نیٹ ورک پر Nemty نامی ایک نیا ransomware نمودار ہوا ہے، جو سمجھا جاتا ہے کہ GrandCrab یا Buran کا جانشین ہے۔ میلویئر بنیادی طور پر جعلی پے پال ویب سائٹ سے تقسیم کیا جاتا ہے اور اس میں متعدد دلچسپ خصوصیات ہیں۔ یہ رینسم ویئر کیسے کام کرتا ہے اس کے بارے میں تفصیلات کٹ کے نیچے ہیں۔
نیا Nemty ransomware صارف نے دریافت کیا۔ 7 ستمبر 2019۔ میلویئر ایک ویب سائٹ کے ذریعے تقسیم کیا گیا تھا۔ رینسم ویئر کے لیے RIG ایکسپلوٹ کٹ کے ذریعے کمپیوٹر میں گھسنا بھی ممکن ہے۔ حملہ آوروں نے سوشل انجینئرنگ کے طریقوں کا استعمال کرتے ہوئے صارف کو cashback.exe فائل چلانے پر مجبور کیا، جو اس نے مبینہ طور پر پے پال ویب سائٹ سے حاصل کی تھی۔ سرور کو ڈیٹا. لہذا، اگر صارف تاوان ادا کرنے کا ارادہ رکھتا ہے اور حملہ آوروں سے ڈکرپشن کا انتظار کرتا ہے تو اسے خود ہی ٹور نیٹ ورک پر انکرپٹڈ فائلیں اپ لوڈ کرنی ہوں گی۔
نیمٹی کے بارے میں کئی دلچسپ حقائق بتاتے ہیں کہ اسے انہی لوگوں نے یا بران اور گرینڈ کریب سے وابستہ سائبر جرائم پیشہ افراد نے تیار کیا تھا۔
- GandCrab کی طرح، Nemty کے پاس بھی ایسٹر کا انڈا ہے - ایک فحش مذاق کے ساتھ روسی صدر ولادیمیر پوتن کی تصویر کا لنک۔ لیگیسی GandCrab ransomware میں اسی متن کے ساتھ ایک تصویر تھی۔
- دونوں پروگراموں کے زبانی نمونے ایک ہی روسی بولنے والے مصنفین کی طرف اشارہ کرتے ہیں۔
- یہ 8092 بٹ RSA کلید استعمال کرنے والا پہلا ransomware ہے۔ اگرچہ اس میں کوئی فائدہ نہیں ہے: ایک 1024 بٹ کلید ہیکنگ سے بچانے کے لیے کافی ہے۔
- بران کی طرح، رینسم ویئر آبجیکٹ پاسکل میں لکھا گیا ہے اور بورلینڈ ڈیلفی میں مرتب کیا گیا ہے۔
جامد تجزیہ
بدنیتی پر مبنی کوڈ کا نفاذ چار مراحل میں ہوتا ہے۔ پہلا مرحلہ 32 بائٹس کے سائز کے ساتھ MS Windows کے تحت ایک PE1198936 قابل عمل فائل cashback.exe کو چلانا ہے۔ اس کا کوڈ Visual C++ میں لکھا گیا تھا اور 14 اکتوبر 2013 کو مرتب کیا گیا تھا۔ اس میں ایک آرکائیو ہوتا ہے جو آپ cashback.exe چلاتے وقت خود بخود پیک ہو جاتا ہے۔ یہ سافٹ ویئر Cabinet.dll لائبریری اور اس کے افعال FDICreate(), FDIDestroy() اور دیگر کو .cab آرکائیو سے فائلیں حاصل کرنے کے لیے استعمال کرتا ہے۔
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
آرکائیو کو کھولنے کے بعد، تین فائلیں ظاہر ہوں گی۔
اس کے بعد، temp.exe لانچ کیا گیا، 32 بائٹس کے سائز کے ساتھ MS Windows کے تحت ایک PE307200 قابل عمل فائل۔ کوڈ بصری C++ میں لکھا گیا ہے اور MPRESS پیکر کے ساتھ پیک کیا گیا ہے، جو UPX جیسا پیکر ہے۔
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
اگلا مرحلہ ironman.exe ہے۔ ایک بار لانچ ہونے کے بعد، temp.exe ایمبیڈڈ ڈیٹا کو عارضی طور پر ڈیکرپٹ کرتا ہے اور اسے ironman.exe کا نام دے دیتا ہے، ایک 32 بائٹ PE544768 قابل عمل فائل۔ کوڈ بورلینڈ ڈیلفی میں مرتب کیا گیا ہے۔
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
آخری مرحلہ ironman.exe فائل کو دوبارہ شروع کرنا ہے۔ رن ٹائم پر، یہ اپنے کوڈ کو تبدیل کرتا ہے اور خود کو میموری سے چلاتا ہے۔ ironman.exe کا یہ ورژن بدنیتی پر مبنی ہے اور خفیہ کاری کے لیے ذمہ دار ہے۔
حملہ ویکٹر
فی الحال، Nemty ransomware ویب سائٹ pp-back.info کے ذریعے تقسیم کیا جاتا ہے۔
انفیکشن کی مکمل زنجیر کو دیکھا جا سکتا ہے۔ سینڈ باکس
تنصیب
Cashback.exe - حملے کا آغاز۔ جیسا کہ پہلے ہی ذکر کیا گیا ہے، cashback.exe اس میں موجود .cab فائل کو کھولتا ہے۔ اس کے بعد یہ %TEMP%IXxxx.TMP فارم کا TMP4351$.TMP فولڈر بناتا ہے، جہاں xxx 001 سے 999 تک کا نمبر ہے۔
اگلا، ایک رجسٹری کلید انسٹال ہے، جو اس طرح نظر آتی ہے:
"rundll32.exe" "C:Windowssystem32advpack.dll,DelNodeRunDLL32"C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP""
یہ غیر پیک شدہ فائلوں کو حذف کرنے کے لیے استعمال ہوتا ہے۔ آخر میں، cashback.exe temp.exe عمل شروع کرتا ہے۔
Temp.exe انفیکشن چین کا دوسرا مرحلہ ہے۔
یہ وہ عمل ہے جو cashback.exe فائل کے ذریعے شروع کیا گیا ہے، جو وائرس پر عمل درآمد کا دوسرا مرحلہ ہے۔ یہ AutoHotKey کو ڈاؤن لوڈ کرنے کی کوشش کرتا ہے، جو ونڈوز پر اسکرپٹ چلانے کے لیے ایک ٹول ہے، اور PE فائل کے وسائل کے حصے میں واقع WindowSpy.ahk اسکرپٹ کو چلانے کی کوشش کرتا ہے۔
WindowSpy.ahk اسکرپٹ RC4 الگورتھم اور پاس ورڈ IwantAcake کا استعمال کرتے ہوئے ironman.exe میں عارضی فائل کو ڈیکرپٹ کرتا ہے۔ پاس ورڈ سے کلید MD5 ہیشنگ الگورتھم کا استعمال کرتے ہوئے حاصل کی جاتی ہے۔
temp.exe پھر ironman.exe عمل کو کال کرتا ہے۔
Ironman.exe - تیسرا مرحلہ
Ironman.exe iron.bmp فائل کے مندرجات کو پڑھتا ہے اور ایک cryptolocker کے ساتھ iron.txt فائل بناتا ہے جسے اگلا لانچ کیا جائے گا۔
اس کے بعد وائرس iron.txt کو میموری میں لوڈ کرتا ہے اور اسے ironman.exe کے طور پر دوبارہ شروع کرتا ہے۔ اس کے بعد iron.txt کو ڈیلیٹ کر دیا جاتا ہے۔
ironman.exe NEMTY ransomware کا اہم حصہ ہے، جو متاثرہ کمپیوٹر پر فائلوں کو انکرپٹ کرتا ہے۔ میلویئر نفرت نامی ایک میوٹیکس بناتا ہے۔
یہ سب سے پہلی چیز کمپیوٹر کے جغرافیائی محل وقوع کا تعین کرتا ہے۔ Nemty براؤزر کھولتا ہے اور آئی پی کو آن کرتا ہے۔ . جگہ پر [IP]/countryName ملک کا تعین موصولہ IP سے کیا جاتا ہے، اور اگر کمپیوٹر نیچے دیے گئے خطوں میں سے کسی ایک میں واقع ہے، تو میلویئر کوڈ کا نفاذ رک جاتا ہے:
- روس
- Byelorussia
- یوکرائن
- قازقستان
- تاجکستان
زیادہ تر امکان ہے کہ، ڈویلپرز اپنے رہائشی ممالک میں قانون نافذ کرنے والے اداروں کی توجہ اپنی طرف مبذول نہیں کرنا چاہتے، اور اس وجہ سے اپنے "گھر" کے دائرہ اختیار میں فائلوں کو خفیہ نہیں کرتے۔
اگر متاثرہ شخص کا آئی پی ایڈریس اوپر دی گئی فہرست میں شامل نہیں ہے، تو وائرس صارف کی معلومات کو خفیہ کرتا ہے۔
فائل ریکوری کو روکنے کے لیے، ان کی شیڈو کاپیاں حذف کر دی جاتی ہیں:
اس کے بعد یہ فائلوں اور فولڈرز کی ایک فہرست بناتا ہے جن کو خفیہ نہیں کیا جائے گا، ساتھ ہی فائل ایکسٹینشن کی فہرست بھی۔
- کھڑکیاں
- $RECYCLE.BIN
- RSA
- NTDETECT.COM
- این ٹی ایل ڈی آر
- MSDOS.SYS
- IO.SYS
- boot.ini AUTOEXEC.BAT ntuser.dat
- desktop.ini
- SYS کنفگ۔
- BOOTSECT.BAK
- بوٹ ایم جی آر
- پروگرام ڈیٹا
- ایپ ڈیٹا
- osoft
- عام فائلیں۔
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY الجھن
URLs اور ایمبیڈڈ کنفیگریشن ڈیٹا کو چھپانے کے لیے، Nemty fuckav کلیدی لفظ کے ساتھ ایک base64 اور RC4 انکوڈنگ الگورتھم استعمال کرتا ہے۔
CryptStringToBinary کا استعمال کرتے ہوئے ڈکرپشن کا عمل درج ذیل ہے۔
خفیہ کاری۔
Nemty تین پرتوں کی خفیہ کاری کا استعمال کرتا ہے:
- فائلوں کے لیے AES-128-CBC۔ 128 بٹ AES کلید تصادفی طور پر تیار کی جاتی ہے اور تمام فائلوں کے لیے یکساں استعمال ہوتی ہے۔ یہ صارف کے کمپیوٹر پر کنفیگریشن فائل میں محفوظ ہے۔ IV ہر فائل کے لیے تصادفی طور پر تیار کیا جاتا ہے اور ایک انکرپٹڈ فائل میں محفوظ کیا جاتا ہے۔
- فائل کی خفیہ کاری IV کے لیے RSA-2048۔ سیشن کے لیے ایک کلیدی جوڑا تیار کیا جاتا ہے۔ سیشن کے لیے نجی کلید صارف کے کمپیوٹر پر کنفیگریشن فائل میں محفوظ ہوتی ہے۔
- RSA-8192. ماسٹر پبلک کی کو پروگرام میں بنایا گیا ہے اور اسے کنفیگریشن فائل کو انکرپٹ کرنے کے لیے استعمال کیا جاتا ہے، جو RSA-2048 سیشن کے لیے AES کلید اور خفیہ کلید کو اسٹور کرتی ہے۔
- Nemty پہلے بے ترتیب ڈیٹا کے 32 بائٹس تیار کرتا ہے۔ پہلے 16 بائٹس AES-128-CBC کلید کے طور پر استعمال ہوتے ہیں۔
دوسرا انکرپشن الگورتھم RSA-2048 ہے۔ کلیدی جوڑا CryptGenKey() فنکشن کے ذریعہ تیار کیا جاتا ہے اور CryptImportKey() فنکشن کے ذریعہ درآمد کیا جاتا ہے۔
سیشن کے لیے کلیدی جوڑا تیار ہونے کے بعد، عوامی کلید ایم ایس کریپٹوگرافک سروس پرووائیڈر میں درآمد کی جاتی ہے۔
سیشن کے لیے پیدا کردہ عوامی کلید کی ایک مثال:
اگلا، نجی کلید CSP میں درآمد کی جاتی ہے۔
سیشن کے لیے تیار کردہ نجی کلید کی ایک مثال:
اور آخری آتا ہے RSA-8192۔ مرکزی عوامی کلید PE فائل کے ڈیٹا سیکشن میں انکرپٹڈ شکل (Base64 + RC4) میں محفوظ کی جاتی ہے۔
بیس 8192 ڈی کوڈنگ کے بعد RSA-64 کلید اور fuckav پاس ورڈ کے ساتھ RC4 ڈکرپشن اس طرح نظر آتی ہے۔
نتیجے کے طور پر، مکمل خفیہ کاری کا عمل اس طرح نظر آتا ہے:
- ایک 128 بٹ AES کلید بنائیں جو تمام فائلوں کو خفیہ کرنے کے لیے استعمال کی جائے گی۔
- ہر فائل کے لیے ایک IV بنائیں۔
- RSA-2048 سیشن کے لیے کلیدی جوڑا بنانا۔
- base8192 اور RC64 کا استعمال کرتے ہوئے موجودہ RSA-4 کلید کی ڈکرپشن۔
- پہلے مرحلے سے AES-128-CBC الگورتھم کا استعمال کرتے ہوئے فائل کے مواد کو خفیہ کریں۔
- RSA-2048 عوامی کلید اور base64 انکوڈنگ کا استعمال کرتے ہوئے IV انکرپشن۔
- ہر انکرپٹڈ فائل کے آخر میں ایک انکرپٹڈ IV شامل کرنا۔
- ترتیب میں AES کلید اور RSA-2048 سیشن کی نجی کلید شامل کرنا۔
- سیکشن میں بیان کردہ کنفیگریشن ڈیٹا متاثرہ کمپیوٹر کے بارے میں مرکزی عوامی کلید RSA-8192 کا استعمال کرتے ہوئے انکرپٹ کیا جاتا ہے۔
- خفیہ کردہ فائل اس طرح نظر آتی ہے:
انکرپٹڈ فائلوں کی مثال:
متاثرہ کمپیوٹر کے بارے میں معلومات جمع کرنا
رینسم ویئر متاثرہ فائلوں کو ڈکرپٹ کرنے کے لیے چابیاں جمع کرتا ہے، اس لیے حملہ آور درحقیقت ایک ڈیکرپٹر بنا سکتا ہے۔ اس کے علاوہ، Nemty صارف کا ڈیٹا اکٹھا کرتا ہے جیسے صارف کا نام، کمپیوٹر کا نام، ہارڈویئر پروفائل۔
یہ متاثرہ کمپیوٹر کی ڈرائیوز کے بارے میں معلومات اکٹھا کرنے کے لیے GetLogicalDrives(), GetFreeSpace(), GetDriveType() فنکشنز کو کال کرتا ہے۔
جمع کردہ معلومات کو کنفیگریشن فائل میں محفوظ کیا جاتا ہے۔ سٹرنگ کو ڈی کوڈ کرنے کے بعد، ہمیں کنفیگریشن فائل میں پیرامیٹرز کی فہرست ملتی ہے:
متاثرہ کمپیوٹر کی ترتیب کی مثال:
کنفیگریشن ٹیمپلیٹ کو اس طرح پیش کیا جا سکتا ہے:
{"جنرل": {"IP":"[IP]", "Country":"[Country]", "ComputerName":"[ComputerName]", "Username":"[Username]", "OS": "[OS]", "isRU":false, "version":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[FileID]_", "UserID":"[ UserID]", "key":"[key]", "pr_key":"[pr_key]
Nemty جمع کردہ ڈیٹا کو JSON فارمیٹ میں فائل %USER%/_NEMTY_.nemty میں اسٹور کرتا ہے۔ فائل آئی ڈی 7 حروف لمبی اور تصادفی طور پر تیار کی گئی ہے۔ مثال کے طور پر: _NEMTY_tgdLYrd_.nemty۔ فائل آئی ڈی کو انکرپٹڈ فائل کے آخر میں بھی شامل کیا جاتا ہے۔
تاوان کا پیغام
فائلوں کو انکرپٹ کرنے کے بعد، فائل _NEMTY_[FileID]-DECRYPT.txt ڈیسک ٹاپ پر درج ذیل مواد کے ساتھ ظاہر ہوتی ہے۔
فائل کے آخر میں متاثرہ کمپیوٹر کے بارے میں خفیہ معلومات موجود ہیں۔
نیٹ ورک مواصلات
ironman.exe عمل ایڈریس سے Tor براؤزر کی تقسیم کو ڈاؤن لوڈ کرتا ہے۔ اور اسے انسٹال کرنے کی کوشش کرتا ہے۔
Nemty پھر 127.0.0.1:9050 پر کنفیگریشن ڈیٹا بھیجنے کی کوشش کرتا ہے، جہاں اسے کام کرنے والا Tor براؤزر پراکسی ملنے کی توقع ہے۔ تاہم، پہلے سے طے شدہ طور پر ٹور پراکسی پورٹ 9150 پر سنتا ہے، اور پورٹ 9050 لینکس پر ٹور ڈیمون یا ونڈوز پر ایکسپرٹ بنڈل کے ذریعے استعمال کیا جاتا ہے۔ اس طرح حملہ آور کے سرور کو کوئی ڈیٹا نہیں بھیجا جاتا ہے۔ اس کے بجائے، صارف تاوان کے پیغام میں فراہم کردہ لنک کے ذریعے ٹور ڈکرپشن سروس پر جا کر کنفیگریشن فائل کو دستی طور پر ڈاؤن لوڈ کر سکتا ہے۔
ٹور پراکسی سے جڑ رہا ہے:
HTTP GET 127.0.0.1:9050/public/gate?data= پر ایک درخواست تیار کرتا ہے
یہاں آپ کھلی TCP بندرگاہیں دیکھ سکتے ہیں جو TORlocal پراکسی کے ذریعے استعمال ہوتی ہیں:
ٹور نیٹ ورک پر نیمٹی ڈکرپشن سروس:
آپ ڈکرپشن سروس کو جانچنے کے لیے ایک خفیہ تصویر (jpg, png, bmp) اپ لوڈ کر سکتے ہیں۔
اس کے بعد حملہ آور تاوان ادا کرنے کو کہتا ہے۔ عدم ادائیگی کی صورت میں قیمت دگنی کردی جاتی ہے۔
حاصل يہ ہوا
اس وقت، Nemty کے ذریعے خفیہ کردہ فائلوں کو تاوان کی ادائیگی کے بغیر ڈیکرپٹ کرنا ممکن نہیں ہے۔ ransomware کے اس ورژن میں Buran ransomware اور فرسودہ GandCrab کے ساتھ مشترکہ خصوصیات ہیں: Borland Delphi میں تالیف اور اسی متن کے ساتھ تصاویر۔ اس کے علاوہ، یہ پہلا انکرپٹر ہے جو 8092-بٹ RSA کلید استعمال کرتا ہے، جس کا دوبارہ، کوئی مطلب نہیں، کیونکہ تحفظ کے لیے 1024-بٹ کلید کافی ہے۔ آخر میں، اور دلچسپ بات یہ ہے کہ یہ مقامی ٹور پراکسی سروس کے لیے غلط پورٹ استعمال کرنے کی کوشش کرتا ہے۔
تاہم، حل и Nemty ransomware کو صارف کے پی سی اور ڈیٹا تک پہنچنے سے روکیں، اور فراہم کنندگان اپنے کلائنٹس کی حفاظت کر سکتے ہیں۔ . مکمل نہ صرف بیک اپ فراہم کرتا ہے بلکہ اس کا استعمال کرتے ہوئے تحفظ بھی فراہم کرتا ہے۔ , مصنوعی ذہانت اور طرز عمل کی تحقیق پر مبنی ایک خاص ٹیکنالوجی جو آپ کو ابھی تک نامعلوم مالویئر کو بے اثر کرنے کی اجازت دیتی ہے۔
ماخذ: www.habr.com