Iepazīstieties ar Nemty ransomware no viltus PayPal vietnes
TÄ«klÄ ir parÄdÄ«jusies jauna izpirkuma programmatÅ«ra ar nosaukumu Nemty, kas it kÄ ir GrandCrab vai Buran pÄctecis. Ä»aunprÄtÄ«gÄ programmatÅ«ra galvenokÄrt tiek izplatÄ«ta no viltotas PayPal vietnes, un tai ir vairÄkas interesantas funkcijas. SÄ«kÄka informÄcija par Ŕīs izspiedÄjvÄ«rusa darbÄ«bu ir pieejama.
LietotÄjs atklÄja jaunu Nemty ransomware nao_sec 7. gada 2019. septembris. Ä»aunprÄtÄ«ga programmatÅ«ra tika izplatÄ«ta, izmantojot vietni slÄpts kÄ PayPal, izspiedÄjvÄ«rusu programmatÅ«ra var arÄ« iekļūt datorÄ, izmantojot RIG izmantoÅ”anas komplektu. UzbrucÄji izmantoja sociÄlÄs inženierijas metodes, lai piespiestu lietotÄju palaist failu cashback.exe, kuru viÅÅ”, iespÄjams, saÅÄmis no PayPal vietnes. Interesanti ir arÄ« tas, ka Nemti vietÄjam starpniekservera pakalpojumam Tor ir norÄdÄ«jis nepareizu portu, kas neļauj ļaunprÄtÄ«gai programmatÅ«rai nosÅ«tÄ«t datus uz serveri. TÄpÄc lietotÄjam paÅ”am bÅ«s jÄaugÅ”upielÄdÄ Å”ifrÄti faili Tor tÄ«klÄ, ja viÅÅ” plÄno maksÄt izpirkuma maksu un gaidÄ«t atÅ”ifrÄÅ”anu no uzbrucÄjiem.
VairÄki interesanti fakti par Nemti liecina, ka to izstrÄdÄjuÅ”i tie paÅ”i cilvÄki vai ar Buranu un GrandCrab saistÄ«ti kibernoziedznieki.
TÄpat kÄ GandCrab, Nemtijam ir Lieldienu ola ā saite uz Krievijas prezidenta Vladimira Putina fotogrÄfiju ar neÄ·Ä«tru joku. Mantotajai GandCrab izpirkuma programmatÅ«rai bija attÄls ar tÄdu paÅ”u tekstu.
Abu programmu valodas artefakti norÄda uz tiem paÅ”iem krievvalodÄ«gajiem autoriem.
Å Ä« ir pirmÄ izpirkuma programmatÅ«ra, kas izmanto 8092 bitu RSA atslÄgu. Lai gan tam nav jÄgas: 1024 bitu atslÄga ir pilnÄ«gi pietiekama, lai aizsargÄtu pret uzlauÅ”anu.
TÄpat kÄ Buran, izpirkuma programmatÅ«ra ir rakstÄ«ta Object Pascal un apkopota Borland Delphi.
StatiskÄ analÄ«ze
Ä»aunprÄtÄ«ga koda izpilde notiek Äetros posmos. Pirmais solis ir palaist cashback.exe ā PE32 izpildÄmo failu operÄtÄjsistÄmÄ MS Windows, kura izmÄrs ir 1198936 baiti. TÄs kods tika uzrakstÄ«ts Visual C++ un apkopots 14. gada 2013. oktobrÄ«. TajÄ ir arhÄ«vs, kas tiek automÄtiski izsaiÅots, kad palaižat cashback.exe. ProgrammatÅ«ra izmanto Cabinet.dll bibliotÄku un tÄs funkcijas FDICreate(), FDIDEStroy() un citas, lai iegÅ«tu failus no .cab arhÄ«va.
PÄc tam tiek palaists temp.exe ā PE32 izpildÄmais fails operÄtÄjsistÄmÄ MS Windows ar 307200 XNUMX baitu lielumu. Kods ir rakstÄ«ts programmÄ Visual C++ un iesaiÅots ar MPRESS pakotÄju, kas ir lÄ«dzÄ«gs UPX.
NÄkamais solis ir ironman.exe. PÄc palaiÅ”anas temp.exe atÅ”ifrÄ tempÄ iegultos datus un pÄrdÄvÄ tos par ironman.exe ā 32 baitu PE544768 izpildÄmo failu. Kods ir apkopots Borland Delphi.
PÄdÄjais solis ir restartÄt failu ironman.exe. Izpildes laikÄ tas pÄrveido savu kodu un palaiž sevi no atmiÅas. Å Ä« ironman.exe versija ir ļaunprÄtÄ«ga un ir atbildÄ«ga par Å”ifrÄÅ”anu.
Uzbrukuma vektors
PaŔlaik Nemty ransomware tiek izplatīta, izmantojot vietni pp-back.info.
Pilnu infekcijas Ä·Ädi var apskatÄ«t vietnÄ app.any.run smilÅ”u kaste.
UzstÄdÄ«Å”ana
Cashback.exe - uzbrukuma sÄkums. KÄ jau minÄts, cashback.exe izpako tajÄ esoÅ”o .cab failu. PÄc tam tiek izveidota mape TMP4351$.TMP formÄ %TEMP%IXxxx.TMP, kur xxx ir skaitlis no 001 lÄ«dz 999.
PÄc tam tiek instalÄta reÄ£istra atslÄga, kas izskatÄs Å”Ädi:
To izmanto, lai izdzÄstu neiepakotos failus. Visbeidzot, cashback.exe sÄk procesu temp.exe.
Temp.exe ir infekcijas Ä·Ädes otrais posms
Å is ir process, ko palaida fails cashback.exe, kas ir otrais vÄ«rusa izpildes solis. TÄ mÄÄ£ina lejupielÄdÄt AutoHotKey ā rÄ«ku skriptu palaiÅ”anai operÄtÄjsistÄmÄ Windows un palaist skriptu WindowSpy.ahk, kas atrodas PE faila resursu sadaļÄ.
Skripts WindowSpy.ahk atÅ”ifrÄ pagaidu failu programmÄ ironman.exe, izmantojot RC4 algoritmu un paroli IwantAcake. Paroles atslÄga tiek iegÅ«ta, izmantojot MD5 jaukÅ”anas algoritmu.
temp.exe izsauc procesu ironman.exe.
Ironman.exe ā treÅ”ais solis
Ironman.exe nolasa faila iron.bmp saturu un izveido failu iron.txt ar Å”ifrÄÅ”anas bloÄ·ÄtÄju, kas tiks palaists nÄkamajÄ.
PÄc tam vÄ«russ ielÄdÄ iron.txt atmiÅÄ un restartÄ to kÄ ironman.exe. PÄc tam fails iron.txt tiek izdzÄsts.
Ironman.exe ir galvenÄ NEMTY izspiedÄjprogrammatÅ«ras daļa, kas Å”ifrÄ failus ietekmÄtajÄ datorÄ. Ä»aunprÄtÄ«ga programmatÅ«ra rada mutex, ko sauc par naidu.
PirmÄ lieta, ko tas dara, ir datora Ä£eogrÄfiskÄs atraÅ”anÄs vietas noteikÅ”ana. Nemty atver pÄrlÅ«kprogrammu un uzzina IP http://api.ipify.org. TieÅ”saistÄ api.db-ip.com/v2/free[IP]/countryName Valsts tiek noteikta pÄc saÅemtÄ IP, un, ja dators atrodas kÄdÄ no tÄlÄk norÄdÄ«tajiem reÄ£ioniem, ļaunprÄtÄ«gas programmatÅ«ras koda izpilde tiek pÄrtraukta:
Ja upura IP adrese neietilpst augstÄk minÄtajÄ sarakstÄ, tad vÄ«russ Å”ifrÄ lietotÄja informÄciju.
Lai novÄrstu failu atkopÅ”anu, to Änu kopijas tiek dzÄstas:
PÄc tam tiek izveidots to failu un mapju saraksts, kas netiks Å”ifrÄti, kÄ arÄ« failu paplaÅ”inÄjumu saraksts.
logi
$ RECYCLE.BIN
rsa
NTDETECT.COM
ntldr
MSDOS.SYS
IO.SYS
boot.ini AUTOEXEC.BAT ntuser.dat
desktop.ini
SYS CONFIG.
BOOTSECT.BAK
Bootmgr
programmas dati
aplikÄcijas dati
osoft
KopÄjie faili
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY
ApmulsinÄÅ”ana
Lai paslÄptu vietrÄžus URL un iegultos konfigurÄcijas datus, Nemty izmanto base64 un RC4 kodÄÅ”anas algoritmu ar atslÄgvÄrdu fuckav.
AtÅ”ifrÄÅ”anas process, izmantojot CryptStringToBinary, ir Å”Äds
Å ifrÄÅ”ana
Nemty izmanto trÄ«s slÄÅu Å”ifrÄÅ”anu:
AES-128-CBC failiem. 128 bitu AES atslÄga tiek Ä£enerÄta nejauÅ”i un tiek izmantota vienÄdi visiem failiem. Tas tiek saglabÄts konfigurÄcijas failÄ lietotÄja datorÄ. IV tiek nejauÅ”i Ä£enerÄts katram failam un saglabÄts Å”ifrÄtÄ failÄ.
RSA-2048 failu Å”ifrÄÅ”anai IV. Sesijai tiek Ä£enerÄts atslÄgu pÄris. Sesijas privÄtÄ atslÄga tiek saglabÄta lietotÄja datora konfigurÄcijas failÄ.
RSA-8192. GalvenÄ publiskÄ atslÄga ir iebÅ«vÄta programmÄ un tiek izmantota, lai Å”ifrÄtu konfigurÄcijas failu, kurÄ tiek saglabÄta RSA-2048 sesijas AES atslÄga un slepenÄ atslÄga.
Nemty vispirms Ä£enerÄ 32 baitus nejauÅ”u datu. Pirmie 16 baiti tiek izmantoti kÄ AES-128-CBC atslÄga.
Otrais Å”ifrÄÅ”anas algoritms ir RSA-2048. AtslÄgu pÄri Ä£enerÄ funkcija CryptGenKey() un importÄ funkcija CryptImportKey().
Kad sesijas atslÄgu pÄris ir Ä£enerÄts, publiskÄ atslÄga tiek importÄta MS kriptogrÄfijas pakalpojumu sniedzÄjÄ.
Un pÄdÄjais nÄk RSA-8192. GalvenÄ publiskÄ atslÄga tiek saglabÄta Å”ifrÄtÄ veidÄ (Base64 + RC4) PE faila .data sadaļÄ.
RSA-8192 atslÄga pÄc base64 dekodÄÅ”anas un RC4 atÅ”ifrÄÅ”anas ar fuckkav paroli izskatÄs Å”Ädi.
RezultÄtÄ viss Å”ifrÄÅ”anas process izskatÄs Å”Ädi:
Ä¢enerÄjiet 128 bitu AES atslÄgu, kas tiks izmantota visu failu Å”ifrÄÅ”anai.
Katram failam izveidojiet IV.
AtslÄgu pÄra izveide RSA-2048 sesijai.
EsoÅ”as RSA-8192 atslÄgas atÅ”ifrÄÅ”ana, izmantojot base64 un RC4.
Å ifrÄjiet faila saturu, izmantojot AES-128-CBC algoritmu no pirmÄ soļa.
IV Å”ifrÄÅ”ana, izmantojot RSA-2048 publisko atslÄgu un base64 kodÄjumu.
Å ifrÄta IV pievienoÅ”ana katra Å”ifrÄtÄ faila beigÄm.
AES atslÄgas un RSA-2048 sesijas privÄtÄs atslÄgas pievienoÅ”ana konfigurÄcijai.
SadaÄ¼Ä aprakstÄ«tie konfigurÄcijas dati InformÄcijas vÄkÅ”ana informÄcija par inficÄto datoru tiek Å”ifrÄta, izmantojot galveno publisko atslÄgu RSA-8192.
Å ifrÄtais fails izskatÄs Å”Ädi:
Å ifrÄtu failu piemÄrs:
InformÄcijas vÄkÅ”ana par inficÄto datoru
Izpirkuma programmatÅ«ra savÄc atslÄgas, lai atÅ”ifrÄtu inficÄtos failus, tÄpÄc uzbrucÄjs faktiski var izveidot atÅ”ifrÄtÄju. TurklÄt Nemty apkopo tÄdus lietotÄja datus kÄ lietotÄjvÄrds, datora nosaukums, aparatÅ«ras profils.
Tas izsauc GetLogicalDrives(), GetFreeSpace(), GetDriveType() funkcijas, lai apkopotu informÄciju par inficÄtÄ datora diskdziÅiem.
Nemty saglabÄ savÄktos datus JSON formÄtÄ failÄ %USER%/_NEMTY_.nemty. Faila ID ir 7 rakstzÄ«mes garÅ” un tiek Ä£enerÄts nejauÅ”i. PiemÄram: _NEMTY_tgdLYrd_.nemty. Faila ID tiek pievienots arÄ« Å”ifrÄtÄ faila beigÄs.
Izpirkuma vÄstule
PÄc failu Å”ifrÄÅ”anas darbvirsmÄ tiek parÄdÄ«ts fails _NEMTY_[FileID]-DECRYPT.txt ar Å”Ädu saturu:
Faila beigÄs ir Å”ifrÄta informÄcija par inficÄto datoru.
PÄc tam Nemty mÄÄ£ina nosÅ«tÄ«t konfigurÄcijas datus uz 127.0.0.1:9050, kur tas cer atrast strÄdÄjoÅ”u Tor pÄrlÅ«kprogrammas starpniekserveri. TomÄr pÄc noklusÄjuma Tor starpniekserveris klausÄs portÄ 9150, un portu 9050 izmanto Tor dÄmons operÄtÄjsistÄmÄ Linux vai Expert Bundle operÄtÄjsistÄmÄ Windows. TÄdÄjÄdi uz uzbrucÄja serveri netiek nosÅ«tÄ«ti nekÄdi dati. TÄ vietÄ lietotÄjs var manuÄli lejupielÄdÄt konfigurÄcijas failu, apmeklÄjot Tor atÅ”ifrÄÅ”anas pakalpojumu, izmantojot izpirkuma ziÅojumÄ norÄdÄ«to saiti.
Savienojuma izveide ar Tor starpniekserveri:
HTTP GET izveido pieprasījumu 127.0.0.1:9050/public/gate?data=
Å eit jÅ«s varat redzÄt atvÄrtos TCP portus, ko izmanto TORlocal starpniekserveris:
PÄc tam uzbrucÄjs lÅ«dz samaksÄt izpirkuma maksu. NemaksÄÅ”anas gadÄ«jumÄ cena tiek dubultota.
SecinÄjums
PaÅ”laik nav iespÄjams atÅ”ifrÄt Nemty Å”ifrÄtos failus, nemaksÄjot izpirkuma maksu. Å ai ransomware versijai ir kopÄ«gas iezÄ«mes ar Buran ransomware un novecojuÅ”o GandCrab: kompilÄcija Borland Delphi un attÄli ar tÄdu paÅ”u tekstu. TurklÄt Å”is ir pirmais Å”ifrÄtÄjs, kas izmanto 8092 bitu RSA atslÄgu, kam atkal nav nekÄdas jÄgas, jo aizsardzÄ«bai pietiek ar 1024 bitu atslÄgu. Visbeidzot, un interesanti, tas mÄÄ£ina izmantot nepareizo portu vietÄjam Tor starpniekservera pakalpojumam.
TomÄr risinÄjumi Acronis Backup Šø Acronis True Image neļautu Nemty ransomware sasniegt lietotÄju personÄlos datorus un datus, un pakalpojumu sniedzÄji var aizsargÄt savus klientus ar Acronis rezerves mÄkonis. Pilns KiberaizsardzÄ«ba nodroÅ”ina ne tikai dublÄÅ”anu, bet arÄ« aizsardzÄ«bu, izmantojot Acronis aktÄ«vÄ aizsardzÄ«ba, Ä«paÅ”a tehnoloÄ£ija, kuras pamatÄ ir mÄkslÄ«gais intelekts un uzvedÄ«bas heiristika, kas ļauj neitralizÄt pat vÄl nezinÄmu ļaunprogrammatÅ«ru.