Na omrežju se je pojavila nova izsiljevalska programska oprema z imenom Nemty, ki naj bi bila naslednica GrandCrab ali Buran. Zlonamerna programska oprema se večinoma distribuira s ponarejenega spletnega mesta PayPal in ima številne zanimive funkcije. Podrobnosti o tem, kako deluje ta izsiljevalska programska oprema, so pod rezom.
Uporabnik je odkril novo izsiljevalsko programsko opremo Nemty 7. september 2019. Zlonamerna programska oprema je bila distribuirana prek spletne strani , je možno tudi, da izsiljevalska programska oprema prodre v računalnik prek kompleta za izkoriščanje RIG. Napadalci so z metodami socialnega inženiringa prisilili uporabnika, da zažene datoteko cashback.exe, ki naj bi jo prejel s spletne strani PayPal.Nenavadno je tudi, da je Nemty določil napačna vrata za lokalno proxy storitev Tor, ki preprečuje pošiljanje zlonamerne programske opreme. podatke na strežnik. Zato bo moral uporabnik sam naložiti šifrirane datoteke v omrežje Tor, če bo nameraval plačati odkupnino in počakati na dešifriranje s strani napadalcev.
Več zanimivih dejstev o Nemtyju nakazuje, da so ga razvili isti ljudje ali kibernetski kriminalci, povezani z Buranom in GrandCrabom.
- Tako kot GandCrab ima tudi Nemty velikonočno jajce – povezavo do fotografije ruskega predsednika Vladimirja Putina z nespodobno šalo. Podedovana izsiljevalska programska oprema GandCrab je imela sliko z enakim besedilom.
- Jezikovni artefakti obeh programov kažejo na iste rusko govoreče avtorje.
- To je prva izsiljevalska programska oprema, ki uporablja 8092-bitni ključ RSA. Čeprav v tem ni smisla: 1024-bitni ključ je povsem dovolj za zaščito pred vdori.
- Tako kot Buran je tudi izsiljevalska programska oprema napisana v Object Pascalu in prevedena v Borland Delphi.
Statična analiza
Izvajanje zlonamerne kode poteka v štirih fazah. Prvi korak je zagon cashback.exe, PE32 izvedljive datoteke pod MS Windows z velikostjo 1198936 bajtov. Njegova koda je bila napisana v Visual C++ in prevedena 14. oktobra 2013. Vsebuje arhiv, ki se samodejno razpakira, ko zaženete cashback.exe. Programska oprema uporablja knjižnico Cabinet.dll in njene funkcije FDICreate(), FDIDestroy() in druge za pridobivanje datotek iz arhiva .cab.
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
Po razpakiranju arhiva se prikažejo tri datoteke.
Nato se zažene temp.exe, izvršljiva datoteka PE32 pod MS Windows z velikostjo 307200 bajtov. Koda je napisana v Visual C++ in zapakirana z MPRESS pakerjem, ki je podoben UPX.
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
Naslednji korak je ironman.exe. Po zagonu temp.exe dešifrira vdelane podatke v temp in jih preimenuje v ironman.exe, 32 bajtno izvršljivo datoteko PE544768. Koda je prevedena v Borland Delphi.
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
Zadnji korak je ponovni zagon datoteke ironman.exe. Med izvajanjem transformira svojo kodo in se zažene iz pomnilnika. Ta različica ironman.exe je zlonamerna in je odgovorna za šifriranje.
Vektor napada
Trenutno se izsiljevalska programska oprema Nemty distribuira prek spletnega mesta pp-back.info.
Celotno verigo okužb si lahko ogledate na peskovnik.
Namestitev
Cashback.exe - začetek napada. Kot že omenjeno, cashback.exe razpakira datoteko .cab, ki jo vsebuje. Nato ustvari mapo TMP4351$.TMP v obliki %TEMP%IXxxx.TMP, kjer je xxx številka od 001 do 999.
Nato je nameščen registrski ključ, ki je videti takole:
“rundll32.exe” “C:Windowssystem32advpack.dll,DelNodeRunDLL32 “C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP””
Uporablja se za brisanje nepakiranih datotek. Na koncu cashback.exe zažene postopek temp.exe.
Temp.exe je druga stopnja v verigi okužbe
To je postopek, ki ga sproži datoteka cashback.exe, drugi korak izvajanja virusa. Poskuša prenesti AutoHotKey, orodje za izvajanje skriptov v sistemu Windows, in zagnati skript WindowSpy.ahk, ki se nahaja v razdelku z viri datoteke PE.
Skript WindowSpy.ahk dešifrira začasno datoteko v ironman.exe z uporabo algoritma RC4 in gesla IwantAcake. Ključ iz gesla pridobimo z algoritmom zgoščevanja MD5.
temp.exe nato pokliče proces ironman.exe.
Ironman.exe - tretji korak
Ironman.exe prebere vsebino datoteke iron.bmp in ustvari datoteko iron.txt s cryptolockerjem, ki se zažene naslednjič.
Po tem virus naloži iron.txt v pomnilnik in ga znova zažene kot ironman.exe. Po tem se iron.txt izbriše.
ironman.exe je glavni del izsiljevalske programske opreme NEMTY, ki šifrira datoteke v prizadetem računalniku. Zlonamerna programska oprema ustvari mutex, imenovan sovraštvo.
Prva stvar, ki jo naredi, je določitev geografske lokacije računalnika. Nemty odpre brskalnik in poišče IP na . Na strani [IP]/countryName Država se določi iz prejetega IP-ja in če se računalnik nahaja v eni od spodaj navedenih regij, se izvajanje kode zlonamerne programske opreme ustavi:
- Rusijo
- Belorusija
- Ukrajino
- Казахстан
- Tadžikistan
Najverjetneje razvijalci ne želijo pritegniti pozornosti organov kazenskega pregona v svojih državah stalnega prebivališča, zato ne šifrirajo datotek v svojih "domačih" jurisdikcijah.
Če naslov IP žrtve ne spada na zgornji seznam, potem virus šifrira podatke uporabnika.
Da bi preprečili obnovitev datotek, se izbrišejo njihove senčne kopije:
Nato ustvari seznam datotek in map, ki ne bodo šifrirane, ter seznam končnic datotek.
- okna
- $ RECYCLE.BIN
- RSA
- NTDETECT.COM
- itd
- MSDOS.SYS
- IO.SYS
- boot.ini AUTOEXEC.BAT ntuser.dat
- namizje.ini
- KONFIG. SIST.
- BOOTSECT.BAK
- Bootmgr.exe
- programski podatki
- podatki aplikacije
- osoft
- Skupne datoteke
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY Zamegljenost
Za skrivanje URL-jev in vdelanih konfiguracijskih podatkov Nemty uporablja algoritem za kodiranje base64 in RC4 s ključno besedo fuckav.
Postopek dešifriranja z uporabo CryptStringToBinary je naslednji
Šifriranje
Nemty uporablja trislojno šifriranje:
- AES-128-CBC za datoteke. 128-bitni ključ AES je naključno ustvarjen in se uporablja enako za vse datoteke. Shranjen je v konfiguracijski datoteki na uporabnikovem računalniku. IV je naključno ustvarjen za vsako datoteko in shranjen v šifrirani datoteki.
- RSA-2048 za šifriranje datotek IV. Ustvarjen je par ključev za sejo. Zasebni ključ za sejo je shranjen v konfiguracijski datoteki na uporabnikovem računalniku.
- RSA-8192. Glavni javni ključ je vgrajen v program in se uporablja za šifriranje konfiguracijske datoteke, v kateri sta shranjena ključ AES in tajni ključ za sejo RSA-2048.
- Nemty najprej ustvari 32 bajtov naključnih podatkov. Prvih 16 bajtov se uporablja kot ključ AES-128-CBC.
Drugi algoritem šifriranja je RSA-2048. Par ključev generira funkcija CryptGenKey() in uvozi funkcija CryptImportKey().
Ko je par ključev za sejo ustvarjen, se javni ključ uvozi v ponudnika MS Cryptographic Service Provider.
Primer ustvarjenega javnega ključa za sejo:
Nato se zasebni ključ uvozi v CSP.
Primer ustvarjenega zasebnega ključa za sejo:
In zadnji je RSA-8192. Glavni javni ključ je shranjen v šifrirani obliki (Base64 + RC4) v razdelku .data datoteke PE.
Ključ RSA-8192 po dekodiranju base64 in dešifriranju RC4 z geslom fuckav izgleda takole.
Posledično je celoten postopek šifriranja videti takole:
- Ustvarite 128-bitni ključ AES, ki bo uporabljen za šifriranje vseh datotek.
- Za vsako datoteko ustvarite IV.
- Ustvarjanje para ključev za sejo RSA-2048.
- Dešifriranje obstoječega ključa RSA-8192 z uporabo base64 in RC4.
- Šifrirajte vsebino datoteke z algoritmom AES-128-CBC od prvega koraka.
- Šifriranje IV z uporabo javnega ključa RSA-2048 in kodiranja base64.
- Dodajanje šifriranega IV na konec vsake šifrirane datoteke.
- Dodajanje ključa AES in zasebnega ključa seje RSA-2048 v konfiguracijo.
- Podatki o konfiguraciji, opisani v razdelku o okuženem računalniku so šifrirani z glavnim javnim ključem RSA-8192.
- Šifrirana datoteka izgleda takole:
Primer šifriranih datotek:
Zbiranje podatkov o okuženem računalniku
Izsiljevalska programska oprema zbira ključe za dešifriranje okuženih datotek, tako da lahko napadalec dejansko ustvari dešifrator. Poleg tega Nemty zbira uporabniške podatke, kot so uporabniško ime, ime računalnika, profil strojne opreme.
Pokliče funkcije GetLogicalDrives(), GetFreeSpace(), GetDriveType() za zbiranje informacij o pogonih okuženega računalnika.
Zbrane informacije so shranjene v konfiguracijski datoteki. Ko dekodiramo niz, dobimo seznam parametrov v konfiguracijski datoteki:
Primer konfiguracije okuženega računalnika:
Konfiguracijsko predlogo je mogoče predstaviti na naslednji način:
{"Splošno": {"IP":"[IP]", "Država":"[Država]", "ImeRačunalnika":"[ImeRačunalnika]", "Uporabniško ime":"[Uporabniško ime]", "OS": "[OS]", "isRU":false, "version":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[FileID]_", "UserID":"[ UserID]", "key":"[ključ]", "pr_key":"[pr_key]
Nemty shrani zbrane podatke v formatu JSON v datoteko %USER%/_NEMTY_.nemty. FileID je dolg 7 znakov in je ustvarjen naključno. Na primer: _NEMTY_tgdLYrd_.nemty. FileID je pripet tudi na konec šifrirane datoteke.
Sporočilo o odkupnini
Po šifriranju datotek se na namizju prikaže datoteka _NEMTY_[ID datoteke]-DECRYPT.txt z naslednjo vsebino:
Na koncu datoteke so šifrirane informacije o okuženem računalniku.
Omrežna komunikacija
Proces ironman.exe prenese distribucijo brskalnika Tor z naslova in ga poskuša namestiti.
Nemty nato poskuša poslati konfiguracijske podatke na 127.0.0.1:9050, kjer pričakuje, da bo našel delujoč proxy brskalnika Tor. Vendar Tor proxy privzeto posluša na vratih 9150, vrata 9050 pa uporablja Tor demon v Linuxu ali Expert Bundle v sistemu Windows. Tako se napadalčevemu strežniku ne pošljejo nobeni podatki. Namesto tega lahko uporabnik konfiguracijsko datoteko prenese ročno tako, da obišče storitev dešifriranja Tor prek povezave v sporočilu o odkupnini.
Povezovanje s proxyjem Tor:
HTTP GET ustvari zahtevo za 127.0.0.1:9050/public/gate?data=
Tukaj si lahko ogledate odprta vrata TCP, ki jih uporablja proxy TORlocal:
Storitev dešifriranja Nemty v omrežju Tor:
Naložite lahko šifrirano fotografijo (jpg, png, bmp), da preizkusite storitev dešifriranja.
Po tem napadalec zahteva plačilo odkupnine. V primeru neplačila se cena podvoji.
Zaključek
Trenutno ni mogoče dešifrirati datotek, ki jih šifrira Nemty, brez plačila odkupnine. Ta različica izsiljevalske programske opreme ima skupne lastnosti z izsiljevalsko programsko opremo Buran in zastarelim GandCrab: kompilacijo v Borland Delphi in slike z enakim besedilom. Poleg tega je to prvi šifrirnik, ki uporablja 8092-bitni ključ RSA, kar pa spet nima smisla, saj za zaščito zadostuje 1024-bitni ključ. Nazadnje, zanimivo, poskuša uporabiti napačna vrata za lokalno proxy storitev Tor.
Vendar rešitve и preprečijo, da bi izsiljevalska programska oprema Nemty dosegla uporabniške osebne računalnike in podatke, ponudniki pa lahko zaščitijo svoje stranke z . Poln zagotavlja ne samo varnostno kopiranje, ampak tudi zaščito z uporabo , posebna tehnologija, ki temelji na umetni inteligenci in vedenjski hevristiki, ki vam omogoča nevtralizacijo še tako neznane zlonamerne programske opreme.
Vir: www.habr.com