با باج افزار Nemty از سایت جعلی PayPal آشنا شوید

باج افزار جدیدی به نام Nemty در شبکه ظاهر شده است که ظاهراً جانشین GrandCrab یا Buran است. این بدافزار عمدتاً از وب سایت جعلی PayPal توزیع می شود و دارای تعدادی ویژگی جالب است. جزئیات در مورد نحوه عملکرد این باج افزار در دست بررسی است.

باج افزار جدید Nemty توسط کاربر کشف شد nao_sec 7 سپتامبر 2019. بدافزار از طریق یک وب سایت توزیع شده است مبدل به عنوان PayPal، همچنین امکان نفوذ باج افزار به رایانه از طریق کیت بهره برداری RIG وجود دارد. مهاجمان از روش‌های مهندسی اجتماعی برای وادار کردن کاربر به اجرای فایل cashback.exe استفاده کردند که ظاهراً از وب‌سایت PayPal دریافت کرده است. همچنین عجیب است که Nemty پورت اشتباهی را برای سرویس پروکسی محلی Tor تعیین کرده است که از ارسال بدافزار جلوگیری می‌کند. داده ها به سرور بنابراین، اگر کاربر قصد دارد باج را بپردازد و منتظر رمزگشایی از سوی مهاجمان باشد، باید خودش فایل های رمزگذاری شده را در شبکه Tor بارگذاری کند.

چندین واقعیت جالب در مورد Nemty نشان می دهد که توسط همین افراد یا توسط مجرمان سایبری مرتبط با Buran و GrandCrab ساخته شده است.

• مانند GandCrab، نمتی یک تخم مرغ عید پاک دارد - پیوندی به عکس ولادیمیر پوتین، رئیس جمهور روسیه با یک شوخی زشت. باج افزار قدیمی GandCrab تصویری با همان متن داشت.
• مصنوعات زبان هر دو برنامه به همان نویسندگان روسی زبان اشاره دارد.
• این اولین باج افزاری است که از کلید RSA 8092 بیتی استفاده می کند. اگرچه هیچ نکته ای در این وجود ندارد: یک کلید 1024 بیتی برای محافظت در برابر هک کاملاً کافی است.
• مانند Buran، باج افزار با Object Pascal نوشته شده و در Borland Delphi کامپایل شده است.

تجزیه و تحلیل استاتیک

اجرای کدهای مخرب در چهار مرحله انجام می شود. اولین قدم اجرای cashback.exe است، یک فایل اجرایی PE32 تحت MS Windows با اندازه 1198936 بایت. کد آن در Visual C++ نوشته شده و در 14 اکتبر 2013 کامپایل شده است. این شامل یک بایگانی است که هنگام اجرای cashback.exe به طور خودکار باز می شود. این نرم افزار از کتابخانه Cabinet.dll و توابع آن FDICreate()، FDIDestroy() و موارد دیگر برای به دست آوردن فایل ها از آرشیو cab. استفاده می کند.

SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC

پس از باز کردن آرشیو، سه فایل ظاهر می شود.

سپس temp.exe راه اندازی می شود، یک فایل اجرایی PE32 تحت MS Windows با اندازه 307200 بایت. کد در Visual C++ نوشته شده و با بسته‌کننده MPRESS، بسته‌بندی مشابه UPX، بسته‌بندی شده است.

SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD

مرحله بعدی ironman.exe است. پس از راه اندازی، temp.exe داده های تعبیه شده در temp را رمزگشایی می کند و نام آن را به ironman.exe تغییر می دهد، یک فایل اجرایی PE32 با حجم 544768 بایت. کد در Borland Delphi کامپایل شده است.

SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88

آخرین مرحله راه اندازی مجدد فایل ironman.exe است. در زمان اجرا، کد خود را تبدیل می کند و خود را از حافظه اجرا می کند. این نسخه از ironman.exe مخرب است و مسئول رمزگذاری است.

بردار حمله

در حال حاضر، باج افزار Nemty از طریق وب سایت pp-back.info توزیع می شود.

زنجیره کامل عفونت را می توان در مشاهده کرد app.any.run جعبه شنی.

نصب

Cashback.exe - آغاز حمله. همانطور که قبلا ذکر شد، cashback.exe فایل cab. موجود را باز می کند. سپس یک پوشه TMP4351$.TMP به شکل %TEMP%IXxxx.TMP ایجاد می کند که xxx عددی از 001 تا 999 است.

سپس یک کلید رجیستری نصب می شود که به شکل زیر است:

[HKLMSOFTWAREWOW6432NodeMicrosoftWindowsCurrentVersionRunOncewextract_cleanup0]
“rundll32.exe” “C:Windowssystem32advpack.dll,DelNodeRunDLL32 “C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP””

برای حذف فایل های بدون بسته بندی استفاده می شود. در نهایت، cashback.exe فرآیند temp.exe را شروع می کند.

Temp.exe دومین مرحله در زنجیره عفونت است

این فرآیندی است که توسط فایل cashback.exe، مرحله دوم اجرای ویروس راه اندازی شده است. سعی می‌کند AutoHotKey، ابزاری برای اجرای اسکریپت‌ها در ویندوز را دانلود کند و اسکریپت WindowSpy.ahk را که در بخش منابع فایل PE قرار دارد، اجرا کند.

اسکریپت WindowSpy.ahk فایل temp را در ironman.exe با استفاده از الگوریتم RC4 و رمز عبور IwantAcake رمزگشایی می کند. کلید رمز عبور با استفاده از الگوریتم هش MD5 به دست می آید.

temp.exe سپس فرآیند ironman.exe را فراخوانی می کند.

Ironman.exe - مرحله سوم

Ironman.exe محتویات فایل iron.bmp را می خواند و یک فایل iron.txt با یک cryptolocker ایجاد می کند که در مرحله بعد راه اندازی می شود.

پس از این، ویروس iron.txt را در حافظه بارگذاری می کند و آن را با نام ironman.exe مجددا راه اندازی می کند. پس از این، iron.txt حذف می شود.

ironman.exe بخش اصلی باج افزار NEMTY است که فایل ها را در رایانه آسیب دیده رمزگذاری می کند. بدافزار یک mutex به نام نفرت ایجاد می کند.

اولین کاری که انجام می دهد تعیین موقعیت جغرافیایی کامپیوتر است. Nemty مرورگر را باز می کند و IP را در آن پیدا می کند http://api.ipify.org. برخط api.db-ip.com/v2/free[IP]/countryName کشور از روی IP دریافتی تعیین می‌شود و اگر رایانه در یکی از مناطق ذکر شده در زیر باشد، اجرای کد بدافزار متوقف می‌شود:

• روسیه
• بلاروس
• اوکراین
• قزاقستان
• تاجیکستان

به احتمال زیاد، توسعه دهندگان نمی خواهند توجه سازمان های اجرای قانون را در کشورهای محل اقامت خود جلب کنند و بنابراین فایل ها را در حوزه قضایی "خانه" خود رمزگذاری نمی کنند.

اگر آدرس IP قربانی به لیست بالا تعلق نداشته باشد، ویروس اطلاعات کاربر را رمزگذاری می کند.

برای جلوگیری از بازیابی فایل، کپی های سایه آنها حذف می شوند:

سپس فهرستی از فایل‌ها و پوشه‌هایی که رمزگذاری نمی‌شوند و همچنین فهرستی از پسوندهای فایل ایجاد می‌کند.

• پنجره
• $RECYCLE.BIN
• rsa
• NTDETECT.COM
• و غیره
• MSDOS.SYS
• IO.SYS
• boot.ini AUTOEXEC.BAT ntuser.dat
• desktop.ini
• SYS CONFIG.
• BOOTSECT.BAK
• bootmgr
• داده های برنامه
• اطلاعات برنامه
• osoft
• فایل های رایج

log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY 

مبهم سازی

برای مخفی کردن URL ها و داده های پیکربندی جاسازی شده، Nemty از الگوریتم کدگذاری base64 و RC4 با کلمه کلیدی fuckav استفاده می کند.

فرآیند رمزگشایی با استفاده از CryptStringToBinary به شرح زیر است

رمزگذاری

Nemty از رمزگذاری سه لایه استفاده می کند:

• AES-128-CBC برای فایل ها. کلید 128 بیتی AES به صورت تصادفی تولید می شود و برای همه فایل ها یکسان استفاده می شود. در یک فایل پیکربندی در رایانه کاربر ذخیره می شود. IV به صورت تصادفی برای هر فایل تولید و در یک فایل رمزگذاری شده ذخیره می شود.
• RSA-2048 برای رمزگذاری فایل IV. یک جفت کلید برای جلسه ایجاد می شود. کلید خصوصی برای جلسه در یک فایل پیکربندی در رایانه کاربر ذخیره می شود.
• RSA-8192. کلید عمومی اصلی در برنامه تعبیه شده است و برای رمزگذاری فایل پیکربندی استفاده می شود که کلید AES و کلید مخفی را برای جلسه RSA-2048 ذخیره می کند.
• Nemty ابتدا 32 بایت داده تصادفی تولید می کند. 16 بایت اول به عنوان کلید AES-128-CBC استفاده می شود.

دومین الگوریتم رمزگذاری RSA-2048 است. جفت کلید توسط تابع CryptGenKey() تولید و توسط تابع CryptImportKey() وارد می شود.

هنگامی که جفت کلید برای جلسه ایجاد شد، کلید عمومی به ارائه دهنده خدمات رمزنگاری MS وارد می شود.

نمونه ای از یک کلید عمومی تولید شده برای یک جلسه:

بعد، کلید خصوصی به CSP وارد می شود.

نمونه ای از یک کلید خصوصی تولید شده برای یک جلسه:

و آخرین RSA-8192 است. کلید عمومی اصلی به صورت رمزگذاری شده (Base64 + RC4) در بخش .data فایل PE ذخیره می شود.

کلید RSA-8192 پس از رمزگشایی base64 و رمزگشایی RC4 با رمز عبور fuckav به این شکل است.

در نتیجه، کل فرآیند رمزگذاری به صورت زیر است:

• یک کلید AES 128 بیتی ایجاد کنید که برای رمزگذاری همه فایل ها استفاده می شود.
• برای هر فایل یک IV ایجاد کنید.
• ایجاد یک جفت کلید برای جلسه RSA-2048.
• رمزگشایی یک کلید RSA-8192 موجود با استفاده از base64 و RC4.
• محتویات فایل را با استفاده از الگوریتم AES-128-CBC از مرحله اول رمزگذاری کنید.
• رمزگذاری IV با استفاده از کلید عمومی RSA-2048 و رمزگذاری base64.
• افزودن یک IV رمزگذاری شده به انتهای هر فایل رمزگذاری شده.
• افزودن یک کلید AES و کلید خصوصی جلسه RSA-2048 به پیکربندی.
• داده های پیکربندی که در بخش توضیح داده شده است جمع آوری اطلاعات در مورد کامپیوتر آلوده با استفاده از کلید عمومی اصلی RSA-8192 رمزگذاری می شوند.
• فایل رمزگذاری شده به شکل زیر است:

نمونه ای از فایل های رمزگذاری شده:

جمع آوری اطلاعات در مورد کامپیوتر آلوده

باج افزار کلیدهایی را برای رمزگشایی فایل های آلوده جمع آوری می کند، بنابراین مهاجم می تواند در واقع یک رمزگشا ایجاد کند. علاوه بر این، Nemty داده های کاربر مانند نام کاربری، نام رایانه، مشخصات سخت افزاری را جمع آوری می کند.

توابع GetLogicalDrives()، GetFreeSpace()، GetDriveType() را برای جمع آوری اطلاعات در مورد درایوهای کامپیوتر آلوده فراخوانی می کند.

اطلاعات جمع آوری شده در یک فایل پیکربندی ذخیره می شود. پس از رمزگشایی رشته، لیستی از پارامترها را در فایل پیکربندی دریافت می کنیم:

نمونه پیکربندی یک کامپیوتر آلوده:

الگوی پیکربندی را می توان به صورت زیر نشان داد:

{"General": {"IP":"[IP]"، "Country":"[Country]، "ComputerName":"[ComputerName]، "Username":"[Username]، "OS": "[OS]"، "isRU":false، "نسخه":"1.4"، "CompID":"{[CompID]}، "FileID":"_NEMTY_[FileID]_، "UserID":"[ UserID]، "key":"[key]، "pr_key":"[pr_key]

Nemty داده های جمع آوری شده را در قالب JSON در فایل %USER%/_NEMTY_.nemty ذخیره می کند. FileID 7 کاراکتر است و به صورت تصادفی تولید می شود. به عنوان مثال: _NEMTY_tgdLYrd_.nemty. FileID نیز به انتهای فایل رمزگذاری شده اضافه می شود.

پیام باج

پس از رمزگذاری فایل‌ها، فایل _NEMTY_[FileID]-DECRYPT.txt با محتوای زیر روی دسک‌تاپ ظاهر می‌شود:

در انتهای فایل اطلاعات رمزگذاری شده در مورد کامپیوتر آلوده وجود دارد.

ارتباطات شبکه

فرآیند ironman.exe توزیع مرورگر Tor را از آدرس دانلود می کند https://dist.torproject.org/torbrowser/8.5.4/tor-win32-0.4.0.5.zip و سعی می کند آن را نصب کند.

سپس Nemty سعی می‌کند داده‌های پیکربندی را به 127.0.0.1:9050 ارسال کند، جایی که انتظار دارد یک پراکسی مرورگر Tor را پیدا کند. با این حال، به‌طور پیش‌فرض، پراکسی Tor به پورت 9150 گوش می‌دهد و پورت 9050 توسط شبح Tor در لینوکس یا Expert Bundle در ویندوز استفاده می‌شود. بنابراین هیچ داده ای به سرور مهاجم ارسال نمی شود. در عوض، کاربر می تواند با مراجعه به سرویس رمزگشایی Tor از طریق پیوند ارائه شده در پیام باج، فایل پیکربندی را به صورت دستی دانلود کند.

اتصال به پروکسی Tor:

HTTP GET یک درخواست به 127.0.0.1:9050/public/gate?data= ایجاد می کند

در اینجا می توانید پورت های باز TCP را که توسط پراکسی TORlocal استفاده می شود، مشاهده کنید:

سرویس رمزگشایی Nemty در شبکه Tor:

برای آزمایش سرویس رمزگشایی می توانید یک عکس رمزگذاری شده (jpg، png، bmp) آپلود کنید.

پس از این، مهاجم درخواست باج می کند. در صورت عدم پرداخت قیمت دو برابر می شود.

نتیجه

در حال حاضر رمزگشایی فایل های رمزگذاری شده توسط نمتی بدون پرداخت باج امکان پذیر نیست. این نسخه از باج افزار دارای ویژگی های مشترک با باج افزار Buran و GandCrab قدیمی است: گردآوری در Borland Delphi و تصاویر با متن مشابه. علاوه بر این، این اولین رمزگذاری است که از یک کلید RSA 8092 بیتی استفاده می کند، که باز هم معنی ندارد، زیرا یک کلید 1024 بیتی برای محافظت کافی است. در نهایت و جالب اینکه سعی می کند از پورت اشتباهی برای سرویس پراکسی Tor محلی استفاده کند.

با این حال، راه حل ها پشتیبان گیری Acronis и Acronis True Image از رسیدن باج افزار Nemty به رایانه های شخصی و داده های کاربر جلوگیری می کند و ارائه دهندگان می توانند از مشتریان خود محافظت کنند. Acronis Backup Cloud... پر شده حفاظت سایبری نه تنها پشتیبان گیری، بلکه با استفاده از محافظت نیز فراهم می کند حفاظت فعال Acronis، یک فناوری ویژه مبتنی بر هوش مصنوعی و اکتشافی رفتاری که به شما امکان می دهد حتی بدافزارهای ناشناخته را خنثی کنید.

منبع: www.habr.com