Tarmoqda GrandCrab yoki Buranning vorisi bo'lgan Nemty nomli yangi to'lov dasturi paydo bo'ldi. Zararli dastur asosan soxta PayPal veb-saytidan tarqatiladi va bir qator qiziqarli xususiyatlarga ega. Ushbu to'lov dasturi qanday ishlashi haqida tafsilotlar kesilgan.
Yangi Nemty to'lov dasturi foydalanuvchi tomonidan topildi 7 yil 2019 sentyabr. Zararli dastur veb-sayt orqali tarqatilgan , shuningdek, ransomware RIG ekspluatatsiya to'plami orqali kompyuterga kirishi mumkin. Hujumchilar ijtimoiy muhandislik usullaridan foydalanib, foydalanuvchini PayPal veb-saytidan olgan go'yo cashback.exe faylini ishga tushirishga majbur qilishgan.Bundan tashqari, Nemti mahalliy Tor proksi-servisi uchun noto'g'ri portni ko'rsatgani qiziq, bu zararli dasturni yuborishning oldini oladi. serverga ma'lumotlar. Shu sababli, foydalanuvchi to'lovni to'lamoqchi bo'lsa va tajovuzkorlardan shifrni ochishni kutmoqchi bo'lsa, shifrlangan fayllarni Tor tarmog'iga o'zi yuklashi kerak bo'ladi.
Nemti haqidagi bir nechta qiziqarli faktlar uni bir xil odamlar yoki Buran va GrandCrab bilan bog'liq kiberjinoyatchilar tomonidan ishlab chiqilganligini ko'rsatadi.
- GandCrab singari Nemtida ham Pasxa tuxumi bor - bu Rossiya prezidenti Vladimir Putinning odobsiz hazil bilan tushgan suratiga havola. Eski GandCrab ransomware dasturi xuddi shu matnga ega bo'lgan rasmga ega edi.
- Ikkala dasturning til artefaktlari bir xil rusiyzabon mualliflarga ishora qiladi.
- Bu 8092 bitli RSA kalitidan foydalangan birinchi to'lov dasturi. Garchi buning hech qanday ma'nosi yo'q: 1024 bitli kalit xakerlikdan himoya qilish uchun etarli.
- Buran singari, to'lov dasturi Object Pascal-da yozilgan va Borland Delphi-da tuzilgan.
Statik tahlil
Zararli kodning bajarilishi to'rt bosqichda sodir bo'ladi. Birinchi qadam 32 bayt hajmli MS Windows ostida PE1198936 bajariladigan fayl cashback.exe ni ishga tushirishdir. Uning kodi Visual C++ da yozilgan va 14 yil 2013 oktyabrda tuzilgan. Unda cashback.exe faylini ishga tushirganingizda avtomatik ravishda ochiladigan arxiv mavjud. Dastur .cab arxividan fayllarni olish uchun Cabinet.dll kutubxonasidan va uning FDICreate(), FDIDestroy() va boshqalar funksiyalaridan foydalanadi.
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
Arxivni ochgandan so'ng uchta fayl paydo bo'ladi.
Keyin temp.exe ishga tushiriladi, MS Windows ostida 32 bayt o'lchamli PE307200 bajariladigan fayl. Kod Visual C++ da yozilgan va UPX ga o'xshash paketlovchi MPRESS paketi bilan paketlangan.
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
Keyingi qadam - bu ironman.exe. Ishga tushgandan so'ng, temp.exe o'rnatilgan ma'lumotlarni tempda shifrlaydi va uni 32 baytli PE544768 bajariladigan fayli ironman.exe deb o'zgartiradi. Kod Borland Delphida tuzilgan.
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
Oxirgi qadam, ironman.exe faylini qayta ishga tushirishdir. Ishlash vaqtida u o'z kodini o'zgartiradi va o'zini xotiradan boshqaradi. Ushbu ironman.exe versiyasi zararli va shifrlash uchun javobgardir.
Hujum vektori
Hozirda Nemty ransomware pp-back.info sayti orqali tarqatilmoqda.
INFEKTSIONning to'liq zanjiri bo'yicha ko'rish mumkin qum qutisi
sozlama
Cashback.exe - hujumning boshlanishi. Yuqorida aytib o'tilganidek, cashback.exe o'z ichiga olgan .cab faylini ochadi. Keyin %TEMP%IXxxx.TMP ko'rinishidagi TMP4351$.TMP papkasini yaratadi, bu erda xxx 001 dan 999 gacha bo'lgan raqamdir.
Keyinchalik, ro'yxatga olish kitobi kaliti o'rnatiladi, u quyidagicha ko'rinadi:
“rundll32.exe” “C:Windowssystem32advpack.dll,DelNodeRunDLL32 “C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP””
Ochilmagan fayllarni o'chirish uchun ishlatiladi. Nihoyat, cashback.exe temp.exe jarayonini boshlaydi.
Temp.exe infektsiya zanjirining ikkinchi bosqichidir
Bu cashback.exe fayli tomonidan ishga tushirilgan jarayon, virusni ishga tushirishning ikkinchi bosqichi. U Windows-da skriptlarni ishga tushirish vositasi bo'lgan AutoHotKey-ni yuklab olishga va PE faylining resurslar bo'limida joylashgan WindowSpy.ahk skriptini ishga tushirishga harakat qiladi.
WindowSpy.ahk skripti RC4 algoritmi va IwantAcake parolidan foydalangan holda ironman.exe-dagi vaqtinchalik faylni parolini hal qiladi. Paroldan kalit MD5 xesh algoritmi yordamida olinadi.
temp.exe keyin ironman.exe jarayonini chaqiradi.
Ironman.exe - uchinchi qadam
Ironman.exe temir.bmp faylining mazmunini o'qiydi va keyingi ishga tushiriladigan kriptoloker bilan iron.txt faylini yaratadi.
Shundan so'ng, virus xotiraga iron.txt yuklaydi va uni ironman.exe sifatida qayta ishga tushiradi. Shundan so'ng, iron.txt o'chiriladi.
ironman.exe NEMTY to'lov dasturining asosiy qismi bo'lib, zararlangan kompyuterdagi fayllarni shifrlaydi. Zararli dastur nafrat deb nomlangan mutexni yaratadi.
U qiladigan birinchi narsa kompyuterning geografik joylashuvini aniqlashdir. Nemty brauzerni ochadi va IP manzilini topadi . Saytda [IP]/mamlakat nomi Qabul qilingan IP-dan mamlakat aniqlanadi va agar kompyuter quyida sanab o'tilgan hududlardan birida joylashgan bo'lsa, zararli dastur kodining bajarilishi to'xtatiladi:
- Rossiya
- Belarus
- Ukraina
- Qozog'iston
- Tojikiston
Ehtimol, ishlab chiquvchilar o'zlarining yashash mamlakatlaridagi huquq-tartibot idoralarining e'tiborini jalb qilishni xohlamaydilar va shuning uchun o'zlarining "uy" yurisdiktsiyalaridagi fayllarni shifrlamaydilar.
Agar jabrlanuvchining IP-manzili yuqoridagi ro'yxatga tegishli bo'lmasa, u holda virus foydalanuvchi ma'lumotlarini shifrlaydi.
Fayllarni qayta tiklashni oldini olish uchun ularning soyali nusxalari o'chiriladi:
Keyin u shifrlanmaydigan fayl va papkalar ro'yxatini, shuningdek, fayl kengaytmalari ro'yxatini yaratadi.
- windows
- $RECYCLE.BIN
- rsa
- NTDETECT.COM
- va boshqalar
- MSDOS.SYS
- IO.SYS
- boot.ini AUTOEXEC.BAT ntuser.dat
- desktop.ini
- SYS CONFIG.
- BOOTSECT.BAK
- bootmgr
- dastur ma'lumotlari
- dasturlar ma'lumoti
- osoft
- Umumiy fayllar
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY Xiralashish
URL manzillari va oʻrnatilgan konfiguratsiya maʼlumotlarini yashirish uchun Nemty fuckav kalit soʻzi bilan base64 va RC4 kodlash algoritmidan foydalanadi.
CryptStringToBinary yordamida shifrni ochish jarayoni quyidagicha
Shifrlash
Nemty uch qavatli shifrlashdan foydalanadi:
- Fayllar uchun AES-128-CBC. 128-bitli AES kaliti tasodifiy yaratilgan va barcha fayllar uchun bir xil ishlatiladi. U foydalanuvchi kompyuteridagi konfiguratsiya faylida saqlanadi. IV har bir fayl uchun tasodifiy yaratiladi va shifrlangan faylda saqlanadi.
- Fayllarni shifrlash uchun RSA-2048 IV. Seans uchun kalitlar juftligi yaratiladi. Seans uchun shaxsiy kalit foydalanuvchi kompyuteridagi konfiguratsiya faylida saqlanadi.
- RSA-8192. Asosiy ochiq kalit dasturga o'rnatilgan va RSA-2048 sessiyasi uchun AES kaliti va maxfiy kalitni saqlaydigan konfiguratsiya faylini shifrlash uchun ishlatiladi.
- Nemty birinchi navbatda 32 bayt tasodifiy ma'lumotlarni ishlab chiqaradi. Birinchi 16 bayt AES-128-CBC kaliti sifatida ishlatiladi.
Ikkinchi shifrlash algoritmi RSA-2048. Kalitlar juftligi CryptGenKey() funksiyasi tomonidan ishlab chiqariladi va CryptImportKey() funksiyasi tomonidan import qilinadi.
Seans uchun kalitlar juftligi yaratilgandan so'ng, ochiq kalit MS Kriptografik xizmat ko'rsatuvchi provayderga import qilinadi.
Seans uchun yaratilgan ochiq kalitga misol:
Keyinchalik, shaxsiy kalit CSP ga import qilinadi.
Seans uchun yaratilgan shaxsiy kalitga misol:
Va oxirgi marta RSA-8192 keladi. Asosiy ochiq kalit shifrlangan shaklda (Base64 + RC4) PE faylining .data qismida saqlanadi.
RSA-8192 kaliti base64 dekodlash va RC4 parolini dekodlashdan keyin shunday ko'rinadi.
Natijada, butun shifrlash jarayoni quyidagicha ko'rinadi:
- Barcha fayllarni shifrlash uchun ishlatiladigan 128 bitli AES kalitini yarating.
- Har bir fayl uchun IV yarating.
- RSA-2048 sessiyasi uchun kalit juftligini yaratish.
- Base8192 va RC64 yordamida mavjud RSA-4 kalitining shifrini ochish.
- Birinchi bosqichdan boshlab AES-128-CBC algoritmidan foydalanib fayl tarkibini shifrlang.
- RSA-2048 ochiq kalit va base64 kodlash yordamida IV shifrlash.
- Har bir shifrlangan faylning oxiriga shifrlangan IV qo'shish.
- Konfiguratsiyaga AES kaliti va RSA-2048 seans shaxsiy kalitini qo'shish.
- Bo'limda tasvirlangan konfiguratsiya ma'lumotlari virusli kompyuter haqida RSA-8192 asosiy ochiq kaliti yordamida shifrlangan.
- Shifrlangan fayl quyidagicha ko'rinadi:
Shifrlangan fayllarga misol:
Infektsiyalangan kompyuter haqida ma'lumot to'plash
Ransomware virusli fayllar shifrini ochish uchun kalitlarni to'playdi, shuning uchun tajovuzkor aslida shifrlovchini yaratishi mumkin. Bundan tashqari, Nemty foydalanuvchi nomi, kompyuter nomi, apparat profili kabi foydalanuvchi ma'lumotlarini to'playdi.
U zararlangan kompyuterning drayverlari haqida ma'lumot to'plash uchun GetLogicalDrives(), GetFreeSpace(), GetDriveType() funksiyalarini chaqiradi.
Yig'ilgan ma'lumotlar konfiguratsiya faylida saqlanadi. Satrni dekodlab, biz konfiguratsiya faylidagi parametrlar ro'yxatini olamiz:
Infektsiyalangan kompyuterning konfiguratsiyasiga misol:
Konfiguratsiya shablonini quyidagicha ifodalash mumkin:
{"Umumiy": {"IP":"[IP]", "Mamlakat":"[Mamlakat]", "Kompyuter nomi":"[Kompyuter nomi]", "Foydalanuvchi nomi":"[Foydalanuvchi nomi]", "OS": "[OS]", "isRU":false, "versiya":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[FileID]_", "UserID":"[ UserID]", "kalit":"[kalit]", "pr_key":"[pr_key]
Nemty to'plangan ma'lumotlarni JSON formatida %USER%/_NEMTY_.nemty faylida saqlaydi. FileID 7 ta belgidan iborat va tasodifiy yaratilgan. Masalan: _NEMTY_tgdLYrd_.nemty. FileID shifrlangan faylning oxiriga ham qo'shiladi.
To'lov haqida xabar
Fayllarni shifrlagandan so'ng, ish stolida _NEMTY_[FileID]-DECRYPT.txt fayli quyidagi tarkibga ega bo'ladi:
Fayl oxirida zararlangan kompyuter haqida shifrlangan ma'lumotlar mavjud.
Tarmoq aloqasi
Ironman.exe jarayoni Tor brauzerining tarqatilishini manzildan yuklab oladi va uni o'rnatishga harakat qiladi.
Keyin Nemty konfiguratsiya ma'lumotlarini 127.0.0.1:9050 manziliga yuborishga harakat qiladi, u erda u ishlaydigan Tor brauzer proksi-serverini topishni kutadi. Biroq, sukut bo'yicha Tor proksi-serveri 9150-portni tinglaydi va 9050-port Linuxda Tor dasturi yoki Windows-da Expert Bundle tomonidan ishlatiladi. Shunday qilib, tajovuzkorning serveriga hech qanday ma'lumot yuborilmaydi. Buning o'rniga foydalanuvchi to'lov xabarida ko'rsatilgan havola orqali Tor shifrini ochish xizmatiga tashrif buyurib, konfiguratsiya faylini qo'lda yuklab olishi mumkin.
Tor proksi-serveriga ulanish:
HTTP GET 127.0.0.1:9050/public/gate?data= ga so'rov yaratadi
Bu yerda siz TORlocal proksi-server tomonidan ishlatiladigan ochiq TCP portlarini ko'rishingiz mumkin:
Tor tarmog'ida Nemty shifrini ochish xizmati:
Shifrni ochish xizmatini sinab ko'rish uchun shifrlangan fotosuratni (jpg, png, bmp) yuklashingiz mumkin.
Shundan so'ng, tajovuzkor to'lovni to'lashni so'raydi. To'lanmagan taqdirda narx ikki baravar oshiriladi.
xulosa
Ayni paytda Nemty tomonidan shifrlangan fayllarni to'lovsiz shifrlashning iloji yo'q. To'lov dasturining ushbu versiyasi Buran ransomware va eskirgan GandCrab bilan umumiy xususiyatlarga ega: Borland Delphi-dagi kompilyatsiya va bir xil matnli tasvirlar. Bundan tashqari, bu 8092 bitli RSA kalitidan foydalanadigan birinchi shifrlovchi bo'lib, bu yana hech qanday ma'noga ega emas, chunki himoya qilish uchun 1024 bitli kalit etarli. Va nihoyat, qiziq tomoni shundaki, u mahalliy Tor proksi xizmati uchun noto'g'ri portdan foydalanishga harakat qiladi.
Biroq, echimlar и Nemty to'lov dasturi foydalanuvchi shaxsiy kompyuterlari va ma'lumotlariga kirishining oldini oladi va provayderlar o'z mijozlarini himoya qilishlari mumkin. . Toʻliq nafaqat zaxiralashni, balki himoya qilishni ham ta'minlaydi , sun'iy intellekt va xulq-atvor evristikasiga asoslangan maxsus texnologiya, hatto hali noma'lum zararli dasturlarni ham zararsizlantirish imkonini beradi.
Manba: www.habr.com