری میکند. داده ها به سرور بنابراین، اگر کاربر قصد دارد باج را بپردازد و منتظر رمزگشایی از سوی مهاجمان باشد، باید خودش فایل های رمزگذاری شده را در شبکه Tor بارگذاری کند.
چندین واقعیت جالب در مورد Nemty نشان می دهد که توسط همین افراد یا توسط مجرمان سایبری مرتبط با Buran و GrandCrab ساخته شده است.
مانند GandCrab، نمتی یک تخم مرغ عید پاک دارد - پیوندی به عکس ولادیمیر پوتین، رئیس جمهور روسیه با یک شوخی زشت. باج افزار قدیمی GandCrab تصویری با همان متن داشت.
مصنوعات زبان هر دو برنامه به همان نویسندگان روسی زبان اشاره دارد.
این اولین باج افزاری است که از کلید RSA 8092 بیتی استفاده می کند. اگرچه هیچ نکته ای در این وجود ندارد: یک کلید 1024 بیتی برای محافظت در برابر هک کاملاً کافی است.
مانند Buran، باج افزار با Object Pascal نوشته شده و در Borland Delphi کامپایل شده است.
تجزیه و تحلیل استاتیک
اجرای کدهای مخرب در چهار مرحله انجام می شود. اولین قدم اجرای cashback.exe است، یک فایل اجرایی PE32 تحت MS Windows با اندازه 1198936 بایت. کد آن در Visual C++ نوشته شده و در 14 اکتبر 2013 کامپایل شده است. این شامل یک بایگانی است که هنگام اجرای cashback.exe به طور خودکار باز می شود. این نرم افزار از کتابخانه Cabinet.dll و توابع آن FDICreate()، FDIDestroy() و موارد دیگر برای به دست آوردن فایل ها از آرشیو cab. استفاده می کند.
سپس temp.exe راه اندازی می شود، یک فایل اجرایی PE32 تحت MS Windows با اندازه 307200 بایت. کد در Visual C++ نوشته شده و با بستهکننده MPRESS، بستهبندی مشابه UPX، بستهبندی شده است.
مرحله بعدی ironman.exe است. پس از راه اندازی، temp.exe داده های تعبیه شده در temp را رمزگشایی می کند و نام آن را به ironman.exe تغییر می دهد، یک فایل اجرایی PE32 با حجم 544768 بایت. کد در Borland Delphi کامپایل شده است.
آخرین مرحله راه اندازی مجدد فایل ironman.exe است. در زمان اجرا، کد خود را تبدیل می کند و خود را از حافظه اجرا می کند. این نسخه از ironman.exe مخرب است و مسئول رمزگذاری است.
بردار حمله
در حال حاضر، باج افزار Nemty از طریق وب سایت pp-back.info توزیع می شود.
زنجیره کامل عفونت را می توان در مشاهده کرد app.any.run جعبه شنی.
نصب
Cashback.exe - آغاز حمله. همانطور که قبلا ذکر شد، cashback.exe فایل cab. موجود را باز می کند. سپس یک پوشه TMP4351$.TMP به شکل %TEMP%IXxxx.TMP ایجاد می کند که xxx عددی از 001 تا 999 است.
برای حذف فایل های بدون بسته بندی استفاده می شود. در نهایت، cashback.exe فرآیند temp.exe را شروع می کند.
Temp.exe دومین مرحله در زنجیره عفونت است
این فرآیندی است که توسط فایل cashback.exe، مرحله دوم اجرای ویروس راه اندازی شده است. سعی میکند AutoHotKey، ابزاری برای اجرای اسکریپتها در ویندوز را دانلود کند و اسکریپت WindowSpy.ahk را که در بخش منابع فایل PE قرار دارد، اجرا کند.
اسکریپت WindowSpy.ahk فایل temp را در ironman.exe با استفاده از الگوریتم RC4 و رمز عبور IwantAcake رمزگشایی می کند. کلید رمز عبور با استفاده از الگوریتم هش MD5 به دست می آید.
temp.exe سپس فرآیند ironman.exe را فراخوانی می کند.
Ironman.exe - مرحله سوم
Ironman.exe محتویات فایل iron.bmp را می خواند و یک فایل iron.txt با یک cryptolocker ایجاد می کند که در مرحله بعد راه اندازی می شود.
پس از این، ویروس iron.txt را در حافظه بارگذاری می کند و آن را با نام ironman.exe مجددا راه اندازی می کند. پس از این، iron.txt حذف می شود.
ironman.exe بخش اصلی باج افزار NEMTY است که فایل ها را در رایانه آسیب دیده رمزگذاری می کند. بدافزار یک mutex به نام نفرت ایجاد می کند.
اولین کاری که انجام می دهد تعیین موقعیت جغرافیایی کامپیوتر است. Nemty مرورگر را باز می کند و IP را در آن پیدا می کند http://api.ipify.org. برخط api.db-ip.com/v2/free[IP]/countryName کشور از روی IP دریافتی تعیین میشود و اگر رایانه در یکی از مناطق ذکر شده در زیر باشد، اجرای کد بدافزار متوقف میشود:
روسیه
بلاروس
اوکراین
قزاقستان
تاجیکستان
به احتمال زیاد، توسعه دهندگان نمی خواهند توجه سازمان های اجرای قانون را در کشورهای محل اقامت خود جلب کنند و بنابراین فایل ها را در حوزه قضایی "خانه" خود رمزگذاری نمی کنند.
اگر آدرس IP قربانی به لیست بالا تعلق نداشته باشد، ویروس اطلاعات کاربر را رمزگذاری می کند.
برای جلوگیری از بازیابی فایل، کپی های سایه آنها حذف می شوند:
سپس فهرستی از فایلها و پوشههایی که رمزگذاری نمیشوند و همچنین فهرستی از پسوندهای فایل ایجاد میکند.
پنجره
$RECYCLE.BIN
rsa
NTDETECT.COM
و غیره
MSDOS.SYS
IO.SYS
boot.ini AUTOEXEC.BAT ntuser.dat
desktop.ini
SYS CONFIG.
BOOTSECT.BAK
bootmgr
داده های برنامه
اطلاعات برنامه
osoft
فایل های رایج
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY
مبهم سازی
برای مخفی کردن URL ها و داده های پیکربندی جاسازی شده، Nemty از الگوریتم کدگذاری base64 و RC4 با کلمه کلیدی fuckav استفاده می کند.
فرآیند رمزگشایی با استفاده از CryptStringToBinary به شرح زیر است
رمزگذاری
Nemty از رمزگذاری سه لایه استفاده می کند:
AES-128-CBC برای فایل ها. کلید 128 بیتی AES به صورت تصادفی تولید می شود و برای همه فایل ها یکسان استفاده می شود. در یک فایل پیکربندی در رایانه کاربر ذخیره می شود. IV به صورت تصادفی برای هر فایل تولید و در یک فایل رمزگذاری شده ذخیره می شود.
RSA-2048 برای رمزگذاری فایل IV. یک جفت کلید برای جلسه ایجاد می شود. کلید خصوصی برای جلسه در یک فایل پیکربندی در رایانه کاربر ذخیره می شود.
RSA-8192. کلید عمومی اصلی در برنامه تعبیه شده است و برای رمزگذاری فایل پیکربندی استفاده می شود که کلید AES و کلید مخفی را برای جلسه RSA-2048 ذخیره می کند.
Nemty ابتدا 32 بایت داده تصادفی تولید می کند. 16 بایت اول به عنوان کلید AES-128-CBC استفاده می شود.
دومین الگوریتم رمزگذاری RSA-2048 است. جفت کلید توسط تابع CryptGenKey() تولید و توسط تابع CryptImportKey() وارد می شود.
هنگامی که جفت کلید برای جلسه ایجاد شد، کلید عمومی به ارائه دهنده خدمات رمزنگاری MS وارد می شود.
نمونه ای از یک کلید عمومی تولید شده برای یک جلسه:
بعد، کلید خصوصی به CSP وارد می شود.
نمونه ای از یک کلید خصوصی تولید شده برای یک جلسه:
و آخرین RSA-8192 است. کلید عمومی اصلی به صورت رمزگذاری شده (Base64 + RC4) در بخش .data فایل PE ذخیره می شود.
کلید RSA-8192 پس از رمزگشایی base64 و رمزگشایی RC4 با رمز عبور fuckav به این شکل است.
در نتیجه، کل فرآیند رمزگذاری به صورت زیر است:
یک کلید AES 128 بیتی ایجاد کنید که برای رمزگذاری همه فایل ها استفاده می شود.
برای هر فایل یک IV ایجاد کنید.
ایجاد یک جفت کلید برای جلسه RSA-2048.
رمزگشایی یک کلید RSA-8192 موجود با استفاده از base64 و RC4.
محتویات فایل را با استفاده از الگوریتم AES-128-CBC از مرحله اول رمزگذاری کنید.
رمزگذاری IV با استفاده از کلید عمومی RSA-2048 و رمزگذاری base64.
افزودن یک IV رمزگذاری شده به انتهای هر فایل رمزگذاری شده.
افزودن یک کلید AES و کلید خصوصی جلسه RSA-2048 به پیکربندی.
داده های پیکربندی که در بخش توضیح داده شده است جمع آوری اطلاعات در مورد کامپیوتر آلوده با استفاده از کلید عمومی اصلی RSA-8192 رمزگذاری می شوند.
فایل رمزگذاری شده به شکل زیر است:
نمونه ای از فایل های رمزگذاری شده:
جمع آوری اطلاعات در مورد کامپیوتر آلوده
باج افزار کلیدهایی را برای رمزگشایی فایل های آلوده جمع آوری می کند، بنابراین مهاجم می تواند در واقع یک رمزگشا ایجاد کند. علاوه بر این، Nemty داده های کاربر مانند نام کاربری، نام رایانه، مشخصات سخت افزاری را جمع آوری می کند.
توابع GetLogicalDrives()، GetFreeSpace()، GetDriveType() را برای جمع آوری اطلاعات در مورد درایوهای کامپیوتر آلوده فراخوانی می کند.
اطلاعات جمع آوری شده در یک فایل پیکربندی ذخیره می شود. پس از رمزگشایی رشته، لیستی از پارامترها را در فایل پیکربندی دریافت می کنیم:
Nemty داده های جمع آوری شده را در قالب JSON در فایل %USER%/_NEMTY_.nemty ذخیره می کند. FileID 7 کاراکتر است و به صورت تصادفی تولید می شود. به عنوان مثال: _NEMTY_tgdLYrd_.nemty. FileID نیز به انتهای فایل رمزگذاری شده اضافه می شود.
پیام باج
پس از رمزگذاری فایلها، فایل _NEMTY_[FileID]-DECRYPT.txt با محتوای زیر روی دسکتاپ ظاهر میشود:
در انتهای فایل اطلاعات رمزگذاری شده در مورد کامپیوتر آلوده وجود دارد.
سپس Nemty سعی میکند دادههای پیکربندی را به 127.0.0.1:9050 ارسال کند، جایی که انتظار دارد یک پراکسی مرورگر Tor را پیدا کند. با این حال، بهطور پیشفرض، پراکسی Tor به پورت 9150 گوش میدهد و پورت 9050 توسط شبح Tor در لینوکس یا Expert Bundle در ویندوز استفاده میشود. بنابراین هیچ داده ای به سرور مهاجم ارسال نمی شود. در عوض، کاربر می تواند با مراجعه به سرویس رمزگشایی Tor از طریق پیوند ارائه شده در پیام باج، فایل پیکربندی را به صورت دستی دانلود کند.
اتصال به پروکسی Tor:
HTTP GET یک درخواست به 127.0.0.1:9050/public/gate?data= ایجاد می کند
در اینجا می توانید پورت های باز TCP را که توسط پراکسی TORlocal استفاده می شود، مشاهده کنید:
سرویس رمزگشایی Nemty در شبکه Tor:
برای آزمایش سرویس رمزگشایی می توانید یک عکس رمزگذاری شده (jpg، png، bmp) آپلود کنید.
پس از این، مهاجم درخواست باج می کند. در صورت عدم پرداخت قیمت دو برابر می شود.
نتیجه
در حال حاضر رمزگشایی فایل های رمزگذاری شده توسط نمتی بدون پرداخت باج امکان پذیر نیست. این نسخه از باج افزار دارای ویژگی های مشترک با باج افزار Buran و GandCrab قدیمی است: گردآوری در Borland Delphi و تصاویر با متن مشابه. علاوه بر این، این اولین رمزگذاری است که از یک کلید RSA 8092 بیتی استفاده می کند، که باز هم معنی ندارد، زیرا یک کلید 1024 بیتی برای محافظت کافی است. در نهایت و جالب اینکه سعی می کند از پورت اشتباهی برای سرویس پراکسی Tor محلی استفاده کند.
با این حال، راه حل ها پشتیبان گیری Acronis и Acronis True Image از رسیدن باج افزار Nemty به رایانه های شخصی و داده های کاربر جلوگیری می کند و ارائه دهندگان می توانند از مشتریان خود محافظت کنند. Acronis Backup Cloud... پر شده حفاظت سایبری نه تنها پشتیبان گیری، بلکه با استفاده از محافظت نیز فراهم می کند حفاظت فعال Acronis، یک فناوری ویژه مبتنی بر هوش مصنوعی و اکتشافی رفتاری که به شما امکان می دهد حتی بدافزارهای ناشناخته را خنثی کنید.