Tinkle pasirodė nauja išpirkos programa, vadinama Nemty, kuri tariamai yra „GrandCrab“ ar „Buran“ įpėdinė. Kenkėjiška programa daugiausia platinama iš netikros „PayPal“ svetainės ir turi daug įdomių funkcijų. Išsami informacija apie tai, kaip veikia ši išpirkos reikalaujanti programinė įranga, pateikiama.
Vartotojas aptiko naują Nemty išpirkos programą 7 m. rugsėjo 2019 d. Kenkėjiška programa buvo platinama per svetainę , išpirkos reikalaujančios programos taip pat gali prasiskverbti į kompiuterį per RIG išnaudojimo rinkinį. Užpuolikai naudojo socialinės inžinerijos metodus, kad priverstų vartotoją paleisti failą cashback.exe, kurį jis tariamai gavo iš PayPal svetainės. Taip pat įdomu, kad Nemty nurodė neteisingą vietinės tarpinio serverio paslaugos „Tor“ prievadą, kuris neleidžia siųsti kenkėjiškų programų. duomenis į serverį. Todėl vartotojas, ketinantis sumokėti išpirką, turės pats įkelti šifruotus failus į „Tor“ tinklą ir laukti užpuolikų iššifravimo.
Keletas įdomių faktų apie Nemty rodo, kad jį sukūrė tie patys žmonės arba kibernetiniai nusikaltėliai, susiję su Buran ir GrandCrab.
- Kaip ir GandCrab, Nemty turi velykinį kiaušinį – nuorodą į Rusijos prezidento Vladimiro Putino nuotrauką su nepadoriu pokštu. Pasenusioje GandCrab išpirkos programoje buvo vaizdas su tuo pačiu tekstu.
- Abiejų programų kalbos artefaktai nurodo tuos pačius rusakalbius autorius.
- Tai pirmoji išpirkos reikalaujanti programa, kuri naudoja 8092 bitų RSA raktą. Nors tai nėra prasmės: 1024 bitų rakto visiškai pakanka apsaugoti nuo įsilaužimo.
- Kaip ir „Buran“, išpirkos reikalaujanti programa parašyta „Object Pascal“ ir sudaryta „Borland Delphi“.
Statinė analizė
Kenkėjiško kodo vykdymas vyksta keturiais etapais. Pirmasis žingsnis yra paleisti cashback.exe, PE32 vykdomąjį failą MS Windows, kurio dydis yra 1198936 baitai. Jo kodas buvo parašytas Visual C++ ir sudarytas 14 m. spalio 2013 d. Jame yra archyvas, kuris automatiškai išpakuojamas, kai paleidžiate cashback.exe. Programinė įranga naudoja Cabinet.dll biblioteką ir jos funkcijas FDICreate(), FDIDEStroy() ir kitas, kad gautų failus iš .cab archyvo.
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
Išpakavus archyvą atsiras trys failai.
Tada paleidžiama temp.exe, PE32 vykdomasis failas MS Windows, kurio dydis yra 307200 XNUMX baitų. Kodas parašytas Visual C++ ir supakuotas su MPRESS pakeriu, panašiu į UPX paketu.
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
Kitas žingsnis yra ironman.exe. Paleidus, temp.exe iššifruoja įterptus duomenis temp ir pervadina juos į ironman.exe, 32 baitų PE544768 vykdomąjį failą. Kodas sudarytas Borland Delphi.
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
Paskutinis veiksmas yra iš naujo paleisti failą ironman.exe. Vykdymo metu jis pakeičia savo kodą ir paleidžiamas iš atminties. Ši ironman.exe versija yra kenkėjiška ir atsakinga už šifravimą.
Atakos vektorius
Šiuo metu Nemty ransomware platinama per svetainę pp-back.info.
Visą infekcijos grandinę galite peržiūrėti adresu smėlio dėžė.
Montavimas
Cashback.exe – atakos pradžia. Kaip jau minėta, cashback.exe išpakuoja jame esantį .cab failą. Tada sukuriamas aplankas TMP4351$.TMP, kurio forma yra %TEMP%IXxxx.TMP, kur xxx yra skaičius nuo 001 iki 999.
Tada įdiegiamas registro raktas, kuris atrodo taip:
„rundll32.exe“ „C:Windowssystem32advpack.dll,DelNodeRunDLL32“ „C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP““
Jis naudojamas neišpakuotiems failams ištrinti. Galiausiai cashback.exe paleidžia temp.exe procesą.
Temp.exe yra antrasis infekcijos grandinės etapas
Tai procesas, kurį paleidžia failas cashback.exe, antrasis viruso vykdymo veiksmas. Jis bando atsisiųsti „AutoHotKey“ – įrankį, skirtą scenarijų paleidimui sistemoje „Windows“, ir paleisti WindowSpy.ahk scenarijų, esantį PE failo išteklių skyriuje.
WindowSpy.ahk scenarijus iššifruoja laikinąjį failą ironman.exe naudodamas RC4 algoritmą ir slaptažodį IwantAcake. Slaptažodžio raktas gaunamas naudojant MD5 maišos algoritmą.
temp.exe tada iškviečia ironman.exe procesą.
Ironman.exe – trečias žingsnis
Ironman.exe nuskaito iron.bmp failo turinį ir sukuria iron.txt failą su kriptovaliuta, kuri bus paleista kitą kartą.
Po to virusas įkelia iron.txt į atmintį ir paleidžia jį iš naujo kaip ironman.exe. Po to failas iron.txt ištrinamas.
ironman.exe yra pagrindinė NEMTY išpirkos reikalaujančios programinės įrangos dalis, kuri užšifruoja failus paveiktame kompiuteryje. Kenkėjiška programa sukuria mutex, vadinamą neapykanta.
Pirmas dalykas, kurį jis daro, yra nustatyti kompiuterio geografinę vietą. Nemty atidaro naršyklę ir sužino IP įjungtą . Prisijungęs [IP]/countryName Šalis nustatoma pagal gautą IP ir, jei kompiuteris yra viename iš toliau išvardytų regionų, kenkėjiškų programų kodo vykdymas sustabdomas:
- Rusija
- Baltarusija
- Ukraina
- Kazachstanas
- Tadžikistanas
Greičiausiai kūrėjai nenori patraukti teisėsaugos institucijų dėmesio savo gyvenamosiose šalyse, todėl nešifruoja failų savo „namų“ jurisdikcijose.
Jei aukos IP adresas nepriklauso aukščiau pateiktam sąrašui, virusas užšifruoja vartotojo informaciją.
Siekiant išvengti failų atkūrimo, jų šešėlinės kopijos ištrinamos:
Tada sukuriamas failų ir aplankų, kurie nebus užšifruoti, sąrašas, taip pat failų plėtinių sąrašas.
- langai
- $ RECYCLE.BIN
- rsa
- NTDETECT.COM
- ntldr
- MSDOS.SYS
- IO.SYS
- boot.ini AUTOEXEC.BAT ntuser.dat
- darbalaukis. ini
- SYS CONFIG.
- BOOTSECT.BAK
- Bootmgr.exe
- programos duomenys
- programos duomenys
- osoft
- Bendrieji failai
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY Užtemimas
Norėdami paslėpti URL adresus ir įterptuosius konfigūracijos duomenis, Nemty naudoja base64 ir RC4 kodavimo algoritmą su raktiniu žodžiu fuckav.
Iššifravimo procesas naudojant CryptStringToBinary yra toks
Šifravimas
Nemty naudoja trijų sluoksnių šifravimą:
- AES-128-CBC failams. 128 bitų AES raktas generuojamas atsitiktinai ir naudojamas visiems failams. Jis saugomas vartotojo kompiuteryje esančiame konfigūracijos faile. IV atsitiktinai sugeneruojamas kiekvienam failui ir saugomas užšifruotame faile.
- RSA-2048 failų šifravimui IV. Sugeneruojama seanso raktų pora. Privatus seanso raktas saugomas vartotojo kompiuteryje esančiame konfigūracijos faile.
- RSA-8192. Pagrindinis viešasis raktas yra integruotas į programą ir naudojamas šifruoti konfigūracijos failą, kuriame saugomas AES raktas ir slaptasis RSA-2048 seanso raktas.
- Nemty pirmiausia generuoja 32 baitus atsitiktinių duomenų. Pirmieji 16 baitų naudojami kaip AES-128-CBC raktas.
Antrasis šifravimo algoritmas yra RSA-2048. Raktų porą sugeneruoja funkcija CryptGenKey() ir importuoja funkcija CryptImportKey().
Kai sugeneruojama seanso raktų pora, viešasis raktas importuojamas į MS kriptografijos paslaugų teikėją.
Seanso sugeneruoto viešojo rakto pavyzdys:
Tada privatus raktas importuojamas į CSP.
Seanso sugeneruoto privataus rakto pavyzdys:
Ir paskutinis ateina RSA-8192. Pagrindinis viešasis raktas saugomas šifruota forma (Base64 + RC4) PE failo .data skiltyje.
Raktas RSA-8192 po base64 dekodavimo ir RC4 iššifravimo su fuckav slaptažodžiu atrodo taip.
Dėl to visas šifravimo procesas atrodo taip:
- Sugeneruokite 128 bitų AES raktą, kuris bus naudojamas visiems failams užšifruoti.
- Kiekvienam failui sukurkite IV.
- Raktų poros kūrimas RSA-2048 seansui.
- Esamo RSA-8192 rakto iššifravimas naudojant base64 ir RC4.
- Užšifruokite failo turinį naudodami AES-128-CBC algoritmą nuo pirmo veiksmo.
- IV šifravimas naudojant RSA-2048 viešąjį raktą ir base64 kodavimą.
- Užšifruoto IV pridėjimas prie kiekvieno šifruoto failo pabaigos.
- AES rakto ir RSA-2048 sesijos privataus rakto pridėjimas prie konfigūracijos.
- Skyriuje aprašyti konfigūracijos duomenys apie užkrėstą kompiuterį užšifruojami naudojant pagrindinį viešąjį raktą RSA-8192.
- Užšifruotas failas atrodo taip:
Šifruotų failų pavyzdys:
Informacijos apie užkrėstą kompiuterį rinkimas
Išpirkos reikalaujanti programa renka raktus, kad iššifruotų užkrėstus failus, todėl užpuolikas iš tikrųjų gali sukurti iššifravimo priemonę. Be to, Nemty renka tokius vartotojo duomenis kaip vartotojo vardas, kompiuterio pavadinimas, techninės įrangos profilis.
Ji iškviečia GetLogicalDrives(), GetFreeSpace(), GetDriveType() funkcijas, kad rinktų informaciją apie užkrėsto kompiuterio diskus.
Surinkta informacija saugoma konfigūracijos faile. Iššifravę eilutę, konfigūracijos faile gauname parametrų sąrašą:
Užkrėsto kompiuterio konfigūracijos pavyzdys:
Konfigūracijos šabloną galima pavaizduoti taip:
{"General": {"IP":"[IP]", "Country":"[Country]", "ComputerName":"[ComputerName]", "Username":"[Vartotojo vardas]", "OS": "[OS]", "isRU": false, "version":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[FileID]_", "UserID":"[ UserID]", "key":"[key]", "pr_key":"[pr_key]
Nemty saugo surinktus duomenis JSON formatu faile %USER%/_NEMTY_.nemty. Failo ID yra 7 simbolių ilgio ir sugeneruotas atsitiktinai. Pavyzdžiui: _NEMTY_tgdLYrd_.nemty. Failo ID taip pat pridedamas prie užšifruoto failo pabaigos.
Išpirkos žinutė
Užšifravus failus, darbalaukyje pasirodys failas _NEMTY_[FileID]-DECRYPT.txt su tokiu turiniu:
Failo pabaigoje yra užšifruota informacija apie užkrėstą kompiuterį.
Tinklo komunikacija
Ironman.exe procesas atsisiunčia „Tor“ naršyklės platinimą iš adreso ir bando jį įdiegti.
Tada Nemty bando nusiųsti konfigūracijos duomenis į 127.0.0.1:9050, kur tikisi rasti veikiantį Tor naršyklės tarpinį serverį. Tačiau pagal numatytuosius nustatymus „Tor“ tarpinis serveris klausosi 9150 prievado, o 9050 prievadą naudoja „Tor“ demonas „Linux“ arba „Expert Bundle“ sistemoje „Windows“. Taigi į užpuoliko serverį nesiunčiami jokie duomenys. Vietoj to, vartotojas gali atsisiųsti konfigūracijos failą rankiniu būdu, apsilankęs „Tor“ iššifravimo tarnyboje per išpirkos pranešime pateiktą nuorodą.
Prisijungimas prie „Tor“ tarpinio serverio:
HTTP GET sukuria užklausą adresu 127.0.0.1:9050/public/gate?data=
Čia galite pamatyti atvirus TCP prievadus, kuriuos naudoja TORlocal tarpinis serveris:
Nemty iššifravimo paslauga Tor tinkle:
Norėdami išbandyti iššifravimo paslaugą, galite įkelti šifruotą nuotrauką (jpg, png, bmp).
Po to užpuolikas prašo sumokėti išpirką. Nesumokėjus kaina padvigubėja.
išvada
Šiuo metu „Nemty“ užšifruotų failų iššifruoti nesumokėjus išpirkos neįmanoma. Ši išpirkos reikalaujančios programinės įrangos versija turi bendrų bruožų su Buran išpirkos reikalaujančia programa ir pasenusiu GandCrab: kompiliacija Borland Delphi ir vaizdai su tuo pačiu tekstu. Be to, tai pirmasis šifruotojas, kuriame naudojamas 8092 bitų RSA raktas, o tai vėlgi nėra prasminga, nes apsaugai pakanka 1024 bitų rakto. Galiausiai, ir įdomu, jis bando naudoti netinkamą prievadą vietinei „Tor“ tarpinio serverio paslaugai.
Tačiau sprendimai и neleisti Nemty ransomware pasiekti vartotojų kompiuterius ir duomenis, o paslaugų teikėjai gali apsaugoti savo klientus . Pilnas suteikia ne tik atsarginę kopiją, bet ir apsaugą naudojant , speciali dirbtinio intelekto ir elgesio euristikos pagrindu sukurta technologija, leidžianti neutralizuoti net dar nežinomas kenkėjiškas programas.
Šaltinis: www.habr.com