הכירו את תוכנת הכופר Nemty מאתר PayPal המזוייף

תוכנת כופר חדשה בשם Nemty הופיעה ברשת, שהיא כביכול היורשת של GrandCrab או Buran. התוכנה הזדונית מופצת בעיקר מאתר PayPal המזויף ויש לה מספר תכונות מעניינות. פרטים על אופן הפעולה של תוכנת הכופר הזו נמצאים תחת חתך.

תוכנת כופר חדשה של Nemty התגלתה על ידי המשתמש nao_sec 7 בספטמבר 2019. התוכנה הזדונית הופצה דרך אתר אינטרנט מחופש ל-PayPal, אפשר גם לתוכנת כופר לחדור למחשב דרך ערכת RIG exploit. התוקפים השתמשו בשיטות הנדסה חברתית כדי לאלץ את המשתמש להפעיל את קובץ cashback.exe, שלטענתו קיבל מאתר PayPal. כמו כן, מעניין שנמטי ציין את היציאה השגויה עבור שירות ה-proxy המקומי Tor, מה שמונע מהתוכנה הזדונית לשלוח נתונים לשרת. לכן, המשתמש יצטרך להעלות בעצמו קבצים מוצפנים לרשת Tor אם הוא מתכוון לשלם את הכופר ולהמתין לפענוח מהתוקפים.

מספר עובדות מעניינות על נמטי מצביעות על כך שהוא פותח על ידי אותם אנשים או על ידי פושעי סייבר הקשורים לבוראן ולגראנד קראב.

• כמו GandCrab, לנמטי יש ביצת פסחא - קישור לתמונה של נשיא רוסיה ולדימיר פוטין עם בדיחה מגונה. לתוכנת הכופר מדור קודם של GandCrab הייתה תמונה עם אותו טקסט.
• חפצי השפה של שתי התוכניות מצביעים על אותם מחברים דוברי רוסית.
• זוהי תוכנת הכופר הראשונה שמשתמשת במפתח RSA של 8092 סיביות. למרות שאין בכך טעם: מפתח 1024 סיביות מספיק כדי להגן מפני פריצה.
• בדומה לבוראן, תוכנת הכופר כתובה ב-Object Pascal ומקובלת בבורלנד דלפי.

ניתוח סטטי

ביצוע קוד זדוני מתרחש בארבעה שלבים. הצעד הראשון הוא להפעיל את cashback.exe, קובץ הפעלה PE32 תחת MS Windows בגודל של 1198936 בתים. הקוד שלו נכתב ב-Visual C++ והוידור ב-14 באוקטובר 2013. הוא מכיל ארכיון שנפרק אוטומטית בעת הפעלת cashback.exe. התוכנה משתמשת בספריית Cabinet.dll ובפונקציות שלה FDICreate(), FDIDestroy() ואחרות כדי להשיג קבצים מארכיון .cab.

SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC

לאחר פירוק הארכיון, יופיעו שלושה קבצים.

לאחר מכן, temp.exe מושק, קובץ הפעלה PE32 תחת MS Windows בגודל של 307200 בתים. הקוד כתוב ב-Visual C++ ונארז עם MPRESS packer, פאקר דומה ל-UPX.

SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD

השלב הבא הוא ironman.exe. לאחר ההשקה, temp.exe מפענח את הנתונים המוטבעים ב-temp ומשנה את שמו ל-ironman.exe, קובץ הפעלה PE32 בגודל 544768 בתים. הקוד מורכב בבורלנד דלפי.

SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88

השלב האחרון הוא להפעיל מחדש את הקובץ ironman.exe. בזמן ריצה, הוא הופך את הקוד שלו ומפעיל את עצמו מהזיכרון. גרסה זו של ironman.exe היא זדונית ואחראית להצפנה.

וקטור התקפה

נכון לעכשיו, תוכנת הכופר של Nemty מופצת דרך האתר pp-back.info.

ניתן לראות את שרשרת ההדבקה המלאה בכתובת app.any.run ארגז חול.

התקנה

Cashback.exe - תחילת ההתקפה. כפי שכבר הוזכר, cashback.exe פורק את קובץ ה-.cab שהוא מכיל. לאחר מכן הוא יוצר תיקייה TMP4351$.TMP בצורת %TEMP%IXxxx.TMP, כאשר xxx הוא מספר מ-001 עד 999.

לאחר מכן, מותקן מפתח רישום, שנראה כך:

[HKLMSOFTWAREWOW6432NodeMicrosoftWindowsCurrentVersionRunOncewextract_cleanup0]
"rundll32.exe" "C:Windowssystem32advpack.dll,DelNodeRunDLL32 "C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP"""

הוא משמש למחיקת קבצים לא ארוזים. לבסוף, cashback.exe מתחיל את תהליך temp.exe.

Temp.exe הוא השלב השני בשרשרת ההדבקה

זהו התהליך שהושק על ידי קובץ cashback.exe, השלב השני של ביצוע הווירוס. הוא מנסה להוריד את AutoHotKey, כלי להפעלת סקריפטים ב-Windows, ולהריץ את הסקריפט WindowSpy.ahk שנמצא בחלק המשאבים של קובץ ה-PE.

הסקריפט WindowSpy.ahk מפענח את הקובץ הזמני ב-ironman.exe באמצעות אלגוריתם RC4 והסיסמה IwantAcake. המפתח מהסיסמה מתקבל באמצעות אלגוריתם הגיבוב MD5.

לאחר מכן temp.exe קורא לתהליך ironman.exe.

Ironman.exe - שלב שלישי

Ironman.exe קורא את התוכן של קובץ iron.bmp ויוצר קובץ iron.txt עם cryptolocker שיושק בשלב הבא.

לאחר מכן, הווירוס טוען את iron.txt לזיכרון ומפעיל אותו מחדש בתור ironman.exe. לאחר מכן, iron.txt נמחק.

ironman.exe הוא החלק העיקרי בתוכנת הכופר של NEMTY, המצפינה קבצים במחשב המושפע. תוכנה זדונית יוצרת mutex שנקרא שנאה.

הדבר הראשון שהוא עושה הוא לקבוע את המיקום הגיאוגרפי של המחשב. נמטי פותח את הדפדפן ומגלה את ה-IP http://api.ipify.org. באתר api.db-ip.com/v2/free[IP]/countryName המדינה נקבעת מה-IP שהתקבל, ואם המחשב ממוקם באחד מהאזורים המפורטים להלן, הביצוע של קוד התוכנה הזדונית נפסק:

• רוסיה
• ביילורוסיה
• אוקראינה
• קזחסטן
• טג'יקיסטן

סביר להניח, מפתחים אינם רוצים למשוך את תשומת הלב של רשויות אכיפת החוק במדינות מגוריהם, ולכן אינם מצפינים קבצים בתחומי השיפוט ה"ביתיים" שלהם.

אם כתובת ה-IP של הקורבן אינה שייכת לרשימה למעלה, אז הווירוס מצפין את המידע של המשתמש.

כדי למנוע שחזור קבצים, עותקי הצל שלהם נמחקים:

לאחר מכן הוא יוצר רשימה של קבצים ותיקיות שלא יוצפנו, כמו גם רשימה של סיומות קבצים.

• חלונות
• RECYCLE.BIN $
• RSA
• NTDETECT.COM
• ntldr
• MSDOS.SYS
• IO.SYS
• boot.ini AUTOEXEC.BAT ntuser.dat
• Desktop.ini
• SYS CONFIG.
• BOOTSECT.BAK
• Bootmgr
• נתוני תכנית
• אפליקציית נתונים
• osoft
• קבצים משותפים

log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY 

ערפול

כדי להסתיר כתובות URL ונתוני תצורה מוטבעים, Nemty משתמש באלגוריתם קידוד base64 ו-RC4 עם מילת המפתח fuckav.

תהליך הפענוח באמצעות CryptStringToBinary הוא כדלקמן

Шифрование

Nemty משתמש בהצפנה תלת-שכבתית:

• AES-128-CBC עבור קבצים. מפתח AES 128 סיביות נוצר באופן אקראי ומשמש אותו עבור כל הקבצים. זה מאוחסן בקובץ תצורה במחשב של המשתמש. ה-IV נוצר באופן אקראי עבור כל קובץ ומאוחסן בקובץ מוצפן.
• RSA-2048 להצפנת קבצים IV. נוצר זוג מפתחות להפעלה. המפתח הפרטי לסשן מאוחסן בקובץ תצורה במחשב המשתמש.
• RSA-8192. המפתח הציבורי הראשי מובנה בתוכנית ומשמש להצפנת קובץ התצורה, המאחסן את מפתח ה-AES והמפתח הסודי עבור הפגישה של RSA-2048.
• Nemty מייצר תחילה 32 בתים של נתונים אקראיים. 16 הבתים הראשונים משמשים כמפתח AES-128-CBC.

אלגוריתם ההצפנה השני הוא RSA-2048. צמד המפתחות נוצר על ידי הפונקציה CryptGenKey() ומיובא על ידי הפונקציה CryptImportKey() .

לאחר יצירת צמד המפתחות עבור הפגישה, המפתח הציבורי מיובא אל ספק השירות הקריפטוגרפי של MS.

דוגמה למפתח ציבורי שנוצר עבור הפעלה:

לאחר מכן, המפתח הפרטי מיובא ל-CSP.

דוגמה למפתח פרטי שנוצר עבור הפעלה:

ואחרון מגיע RSA-8192. המפתח הציבורי הראשי מאוחסן בצורה מוצפנת (Base64 + RC4) בחלק ה-.data של קובץ PE.

מפתח RSA-8192 לאחר פענוח base64 ופענוח RC4 עם סיסמת fuckav נראה כך.

כתוצאה מכך, כל תהליך ההצפנה נראה כך:

• צור מפתח AES של 128 סיביות שישמש להצפנת כל הקבצים.
• צור IV עבור כל קובץ.
• יצירת זוג מפתחות להפעלת RSA-2048.
• פענוח מפתח RSA-8192 קיים באמצעות base64 ו-RC4.
• הצפנת תוכן הקובץ באמצעות אלגוריתם AES-128-CBC מהשלב הראשון.
• הצפנה IV באמצעות מפתח ציבורי RSA-2048 וקידוד base64.
• הוספת IV מוצפן לסוף כל קובץ מוצפן.
• הוספת מפתח AES ומפתח פרטי הפעלה RSA-2048 לתצורה.
• נתוני תצורה המתוארים בסעיף איסוף מידע על המחשב הנגוע מוצפנים באמצעות המפתח הציבורי הראשי RSA-8192.
• הקובץ המוצפן נראה כך:

דוגמה לקבצים מוצפנים:

איסוף מידע על המחשב הנגוע

תוכנת הכופר אוספת מפתחות לפענוח קבצים נגועים, כך שהתוקף יכול ליצור למעשה מפענח. בנוסף, Nemty אוספת נתוני משתמש כגון שם משתמש, שם מחשב, פרופיל חומרה.

זה קורא לפונקציות GetLogicalDrives(), GetFreeSpace(), GetDriveType() כדי לאסוף מידע על הכוננים של המחשב הנגוע.

המידע שנאסף מאוחסן בקובץ תצורה. לאחר פענוח המחרוזת, אנו מקבלים רשימה של פרמטרים בקובץ התצורה:

תצורה לדוגמה של מחשב נגוע:

ניתן לייצג את תבנית התצורה באופן הבא:

{"General": {"IP":"[IP]", "Country":"[מדינה]", "ComputerName":"[ComputerName]", "Username":"[שם משתמש]", "OS": "[OS]", "isRU":false, "version":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[FileID]_", "UserID":"[ UserID]", "key":"[key]", "pr_key":"[pr_key]

Nemty מאחסן את הנתונים שנאספו בפורמט JSON בקובץ %USER%/_NEMTY_.nemty. FileID הוא באורך 7 תווים ונוצר באופן אקראי. לדוגמה: _NEMTY_tgdLYrd_.nemty. מזהה הקובץ מצורף גם לסוף הקובץ המוצפן.

הודעת כופר

לאחר הצפנת הקבצים, הקובץ _NEMTY_[FileID]-DECRYPT.txt מופיע על שולחן העבודה עם התוכן הבא:

בסוף הקובץ יש מידע מוצפן על המחשב הנגוע.

תקשורת ברשת

תהליך ironman.exe מוריד את הפצת דפדפן Tor מהכתובת https://dist.torproject.org/torbrowser/8.5.4/tor-win32-0.4.0.5.zip ומנסה להתקין אותו.

לאחר מכן נמטי מנסה לשלוח נתוני תצורה ל-127.0.0.1:9050, שם הוא מצפה למצוא פרוקסי לדפדפן Tor עובד. עם זאת, כברירת מחדל, ה-Proxy של Tor מאזין ביציאה 9150, ויציאה 9050 משמשת את הדמון Tor ב-Linux או ב-Expert Bundle ב-Windows. לפיכך, לא נשלחים נתונים לשרת התוקף. במקום זאת, המשתמש יכול להוריד את קובץ התצורה באופן ידני על ידי ביקור בשירות הפענוח של Tor דרך הקישור המסופק בהודעת הכופר.

מתחבר ל-Tor proxy:

HTTP GET יוצר בקשה ל-127.0.0.1:9050/public/gate?data=

כאן אתה יכול לראות את יציאות ה-TCP הפתוחות המשמשות את פרוקסי TORlocal:

שירות פענוח Nemty ברשת Tor:

אתה יכול להעלות תמונה מוצפנת (jpg, png, bmp) כדי לבדוק את שירות הפענוח.

לאחר מכן, התוקף מבקש לשלם כופר. במקרה של אי תשלום המחיר מוכפל.

מסקנה

נכון לעכשיו, לא ניתן לפענח קבצים מוצפנים על ידי נמטי מבלי לשלם כופר. לגרסה זו של תוכנת כופר יש תכונות משותפות עם תוכנת הכופר Buran ו-GandCrab המיושן: אוסף בבורלנד דלפי ותמונות עם אותו טקסט. בנוסף, זהו המצפין הראשון שמשתמש במפתח RSA של 8092 סיביות, וזה, שוב, לא הגיוני, שכן מפתח 1024 סיביות מספיק להגנה. לבסוף, ומעניין, הוא מנסה להשתמש ביציאה הלא נכונה עבור שירות ה-Proxy המקומי של Tor.

עם זאת, פתרונות Acronis Backup и Acronis דמות אמת למנוע מתוכנת הכופר של Nemty להגיע למחשבים ולנתונים של משתמשים, וספקים יכולים להגן על הלקוחות שלהם ענן גיבוי Acronis. מלא הגנת סייבר מספק לא רק גיבוי, אלא גם הגנה באמצעות Acronis Active Protection, טכנולוגיה מיוחדת המבוססת על בינה מלאכותית והיוריסטיקה התנהגותית המאפשרת לך לנטרל אפילו תוכנות זדוניות לא ידועות.

מקור: www.habr.com