Madax furasho cusub oo la yiraahdo Nemty ayaa ka soo muuqday shabakada, kaas oo loo malaynayo in uu yahay ku-beddelka GrandCrab ama Buran. Malware-ka waxaa inta badan laga qaybiyaa degelka PayPal ee been abuurka ah wuxuuna leeyahay astaamo badan oo xiiso leh. Faahfaahinta ku saabsan sida uu u shaqeeyo madax furashadani waa la gooyay.
Nemty ransomware cusub oo uu helay isticmaale Sebtember 7, 2019. Malware-ka waxa lagu qaybiyay shabakad , waxa kale oo suurtogal ah in ransomware uu ka dhex galo kombuyuutarka iyada oo loo marayo qalabka ka faa'iidaysiga RIG. Weeraryahanadu waxay isticmaaleen hababka injineernimada bulshada si ay ugu qasbaan isticmaalaha inuu socodsiiyo faylka cashback.exe, kaas oo lagu eedeeyay inuu ka helay degelka PayPal, sidoo kale waxaa la yaab leh in Nemty uu u cayimay deked khaldan oo ah adeegga wakiilnimada maxalliga ah ee Tor, taas oo ka ilaalinaysa malware-ka inuu soo diro. xogta server-ka. Sidaa darteed, isticmaaluhu waa inuu geliyaa faylal sir ah shabakadda Tor laftiisa haddii uu damco inuu bixiyo madaxfurashada oo uu sugo fur-furidda kuwa soo weeraray.
Dhowr xaqiiqo oo xiiso leh oo ku saabsan Nemty waxay soo jeedinayaan in ay sameeyeen isla dad isku mid ah ama ay sameeyeen dambiilayaasha internetka ee la xidhiidha Buran iyo GrandCrab.
- Sida GandCrab, Nemty waxay leedahay ukun Easter-ka ah - isku xirka sawirka madaxweynaha Ruushka Vladimir Putin oo kaftan xun. Dhaxalka GandCrab ransomware wuxuu lahaa sawir isku mid ah.
- Farshaxanka luqadda ee labada barnaamijba waxay tilmaamayaan isla qoraayaasha ku hadla afka Ruushka.
- Kani waa furaha 8092-bit ee RSA ee madax furashada ugu horreeya. Inkasta oo aysan jirin wax macno ah oo arrintan ku saabsan: furaha 1024-bit ayaa ku filan inuu ka ilaaliyo jabsiga.
- Sida Buran oo kale, madax furashada waxa lagu qoray Object Pascal waxaana lagu soo ururiyey Borland Delphi.
Falanqaynta taagan
Fulinta code xaasidnimadu waxay ku dhacdaa afar marxaladood. Tallaabada ugu horreysa waa in la ordo cashback.exe, faylka PE32 ee la fulin karo ee hoos yimaada MS Windows oo leh cabbirka 1198936 bytes. Koodhkeeda waxa uu ku qornaa Visual C++ waxaana la soo ururiyey Oktoobar 14, 2013. Waxay ka kooban tahay kayd si toos ah looga furayo marka aad wado cashback.exe. Software-ku wuxuu isticmaalaa maktabadda Cabinet.dll iyo hawlihiisa FDICreate(), FDIDEstroy() iyo kuwa kale si ay u helaan faylasha kaydka .cabka.
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
Ka dib marka la furo kaydka, saddex fayl ayaa soo bixi doona.
Marka xigta, temp.exe ayaa la bilaabay, faylka PE32 ee la fulin karo ee hoos yimaada MS Windows oo leh cabbir 307200 bytes ah. Nambarku wuxuu ku qoran yahay Visual C++ waxaana lagu soo xiraa xirmo MPRESS, xirmo la mid ah UPX.
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
Tallaabada xigta waa ironman.exe. Marka la bilaabo, temp.exe waxay dejisaa xogta ku dhex jirta kuleylka oo waxay u bedeshaa ironman.exe, faylka 32 byte PE544768 oo la fulin karo. Koodhka waxa lagu soo ururiyey Borland Delphi.
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
Tallaabada ugu dambeysa waa in dib loo bilaabo feylka ironman.exe. Waqtiga runtime, waxay beddeshaa koodkeeda oo ay lafteeda ka waddaa xusuusta. Noocan ironman.exe waa xaasidnimo wuxuuna mas'uul ka yahay sirta
Weerar vector
Hadda, Nemty ransomware-ka waxaa lagu qaybiyaa mareegaha pp-back.info.
Silsiladda caabuqa oo dhamaystiran waxa laga eegi karaa sandbox.
Ku rakibida
Cashback.exe - bilawga weerarka. Sidaan horayba u soo sheegnay, cashback.exe waxay furfuraysaa faylka .cabka ee uu ka kooban yahay. Kadib waxay abuurtaa gal TMP4351$.TMP ah oo ah foomka %TEMP%IXxxx.TMP,halkaas oo xxx uu yahay lambar laga bilaabo 001 ilaa 999.
Marka xigta, furaha diiwaangelinta ayaa la rakibay, kaas oo u eg sidan:
"rundll32.exe" "C:Windowssystem32advpack.dll,DelNodeRunDLL32"C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP"
Waxa loo isticmaalaa in lagu tirtiro faylasha aan la xidhin. Ugu dambeyntii, cashback.exe wuxuu bilaabaa habka temp.exe.
Temp.exe waa marxaladda labaad ee silsiladda caabuqa
Tani waa habka uu bilaabay faylka cashback.exe, tallaabada labaad ee fulinta fayraska. Waxay isku daydaa inay soo dejiso AutoHotKey, qalab loogu talagalay socodsiinta qoraallada Windows, oo ay maamusho qoraalka WindowSpy.ahk oo ku yaal qaybta kheyraadka ee faylka PE.
Qoraalka WindowSpy.ahk wuxuu qeexayaa faylka ku meel gaarka ee ironman.exe isagoo isticmaalaya RC4 algorithm iyo erayga sirta ah IwantAcake. Furaha erayga sirta ah waxaa lagu helay iyadoo la isticmaalayo MD5 hashing algorithm.
temp.exe markaas wac habka ironman.exe.
Ironman.exe - tallaabada saddexaad
Ironman.exe wuxuu akhriyaa waxa ku jira feylka iron.bmp wuxuuna abuuraa feyl iron.txt leh cryptolocker kaas oo la bilaabi doono xiga.
Taas ka dib, fayrasku wuxuu ku shubaa iron.txt xusuusta wuxuuna dib u bilaabayaa sida ironman.exe. Taas ka dib, iron.txt waa la tirtiray.
ironman.exe waa qaybta ugu weyn ee NEMTY ransomware, kaas oo sir ah faylasha ku jira kumbuyuutarka ay saamaysay. Malware waxay abuurtaa mutex la yiraahdo nacayb.
Waxa ugu horreeya ee ay samayso waa in la go'aamiyo goobta juqraafiyeed ee kombiyuutarka. Nemty wuxuu furay browserka oo wuxuu ogaadaa IP-ga . Goobta [IP]/Name Country Waddanka waxa laga go'aamiyaa IP-ga la helay, oo haddii kumbiyuutarku ku yaallo mid ka mid ah gobollada hoos ku taxan, fulinta koodka malware-ka ayaa joogsanaya:
- Russia
- Belarus
- Ukraine
- Kazakhstan
- Soomaaliya
Waxay u badan tahay, horumariyayaashu ma rabaan inay soo jiitaan dareenka hay'adaha fulinta sharciga ee dalalka ay deggan yihiin, sidaas darteed ma sireeyaan faylasha ku jira "guriga" xukunkooda.
Haddii ciwaanka IP-ga ee dhibbanuhu aanu ka tirsanayn liiska sare, markaas fayrasku wuxuu qarinayaa macluumaadka isticmaalaha.
Si looga hortago soo kabashada faylka, koobiyada hadhkooda waa la tirtiray:
Kadib waxay abuurtaa liis galal ah iyo faylal aan la qarin doonin, iyo sidoo kale liiska kordhinta faylka.
- daaqadaha
- $ dib u warshadaynta.BIN
- rsa
- NTDETECT.COM
- iwm
- MSDOS.SYS
- IO.SYS
- boot.ini AUTOEXEC.BAT ntuser.dat
- desktop.ini
- SYS CONFIG.
- BOOTSECT.BAK
- bootmgr
- programdata
- xogta app
- osoft
- Faylasha Caadiga ah
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY Aflagaado
Si loo qariyo URL-yada iyo xogta isku xidhka, Nemty waxay isticmaashaa base64 iyo RC4 codaynta algorithm oo leh ereyga furaha fuckav.
Habka fur-furida iyadoo la isticmaalayo CryptStringToBinary waa sida soo socota
Qarsoodi
Nemty waxay isticmaashaa sir saddex-lakab ah:
- AES-128-CBC ee faylasha Furaha 128-bit AES si aan kala sooc lahayn ayaa loo soo saaray waxaana loo isticmaalaa isku mid dhammaan faylasha. Waxa lagu kaydiyaa faylka habaynta ee kumbiyuutarka isticmaalaha. IV-ga si aan kala sooc lahayn ayaa loo soo saaray fayl kasta waxaana lagu kaydiyaa fayl sir ah.
- RSA-2048 ee faylka sirta IV. Lammaane fure u ah fadhiga ayaa la soo saaray. Furaha gaarka ah ee fadhiga waxa lagu kaydiyaa faylka habaynta ee kombayutarka isticmaalaha.
- RSA-8192. Furaha guud ee sayidku wuxuu ku dhex dhisan yahay barnaamijka waxaana loo isticmaalaa in lagu sireeyo faylka qaabaynta, kaas oo kaydiya furaha AES iyo furaha sirta ah ee fadhiga RSA-2048.
- Nemty wuxuu marka hore soo saaraa 32 bytes oo xog random ah. 16-ka bytes ee ugu horreeya waxa loo isticmaalaa sidii furaha AES-128-CBC.
Algorithmka sirta labaad waa RSA-2048. Lammaanaha muhiimka ah waxaa soo saaray shaqada CryptGenKey() waxaana soo dejisay shaqada CryptImportKey().
Marka lamaanayaasha muhiimka ah ee fadhiga la soo saaro, furaha dadweynaha waxaa la soo dejiyaa Bixiyaha Adeegga Cryptographic MS.
Tusaalaha furaha dadweynaha ee fadhiga:
Marka xigta, furaha gaarka ah ayaa la soo galiyay CSP.
Tusaalaha furaha gaarka ah ee fadhiga:
Waxaana u dambeeya RSA-8192. Furaha guud ee muhiimka ah waxa lagu kaydiyaa qaab sir ah (Base64 + RC4) qaybta xogta ee faylka PE.
Furaha RSA-8192 ka dib markii base64 decoding iyo RC4 decryption oo wata furaha fuckav ayaa sidan u eg.
Natiijo ahaan, dhammaan habka sirta ayaa u eg sidan:
- Samee furaha 128-bit AES kaas oo loo isticmaali doono in lagu sireeyo dhammaan faylasha.
- U samee fayl kasta IV.
- Abuuritaanka lamaane fure u ah fadhiga RSA-2048.
- Dejinta furaha RSA-8192 ee jira iyadoo la adeegsanayo base64 iyo RC4.
- Siri waxa ku jira faylka adoo isticmaalaya AES-128-CBC algorithm ee talaabada ugu horeysa.
- Sireeynta IV iyadoo la adeegsanayo RSA-2048 furaha dadweynaha iyo codeeynta base64.
- Ku darida IV sir ah dhamaadka fayl kasta oo sir ah.
- Ku darida furaha AES iyo furaha fadhiga RSA-2048 ee habaynta
- Xogta habaynta ee lagu qeexay qaybta Kumbiyuutarka cudurka qaba waa la sireeyay iyadoo la isticmaalayo furaha guud ee RSA-8192.
- Faylka qarsoodiga ah wuxuu u eg yahay sidan:
Tusaalaha faylalka qarsoon:
Uruurinta macluumaadka ku saabsan kombiyuutarka cudurka qaba
Ransomware-ku waxa uu ururiyaa furayaasha si uu u furfuro faylalka cudurka qaba, si uu weeraryahanku dhab ahaantii u sameeyo qalab-dejiye. Intaa waxaa dheer, Nemty waxay ururisaa xogta isticmaalaha sida magaca isticmaalaha, magaca kombayutarka, astaanta qalabka.
Waxay u wacdaa GetLogicalDrives(), GetFreeSpace(), GetDriveType() hawlaha si ay u ururiyaan macluumaadka ku saabsan darawallada kombiyuutarada cudurka qaba.
Macluumaadka la ururiyey waxaa lagu kaydiyaa faylka qaabeynta. Markaan dejinay xargaha, waxaan helnaa liiska cabbiraadaha faylka qaabeynta:
Tusaalaha qaabaynta kombuyuutarka cudurka qaba:
Qaabka qaabeynta ayaa loo matalli karaa sida soo socota:
{"Guud": {"IP":"[IP]", "Waddanka":"[Waddanka]", "ComputerName":"[ComputerName]", "Username":"[Username]", "OS": "[OS]", "isRU":false, "nooca":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[FileID]_", "UserID":"[ UserID]", "furaha":"[furaha]", "pr_key":"[pr_key]
Nemty waxay ku kaydisaa xogta la ururiyey qaabka JSON ee faylka %USER%/_NEMTY_.nemty. FileID waa dheer yahay 7 xaraf oo si aan kala sooc lahayn loo soo saaray. Tusaale ahaan: _NEMTY_tgdLYrd_.nemty. FileID sidoo kale waxa lagu lifaaqaa dhamaadka faylka sir ah.
Fariinta madax furashada
Kadib marka la sireeyo faylalka, faylka _NEMTY_[FileID] -DECRYPT.txt wuxuu ka soo baxayaa miiska miiska isagoo wata waxyaabaha soo socda:
Dhamaadka faylka waxaa jira macluumaad sir ah oo ku saabsan kombiyuutarka cudurka qaba.
Isgaarsiinta shabakada
Habka ironman.exe wuxuu ka soo dejiyaa qaybinta browserka Tor ciwaanka oo isku dayaya inuu rakibo.
Nemty wuxuu markaa isku dayaa inuu u diro xogta qaabeynta 127.0.0.1:9050, halkaas oo ay filayso inay hesho wakiil browser Tor oo shaqaynaya. Si kastaba ha ahaatee, sida caadiga ah wakiilka Tor wuxuu ku dhegeystaa dekedda 9150, iyo dekedda 9050 waxaa isticmaala Tor daemon ee Linux ama Khabiirka Xirmada ee Windows. Markaa, wax xog ah looma soo diro server-ka weerarka geystay. Taa baddalkeeda, isticmaaluhu wuxuu gacanta ku soo dejisan karaa faylka qaabeynta isagoo booqanaya adeegga decryption ee Tor isaga oo adeegsanaya xiriirka lagu bixiyay farriinta madaxfurashada.
Ku xidhida wakiilka Tor:
HTTP GET waxay abuurtaa codsi 127.0.0.1:9050/public/gate?data=
Halkan waxaad ku arki kartaa dekedaha furan ee TCP ee uu isticmaalo wakiilka TORlocal:
Adeegga furista Nemty ee shabakadda Tor:
Waxaad soo gelin kartaa sawir sir ah (jpg, png, bmp) si aad u tijaabiso adeega fur-furista
Taas ka dib, weeraryahanku wuxuu waydiisanayaa inuu bixiyo madaxfurasho. Haddii ay dhacdo in la bixin waayo qiimuhu waa labanlaab.
gunaanad
Waqtigan xaadirka ah, suurtagal ma aha in la furfuro feylasha uu Nemty sir ka dhigay iyada oo aan la bixin madax furasho. Noocan ransomware wuxuu leeyahay astaamo ay wadaagaan Buran ransomware iyo GandCrab-ga duugoobay: isku-dubarid Borland Delphi iyo sawirro isku qoraal ah. Intaa waxaa dheer, kani waa encryptor-kii ugu horreeyay ee isticmaala furaha 8092-bit RSA, taas oo, mar kale, ma samaynayso wax macno ah, maadaama furaha 1024-bit uu ku filan yahay ilaalinta. Ugu dambayntii, oo xiiso leh, waxay isku daydaa inay u isticmaasho dekedda khaldan ee adeegga wakiillada Tor ee maxalliga ah.
Si kastaba ha ahaatee, xalalka ΠΈ ka ilaali Nemty ransomware inuu gaaro PC-yada isticmaalaha iyo xogta, bixiyeyaashana waxay ku ilaalin karaan macaamiishooda ... Buuxa waxay bixisaa ma aha oo kaliya gurmad, laakiin sidoo kale ilaalinta isticmaalaya , Tiknoolajiyad gaar ah oo ku salaysan sirdoonka macmal iyo heuristics habdhaqanka kaas oo kuu ogolaanaya inaad ka takhalusto malware aan weli la garanayn.
Source: www.habr.com