In nije ransomware neamd Nemty is ferskynd op it netwurk, dat is nei alle gedachten de opfolger fan GrandCrab of Buran. De malware wurdt benammen ferspraat fan 'e falske PayPal-webside en hat in oantal nijsgjirrige funksjes. Details oer hoe't dizze ransomware wurket binne ûnder de besuniging.
Nije Nemty ransomware ûntdutsen troch brûker 7 septimber 2019. De malware waard ferspraat fia in webside , is it ek mooglik foar ransomware om in kompjûter te penetrearjen fia de RIG eksploitaasjekit. De oanfallers brûkten sosjale yngenieurmetoaden om de brûker te twingen om de cashback.exe-bestân út te fieren, dy't hy soe hawwe krigen fan 'e PayPal-webside. It is ek nijsgjirrich dat Nemty de ferkearde poarte foar de lokale proxy-tsjinst Tor oantsjutte, dy't foarkomt dat de malware ferstjoert gegevens nei de tsjinner. Dêrom sil de brûker sels fersifere bestannen moatte uploade nei it Tor-netwurk as hy fan doel is it losjild te beteljen en wachtsje op ûntsifering fan 'e oanfallers.
Ferskate nijsgjirrige feiten oer Nemty suggerearje dat it waard ûntwikkele troch deselde minsken as troch cyberkriminelen ferbûn mei Buran en GrandCrab.
- Krekt as GandCrab hat Nemty in Peaskeaai - in keppeling nei in foto fan Russyske presidint Vladimir Putin mei in obsene grap. De legacy GandCrab ransomware hie in ôfbylding mei deselde tekst.
- De taalartefakten fan beide programma's wize op deselde Russysktalige auteurs.
- Dit is de earste ransomware om in 8092-bit RSA-kaai te brûken. Hoewol d'r gjin punt yn is: in 1024-bit kaai is genôch om te beskermjen tsjin hacking.
- Lykas Buran is de ransomware skreaun yn Object Pascal en kompilearre yn Borland Delphi.
Statyske analyze
Utfiering fan kweade koade bart yn fjouwer stadia. De earste stap is om cashback.exe út te fieren, in PE32 útfierber bestân ûnder MS Windows mei in grutte fan 1198936 bytes. De koade is skreaun yn Visual C++ en kompilearre op 14 oktober 2013. It befettet in argyf dat automatysk útpakt wurdt as jo cashback.exe útfiere. De software brûkt de biblioteek fan Cabinet.dll en syn funksjes FDICreate(), FDIDestroy() en oaren om bestannen te krijen fan it .cab-argyf.
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
Nei it útpakke fan it argyf sille trije bestannen ferskine.
Dêrnei wurdt temp.exe lansearre, in PE32 útfierber bestân ûnder MS Windows mei in grutte fan 307200 bytes. De koade is skreaun yn Visual C ++ en ferpakt mei MPRESS packer, in packer fergelykber mei UPX.
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
De folgjende stap is ironman.exe. Ienris lansearre, ûntsiferet temp.exe de ynbêde gegevens yn temp en omneamt it nei ironman.exe, in 32 byte PE544768 útfierber bestân. De koade is gearstald yn Borland Delphi.
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
De lêste stap is om it ironman.exe-bestân opnij te begjinnen. By runtime transformeart it syn koade en rint himsels út it ûnthâld. Dizze ferzje fan ironman.exe is kwea-aardich en is ferantwurdlik foar fersifering.
Attack vector
Op it stuit wurdt de Nemty ransomware ferspraat fia de webside pp-back.info.
De folsleine ketting fan ynfeksje kin besjoen wurde op sânbak.
ynstelling
Cashback.exe - it begjin fan 'e oanfal. Lykas al neamd, pakt cashback.exe it .cab-bestân dat it befettet út. It makket dan in map TMP4351$.TMP oan fan 'e foarm %TEMP%IXxxx.TMP, wêrby't xxx in nûmer is fan 001 oant 999.
Dêrnei wurdt in registerkaai ynstalleare, dy't der sa útsjocht:
"rundll32.exe" "C: Windowssystem32advpack.dll, DelNodeRunDLL32 "C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP""
It wurdt brûkt om útpakte bestannen te wiskjen. Uteinlik begjint cashback.exe it temp.exe-proses.
Temp.exe is de twadde etappe yn 'e ynfeksjeketen
Dit is it proses lansearre troch it cashback.exe-bestân, de twadde stap fan 'e firusútfiering. It besiket AutoHotKey te downloaden, in ark foar it útfieren fan skripts op Windows, en it WindowSpy.ahk-skript útfiere dat leit yn 'e boarne seksje fan it PE-bestân.
It WindowSpy.ahk-skript ûntsiferet it temp-bestân yn ironman.exe mei it RC4-algoritme en it wachtwurd IwantAcake. De kaai fan it wachtwurd wurdt krigen mei it MD5-hashingalgoritme.
temp.exe ropt dan it ironman.exe-proses op.
Ironman.exe - tredde stap
Ironman.exe lêst de ynhâld fan 'e iron.bmp-bestân en makket in iron.txt-bestân mei in kryptoloker dy't folgjende sil wurde lansearre.
Hjirnei laadt it firus iron.txt yn it ûnthâld en start it op 'e nij as ironman.exe. Hjirnei wurdt iron.txt wiske.
ironman.exe is it haaddiel fan 'e NEMTY ransomware, dy't bestannen op 'e troffen kompjûter fersiferet. Malware makket in mutex neamd haat.
It earste ding dat it docht is de geografyske lokaasje fan 'e kompjûter te bepalen. Nemty iepenet de browser en fynt it IP op . Op de side [IP]/countryName.
- Ruslân
- Wyt-Ruslân
- Oekraïne
- Kazachstan
- Tadzjikistan
Meast wierskynlik wolle ûntwikkelders de oandacht net lûke fan wet hanthaveningsburo's yn har lannen fan ferbliuw, en fersiferje dêrom gjin bestannen yn har "thús" jurisdiksjes.
As it IP-adres fan it slachtoffer net ta de list hjirboppe heart, dan fersiferet it firus de ynformaasje fan de brûker.
Om bestânherstel te foarkommen, wurde har skaadkopyen wiske:
It makket dan in list mei bestannen en mappen dy't net fersifere wurde, lykas in list mei bestânsútwreidings.
- finsters
- $RECYCLE.BIN
- rsa
- NTDETECT.COM
- ensfh
- MSDOS.SYS
- IO.SYS
- boot.ini AUTOEXEC.BAT ntuser.dat
- desktop.ini
- SYS CONFIG.
- BOOTSECT.BAK
- bootmgr
- programmadata
- applikaasjegegevens
- osoft
- Common Files
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY Obfuscation
Om URL's en ynbêde konfiguraasjegegevens te ferbergjen, brûkt Nemty in base64- en RC4-kodearringsalgoritme mei it fuckav-kaaiwurd.
It ûntsiferingsproses mei CryptStringToBinary is as folget
Fersifering
Nemty brûkt trije-laach fersifering:
- AES-128-CBC foar triemmen. De 128-bit AES-kaai wurdt willekeurich oanmakke en wurdt itselde brûkt foar alle bestannen. It wurdt opslein yn in konfiguraasjetriem op 'e kompjûter fan de brûker. De IV wurdt willekeurich oanmakke foar elke triem en opslein yn in fersifere triem.
- RSA-2048 foar triemfersifering IV. In kaaipaar foar de sesje wurdt oanmakke. De privee kaai foar de sesje wurdt opslein yn in konfiguraasjetriem op de kompjûter fan de brûker.
- RSA-8192. De master iepenbiere kaai is ynboud yn it programma en wurdt brûkt om it konfiguraasjetriem te fersiferjen, dat de AES-kaai en geheime kaai opslacht foar de RSA-2048-sesje.
- Nemty genereart earst 32 bytes fan willekeurige gegevens. De earste 16 bytes wurde brûkt as de AES-128-CBC-kaai.
It twadde fersiferingsalgoritme is RSA-2048. It kaaipaar wurdt oanmakke troch de funksje CryptGenKey () en ymportearre troch de funksje CryptImportKey ().
Sadree't it kaaipaar foar de sesje is oanmakke, wurdt de iepenbiere kaai ymporteare yn 'e MS Kryptografyske tsjinstferliener.
In foarbyld fan in generearre iepenbiere kaai foar in sesje:
Dêrnei wurdt de privee kaai ymportearre yn 'e CSP.
In foarbyld fan in oanmakke privee kaai foar in sesje:
En as lêste komt RSA-8192. De wichtichste iepenbiere kaai wurdt opslein yn fersifere foarm (Base64 + RC4) yn de .data seksje fan de PE triem.
De RSA-8192-kaai nei base64-dekodearring en RC4-ûntsifering mei it fuckav-wachtwurd sjocht der sa út.
As resultaat sjocht it heule fersiferingsproses der sa út:
- Generearje in 128-bit AES-kaai dy't sil wurde brûkt om alle bestannen te fersiferjen.
- Meitsje in IV foar elke triem.
- In kaaipaar oanmeitsje foar in RSA-2048-sesje.
- Dekodearring fan in besteande RSA-8192-kaai mei base64 en RC4.
- Bestânynhâld fersiferje mei it AES-128-CBC-algoritme fanôf de earste stap.
- IV fersifering mei RSA-2048 iepenbiere kaai en base64 kodearring.
- It tafoegjen fan in fersifere IV oan 'e ein fan elke fersifere triem.
- It tafoegjen fan in AES-kaai en RSA-2048-sesje priveekaai oan 'e konfiguraasje.
- Konfiguraasje gegevens beskreaun yn seksje oer de ynfekteare kompjûter wurde fersifere mei de wichtichste iepenbiere kaai RSA-8192.
- It fersifere bestân sjocht der sa út:
Foarbyld fan fersifere bestannen:
It sammeljen fan ynformaasje oer de ynfekteare kompjûter
De ransomware sammelet kaaien om ynfekteare bestannen te ûntsiferjen, sadat de oanfaller eins in decryptor kin oanmeitsje. Derneist sammelt Nemty brûkersgegevens lykas brûkersnamme, kompjûternamme, hardwareprofyl.
It neamt de funksjes GetLogicalDrives(), GetFreeSpace(), GetDriveType() om ynformaasje te sammeljen oer de driuwfearren fan de ynfekteare kompjûter.
De sammele ynformaasje wurdt opslein yn in konfiguraasjetriem. Nei it dekodearjen fan de tekenrige, krije wy in list mei parameters yn it konfiguraasjetriem:
Foarbyld konfiguraasje fan in ynfekteare kompjûter:
De konfiguraasje sjabloan kin wurde fertsjintwurdige as folget:
{"Algemien": {"IP":"[IP]", "Lân":"[Lân]", "ComputerName":"[ComputerName]", "Username":"[Username]", "OS": "[OS]", "isRU":false, "version":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[FileID]_", "UserID":"[ UserID]", "key":"[key]", "pr_key":"[pr_key]
Nemty bewarret de sammele gegevens yn JSON-formaat yn it bestân %USER%/_NEMTY_.nemty. FileID is 7 karakters lang en willekeurich oanmakke. Bygelyks: _NEMTY_tgdLYrd_.nemty. De FileID wurdt ek taheakke oan it ein fan it fersifere bestân.
Ransom berjocht
Nei it fersiferjen fan de bestannen, ferskynt de triem _NEMTY_[FileID]-DECRYPT.txt op it buroblêd mei de folgjende ynhâld:
Oan 'e ein fan it bestân is d'r fersifere ynformaasje oer de ynfekteare kompjûter.
Netwurk kommunikaasje
It ironman.exe-proses downloadt de Tor-blêderferdieling fan it adres en besiket it te ynstallearjen.
Nemty besiket dan konfiguraasjegegevens te stjoeren nei 127.0.0.1:9050, wêr't it ferwachtet in wurkjende Tor-browserproxy te finen. Standert harket de Tor-proxy lykwols op poarte 9150, en poarte 9050 wurdt brûkt troch de Tor-daemon op Linux of Expert Bundle op Windows. Sa wurde gjin gegevens nei de tsjinner fan de oanfaller stjoerd. Ynstee dêrfan kin de brûker it konfiguraasjebestân manuell downloade troch de Tor-ûntsiferingstsjinst te besykjen fia de keppeling levere yn it losjildberjocht.
Ferbine mei Tor proxy:
HTTP GET makket in fersyk oan 127.0.0.1:9050/public/gate?data=
Hjir kinne jo de iepen TCP-poarten sjen dy't wurde brûkt troch de TORlocal proxy:
Nemty-ûntsiferingstsjinst op it Tor-netwurk:
Jo kinne in fersifere foto uploade (jpg, png, bmp) om de ûntsiferingstsjinst te testen.
Hjirnei freget de oanfaller om losjild te beteljen. Yn gefal fan net-betelling wurdt de priis ferdûbele.
konklúzje
Op it stuit is it net mooglik om bestannen te ûntsiferje fersifere troch Nemty sûnder in losjild te beteljen. Dizze ferzje fan ransomware hat mienskiplike funksjes mei de Buran ransomware en de ferâldere GandCrab: kompilaasje yn Borland Delphi en ôfbyldings mei deselde tekst. Derneist is dit de earste encryptor dy't in 8092-bit RSA-kaai brûkt, wat, wer, gjin sin makket, om't in 1024-bit-kaai genôch is foar beskerming. Uteinlik, en ynteressant, besiket it de ferkearde poarte te brûken foar de lokale Tor-proxytsjinst.
Lykwols, oplossings и foarkomme dat de Nemty ransomware brûker PC's en gegevens berikt, en oanbieders kinne har kliïnten beskermje mei ... Fol jout net allinnich reservekopy, mar ek beskerming brûkend , in spesjale technology basearre op keunstmjittige yntelliginsje en gedrachsheuristyk wêrmei jo sels noch ûnbekende malware neutralisearje kinne.
Boarne: www.habr.com