Желіде GrandCrab немесе Buran мұрагері болып табылатын Nemty деп аталатын жаңа төлемдік бағдарлама пайда болды. Зиянды бағдарлама негізінен жалған PayPal веб-сайтынан таратылады және бірқатар қызықты мүмкіндіктерге ие. Бұл төлемдік бағдарламалық құралдың қалай жұмыс істейтіні туралы мәліметтер қысқартылған.
Пайдаланушы тапқан жаңа Nemty төлем бағдарламасы 7 жылғы 2019 қыркүйек. Зиянды бағдарлама веб-сайт арқылы таратылды , сонымен қатар RIG эксплуатациялық жинағы арқылы төлемдік бағдарлама компьютерге енуі мүмкін. Қауіптілер пайдаланушыны PayPal веб-сайтынан алған cashback.exe файлын іске қосуға мәжбүрлеу үшін әлеуметтік инженерия әдістерін пайдаланды.Сонымен қатар Nemty жергілікті Tor прокси-сервисі үшін қате портты көрсеткені қызық, ол зиянды бағдарламаны жіберуге жол бермейді. серверге деректер. Сондықтан, пайдаланушы төлемді төлегісі келсе және шабуылдаушылардан шифрды шешуді күтетін болса, шифрланған файлдарды Tor желісіне өзі жүктеп салуы керек.
Немти туралы бірнеше қызықты фактілер оны бір адамдар немесе Буран және ГрандКрабпен байланысты киберқылмыскерлер жасағанын көрсетеді.
- GandCrab сияқты, Немтиде Пасха жұмыртқасы бар - Ресей президенті Владимир Путиннің әдепсіз әзілмен суретіне сілтеме. Мұра GandCrab ransomware бағдарламасы бірдей мәтіні бар кескінге ие болды.
- Екі бағдарламаның тілдік жәдігерлері бір орыстілді авторларды көрсетеді.
- Бұл 8092 биттік RSA кілтін пайдаланатын бірінші төлемдік бағдарлама. Мұның мағынасы жоқ болса да: бұзудан қорғау үшін 1024 биттік кілт жеткілікті.
- Buran сияқты, төлем бағдарламасы Object Pascal тілінде жазылған және Borland Delphi-де құрастырылған.
Статикалық талдау
Зиянды кодты орындау төрт кезеңнен тұрады. Бірінші қадам cashback.exe файлын, MS Windows жүйесінде өлшемі 32 байт болатын PE1198936 орындалатын файлды іске қосу болып табылады. Оның коды Visual C++ тілінде жазылған және 14 жылдың 2013 қазанында құрастырылған. Онда cashback.exe файлын іске қосқан кезде автоматты түрде ашылатын мұрағат бар. Бағдарламалық құрал Cabinet.dll кітапханасын және оның FDICreate(), FDIDestroy() және басқаларын .cab мұрағатынан файлдарды алу үшін пайдаланады.
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
Мұрағатты орағаннан кейін үш файл пайда болады.
Содан кейін temp.exe іске қосылды, MS Windows жүйесінде өлшемі 32 байт болатын PE307200 орындалатын файл. Код Visual C++ тілінде жазылған және UPX-ке ұқсас MPRESS пакерімен пакеттелген.
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
Келесі қадам - ironman.exe. Іске қосылғаннан кейін temp.exe енгізілген деректердің шифрын temp ішінде шешеді және оның атын 32 байт PE544768 орындалатын файлы ironman.exe деп өзгертеді. Код Borland Delphi-де құрастырылған.
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
Соңғы қадам - ironman.exe файлын қайта іске қосу. Орындалу уақытында ол өзінің кодын түрлендіреді және өзін жадтан іске қосады. Бұл ironman.exe нұсқасы зиянды және шифрлауға жауапты.
Шабуыл векторы
Қазіргі уақытта Nemty ransomware pp-back.info веб-сайты арқылы таратылады.
Инфекцияның толық тізбегін мына жерден көруге болады құмсалғыш.
параметр
Cashback.exe - шабуылдың басы. Жоғарыда айтылғандай, cashback.exe құрамындағы .cab файлын ашады. Содан кейін ол %TEMP%IXxxx.TMP пішінінің TMP4351$.TMP қалтасын жасайды, мұнда xxx — 001-ден 999-ға дейінгі сан.
Әрі қарай, тізілім кілті орнатылады, ол келесідей:
“rundll32.exe” “C:Windowssystem32advpack.dll,DelNodeRunDLL32 “C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP””
Ол қаптамадан шығарылған файлдарды жою үшін қолданылады. Соңында, cashback.exe temp.exe процесін бастайды.
Temp.exe инфекция тізбегінің екінші кезеңі болып табылады
Бұл cashback.exe файлымен іске қосылған процесс, вирусты орындаудың екінші қадамы. Ол AutoHotKey, Windows жүйесінде сценарийлерді іске қосу құралын жүктеп алып, PE файлының ресурстар бөлімінде орналасқан WindowSpy.ahk сценарийін іске қосуға тырысады.
WindowSpy.ahk сценарийі RC4 алгоритмі мен IwantAcake құпия сөзін пайдаланып ironman.exe файлындағы уақытша файлды шифрдан шығарады. Құпия сөздің кілті MD5 хэштеу алгоритмі арқылы алынады.
temp.exe содан кейін ironman.exe процесін шақырады.
Ironman.exe - үшінші қадам
Ironman.exe бағдарламасы iron.bmp файлының мазмұнын оқиды және келесі іске қосылатын криптлокаторы бар iron.txt файлын жасайды.
Осыдан кейін вирус жадқа iron.txt жүктеп, оны ironman.exe ретінде қайта іске қосады. Осыдан кейін iron.txt жойылады.
ironman.exe - зақымдалған компьютердегі файлдарды шифрлайтын NEMTY ransomware бағдарламасының негізгі бөлігі. Зиянды бағдарламалық құрал жек көрушілік деп аталатын мутекс жасайды.
Ең алдымен, ол компьютердің географиялық орнын анықтайды. Nemty браузерді ашады және IP мекенжайын анықтайды . Сайтта [IP]/countryName Ел алынған IP мекенжайынан анықталады және компьютер төменде көрсетілген аймақтардың бірінде орналасқан болса, зиянды бағдарлама кодының орындалуы тоқтайды:
- Ресей
- Беларусь
- Украина
- Қазақстан
- Тәжікстан
Сірә, әзірлеушілер өздерінің тұратын елдеріндегі құқық қорғау органдарының назарын аударғысы келмейді, сондықтан өздерінің «үйдегі» юрисдикцияларындағы файлдарды шифрламайды.
Егер жәбірленушінің IP мекенжайы жоғарыдағы тізімге жатпайтын болса, онда вирус пайдаланушының ақпаратын шифрлайды.
Файлды қалпына келтіруді болдырмау үшін олардың көлеңкелі көшірмелері жойылады:
Содан кейін ол шифрланбайтын файлдар мен қалталардың тізімін, сондай-ақ файл кеңейтімдерінің тізімін жасайды.
- Windows
- $RECYCLE.BIN
- рса
- NTDETECT.COM
- т.б
- MSDOS.SYS
- IO.SYS
- boot.ini AUTOEXEC.BAT ntuser.dat
- desktop.ini
- SYS CONFIG.
- BOOTSECT.BAK
- bootmgr
- бағдарлама деректері
- қолданба
- ософт
- Жалпы файлдар
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY Мазасыздық
URL мекенжайларын және ендірілген конфигурация деректерін жасыру үшін Nemty fuckav кілт сөзімен base64 және RC4 кодтау алгоритмін пайдаланады.
CryptStringToBinary көмегімен шифрды шешу процесі келесідей
Шифрлау
Nemty үш қабатты шифрлауды пайдаланады:
- Файлдарға арналған AES-128-CBC. 128 биттік AES кілті кездейсоқ түрде жасалады және барлық файлдар үшін бірдей пайдаланылады. Ол пайдаланушы компьютеріндегі конфигурация файлында сақталады. IV әрбір файл үшін кездейсоқ түрде жасалады және шифрланған файлда сақталады.
- Файлды шифрлауға арналған RSA-2048 IV. Сеанс үшін кілттер жұбы жасалады. Сеанстың жеке кілті пайдаланушы компьютеріндегі конфигурация файлында сақталады.
- RSA-8192. Негізгі ашық кілт бағдарламаға енгізілген және RSA-2048 сеансы үшін AES кілті мен құпия кілтті сақтайтын конфигурация файлын шифрлау үшін пайдаланылады.
- Nemty алдымен 32 байт кездейсоқ деректерді жасайды. Алғашқы 16 байт AES-128-CBC кілті ретінде пайдаланылады.
Екінші шифрлау алгоритмі - RSA-2048. Кілттер жұбы CryptGenKey() функциясы арқылы жасалады және CryptImportKey() функциясы арқылы импортталады.
Сеанс үшін кілттер жұбы жасалғаннан кейін, ашық кілт MS криптографиялық қызмет провайдеріне импортталады.
Сеанс үшін жасалған ашық кілттің мысалы:
Содан кейін жеке кілт CSP ішіне импортталады.
Сеанс үшін жасалған жеке кілттің мысалы:
Соңғысы RSA-8192. Негізгі ашық кілт шифрланған түрде (Base64 + RC4) PE файлының .data бөлімінде сақталады.
RSA-8192 кілті base64 декодтауынан және fuckav құпия сөзі бар RC4 шифрын шешуден кейін келесідей көрінеді.
Нәтижесінде бүкіл шифрлау процесі келесідей болады:
- Барлық файлдарды шифрлау үшін пайдаланылатын 128 биттік AES кілтін жасаңыз.
- Әрбір файл үшін IV жасаңыз.
- RSA-2048 сеансы үшін кілттер жұбын жасау.
- base8192 және RC64 көмегімен бар RSA-4 кілтінің шифрын ашу.
- Бірінші қадамнан бастап AES-128-CBC алгоритмін пайдаланып файл мазмұнын шифрлаңыз.
- RSA-2048 ашық кілтін және base64 кодтауын пайдаланып IV шифрлау.
- Әрбір шифрланған файлдың соңына шифрланған IV қосу.
- Конфигурацияға AES кілтін және RSA-2048 сеансының жеке кілтін қосу.
- Бөлімде сипатталған конфигурация деректері вирус жұққан компьютер RSA-8192 негізгі ашық кілті арқылы шифрланады.
- Шифрланған файл келесідей көрінеді:
Шифрланған файлдардың мысалы:
Вирус жұққан компьютер туралы ақпаратты жинау
Төлемдік бағдарламалық құрал вирус жұққан файлдардың шифрын ашу үшін кілттерді жинайды, сондықтан шабуылдаушы шын мәнінде дешифрлау құралын жасай алады. Сонымен қатар, Nemty пайдаланушы аты, компьютер аты, аппараттық құрал профилі сияқты пайдаланушы деректерін жинайды.
Ол вирус жұққан компьютердің дискілері туралы ақпаратты жинау үшін GetLogicalDrives(), GetFreeSpace(), GetDriveType() функцияларын шақырады.
Жиналған ақпарат конфигурация файлында сақталады. Жолды декодтаудан кейін біз конфигурация файлындағы параметрлер тізімін аламыз:
Вирус жұққан компьютер конфигурациясының мысалы:
Конфигурация үлгісін келесідей көрсетуге болады:
{"Жалпы": {"IP":"[IP]", "Ел":"[Ел]", "КомпьютердіңАты":"[КомпьютердіңАты]","Пайдаланушы аты":"[Пайдаланушы аты]", "ОЖ": "[OS]", "isRU":false, "нұсқа":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[FileID]_", "UserID":"[ UserID]", "key":"[key]", "pr_key":"[pr_key]
Nemty жиналған деректерді JSON пішімінде %USER%/_NEMTY_.nemty файлында сақтайды. FileID ұзындығы 7 таңба және кездейсоқ жасалған. Мысалы: _NEMTY_tgdLYrd_.nemty. FileID шифрланған файлдың соңына да қосылады.
Төлем хабары
Файлдарды шифрлаған соң, келесі мазмұнмен жұмыс үстелінде _NEMTY_[FileID]-DECRYPT.txt файлы пайда болады:
Файлдың соңында вирус жұққан компьютер туралы шифрланған ақпарат бар.
Желілік байланыс
ironman.exe процесі Tor шолғышының таратуын мекенжайдан жүктейді және оны орнатуға тырысады.
Содан кейін Nemty конфигурация деректерін 127.0.0.1:9050 мекенжайына жіберуге тырысады, ол жерден жұмыс істейтін Tor браузерінің проксиін табады деп күтеді. Дегенмен, әдепкі бойынша Tor проксиі 9150 портын тыңдайды, ал 9050 портын Linux жүйесіндегі Tor демоны немесе Windows жүйесіндегі Expert Bundle пайдаланады. Осылайша, шабуылдаушының серверіне деректер жіберілмейді. Оның орнына пайдаланушы төлем хабарламасында берілген сілтеме арқылы Tor шифрын шешу қызметіне кіру арқылы конфигурация файлын қолмен жүктей алады.
Tor проксиіне қосылу:
HTTP GET 127.0.0.1:9050/public/gate?data= сұранысын жасайды
Мұнда TORlocal прокси пайдаланатын ашық TCP порттарын көре аласыз:
Tor желісіндегі Nemty шифрын шешу қызметі:
Шифрды шешу қызметін тексеру үшін шифрланған фотосуретті (jpg, png, bmp) жүктеп салуға болады.
Осыдан кейін шабуылдаушы төлем төлеуді сұрайды. Төлемеген жағдайда баға екі еселенеді.
қорытынды
Қазіргі уақытта Nemty арқылы шифрланған файлдарды төлемсіз шешу мүмкін емес. Ransomware бағдарламасының бұл нұсқасында Buran ransomware және ескірген GandCrab бағдарламасының ортақ мүмкіндіктері бар: Borland Delphi-дегі жинақ және сол мәтіні бар суреттер. Сонымен қатар, бұл 8092 биттік RSA кілтін пайдаланатын бірінші шифрлаушы, бұл тағы да мағынасы жоқ, өйткені қорғау үшін 1024 биттік кілт жеткілікті. Соңында, бір қызығы, ол жергілікті Tor прокси қызметі үшін дұрыс емес портты пайдалануға тырысады.
Дегенмен, шешімдер и Nemty төлем бағдарламасының пайдаланушының компьютерлері мен деректеріне қол жеткізуіне жол бермейді, ал провайдерлер өз клиенттерін осы құралдармен қорғай алады. . Толық сақтық көшірмені ғана емес, сонымен қатар қорғауды қамтамасыз етеді , жасанды интеллект пен мінез-құлық эвристикасына негізделген арнайы технология, тіпті әлі белгісіз зиянды бағдарламаны бейтараптандыруға мүмкіндік береді.
Ақпарат көзі: www.habr.com