Nemty Ransomware (Versiyon 2.6) Teknik Analiz Raporu
Giriş
İlk olarak 2019 yılının Ağustos ayında ortaya çıkan yeni bir Ransomware ailesi Nemty’nin, saldırılarına yakın zamanlarda devam ettiği görülmektedir. En son 09/03/2020 tarihinde ortaya çıkan ve versiyon numarası 2.6 olarak adlandırılan Nemty, şirketleri ve kişisel bilgisayarları hedef almaktadır.
Şifreleme işleminden sonra ise, kurbandan ortalama 1000$ değerinde Bitcoin istemektedir. Ayrıca ödemenin belirlenen tarih aralığında yapılmamaması durumunda sistemlerde bulunan dosyaların sızdırılması şeklinde şantaj yapılmaktadır.
Ransomware türündeki Nemty zararlısını tanımlayıcı bilgiler aşağıdaki tabloda yer almaktadır:
Zararlının Adı | Nemty Ransomware |
Versiyon | V.2.6 |
MD5 | 2b6c6d8424c1b149c7f81e2565aaa7e6 |
SHA1 | f966ffdeabd60ae0ebd9c78fbd11f78319016fd8 |
SHA256 | 613c390d6b3b792d6bf0765e97719ac4278741abcebdd03d9fe394c8a46a841c |
Ön İzlenim
Ransomware türündeki Nemty zararlısı sistem üzerinde birçok işlem yapmaktadır. Nemty’nin process ön izlenim görseli aşağıdadır.
Her ransomware zararlısının bir karakteristiği olan shadow copy silme işlemi Ransomware türündeki Nemty zararlısında da gözlemlenmiştir.
Şifreleme işlemi sona erdikten sonra ise her klasör ve alt klasörlere NEMTY_[RANDOM-ID]-DECRYPT.txt adında bir metin dosyası oluşturmakta ve ekrana çıktı vermektedir.
Zararlının oluşturduğu metin dosyasında şifrelenen dosyaların nasıl çözüleceğine dair notların yanı sıra metin dosyasının en alt satırlarında BEGIN NEMTY KEY başlığında bir anahtar bulunmaktadır. Anahtara göz atıldığında RSA şifreleme algoritmasını hatırlattığı söylenebilmektedir. Ayrıca talimatlarda normal web sitesinin yanı sıra, TOR ağını kullanan bir web sitesinin mevcut olduğu da görülmektedir.
Metin dosyasında yer alan web siteleri aşağıdaki gibidir:
- hxxp://nemty[.]top/public/pay.php
- hxxp://zjoxyw5mkacojk5ptn2iprkivg5clow72mjkyk5ttubzxprjjnwapkad[.]onion/public/pay.php
Ransomware türündeki Nemty zararlısının şifrelediği dosyaların uzantıları NEMTY_[RANDOM-ID] şeklindedir.
Detaylı Analiz
Ransomware türündeki Nemty zararlısının analizinde kritik bulgulara ulaşılmıştır. Bunlardan ilki, Ransomware türündeki Nemty zararlısının analistin işini dinamik analiz aşamasında zorlaştırmak için anti-debug tekniklerini kullanmasıdır.
En temel anti-debug tekniklerinden birisi olan IsDebuggerPresent API’sini kullanmaktadır.
Zaman tabanlı anti-debug tekniklerinden birisi olan GetTickCount API’sini kullanmaktadır.
Ayrıca debug uygulamalarında sıkça kullanılan software breakpoint işleminin assembly karşılığı olan int 3 komutunu algıladığında ise debugger’ı yakalayıp kendini sonlandırmaktadır.
Ayrıca yukarıdaki görsellerde belirtilen anti-debug tekniklerinin yanı sıra başka teknikler de kullandığı tespit edilmiştir.
Ransomware türündeki Nemty zararlısının Import ettiği API’ler incelendiğinde bazı kritik seviyede olan API’ler tespit edilmiştir:
- WriteFile
- GetTickCount
- WriteConsoleA
- DebugActiveProcessStop
- CreateFileA
- GetCommandLineA
- IsDebuggerPresent
- QueryPerformanceCounter
- DebugBreak
- WriteConsoleW
- VirtualAlloc
- VirtualProtect
Statik olarak Import ettiği fonksiyonlar dışında diğer kritik fonksiyonları runtime anında Import etmektedir.
Ransomware türündeki Nemty zararlısının analizi yapıldığına zararlının kullandığı Mutex objeleri tespit edilmiştir.
-Mutex-
“edu v magazi gucccchi v spb, grrrrrraa, ona zhret moi xui kak-budto eto burger…”
Ransomware türündeki Nemty zararlısı sisteme bulaşmadan önce bazı dosyalar oluşturmaktadır. Bu dosyalar:
- C:\Windows\Registration\R000000000006.clb
- C:\Users\[USERNAME]\AppData\Local\Microsoft\Windows\Caches\cversions.1.db
- C:\Users\[USERNAME]\AppData\Local\Microsoft\Windows\Caches\{AFBF9F1A-8EE8-4C77-AF34-C647E37CA0D9}.1.ver0x0000000000000006.db
- C:\User\Malw Lab\\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat
- C:\Users\Malw Lab\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-3995735235-1365421534-3291203492-1000\917b685c402c569c7ef15953ac01f631_619fd25d-6773-46b7-a416-8c5c8c16290c
- C:\Users\Malw Lab\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-3995735235-1365421534-3291203492-1000\d860c3add425c732002dea04eb2c98f0_619fd25d-6773-46b7-a416-8c5c8c16290c
- C:\Users\Malw Lab\AppData\Roaming\Microsoft\Windows\Cookies\75CW9Q4P.txt
- Bu dosyanın içeriğinde db-ip.com adlı IP ve IP’ye ait olan ülkeyi sorgulama web sitesinin kullandığı Cloudflare altyapısının cfuid değeri bulunmaktadır.
Ransomware türündeki Nemty zararlısının detaylı analizi yapıldığında sisteme bulaşma kararını bazı etkenlere göre verdiği gözlemlenmektedir.
Sistemin IP adresini api.db-ip.com web sitesine API’ler yoluyla sorgulama yaparak, IP adresinin hangi ülkeye ait olduğunu tespit etmektedir. Bu tespit sonucunda ise
Appdata\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\PC6EIDCU
dizinine countryName[1].txt adlı bir dosya oluşturmaktadır. Bu dosyanın içeriğinde ise IP adresinin ait olduğu ülkenin adı yazılmaktadır.
Ransomware türündeki Nemty zararlısının analizi sonucunda bazı ülkelerin blacklist’e alındığı farkedilmiştir. API ile IP sorgulama işlemi sonucunda web sitesinden dönen ve kaydedilen ülke adı aşağıdaki blacklist’te yer alıyorsa, Ransomware türündeki Nemty zararlısı sisteme bulaşmamaktadır:
Whitelist’te Bulunan Ülkeler
- Rusya
- Belarus
- Kazakistan
- Tacikistan
- Ukrayna
- Azerbaycan
- Ermenistan
- Kırgızistan
- Moldova
Ransomware türündeki Nemty zararlısı, dil kontrolünün yanı sıra;
- İşletim Sistemi Versiyonu ve Sürümü,
- Sistemi kullanan kullanıcının user name’i,
- Sistemin adı,
- Sistemin hardware ID değeri gibi bilgileri toplamaktadır.
Daha sonra ise topladığı tüm bu bilgilerle birlikte RSA1024 şifreleme algoritması kullanarak şifrelemektedir. Ve şifrelemeyi yaptığı anahtarı kendi algoritmasına göre modifiye ederek NEMTY KEY’i oluşturmaktadır. Bu NEMTY KEY’i ise belli başlı parametreler ile komuta kontrol sunucusuna göndermektedir.
hxxp://nemty10[.]biz/public/gate.php?data=
Zararlınının belirtilen alan adına ait olan komuta kontrol sunucusunun ilk IP Adresi;
45[.]143.138.38
olarak tespit edilmiştir. Daha sonra C&C sunucusunun IP adresi değiştirilmiş olup;
91[.]215.170.231
şeklinde güncellenmiştir.
Ransomware türündeki Nemty zararlısı dosyaları şifrelemeden önce, şifreleme işlemini yapacağı anahtarları oluşturmaktadır. Daha sonra bu anahtarları saldırganın kendi algoritmasına göre modifiye edip komuta kontrol sunucusundaki gate.php dosyasına GET methodu ile data parametresine göndermektedir.
Bu gönderim işlemini yaparken User-Agent olarak “Naruto Uzumake” dizgisini kullanmaktadır.
Tüm bu işlemlerden sonra faaliyete geçmektedir. Ve ilk olarak shadow alanını 401 MB olarak tekrardan boyutlandırmaktadır. Daha sonra sonda “unbounded” parametresi ile sınırsız boyuta çıkarmaktadır.
Bu zararlı işleminden sonra ise aşağıdaki komutu kullanarak shadow copy’leri silmektedir.
/c bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet & wmic shadowcopy delete
Zararlı işlemlerini henüz bitirmeyen Nemty, bu zararlı komutlarından sonra bir çok işlemi de zorlu bir şekilde durdurmaktadır. Ransomware türündeki Nemty zararlısının durduğu servislerin listesi aşağıdadır:
- Sql
- Winword
- Wordpad
- Outlook
- Thunderbird
- Oracle
- Excel
- Onenote
- Virtualboxvm
- Node
- QBW32
- WBGX
- Teams
- Flow
Ransomware türündeki Nemty zararlısı sadece çalışan işlemleri değil, listesi aşağıda yer alan spesifik hizmetleri de sonlandırmaktadır:
- DbxSvc
- OracleXETNSListener
- OracleServiceXE
- AcrSch2Svc
- AcronisAgent
- Apache2.4
- SQLWriter
- SQLEXPRESS
- MSSQL
- MSSQLServerADHelper100
- MongoDB
- SQLAgent
- SQLEXPRESS
- SQLBrowser
- CobianBackup11
- cbVSCService11
- QBCFMontorService
- QBVSS
Belirli process ve hizmetleri sonlandıran Nemty, Powershell komut istemcisine;
-e RwBlAHQALQBXAG0AaQBPAGIAagBlAGMAdAAgAFcAaQBuADMAMgBfAFMAaABhAGQAbwB3AGMAbwBwAHkAIAB8ACAARgBvAHIARQBhAGMAaAAtAE8AYgBqAGUAYwB0ACAAewAkAF8ALgBEAGUAbABlAHQAZQAoACkAOwB9AA==
komutunu göndermektedir. Base64 ile encode edilen komut decode edildiğinde;
Get-WmiObject Win32_Shadowcopy | ForEach-Object {$_.Delete();}
komutunun ortaya çıktığı tespit edilmiştir. Ransomware türündeki Nemty zararlısı Shadow Copy’leri silme işlemini birkaç defa gerçekleştirmekte ve bunu hem Windows’un klasik komut satırından, hem de Powershell komut istemcisinden gerçekleştirmektedir.
Kayıt Defteri Bulguları
Ransomware türündeki Nemty zararlısı Windows Kayıt Defteri’nde birçok değişiklik yapmaktadır. En kritik değişiklik tespit edilmiş olup HKCU\Software altında NEMTY adında bir kayıt defteri klasörü oluşturmaktadır. Bu klasörün içerisinde ise cfg, fid ve pbkey adında 3 adet değer bulunmaktadır.
Ve runtime zamanında sık sık bu değerlerin olup olmadığını kontrol etmektedir.
Whitelist
Ransomware türündeki Nemty zararlısının dosya şifreleme aşamasında whitelist kullandığı tespit edilmiştir. Aşağıda yer alan listedeki uzantılara sahip olan dosyalar whitelist’ini oluşturmakta ve bu uzantılara sahip olan dosyaları şifrelememektedir.
- .exe
- .log
- .cab
- .cmd
- .com
- .cpl
- .ini
- .dll
- .url
- .ttf
- .mp3
- .pif
- .mp4
- .NEFILIM
- .msi
- .lnk
Whitelist’inde var olan uzantıların haricinde, spesifik dosya isimleri de whitelist’te bulunmaktadır.
- Windows
- $RECYCLE.BIN
- rsa
- NTDETECT.COM
- ntldr
- MSDOS.SYS
- IO.SYS
- boot.ini
- AUTOEXEC.bat
- ntuser.dat
- Desktop.ini
- CONFIG.SYS
- RECYCLER
- BOOTSECT.BAK
- bootmgr
- Programdata
- Appdata
- Program Files
- Program Files (X86)
- Microsoft
- Sophos
- Pagefile.sys
Ransomware türündeki Nemty zararlısının runtime zamanında analizinde sıradışı stringlere rastlanmaktadır.
Ransomware türündeki Nemty zararlısını ortaya koyan saldırgan, analistlere sık sık yukarıdaki görselde olduğu gibi mesajlar vermektedir. Mesajların diline bakıldığında Rusça olduğu tespit edilmektedir.
Çözüm Önerileri
Ransomware türündeki Nemty zararlısından korunmanın yolları bulunmaktadır:
- Sistemlerde güncel, güvenilir bir antivirüs yazılımının kullanılması,
- Gelen maillere özenle dikkat edilmesi, eklerin analiz edilmeden bilinçsizce açılmaması,
- Spam maillerin dikkate alınmaması,
- Mutex nesnelerinin sistem üzerinde oluşturulması gibi çözümler, Ransomware türündeki Nemty zararlısının sisteme bulaşmasını engelleyebilmektedir.
YARA
import “hash”
rule nemty:ransomware{
meta:
description = “Nemty Ransomware”
analyzer = “Fatih ŞENSOY”
version = “2.6”
release_date = “09.03.2020”
strings:
$site = “nemty10.biz”
$ip = “91.215.170.231”
$ip2 = “45.143.138.38”
$str1 = “f:\dd\vctools\crt_bld\self_x86\crt\src\_file.c”
$str2 = “f:\dd\vctools\crt_bld\self_x86\crt\src\onexit.c”
$mutex = “edu v magazi gucccchi v spb, grrrrrraa, ona zhret moi xui kak-budto eto burger…”
$user_agent = “Naruto Uzumake”
condition:
hash.md5(0,filesize) == “2b6c6d8424c1b149c7f81e2565aaa7e6” or $mutex and $user_agent or all of them
Analist : Fatih ŞENSOY
}