가짜 PayPal 사이트의 Nemty 랜섬웨어를 만나보세요

GrandCrab 또는 Buran의 후속 버전으로 추정되는 Nemty라는 새로운 랜섬웨어가 네트워크에 등장했습니다. 이 악성코드는 주로 가짜 PayPal 웹사이트에서 배포되며 여러 가지 흥미로운 기능을 가지고 있습니다. 이 랜섬웨어의 작동 방식에 대한 자세한 내용은 공개되지 않았습니다.

사용자가 발견한 새로운 Nemty 랜섬웨어 나오초 7년 2019월 XNUMX일. 해당 악성코드는 웹사이트를 통해 유포되었습니다. 페이팔로 위장한, RIG 익스플로잇 킷을 통해 랜섬웨어가 컴퓨터에 침투할 수도 있습니다. 공격자는 소셜 엔지니어링 기법을 사용해 사용자가 PayPal 웹사이트에서 받은 것으로 알려진 cashback.exe 파일을 실행하도록 강요했으며, Nemty가 로컬 프록시 서비스 Tor에 잘못된 포트를 지정하여 악성코드가 전송되지 못하게 한 것도 궁금합니다. 서버에 데이터를 보냅니다. 따라서 사용자가 몸값을 지불하고 공격자의 암호 해독을 기다리려면 암호화된 파일을 Tor 네트워크에 직접 업로드해야 합니다.

Nemty에 대한 몇 가지 흥미로운 사실은 Nemty가 동일한 사람이나 Buran 및 GrandCrab과 관련된 사이버 범죄자에 의해 개발되었음을 암시합니다.

• GandCrab과 마찬가지로 Nemty에도 이스터 에그가 있습니다. 이는 블라디미르 푸틴 러시아 대통령의 음란한 농담 사진에 대한 링크입니다. 레거시 GandCrab 랜섬웨어에는 동일한 텍스트가 포함된 이미지가 있었습니다.
• 두 프로그램의 언어 유물은 동일한 러시아어를 사용하는 저자를 나타냅니다.
• 이는 8092비트 RSA 키를 사용하는 최초의 랜섬웨어입니다. 여기에는 아무런 의미가 없지만 1024비트 키는 해킹으로부터 보호하기에 충분합니다.
• Buran과 마찬가지로 이 랜섬웨어는 Object Pascal로 작성되었으며 Borland Delphi로 컴파일되었습니다.

정적 분석

악성코드 실행은 32단계로 진행됩니다. 첫 번째 단계는 MS Windows에서 크기가 1198936바이트인 PE14 실행 파일인 cashback.exe를 실행하는 것입니다. 해당 코드는 Visual C++로 작성되었으며 2013년 XNUMX월 XNUMX일에 컴파일되었습니다. Cashback.exe를 실행하면 자동으로 압축이 풀리는 아카이브가 포함되어 있습니다. 소프트웨어는 Cabinet.dll 라이브러리와 해당 기능 FDICreate(), FDIDestroy() 및 기타 기능을 사용하여 .cab 아카이브에서 파일을 가져옵니다.

SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC

아카이브의 압축을 풀면 세 개의 파일이 나타납니다.

다음으로 MS Windows에서 32바이트 크기의 PE307200 실행 파일인 temp.exe가 실행됩니다. 코드는 Visual C++로 작성되었으며 UPX와 유사한 패커인 MPRESS 패커로 패키징되었습니다.

SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD

다음 단계는 ironman.exe입니다. temp.exe가 실행되면 temp에 포함된 데이터의 암호를 해독하고 이름을 32바이트 PE544768 실행 파일인 ironman.exe로 바꿉니다. 코드는 Borland Delphi에서 컴파일되었습니다.

SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88

마지막 단계는 ironman.exe 파일을 다시 시작하는 것입니다. 런타임 시 코드를 변환하고 메모리에서 자체적으로 실행됩니다. 이 ironman.exe 버전은 악성이며 암호화를 담당합니다.

공격 벡터

현재 Nemty 랜섬웨어는 pp-back.info 웹사이트를 통해 유포되고 있습니다.

감염의 전체 사슬은 다음에서 볼 수 있습니다. app.any.run 모래 상자.

설치

Cashback.exe - 공격의 시작입니다. 이미 언급했듯이 cashback.exe는 포함된 .cab 파일의 압축을 풉니다. 그런 다음 %TEMP%IXxxx.TMP 형식의 TMP4351$.TMP 폴더를 생성합니다. 여기서 xxx는 001부터 999까지의 숫자입니다.

다음으로 다음과 같은 레지스트리 키가 설치됩니다.

[HKLMSOFTWAREWOW6432NodeMicrosoftWindowsCurrentVersionRunOncewextract_cleanup0]
“rundll32.exe” “C:Windowssystem32advpack.dll,DelNodeRunDLL32 “C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP””

압축이 풀린 파일을 삭제하는 데 사용됩니다. 마지막으로 cashback.exe는 temp.exe 프로세스를 시작합니다.

Temp.exe는 감염 체인의 두 번째 단계입니다.

이는 바이러스 실행의 두 번째 단계인 cashback.exe 파일에 의해 시작되는 프로세스입니다. Windows에서 스크립트를 실행하기 위한 도구인 AutoHotKey를 다운로드하고 PE 파일의 리소스 섹션에 있는 WindowSpy.ahk 스크립트를 실행하려고 합니다.

WindowSpy.ahk 스크립트는 RC4 알고리즘과 비밀번호 IwantAcake를 사용하여 ironman.exe의 임시 파일을 해독합니다. MD5 해싱 알고리즘을 사용하여 비밀번호의 키를 얻습니다.

temp.exe는 ironman.exe 프로세스를 호출합니다.

Ironman.exe - 세 번째 단계

Ironman.exe는 iron.bmp 파일의 내용을 읽고 다음에 실행될 cryptolocker가 포함된 iron.txt 파일을 생성합니다.

그 후 바이러스는 iron.txt를 메모리에 로드하고 ironman.exe로 다시 시작합니다. 그 후 iron.txt가 삭제됩니다.

ironman.exe는 영향을 받는 컴퓨터의 파일을 암호화하는 NEMTY 랜섬웨어의 주요 부분입니다. 악성 코드는 증오라는 뮤텍스를 생성합니다.

가장 먼저 하는 일은 컴퓨터의 지리적 위치를 결정하는 것입니다. Nemty는 브라우저를 열고 IP를 찾습니다. http://api.ipify.org. 현장 api.db-ip.com/v2/free[IP]/countryName 수신된 IP를 통해 국가를 판별하며, 컴퓨터가 아래 나열된 지역 중 하나에 위치하는 경우 악성 코드 실행을 중지합니다.

• 러시아
• Byelorussia
• 우크라이나
• 서아시아에있는 소련 방의 한 공화국
• 타지키스탄

대부분의 경우 개발자는 거주 국가의 법 집행 기관의 관심을 끌기를 원하지 않으므로 "본국" 관할권의 파일을 암호화하지 않습니다.

피해자의 IP 주소가 위 목록에 속하지 않으면 바이러스는 사용자의 정보를 암호화합니다.

파일 복구를 방지하기 위해 해당 섀도 복사본이 삭제됩니다.

그런 다음 암호화되지 않을 파일 및 폴더 목록과 파일 확장자 목록을 생성합니다.

• 창
• $ RECYCLE.BIN
• RSA
• NTDETECT.COM
• ntldr
• MSDOS.SYS
• 아이오시스
• boot.ini AUTOEXEC.BAT ntuser.dat
• 있는 Desktop.ini
• CONFIG.SYS
• BOOTSECT.BAK
• BOOTMGR
• 프로그램 데이터
• 앱 데이터
• 오소프트
• 공통 파일

log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY 

난처

URL 및 내장된 구성 데이터를 숨기기 위해 Nemty는 fuckav 키워드와 함께 base64 및 RC4 인코딩 알고리즘을 사용합니다.

CryptStringToBinary를 이용한 복호화 과정은 다음과 같습니다.

암호화

Nemty는 XNUMX계층 암호화를 사용합니다.

• 파일용 AES-128-CBC. 128비트 AES 키는 무작위로 생성되며 모든 파일에 동일하게 사용됩니다. 이는 사용자 컴퓨터의 구성 파일에 저장됩니다. IV는 각 파일에 대해 무작위로 생성되어 암호화된 파일에 저장됩니다.
• 파일 암호화용 RSA-2048 IV. 세션에 대한 키 쌍이 생성됩니다. 세션의 개인 키는 사용자 컴퓨터의 구성 파일에 저장됩니다.
• RSA-8192. 마스터 공개 키는 프로그램에 내장되어 있으며 RSA-2048 세션에 대한 AES 키와 비밀 키를 저장하는 구성 파일을 암호화하는 데 사용됩니다.
• Nemty는 먼저 32바이트의 무작위 데이터를 생성합니다. 처음 16바이트는 AES-128-CBC 키로 사용됩니다.

두 번째 암호화 알고리즘은 RSA-2048입니다. 키 쌍은 CryptGenKey() 함수에 의해 생성되고 CryptImportKey() 함수에 의해 가져옵니다.

세션에 대한 키 쌍이 생성되면 공개 키를 MS 암호화 서비스 공급자로 가져옵니다.

세션에 대해 생성된 공개 키의 예:

다음으로 개인 키를 CSP로 가져옵니다.

세션에 대해 생성된 개인 키의 예:

마지막으로 RSA-8192가 나옵니다. 기본 공개 키는 PE 파일의 .data 섹션에 암호화된 형식(Base64 + RC4)으로 저장됩니다.

base8192 디코딩 및 fuckav 비밀번호를 사용한 RC64 복호화 후의 RSA-4 키는 다음과 같습니다.

결과적으로 전체 암호화 프로세스는 다음과 같습니다.

• 모든 파일을 암호화하는 데 사용할 128비트 AES 키를 생성합니다.
• 각 파일에 대해 IV를 만듭니다.
• RSA-2048 세션에 대한 키 쌍을 생성합니다.
• base8192 및 RC64를 사용하여 기존 RSA-4 키를 해독합니다.
• 첫 번째 단계부터 AES-128-CBC 알고리즘을 사용하여 파일 내용을 암호화합니다.
• RSA-2048 공개 키 및 base64 인코딩을 사용한 IV 암호화.
• 암호화된 각 파일의 끝에 암호화된 IV를 추가합니다.
• AES 키와 RSA-2048 세션 개인 키를 구성에 추가합니다.
• 섹션에 설명된 구성 데이터 정보 수집 감염된 컴퓨터에 대한 정보는 기본 공개 키 RSA-8192를 사용하여 암호화됩니다.
• 암호화된 파일은 다음과 같습니다.

암호화된 파일의 예:

감염된 컴퓨터에 대한 정보 수집

랜섬웨어는 감염된 파일의 암호를 해독하기 위해 키를 수집하므로 공격자는 실제로 암호 해독기를 만들 수 있습니다. 또한 Nemty는 사용자 이름, 컴퓨터 이름, 하드웨어 프로필과 같은 사용자 데이터를 수집합니다.

GetLogicalDrives(), GetFreeSpace(), GetDriveType() 함수를 호출하여 감염된 컴퓨터의 드라이브에 대한 정보를 수집합니다.

수집된 정보는 구성 파일에 저장됩니다. 문자열을 디코딩하면 구성 파일에 매개변수 목록이 표시됩니다.

감염된 컴퓨터의 구성 예:

구성 템플릿은 다음과 같이 나타낼 수 있습니다.

{"일반": {"IP":"[IP]", "국가":"[국가]", "컴퓨터 이름":"[컴퓨터 이름]", "사용자 이름":"[사용자 이름]", "OS": "[OS]", "isRU":false, "버전":"1.4", "CompID":"{[CompID]}", "파일 ID":"_NEMTY_[파일 ID]_", "UserID":"[ 사용자ID]", "키":"[키]", "pr_key":"[pr_key]

Nemty는 수집된 데이터를 JSON 형식으로 %USER%/_NEMTY_.nemty 파일에 저장합니다. FileID는 7자 길이로 무작위로 생성됩니다. 예: _NEMTY_tgdLYrd_.nemty. FileID는 암호화된 파일의 끝에도 추가됩니다.

몸값 메시지

파일을 암호화하면 _NEMTY_[FileID]-DECRYPT.txt 파일이 다음 내용과 함께 데스크탑에 나타납니다.

파일 끝에는 감염된 컴퓨터에 대한 암호화된 정보가 있습니다.

네트워크 통신

ironman.exe 프로세스는 다음 주소에서 Tor 브라우저 배포판을 다운로드합니다. https://dist.torproject.org/torbrowser/8.5.4/tor-win32-0.4.0.5.zip 그리고 설치를 시도합니다.

그런 다음 Nemty는 작동하는 Tor 브라우저 프록시를 찾을 것으로 예상되는 127.0.0.1:9050으로 구성 데이터를 보내려고 시도합니다. 그러나 기본적으로 Tor 프록시는 포트 9150에서 수신 대기하며 포트 9050은 Linux의 Tor 데몬이나 Windows의 Expert Bundle에서 사용됩니다. 따라서 공격자의 서버로 데이터가 전송되지 않습니다. 대신 사용자는 랜섬 메시지에 제공된 링크를 통해 Tor 복호화 서비스를 방문하여 구성 파일을 수동으로 다운로드할 수 있습니다.

Tor 프록시에 연결:

HTTP GET은 127.0.0.1:9050/public/gate?data=에 대한 요청을 생성합니다.

여기에서 TORlocal 프록시가 사용하는 열린 TCP 포트를 볼 수 있습니다.

Tor 네트워크의 Nemty 암호 해독 서비스:

암호화된 사진(jpg, png, bmp)을 업로드하여 복호화 서비스를 테스트할 수 있습니다.

이후 공격자는 몸값을 요구합니다. 미납의 경우 가격은 XNUMX배가 됩니다.

결론

현재로서는 몸값을 지불하지 않고 Nemty로 암호화된 파일을 해독하는 것이 불가능합니다. 이 버전의 랜섬웨어에는 Buran 랜섬웨어 및 오래된 GandCrab과 공통된 기능이 있습니다. 즉, Borland Delphi의 컴파일과 동일한 텍스트가 포함된 이미지입니다. 또한 이것은 8092비트 RSA 키를 사용하는 최초의 암호화기인데, 이는 1024비트 키로도 보호하기에 충분하므로 의미가 없습니다. 마지막으로 흥미롭게도 로컬 Tor 프록시 서비스에 잘못된 포트를 사용하려고 시도합니다.

그러나 솔루션 아크로니스 백업 и 아크로니스 트루 이미지 Nemty 랜섬웨어가 사용자 PC 및 데이터에 접근하는 것을 방지하고 공급자는 다음을 통해 클라이언트를 보호할 수 있습니다. Acronis 백업 클라우드. 가득한 사이버 보호 백업뿐만 아니라 보호 기능도 제공합니다. Acronis 액티브 프로텍션, 아직 알려지지 않은 악성 코드도 무력화할 수 있는 인공 지능 및 행동 휴리스틱 기반 특수 기술입니다.

출처 : habr.com