Nemty Ransomware Teknik Analiz Raporu

Home  /  Yazılar

Nemty Ransomware (Versiyon 2.6) Teknik Analiz Raporu

Giriş

İlk olarak 2019 yılının Ağustos ayında ortaya çıkan yeni bir Ransomware ailesi Nemty’nin, saldırılarına yakın zamanlarda devam ettiği görülmektedir. En son 09/03/2020 tarihinde ortaya çıkan ve versiyon numarası 2.6 olarak adlandırılan Nemty, şirketleri ve kişisel bilgisayarları hedef almaktadır.

Şifreleme işleminden sonra ise, kurbandan ortalama 1000$ değerinde Bitcoin istemektedir. Ayrıca ödemenin belirlenen tarih aralığında yapılmamaması durumunda sistemlerde bulunan dosyaların sızdırılması şeklinde şantaj yapılmaktadır.

Ransomware türündeki Nemty zararlısını tanımlayıcı bilgiler aşağıdaki tabloda yer almaktadır:

Zararlının Adı Nemty Ransomware
Versiyon V.2.6
MD5 2b6c6d8424c1b149c7f81e2565aaa7e6
SHA1 f966ffdeabd60ae0ebd9c78fbd11f78319016fd8
SHA256 613c390d6b3b792d6bf0765e97719ac4278741abcebdd03d9fe394c8a46a841c
Ön İzlenim

Ransomware türündeki Nemty zararlısı sistem üzerinde birçok işlem yapmaktadır. Nemty’nin process ön izlenim görseli aşağıdadır.

C:\Users\Fatih Şensoy\AppData\Local\Microsoft\Windows\INetCache\Content.Word\nemty-procover.png

C:\Users\Fatih Şensoy\AppData\Local\Microsoft\Windows\INetCache\Content.Word\nemty-proc2.png

Her ransomware zararlısının bir karakteristiği olan shadow copy silme işlemi Ransomware türündeki Nemty zararlısında da gözlemlenmiştir.

Şifreleme işlemi sona erdikten sonra ise her klasör ve alt klasörlere NEMTY_[RANDOM-ID]-DECRYPT.txt adında bir metin dosyası oluşturmakta ve ekrana çıktı vermektedir.

Zararlının oluşturduğu metin dosyasında şifrelenen dosyaların nasıl çözüleceğine dair notların yanı sıra metin dosyasının en alt satırlarında BEGIN NEMTY KEY başlığında bir anahtar bulunmaktadır. Anahtara göz atıldığında RSA şifreleme algoritmasını hatırlattığı söylenebilmektedir. Ayrıca talimatlarda normal web sitesinin yanı sıra, TOR ağını kullanan bir web sitesinin mevcut olduğu da görülmektedir.

Metin dosyasında yer alan web siteleri aşağıdaki gibidir:

  • hxxp://nemty[.]top/public/pay.php
  • hxxp://zjoxyw5mkacojk5ptn2iprkivg5clow72mjkyk5ttubzxprjjnwapkad[.]onion/public/pay.php

Ransomware türündeki Nemty zararlısının şifrelediği dosyaların uzantıları NEMTY_[RANDOM-ID] şeklindedir.

Detaylı Analiz

Ransomware türündeki Nemty zararlısının analizinde kritik bulgulara ulaşılmıştır. Bunlardan ilki, Ransomware türündeki Nemty zararlısının analistin işini dinamik analiz aşamasında zorlaştırmak için anti-debug tekniklerini kullanmasıdır.

En temel anti-debug tekniklerinden birisi olan IsDebuggerPresent API’sini kullanmaktadır.

Zaman tabanlı anti-debug tekniklerinden birisi olan GetTickCount API’sini kullanmaktadır.

C:\Users\Fatih Şensoy\AppData\Local\Microsoft\Windows\INetCache\Content.Word\nemty-antidebug.png

Ayrıca debug uygulamalarında sıkça kullanılan software breakpoint işleminin assembly karşılığı olan int 3 komutunu algıladığında ise debugger’ı yakalayıp kendini sonlandırmaktadır.

Ayrıca yukarıdaki görsellerde belirtilen anti-debug tekniklerinin yanı sıra başka teknikler de kullandığı tespit edilmiştir.

Ransomware türündeki Nemty zararlısının Import ettiği API’ler incelendiğinde bazı kritik seviyede olan API’ler tespit edilmiştir:

  • WriteFile
  • GetTickCount
  • WriteConsoleA
  • DebugActiveProcessStop
  • CreateFileA
  • GetCommandLineA
  • IsDebuggerPresent
  • QueryPerformanceCounter
  • DebugBreak
  • WriteConsoleW
  • VirtualAlloc
  • VirtualProtect

Statik olarak Import ettiği fonksiyonlar dışında diğer kritik fonksiyonları runtime anında Import etmektedir.

Ransomware türündeki Nemty zararlısının analizi yapıldığına zararlının kullandığı Mutex objeleri tespit edilmiştir.

-Mutex-

“edu v magazi gucccchi v spb, grrrrrraa, ona zhret moi xui kak-budto eto burger…”

Ransomware türündeki Nemty zararlısı sisteme bulaşmadan önce bazı dosyalar oluşturmaktadır. Bu dosyalar:

  • C:\Windows\Registration\R000000000006.clb
  • C:\Users\[USERNAME]\AppData\Local\Microsoft\Windows\Caches\cversions.1.db
  • C:\Users\[USERNAME]\AppData\Local\Microsoft\Windows\Caches\{AFBF9F1A-8EE8-4C77-AF34-C647E37CA0D9}.1.ver0x0000000000000006.db
  • C:\User\Malw Lab\\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat
  • C:\Users\Malw Lab\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-3995735235-1365421534-3291203492-1000\917b685c402c569c7ef15953ac01f631_619fd25d-6773-46b7-a416-8c5c8c16290c
  • C:\Users\Malw Lab\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-3995735235-1365421534-3291203492-1000\d860c3add425c732002dea04eb2c98f0_619fd25d-6773-46b7-a416-8c5c8c16290c
  • C:\Users\Malw Lab\AppData\Roaming\Microsoft\Windows\Cookies\75CW9Q4P.txt
    • Bu dosyanın içeriğinde db-ip.com adlı IP ve IP’ye ait olan ülkeyi sorgulama web sitesinin kullandığı Cloudflare altyapısının cfuid değeri bulunmaktadır.

Ransomware türündeki Nemty zararlısının detaylı analizi yapıldığında sisteme bulaşma kararını bazı etkenlere göre verdiği gözlemlenmektedir.

Sistemin IP adresini api.db-ip.com web sitesine API’ler yoluyla sorgulama yaparak, IP adresinin hangi ülkeye ait olduğunu tespit etmektedir. Bu tespit sonucunda ise

Appdata\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\PC6EIDCU

dizinine countryName[1].txt adlı bir dosya oluşturmaktadır. Bu dosyanın içeriğinde ise IP adresinin ait olduğu ülkenin adı yazılmaktadır.

Ransomware türündeki Nemty zararlısının analizi sonucunda bazı ülkelerin blacklist’e alındığı farkedilmiştir. API ile IP sorgulama işlemi sonucunda web sitesinden dönen ve kaydedilen ülke adı aşağıdaki blacklist’te yer alıyorsa, Ransomware türündeki Nemty zararlısı sisteme bulaşmamaktadır:

Whitelist’te Bulunan Ülkeler

  • Rusya
  • Belarus
  • Kazakistan
  • Tacikistan
  • Ukrayna
  • Azerbaycan
  • Ermenistan
  • Kırgızistan
  • Moldova

Ransomware türündeki Nemty zararlısı, dil kontrolünün yanı sıra;

  • İşletim Sistemi Versiyonu ve Sürümü,
  • Sistemi kullanan kullanıcının user name’i,
  • Sistemin adı,
  • Sistemin hardware ID değeri gibi bilgileri toplamaktadır.

Daha sonra ise topladığı tüm bu bilgilerle birlikte RSA1024 şifreleme algoritması kullanarak şifrelemektedir. Ve şifrelemeyi yaptığı anahtarı kendi algoritmasına göre modifiye ederek NEMTY KEY’i oluşturmaktadır. Bu NEMTY KEY’i ise belli başlı parametreler ile komuta kontrol sunucusuna göndermektedir.

hxxp://nemty10[.]biz/public/gate.php?data=

Zararlınının belirtilen alan adına ait olan komuta kontrol sunucusunun ilk IP Adresi;

45[.]143.138.38

olarak tespit edilmiştir. Daha sonra C&C sunucusunun IP adresi değiştirilmiş olup;

91[.]215.170.231

şeklinde güncellenmiştir.

Ransomware türündeki Nemty zararlısı dosyaları şifrelemeden önce, şifreleme işlemini yapacağı anahtarları oluşturmaktadır. Daha sonra bu anahtarları saldırganın kendi algoritmasına göre modifiye edip komuta kontrol sunucusundaki gate.php dosyasına GET methodu ile data parametresine göndermektedir.

Bu gönderim işlemini yaparken User-Agent olarak “Naruto Uzumake” dizgisini kullanmaktadır.

Tüm bu işlemlerden sonra faaliyete geçmektedir. Ve ilk olarak shadow alanını 401 MB olarak tekrardan boyutlandırmaktadır. Daha sonra sonda “unbounded” parametresi ile sınırsız boyuta çıkarmaktadır.

Bu zararlı işleminden sonra ise aşağıdaki komutu kullanarak shadow copy’leri silmektedir.

/c bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet & wmic shadowcopy delete

Zararlı işlemlerini henüz bitirmeyen Nemty, bu zararlı komutlarından sonra bir çok işlemi de zorlu bir şekilde durdurmaktadır. Ransomware türündeki Nemty zararlısının durduğu servislerin listesi aşağıdadır:

  • Sql
  • Winword
  • Wordpad
  • Outlook
  • Thunderbird
  • Oracle
  • Excel
  • Onenote
  • Virtualboxvm
  • Node
  • QBW32
  • WBGX
  • Teams
  • Flow

Ransomware türündeki Nemty zararlısı sadece çalışan işlemleri değil, listesi aşağıda yer alan spesifik hizmetleri de sonlandırmaktadır:

  • DbxSvc
  • OracleXETNSListener
  • OracleServiceXE
  • AcrSch2Svc
  • AcronisAgent
  • Apache2.4
  • SQLWriter
  • SQLEXPRESS
  • MSSQL
  • MSSQLServerADHelper100
  • MongoDB
  • SQLAgent
  • SQLEXPRESS
  • SQLBrowser
  • CobianBackup11
  • cbVSCService11
  • QBCFMontorService
  • QBVSS

Belirli process ve hizmetleri sonlandıran Nemty, Powershell komut istemcisine;

-e RwBlAHQALQBXAG0AaQBPAGIAagBlAGMAdAAgAFcAaQBuADMAMgBfAFMAaABhAGQAbwB3AGMAbwBwAHkAIAB8ACAARgBvAHIARQBhAGMAaAAtAE8AYgBqAGUAYwB0ACAAewAkAF8ALgBEAGUAbABlAHQAZQAoACkAOwB9AA==

komutunu göndermektedir. Base64 ile encode edilen komut decode edildiğinde;

Get-WmiObject Win32_Shadowcopy | ForEach-Object {$_.Delete();}

komutunun ortaya çıktığı tespit edilmiştir. Ransomware türündeki Nemty zararlısı Shadow Copy’leri silme işlemini birkaç defa gerçekleştirmekte ve bunu hem Windows’un klasik komut satırından, hem de Powershell komut istemcisinden gerçekleştirmektedir.

Kayıt Defteri Bulguları

Ransomware türündeki Nemty zararlısı Windows Kayıt Defteri’nde birçok değişiklik yapmaktadır. En kritik değişiklik tespit edilmiş olup HKCU\Software altında NEMTY adında bir kayıt defteri klasörü oluşturmaktadır. Bu klasörün içerisinde ise cfg, fid ve pbkey adında 3 adet değer bulunmaktadır.

Ve runtime zamanında sık sık bu değerlerin olup olmadığını kontrol etmektedir.

Whitelist

Ransomware türündeki Nemty zararlısının dosya şifreleme aşamasında whitelist kullandığı tespit edilmiştir. Aşağıda yer alan listedeki uzantılara sahip olan dosyalar whitelist’ini oluşturmakta ve bu uzantılara sahip olan dosyaları şifrelememektedir.

  • .exe
  • .log
  • .cab
  • .cmd
  • .com
  • .cpl
  • .ini
  • .dll
  • .url
  • .ttf
  • .mp3
  • .pif
  • .mp4
  • .NEFILIM
  • .msi
  • .lnk

Whitelist’inde var olan uzantıların haricinde, spesifik dosya isimleri de whitelist’te bulunmaktadır.

  • Windows
  • $RECYCLE.BIN
  • rsa
  • NTDETECT.COM
  • ntldr
  • MSDOS.SYS
  • IO.SYS
  • boot.ini
  • AUTOEXEC.bat
  • ntuser.dat
  • Desktop.ini
  • CONFIG.SYS
  • RECYCLER
  • BOOTSECT.BAK
  • bootmgr
  • Programdata
  • Appdata
  • Program Files
  • Program Files (X86)
  • Microsoft
  • Sophos
  • Pagefile.sys

Ransomware türündeki Nemty zararlısının runtime zamanında analizinde sıradışı stringlere rastlanmaktadır.

Ransomware türündeki Nemty zararlısını ortaya koyan saldırgan, analistlere sık sık yukarıdaki görselde olduğu gibi mesajlar vermektedir. Mesajların diline bakıldığında Rusça olduğu tespit edilmektedir.

Çözüm Önerileri

Ransomware türündeki Nemty zararlısından korunmanın yolları bulunmaktadır:

  • Sistemlerde güncel, güvenilir bir antivirüs yazılımının kullanılması,
  • Gelen maillere özenle dikkat edilmesi, eklerin analiz edilmeden bilinçsizce açılmaması,
  • Spam maillerin dikkate alınmaması,
  • Mutex nesnelerinin sistem üzerinde oluşturulması gibi çözümler, Ransomware türündeki Nemty zararlısının sisteme bulaşmasını engelleyebilmektedir.
YARA

import “hash”

rule nemty:ransomware{

meta:

description = “Nemty Ransomware”

analyzer = “Fatih ŞENSOY”

version = “2.6”

release_date = “09.03.2020”

 

strings:

$site = “nemty10.biz”

$ip = “91.215.170.231”

$ip2 = “45.143.138.38”

$str1 = “f:\dd\vctools\crt_bld\self_x86\crt\src\_file.c”

$str2 = “f:\dd\vctools\crt_bld\self_x86\crt\src\onexit.c”

$mutex = “edu v magazi gucccchi v spb, grrrrrraa, ona zhret moi xui kak-budto eto burger…”

$user_agent = “Naruto Uzumake”

 

condition:

hash.md5(0,filesize) == “2b6c6d8424c1b149c7f81e2565aaa7e6” or $mutex and $user_agent or all of them

Analist : Fatih ŞENSOY

}