Ağda, GrandCrab veya Buran'ın halefi olduğu iddia edilen Nemty adlı yeni bir fidye yazılımı ortaya çıktı. Kötü amaçlı yazılım esas olarak sahte PayPal web sitesinden dağıtılıyor ve bir dizi ilginç özelliğe sahip. Bu fidye yazılımının nasıl çalıştığına ilişkin ayrıntılar yayında.
Kullanıcı tarafından keşfedilen yeni Nemty fidye yazılımı 7 Eylül 2019. Kötü amaçlı yazılım bir web sitesi aracılığıyla dağıtıldı fidye yazılımının RIG istismar kiti yoluyla bir bilgisayara sızması da mümkündür. Saldırganlar, kullanıcıyı PayPal web sitesinden aldığı iddia edilen Cashback.exe dosyasını çalıştırmaya zorlamak için sosyal mühendislik yöntemlerini kullandı.Nemty'nin, kötü amaçlı yazılımın gönderilmesini engelleyen yerel proxy hizmeti Tor için yanlış bağlantı noktasını belirtmesi de ilginçtir. verileri sunucuya gönderin. Bu nedenle, fidyeyi ödemek ve saldırganların şifresinin çözülmesini beklemek istiyorsa, kullanıcının şifrelenmiş dosyaları Tor ağına kendisinin yüklemesi gerekecektir.
Nemty hakkındaki bazı ilginç gerçekler, bunun aynı kişiler tarafından veya Buran ve GrandCrab ile bağlantılı siber suçlular tarafından geliştirildiğini gösteriyor.
- GandCrab gibi Nemty'nin de bir Paskalya yumurtası var; Rusya Devlet Başkanı Vladimir Putin'in müstehcen bir şaka içeren bir fotoğrafına bağlantı. Eski GandCrab fidye yazılımında aynı metni içeren bir resim vardı.
- Her iki programın dil eserleri de aynı Rusça konuşan yazarlara işaret ediyor.
- Bu, 8092 bitlik RSA anahtarını kullanan ilk fidye yazılımıdır. Bunun bir anlamı olmasa da: 1024 bitlik bir anahtar, bilgisayar korsanlığına karşı koruma sağlamak için oldukça yeterlidir.
- Buran gibi fidye yazılımı da Object Pascal'da yazılmış ve Borland Delphi'de derlenmiştir.
Statik analiz
Kötü amaçlı kodun yürütülmesi dört aşamada gerçekleşir. İlk adım, MS Windows altında 32 bayt boyutunda bir PE1198936 yürütülebilir dosyası olan Cashback.exe dosyasını çalıştırmaktır. Kodu Visual C++ ile yazılmış ve 14 Ekim 2013'te derlenmiştir. Cashback.exe'yi çalıştırdığınızda otomatik olarak açılan bir arşiv içerir. Yazılım, .cab arşivinden dosya almak için Cabinet.dll kütüphanesini ve onun FDICreate(), FDIDestroy() ve diğer işlevlerini kullanır.
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
Arşivi açtıktan sonra üç dosya görünecektir.
Daha sonra, MS Windows altında 32 bayt boyutunda bir PE307200 yürütülebilir dosyası olan temp.exe başlatılır. Kod Visual C++ ile yazılmıştır ve UPX'e benzer bir paketleyici olan MPRESS paketleyici ile paketlenmiştir.
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
Bir sonraki adım ironman.exe'dir. Temp.exe başlatıldığında temp'deki gömülü verilerin şifresini çözer ve onu 32 baytlık PE544768 yürütülebilir dosyası olan ironman.exe olarak yeniden adlandırır. Kod Borland Delphi'de derlenmiştir.
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
Son adım ironman.exe dosyasını yeniden başlatmaktır. Çalışma zamanında kodunu dönüştürür ve kendisini bellekten çalıştırır. Ironman.exe'nin bu sürümü kötü amaçlıdır ve şifrelemeden sorumludur.
Saldırı vektörü
Şu anda Nemty fidye yazılımı pp-back.info web sitesi aracılığıyla dağıtılıyor.
Enfeksiyon zincirinin tamamı şu adreste görülebilir: kum havuzu.
Montaj
Cashback.exe - saldırının başlangıcı. Daha önce de belirtildiği gibi, Cashback.exe, içerdiği .cab dosyasını açar. Daha sonra %TEMP%IXxxx.TMP biçiminde bir TMP4351$.TMP klasörü oluşturur; burada xxx, 001 ile 999 arasında bir sayıdır.
Daha sonra şuna benzeyen bir kayıt defteri anahtarı yüklenir:
“rundll32.exe” “C:Windowssystem32advpack.dll,DelNodeRunDLL32 “C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP””
Paketlenmemiş dosyaları silmek için kullanılır. Son olarak, Cashback.exe temp.exe işlemini başlatır.
Temp.exe enfeksiyon zincirinin ikinci aşamasıdır
Bu, virüs yürütmenin ikinci adımı olan Cashback.exe dosyasının başlattığı işlemdir. Windows'ta komut dosyalarını çalıştırmaya yönelik bir araç olan AutoHotKey'i indirmeye ve PE dosyasının kaynaklar bölümünde bulunan WindowSpy.ahk komut dosyasını çalıştırmaya çalışır.
WindowSpy.ahk betiği, RC4 algoritmasını ve IwantAcake parolasını kullanarak ironman.exe'deki geçici dosyanın şifresini çözer. Parolanın anahtarı MD5 karma algoritması kullanılarak elde edilir.
temp.exe daha sonra ironman.exe işlemini çağırır.
Ironman.exe - üçüncü adım
Ironman.exe, iron.bmp dosyasının içeriğini okur ve daha sonra başlatılacak olan cryptolocker ile bir iron.txt dosyası oluşturur.
Bundan sonra virüs, iron.txt dosyasını belleğe yükler ve onu ironman.exe olarak yeniden başlatır. Bundan sonra iron.txt silinir.
ironman.exe, etkilenen bilgisayardaki dosyaları şifreleyen NEMTY fidye yazılımının ana parçasıdır. Kötü amaçlı yazılım, nefret adı verilen bir muteks yaratır.
Yaptığı ilk şey bilgisayarın coğrafi konumunu belirlemektir. Nemty tarayıcıyı açar ve IP'yi bulur. . Sitede [IP]/countryName Ülke, alınan IP'ye göre belirlenir ve bilgisayar aşağıda listelenen bölgelerden birinde bulunuyorsa, kötü amaçlı yazılım kodunun yürütülmesi durdurulur:
- Rusya
- Beyaz Rusya
- Ukrayna
- kazakistan
- Tacikistan
Büyük olasılıkla, geliştiriciler ikamet ettikleri ülkelerdeki kolluk kuvvetlerinin dikkatini çekmek istemiyorlar ve bu nedenle "kendi" yetki alanlarındaki dosyaları şifrelemezler.
Kurbanın IP adresi yukarıdaki listeye ait değilse virüs kullanıcının bilgilerini şifreler.
Dosya kurtarmayı önlemek için gölge kopyaları silinir:
Daha sonra şifrelenmeyecek dosya ve klasörlerin bir listesinin yanı sıra dosya uzantılarının bir listesini oluşturur.
- pencereler
- $ RECYCLE.BIN
- rsa
- NTDETECT.COM
- ntldr
- MSDOS.SYS
- IO.SYS
- boot.ini AUTOEXEC.BAT ntuser.dat
- Desktop.ini
- CONFIG.SYS
- BOOTSECT.BAK
- Bootmgr
- program verisi
- uygulama verisi
- osoft
- Ortak dosyalar
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY Şaşırtma
URL'leri ve gömülü yapılandırma verilerini gizlemek için Nemty, Fuckav anahtar sözcüğüyle birlikte base64 ve RC4 kodlama algoritmasını kullanır.
CryptStringToBinary kullanarak şifre çözme işlemi aşağıdaki gibidir
Шифрование
Nemty üç katmanlı şifreleme kullanır:
- Dosyalar için AES-128-CBC. 128 bit AES anahtarı rastgele oluşturulur ve tüm dosyalar için aynı şekilde kullanılır. Kullanıcının bilgisayarındaki bir yapılandırma dosyasında saklanır. IV, her dosya için rastgele oluşturulur ve şifrelenmiş bir dosyada saklanır.
- Dosya şifreleme için RSA-2048 IV. Oturum için bir anahtar çifti oluşturulur. Oturumun özel anahtarı, kullanıcının bilgisayarındaki bir yapılandırma dosyasında saklanır.
- RSA-8192. Ana genel anahtar programın içine yerleştirilmiştir ve RSA-2048 oturumu için AES anahtarını ve gizli anahtarını saklayan yapılandırma dosyasını şifrelemek için kullanılır.
- Nemty ilk önce 32 baytlık rastgele veri üretir. İlk 16 bayt AES-128-CBC anahtarı olarak kullanılır.
İkinci şifreleme algoritması RSA-2048'dir. Anahtar çifti CryptGenKey() işlevi tarafından oluşturulur ve CryptImportKey() işlevi tarafından içe aktarılır.
Oturumun anahtar çifti oluşturulduktan sonra genel anahtar, MS Şifreleme Hizmet Sağlayıcısına aktarılır.
Bir oturum için oluşturulan ortak anahtar örneği:
Daha sonra özel anahtar CSP'ye aktarılır.
Bir oturum için oluşturulan özel anahtar örneği:
Ve son olarak RSA-8192 geliyor. Ana ortak anahtar, PE dosyasının .data bölümünde şifrelenmiş biçimde (Base64 + RC4) saklanır.
Fuckav şifresi ile base8192 kod çözme ve RC64 şifre çözme işleminden sonra RSA-4 anahtarı şu şekilde görünüyor.
Sonuç olarak, tüm şifreleme süreci şöyle görünür:
- Tüm dosyaları şifrelemek için kullanılacak 128 bitlik bir AES anahtarı oluşturun.
- Her dosya için bir IV oluşturun.
- RSA-2048 oturumu için anahtar çifti oluşturma.
- Base8192 ve RC64 kullanılarak mevcut bir RSA-4 anahtarının şifresinin çözülmesi.
- İlk adımdan itibaren AES-128-CBC algoritmasını kullanarak dosya içeriğini şifreleyin.
- RSA-2048 genel anahtarı ve base64 kodlamasını kullanan IV şifrelemesi.
- Her şifrelenmiş dosyanın sonuna şifrelenmiş bir IV eklemek.
- Yapılandırmaya bir AES anahtarı ve RSA-2048 oturumu özel anahtarı ekleme.
- Bölümde açıklanan yapılandırma verileri Virüs bulaşan bilgisayarla ilgili bilgiler, RSA-8192 ana ortak anahtarı kullanılarak şifrelenir.
- Şifrelenmiş dosya şuna benzer:
Şifrelenmiş dosyalara örnek:
Etkilenen bilgisayar hakkında bilgi toplama
Fidye yazılımı, virüslü dosyaların şifresini çözmek için anahtarlar toplar, böylece saldırgan gerçekten bir şifre çözücü oluşturabilir. Ayrıca Nemty, kullanıcı adı, bilgisayar adı, donanım profili gibi kullanıcı verilerini de toplar.
Etkilenen bilgisayarın sürücüleri hakkında bilgi toplamak için GetLogicalDrives(), GetFreeSpace(), GetDriveType() işlevlerini çağırır.
Toplanan bilgiler bir yapılandırma dosyasında saklanır. Dizenin kodunu çözdükten sonra yapılandırma dosyasındaki parametrelerin bir listesini alırız:
Virüs bulaşmış bir bilgisayarın örnek yapılandırması:
Yapılandırma şablonu aşağıdaki gibi temsil edilebilir:
{"Genel": {"IP":"[IP]", "Ülke":"[Ülke]", "BilgisayarAdı":"[BilgisayarAdı]", "Kullanıcı Adı":"[Kullanıcı Adı]", "İşletim Sistemi": "[OS]", "isRU":false, "version":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[FileID]_", "UserID":"[ Kullanıcı Kimliği]", "anahtar":"[anahtar]", "pr_key":"[pr_key]
Nemty, toplanan verileri JSON formatında %USER%/_NEMTY_.nemty dosyasında saklar. Dosya Kimliği 7 karakter uzunluğundadır ve rastgele oluşturulur. Örneğin: _NEMTY_tgdLYrd_.nemty. Dosya Kimliği ayrıca şifrelenmiş dosyanın sonuna da eklenir.
Fidye mesajı
Dosyaları şifreledikten sonra, masaüstünde aşağıdaki içeriğe sahip _NEMTY_[FileID]-DECRYPT.txt dosyası görünür:
Dosyanın sonunda virüs bulaşan bilgisayar hakkında şifrelenmiş bilgiler bulunur.
Ağ iletişimi
Ironman.exe işlemi Tor tarayıcı dağıtımını adresten indirir. ve onu yüklemeye çalışır.
Nemty daha sonra yapılandırma verilerini 127.0.0.1:9050'ye göndermeye çalışır ve burada çalışan bir Tor tarayıcı proxy'si bulmayı bekler. Ancak, varsayılan olarak Tor proxy'si 9150 numaralı bağlantı noktasını dinler ve 9050 numaralı bağlantı noktası, Linux'ta Tor arka plan programı veya Windows'ta Expert Bundle tarafından kullanılır. Böylece saldırganın sunucusuna herhangi bir veri gönderilmez. Bunun yerine kullanıcı, fidye mesajında sağlanan bağlantı aracılığıyla Tor şifre çözme hizmetini ziyaret ederek yapılandırma dosyasını manuel olarak indirebilir.
Tor proxy'ye bağlanma:
HTTP GET, 127.0.0.1:9050/public/gate?data= adresine bir istek oluşturur
Burada TORlocal proxy'si tarafından kullanılan açık TCP bağlantı noktalarını görebilirsiniz:
Tor ağında Nemty şifre çözme hizmeti:
Şifre çözme hizmetini test etmek için şifrelenmiş bir fotoğraf (jpg, png, bmp) yükleyebilirsiniz.
Bundan sonra saldırgan fidye ödemeyi ister. Ödeme yapılmaması durumunda fiyat iki katına çıkarılır.
Sonuç
Şu anda Nemty tarafından şifrelenen dosyaların fidye ödemeden şifresini çözmek mümkün değil. Fidye yazılımının bu sürümü, Buran fidye yazılımı ve eski GandCrab ile ortak özelliklere sahiptir: Borland Delphi'de derleme ve aynı metni içeren resimler. Ayrıca bu, 8092 bitlik bir RSA anahtarı kullanan ilk şifreleyicidir ve 1024 bitlik bir anahtar koruma için yeterli olduğundan bu da yine bir anlam ifade etmez. Son olarak ve ilginç bir şekilde, yerel Tor proxy hizmeti için yanlış bağlantı noktasını kullanmaya çalışıyor.
Ancak çözümler и Nemty fidye yazılımının kullanıcı bilgisayarlarına ve verilerine ulaşmasını önleyin ve sağlayıcılar müşterilerini şu şekilde koruyabilir: . Tam dolu kullanarak yalnızca yedekleme değil aynı zamanda koruma da sağlar Henüz bilinmeyen kötü amaçlı yazılımları etkisiz hale getirmenize olanak tanıyan, yapay zeka ve davranışsal buluşsal yöntemlere dayanan özel bir teknoloji.
Kaynak: habr.com