На мрежи се појавио нови рансомваре под називом Немти, који је наводно наследник ГрандЦраб-а или Бурана. Малвер се углавном дистрибуира са лажне веб странице ПаиПал и има низ занимљивих карактеристика. Детаљи о томе како овај рансомвер функционише су испод.
Корисник је открио нови Немти рансомваре 7. септембра 2019. године. Малвер је дистрибуиран преко веб странице , такође је могуће да рансомваре продре у рачунар преко РИГ комплета за експлоатацију. Нападачи су методом друштвеног инжењеринга натерали корисника да покрене фајл цасхбацк.еке, који је наводно добио са сајта ПаиПал. Занимљиво је и да је Немти навео погрешан порт за локални прокси сервис Тор, који спречава слање малвера. података на сервер. Стога ће корисник морати сам да отпреми шифроване датотеке на Тор мрежу ако намерава да плати откупнину и чека дешифровање од нападача.
Неколико занимљивих чињеница о Немтију сугерише да су га развили исти људи или сајбер криминалци повезани са Бураном и ГрандЦраб-ом.
- Као и ГандКраб, Немти има ускршње јаје - везу до фотографије руског председника Владимира Путина са опсценом шалом. Наслеђени ГандЦраб рансомваре имао је слику са истим текстом.
- Језички артефакти оба програма указују на исте ауторе који говоре руски.
- Ово је први рансомваре који користи 8092-битни РСА кључ. Иако у томе нема смисла: 1024-битни кључ је сасвим довољан за заштиту од хаковања.
- Као и Буран, рансомваре је написан у Објецт Пасцал-у и компајлиран у Борланд Делпхи.
Статичка анализа
Извршавање злонамерног кода се одвија у четири фазе. Први корак је покретање цасхбацк.еке, ПЕ32 извршне датотеке под МС Виндовс-ом величине 1198936 бајтова. Његов код је написан у Висуал Ц++ и састављен 14. октобра 2013. године. Садржи архиву која се аутоматски распакује када покренете цасхбацк.еке. Софтвер користи библиотеку Цабинет.длл и њене функције ФДИЦреате(), ФДИДестрои() и друге за добијање датотека из .цаб архиве.
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
Након распакивања архиве, појавиће се три датотеке.
Затим се покреће темп.еке, ПЕ32 извршна датотека под МС Виндовс-ом величине 307200 бајтова. Код је написан у Висуал Ц++ и упакован у МПРЕСС пацкер, пакер сличан УПКС-у.
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
Следећи корак је иронман.еке. Када се покрене, темп.еке дешифрује уграђене податке у темп и преименује их у иронман.еке, извршну ПЕ32 датотеку од 544768 бајта. Код је састављен у Борланд Делпхи.
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
Последњи корак је да поново покренете датотеку иронман.еке. Током времена извршавања, трансформише свој код и покреће се из меморије. Ова верзија иронман.еке је злонамерна и одговорна је за шифровање.
Вектор напада
Тренутно се Немти рансомваре дистрибуира преко веб странице пп-бацк.инфо.
Комплетан ланац инфекције може се видети на песковник.
Инсталација
Цасхбацк.еке - почетак напада. Као што је већ поменуто, цасхбацк.еке распакује .цаб датотеку коју садржи. Затим креира фасциклу ТМП4351$.ТМП у облику %ТЕМП%ИКСккк.ТМП, где је ккк број од 001 до 999.
Затим се инсталира кључ регистратора, који изгледа овако:
“рундлл32.еке” “Ц:Виндовссистем32адвпацк.длл,ДелНодеРунДЛЛ32 “Ц:УсерсМАЛВАР~1АппДатаЛоцалТемпИКСПккк.ТМП””
Користи се за брисање распакованих датотека. Коначно, цасхбацк.еке покреће процес темп.еке.
Темп.еке је друга фаза у ланцу инфекције
Ово је процес који покреће датотека цасхбацк.еке, други корак извршења вируса. Покушава да преузме АутоХотКеи, алатку за покретање скрипти на Виндовс-у, и покрене скрипту ВиндовСпи.ахк која се налази у одељку ресурса ПЕ датотеке.
Скрипта ВиндовСпи.ахк дешифрује привремену датотеку у иронман.еке користећи РЦ4 алгоритам и лозинку ИвантАцаке. Кључ од лозинке се добија помоћу алгоритма хеширања МД5.
темп.еке затим позива процес иронман.еке.
Иронман.еке – трећи корак
Иронман.еке чита садржај датотеке ирон.бмп и креира датотеку ирон.ткт са криптолоцкером који ће бити покренут следећи.
Након тога, вирус учитава ирон.ткт у меморију и поново га покреће као иронман.еке. Након овога, ирон.ткт се брише.
иронман.еке је главни део НЕМТИ рансомваре-а, који шифрује датотеке на погођеном рачунару. Злонамерни софтвер ствара мутекс који се зове мржња.
Прво што ради је да одреди географску локацију рачунара. Немти отвара претраживач и открива ИП на . Онлине [ИП]/цоунтриНаме Земља се утврђује на основу примљене ИП адресе, а ако се рачунар налази у једном од региона наведених у наставку, извршење кода малвера се зауставља:
- Русија
- Белорусија
- Украјина
- Казахстан
- Таџикистан
Највероватније, програмери не желе да привуку пажњу агенција за спровођење закона у својим земљама пребивалишта, па стога не шифрују датотеке у својим „домаћим” јурисдикцијама.
Ако ИП адреса жртве не припада горњој листи, вирус шифрује информације корисника.
Да би се спречио опоравак датотека, њихове копије у сенци се бришу:
Затим креира листу датотека и фасцикли које неће бити шифроване, као и листу екстензија датотека.
- прозори
- $ РЕЦИЦЛЕ.БИН
- рса
- НТДЕТЕЦТ.ЦОМ
- нтлдр
- МСДОС.СИС
- ИО.СИС
- боот.ини АУТОЕКСЕЦ.БАТ нтусер.дат
- десктоп.ини
- ЦОНФИГ.СИС
- БООТСЕЦТ.БАК
- Боотмгр
- програмски подаци
- аппдата
- ософт
- Цоммон Филес
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY Обфусцатион
Да би сакрио УРЛ адресе и уграђене конфигурационе податке, Немти користи басе64 и РЦ4 алгоритам кодирања са кључном речи фуцкав.
Процес дешифровања помоћу ЦриптСтрингТоБинари је следећи
Шифровање
Немти користи трослојно шифровање:
- АЕС-128-ЦБЦ за датотеке. 128-битни АЕС кључ се насумично генерише и користи се исто за све датотеке. Чува се у конфигурационој датотеци на рачунару корисника. ИВ се насумично генерише за сваку датотеку и чува у шифрованој датотеци.
- РСА-2048 за шифровање датотека ИВ. Генерише се пар кључева за сесију. Приватни кључ за сесију се чува у конфигурационој датотеци на рачунару корисника.
- РСА-8192. Главни јавни кључ је уграђен у програм и користи се за шифровање конфигурационе датотеке, која чува АЕС кључ и тајни кључ за сесију РСА-2048.
- Немти прво генерише 32 бајта насумичних података. Првих 16 бајтова се користи као кључ АЕС-128-ЦБЦ.
Други алгоритам шифровања је РСА-2048. Пар кључева генерише функција ЦриптГенКеи() и увози функција ЦриптИмпортКеи().
Када се пар кључева за сесију генерише, јавни кључ се увози у МС Цриптограпхиц Сервице Провидер.
Пример генерисаног јавног кључа за сесију:
Затим се приватни кључ увози у ЦСП.
Пример генерисаног приватног кључа за сесију:
И последњи је РСА-8192. Главни јавни кључ се чува у шифрованом облику (Басе64 + РЦ4) у одељку .дата ПЕ датотеке.
РСА-8192 кључ након басе64 декодирања и РЦ4 дешифровања са фуцкав лозинком изгледа овако.
Као резултат, цео процес шифровања изгледа овако:
- Генеришите 128-битни АЕС кључ који ће се користити за шифровање свих датотека.
- Направите ИВ за сваку датотеку.
- Креирање пара кључева за РСА-2048 сесију.
- Дешифровање постојећег РСА-8192 кључа помоћу басе64 и РЦ4.
- Шифрујте садржај датотеке користећи АЕС-128-ЦБЦ алгоритам од првог корака.
- ИВ шифровање коришћењем РСА-2048 јавног кључа и басе64 кодирања.
- Додавање шифрованог ИВ на крај сваке шифроване датотеке.
- Додавање АЕС кључа и РСА-2048 приватног кључа сесије у конфигурацију.
- Подаци о конфигурацији описани у одељку о зараженом рачунару су шифровани помоћу главног јавног кључа РСА-8192.
- Шифрована датотека изгледа овако:
Пример шифрованих датотека:
Прикупљање информација о зараженом рачунару
Рансомвер прикупља кључеве за дешифровање заражених датотека, тако да нападач заправо може да креира дешифровање. Поред тога, Немти прикупља корисничке податке као што су корисничко име, име рачунара, профил хардвера.
Позива функције ГетЛогицалДривес(), ГетФрееСпаце(), ГетДривеТипе() да прикупи информације о диск јединицама зараженог рачунара.
Прикупљене информације се чувају у конфигурационој датотеци. Након што смо декодирали стринг, добијамо листу параметара у конфигурационој датотеци:
Пример конфигурације зараженог рачунара:
Шаблон конфигурације се може представити на следећи начин:
{"Генерал": {"ИП":"[ИП]", "Цоунтри":"[Цоунтри]", "ЦомпутерНаме":"[ЦомпутерНаме]", "Усернаме":"[Усернаме]", "ОС": "[ОС]", "исРУ":фалсе, "версион":"1.4", "ЦомпИД":"{[ЦомпИД]}", "ФилеИД":"_НЕМТИ_[ФилеИД]_", "УсерИД":"[ УсерИД]", "кључ":"[кључ]", "пр_кеи":"[пр_кључ]
Немти чува прикупљене податке у ЈСОН формату у датотеци %УСЕР%/_НЕМТИ_.немти. ФилеИД има 7 знакова и насумично се генерише. На пример: _НЕМТИ_тгдЛИрд_.немти. ФилеИД се такође додаје на крај шифроване датотеке.
Порука о откупнини
Након шифровања датотека, датотека _НЕМТИ_[ФилеИД]-ДЕЦРИПТ.ткт се појављује на радној површини са следећим садржајем:
На крају датотеке налазе се шифроване информације о зараженом рачунару.
Мрежна комуникација
Процес иронман.еке преузима дистрибуцију претраживача Тор са адресе и покушава да га инсталира.
Немти затим покушава да пошаље конфигурационе податке на 127.0.0.1:9050, где очекује да ће пронаћи исправан прокси претраживач Тор. Међутим, по подразумеваној вредности Тор проки слуша порт 9150, а порт 9050 користи Тор демон на Линук-у или Екперт Бундле-у на Виндовс-у. Дакле, никакви подаци се не шаљу на сервер нападача. Уместо тога, корисник може ручно да преузме конфигурациону датотеку тако што ће посетити Тор сервис за дешифровање преко везе у поруци за откуп.
Повезивање на Тор прокси:
ХТТП ГЕТ прави захтев за 127.0.0.1:9050/публиц/гате?дата=
Овде можете видети отворене ТЦП портове које користи ТОРлоцал прокси:
Услуга Немти дешифровања на Тор мрежи:
Можете да отпремите шифровану фотографију (јпг, пнг, бмп) да бисте тестирали услугу дешифровања.
Након тога, нападач тражи да плати откупнину. У случају неплаћања цена се удвостручује.
Закључак
Тренутно није могуће дешифровати датотеке које је Немти шифровао без плаћања откупнине. Ова верзија рансомваре-а има заједничке карактеристике са Буран рансомваре-ом и застарелим ГандЦраб-ом: компилација у Борланд Делпхи-ју и слике са истим текстом. Поред тога, ово је први енкриптор који користи 8092-битни РСА кључ, што, опет, нема никаквог смисла, пошто је за заштиту довољан 1024-битни кључ. Коначно, и занимљиво, покушава да користи погрешан порт за локални Тор проки сервис.
Међутим, решења и спречавају Немти рансомваре да дође до корисничких рачунара и података, а провајдери могу заштитити своје клијенте помоћу ... Пун пружа не само резервну копију, већ и заштиту коришћењем , посебна технологија заснована на вештачкој интелигенцији и хеуристици понашања која вам омогућава да неутралишете чак и непознати малвер.
Извор: ввв.хабр.цом