偽の PayPal サイトからの Nemty ランサムウェアを紹介します

Nemty と呼ばれる新しいランサムウェアがネットワーク上に出現しました。これはおそらく GrandCrab または Buran の後継です。 このマルウェアは主に偽の PayPal Web サイトから配布されており、多くの興味深い機能を備えています。 このランサムウェアがどのように機能するかについての詳細はまだ明らかにされていません。

新しい Nemty ランサムウェアがユーザーによって発見されました nao_sec 7年2019月XNUMX日。 マルウェアは Web サイトを通じて配布されました PayPalを装った、ランサムウェアが RIG エクスプロイト キットを介してコンピューターに侵入する可能性もあります。 攻撃者は、ソーシャル エンジニアリング手法を使用して、PayPal Web サイトから受け取ったとされるキャッシュバック.exe ファイルを実行するようユーザーに強制しましたが、Nemty がローカル プロキシ サービス Tor に間違ったポートを指定し、マルウェアの送信を妨げていたことも興味深いです。データをサーバーに送信します。 したがって、身代金を支払って攻撃者からの復号化を待つ場合、ユーザーは暗号化されたファイルを自分で Tor ネットワークにアップロードする必要があります。

Nemty に関するいくつかの興味深い事実は、Nemty が同じ人物、または Buran と GrandCrab に関連するサイバー犯罪者によって開発されたことを示唆しています。

• GandCrab と同様に、Nemty にもイースターエッグが付いています。これは、ロシアのウラジーミル・プーチン大統領の写真へのリンクであり、卑猥なジョークが含まれています。 従来の GandCrab ランサムウェアには、同じテキストが含まれた画像がありました。
• 両方のプログラムの言語成果物は、同じロシア語を話す作者を指します。
• これは、8092 ビット RSA キーを使用する最初のランサムウェアです。 これには意味がありませんが、ハッキングを防ぐには 1024 ビットのキーで十分です。
• Buran と同様、ランサムウェアは Object Pascal で書かれ、Borland Delphi でコンパイルされています。

静的解析

悪意のあるコードの実行は 32 つの段階で発生します。 最初のステップは、MS Windows 上でサイズ 1198936 バイトの PE14 実行可能ファイル、cashback.exe を実行することです。 そのコードは Visual C++ で書かれ、2013 年 XNUMX 月 XNUMX 日にコンパイルされました。 これには、Cashback.exe を実行すると自動的に解凍されるアーカイブが含まれています。 このソフトウェアは、Cabinet.dll ライブラリとその関数 FDICreate()、FDIDestroy() などを使用して、.cab アーカイブからファイルを取得します。

SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC

アーカイブを解凍すると、XNUMX つのファイルが表示されます。

次に、temp.exe が起動されます。これは、MS Windows 上でサイズが 32 バイトの PE307200 実行可能ファイルです。 コードは Visual C++ で記述され、UPX に似たパッカーである MPRESS パッカーでパッケージ化されています。

SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD

次のステップは、ironman.exe です。 temp.exe が起動されると、temp に埋め込まれたデータが復号化され、その名前が 32 バイトの PE544768 実行可能ファイル Ironman.exe に変更されます。 コードは Borland Delphi でコンパイルされます。

SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88

最後のステップは、ironman.exe ファイルを再起動することです。 実行時にコードを変換し、メモリから自身を実行します。 このバージョンの Ironman.exe は悪意があり、暗号化を担当します。

攻撃ベクトル

現在、Nemty ランサムウェアは Web サイト pp-back.info を通じて配布されています。

感染の完全な連鎖は次の場所で確認できます。 app.any.run サンドボックス。

インストール

Cashback.exe - 攻撃の始まり。 すでに述べたように、Cashback.exe は、それに含まれる .cab ファイルを解凍します。 次に、%TEMP%IXxxx.TMP という形式のフォルダー TMP4351$.TMP が作成されます。xxx は 001 ～ 999 の数字です。

次に、次のようなレジストリ キーがインストールされます。

[HKLMSOFTWAREWOW6432NodeMicrosoftWindowsCurrentVersionRunOncewextract_cleanup0]
「rundll32.exe」「C:Windowssystem32advpack.dll,DelNodeRunDLL32「C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP」」

解凍されたファイルを削除するために使用されます。 最後に、Cashback.exe は temp.exe プロセスを開始します。

Temp.exe は感染チェーンの第 XNUMX 段階です

これは、Cashback.exe ファイルによって起動されるプロセスであり、ウイルス実行の XNUMX 番目のステップです。 Windows 上でスクリプトを実行するツールである AutoHotKey をダウンロードし、PE ファイルのリソース セクションにある WindowSpy.ahk スクリプトを実行しようとします。

WindowSpy.ahk スクリプトは、RC4 アルゴリズムとパスワード IwantAcake を使用して、ironman.exe 内の一時ファイルを復号化します。 パスワードからのキーは、MD5 ハッシュ アルゴリズムを使用して取得されます。

次に、temp.exe は Ironman.exe プロセスを呼び出します。

Ironman.exe - XNUMX 番目のステップ

Ironman.exe は、iron.bmp ファイルの内容を読み取り、次に起動される cryptolocker を含む Iron.txt ファイルを作成します。

この後、ウイルスは Iron.txt をメモリにロードし、ironman.exe として再起動します。 この後、iron.txtは削除されます。

Ironman.exe は NEMTY ランサムウェアの主要部分であり、影響を受けるコンピュータ上のファイルを暗号化します。 マルウェアは、ヘイトと呼ばれるミューテックスを作成します。

最初に、コンピュータの地理的位置を特定します。 Nemty はブラウザを開いて IP を確認します。 http://api.ipify.org。 現場で api.db-ip.com/v2/無料[IP]/countryName 国は受信した IP から判断され、コンピューターが以下のいずれかの地域にある場合、マルウェア コードの実行は停止します。

• ロシア
• ベラルーシ
• ウクライナ
• カザフスタン
• タジキスタン

おそらく、開発者は居住国の法執行機関の注目を集めたくないため、「本国」の管轄区域ではファイルを暗号化しません。

被害者の IP アドレスが上記のリストに属さない場合、ウイルスはユーザーの情報を暗号化します。

ファイルの回復を防ぐために、シャドウ コピーは削除されます。

次に、暗号化されないファイルとフォルダーのリスト、およびファイル拡張子のリストが作成されます。

• ウィンドウズ
• $ RECYCLE.BIN
• RSA
• NTDETECT.COM
• ntldr
• MSDOS.SYS
• IO.SYS
• boot.ini AUTOEXEC.BAT ntuser.dat
• Desktop.iniの
• システム構成。
• ブーツセクトBAK
• BOOTMGR
• プログラムデータ
• appdata
• オソフト
• 一般的なファイル

log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY 

難読化

URL と埋め込み構成データを非表示にするために、Nemty は、fuckav キーワードを使用して、base64 および RC4 エンコード アルゴリズムを使用します。

CryptStringToBinaryを使用した復号化プロセスは次のとおりです。

Шифрование

Nemty は XNUMX 層暗号化を使用します。

• ファイルの場合は AES-128-CBC。 128 ビット AES キーはランダムに生成され、すべてのファイルに同じように使用されます。 これは、ユーザーのコンピュータ上の構成ファイルに保存されます。 IV はファイルごとにランダムに生成され、暗号化されたファイルに保存されます。
• ファイル暗号化用の RSA-2048 IV. セッションのキーペアが生成されます。 セッションの秘密キーは、ユーザーのコンピュータ上の構成ファイルに保存されます。
• RSA-8192。 マスター公開キーはプログラムに組み込まれており、RSA-2048 セッションの AES キーと秘密キーを保存する構成ファイルの暗号化に使用されます。
• Nemty は最初に 32 バイトのランダム データを生成します。 最初の 16 バイトは AES-128-CBC キーとして使用されます。

2048 番目の暗号化アルゴリズムは RSA-XNUMX です。 キー ペアは CryptGenKey() 関数によって生成され、CryptImportKey() 関数によってインポートされます。

セッションのキー ペアが生成されると、公開キーが MS 暗号化サービス プロバイダーにインポートされます。

セッション用に生成された公開キーの例:

次に、秘密キーが CSP にインポートされます。

セッション用に生成された秘密キーの例:

そして最後は RSA-8192 です。 メインの公開キーは、暗号化された形式 (Base64 + RC4) で PE ファイルの .data セクションに保存されます。

Base8192 復号化と、fuckav パスワードを使用した RC64 復号化後の RSA-4 キーは次のようになります。

その結果、暗号化プロセス全体は次のようになります。

• すべてのファイルの暗号化に使用される 128 ビット AES キーを生成します。
• ファイルごとに IV を作成します。
• RSA-2048 セッションのキー ペアを作成します。
• Base8192 と RC64 を使用した既存の RSA-4 キーの復号化。
• 最初のステップから AES-128-CBC アルゴリズムを使用してファイルの内容を暗号化します。
• RSA-2048 公開キーと Base64 エンコードを使用した IV 暗号化。
• 暗号化された IV を各暗号化ファイルの末尾に追加します。
• AES キーと RSA-2048 セッション秘密キーを構成に追加します。
• セクションで説明されている構成データ 情報収集 感染したコンピュータに関する情報は、メイン公開キー RSA-8192 を使用して暗号化されます。
• 暗号化されたファイルは次のようになります。

暗号化されたファイルの例:

感染したコンピュータに関する情報の収集

ランサムウェアは感染したファイルを復号するためのキーを収集するため、攻撃者は実際に復号プログラムを作成できます。 さらに、Nemty はユーザー名、コンピューター名、ハードウェア プロファイルなどのユーザー データを収集します。

GetLogicalDrives()、GetFreeSpace()、GetDriveType() 関数を呼び出して、感染したコンピュータのドライブに関する情報を収集します。

収集された情報は構成ファイルに保存されます。 文字列をデコードすると、構成ファイル内のパラメータのリストが取得されます。

感染したコンピュータの構成例:

構成テンプレートは次のように表すことができます。

{"全般": {"IP":"[IP]"、"国":"[国]"、"コンピューター名":"[コンピューター名]"、"ユーザー名":"[ユーザー名]"、"OS": "[OS]"、"isRU":false、"バージョン":"1.4"、"CompID":"{[CompID]}"、"FileID":"_NEMTY_[FileID]_"、"UserID":"[ユーザーID]"、"key":"[key]"、"pr_key":"[pr_key]

Nemty は、収集したデータを JSON 形式でファイル %USER%/_NEMTY_.nemty に保存します。 FileID は 7 文字の長さで、ランダムに生成されます。 例: _NEMTY_tgdLYrd_.nemty。 FileID は、暗号化されたファイルの末尾にも追加されます。

身代金メッセージ

ファイルを暗号化すると、次の内容を含むファイル _NEMTY_[FileID]-DECRYPT.txt がデスクトップに表示されます。

ファイルの最後には、感染したコンピュータに関する暗号化された情報が含まれています。

ネットワーク通信

Ironman.exe プロセスは、次のアドレスから Tor ブラウザのディストリビューションをダウンロードします。 https://dist.torproject.org/torbrowser/8.5.4/tor-win32-0.4.0.5.zip そしてそれをインストールしようとします。

次に、Nemty は構成データを 127.0.0.1:9050 に送信しようとします。そこで、動作する Tor ブラウザ プロキシが見つかると予想されます。 ただし、デフォルトでは、Tor プロキシはポート 9150 でリッスンし、ポート 9050 は Linux の Tor デーモンまたは Windows の Expert Bundle によって使用されます。 したがって、攻撃者のサーバーにデータは送信されません。 代わりに、ユーザーは身代金メッセージで提供されるリンクを介して Tor 復号化サービスにアクセスし、構成ファイルを手動でダウンロードできます。

Tor プロキシに接続します:

HTTP GET は 127.0.0.1:9050/public/gate?data= へのリクエストを作成します

ここでは、TORlocal プロキシによって使用されている開いている TCP ポートを確認できます。

Tor ネットワーク上の Nemty 復号化サービス:

暗号化された写真 (jpg、png、bmp) をアップロードして、復号化サービスをテストできます。

その後、攻撃者は身代金の支払いを要求します。 未払いの場合はXNUMX倍の料金となります。

まとめ

現時点では、身代金を支払わない限り、Nemty によって暗号化されたファイルを復号することはできません。 このバージョンのランサムウェアには、Borland Delphi でのコンパイルと同じテキストを含む画像という、Buran ランサムウェアや古い GandCrab と共通の機能があります。 さらに、これは 8092 ビット RSA キーを使用する最初の暗号化装置です。これもまた意味がありません。保護には 1024 ビット キーで十分であるためです。 最後に、興味深いことに、ローカル Tor プロキシ サービスに間違ったポートを使用しようとします。

ただし、解決策 アクロニスバックアップ и Acronis True Image Nemty ランサムウェアがユーザーの PC やデータに到達するのを防ぎ、プロバイダーは次の方法でクライアントを保護できます。 アクロニスバックアップクラウド。 満杯 サイバープロテクション バックアップだけでなく、次のような保護も提供します。 アクロニス アクティブ プロテクション、人工知能と行動ヒューリスティックに基づいた特別なテクノロジーで、未知のマルウェアでも無力化できます。

出所： habr.com