Na mreži se pojavio novi ransomware pod nazivom Nemty, koji je navodno nasljednik GrandCraba ili Burana. Zlonamjerni softver se uglavnom distribuira s lažne web stranice PayPal i ima niz zanimljivih značajki. Pojedinosti o tome kako ovaj ransomware radi su u rezu.
Novi Nemty ransomware otkrio je korisnik 7. rujna 2019. Zlonamjerni softver distribuiran je putem web stranice , također je moguće da ransomware prodre u računalo kroz RIG exploit kit. Napadači su koristili metode društvenog inženjeringa kako bi natjerali korisnika da pokrene datoteku cashback.exe koju je navodno dobio s web stranice PayPal.Također je zanimljivo da je Nemty naveo pogrešan port za lokalni proxy servis Tor koji sprječava slanje malwarea podatke na poslužitelj. Stoga će korisnik morati sam uploadati šifrirane datoteke na Tor mrežu ako namjerava platiti otkupninu i čekati dešifriranje od napadača.
Nekoliko zanimljivih činjenica o Nemtyju sugerira da su ga razvili isti ljudi ili kibernetički kriminalci povezani s Buranom i GrandCrabom.
- Kao i GandCrab, Nemty ima uskršnje jaje - poveznicu na fotografiju ruskog predsjednika Vladimira Putina s opscenom šalom. Naslijeđeni GandCrab ransomware imao je sliku s istim tekstom.
- Jezični artefakti oba programa upućuju na iste autore koji govore ruski.
- Ovo je prvi ransomware koji koristi 8092-bitni RSA ključ. Iako u tome nema smisla: 1024-bitni ključ sasvim je dovoljan za zaštitu od hakiranja.
- Kao i Buran, ransomware je napisan u Object Pascalu i kompajliran u Borland Delphiju.
Statička analiza
Izvršenje zlonamjernog koda odvija se u četiri faze. Prvi korak je pokretanje cashback.exe, PE32 izvršne datoteke pod MS Windowsom veličine 1198936 bajtova. Njegov kod je napisan u Visual C++ i kompajliran 14. listopada 2013. Sadrži arhivu koja se automatski raspakira kada pokrenete cashback.exe. Softver koristi biblioteku Cabinet.dll i njezine funkcije FDICreate(), FDIDestroy() i druge za dobivanje datoteka iz .cab arhive.
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
Nakon raspakiranja arhive pojavit će se tri datoteke.
Zatim se pokreće temp.exe, PE32 izvršna datoteka u MS Windowsima veličine 307200 bajtova. Kod je napisan u Visual C++ i upakiran s MPRESS pakerom, pakerom sličnim UPX-u.
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
Sljedeći korak je ironman.exe. Nakon pokretanja, temp.exe dekriptira ugrađene podatke u temp i preimenuje ih u ironman.exe, PE32 izvršnu datoteku od 544768 bajta. Kod je sastavljen u Borland Delphiju.
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
Zadnji korak je ponovno pokretanje datoteke ironman.exe. Tijekom izvođenja transformira svoj kod i pokreće se iz memorije. Ova verzija ironman.exe je zlonamjerna i odgovorna je za enkripciju.
Vektor napada
Trenutačno se Nemty ransomware distribuira putem web stranice pp-back.info.
Kompletan lanac infekcije možete pogledati na pješčanik.
Instalacija
Cashback.exe - početak napada. Kao što je već spomenuto, cashback.exe raspakira .cab datoteku koju sadrži. Zatim stvara mapu TMP4351$.TMP u obliku %TEMP%IXxxx.TMP, gdje je xxx broj od 001 do 999.
Zatim se instalira ključ registra koji izgleda ovako:
“rundll32.exe” “C:Windowssystem32advpack.dll,DelNodeRunDLL32 “C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP””
Koristi se za brisanje neraspakiranih datoteka. Konačno, cashback.exe pokreće proces temp.exe.
Temp.exe je druga faza u lancu infekcije
Ovo je proces koji pokreće datoteka cashback.exe, drugi korak u pokretanju virusa. Pokušava preuzeti AutoHotKey, alat za pokretanje skripti u sustavu Windows, i pokrenuti skriptu WindowSpy.ahk koja se nalazi u odjeljku resursa PE datoteke.
Skripta WindowSpy.ahk dekriptira privremenu datoteku u ironman.exe pomoću RC4 algoritma i lozinke IwantAcake. Ključ iz lozinke dobiva se pomoću MD5 algoritma za raspršivanje.
temp.exe tada poziva proces ironman.exe.
Ironman.exe - treći korak
Ironman.exe čita sadržaj datoteke iron.bmp i stvara datoteku iron.txt s cryptolockerom koji će se sljedeći pokrenuti.
Nakon toga virus učitava iron.txt u memoriju i ponovno ga pokreće kao ironman.exe. Nakon toga, iron.txt se briše.
ironman.exe glavni je dio NEMTY ransomwarea koji šifrira datoteke na zahvaćenom računalu. Malware stvara mutex koji se zove mržnja.
Prvo što radi je određivanje geografske lokacije računala. Nemty otvara preglednik i pronalazi IP na . Na liniji [IP]/countryName Država se određuje prema primljenoj IP adresi, a ako se računalo nalazi u jednoj od dolje navedenih regija, prestaje izvršavanje malware koda:
- Rusija
- Bjelorusija
- Ukrajina
- Kazahstan
- Tadžikistan
Najvjerojatnije programeri ne žele privući pozornost agencija za provođenje zakona u svojim zemljama prebivališta i stoga ne šifriraju datoteke u svojim "domaćim" jurisdikcijama.
Ako IP adresa žrtve ne pripada gore navedenom popisu, tada virus šifrira podatke korisnika.
Kako bi se spriječio oporavak datoteka, njihove se kopije u sjeni brišu:
Zatim stvara popis datoteka i mapa koje neće biti šifrirane, kao i popis ekstenzija datoteka.
- prozori
- $ RECYCLE.BIN
- RSA
- NTDETECT.COM
- NTLDR
- MSDOS.SYS
- IO.SYS
- boot.ini AUTOEXEC.BAT ntuser.dat
- radna površina.ini
- Config.sys
- BOOTSECT.BAK
- Bootmgr
- programski podaci
- appdata
- osoft
- Uobičajene datoteke
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY Zamagljivanje
Kako bi sakrio URL-ove i ugrađene konfiguracijske podatke, Nemty koristi base64 i RC4 algoritam kodiranja s ključnom riječi fuckav.
Proces dešifriranja pomoću CryptStringToBinary je sljedeći
Šifriranje
Nemty koristi troslojnu enkripciju:
- AES-128-CBC za datoteke. 128-bitni AES ključ nasumično se generira i koristi se jednako za sve datoteke. Pohranjuje se u konfiguracijsku datoteku na računalu korisnika. IV se nasumično generira za svaku datoteku i pohranjuje u šifriranu datoteku.
- RSA-2048 za enkripciju datoteka IV. Generira se par ključeva za sesiju. Privatni ključ za sesiju pohranjuje se u konfiguracijsku datoteku na računalu korisnika.
- RSA-8192. Glavni javni ključ ugrađen je u program i koristi se za šifriranje konfiguracijske datoteke, koja pohranjuje AES ključ i tajni ključ za RSA-2048 sesiju.
- Nemty prvo generira 32 bajta nasumičnih podataka. Prvih 16 bajtova koristi se kao AES-128-CBC ključ.
Drugi algoritam šifriranja je RSA-2048. Par ključeva generira funkcija CryptGenKey() i uvozi funkcija CryptImportKey().
Nakon što se generira par ključeva za sesiju, javni ključ se uvozi u MS Cryptographic Service Provider.
Primjer generiranog javnog ključa za sesiju:
Zatim se privatni ključ uvozi u CSP.
Primjer generiranog privatnog ključa za sesiju:
I posljednji dolazi RSA-8192. Glavni javni ključ pohranjen je u šifriranom obliku (Base64 + RC4) u odjeljku .data PE datoteke.
RSA-8192 ključ nakon base64 dekodiranja i RC4 dešifriranja sa fuckav lozinkom izgleda ovako.
Kao rezultat toga, cijeli proces enkripcije izgleda ovako:
- Generirajte 128-bitni AES ključ koji će se koristiti za šifriranje svih datoteka.
- Napravite IV za svaku datoteku.
- Stvaranje para ključeva za RSA-2048 sesiju.
- Dešifriranje postojećeg ključa RSA-8192 pomoću base64 i RC4.
- Šifrirajte sadržaj datoteke pomoću algoritma AES-128-CBC od prvog koraka.
- IV šifriranje korištenjem RSA-2048 javnog ključa i base64 kodiranja.
- Dodavanje šifriranog IV na kraj svake šifrirane datoteke.
- Dodavanje AES ključa i RSA-2048 privatnog ključa sesije u konfiguraciju.
- Konfiguracijski podaci opisani u odjeljku o zaraženom računalu šifriraju se pomoću glavnog javnog ključa RSA-8192.
- Šifrirana datoteka izgleda ovako:
Primjer šifriranih datoteka:
Prikupljanje podataka o zaraženom računalu
Ransomware prikuplja ključeve za dekriptiranje zaraženih datoteka, tako da napadač zapravo može stvoriti dekriptor. Osim toga, Nemty prikuplja korisničke podatke kao što su korisničko ime, naziv računala, hardverski profil.
Poziva funkcije GetLogicalDrives(), GetFreeSpace(), GetDriveType() za prikupljanje informacija o pogonima zaraženog računala.
Prikupljene informacije pohranjuju se u konfiguracijsku datoteku. Nakon dekodiranja niza, dobivamo popis parametara u konfiguracijskoj datoteci:
Primjer konfiguracije zaraženog računala:
Konfiguracijski predložak može se prikazati na sljedeći način:
{"Općenito": {"IP":"[IP]", "Država":"[Država]", "Naziv računala":"[Naziv računala]", "Korisničko ime":"[Korisničko ime]", "OS": "[OS]", "isRU":false, "version":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[FileID]_", "UserID":"[ Korisnički ID]", "ključ":"[ključ]", "pr_ključ":"[pr_ključ]
Nemty pohranjuje prikupljene podatke u JSON formatu u datoteku %USER%/_NEMTY_.nemty. FileID ima 7 znakova i generira se nasumično. Na primjer: _NEMTY_tgdLYrd_.nemty. FileID se također dodaje na kraj šifrirane datoteke.
Poruka o otkupnini
Nakon šifriranja datoteka, datoteka _NEMTY_[ID datoteke]-DECRYPT.txt pojavljuje se na radnoj površini sa sljedećim sadržajem:
Na kraju datoteke nalaze se šifrirane informacije o zaraženom računalu.
Mrežna komunikacija
Proces ironman.exe preuzima distribuciju preglednika Tor s adrese i pokušava ga instalirati.
Nemty zatim pokušava poslati podatke o konfiguraciji na 127.0.0.1:9050, gdje očekuje da će pronaći proxy Tor preglednika koji radi. Međutim, prema zadanim postavkama Tor proxy sluša na portu 9150, a port 9050 koristi Tor demon na Linuxu ili Expert Bundle na Windowsu. Stoga se podaci ne šalju napadačevom poslužitelju. Umjesto toga, korisnik može ručno preuzeti konfiguracijsku datoteku posjetom Tor servisu za dešifriranje putem poveznice navedene u poruci o otkupnini.
Spajanje na Tor proxy:
HTTP GET stvara zahtjev za 127.0.0.1:9050/public/gate?data=
Ovdje možete vidjeti otvorene TCP portove koje koristi TORlocal proxy:
Usluga dešifriranja Nemty na Tor mreži:
Možete učitati šifriranu fotografiju (jpg, png, bmp) kako biste testirali uslugu dešifriranja.
Nakon toga, napadač traži da plati otkupninu. U slučaju neplaćanja cijena se udvostručuje.
Zaključak
Trenutačno nije moguće dešifrirati datoteke koje je šifrirao Nemty bez plaćanja otkupnine. Ova verzija ransomwarea ima zajedničke značajke s ransomwareom Buran i zastarjelim GandCrabom: kompilacija u Borland Delphiju i slike s istim tekstom. Osim toga, ovo je prvi kriptor koji koristi 8092-bitni RSA ključ, što opet nema smisla, jer je za zaštitu dovoljan 1024-bitni ključ. Konačno, što je zanimljivo, pokušava upotrijebiti pogrešan port za lokalni Tor proxy servis.
Međutim, rješenja и spriječiti Nemty ransomware da dođe do korisničkih računala i podataka, a pružatelji usluga mogu zaštititi svoje klijente ... Pun pruža ne samo sigurnosnu kopiju, već i korištenje zaštite , posebna tehnologija temeljena na umjetnoj inteligenciji i heuristici ponašanja koja vam omogućuje neutraliziranje čak i nepoznatog zlonamjernog softvera.
Izvor: www.habr.com