Verkkoon on ilmestynyt uusi kiristysohjelma nimeltä Nemty, jonka oletetaan olevan GrandCrabin tai Buranin seuraaja. Haittaohjelma levitetään pääasiassa väärennetyltä PayPal-sivustolta, ja siinä on useita mielenkiintoisia ominaisuuksia. Yksityiskohdat tämän kiristysohjelman toiminnasta ovat poissa.
Käyttäjä löysi uuden Nemty-lunnasohjelman 7. syyskuuta 2019. Haittaohjelmaa levitettiin verkkosivuston kautta , on myös mahdollista, että lunnasohjelmat voivat tunkeutua tietokoneeseen RIG-hyötysarjan kautta. Hyökkääjät käyttivät manipulointimenetelmiä pakottaakseen käyttäjän suorittamaan cashback.exe-tiedoston, jonka hän väitti saaneen PayPal-verkkosivustolta. On myös outoa, että Nemty määritti paikalliselle välityspalvelinpalvelulle Tor väärän portin, mikä estää haittaohjelmia lähettämästä tiedot palvelimelle. Siksi käyttäjän on itse ladattava salatut tiedostot Tor-verkkoon, jos hän aikoo maksaa lunnaat ja odottaa salauksen purkamista hyökkääjiltä.
Useat mielenkiintoiset faktat Nemtystä viittaavat siihen, että sen ovat kehittäneet samat ihmiset tai Buraniin ja GrandCrabiin liittyvät kyberrikolliset.
- Kuten GandCrab, Nemtyllä on pääsiäismuna - linkki valokuvaan Venäjän presidentti Vladimir Putinista, jossa on säädytön vitsi. Vanhassa GandCrab-lunnasohjelmassa oli kuva, jossa oli sama teksti.
- Molempien ohjelmien kieliartefaktit viittaavat samoihin venäjänkielisiin kirjoittajiin.
- Tämä on ensimmäinen kiristysohjelma, joka käyttää 8092-bittistä RSA-avainta. Vaikka tässä ei ole mitään järkeä: 1024-bittinen avain riittää suojaamaan hakkerointia vastaan.
- Kuten Buran, ransomware on kirjoitettu Object Pascalilla ja käännetty Borland Delphissä.
Staattinen analyysi
Haitallisen koodin suorittaminen tapahtuu neljässä vaiheessa. Ensimmäinen askel on suorittaa cashback.exe, PE32-suoritettava tiedosto MS Windowsissa, jonka koko on 1198936 tavua. Sen koodi on kirjoitettu Visual C++:lla ja käännetty 14. lokakuuta 2013. Se sisältää arkiston, joka puretaan automaattisesti, kun suoritat cashback.exe-tiedoston. Ohjelmisto käyttää Cabinet.dll-kirjastoa ja sen toimintoja FDICreate(), FDIDEStroy() ja muita tiedostojen hakemiseen .cab-arkistosta.
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
Arkiston purkamisen jälkeen näkyviin tulee kolme tiedostoa.
Seuraavaksi käynnistetään temp.exe, PE32-suoritettava tiedosto MS Windowsissa, jonka koko on 307200 tavua. Koodi on kirjoitettu Visual C++ -kielellä ja pakattu MPRESS-packerilla, joka on samanlainen kuin UPX.
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
Seuraava vaihe on ironman.exe. Kun temp.exe on käynnistetty, se purkaa temp.-tiedoston upotetun datan salauksen ja nimeää ne uudelleen ironman.exe-tiedostoksi, 32-tavuiseksi PE544768-suoritettavaksi tiedostoksi. Koodi on koottu Borland Delphissä.
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
Viimeinen vaihe on käynnistää ironman.exe-tiedosto uudelleen. Ajon aikana se muuttaa koodinsa ja suorittaa itsensä muistista. Tämä ironman.exe-versio on haitallinen ja vastaa salauksesta.
Hyökkäysvektori
Tällä hetkellä Nemty ransomware -ohjelmaa jaetaan verkkosivuston pp-back.info kautta.
Koko tartuntaketju on nähtävissä osoitteessa hiekkalaatikko.
Asennus
Cashback.exe - hyökkäyksen alku. Kuten jo mainittiin, cashback.exe purkaa sisältämän .cab-tiedoston. Sitten se luo kansion TMP4351$.TMP, jonka muoto on %TEMP%IXxxx.TMP, jossa xxx on numero väliltä 001–999.
Seuraavaksi asennetaan rekisteriavain, joka näyttää tältä:
"rundll32.exe" "C:Windowssystem32advpack.dll,DelNodeRunDLL32 "C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP""
Sitä käytetään poistamaan pakkaamattomia tiedostoja. Lopuksi cashback.exe käynnistää temp.exe-prosessin.
Temp.exe on tartuntaketjun toinen vaihe
Tämä on prosessi, jonka käynnistää cashback.exe-tiedosto, joka on viruksen suorittamisen toinen vaihe. Se yrittää ladata AutoHotKeyn, työkalun komentosarjojen suorittamiseen Windowsissa, ja suorittaa WindowSpy.ahk-komentosarjan, joka sijaitsee PE-tiedoston resurssit-osiossa.
WindowSpy.ahk-komentosarja purkaa ironman.exe-tiedoston väliaikaistiedoston salauksen käyttämällä RC4-algoritmia ja salasanaa IwantAcake. Salasanan avain saadaan käyttämällä MD5-hajautusalgoritmia.
temp.exe kutsuu sitten ironman.exe-prosessia.
Ironman.exe - kolmas vaihe
Ironman.exe lukee iron.bmp-tiedoston sisällön ja luo iron.txt-tiedoston salaussuojalla, joka käynnistetään seuraavaksi.
Tämän jälkeen virus lataa iron.txt-tiedoston muistiin ja käynnistää sen uudelleen nimellä ironman.exe. Tämän jälkeen iron.txt poistetaan.
ironman.exe on pääosa NEMTY-lunnasohjelmasta, joka salaa tiedostot, joita asia koskee. Haittaohjelmat luovat mutexin nimeltä viha.
Ensimmäinen asia, jonka se tekee, on määrittää tietokoneen maantieteellinen sijainti. Nemty avaa selaimen ja saa selville IP-osoitteen . verkossa [IP]/countryName Maa määritetään vastaanotetun IP-osoitteen perusteella, ja jos tietokone sijaitsee jollakin alla luetelluista alueista, haittaohjelmakoodin suoritus pysähtyy:
- Venäjä
- Valko-Venäjä
- Ukraina
- Kazakstan
- Tadžikistan
Todennäköisesti kehittäjät eivät halua kiinnittää asuinmaidensa lainvalvontaviranomaisten huomiota, eivätkä siksi salaa tiedostoja "kotialueillaan".
Jos uhrin IP-osoite ei kuulu yllä olevaan luetteloon, virus salaa käyttäjän tiedot.
Tiedostojen palauttamisen estämiseksi niiden varjokopiot poistetaan:
Sitten se luo luettelon tiedostoista ja kansioista, joita ei salata, sekä luettelon tiedostopääteistä.
- ikkunat
- $ RECYCLE.BIN
- rsa
- NTDETECT.COM
- NTLDR
- Msdos.sys
- IO.SYS
- boot.ini AUTOEXEC.BAT ntuser.dat
- Desktop.ini
- CONFIG.SYS
- BOOTSECT.BAK
- Bootmgr
- ohjelmoida tiedostoa
- appdata
- osoft
- Yhteiset tiedostot
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY Hämärtäminen
Piilottaakseen URL-osoitteet ja upotetut määritystiedot Nemty käyttää base64- ja RC4-koodausalgoritmia fuckav-avainsanalla.
Salauksen purkuprosessi CryptStringToBinarylla on seuraava
salaus
Nemty käyttää kolmikerroksista salausta:
- AES-128-CBC tiedostoille. 128-bittinen AES-avain luodaan satunnaisesti ja sitä käytetään samalla tavalla kaikille tiedostoille. Se on tallennettu käyttäjän tietokoneeseen konfigurointitiedostoon. IV luodaan satunnaisesti jokaiselle tiedostolle ja tallennetaan salattuun tiedostoon.
- RSA-2048 tiedostojen salaukselle IV. Istuntoa varten luodaan avainpari. Istunnon yksityinen avain tallennetaan käyttäjän tietokoneeseen konfigurointitiedostoon.
- RSA-8192. Julkinen pääavain on sisäänrakennettu ohjelmaan, ja sitä käytetään konfigurointitiedoston salaamiseen, joka tallentaa RSA-2048-istunnon AES-avaimen ja salaisen avaimen.
- Nemty luo ensin 32 tavua satunnaista dataa. Ensimmäiset 16 tavua käytetään AES-128-CBC-avaimena.
Toinen salausalgoritmi on RSA-2048. Avainparin luo CryptGenKey()-funktio ja tuo CryptImportKey()-funktio.
Kun istunnon avainpari on luotu, julkinen avain tuodaan MS Cryptographic Service Provideriin.
Esimerkki istunnon luodusta julkisesta avaimesta:
Seuraavaksi yksityinen avain tuodaan CSP:hen.
Esimerkki istunnon luodusta yksityisestä avaimesta:
Ja viimeisenä tulee RSA-8192. Julkinen pääavain on tallennettu salatussa muodossa (Base64 + RC4) PE-tiedoston .data-osioon.
RSA-8192-avain base64-dekoodauksen ja RC4-salauksen purkamisen jälkeen fuckav-salasanalla näyttää tältä.
Tämän seurauksena koko salausprosessi näyttää tältä:
- Luo 128-bittinen AES-avain, jota käytetään kaikkien tiedostojen salaamiseen.
- Luo IV jokaiselle tiedostolle.
- Avainparin luominen RSA-2048-istuntoon.
- Olemassa olevan RSA-8192-avaimen salauksen purku käyttämällä base64:ää ja RC4:ää.
- Salaa tiedoston sisältö AES-128-CBC-algoritmilla ensimmäisestä vaiheesta lähtien.
- IV-salaus julkisella RSA-2048-avaimella ja base64-koodauksella.
- Salatun IV:n lisääminen jokaisen salatun tiedoston loppuun.
- AES-avaimen ja RSA-2048-istunnon yksityisen avaimen lisääminen konfiguraatioon.
- Kohdassa kuvatut konfigurointitiedot tartunnan saaneesta tietokoneesta salataan julkisella pääavaimella RSA-8192.
- Salattu tiedosto näyttää tältä:
Esimerkki salatuista tiedostoista:
Tietojen kerääminen tartunnan saaneesta tietokoneesta
Kiristysohjelma kerää avaimia tartunnan saaneiden tiedostojen salauksen purkamiseksi, jotta hyökkääjä voi itse luoda salauksenpurkuohjelman. Lisäksi Nemty kerää käyttäjätietoja, kuten käyttäjätunnusta, tietokoneen nimeä, laitteistoprofiilia.
Se kutsuu GetLogicalDrives(), GetFreeSpace(), GetDriveType()-funktioita keräämään tietoja tartunnan saaneen tietokoneen asemista.
Kerätyt tiedot tallennetaan asetustiedostoon. Kun merkkijono on purettu, saamme luettelon parametreista määritystiedostoon:
Esimerkki tartunnan saaneen tietokoneen kokoonpanosta:
Asetusmalli voidaan esittää seuraavasti:
{"Yleinen": {"IP":"[IP]", "Maa":"[Maa]", "Tietokoneen nimi":"[Tietokoneen nimi]", "Käyttäjänimi":"[Käyttäjänimi]", "OS": "[OS]", "isRU":false, "version":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[Tiedostotunnus]_", "Käyttäjätunnus":"[ UserID]", "avain":"[avain]", "pr_avain":"[pr_avain]
Nemty tallentaa kerätyt tiedot JSON-muodossa tiedostoon %USER%/_NEMTY_.nemty. Tiedostotunnus on 7 merkkiä pitkä ja se luodaan satunnaisesti. Esimerkki: _NEMTY_tgdLYrd_.nemty. Tiedostotunnus liitetään myös salatun tiedoston loppuun.
Lunnasviesti
Kun tiedostot on salattu, työpöydälle ilmestyy tiedosto _NEMTY_[FileID]-DECRYPT.txt, jossa on seuraava sisältö:
Tiedoston lopussa on salattu tieto tartunnan saaneesta tietokoneesta.
Verkkoviestintä
Ironman.exe-prosessi lataa Tor-selainjakelun osoitteesta ja yrittää asentaa sen.
Nemty yrittää sitten lähettää määritystiedot numeroon 127.0.0.1:9050, josta se odottaa löytävänsä toimivan Tor-selaimen välityspalvelimen. Oletusarvoisesti kuitenkin Tor-välityspalvelin kuuntelee porttia 9150, ja porttia 9050 käyttää Tor-daemon Linuxissa tai Expert Bundle Windowsissa. Näin ollen tietoja ei lähetetä hyökkääjän palvelimelle. Sen sijaan käyttäjä voi ladata asetustiedoston manuaalisesti käymällä Tor-salauksenpurkupalvelussa lunnausviestissä olevan linkin kautta.
Yhdistäminen Tor-välityspalvelimeen:
HTTP GET luo pyynnön osoitteeseen 127.0.0.1:9050/public/gate?data=
Täältä näet avoimet TCP-portit, joita TORlocal-välityspalvelin käyttää:
Nemty-salauksenpurkupalvelu Tor-verkossa:
Voit ladata salatun valokuvan (jpg, png, bmp) testataksesi salauksen purkupalvelua.
Tämän jälkeen hyökkääjä pyytää maksamaan lunnaita. Jos maksua ei makseta, hinta kaksinkertaistuu.
Johtopäätös
Tällä hetkellä Nemtyn salaamien tiedostojen salausta ei ole mahdollista purkaa ilman lunnaita. Tällä ransomware-versiolla on yhteisiä piirteitä Buran ransomwaren ja vanhentuneen GandCrabin kanssa: kokoelma Borland Delphissä ja kuvat, joissa on sama teksti. Lisäksi tämä on ensimmäinen salaaja, joka käyttää 8092-bittistä RSA-avainta, mikä taaskaan ei ole järkevää, koska 1024-bittinen avain riittää suojaksi. Lopuksi ja mielenkiintoista kyllä, se yrittää käyttää väärää porttia paikalliselle Tor-välityspalvelimelle.
Ratkaisuja kuitenkin и estää Nemtyn kiristysohjelmia pääsemästä käyttäjien tietokoneisiin ja tietoihin, ja palveluntarjoajat voivat suojata asiakkaitaan . Koko tarjoaa paitsi varmuuskopion myös suojauksen käyttämällä , tekoälyyn ja käyttäytymisheuristiikkaan perustuva erikoisteknologia, jonka avulla voit neutraloida vielä tuntemattomat haittaohjelmat.
Lähde: will.com