Nýr lausnarhugbúnaður sem heitir Nemty hefur birst á netinu, sem á að vera arftaki GrandCrab eða Buran. Spilliforritinu er aðallega dreift frá fölsuðu PayPal vefsíðunni og hefur fjölda áhugaverðra eiginleika. Upplýsingar um hvernig þessi lausnarhugbúnaður virkar eru undir skurðinum.
Nýr Nemty lausnarhugbúnaður uppgötvaði af notanda 7. september 2019. Spilliforritinu var dreift í gegnum vefsíðu , það er líka mögulegt fyrir lausnarhugbúnað að komast inn í tölvu í gegnum RIG exploit Kit. Árásarmennirnir notuðu félagslegar verkfræðiaðferðir til að þvinga notandann til að keyra cashback.exe skrána, sem hann á að hafa fengið frá PayPal vefsíðunni. Það er líka forvitnilegt að Nemty hafi tilgreint rangt tengi fyrir staðbundna proxy-þjónustuna Tor, sem kemur í veg fyrir að spilliforritið sendi frá sér gögn á netþjóninn. Þess vegna verður notandinn sjálfur að hlaða upp dulkóðuðum skrám á Tor netið ef hann ætlar að greiða lausnargjaldið og bíða eftir afkóðun frá árásarmönnum.
Nokkrar áhugaverðar staðreyndir um Nemty benda til þess að það hafi verið þróað af sama fólki eða af netglæpamönnum sem tengjast Buran og GrandCrab.
- Líkt og GandCrab á Nemty páskaegg - tengil á mynd af Vladimír Pútín Rússlandsforseta með ruddalegum brandara. Hin eldri GandCrab lausnarhugbúnaður var með mynd með sama texta.
- Tungumálagripir beggja forritanna benda til sömu rússneskumælandi höfunda.
- Þetta er fyrsti lausnarhugbúnaðurinn sem notar 8092 bita RSA lykil. Þó að það sé ekkert vit í þessu: 1024-bita lykill er alveg nóg til að vernda gegn reiðhestur.
- Eins og Buran er lausnarhugbúnaðurinn skrifaður í Object Pascal og settur saman í Borland Delphi.
Statísk greining
Framkvæmd skaðlegs kóða fer fram í fjórum áföngum. Fyrsta skrefið er að keyra cashback.exe, PE32 keyrsluskrá undir MS Windows með stærðinni 1198936 bæti. Kóði þess var skrifaður í Visual C++ og settur saman 14. október 2013. Það inniheldur skjalasafn sem er sjálfkrafa pakkað upp þegar þú keyrir cashback.exe. Hugbúnaðurinn notar Cabinet.dll bókasafnið og aðgerðir þess FDICreate(), FDIDestroy() og fleiri til að fá skrár úr .cab skjalasafninu.
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
Eftir að skjalasafnið hefur verið pakkað upp munu þrjár skrár birtast.
Næst er temp.exe opnuð, PE32 keyranleg skrá undir MS Windows með stærðinni 307200 bæti. Kóðinn er skrifaður í Visual C++ og pakkað með MPRESS pökkunartæki, pökkunartæki svipað og UPX.
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
Næsta skref er ironman.exe. Þegar temp.exe er ræst, afkóðar innfelldu gögnin í temp og endurnefnir þau í ironman.exe, 32 bæta PE544768 keyrsluskrá. Kóðinn er settur saman í Borland Delphi.
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
Síðasta skrefið er að endurræsa ironman.exe skrána. Á keyrslutíma umbreytir það kóðanum sínum og keyrir sig úr minni. Þessi útgáfa af ironman.exe er illgjarn og ber ábyrgð á dulkóðun.
Árásarvektor
Sem stendur er Nemty lausnarhugbúnaðurinn dreift í gegnum vefsíðuna pp-back.info.
Hægt er að skoða alla sýkingarkeðjuna á sandkassi.
Uppsetning
Cashback.exe - upphaf árásarinnar. Eins og áður hefur komið fram tekur cashback.exe upp .cab skrána sem hún inniheldur. Það býr síðan til möppu TMP4351$.TMP af formi %TEMP%IXxxx.TMP, þar sem xxx er tala frá 001 til 999.
Næst er skrásetningarlykill settur upp sem lítur svona út:
„rundll32.exe“ „C:Windowssystem32advpack.dll,DelNodeRunDLL32 „C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP“““
Það er notað til að eyða ópakkuðum skrám. Að lokum, cashback.exe byrjar temp.exe ferlið.
Temp.exe er annað stigið í sýkingarkeðjunni
Þetta er ferlið sem cashback.exe skráin setur af stað, annað skref vírusframkvæmdarinnar. Það reynir að hlaða niður AutoHotKey, tól til að keyra forskriftir á Windows, og keyra WindowSpy.ahk forskriftina sem staðsett er í auðlindahluta PE skráarinnar.
WindowSpy.ahk handritið afkóðar tímaskrána í ironman.exe með því að nota RC4 reikniritið og lykilorðið IwantAcake. Lykillinn úr lykilorðinu er fenginn með því að nota MD5 kjötkássa reiknirit.
temp.exe kallar síðan ironman.exe ferlið.
Ironman.exe - þriðja skref
Ironman.exe les innihald iron.bmp skráarinnar og býr til iron.txt skrá með cryptolocker sem verður opnaður næst.
Eftir þetta hleður vírusinn iron.txt inn í minnið og endurræsir það sem ironman.exe. Eftir þetta er iron.txt eytt.
ironman.exe er aðalhluti NEMTY lausnarhugbúnaðarins, sem dulkóðar skrár á viðkomandi tölvu. Spilliforrit skapar mutex sem kallast hatur.
Það fyrsta sem það gerir er að ákvarða landfræðilega staðsetningu tölvunnar. Nemty opnar vafrann og kemst að IP-tölunni á . Á síðunni [IP]/countryName Landið er ákvarðað út frá móttekinni IP og ef tölvan er staðsett á einu af svæðunum sem taldar eru upp hér að neðan hættir keyrsla spilliforritakóða:
- Rússland
- Hvíta-Rússland
- Úkraína
- Kazakhstan
- Tadsjikistan
Líklegast vilja verktaki ekki vekja athygli löggæslustofnana í búsetulöndum sínum og dulkóða því ekki skrár í „heima“ lögsögu sinni.
Ef IP-tala fórnarlambsins tilheyrir ekki listanum hér að ofan, þá dulkóðar vírusinn upplýsingar notandans.
Til að koma í veg fyrir endurheimt skráar er skuggaafritum þeirra eytt:
Það býr síðan til lista yfir skrár og möppur sem verða ekki dulkóðaðar, sem og lista yfir skráarendingar.
- Windows
- $RECYCLE.BIN
- rsa
- NTDETECT.COM
- o.s.frv
- MSDOS.SYS
- IO.SYS
- boot.ini AUTOEXEC.BAT ntuser.dat
- desktop.ini
- SYS CONFIG.
- BOOTSECT.BAK
- stígvél
- forritsgögn
- gögn forrits
- osoft
- Algengar skrár
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY Skýring
Til að fela vefslóðir og innbyggð stillingargögn notar Nemty base64 og RC4 kóðun reiknirit með fuckav lykilorðinu.
Afkóðunarferlið með því að nota CryptStringToBinary er sem hér segir
Dulkóðun
Nemty notar þriggja laga dulkóðun:
- AES-128-CBC fyrir skrár. 128-bita AES lykillinn er búinn til af handahófi og er notaður eins fyrir allar skrár. Það er geymt í stillingarskrá á tölvu notandans. IV er mynduð af handahófi fyrir hverja skrá og geymd í dulkóðaðri skrá.
- RSA-2048 fyrir skráardulkóðun IV. Lyklapar fyrir lotuna er búið til. Einkalykill fyrir lotuna er geymdur í stillingarskrá á tölvu notandans.
- RSA-8192. Aðallykillinn er innbyggður í forritið og er notaður til að dulkóða stillingarskrána, sem geymir AES lykilinn og leynilykil fyrir RSA-2048 lotuna.
- Nemty býr fyrst til 32 bæti af handahófi gagna. Fyrstu 16 bætin eru notuð sem AES-128-CBC lykillinn.
Annað dulkóðunaralgrímið er RSA-2048. Lyklaparið er búið til af CryptGenKey() fallinu og flutt inn af CryptImportKey() fallinu.
Þegar lyklaparið fyrir lotuna er búið til er opinberi lykillinn fluttur inn í MS dulritunarþjónustuveituna.
Dæmi um myndaðan opinberan lykil fyrir lotu:
Næst er einkalykillinn fluttur inn í CSP.
Dæmi um myndaðan einkalykil fyrir lotu:
Og síðastur kemur RSA-8192. Aðallykillinn er geymdur á dulkóðuðu formi (Base64 + RC4) í .data hluta PE skráarinnar.
RSA-8192 lykillinn eftir base64 afkóðun og RC4 afkóðun með fuckav lykilorðinu lítur svona út.
Fyrir vikið lítur allt dulkóðunarferlið svona út:
- Búðu til 128 bita AES lykil sem verður notaður til að dulkóða allar skrár.
- Búðu til IV fyrir hverja skrá.
- Að búa til lyklapar fyrir RSA-2048 lotu.
- Afkóðun á núverandi RSA-8192 lykli með base64 og RC4.
- Dulkóða innihald skráar með AES-128-CBC reikniritinu frá fyrsta skrefi.
- IV dulkóðun með RSA-2048 opinberum lykli og base64 kóðun.
- Bæti dulkóðuðu IV við lok hverrar dulkóðaðrar skráar.
- Bætir AES lykli og RSA-2048 lotu einkalykli við stillinguna.
- Stillingargögn sem lýst er í kafla um sýktu tölvuna eru dulkóðuð með því að nota aðal opinbera lykilinn RSA-8192.
- Dulkóðaða skráin lítur svona út:
Dæmi um dulkóðaðar skrár:
Að safna upplýsingum um sýktu tölvuna
Lausnarhugbúnaðurinn safnar lyklum til að afkóða sýktar skrár, svo árásarmaðurinn getur í raun búið til afkóðara. Að auki safnar Nemty notendagögnum eins og notandanafni, tölvunafni, vélbúnaðarsniði.
Það kallar GetLogicalDrives(), GetFreeSpace(), GetDriveType() aðgerðirnar til að safna upplýsingum um drif sýktu tölvunnar.
Safnaðar upplýsingar eru geymdar í stillingarskrá. Eftir að hafa afkóðað strenginn fáum við lista yfir færibreytur í stillingarskránni:
Dæmi um uppsetningu á sýktri tölvu:
Stillingarsniðmátið má tákna sem hér segir:
{"General": {"IP":"[IP]", "Country":"[Country]", "ComputerName":"[ComputerName]", "Username":"[Notandanafn]", "OS": "[OS]", "isRU":false, "version":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[FileID]_", "UserID":"[ UserID]", "key":"[lykill]", "pr_key":"[pr_key]
Nemty geymir gögnin sem safnað er á JSON sniði í skránni %USER%/_NEMTY_.nemty. FileID er 7 stafir að lengd og myndað af handahófi. Til dæmis: _NEMTY_tgdLYrd_.nemty. FileID er einnig bætt við lok dulkóðuðu skráarinnar.
Lausnargjaldsskilaboð
Eftir að hafa dulkóðað skrárnar birtist skráin _NEMTY_[FileID]-DECRYPT.txt á skjáborðinu með eftirfarandi efni:
Í lok skráarinnar eru dulkóðaðar upplýsingar um sýktu tölvuna.
Netsamskipti
ironman.exe ferlið hleður niður Tor vafradreifingunni frá heimilisfanginu og reynir að setja það upp.
Nemty reynir síðan að senda stillingargögn til 127.0.0.1:9050, þar sem það býst við að finna virka Tor vafra proxy. Hins vegar, sjálfgefið, hlustar Tor proxy á port 9150 og port 9050 er notað af Tor púknum á Linux eða Expert Bundle á Windows. Þannig eru engin gögn send á netþjón árásarmannsins. Þess í stað getur notandinn hlaðið niður stillingarskránni handvirkt með því að heimsækja Tor afkóðunarþjónustuna í gegnum hlekkinn sem gefinn er upp í lausnargjaldsskilaboðunum.
Tengist Tor proxy:
HTTP GET býr til beiðni til 127.0.0.1:9050/public/gate?data=
Hér geturðu séð opnu TCP tengin sem eru notuð af TORlocal umboðinu:
Nemty afkóðunarþjónusta á Tor netinu:
Þú getur hlaðið upp dulkóðaðri mynd (jpg, png, bmp) til að prófa afkóðunarþjónustuna.
Eftir þetta biður árásarmaðurinn um að greiða lausnargjald. Ef ekki er greitt tvöfaldast verðið.
Ályktun
Í augnablikinu er ekki hægt að afkóða skrár dulkóðaðar af Nemty án þess að greiða lausnargjald. Þessi útgáfa af lausnarhugbúnaði hefur sameiginlega eiginleika með Buran lausnarhugbúnaði og úreltum GandCrab: samantekt í Borland Delphi og myndum með sama texta. Að auki er þetta fyrsti dulkóðarinn sem notar 8092 bita RSA lykil, sem aftur meikar ekkert vit, þar sem 1024 bita lykill er nóg til verndar. Að lokum, og athyglisvert, reynir það að nota ranga höfn fyrir staðbundna Tor proxy-þjónustu.
Hins vegar lausnir и koma í veg fyrir að Nemty lausnarhugbúnaðurinn nái til notendatölva og gagna, og veitendur geta verndað viðskiptavini sína með ... Fullt veitir ekki aðeins öryggisafrit, heldur einnig vernd með því að nota , sérstök tækni sem byggir á gervigreind og atferlisheuristics sem gerir þér kleift að hlutleysa jafnvel enn óþekkt spilliforrit.
Heimild: www.habr.com