Тармакта GrandCrab же Buranдын мураскери деп эсептелген Nemty аттуу жаңы ransomware пайда болду. Кесепеттүү программа негизинен жасалма PayPal веб-сайтынан таратылат жана бир катар кызыктуу өзгөчөлүктөргө ээ. Бул ransomware кантип иштээри тууралуу толук маалымат кыскартылган.
Колдонуучу тарабынан табылган жаңы Nemty ransomware 7-сентябрь, 2019-жыл. Кесепеттүү программа веб-сайт аркылуу таратылган , RIG эксплоиттик комплекти аркылуу ransomware компьютерге кирип кетиши да мүмкүн. Кол салгандар колдонуучуну PayPal веб-сайтынан алган cashback.exe файлын иштетүүгө мажбурлоо үчүн социалдык инженерия ыкмаларын колдонушкан.Ошондой эле Nemty жергиликтүү Tor прокси-сервиси үчүн туура эмес портту көрсөткөнү кызык, бул зыяндуу программанын жөнөтүлүшүнө жол бербейт. серверге маалымат. Ошондуктан, колдонуучу шифрленген файлдарды Tor тармагына өзү жүктөшү керек, эгерде ал кун төлөгүсү келсе жана чабуулчулардан шифрди чечүүнү күтөт.
Nemty жөнүндө бир нече кызыктуу фактылар аны ошол эле адамдар же Buran жана GrandCrab менен байланышкан киберкылмышкерлер тарабынан иштелип чыккан деп айтууга болот.
- GandCrab сыяктуу эле Немтиде Пасха жумурткасы бар - Орусиянын президенти Владимир Путиндин адепсиз тамашасы менен сүрөтүнө шилтеме. Мурдагы GandCrab ransomware ошол эле текст менен сүрөткө ээ болгон.
- Эки программанын тилдик артефактылары бир эле орус тилдүү авторлорду көрсөтүп турат.
- Бул 8092-бит RSA ачкычын колдонгон биринчи ransomware. Мунун эч кандай мааниси жок болсо да: 1024 биттик ачкыч хакерликтен коргоо үчүн жетиштүү.
- Buran сыяктуу эле, ransomware Object Pascalда жазылган жана Borland Delphiде түзүлгөн.
Статикалык анализ
Зыяндуу коддун аткарылышы төрт этапта жүрөт. Биринчи кадам cashback.exe, 32 байт өлчөмү менен MS Windows астында PE1198936 аткарылуучу файлды иштетүү. Анын коду Visual C++ тилинде жазылган жана 14-жылдын 2013-октябрында түзүлгөн. Анда cashback.exe иштетилгенде автоматтык түрдө ачылуучу архив камтылган. Программа .cab архивинен файлдарды алуу үчүн Cabinet.dll китепканасын жана анын FDICreate(), FDIDestroy() жана башка функцияларын колдонот.
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
Архивди таңгактан чыгаргандан кийин үч файл пайда болот.
Андан кийин, temp.exe ишке киргизилет, 32 байт өлчөмү менен MS Windows астында PE307200 аткарылуучу файл. Код Visual C++ тилинде жазылган жана UPXге окшош MPRESS пакер менен пакеттелген.
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
Кийинки кадам - ironman.exe. Ишке киргизилгенден кийин, temp.exe камтылган маалыматтарды temp'те чечмелейт жана анын атын ironman.exe деп өзгөртөт, 32 байт PE544768 аткарылуучу файл. Код Borland Delphiде түзүлгөн.
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
Акыркы кадам - ironman.exe файлын кайра баштоо. Иштөө учурунда ал өзүнүн кодун өзгөртүп, эстутумдан өзүн иштетет. Бул ironman.exe версиясы зыяндуу жана шифрлөө үчүн жооптуу.
Чабуул вектору
Учурда Nemty ransomware pp-back.info сайты аркылуу таратылууда.
Инфекциянын толук чынжырын бул жерден көрүүгө болот кумдук.
жөндөө
Cashback.exe - чабуулдун башталышы. Жогоруда айтылгандай, cashback.exe камтылган .cab файлын ачат. Андан кийин ал %TEMP%IXxxx.TMP формасындагы TMP4351$.TMP папкасын түзөт, мында xxx 001ден 999га чейинки сан.
Андан кийин, реестр ачкычы орнотулат, ал төмөнкүдөй көрүнөт:
“rundll32.exe” “C:Windowssystem32advpack.dll,DelNodeRunDLL32 “C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP””
Пакеттен чыгарылбаган файлдарды жок кылуу үчүн колдонулат. Акырында, cashback.exe temp.exe процессин баштайт.
Temp.exe инфекция чынжырынын экинчи этабы болуп саналат
Бул cashback.exe файлы тарабынан башталган процесс, вирустун аткарылышынын экинчи кадамы. Ал AutoHotKey, Windowsта скрипттерди иштетүү куралын жүктөп алып, PE файлынын ресурстар бөлүмүндө жайгашкан WindowSpy.ahk скриптин иштетүүгө аракет кылат.
WindowSpy.ahk скрипти RC4 алгоритмин жана IwantAcake сырсөзүн колдонуу менен ironman.exe ичиндеги убактылуу файлдын шифрин чечет. Сырсөздүн ачкычы MD5 хэширлөө алгоритмин колдонуу менен алынат.
temp.exe анда ironman.exe процессин чакырат.
Ironman.exe - үчүнчү кадам
Ironman.exe iron.bmp файлынын мазмунун окуйт жана кийинки ишке киргизиле турган криптлокер менен iron.txt файлын түзөт.
Андан кийин вирус эс тутумуна iron.txt жүктөйт жана аны ironman.exe катары кайра иштетет. Андан кийин, iron.txt жок кылынат.
ironman.exe - жабыр тарткан компьютердеги файлдарды шифрлеген NEMTY ransomware программасынын негизги бөлүгү. Кесепеттүү программа жек көрүү деп аталган мутексти жаратат.
Эң биринчи компьютердин географиялык ордун аныктайт. Nemty браузерди ачып, IP дарегин табат . Сайтта [IP]/countryName Өлкө алынган IPден аныкталат жана эгерде компьютер төмөндө көрсөтүлгөн аймактардын биринде жайгашкан болсо, зыяндуу программалык коддун аткарылышы токтойт:
- Россия
- Беларусия
- украина
- Казакстан
- Тажикстан
Кыязы, иштеп чыгуучулар өздөрүнүн жашаган өлкөлөрүндөгү укук коргоо органдарынын көңүлүн бургусу келбейт, ошондуктан алардын "үй" юрисдикцияларында файлдарды шифрлешпейт.
Эгерде жабырлануучунун IP дареги жогорудагы тизмеге кирбесе, анда вирус колдонуучунун маалыматын шифрлейт.
Файлды калыбына келтирүүнү болтурбоо үчүн, алардын көмүскө көчүрмөлөрү жок кылынат:
Андан кийин ал шифрленбей турган файлдардын жана папкалардын тизмесин, ошондой эле файл кеңейтүүлөрүнүн тизмесин түзөт.
- терезелер
- $RECYCLE.BIN
- rsa
- NTDETECT.COM
- жана башкалар
- MSDOS.SYS
- IO.SYS
- boot.ini AUTOEXEC.BAT ntuser.dat
- desktop.ini
- SYS CONFIG.
- BOOTSECT.BAK
- bootmgr
- программалык маалыматтар
- колдонмо
- osoft
- Жалпы файлдар
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY Абфусация
URL'дерди жана камтылган конфигурация маалыматтарын жашыруу үчүн Nemty fuckav ачкыч сөзү менен base64 жана RC4 коддоо алгоритмин колдонот.
CryptStringToBinary аркылуу чечмелөө процесси төмөнкүдөй
Шифрлөө
Nemty үч катмарлуу шифрлөө колдонот:
- Файлдар үчүн AES-128-CBC. 128 биттик AES ачкычы кокусунан түзүлгөн жана бардык файлдар үчүн бирдей колдонулат. Ал колдонуучунун компьютериндеги конфигурация файлында сакталат. IV ар бир файл үчүн туш келди түзүлөт жана шифрленген файлда сакталат.
- Файлды шифрлөө үчүн RSA-2048 IV. Сеанс үчүн негизги жуп түзүлөт. Сеанс үчүн купуя ачкыч колдонуучунун компьютериндеги конфигурация файлында сакталат.
- RSA-8192. Башкы ачык ачкыч программага орнотулган жана RSA-2048 сессиясынын AES ачкычын жана жашыруун ачкычын сактаган конфигурация файлын шифрлөө үчүн колдонулат.
- Немти алгач 32 байт кокус маалыматтарды жаратат. Биринчи 16 байт AES-128-CBC ачкычы катары колдонулат.
Экинчи шифрлөө алгоритми RSA-2048 болуп саналат. Ачкыч жуп CryptGenKey() функциясы тарабынан түзүлөт жана CryptImportKey() функциясы тарабынан импорттолот.
Сеанс үчүн ачкыч жуп түзүлгөндөн кийин, ачык ачкыч MS Криптографиялык Кызмат Провайдерине импорттолот.
Сеанс үчүн түзүлгөн ачык ачкычтын мисалы:
Андан кийин, купуя ачкыч CSPге импорттолот.
Сеанс үчүн түзүлгөн купуя ачкычтын мисалы:
Ал эми акыркы RSA-8192 келет. Негизги ачык ачкыч шифрленген түрдө (Base64 + RC4) PE файлынын .data бөлүмүндө сакталат.
RSA-8192 ачкычы base64 декоддоосунан жана RC4 шифрлөөдөн кийин, фукава сырсөзү менен ушундай көрүнөт.
Натыйжада, бүт шифрлөө процесси төмөнкүдөй көрүнөт:
- Бардык файлдарды шифрлөө үчүн колдонула турган 128 биттик AES ачкычын түзүңүз.
- Ар бир файл үчүн IV түзүңүз.
- RSA-2048 сеансы үчүн ачкыч жупту түзүү.
- Учурдагы RSA-8192 ачкычын base64 жана RC4 аркылуу чечмелөө.
- Биринчи кадамдан баштап AES-128-CBC алгоритмин колдонуп файлдын мазмунун шифрлаңыз.
- RSA-2048 ачык ачкычын жана base64 коддоосун колдонуу менен IV шифрлөө.
- Ар бир шифрленген файлдын аягына шифрленген IV кошуу.
- Конфигурацияга AES ачкычын жана RSA-2048 сессиясынын купуя ачкычын кошуу.
- Бөлүмдө сүрөттөлгөн конфигурация маалыматтары вирус жуккан компьютер RSA-8192 негизги ачык ачкычын колдонуу менен шифрленген.
- Шифрленген файл төмөнкүдөй көрүнөт:
Шифрленген файлдардын мисалы:
Вирус жуккан компьютер жөнүндө маалымат чогултуу
Ransomware вирус жуккан файлдарды чечмелөө үчүн ачкычтарды чогултат, ошондуктан чабуулчу чындыгында дешифрлөөчү түзө алат. Мындан тышкары, Nemty колдонуучунун аты, компьютердин аты, аппараттык профиль сыяктуу колдонуучу маалыматтарды чогултат.
Ал жуккан компьютердин дисктери тууралуу маалыматты чогултуу үчүн GetLogicalDrives(), GetFreeSpace(), GetDriveType() функцияларын чакырат.
Чогулган маалымат конфигурация файлында сакталат. Сапты чечмелеп, конфигурация файлындагы параметрлердин тизмесин алабыз:
Вирус жуккан компьютердин конфигурациясынын мисалы:
Конфигурация үлгүсү төмөнкүчө чагылдырылышы мүмкүн:
{"Жалпы": {"IP":"[IP]", "Өлкө":"[Өлкө]", "КомпьютердинАты":"[КомпьютердинАты]","Колдонуучунун аты":"[Колдонуучунун аты]","OS": "[OS]", "isRU":false, "version":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[FileID]_", "UserID":"[ UserID]", "ачкыч":"[ачкыч]", "pr_key":"[pr_key]
Nemty чогултулган маалыматтарды JSON форматында %USER%/_NEMTY_.nemty файлында сактайт. FileID 7 белгиден турат жана кокусунан түзүлгөн. Мисалы: _NEMTY_tgdLYrd_.nemty. FileID да шифрленген файлдын аягына тиркелет.
Кун билдирүү
Файлдарды шифрлегенден кийин, _NEMTY_[FileID]-DECRYPT.txt файлы төмөнкү мазмун менен иш тактасында пайда болот:
Файлдын аягында вирус жуккан компьютер жөнүндө шифрленген маалымат бар.
Тармактык байланыш
ironman.exe процесси Tor браузеринин бөлүштүрүлүшүн даректен жүктөйт жана аны орнотууга аракет кылат.
Андан кийин Nemty конфигурация маалыматтарын 127.0.0.1:9050ге жөнөтүүгө аракет кылат, ал жерден Tor браузеринин иштеген проксисин табат. Бирок, демейки шартта Tor проксиси 9150-портту угат, ал эми 9050 портун Linux же Windowsта Expert Bundle же Expert Bundle колдонот. Ошентип, чабуулчунун серверине эч кандай маалымат жөнөтүлбөйт. Анын ордуна, колдонуучу кун билдирүүсүндө берилген шилтеме аркылуу Tor чечмелөө кызматына кирип, конфигурация файлын кол менен жүктөй алат.
Tor проксиге туташуу:
HTTP GET 127.0.0.1:9050/public/gate?data= үчүн сурам жаратат
Бул жерде сиз TORlocal прокси колдонгон ачык TCP портторун көрө аласыз:
Tor тармагында Nemty чечмелөө кызматы:
Шифрлөө кызматын текшерүү үчүн шифрленген сүрөттү (jpg, png, bmp) жүктөсөңүз болот.
Андан кийин кол салган адам кун төлөп берүүнү суранат. Төлөнбөгөн учурда баа эки эсеге көтөрүлөт.
жыйынтыктоо
Учурда Nemty тарабынан шифрленген файлдарды кун төлөбөстөн чечмелөө мүмкүн эмес. Ransomware программасынын бул версиясында Buran ransomware жана эскирген GandCrab менен жалпы өзгөчөлүктөр бар: Borland Delphiдеги компиляция жана ошол эле текст менен сүрөттөр. Кошумчалай кетсек, бул 8092 биттик RSA ачкычын колдонгон биринчи шифрлөөчү, бул дагы эч кандай мааниге ээ эмес, анткени коргоо үчүн 1024 биттик ачкыч жетиштүү. Акыры, кызыктуусу, ал жергиликтүү Tor прокси кызматы үчүн туура эмес портту колдонууга аракет кылат.
Бирок, чечимдер и Nemty ransomware колдонуучунун жеке компьютерлерине жана маалыматтарына жетүүсүнө жол бербейт жана провайдерлер кардарларын коргой алат. . Толук камдык көчүрмөсүн гана эмес, ошондой эле коргоону камсыз кылат , жасалма интеллект жана жүрүм-турум эвристикасына негизделген атайын технология, ал тургай белгисиз зыяндуу программаларды зыянсыздандырууга мүмкүндүк берет.
Source: www.habr.com