Ismerje meg a Nemty ransomware-t a hamis PayPal webhelyről
Nemty néven új zsarolóprogram jelent meg a hálózaton, ami állítólag a GrandCrab vagy a Buran utódja. A kártevő elsősorban a hamis PayPal webhelyről terjeszthető, és számos érdekes funkcióval rendelkezik. Ennek a zsarolóprogramnak a működésével kapcsolatos részletek a cikk alatt találhatók.
Új Nemty ransomware-t fedezett fel a felhasználó nao_sec 7. szeptember 2019. A kártevőt egy weboldalon keresztül terjesztették PayPal-nak álcázva, az is lehetséges, hogy a ransomware behatoljon a számítógépbe a RIG exploit kit segítségével. A támadók social engineering módszerekkel kényszerítették a felhasználót a cashback.exe fájl futtatására, amelyet állítólag a PayPal webhelyéről kapott. Az is érdekes, hogy Nemty rossz portot adott meg a helyi Tor proxy szolgáltatásnak, ami megakadályozza a kártevő elküldését. adatokat a szerverre. Ezért a felhasználónak magának kell feltöltenie a titkosított fájlokat a Tor hálózatba, ha ki akarja fizetni a váltságdíjat, és megvárja a visszafejtést a támadóktól.
Számos érdekes tény Nemtyről azt sugallja, hogy ugyanazok az emberek, vagy Burannal és GrandCrabbal kapcsolatban álló kiberbűnözők fejlesztették ki.
A GandRákhoz hasonlóan Nemtynek is van egy húsvéti tojása – ez egy link Vlagyimir Putyin orosz elnök egy obszcén tréfával készült fényképére. Az örökölt GandCrab ransomware-nek ugyanaz a szövege volt a képen.
Mindkét program nyelvi műtermékei ugyanazokra az oroszul beszélő szerzőkre utalnak.
Ez az első zsarolóprogram, amely 8092 bites RSA-kulcsot használ. Bár ennek semmi értelme: egy 1024 bites kulcs is elég a hackelés elleni védelemhez.
A Buranhoz hasonlóan a ransomware is Object Pascal nyelven íródott, és a Borland Delphiben van lefordítva.
Statikus elemzés
A rosszindulatú kód végrehajtása négy szakaszban történik. Az első lépés a cashback.exe, egy 32 bájt méretű PE1198936 futtatható fájl futtatása MS Windows alatt. A kódja Visual C++ nyelven íródott, és 14. október 2013-én lett lefordítva. Tartalmaz egy archívumot, amely a cashback.exe futtatásakor automatikusan kicsomagolásra kerül. A szoftver a Cabinet.dll könyvtárat és annak FDICreate(), FDIDEStroy() és egyéb funkcióit használja a fájlok .cab archívumból való beszerzéséhez.
Az archívum kicsomagolása után három fájl jelenik meg.
Ezután elindul a temp.exe, egy PE32 futtatható fájl MS Windows alatt, 307200 XNUMX bájt méretű. A kód Visual C++ nyelven íródott, és az UPX-hez hasonló MPRESS packerrel van csomagolva.
A következő lépés az ironman.exe. Az indítás után a temp.exe dekódolja a beágyazott adatokat a tempban, és átnevezi ironman.exe-re, egy 32 bájtos PE544768 végrehajtható fájlra. A kódot a Borland Delphiben állították össze.
Az utolsó lépés az ironman.exe fájl újraindítása. Futás közben átalakítja a kódját, és a memóriából futtatja magát. Az ironman.exe ezen verziója rosszindulatú, és felelős a titkosításért.
Támadás vektor
Jelenleg a Nemty ransomware terjesztése a pp-back.info webhelyen keresztül történik.
A fertőzés teljes láncolata megtekinthető a címen app.any.run homokozó.
Telepítés
Cashback.exe - a támadás kezdete. Ahogy már említettük, a cashback.exe kicsomagolja a benne található .cab fájlt. Ezután létrehoz egy TMP4351$.TMP mappát %TEMP%IXxxx.TMP formátumban, ahol az xxx egy 001 és 999 közötti szám.
Ezután egy rendszerleíró kulcs kerül telepítésre, amely így néz ki:
A kicsomagolt fájlok törlésére szolgál. Végül a cashback.exe elindítja a temp.exe folyamatot.
A Temp.exe a fertőzési lánc második szakasza
Ezt a folyamatot indítja el a cashback.exe fájl, a vírus végrehajtásának második lépése. Megpróbálja letölteni az AutoHotKey-t, a szkriptek futtatására szolgáló eszközt a Windows rendszeren, és futtatni a WindowSpy.ahk szkriptet, amely a PE-fájl erőforrások részében található.
A WindowSpy.ahk szkript visszafejti az ironman.exe ideiglenes fájlját az RC4 algoritmus és az IwantAcake jelszó használatával. A jelszó kulcsát az MD5 kivonatoló algoritmussal kapjuk meg.
A temp.exe ezután meghívja az ironman.exe folyamatot.
Ironman.exe – harmadik lépés
Az Ironman.exe beolvassa az iron.bmp fájl tartalmát, és létrehoz egy iron.txt fájlt egy titkosítási zárral, amely legközelebb indul.
Ezt követően a vírus betölti az iron.txt fájlt a memóriába, és újraindítja ironman.exe néven. Ezt követően az iron.txt törlődik.
Az ironman.exe a NEMTY ransomware fő része, amely titkosítja a fájlokat az érintett számítógépen. A rosszindulatú programok mutexet hoznak létre, amelyet gyűlöletnek neveznek.
Az első dolog, hogy meghatározza a számítógép földrajzi elhelyezkedését. Nemty megnyitja a böngészőt, és megtudja a bekapcsolt IP-címet http://api.ipify.org. Online api.db-ip.com/v2/free[IP]/országnév Az ország a kapott IP-cím alapján kerül meghatározásra, és ha a számítógép az alább felsorolt régiók valamelyikében található, a rosszindulatú programkód végrehajtása leáll:
Oroszország
Belorusszia
Ukrajna
Kazahsztán
Tádzsikisztán
Valószínűleg a fejlesztők nem akarják felkelteni a lakóhelyük szerinti ország bűnüldöző szerveinek figyelmét, ezért nem titkosítják a fájlokat „otthoni” joghatóságukban.
Ha az áldozat IP-címe nem tartozik a fenti listába, akkor a vírus titkosítja a felhasználó adatait.
A fájlok helyreállításának megakadályozása érdekében az árnyékmásolatokat törli:
Ezután létrehoz egy listát a nem titkosított fájlokról és mappákról, valamint a fájlkiterjesztésekről.
ablakok
$ RECYCLE.BIN
rsa
NTDETECT.COM
ntldr
MSDOS.SYS
IO.SYS
boot.ini AUTOEXEC.BAT ntuser.dat
desktop.ini
CONFIG.SYS
BOOTSECT.BAK
Csizmadia
program adatok
App adatok
osoft
Közös fájlok
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY
Elhomályosítás
Az URL-ek és a beágyazott konfigurációs adatok elrejtéséhez Nemty base64 és RC4 kódolási algoritmust használ a fuckav kulcsszóval.
A visszafejtési folyamat a CryptStringToBinary használatával a következő
Titkosítás
A Nemty háromrétegű titkosítást használ:
AES-128-CBC fájlokhoz. A 128 bites AES-kulcs véletlenszerűen jön létre, és minden fájlhoz ugyanúgy használatos. Ez egy konfigurációs fájlban van tárolva a felhasználó számítógépén. Az IV véletlenszerűen generálódik minden fájlhoz, és titkosított fájlban tárolódik.
RSA-2048 fájltitkosításhoz IV. A munkamenethez létrejön egy kulcspár. A munkamenet privát kulcsa a felhasználó számítógépén található konfigurációs fájlban tárolódik.
RSA-8192. A fő nyilvános kulcs a programba van beépítve, és a konfigurációs fájl titkosítására szolgál, amely az RSA-2048 munkamenet AES-kulcsát és titkos kulcsát tárolja.
Nemty először 32 bájt véletlenszerű adatot generál. Az első 16 bájt AES-128-CBC kulcsként használatos.
A második titkosítási algoritmus az RSA-2048. A kulcspárt a CryptGenKey() függvény hozza létre, és a CryptImportKey() függvény importálja.
A munkamenet kulcspárjának létrehozása után a nyilvános kulcs importálva lesz az MS Cryptographic Service Providerbe.
Példa egy munkamenethez generált nyilvános kulcsra:
Ezután a privát kulcsot importálják a CSP-be.
Példa egy munkamenethez generált privát kulcsra:
És végül az RSA-8192. A fő nyilvános kulcs titkosított formában (Base64 + RC4) van tárolva a PE fájl .data részében.
Az RSA-8192 kulcs base64 dekódolás és RC4 dekódolás után fuckav jelszóval így néz ki.
Ennek eredményeként a teljes titkosítási folyamat így néz ki:
Hozzon létre egy 128 bites AES-kulcsot, amely az összes fájl titkosítására szolgál.
Hozzon létre egy IV-t minden fájlhoz.
Kulcspár létrehozása RSA-2048 munkamenethez.
Meglévő RSA-8192 kulcs visszafejtése base64 és RC4 használatával.
Az első lépéstől kezdve titkosítsa a fájl tartalmát az AES-128-CBC algoritmussal.
IV. titkosítás RSA-2048 nyilvános kulccsal és base64 kódolással.
Titkosított IV hozzáadása minden titkosított fájl végéhez.
AES kulcs és RSA-2048 szekció privát kulcs hozzáadása a konfigurációhoz.
szakaszban leírt konfigurációs adatok Információgyűjtés a fertőzött számítógépről az RSA-8192 fő nyilvános kulccsal titkosítva vannak.
A titkosított fájl így néz ki:
Példa titkosított fájlokra:
Információ gyűjtése a fertőzött számítógépről
A ransomware kulcsokat gyűjt a fertőzött fájlok visszafejtéséhez, így a támadó ténylegesen létrehozhat egy dekódolót. Ezenkívül a Nemty olyan felhasználói adatokat is gyűjt, mint a felhasználónév, a számítógép neve, a hardverprofil.
Meghívja a GetLogicalDrives(), GetFreeSpace(), GetDriveType() függvényeket, hogy információkat gyűjtsön a fertőzött számítógép meghajtóiról.
Az összegyűjtött információkat egy konfigurációs fájl tárolja. A karakterlánc dekódolása után megkapjuk a paraméterek listáját a konfigurációs fájlban:
Példa egy fertőzött számítógép konfigurációjára:
A konfigurációs sablon a következőképpen ábrázolható:
A Nemty az összegyűjtött adatokat JSON formátumban a %USER%/_NEMTY_.nemty fájlban tárolja. A FileID 7 karakter hosszú és véletlenszerűen generálódik. Például: _NEMTY_tgdLYrd_.nemty. A fájlazonosító a titkosított fájl végéhez is hozzá van fűzve.
Váltságdíj üzenet
A fájlok titkosítása után a _NEMTY_[Fájlazonosító]-DECRYPT.txt fájl megjelenik az asztalon a következő tartalommal:
A fájl végén titkosított információ található a fertőzött számítógépről.
A Nemty ezután megpróbálja elküldeni a konfigurációs adatokat a 127.0.0.1:9050-re, ahol azt várja, hogy talál egy működő Tor böngésző proxyt. Alapértelmezés szerint azonban a Tor-proxy a 9150-es porton figyel, a 9050-es portot pedig a Tor démon használja Linuxon vagy az Expert Bundle Windows rendszeren. Így nem küldenek adatokat a támadó szerverére. Ehelyett a felhasználó manuálisan töltheti le a konfigurációs fájlt a Tor dekódolási szolgáltatás meglátogatásával a váltságdíj üzenetben található hivatkozáson keresztül.
Csatlakozás Tor proxyhoz:
A HTTP GET kérést hoz létre a 127.0.0.1:9050/public/gate?data=
Itt láthatja a TORlocal proxy által használt nyitott TCP portokat:
Nemty visszafejtő szolgáltatás a Tor hálózaton:
A visszafejtő szolgáltatás teszteléséhez titkosított fényképet (jpg, png, bmp) tölthet fel.
Ezt követően a támadó váltságdíjat kér. Fizetés elmulasztása esetén az ár megduplázódik.
Következtetés
Jelenleg nem lehet váltságdíj fizetése nélkül visszafejteni a Nemty által titkosított fájlokat. A ransomware ezen verziójának közös jellemzői vannak a Buran ransomware-rel és az elavult GandCrab-bal: a Borland Delphiben való összeállítás és ugyanazt a szöveget tartalmazó képek. Ráadásul ez az első titkosító, amely 8092 bites RSA kulcsot használ, aminek megint csak semmi értelme, hiszen egy 1024 bites kulcs is elegendő a védelemhez. Végül és érdekes módon megpróbálja rossz portot használni a helyi Tor proxy szolgáltatáshoz.
Azonban a megoldások Acronis Backup и Acronis True Image megakadályozzák, hogy a Nemty ransomware eljusson a felhasználói számítógépekhez és adatokhoz, a szolgáltatók pedig ezzel védhetik meg klienseiket Acronis Backup Cloud... Teljes Kibervédelem nem csak biztonsági mentést, hanem védelmet is használ Acronis Active Protection, mesterséges intelligencián és viselkedési heurisztikán alapuló speciális technológia, amely lehetővé teszi a még ismeretlen kártevők semlegesítését.