На мрежата се појави нов откупен софтвер наречен Nemty, кој наводно е наследник на GrandCrab или Buran. Малициозен софтвер главно се дистрибуира од лажната веб-страница на PayPal и има голем број интересни карактеристики. Деталите за тоа како функционира овој откупни софтвер се под резиме.
Корисникот откри нов откупен софтвер Nemty 7 септември 2019 година. Малициозен софтвер беше дистрибуиран преку веб-страница , можно е и откупниот софтвер да навлезе во компјутер преку комплетот за експлоатација RIG. Напаѓачите користеле методи на социјално инженерство за да го принудат корисникот да ја стартува датотеката cashback.exe, која наводно ја добил од веб-страницата на PayPal. Исто така, љубопитно е што Немти наведе погрешна порта за локалната прокси услуга Tor, која го спречува испраќањето на малициозен софтвер податоци до серверот. Затоа, корисникот ќе мора самиот да прикачува шифрирани датотеки на мрежата Tor доколку има намера да го плати откупот и да чека дешифрирање од напаѓачите.
Неколку интересни факти за Немти сугерираат дека е развиен од истите луѓе или од сајбер криминалци поврзани со Буран и Гранд Краб.
- Како и ГандКраб, и Немти има велигденско јајце - линк до фотографијата на рускиот претседател Владимир Путин со непристојна шега. Наследниот GandCrab ransomware имаше слика со истиот текст.
- Јазичните артефакти на двете програми укажуваат на истите автори кои зборуваат руски.
- Ова е првиот откупен софтвер кој користи 8092-битен RSA клуч. Иако нема смисла во ова: 1024-битен клуч е сосема доволен за заштита од хакирање.
- Како Буран, откупниот софтвер е напишан во Object Pascal и компајлиран во Borland Delphi.
Статичка анализа
Извршувањето на малициозен код се случува во четири фази. Првиот чекор е да се изврши cashback.exe, извршна датотека PE32 под MS Windows со големина од 1198936 бајти. Неговиот код е напишан во Visual C++ и составен на 14 октомври 2013 година. Содржи архива што автоматски се отпакува кога ќе го стартувате cashback.exe. Софтверот ја користи библиотеката Cabinet.dll и нејзините функции FDICreate(), FDIDestroy() и други за да добие датотеки од архивата .cab.
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
По отпакувањето на архивата, ќе се појават три датотеки.
Следно, се лансира temp.exe, извршна датотека PE32 под MS Windows со големина од 307200 бајти. Кодот е напишан во Visual C++ и спакуван со MPRESS пакувач, пакувач сличен на UPX.
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
Следниот чекор е ironman.exe. Откако ќе се стартува, temp.exe ги дешифрира вградените податоци во temp и ги преименува во ironman.exe, извршна датотека PE32 од 544768 бајти. Кодот е составен во Borland Delphi.
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
Последниот чекор е да ја рестартирате датотеката ironman.exe. За време на извршувањето, тој го трансформира својот код и се извршува од меморијата. Оваа верзија на ironman.exe е злонамерна и е одговорна за шифрирање.
Вектор на напад
Во моментов, Nemty ransomware се дистрибуира преку веб-страницата pp-back.info.
Целосниот синџир на инфекција може да се види на песочна кутија.
Инсталација
Cashback.exe - почеток на нападот. Како што веќе споменавме, cashback.exe ја отпакува датотеката .cab што ја содржи. Потоа создава папка TMP4351$.TMP од формата %TEMP%IXxxx.TMP, каде што xxx е број од 001 до 999.
Следно, инсталиран е клуч за регистар, кој изгледа вака:
„rundll32.exe“ „C:Windowssystem32advpack.dll,DelNodeRunDLL32 „C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP““
Се користи за бришење неотпакувани датотеки. Конечно, cashback.exe го започнува процесот temp.exe.
Temp.exe е втората фаза во синџирот на инфекција
Ова е процес што го започна датотеката cashback.exe, вториот чекор од извршувањето на вирусот. Се обидува да преземе AutoHotKey, алатка за водење скрипти на Windows и да ја изврши скриптата WindowSpy.ahk која се наоѓа во делот за ресурси на датотеката PE.
Скриптата WindowSpy.ahk ја дешифрира temp датотеката во ironman.exe користејќи го алгоритмот RC4 и лозинката IwantAcake. Клучот од лозинката се добива со помош на алгоритмот за хаширање MD5.
temp.exe потоа го повикува процесот ironman.exe.
Ironman.exe - трет чекор
Ironman.exe ја чита содржината на датотеката iron.bmp и создава датотека iron.txt со криптолокер што ќе се стартува следно.
После ова, вирусот го вчитува iron.txt во меморијата и го рестартира како ironman.exe. По ова, iron.txt се брише.
ironman.exe е главниот дел од NEMTY ransomware, кој ги шифрира датотеките на погодениот компјутер. Злонамерниот софтвер создава мутекс наречен омраза.
Првото нешто што го прави е да ја одреди географската локација на компјутерот. Немти го отвора прелистувачот и ја дознава IP адресата . Онлајн [IP]/countryName Земјата се одредува од примената IP адреса и ако компјутерот се наоѓа во еден од регионите наведени подолу, извршувањето на кодот за малициозен софтвер престанува:
- Русија
- Белорусија
- Украина
- Казахстан
- Таџикистан
Најверојатно, програмерите не сакаат да го привлечат вниманието на агенциите за спроведување на законот во нивните земји на живеење и затоа не ги шифрираат датотеките во нивните „домашни“ јурисдикции.
Ако IP адресата на жртвата не припаѓа на листата погоре, тогаш вирусот ги шифрира информациите на корисникот.
За да се спречи обновувањето на датотеките, нивните копии во сенка се бришат:
Потоа создава листа на датотеки и папки кои нема да бидат шифрирани, како и листа на екстензии на датотеки.
- Windows
- $RECYCLE.BIN
- рса
- NTDETECT.COM
- итн
- MSDOS.SYS
- IO.SYS
- boot.ini AUTOEXEC.BAT ntuser.dat
- работна површина.ини
- SYS CONFIG.
- BOOTSECT.BAK
- bootmgr
- програмски податоци
- апподатоци
- osoft
- Заеднички датотеки
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY Замаглување
За да ги скрие URL-адресите и вградените податоци за конфигурација, Nemty користи алгоритам за кодирање base64 и RC4 со клучниот збор fuckav.
Процесот на дешифрирање користејќи CryptStringToBinary е како што следува
Шифрирање
Немти користи трислојна шифрирање:
- AES-128-CBC за датотеки. 128-битниот AES клуч се генерира по случаен избор и се користи исто за сите датотеки. Се чува во конфигурациска датотека на компјутерот на корисникот. IV се генерира по случаен избор за секоја датотека и се складира во шифрирана датотека.
- RSA-2048 за шифрирање на датотеки IV. Се генерира пар клучеви за сесијата. Приватниот клуч за сесијата е зачуван во конфигурациска датотека на компјутерот на корисникот.
- RSA-8192. Главниот јавен клуч е вграден во програмата и се користи за шифрирање на конфигурациската датотека, која ги складира клучот AES и тајниот клуч за сесијата RSA-2048.
- Nemty прво генерира 32 бајти случајни податоци. Првите 16 бајти се користат како клуч AES-128-CBC.
Вториот алгоритам за шифрирање е RSA-2048. Парот клучеви е генериран од функцијата CryptGenKey() и увезен од функцијата CryptImportKey().
Откако ќе се генерира парот клучеви за сесијата, јавниот клуч се увезува во давателот на криптографска услуга MS.
Пример за генериран јавен клуч за сесија:
Следно, приватниот клуч се увезува во CSP.
Пример за генериран приватен клуч за сесија:
И последен доаѓа RSA-8192. Главниот јавен клуч е зачуван во шифрирана форма (Base64 + RC4) во делот .data од датотеката PE.
Клучот RSA-8192 по декодирање на base64 и дешифрирање RC4 со лозинката fuckav изгледа вака.
Како резултат на тоа, целиот процес на шифрирање изгледа вака:
- Генерирајте 128-битен AES клуч што ќе се користи за шифрирање на сите датотеки.
- Направете IV за секоја датотека.
- Создавање пар клучеви за сесија RSA-2048.
- Дешифрирање на постоечки клуч RSA-8192 користејќи base64 и RC4.
- Шифрирајте ја содржината на датотеката користејќи го алгоритмот AES-128-CBC од првиот чекор.
- IV шифрирање користејќи јавен клуч RSA-2048 и кодирање base64.
- Додавање шифрирана IV на крајот од секоја шифрирана датотека.
- Додавање клуч AES и приватен клуч за сесија RSA-2048 на конфигурацијата.
- Податоците за конфигурација опишани во делот за инфицираниот компјутер се шифрираат со помош на главниот јавен клуч RSA-8192.
- Шифрираната датотека изгледа вака:
Пример за шифрирани датотеки:
Собирање информации за заразениот компјутер
Откупниот софтвер собира клучеви за дешифрирање на инфицирани датотеки, па напаѓачот всушност може да создаде декриптор. Покрај тоа, Nemty собира кориснички податоци како корисничко име, име на компјутер, хардверски профил.
Ги повикува функциите GetLogicalDrives(), GetFreeSpace(), GetDriveType() за да собира информации за дисковите на заразениот компјутер.
Собраните информации се чуваат во конфигурациска датотека. Откако ја декодиравме низата, добиваме список на параметри во конфигурациската датотека:
Пример за конфигурација на заразен компјутер:
Шаблонот за конфигурација може да се претстави на следниов начин:
{„Општо“: {„IP“: „[IP]“, „Земја“: „[Земја]“, „Име на компјутер“: „[Име на компјутерот]“, „Корисничко име“: „[Корисничко име]“, „ОС“: „[OS]“, „isRU“: неточно, „верзија“: „1.4“, „CompID“: „{[CompID]}“, „ID на датотека“: „_NEMTY_[FileID]_“, „UserID“:“[ UserID]", "key":"[клуч]", "pr_key":"[pr_key]
Nemty ги складира собраните податоци во JSON формат во датотеката %USER%/_NEMTY_.nemty. ID на датотека е долга 7 знаци и е генерирана по случаен избор. На пример: _NEMTY_tgdLYrd_.nemty. ИД на датотеката е исто така додаден на крајот на шифрираната датотека.
Порака за откуп
По шифрирањето на датотеките, датотеката _NEMTY_[FileID]-DECRYPT.txt се појавува на работната површина со следнава содржина:
На крајот од датотеката има шифрирани информации за заразениот компјутер.
Мрежна комуникација
Процесот ironman.exe ја презема дистрибуцијата на прелистувачот Tor од адресата и се обидува да го инсталира.
Немти потоа се обидува да испрати податоци за конфигурација на 127.0.0.1:9050, каде што очекува да најде работен прокси на прелистувачот Tor. Меѓутоа, по дифолт проксито Tor слуша на портата 9150, а портата 9050 се користи од Tor демонот на Linux или Expert Bundle на Windows. Така, не се испраќаат податоци до серверот на напаѓачот. Наместо тоа, корисникот може рачно да ја преземе конфигурациската датотека со посета на услугата за дешифрирање Tor преку врската дадена во пораката за откуп.
Поврзување со Tor прокси:
HTTP GET создава барање до 127.0.0.1:9050/public/gate?data=
Овде можете да ги видите отворените TCP порти што ги користи TORlocal прокси:
Услуга за дешифрирање Nemty на мрежата Tor:
Можете да поставите шифрирана фотографија (jpg, png, bmp) за да ја тестирате услугата за дешифрирање.
По ова, напаѓачот бара да плати откуп. Во случај на неплаќање цената се дуплира.
Заклучок
Во моментов, не е можно да се дешифрираат датотеките шифрирани од Немти без да се плати откуп. Оваа верзија на ransomware има заеднички карактеристики со Buran ransomware и застарениот GandCrab: компилација во Borland Delphi и слики со истиот текст. Покрај тоа, ова е првиот енкриптор кој користи 8092-битен RSA клуч, што, повторно, нема никаква смисла, бидејќи 1024-битен клуч е доволен за заштита. Конечно, и интересно, се обидува да користи погрешна порта за локалната Tor proxy услуга.
Сепак, решенија и спречи откупниот софтвер Nemty да стигне до кориснички компјутери и податоци, а провајдерите можат да ги заштитат своите клиенти со . Полна обезбедува не само резервна копија, туку и заштита со користење , специјална технологија базирана на вештачка интелигенција и хеуристика на однесувањето која ви овозможува да неутрализирате дури и непознат малициозен софтвер.
Извор: www.habr.com