Nemty néven új zsarolóprogram jelent meg a hálózaton, ami állítólag a GrandCrab vagy a Buran utódja. A kártevő elsősorban a hamis PayPal webhelyről terjeszthető, és számos érdekes funkcióval rendelkezik. Ennek a zsarolóprogramnak a működésével kapcsolatos részletek a cikk alatt találhatók.
Új Nemty ransomware-t fedezett fel a felhasználó 7. szeptember 2019. A kártevőt egy weboldalon keresztül terjesztették , az is lehetséges, hogy a ransomware behatoljon a számítógépbe a RIG exploit kit segítségével. A támadók social engineering módszerekkel kényszerítették a felhasználót a cashback.exe fájl futtatására, amelyet állítólag a PayPal webhelyéről kapott. Az is érdekes, hogy Nemty rossz portot adott meg a helyi Tor proxy szolgáltatásnak, ami megakadályozza a kártevő elküldését. adatokat a szerverre. Ezért a felhasználónak magának kell feltöltenie a titkosított fájlokat a Tor hálózatba, ha ki akarja fizetni a váltságdíjat, és megvárja a visszafejtést a támadóktól.
Számos érdekes tény Nemtyről azt sugallja, hogy ugyanazok az emberek, vagy Burannal és GrandCrabbal kapcsolatban álló kiberbűnözők fejlesztették ki.
- A GandRákhoz hasonlóan Nemtynek is van egy húsvéti tojása – ez egy link Vlagyimir Putyin orosz elnök egy obszcén tréfával készült fényképére. Az örökölt GandCrab ransomware-nek ugyanaz a szövege volt a képen.
- Mindkét program nyelvi műtermékei ugyanazokra az oroszul beszélő szerzőkre utalnak.
- Ez az első zsarolóprogram, amely 8092 bites RSA-kulcsot használ. Bár ennek semmi értelme: egy 1024 bites kulcs is elég a hackelés elleni védelemhez.
- A Buranhoz hasonlóan a ransomware is Object Pascal nyelven íródott, és a Borland Delphiben van lefordítva.
Statikus elemzés
A rosszindulatú kód végrehajtása négy szakaszban történik. Az első lépés a cashback.exe, egy 32 bájt méretű PE1198936 futtatható fájl futtatása MS Windows alatt. A kódja Visual C++ nyelven íródott, és 14. október 2013-én lett lefordítva. Tartalmaz egy archívumot, amely a cashback.exe futtatásakor automatikusan kicsomagolásra kerül. A szoftver a Cabinet.dll könyvtárat és annak FDICreate(), FDIDEStroy() és egyéb funkcióit használja a fájlok .cab archívumból való beszerzéséhez.
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
Az archívum kicsomagolása után három fájl jelenik meg.
Ezután elindul a temp.exe, egy PE32 futtatható fájl MS Windows alatt, 307200 XNUMX bájt méretű. A kód Visual C++ nyelven íródott, és az UPX-hez hasonló MPRESS packerrel van csomagolva.
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
A következő lépés az ironman.exe. Az indítás után a temp.exe dekódolja a beágyazott adatokat a tempban, és átnevezi ironman.exe-re, egy 32 bájtos PE544768 végrehajtható fájlra. A kódot a Borland Delphiben állították össze.
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
Az utolsó lépés az ironman.exe fájl újraindítása. Futás közben átalakítja a kódját, és a memóriából futtatja magát. Az ironman.exe ezen verziója rosszindulatú, és felelős a titkosításért.
Támadás vektor
Jelenleg a Nemty ransomware terjesztése a pp-back.info webhelyen keresztül történik.
A fertőzés teljes láncolata megtekinthető a címen homokozó.
Telepítés
Cashback.exe - a támadás kezdete. Ahogy már említettük, a cashback.exe kicsomagolja a benne található .cab fájlt. Ezután létrehoz egy TMP4351$.TMP mappát %TEMP%IXxxx.TMP formátumban, ahol az xxx egy 001 és 999 közötti szám.
Ezután egy rendszerleíró kulcs kerül telepítésre, amely így néz ki:
"rundll32.exe" "C:Windowssystem32advpack.dll,DelNodeRunDLL32 "C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP""
A kicsomagolt fájlok törlésére szolgál. Végül a cashback.exe elindítja a temp.exe folyamatot.
A Temp.exe a fertőzési lánc második szakasza
Ezt a folyamatot indítja el a cashback.exe fájl, a vírus végrehajtásának második lépése. Megpróbálja letölteni az AutoHotKey-t, a szkriptek futtatására szolgáló eszközt a Windows rendszeren, és futtatni a WindowSpy.ahk szkriptet, amely a PE-fájl erőforrások részében található.
A WindowSpy.ahk szkript visszafejti az ironman.exe ideiglenes fájlját az RC4 algoritmus és az IwantAcake jelszó használatával. A jelszó kulcsát az MD5 kivonatoló algoritmussal kapjuk meg.
A temp.exe ezután meghívja az ironman.exe folyamatot.
Ironman.exe – harmadik lépés
Az Ironman.exe beolvassa az iron.bmp fájl tartalmát, és létrehoz egy iron.txt fájlt egy titkosítási zárral, amely legközelebb indul.
Ezt követően a vírus betölti az iron.txt fájlt a memóriába, és újraindítja ironman.exe néven. Ezt követően az iron.txt törlődik.
Az ironman.exe a NEMTY ransomware fő része, amely titkosítja a fájlokat az érintett számítógépen. A rosszindulatú programok mutexet hoznak létre, amelyet gyűlöletnek neveznek.
Az első dolog, hogy meghatározza a számítógép földrajzi elhelyezkedését. Nemty megnyitja a böngészőt, és megtudja a bekapcsolt IP-címet . Online [IP]/országnév Az ország a kapott IP-cím alapján kerül meghatározásra, és ha a számítógép az alább felsorolt régiók valamelyikében található, a rosszindulatú programkód végrehajtása leáll:
- Oroszország
- Belorusszia
- Ukrajna
- Kazahsztán
- Tádzsikisztán
Valószínűleg a fejlesztők nem akarják felkelteni a lakóhelyük szerinti ország bűnüldöző szerveinek figyelmét, ezért nem titkosítják a fájlokat „otthoni” joghatóságukban.
Ha az áldozat IP-címe nem tartozik a fenti listába, akkor a vírus titkosítja a felhasználó adatait.
A fájlok helyreállításának megakadályozása érdekében az árnyékmásolatokat törli:
Ezután létrehoz egy listát a nem titkosított fájlokról és mappákról, valamint a fájlkiterjesztésekről.
- ablakok
- $ RECYCLE.BIN
- rsa
- NTDETECT.COM
- ntldr
- MSDOS.SYS
- IO.SYS
- boot.ini AUTOEXEC.BAT ntuser.dat
- desktop.ini
- CONFIG.SYS
- BOOTSECT.BAK
- Csizmadia
- program adatok
- App adatok
- osoft
- Közös fájlok
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY Elhomályosítás
Az URL-ek és a beágyazott konfigurációs adatok elrejtéséhez Nemty base64 és RC4 kódolási algoritmust használ a fuckav kulcsszóval.
A visszafejtési folyamat a CryptStringToBinary használatával a következő
Titkosítás
A Nemty háromrétegű titkosítást használ:
- AES-128-CBC fájlokhoz. A 128 bites AES-kulcs véletlenszerűen jön létre, és minden fájlhoz ugyanúgy használatos. Ez egy konfigurációs fájlban van tárolva a felhasználó számítógépén. Az IV véletlenszerűen generálódik minden fájlhoz, és titkosított fájlban tárolódik.
- RSA-2048 fájltitkosításhoz IV. A munkamenethez létrejön egy kulcspár. A munkamenet privát kulcsa a felhasználó számítógépén található konfigurációs fájlban tárolódik.
- RSA-8192. A fő nyilvános kulcs a programba van beépítve, és a konfigurációs fájl titkosítására szolgál, amely az RSA-2048 munkamenet AES-kulcsát és titkos kulcsát tárolja.
- Nemty először 32 bájt véletlenszerű adatot generál. Az első 16 bájt AES-128-CBC kulcsként használatos.
A második titkosítási algoritmus az RSA-2048. A kulcspárt a CryptGenKey() függvény hozza létre, és a CryptImportKey() függvény importálja.
A munkamenet kulcspárjának létrehozása után a nyilvános kulcs importálva lesz az MS Cryptographic Service Providerbe.
Példa egy munkamenethez generált nyilvános kulcsra:
Ezután a privát kulcsot importálják a CSP-be.
Példa egy munkamenethez generált privát kulcsra:
És végül az RSA-8192. A fő nyilvános kulcs titkosított formában (Base64 + RC4) van tárolva a PE fájl .data részében.
Az RSA-8192 kulcs base64 dekódolás és RC4 dekódolás után fuckav jelszóval így néz ki.
Ennek eredményeként a teljes titkosítási folyamat így néz ki:
- Hozzon létre egy 128 bites AES-kulcsot, amely az összes fájl titkosítására szolgál.
- Hozzon létre egy IV-t minden fájlhoz.
- Kulcspár létrehozása RSA-2048 munkamenethez.
- Meglévő RSA-8192 kulcs visszafejtése base64 és RC4 használatával.
- Az első lépéstől kezdve titkosítsa a fájl tartalmát az AES-128-CBC algoritmussal.
- IV. titkosítás RSA-2048 nyilvános kulccsal és base64 kódolással.
- Titkosított IV hozzáadása minden titkosított fájl végéhez.
- AES kulcs és RSA-2048 szekció privát kulcs hozzáadása a konfigurációhoz.
- szakaszban leírt konfigurációs adatok a fertőzött számítógépről az RSA-8192 fő nyilvános kulccsal titkosítva vannak.
- A titkosított fájl így néz ki:
Példa titkosított fájlokra:
Információ gyűjtése a fertőzött számítógépről
A ransomware kulcsokat gyűjt a fertőzött fájlok visszafejtéséhez, így a támadó ténylegesen létrehozhat egy dekódolót. Ezenkívül a Nemty olyan felhasználói adatokat is gyűjt, mint a felhasználónév, a számítógép neve, a hardverprofil.
Meghívja a GetLogicalDrives(), GetFreeSpace(), GetDriveType() függvényeket, hogy információkat gyűjtsön a fertőzött számítógép meghajtóiról.
Az összegyűjtött információkat egy konfigurációs fájl tárolja. A karakterlánc dekódolása után megkapjuk a paraméterek listáját a konfigurációs fájlban:
Példa egy fertőzött számítógép konfigurációjára:
A konfigurációs sablon a következőképpen ábrázolható:
{"Általános": {"IP":"[IP]", "Country":"[Country]", "ComputerName":"[Számítógépnév]", "Felhasználónév":"[Felhasználónév]", "OS": "[OS]", "isRU":false, "version":"1.4", "CompID":"{[CompID]}", "Fájlazonosító":"_NEMTY_[Fájlazonosító]_", "Felhasználói azonosító":"[ UserID]", "key":"[key]", "pr_key":"[pr_key]
A Nemty az összegyűjtött adatokat JSON formátumban a %USER%/_NEMTY_.nemty fájlban tárolja. A FileID 7 karakter hosszú és véletlenszerűen generálódik. Például: _NEMTY_tgdLYrd_.nemty. A fájlazonosító a titkosított fájl végéhez is hozzá van fűzve.
Váltságdíj üzenet
A fájlok titkosítása után a _NEMTY_[Fájlazonosító]-DECRYPT.txt fájl megjelenik az asztalon a következő tartalommal:
A fájl végén titkosított információ található a fertőzött számítógépről.
Hálózati kommunikáció
Az ironman.exe folyamat letölti a Tor böngésző disztribúcióját a címről és megpróbálja telepíteni.
A Nemty ezután megpróbálja elküldeni a konfigurációs adatokat a 127.0.0.1:9050-re, ahol azt várja, hogy talál egy működő Tor böngésző proxyt. Alapértelmezés szerint azonban a Tor-proxy a 9150-es porton figyel, a 9050-es portot pedig a Tor démon használja Linuxon vagy az Expert Bundle Windows rendszeren. Így nem küldenek adatokat a támadó szerverére. Ehelyett a felhasználó manuálisan töltheti le a konfigurációs fájlt a Tor dekódolási szolgáltatás meglátogatásával a váltságdíj üzenetben található hivatkozáson keresztül.
Csatlakozás Tor proxyhoz:
A HTTP GET kérést hoz létre a 127.0.0.1:9050/public/gate?data=
Itt láthatja a TORlocal proxy által használt nyitott TCP portokat:
Nemty visszafejtő szolgáltatás a Tor hálózaton:
A visszafejtő szolgáltatás teszteléséhez titkosított fényképet (jpg, png, bmp) tölthet fel.
Ezt követően a támadó váltságdíjat kér. Fizetés elmulasztása esetén az ár megduplázódik.
Következtetés
Jelenleg nem lehet váltságdíj fizetése nélkül visszafejteni a Nemty által titkosított fájlokat. A ransomware ezen verziójának közös jellemzői vannak a Buran ransomware-rel és az elavult GandCrab-bal: a Borland Delphiben való összeállítás és ugyanazt a szöveget tartalmazó képek. Ráadásul ez az első titkosító, amely 8092 bites RSA kulcsot használ, aminek megint csak semmi értelme, hiszen egy 1024 bites kulcs is elegendő a védelemhez. Végül és érdekes módon megpróbálja rossz portot használni a helyi Tor proxy szolgáltatáshoz.
Azonban a megoldások и megakadályozzák, hogy a Nemty ransomware eljusson a felhasználói számítógépekhez és adatokhoz, a szolgáltatók pedig ezzel védhetik meg klienseiket ... Teljes nem csak biztonsági mentést, hanem védelmet is használ , mesterséges intelligencián és viselkedési heurisztikán alapuló speciális technológia, amely lehetővé teszi a még ismeretlen kártevők semlegesítését.
Forrás: will.com