Daar is verskeie bekende kubergroepe wat spesialiseer in die steel van fondse van Russiese maatskappye. Ons het aanvalle gesien wat sekuriteitskuiwergate gebruik wat toegang tot die teiken se netwerk moontlik maak. Sodra hulle toegang verkry het, ondersoek aanvallers die organisasie se netwerkstruktuur en ontplooi hul eie gereedskap om fondse te steel. ’n Klassieke voorbeeld van hierdie neiging is die hackergroepe Buhtrap, Cobalt en Corkow.
Die RTM-groep waarop hierdie verslag fokus, is deel van hierdie tendens. Dit gebruik spesiaal ontwerpte wanware wat in Delphi geskryf is, waarna ons in meer besonderhede in die volgende afdelings sal kyk. Die eerste spore van hierdie gereedskap in die ESET-telemetriestelsel is aan die einde van 2015 ontdek. Die span laai verskeie nuwe modules op besmette stelsels soos nodig. Die aanvalle is gemik op gebruikers van afgeleë bankstelsels in Rusland en sommige buurlande.
1. Doelwitte
Die RTM-veldtog is gemik op korporatiewe gebruikers – dit is duidelik uit die prosesse wat aanvallers probeer opspoor in 'n gekompromitteerde stelsel. Die fokus is op rekeningkundige sagteware om met afgeleë bankstelsels te werk.
Die lys van prosesse wat vir RTM van belang is, lyk soos die ooreenstemmende lys van die Buhtrap-groep, maar die groepe het verskillende infeksievektore. As Buhtrap vals bladsye meer dikwels gebruik het, dan het RTM deurgedrewe aflaai-aanvalle (aanvalle op die blaaier of sy komponente) en strooipos per e-pos gebruik. Volgens telemetriedata is die bedreiging gemik op Rusland en verskeie nabygeleë lande (Oekraïne, Kazakstan, Tsjeggiese Republiek, Duitsland). As gevolg van die gebruik van massaverspreidingsmeganismes, is die opsporing van wanware buite die teikenstreke egter nie verbasend nie.
Die totale aantal wanware-opsporings is relatief klein. Aan die ander kant gebruik die RTM-veldtog komplekse programme, wat aandui dat die aanvalle hoogs geteiken is.
Ons het verskeie lokdokumente ontdek wat deur RTM gebruik word, insluitend nie-bestaande kontrakte, fakture of belastingrekeningkundige dokumente. Die aard van die lokmiddels, gekombineer met die tipe sagteware wat deur die aanval geteiken is, dui daarop dat die aanvallers die netwerke van Russiese maatskappye deur die rekeningkundige afdeling “betree”. Die groep het volgens dieselfde skema opgetree in 2014-2015
Tydens die navorsing kon ons met verskeie C&C-bedieners interaksie hê. Ons sal die volledige lys opdragte in die volgende afdelings lys, maar vir nou kan ons sê dat die kliënt data vanaf die keylogger direk na die aanvallende bediener oordra, vanwaar addisionele opdragte dan ontvang word.
Die dae toe jy eenvoudig aan 'n opdrag- en beheerbediener kon koppel en al die data waarin jy belangstel, kon versamel, is egter verby. Ons het realistiese loglêers herskep om 'n paar relevante opdragte van die bediener af te kry.
Die eerste daarvan is 'n versoek aan die bot om die lêer 1c_to_kl.txt oor te dra - 'n vervoerlêer van die 1C: Enterprise 8-program, waarvan die voorkoms aktief deur RTM gemonitor word. 1C interaksie met afgeleë bankstelsels deur data oor uitgaande betalings na 'n tekslêer op te laai. Vervolgens word die lêer na die afgeleë bankstelsel gestuur vir outomatisering en uitvoering van die betalingsopdrag.
Die lêer bevat betalingsbesonderhede. As aanvallers die inligting oor uitgaande betalings verander, sal die oorplasing met behulp van vals besonderhede na die aanvallers se rekeninge gestuur word.
Ongeveer 'n maand nadat ons hierdie lêers van die opdrag- en beheerbediener aangevra het, het ons gesien dat 'n nuwe inprop, 1c_2_kl.dll, op die gekompromitteerde stelsel gelaai word. Die module (DLL) is ontwerp om die aflaailêer outomaties te ontleed deur die rekeningkundige sagtewareprosesse binne te dring. Ons sal dit in detail in die volgende afdelings beskryf.
Interessant genoeg het FinCERT van die Bank van Rusland aan die einde van 2016 'n bulletinwaarskuwing uitgereik oor kubermisdadigers wat 1c_to_kl.txt-oplaailêers gebruik. Ontwikkelaars van 1C weet ook van hierdie skema; hulle het reeds 'n amptelike verklaring gemaak en voorsorgmaatreëls gelys.
Ander modules is ook vanaf die opdragbediener gelaai, veral VNC (sy 32 en 64-bis weergawes). Dit lyk soos die VNC-module wat voorheen in Dridex Trojaanse aanvalle gebruik is. Hierdie module word kwansuis gebruik om 'n afstand aan 'n besmette rekenaar te koppel en 'n gedetailleerde studie van die stelsel uit te voer. Vervolgens probeer die aanvallers om die netwerk rond te beweeg, gebruikerswagwoorde te onttrek, inligting in te samel en die konstante teenwoordigheid van wanware te verseker.
2. Vektore van infeksie
Die volgende figuur toon die infeksievektore wat tydens die studieperiode van die veldtog opgespoor is. Die groep gebruik 'n wye reeks vektore, maar hoofsaaklik deur-aflaai-aanvalle en strooipos. Hierdie instrumente is gerieflik vir geteikende aanvalle, aangesien aanvallers in die eerste geval werwe kan kies wat deur potensiële slagoffers besoek word, en in die tweede geval kan hulle e-pos met aanhangsels direk na die gewenste maatskappywerknemers stuur.
Die wanware word deur verskeie kanale versprei, insluitend RIG- en Sundown-uitbuitingsstelle of strooiposposse, wat verbande tussen die aanvallers en ander kuberaanvallers wat hierdie dienste aanbied, aandui.
2.1. Hoe is RTM en Buhtrap verwant?
Die RTM-veldtog is baie soortgelyk aan Buhtrap. Die natuurlike vraag is: hoe is hulle verwant aan mekaar?
In September 2016 het ons waargeneem dat 'n RTM-monster met die Buhtrap-oplaaier versprei word. Boonop het ons twee digitale sertifikate gevind wat in beide Buhtrap en RTM gebruik word.
Die eerste, wat na bewering aan die maatskappy DNISTER-M uitgereik is, is gebruik om die tweede Delphi-vorm digitaal te onderteken (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) en die Buhtrap DLL (SHA-1: 1E2642B454FCC2C889C6D 41116).
Die tweede een, uitgereik aan Bit-Tredj, is gebruik om Buhtrap-laaiers te teken (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 en B74F71560E48488D2153AE2FB51207A0AC), sowel as RTM-komponente te installeer en af te laai en af te laai.
RTM-operateurs gebruik sertifikate wat algemeen is vir ander wanwarefamilies, maar hulle het ook 'n unieke sertifikaat. Volgens ESET-telemetrie is dit aan Kit-SD uitgereik en is dit slegs gebruik om sommige RTM-wanware te onderteken (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM gebruik dieselfde laaier as Buhtrap, RTM-komponente word vanaf die Buhtrap-infrastruktuur gelaai, so die groepe het soortgelyke netwerkaanwysers. Volgens ons skattings is RTM en Buhtrap egter verskillende groepe, ten minste omdat RTM op verskillende maniere versprei word (nie net deur 'n "vreemde" aflaaier te gebruik nie).
Ten spyte hiervan gebruik kubergroepe soortgelyke bedryfsbeginsels. Hulle teiken besighede wat rekeningkundige sagteware gebruik, op soortgelyke wyse stelselinligting insamel, na slimkaartlesers soek, en 'n verskeidenheid kwaadwillige nutsmiddels ontplooi om op slagoffers te spioeneer.
3. Evolusie
In hierdie afdeling sal ons kyk na die verskillende weergawes van wanware wat tydens die studie ontdek is.
3.1. Weergawe
RTM stoor konfigurasiedata in 'n registerafdeling, die interessantste deel is botnet-voorvoegsel. 'N Lys van al die waardes wat ons gesien het in die monsters wat ons bestudeer het, word in die tabel hieronder aangebied.
Dit is moontlik dat die waardes gebruik kan word om malware-weergawes op te neem. Ons het egter nie veel verskil tussen weergawes soos bit2 en bit3, 0.1.6.4 en 0.1.6.6 opgemerk nie. Boonop bestaan een van die voorvoegsels van die begin af en het ontwikkel van 'n tipiese C&C-domein na 'n .bit-domein, soos hieronder gewys sal word.
3.2. Skedule
Met behulp van telemetriedata het ons 'n grafiek geskep van die voorkoms van monsters.
4. Tegniese ontleding
In hierdie afdeling sal ons die hooffunksies van die RTM-bank-Trojaan beskryf, insluitend weerstandsmeganismes, sy eie weergawe van die RC4-algoritme, netwerkprotokol, spioenasiefunksionaliteit en 'n paar ander kenmerke. Ons sal veral fokus op SHA-1-monsters AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 en 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. Installasie en stoor
4.1.1. Implementering
Die RTM-kern is 'n DLL, die biblioteek word op skyf gelaai met EXE. Die uitvoerbare lêer is gewoonlik verpak en bevat DLL-kode. Sodra dit van stapel gestuur is, onttrek dit die DLL en voer dit uit met die volgende opdrag:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. DLL
Die hoof-DLL word altyd na skyf gelaai as winlogon.lnk in die %PROGRAMDATA%Winlogon-lêergids. Hierdie lêeruitbreiding word gewoonlik met 'n kortpad geassosieer, maar die lêer is eintlik 'n DLL geskryf in Delphi, genaamd core.dll deur die ontwikkelaar, soos in die prent hieronder getoon.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Sodra dit van stapel gestuur is, aktiveer die Trojaan sy weerstandsmeganisme. Dit kan op twee verskillende maniere gedoen word, afhangende van die slagoffer se voorregte in die stelsel. As jy administrateurregte het, voeg die Trojaan 'n Windows Update-inskrywing by die HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun-register. Die opdragte vervat in Windows Update sal aan die begin van die gebruiker se sessie uitgevoer word.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject gasheer
Die Trojaan probeer ook om 'n taak by die Windows-taakskeduleerder te voeg. Die taak sal die winlogon.lnk DLL met dieselfde parameters as hierbo begin. Gereelde gebruikersregte laat die Trojaan toe om 'n Windows Update-inskrywing met dieselfde data by die HKCUSoftwareMicrosoftWindowsCurrentVersionRun-register te voeg:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Gewysigde RC4-algoritme
Ten spyte van sy bekende tekortkominge, word die RC4-algoritme gereeld deur wanware-outeurs gebruik. Die skeppers van RTM het dit egter effens gewysig, waarskynlik om die taak van virusontleders moeiliker te maak. 'n Gewysigde weergawe van RC4 word wyd gebruik in kwaadwillige RTM-nutsgoed om stringe, netwerkdata, konfigurasie en modules te enkripteer.
4.2.1. Verskille
Die oorspronklike RC4-algoritme sluit twee fases in: s-blok-inisialisering (ook bekend as KSA - Sleutelskeduleringsalgoritme) en pseudo-ewekansige volgordegenerering (PRGA - Pseudo-Random Generation Algorithm). Die eerste fase behels die inisiasie van die s-boks met behulp van die sleutel, en in die tweede fase word die bronteks verwerk met behulp van die s-boks vir enkripsie.
Die RTM-outeurs het 'n tussenstap tussen s-box-inisialisering en enkripsie bygevoeg. Die bykomende sleutel is veranderlik en word op dieselfde tyd as die data gestel om geïnkripteer en gedekripteer te word. Die funksie wat hierdie bykomende stap uitvoer, word in die figuur hieronder getoon.
4.2.2. String enkripsie
Met die eerste oogopslag is daar verskeie leesbare reëls in die hoof-DLL. Die res word geïnkripteer met behulp van die algoritme wat hierbo beskryf is, waarvan die struktuur in die volgende figuur getoon word. Ons het meer as 25 verskillende RC4-sleutels vir string-enkripsie in die geanaliseerde monsters gevind. Die XOR-sleutel verskil vir elke ry. Die waarde van die numeriese veld wat lyne skei is altyd 0xFFFFFFFF.
Aan die begin van uitvoering, dekripteer RTM die stringe in 'n globale veranderlike. Wanneer dit nodig is om toegang tot 'n string te verkry, bereken die Trojaan die adres van die gedekripteerde stringe dinamies op grond van die basisadres en verrekening.
Die stringe bevat interessante inligting oor die wanware se funksies. Enkele voorbeeldstringe word in Afdeling 6.8 verskaf.
4.3. Netwerk
Die manier waarop RTM-wanware die C&C-bediener kontak, verskil van weergawe tot weergawe. Die eerste wysigings (Oktober 2015 – April 2016) het tradisionele domeinname saam met 'n RSS-stroom op livejournal.com gebruik om die lys opdragte op te dateer.
Sedert April 2016 het ons 'n verskuiwing na .bit-domeine in telemetriedata gesien. Dit word bevestig deur die domeinregistrasiedatum - die eerste RTM-domein fde05d0573da.bit is op 13 Maart 2016 geregistreer.
Al die URL's wat ons gesien het terwyl ons die veldtog gemonitor het, het 'n gemeenskaplike pad gehad: /r/z.php. Dit is nogal ongewoon en dit sal help om RTM-versoeke in netwerkvloei te identifiseer.
4.3.1. Kanaal vir opdragte en beheer
Verouderde voorbeelde het hierdie kanaal gebruik om hul lys van bevel- en beheerbedieners op te dateer. Hosting is geleë op livejournal.com, ten tyde van die skryf van die verslag het dit op die URL gebly hxxp://f72bba81c921(.)livejournal(.)com/data/rss.
Livejournal is 'n Russies-Amerikaanse maatskappy wat 'n blogplatform bied. RTM-operateurs skep 'n LJ-blog waarin hulle 'n artikel met gekodeerde opdragte plaas - sien skermskoot.
Bevel- en beheerstringe word geënkodeer met behulp van 'n gewysigde RC4-algoritme (Afdeling 4.2). Die huidige weergawe (November 2016) van die kanaal bevat die volgende opdrag- en beheerbedieneradresse:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. .bit-domeine
In die mees onlangse RTM-monsters koppel skrywers aan C&C-domeine deur die .bit TLD-topvlakdomein te gebruik. Dit is nie op die ICANN (Domain Name and Internet Corporation) lys van topvlakdomeine nie. In plaas daarvan gebruik dit die Namecoin-stelsel, wat bo-op Bitcoin-tegnologie gebou is. Malware-outeurs gebruik nie dikwels die .bit-TLD vir hul domeine nie, alhoewel 'n voorbeeld van sulke gebruik voorheen in 'n weergawe van die Necurs-botnet waargeneem is.
Anders as Bitcoin, het gebruikers van die verspreide Namecoin-databasis die vermoë om data te stoor. Die hooftoepassing van hierdie kenmerk is die .bit-topvlakdomein. Jy kan domeine registreer wat in 'n verspreide databasis gestoor sal word. Die ooreenstemmende inskrywings in die databasis bevat IP-adresse wat deur die domein opgelos is. Hierdie TLD is "sensuurbestand" omdat slegs die geregistreerde die resolusie van die .bit-domein kan verander. Dit beteken dat dit baie moeiliker is om 'n kwaadwillige domein te stop deur hierdie tipe TLD te gebruik.
Die RTM-trojaan sluit nie die sagteware in wat nodig is om die verspreide Namecoin-databasis te lees nie. Dit gebruik sentrale DNS-bedieners soos dns.dot-bit.org of OpenNic-bedieners om .bit-domeine op te los. Daarom het dit dieselfde duursaamheid as DNS-bedieners. Ons het opgemerk dat sommige spandomeine nie meer opgespoor is nadat dit in 'n blogpos genoem is nie.
Nog 'n voordeel van die .bit-TLD vir kuberkrakers is koste. Om 'n domein te registreer, hoef operateurs slegs 0,01 NK te betaal, wat ooreenstem met $0,00185 (vanaf 5 Desember 2016). Ter vergelyking, domain.com kos ten minste $10.
4.3.3. Protokol
Om met die opdrag- en beheerbediener te kommunikeer, gebruik RTM HTTP POST-versoeke met data wat met 'n pasgemaakte protokol geformateer is. Die padwaarde is altyd /r/z.php; Mozilla/5.0 gebruikersagent (versoenbaar; MSIE 9.0; Windows NT 6.1; Trident/5.0). In versoeke aan die bediener word die data soos volg geformateer, waar die afsetwaardes in grepe uitgedruk word:
Bytes 0 tot 6 is nie geënkodeer nie; grepe vanaf 6 word geënkodeer met behulp van 'n gewysigde RC4-algoritme. Die struktuur van die C&C-antwoordpakket is eenvoudiger. Bytes word van 4 tot pakkiegrootte geënkodeer.
Die lys van moontlike aksiegreepwaardes word in die tabel hieronder aangebied:
Die wanware bereken altyd die CRC32 van die gedekripteerde data en vergelyk dit met wat in die pakkie teenwoordig is. As hulle verskil, laat val die Trojaan die pakkie.
Die bykomende data kan verskeie voorwerpe bevat, insluitend 'n PE-lêer, 'n lêer wat in die lêerstelsel gesoek moet word, of nuwe opdrag-URL's.
4.3.4. Paneel
Ons het opgemerk dat RTM 'n paneel op C&C-bedieners gebruik. Skermskoot hieronder:
4.4. Kenmerkende teken
RTM is 'n tipiese bank-Trojaan. Dit is geen verrassing dat operateurs inligting oor die slagoffer se stelsel wil hê nie. Aan die een kant versamel die bot algemene inligting oor die bedryfstelsel. Aan die ander kant vind dit uit of die gekompromitteerde stelsel eienskappe bevat wat verband hou met Russiese afgeleë bankstelsels.
4.4.1. Algemene inligting
Wanneer wanware geïnstalleer of geloods word na 'n herlaai, word 'n verslag na die opdrag- en beheerbediener gestuur wat algemene inligting bevat, insluitend:
- Tydsone;
- verstek stelseltaal;
- gemagtigde gebruikersbewyse;
- proses integriteit vlak;
- Gebruikersnaam;
- rekenaar naam;
- OS weergawe;
- bykomende geïnstalleerde modules;
- geïnstalleerde antivirusprogram;
- lys van slimkaartlesers.
4.4.2 Afgeleë bankstelsel
'n Tipiese Trojaanse teiken is 'n afgeleë bankstelsel, en RTM is geen uitsondering nie. Een van die program se modules word TBdo genoem, wat verskeie take verrig, insluitend die skandering van skywe en blaaigeskiedenis.
Deur die skyf te skandeer, kyk die Trojaan of banksagteware op die masjien geïnstalleer is. Die volledige lys teikenprogramme is in die tabel hieronder. Nadat 'n lêer van belang opgespoor is, stuur die program inligting na die opdragbediener. Die volgende aksies hang af van die logika wat deur die opdragsentrum (C&C) algoritmes gespesifiseer word.
RTM soek ook URL-patrone in jou blaaiergeskiedenis en oop oortjies. Daarbenewens ondersoek die program die gebruik van die FindNextUrlCacheEntryA- en FindFirstUrlCacheEntryA-funksies, en kontroleer ook elke inskrywing om die URL by een van die volgende patrone te pas:
Nadat oop oortjies opgespoor is, kontak die Trojan Internet Explorer of Firefox deur die Dynamic Data Exchange (DDE) meganisme om te kyk of die oortjie by die patroon pas.
Die nagaan van jou blaaigeskiedenis en oop oortjies word uitgevoer in 'n WHILE-lus ('n lus met 'n voorwaarde) met 'n 1 sekonde pouse tussen kontroles. Ander data wat intyds gemonitor word, sal in afdeling 4.5 bespreek word.
As 'n patroon gevind word, rapporteer die program dit aan die opdragbediener deur 'n lys stringe uit die volgende tabel te gebruik:
4.5 Monitering
Terwyl die Trojaan aan die gang is, word inligting oor die kenmerkende kenmerke van die besmette stelsel (insluitend inligting oor die teenwoordigheid van banksagteware) na die opdrag- en beheerbediener gestuur. Vingerafdrukke vind plaas wanneer RTM die moniteringstelsel die eerste keer na die aanvanklike OS-skandering laat loop.
4.5.1. Afgeleë bankwese
Die TBdo-module is ook verantwoordelik vir die monitering van bankverwante prosesse. Dit gebruik dinamiese data-uitruiling om oortjies in Firefox en Internet Explorer tydens die aanvanklike skandering na te gaan. Nog 'n TShell-module word gebruik om opdragvensters (Internet Explorer of File Explorer) te monitor.
Die module gebruik die COM-koppelvlakke IShellWindows, iWebBrowser, DWebBrowserEvents2 en IConnectionPointContainer om vensters te monitor. Wanneer 'n gebruiker na 'n nuwe webbladsy navigeer, merk die wanware dit op. Dit vergelyk dan die bladsy-URL met die bogenoemde patrone. Nadat 'n wedstryd opgespoor is, neem die Trojaan ses opeenvolgende skermkiekies met 'n interval van 5 sekondes en stuur dit na die C&S-opdragbediener. Die program kontroleer ook 'n paar venstername wat verband hou met banksagteware - die volledige lys is hieronder:
4.5.2. Slimkaart
Met RTM kan jy slimkaartlesers wat aan besmette rekenaars gekoppel is, monitor. Hierdie toestelle word in sommige lande gebruik om betalingsbestellings te rekonsilieer. As hierdie tipe toestel aan 'n rekenaar gekoppel is, kan dit vir 'n Trojaan aandui dat die masjien vir banktransaksies gebruik word.
Anders as ander bank-Trojane, kan RTM nie met sulke slimkaarte interaksie hê nie. Miskien is hierdie funksionaliteit ingesluit in 'n bykomende module wat ons nog nie gesien het nie.
4.5.3. Keylogger
'n Belangrike deel van die monitering van 'n besmette rekenaar is die vaslegging van toetsaanslagen. Dit blyk dat die RTM-ontwikkelaars geen inligting ontbreek nie, aangesien hulle nie net gewone sleutels monitor nie, maar ook die virtuele sleutelbord en knipbord.
Om dit te doen, gebruik die SetWindowsHookExA-funksie. Aanvallers teken die sleutels wat gedruk is of die sleutels wat ooreenstem met die virtuele sleutelbord aan, saam met die naam en datum van die program. Die buffer word dan na die C&C-opdragbediener gestuur.
Die SetClipboardViewer-funksie word gebruik om die knipbord te onderskep. Hackers teken die inhoud van die knipbord aan wanneer die data teks is. Die naam en datum word ook aangeteken voordat die buffer na die bediener gestuur word.
4.5.4. Skermkiekies
Nog 'n RTM-funksie is skermkiekie-onderskepping. Die kenmerk word toegepas wanneer die venstermoniteringmodule 'n werf of banksagteware van belang opspoor. Skermskote word geneem met behulp van 'n biblioteek van grafiese beelde en oorgedra na die opdragbediener.
4.6. Deïnstallasie
Die C&C-bediener kan keer dat die wanware loop en jou rekenaar skoonmaak. Die opdrag laat jou toe om lêers en registerinskrywings wat geskep is terwyl RTM loop, skoon te maak. Die DLL word dan gebruik om die malware en die winlogon-lêer te verwyder, waarna die opdrag die rekenaar afskakel. Soos in die prent hieronder getoon, word die DLL verwyder deur ontwikkelaars wat erase.dll gebruik.
Die bediener kan die Trojan 'n vernietigende deïnstalleer-slot opdrag stuur. In hierdie geval, as jy administrateurregte het, sal RTM die MBR-selflaaisektor op die hardeskyf uitvee. As dit misluk, sal die Trojaan probeer om die MBR-selflaaisektor na 'n ewekansige sektor te skuif - dan sal die rekenaar nie die bedryfstelsel kan selflaai na afskakeling nie. Dit kan lei tot 'n volledige herinstallering van die bedryfstelsel, wat die vernietiging van bewyse beteken.
Sonder administrateurvoorregte skryf die wanware 'n .EXE wat in die onderliggende RTM DLL geënkodeer is. Die uitvoerbare voer die kode uit wat nodig is om die rekenaar af te sluit en registreer die module in die HKCUCurrentVersionRun-registersleutel. Elke keer as die gebruiker 'n sessie begin, skakel die rekenaar dadelik af.
4.7. Die konfigurasielêer
By verstek het RTM byna geen konfigurasielêer nie, maar die opdrag- en beheerbediener kan konfigurasiewaardes stuur wat in die register gestoor en deur die program gebruik word. Die lys van konfigurasiesleutels word in die tabel hieronder aangebied:
Die konfigurasie word in die sagteware[Pseudo-ewekansige string]-registersleutel gestoor. Elke waarde stem ooreen met een van die rye wat in die vorige tabel aangebied word. Waardes en data word geënkodeer met die RC4-algoritme in RTM.
Die data het dieselfde struktuur as 'n netwerk of stringe. 'n Vier-grepe XOR-sleutel word aan die begin van die geënkodeerde data bygevoeg. Vir konfigurasiewaardes is die XOR-sleutel anders en hang af van die grootte van die waarde. Dit kan soos volg bereken word:
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)
4.8. Ander kenmerke
Kom ons kyk vervolgens na ander funksies wat RTM ondersteun.
4.8.1. Bykomende modules
Die Trojaan sluit bykomende modules in, wat DLL-lêers is. Modules wat vanaf die C&C-opdragbediener gestuur word, kan as eksterne programme uitgevoer word, in RAM weerspieël en in nuwe drade bekendgestel word. Vir berging word modules in .dtt-lêers gestoor en geënkodeer met die RC4-algoritme met dieselfde sleutel wat vir netwerkkommunikasie gebruik word.
Tot dusver het ons die installering van die VNC-module (8966319882494077C21F66A8354E2CBCA0370464), die blaaier-data-onttrekkingsmodule (03DE8622BE6B2F75A364A275995C3411626C4D) en 9EF1c2D module (1EF562c1D) en 69EF6c58D (88753EF) C7FBA0 B3BE4DXNUMXBXNUMXEXNUMXCFAB).
Om die VNC-module te laai, reik die C&C-bediener 'n opdrag uit wat verbindings met die VNC-bediener versoek by 'n spesifieke IP-adres op poort 44443. Die blaaier-dataherwinning-inprop voer TBrowserDataCollector uit, wat IE-blaaigeskiedenis kan lees. Dan stuur dit die volledige lys van besoekte URL's na die C&C-opdragbediener.
Die laaste module wat ontdek is, word 1c_2_kl genoem. Dit kan interaksie hê met die 1C Enterprise-sagtewarepakket. Die module sluit twee dele in: die hoofdeel - DLL en twee agente (32 en 64 bit), wat in elke proses ingespuit sal word, wat 'n binding aan WH_CBT registreer. Nadat dit in die 1C-proses bekendgestel is, bind die module die CreateFile- en WriteFile-funksies. Wanneer die CreateFile bound funksie geroep word, stoor die module die lêerpad 1c_to_kl.txt in die geheue. Nadat die WriteFile-oproep onderskep is, roep dit die WriteFile-funksie en stuur die lêerpad 1c_to_kl.txt na die hoof-DLL-module, en stuur dit die vervaardigde Windows WM_COPYDATA-boodskap aan.
Die hoof DLL-module maak oop en ontleed die lêer om betalingsopdragte te bepaal. Dit herken die bedrag en transaksienommer wat in die lêer vervat is. Hierdie inligting word na die opdragbediener gestuur. Ons glo hierdie module is tans onder ontwikkeling omdat dit 'n ontfoutboodskap bevat en nie outomaties 1c_to_kl.txt kan wysig nie.
4.8.2. Voorregte-eskalasie
RTM kan probeer om voorregte te eskaleer deur vals foutboodskappe te vertoon. Die wanware simuleer 'n registerkontrole (sien prentjie hieronder) of gebruik 'n regte registerredigeerder-ikoon. Let asseblief op die spelfout wag – whait. Na 'n paar sekondes van skandering, vertoon die program 'n vals foutboodskap.
'n Vals boodskap sal die gemiddelde gebruiker maklik mislei, ten spyte van grammatikale foute. As die gebruiker op een van die twee skakels klik, sal RTM probeer om sy voorregte in die stelsel te eskaleer.
Nadat u een van twee herstelopsies gekies het, begin die Trojaan die DLL deur die runas-opsie in die ShellExecute-funksie met administrateurregte te gebruik. Die gebruiker sal 'n regte Windows-opdrag sien (sien prent hieronder) vir hoogte. As die gebruiker die nodige toestemmings gee, sal die Trojaan met administrateur regte loop.
Afhangende van die verstektaal wat op die stelsel geïnstalleer is, vertoon die Trojaan foutboodskappe in Russies of Engels.
4.8.3. Sertifikaat
RTM kan sertifikate by die Windows Store voeg en die betroubaarheid van die byvoeging bevestig deur outomaties op die "ja"-knoppie in die csrss.exe-dialoogkassie te klik. Hierdie gedrag is nie nuut nie; byvoorbeeld, die bank-Trojaanse Retefe bevestig ook onafhanklik die installering van 'n nuwe sertifikaat.
4.8.4. Omgekeerde verbinding
Die RTM-outeurs het ook die Backconnect TCP-tonnel geskep. Ons het die funksie nog nie in gebruik gesien nie, maar dit is ontwerp om besmette rekenaars op afstand te monitor.
4.8.5. Gasheerlêerbestuur
Die C&C-bediener kan 'n opdrag na die Trojaan stuur om die Windows-gasheerlêer te wysig. Die gasheerlêer word gebruik om persoonlike DNS-resolusies te skep.
4.8.6. Soek en stuur 'n lêer
Die bediener kan versoek om 'n lêer op die besmette stelsel te soek en af te laai. Byvoorbeeld, tydens die navorsing het ons 'n versoek vir die lêer 1c_to_kl.txt ontvang. Soos voorheen beskryf, word hierdie lêer gegenereer deur die 1C: Enterprise 8 rekeningkundige stelsel.
4.8.7. Opdateer
Laastens kan RTM-outeurs die sagteware bywerk deur 'n nuwe DLL in te dien om die huidige weergawe te vervang.
5. gevolgtrekking
RTM se navorsing toon dat die Russiese bankstelsel steeds kuberaanvallers lok. Groepe soos Buhtrap, Corkow en Carbanak steel suksesvol geld van finansiële instellings en hul kliënte in Rusland. RTM is 'n nuwe speler in hierdie bedryf.
Kwaadwillige RTM-nutsmiddels is in gebruik sedert ten minste laat 2015, volgens ESET-telemetrie. Die program het 'n volledige reeks spioenasievermoëns, insluitend die lees van slimkaarte, die onderskep van toetsaanslagen en die monitering van banktransaksies, sowel as om na 1C: Enterprise 8-vervoerlêers te soek.
Die gebruik van 'n gedesentraliseerde, ongesensureerde .bit-topvlakdomein verseker hoogs veerkragtige infrastruktuur.
Bron: will.com