የ RTM ሳይበር ቡድን ከሩሲያ ኩባንያዎች ገንዘብ በመስረቅ ላይ ያተኮረ ነው።

ከሩሲያ ኩባንያዎች ገንዘብን በመስረቅ ላይ ያተኮሩ በርካታ የታወቁ የሳይበር ቡድኖች አሉ። ወደ ኢላማው አውታረመረብ ለመግባት የሚያስችሉ የደህንነት ክፍተቶችን በመጠቀም ጥቃቶችን አይተናል። አንዴ መዳረሻ ካገኙ፣ አጥቂዎች የድርጅቱን የኔትወርክ መዋቅር ያጠናሉ እና ገንዘብ ለመስረቅ የራሳቸውን መሳሪያ ያሰማራሉ። የዚህ አዝማሚያ ዓይነተኛ ምሳሌ የጠላፊ ቡድኖች ቡህትራፕ፣ ኮባልት እና ኮርኮው ናቸው።

ይህ ሪፖርት የሚያተኩረው የ RTM ቡድን የዚህ አዝማሚያ አካል ነው። በዴልፊ የተፃፈ በልዩ ሁኔታ የተነደፈ ማልዌር ይጠቀማል፣ በሚቀጥሉት ክፍሎች በዝርዝር እንመለከታለን። በ ESET ቴሌሜትሪ ሲስተም ውስጥ የእነዚህ መሳሪያዎች የመጀመሪያ ምልክቶች በ2015 መጨረሻ ላይ ተገኝተዋል። ቡድኑ እንደ አስፈላጊነቱ የተለያዩ አዳዲስ ሞጁሎችን በተበከሉ ስርዓቶች ላይ ይጭናል። ጥቃቶቹ ያነጣጠሩት በሩሲያ እና በአንዳንድ አጎራባች ሀገራት የርቀት የባንክ ስርዓቶች ተጠቃሚዎች ላይ ነው።

1. ዓላማዎች

የአርቲኤም ዘመቻ በድርጅት ተጠቃሚዎች ላይ ያነጣጠረ ነው - ይህ አጥቂዎች በተበላሸ ስርዓት ውስጥ ለመለየት ከሚሞክሩት ሂደቶች ግልፅ ነው። ትኩረቱ ከሩቅ የባንክ ስርዓቶች ጋር ለመስራት በሂሳብ አያያዝ ሶፍትዌር ላይ ነው.

ለ RTM የፍላጎት ሂደቶች ዝርዝር ከ Buhtrap ቡድን ተጓዳኝ ዝርዝር ጋር ይመሳሰላል ፣ ግን ቡድኖቹ የተለያዩ የኢንፌክሽን ቫይረሶች አሏቸው። ቡህትራፕ የውሸት ገፆችን በብዛት የሚጠቀም ከሆነ፣ አርቲኤም የማውረድ ጥቃቶችን (በአሳሹ ላይ ወይም አካሎቹን) እና በኢሜል አይፈለጌ መልዕክትን ተጠቅሟል። በቴሌሜትሪ መረጃ መሰረት, ዛቻው በሩሲያ እና በአቅራቢያው ባሉ በርካታ አገሮች (ዩክሬን, ካዛክስታን, ቼክ ሪፐብሊክ, ጀርመን) ላይ ያነጣጠረ ነው. ነገር ግን የጅምላ ማከፋፈያ ዘዴዎችን በመጠቀማቸው ማልዌርን ከታለመላቸው ክልሎች ውጭ ማግኘቱ የሚያስደንቅ አይደለም።

አጠቃላይ የማልዌር ማወቂያዎች ብዛት በአንጻራዊ ሁኔታ ትንሽ ነው። በሌላ በኩል, የ RTM ዘመቻ ውስብስብ ፕሮግራሞችን ይጠቀማል, ይህም ጥቃቶቹ በጣም የተነጣጠሩ መሆናቸውን ያመለክታል.

በአርቲኤም ጥቅም ላይ የሚውሉ ብዙ የማታለያ ሰነዶችን አግኝተናል፣የሌሉ ኮንትራቶች፣ ደረሰኞች ወይም የታክስ ሂሳብ ሰነዶችን ጨምሮ። የማታለያዎቹ ባህሪ በጥቃቱ ከተጠቆመው የሶፍትዌር አይነት ጋር ተዳምሮ አጥቂዎቹ በሩሲያ ኩባንያዎች ኔትወርኮች በሂሳብ ክፍል በኩል "እየገቡ" መሆናቸውን ያሳያል። ቡድኑ በተመሳሳዩ እቅድ መሰረት ተንቀሳቅሷል ቡህትራፕ ከ2014-2015 ዓ.ም.

በጥናቱ ወቅት ከበርካታ የC&C አገልጋዮች ጋር መገናኘት ችለናል። ሙሉ የትእዛዞችን ዝርዝር በሚከተለው ክፍል እንዘረዝራለን፣ አሁን ግን ደንበኛው መረጃን ከኪይሎገር በቀጥታ ወደ አጥቂ አገልጋይ ያስተላልፋል ማለት እንችላለን፣ ከዚያ ተጨማሪ ትዕዛዞች ይቀበላሉ።

ነገር ግን፣ በቀላሉ ከትእዛዝ እና አገልጋይ አገልጋይ ጋር መገናኘት እና የሚፈልጓቸውን ሁሉንም መረጃዎች የሚሰበስቡበት ቀናት አልፈዋል። አንዳንድ ተዛማጅ ትዕዛዞችን ከአገልጋዩ ለማግኘት እውነተኛ የሎግ ፋይሎችን ፈጠርን።

ከነሱ የመጀመሪያው ፋይሉን 1c_to_kl.txt - የ 1C: ኢንተርፕራይዝ 8 ፕሮግራም የትራንስፖርት ፋይል ለማዛወር ለቦት ጥያቄ ነው, መልክ በ RTM በንቃት ይቆጣጠራል. 1C የወጪ ክፍያዎችን ወደ የጽሑፍ ፋይል በመስቀል ከርቀት የባንክ ስርዓቶች ጋር ይገናኛል። በመቀጠል ፋይሉ ለክፍያ ትዕዛዝ አውቶማቲክ እና አፈፃፀም ወደ ሩቅ የባንክ ስርዓት ይላካል.

ፋይሉ የክፍያ ዝርዝሮችን ይዟል። አጥቂዎች ስለ ወጪ ክፍያዎች መረጃን ከቀየሩ፣ ዝውውሩ የውሸት ዝርዝሮችን በመጠቀም ወደ አጥቂዎቹ መለያዎች ይላካል።

እነዚህን ፋይሎች ከትእዛዝ እና መቆጣጠሪያ አገልጋይ ከጠየቅን ከአንድ ወር ገደማ በኋላ፣ አዲስ ፕለጊን 1c_2_kl.dll በተበላሸው ሲስተም ላይ ሲጫን ተመልክተናል። ሞጁሉ (ዲኤልኤል) በሂሳብ አያያዝ ሶፍትዌር ሂደቶች ውስጥ ዘልቆ በመግባት የማውረጃውን ፋይል በራስ ሰር ለመተንተን የተነደፈ ነው። በሚቀጥሉት ክፍሎች በዝርዝር እንገልጻለን.

የሚገርመው በ2016 መገባደጃ ላይ የሩሲያ ባንክ FinCERT 1c_to_kl.txt ሰቀላ ፋይሎችን ስለሚጠቀሙ የሳይበር ወንጀለኞች የማስታወቂያ ማስጠንቀቂያ ሰጥቷል። የ1C ገንቢዎችም ስለዚህ እቅድ ያውቃሉ፤ አስቀድመው ይፋዊ መግለጫ ሰጥተዋል እና ቅድመ ጥንቃቄዎችን ዘርዝረዋል።

ሌሎች ሞጁሎችም ከትእዛዝ አገልጋዩ በተለይም VNC (የእሱ 32 እና 64-ቢት ስሪቶች) ተጭነዋል። ቀደም ሲል በ Dridex ትሮጃን ጥቃቶች ውስጥ ጥቅም ላይ ከዋለው የቪኤንሲ ሞጁል ጋር ይመሳሰላል። ይህ ሞጁል ከተበከለ ኮምፒዩተር ጋር በርቀት ለመገናኘት እና የስርዓቱን ዝርዝር ጥናት ለማካሄድ ጥቅም ላይ ይውላል ተብሎ ይታሰባል። በመቀጠል, አጥቂዎቹ በአውታረ መረቡ ውስጥ ለመንቀሳቀስ ይሞክራሉ, የተጠቃሚ የይለፍ ቃሎችን በማውጣት, መረጃን በመሰብሰብ እና የተንኮል አዘል ዌር መኖሩን ያረጋግጣል.

2. የኢንፌክሽን ቬክተሮች

የሚከተለው ምስል በዘመቻው በጥናት ወቅት የተገኙትን የኢንፌክሽን ቬክተሮች ያሳያል። ቡድኑ ሰፋ ያሉ ቬክተሮችን ይጠቀማል ነገር ግን በዋነኛነት የሚነዱ በማውረድ ጥቃቶች እና አይፈለጌ መልዕክት ነው። እነዚህ መሳሪያዎች ለታለሙ ጥቃቶች ምቹ ናቸው, ምክንያቱም በመጀመሪያው ሁኔታ, አጥቂዎች ተጠቂዎች ሊሆኑ የሚችሉትን የጎበኟቸውን ጣቢያዎች መምረጥ ይችላሉ, እና በሁለተኛው ውስጥ, በቀጥታ ወደሚፈለጉት የኩባንያው ሰራተኞች ከአባሪዎች ጋር ኢሜል መላክ ይችላሉ.

ማልዌር በተለያዩ ቻናሎች ይሰራጫል፣ RIG እና Sundown የብዝበዛ ኪት ወይም አይፈለጌ መልእክት መላክን ጨምሮ፣ በአጥቂዎቹ እና እነዚህን አገልግሎቶች በሚሰጡ ሌሎች የሳይበር አጥቂዎች መካከል ያለውን ግንኙነት ያሳያል።

2.1. RTM እና Buhtrap እንዴት ይዛመዳሉ?

የአርቲኤም ዘመቻ ከBuhtrap ጋር በጣም ተመሳሳይ ነው። ተፈጥሯዊው ጥያቄ-እንዴት እርስ በርስ የተያያዙ ናቸው?

በሴፕቴምበር 2016 የBuhtrap መስቀያውን በመጠቀም የRTM ናሙና ሲሰራጭ ተመልክተናል። በተጨማሪም፣ በሁለቱም ቡህትራፕ እና አርቲኤም ውስጥ ጥቅም ላይ የዋሉ ሁለት ዲጂታል ሰርተፊኬቶችን አግኝተናል።

የመጀመሪያው፣ ለኩባንያው DNISTER-M ተሰጥቷል የተባለው፣ ሁለተኛውን የዴልፊ ቅጽ (SHA-1፡ 025C718BA31E43DB1B87DC13F94A61A9338C11CE) እና ቡህትራፕ ዲኤልኤል (SHA-1፡ 1E2642B454C2FD889FD6FD41116FCD83A6FD ).

ሁለተኛው፣ ለቢት-ትሬድጅ የተሰጠ፣ የቡህትራፕ ሎደሮችን ለመፈረም ያገለግል ነበር (SHA-1፡ 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 እና B74F71560E48488D2153AE2FB51207A0AC206 እንደ ማውረጃ እና እንደ RTME2FBXNUMXAXNUMXACXNUMX)

የአርቲኤም ኦፕሬተሮች ለሌሎች ማልዌር ቤተሰቦች የተለመዱ የምስክር ወረቀቶችን ይጠቀማሉ፣ነገር ግን ልዩ የምስክር ወረቀትም አላቸው። እንደ ESET ቴሌሜትሪ፣ ለኪት-ኤስዲ የተሰጠ ሲሆን አንዳንድ RTM ማልዌር ለመፈረም ብቻ ጥቅም ላይ ውሏል (SHA-1፡ 42A4B04446A20993DDAE98B2BE6D5A797376D4B6)።

RTM ልክ እንደ Buhtrap ተመሳሳይ ሎደር ይጠቀማል፣ የአርቲኤም ክፍሎች ከ Buhtrap መሠረተ ልማት ተጭነዋል፣ ስለዚህ ቡድኖቹ ተመሳሳይ የኔትወርክ አመልካቾች አሏቸው። ሆኖም ግን እንደእኛ ግምት RTM እና Buhtrap የተለያዩ ቡድኖች ናቸው, ቢያንስ RTM በተለያየ መንገድ ስለሚሰራጭ ("የውጭ" ማውረድ ብቻ አይደለም).

ይህ ቢሆንም, የጠላፊ ቡድኖች ተመሳሳይ የአሠራር መርሆችን ይጠቀማሉ. በሂሳብ አያያዝ ሶፍትዌር በመጠቀም፣በተመሳሳይ መልኩ የስርዓት መረጃን በመሰብሰብ፣ስማርት ካርድ አንባቢን በመፈለግ እና ተጎጂዎችን ለመሰለል ብዙ ተንኮል አዘል መሳሪያዎችን በማሰማራት ንግዶችን ኢላማ ያደርጋሉ።

3. ዝግመተ ለውጥ

በዚህ ክፍል በጥናቱ ወቅት የተገኙትን የተለያዩ የማልዌር ስሪቶችን እንመለከታለን።

3.1. ስሪት ማውጣት

RTM የውቅር ውሂብን በመመዝገቢያ ክፍል ውስጥ ያከማቻል ፣ በጣም አስደሳችው ክፍል botnet-prefix ነው። ባጠናናቸው ናሙናዎች ውስጥ ያየናቸው የሁሉም እሴቶች ዝርዝር ከዚህ በታች ባለው ሠንጠረዥ ቀርቧል።

እሴቶቹ የማልዌር ስሪቶችን ለመመዝገብ ጥቅም ላይ ሊውሉ ይችላሉ. ሆኖም፣ እንደ bit2 እና bit3፣ 0.1.6.4 እና 0.1.6.6 ባሉ ስሪቶች መካከል ብዙ ልዩነት አላስተዋልንም። ከዚህም በላይ ከቅድመ-ቅጥያዎቹ አንዱ ከመጀመሪያው ጀምሮ የነበረ እና ከተለመደው የC&C ጎራ ወደ .ቢት ጎራ ተለውጧል፣ ከታች እንደሚታየው።

3.2. መርሐግብር

የቴሌሜትሪ መረጃን በመጠቀም, የናሙናዎች መከሰት ግራፍ ፈጠርን.

4. ቴክኒካዊ ትንተና

በዚህ ክፍል የ RTM ባንኪንግ ትሮጃን ዋና ተግባራትን ማለትም የመቋቋም ዘዴዎችን ፣ የ RC4 ስልተ ቀመር የራሱን ስሪት ፣ የአውታረ መረብ ፕሮቶኮልን ፣ የስለላ ተግባርን እና አንዳንድ ሌሎች ባህሪያትን እንገልፃለን ። በተለይም በSHA-1 ናሙናዎች AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 እና 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B ላይ እናተኩራለን።

4.1. መጫን እና ማስቀመጥ

4.1.1. መተግበር

የ RTM ኮር ዲኤልኤል ነው፣ ቤተ-መጽሐፍቱ .EXE በመጠቀም ዲስክ ላይ ተጭኗል። ተፈፃሚው ፋይል ብዙውን ጊዜ የታሸገ እና የዲኤልኤል ኮድ ይይዛል። ከተጀመረ በኋላ ዲኤልኤልን አውጥቶ የሚከተለውን ትዕዛዝ በመጠቀም ያስኬዳል፡-

rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host

4.1.2. ዲኤልኤል

ዋናው DLL ሁልጊዜ በ%PROGRAMDATA%Winlogon አቃፊ ውስጥ እንደ winlogon.lnk ወደ ዲስክ ይጫናል. ይህ የፋይል ቅጥያ አብዛኛውን ጊዜ ከአቋራጭ ጋር ይያያዛል፣ ነገር ግን ፋይሉ በእውነቱ በዴልፊ የተጻፈ ዲኤልኤል ነው፣ በገንቢው core.dll ተሰይሟል፣ ከታች በምስሉ ላይ እንደሚታየው።

Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361

አንዴ ከተጀመረ ትሮጃን የመቋቋም ዘዴውን ያንቀሳቅሰዋል። ይህ በተጠቂው በስርአቱ ውስጥ ባለው ልዩ መብት ላይ በመመስረት በሁለት የተለያዩ መንገዶች ሊከናወን ይችላል። የአስተዳዳሪ መብቶች ካሉዎት፣ ትሮጃኑ የዊንዶውስ ዝመና ግቤትን ወደ HKLMSOFTWAREMIcrosoftWindowsCurrentVersionRun መዝገብ ያክላል። በዊንዶውስ ዝመና ውስጥ ያሉት ትዕዛዞች በተጠቃሚው ክፍለ ጊዜ መጀመሪያ ላይ ይሰራሉ።

HKLMSOFTWAREMIcrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe “%PROGRAMDATA%winlogon.lnk”፣DllGetClassObject አስተናጋጅ

ትሮጃኑ በዊንዶውስ ተግባር መርሐግብር ላይ አንድ ተግባር ለመጨመርም ይሞክራል። ተግባሩ የ winlogon.lnk DLL ከላይ ከተጠቀሱት ተመሳሳይ መለኪያዎች ጋር ይጀምራል. መደበኛ የተጠቃሚ መብቶች ትሮጃን የዊንዶውስ ዝመና ግቤት ከተመሳሳይ ውሂብ ጋር ወደ HKCUSoftwareMicrosoftWindowsCurrentVersionRun መዝገብ እንዲጨምር ያስችለዋል።

rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host

4.2. የተሻሻለው RC4 ስልተ ቀመር

የታወቁ ድክመቶች ቢኖሩም, የ RC4 አልጎሪዝም በመደበኛነት በማልዌር ደራሲዎች ጥቅም ላይ ይውላል. ነገር ግን፣ የRTM ፈጣሪዎች በትንሹ አሻሽለውታል፣ ምናልባትም የቫይረስ ተንታኞችን ተግባር የበለጠ ከባድ ለማድረግ። የተሻሻለው የRC4 ስሪት ሕብረቁምፊዎችን፣ የአውታረ መረብ ውሂብን፣ ውቅረትን እና ሞጁሎችን ለማመስጠር በተንኮል አዘል RTM መሳሪያዎች ውስጥ በሰፊው ጥቅም ላይ ይውላል።

4.2.1. ልዩነቶች

የመጀመሪያው RC4 አልጎሪዝም ሁለት ደረጃዎችን ያካትታል፡- s-block ማስጀመሪያ (የሚባለው KSA - የቁልፍ መርሐግብር አልጎሪዝም) እና የውሸት-የዘፈቀደ ቅደም ተከተል ማመንጨት (PRGA - የውሸት-የዘፈቀደ ትውልድ አልጎሪዝም)። የመጀመሪያው ደረጃ ቁልፉን በመጠቀም s-box ማስጀመርን ያካትታል, በሁለተኛው ደረጃ ደግሞ የምንጭ ጽሑፍ s-boxን በመጠቀም ምስጠራ ይከናወናል.

የRTM ደራሲዎች በ s-box ጅምር እና ምስጠራ መካከል መካከለኛ ደረጃ አክለዋል። ተጨማሪ ቁልፉ ተለዋዋጭ ነው እና መረጃው ለመመስጠር እና ለመበተን በተመሳሳይ ጊዜ ይዘጋጃል። ይህንን ተጨማሪ እርምጃ የሚያከናውነው ተግባር ከዚህ በታች ባለው ስእል ውስጥ ይታያል.

4.2.2. የሕብረቁምፊ ምስጠራ

በመጀመሪያ ሲታይ በዋናው ዲኤልኤል ውስጥ ብዙ ሊነበቡ የሚችሉ መስመሮች አሉ. የተቀሩት ከላይ የተገለጸውን አልጎሪዝም በመጠቀም የተመሰጠሩ ናቸው, አወቃቀሩ በሚከተለው ምስል ላይ ይታያል. ለሕብረቁምፊ ምስጠራ ከ25 በላይ የተለያዩ የRC4 ቁልፎችን በተተነተነው ናሙና ውስጥ አግኝተናል። የXOR ቁልፍ ለእያንዳንዱ ረድፍ የተለየ ነው። የቁጥር መስክ መለያ መስመሮች ዋጋ ሁልጊዜ 0xFFFFFFFF ነው።

በአፈፃፀም መጀመሪያ ላይ RTM ገመዶቹን ወደ ዓለም አቀፍ ተለዋዋጭ ዲክሪፕት ያደርጋል። ሕብረቁምፊን ለማግኘት አስፈላጊ ሆኖ ሲገኝ ትሮጃኑ ዲክሪፕት የተደረጉትን ሕብረቁምፊዎች አድራሻ በመሠረት አድራሻ እና ማካካሻ ላይ በመመስረት በተለዋዋጭ ያሰላል።

ሕብረቁምፊዎቹ ስለ ማልዌር ተግባራት አስደሳች መረጃዎችን ይዘዋል። አንዳንድ ምሳሌዎች ሕብረቁምፊዎች በክፍል 6.8 ውስጥ ቀርበዋል.

4.3. አውታረ መረብ

አርቲኤም ማልዌር የC&C አገልጋይን የሚገናኝበት መንገድ እንደየስሪት ይለያያል። የመጀመሪያዎቹ ማሻሻያዎች (ጥቅምት 2015 - ኤፕሪል 2016) የትዕዛዙን ዝርዝር ለማዘመን ከRSS ምግብ ጋር ባህላዊ የጎራ ስሞችን ተጠቅመዋል።

ከኤፕሪል 2016 ጀምሮ፣ በቴሌሜትሪ መረጃ ውስጥ ወደ .bit ጎራዎች ሲቀየር አይተናል። ይህ በጎራ መመዝገቢያ ቀን የተረጋገጠው - የመጀመሪያው RTM ጎራ fde05d0573da.bit በማርች 13, 2016 ተመዝግቧል።

ዘመቻውን ስንከታተል ያየናቸው ሁሉም ዩአርኤሎች የጋራ መንገድ ነበራቸው፡ /r/z.php. በጣም ያልተለመደ ነው እና በኔትወርክ ፍሰቶች ውስጥ የRTM ጥያቄዎችን ለመለየት ይረዳል።

4.3.1. ለትዕዛዝ እና ቁጥጥር ቻናል

የቆዩ ምሳሌዎች የትዕዛዝ እና የቁጥጥር አገልጋዮቻቸውን ዝርዝር ለማዘመን ይህንን ሰርጥ ተጠቅመዋል። ማስተናገጃ በ livejournal.com ላይ ይገኛል፣ ሪፖርቱን በሚጽፉበት ጊዜ URL hxxp://f72bba81c921(.)livejournal(.)com/ data/rss ላይ ቆይቷል።

የቀጥታ ጆርናል የብሎግንግ መድረክን የሚያቀርብ የሩሲያ-አሜሪካዊ ኩባንያ ነው። የአርቲኤም ኦፕሬተሮች የ LJ ብሎግ ይፈጥራሉ በኮድ የተቀመጡ ትዕዛዞችን የያዘ ጽሑፍ የሚለጥፉበት - ቅጽበታዊ ገጽ እይታን ይመልከቱ።

የትእዛዝ እና የቁጥጥር ሕብረቁምፊዎች የተቀየረውን RC4 ስልተቀመር (ክፍል 4.2) በመጠቀም ነው የተቀመጡት። የአሁኑ የሰርጡ ስሪት (ህዳር 2016) የሚከተሉትን የትዕዛዝ እና የቁጥጥር አገልጋይ አድራሻዎችን ይዟል።

• hxxp://cainmoon(.)net/r/z.php
• hxxp://rtm(.)dev/0-3/z.php
• hxxp://vpntap(.)top/r/z.php

4.3.2. .ቢት ጎራዎች

በአብዛኛዎቹ የRTM ናሙናዎች፣ ደራሲዎች የ.bit TLD ከፍተኛ ደረጃን በመጠቀም ከC&C ጎራዎች ጋር ይገናኛሉ። በ ICANN (የጎራ ስም እና የበይነመረብ ኮርፖሬሽን) የከፍተኛ ደረጃ ጎራዎች ዝርዝር ውስጥ የለም። በምትኩ, በ Bitcoin ቴክኖሎጂ ላይ የተገነባውን የ Namecoin ስርዓት ይጠቀማል. የማልዌር ደራሲዎች ብዙ ጊዜ .bit TLD ን ለጎራዎቻቸው አይጠቀሙም ፣ ምንም እንኳን የዚህ አይነት አጠቃቀም ምሳሌ ቀደም ሲል በ Necurs botnet ስሪት ውስጥ ታይቷል ።

እንደ Bitcoin ሳይሆን የተከፋፈለው Namecoin የውሂብ ጎታ ተጠቃሚዎች ውሂብን የመቆጠብ ችሎታ አላቸው። የዚህ ባህሪ ዋና መተግበሪያ የ.bit ከፍተኛ ደረጃ ጎራ ነው። በተከፋፈለ የውሂብ ጎታ ውስጥ የሚቀመጡ ጎራዎችን መመዝገብ ይችላሉ። በመረጃ ቋቱ ውስጥ ያሉት ተዛማጅ ግቤቶች በጎራው የተፈቱ የአይፒ አድራሻዎችን ይይዛሉ። ይህ TLD "ሳንሱርን የሚቋቋም" ነው ምክንያቱም የ.ቢት ጎራውን ጥራት መቀየር የሚችለው ተመዝጋቢው ብቻ ነው። ይህ ማለት ይህን አይነት TLD በመጠቀም ተንኮል አዘል ጎራ ማቆም በጣም ከባድ ነው ማለት ነው።

የአርቲኤም ትሮጃን የተከፋፈለውን የ Namecoin ዳታቤዝ ለማንበብ አስፈላጊ የሆነውን ሶፍትዌር አላካተተም። የ.ቢት ጎራዎችን ለመፍታት እንደ dns.dot-bit.org ወይም OpenNic አገልጋዮች ያሉ ማዕከላዊ የዲኤንኤስ አገልጋዮችን ይጠቀማል። ስለዚህ, እንደ ዲ ኤን ኤስ አገልጋዮች ተመሳሳይ ጥንካሬ አለው. አንዳንድ የቡድን ጎራዎች በብሎግ ልጥፍ ውስጥ ከተጠቀሱ በኋላ እንዳልተገኙ ተመልክተናል።

ሌላው የ.bit TLD ለጠላፊዎች ጥቅም ዋጋ ነው። ጎራ ለመመዝገብ ኦፕሬተሮች 0,01 NK ብቻ መክፈል አለባቸው ይህም ከ $0,00185 (ከዲሴምበር 5, 2016 ጀምሮ) ጋር ይዛመዳል። ለማነጻጸር፣ domain.com ቢያንስ 10 ዶላር ያወጣል።

4.3.3. ፕሮቶኮል

ከትዕዛዙ እና ከቁጥጥር አገልጋዩ ጋር ለመገናኘት፣አርቲኤም ብጁ ፕሮቶኮልን በመጠቀም በተቀረጸ መረጃ የ HTTP POST ጥያቄዎችን ይጠቀማል። የመንገዱ ዋጋ ሁልጊዜ /r/z.php; ሞዚላ/5.0 የተጠቃሚ ወኪል (ተኳሃኝ፣ MSIE 9.0፣ Windows NT 6.1፣ Trident/5.0)። ለአገልጋዩ በሚቀርቡ ጥያቄዎች ውሂቡ በሚከተለው መልኩ ተቀርጿል፣ የማካካሻ እሴቶቹ በባይት ሲገለጹ፡

ባይት ከ 0 እስከ 6 አልተቀመጡም; ከ 6 የሚጀምሩ ባይቶች የተቀየረውን RC4 ስልተቀመር በመጠቀም ነው የተቀመጡት። የC&C ምላሽ ጥቅል አወቃቀር ቀላል ነው። ባይት ከ 4 ወደ ፓኬት መጠን ተቀምጧል።

ሊሆኑ የሚችሉ የድርጊት ባይት እሴቶች ዝርዝር ከዚህ በታች ባለው ሠንጠረዥ ውስጥ ቀርቧል።

ማልዌር ሁልጊዜ ዲክሪፕት የተደረገውን ውሂብ CRC32 ያሰላል እና በፓኬቱ ውስጥ ካለው ጋር ያወዳድራል። የሚለያዩ ከሆነ ትሮጃኑ ፓኬጁን ይጥላል።
ተጨማሪው መረጃ የPE ፋይልን፣ በፋይል ስርዓቱ ውስጥ የሚፈለግ ፋይል ወይም አዲስ የትዕዛዝ URLsን ጨምሮ የተለያዩ ነገሮችን ሊይዝ ይችላል።

4.3.4. ፓነል

RTM በC&C አገልጋዮች ላይ ፓነል እንደሚጠቀም አስተውለናል። ከታች ያለው ቅጽበታዊ ገጽ እይታ፡-

4.4. የባህሪ ምልክት

RTM የተለመደ የባንክ ትሮጃን ነው። ኦፕሬተሮች ስለ ተጎጂው ስርዓት መረጃ መፈለጋቸው ምንም አያስደንቅም. በአንድ በኩል, ቦት ስለ OS አጠቃላይ መረጃ ይሰበስባል. በሌላ በኩል ፣ የተበላሸው ስርዓት ከሩሲያ የርቀት የባንክ ስርዓቶች ጋር የተዛመዱ ባህሪዎችን እንደያዘ ይገነዘባል።

4.4.1. አጠቃላይ መረጃ

ዳግም ከተነሳ በኋላ ማልዌር ሲጫን ወይም ሲጀመር፣ አጠቃላይ መረጃን የያዘ ሪፖርት ወደ ትዕዛዝ እና መቆጣጠሪያ አገልጋይ ይላካል፡-

• የጊዜ ክልል;
• ነባሪ የስርዓት ቋንቋ;
• የተፈቀደ የተጠቃሚ ምስክርነቶች;
• የሂደቱ ትክክለኛነት ደረጃ;
• የተጠቃሚ ስም;
• የኮምፒተር ስም;
• የስርዓተ ክወና ስሪት;
• ተጨማሪ የተጫኑ ሞጁሎች;
• የተጫነ የጸረ-ቫይረስ ፕሮግራም;
• የስማርት ካርድ አንባቢዎች ዝርዝር።

4.4.2 የርቀት የባንክ ሥርዓት

የተለመደው የትሮጃን ኢላማ የርቀት የባንክ ሥርዓት ነው፣ እና RTM ከዚህ የተለየ አይደለም። ከፕሮግራሙ ሞጁሎች አንዱ ቲቢዶ ተብሎ የሚጠራ ሲሆን ይህም የተለያዩ ተግባራትን ያከናውናል, ይህም ዲስክን የመቃኘት እና የአሰሳ ታሪክን ያካትታል.

ዲስኩን በመቃኘት ትሮጃኑ የባንክ ሶፍትዌር በማሽኑ ላይ መጫኑን ያረጋግጣል። የዒላማ ፕሮግራሞች ሙሉ ዝርዝር ከዚህ በታች ባለው ሠንጠረዥ ውስጥ አለ። የፍላጎት ፋይል ካገኘ በኋላ ፕሮግራሙ መረጃን ወደ ትእዛዝ አገልጋዩ ይልካል። የሚቀጥሉት ድርጊቶች በትእዛዝ ማእከል (C&C) ስልተ ቀመሮች በተገለጸው አመክንዮ ላይ ይመሰረታሉ።

አርቲኤም በአሳሽ ታሪክህ ውስጥ የዩአርኤል ንድፎችን እና ክፍት ትሮችን ይፈልጋል። በተጨማሪም፣ ፕሮግራሙ የ FindNextUrlCacheEntryA እና FindFirstUrlCacheEntryA ተግባራትን እንዲሁም እያንዳንዱን ግቤት ዩአርኤሉን ከሚከተሉት ቅጦች ጋር ለማዛመድ ይፈትሻል፡

ክፍት ትሮችን ካገኘ በኋላ ትሮጃኑ ኢንተርኔት ኤክስፕሎረር ወይም ፋየርፎክስ በተለዋዋጭ ዳታ ልውውጥ (DDE) ዘዴ አማካኝነት ትሩ ከስርዓተ-ጥለት ጋር ይዛመዳል የሚለውን ለማረጋገጥ ይገናኛል።

የአሰሳ ታሪክዎን እና ክፍት ትሮችን መፈተሽ የሚከናወነው በ WHILE loop (ቅድመ ሁኔታ ያለው ሉፕ) በቼኮች መካከል ባለው የ1 ሰከንድ መቋረጥ ነው። በእውነተኛ ጊዜ ክትትል የሚደረግባቸው ሌሎች መረጃዎች በክፍል 4.5 ውስጥ ይብራራሉ.

ስርዓተ-ጥለት ከተገኘ ፕሮግራሙ ከሚከተለው ሰንጠረዥ የሕብረቁምፊዎች ዝርዝር በመጠቀም ይህንን ለትእዛዝ አገልጋዩ ያሳውቃል።

4.5 ክትትል

ትሮጃን በሚሰራበት ጊዜ የተበከለውን ስርዓት ባህሪ ባህሪያት መረጃ (የባንክ ሶፍትዌር መኖሩን ጨምሮ) መረጃ ወደ ትዕዛዝ እና መቆጣጠሪያ አገልጋይ ይላካል. የጣት አሻራ የሚከሰተው RTM ከመጀመሪያው የስርዓተ ክወና ፍተሻ በኋላ ወዲያውኑ የክትትል ስርዓቱን ሲሰራ ነው።

4.5.1. የርቀት ባንክ

የቲቢዶ ሞጁል ከባንክ ጋር የተያያዙ ሂደቶችን የመቆጣጠር ሃላፊነትም አለበት። በፋየርፎክስ እና በኢንተርኔት ኤክስፕሎረር የመጀመሪያ ቅኝት ወቅት ትሮችን ለመፈተሽ ተለዋዋጭ የመረጃ ልውውጥን ይጠቀማል። ሌላ የ TShell ሞጁል የትዕዛዝ መስኮቶችን (ኢንተርኔት ኤክስፕሎረር ወይም ፋይል ኤክስፕሎረር) ለመቆጣጠር ያገለግላል።

ሞጁሉ መስኮቶችን ለመከታተል የ COM በይነገጽን IShellWindows፣ iWebBrowser፣ DWebBrowserEvents2 እና IConnectionPointContainerን ይጠቀማል። አንድ ተጠቃሚ ወደ አዲስ ድረ-ገጽ ሲሄድ ማልዌር ይህንን ያስተውላል። ከዚያ የገጹን ዩአርኤል ከላይ ካሉት ቅጦች ጋር ያወዳድራል። ግጥሚያ ካገኘ በኋላ ትሮጃኑ በ5 ሰከንድ ልዩነት ስድስት ተከታታይ ቅጽበታዊ ገጽ እይታዎችን ወስዶ ወደ C&S ትዕዛዝ አገልጋይ ይልካል። ፕሮግራሙ ከባንክ ሶፍትዌሮች ጋር የተያያዙ አንዳንድ የመስኮት ስሞችን ይፈትሻል - ሙሉ ዝርዝሩ ከዚህ በታች ቀርቧል፡-

4.5.2. ስማርት ካርድ

RTM ከተበከሉ ኮምፒውተሮች ጋር የተገናኙ ስማርት ካርድ አንባቢዎችን እንዲከታተሉ ያስችልዎታል። እነዚህ መሣሪያዎች የክፍያ ትዕዛዞችን ለማስታረቅ በአንዳንድ አገሮች ጥቅም ላይ ይውላሉ። የዚህ አይነት መሳሪያ ከኮምፒዩተር ጋር የተያያዘ ከሆነ ማሽኑ ለባንክ ግብይት እየዋለ መሆኑን ለትሮጃን ሊያመለክት ይችላል።

እንደሌሎች የባንክ ትሮጃኖች፣ RTM ከእንደዚህ አይነት ስማርት ካርዶች ጋር መገናኘት አይችልም። ምናልባት ይህ ተግባር እስካሁን ባላየነው ተጨማሪ ሞጁል ውስጥ ተካትቷል።

4.5.3. ኪይሎገር

የተበከለውን ፒሲ የመከታተል አስፈላጊ አካል የቁልፍ ጭነቶችን መያዝ ነው። የ RTM አዘጋጆች መደበኛ ቁልፎችን ብቻ ሳይሆን ምናባዊ የቁልፍ ሰሌዳውን እና ክሊፕቦርድን ስለሚቆጣጠሩ ምንም መረጃ ያጡ አይመስልም።

ይህንን ለማድረግ የ SetWindowsHookExA ተግባርን ይጠቀሙ። አጥቂዎች የተጫኑትን ቁልፎች ወይም ከቨርቹዋል ኪቦርዱ ጋር የሚዛመዱ ቁልፎችን ከፕሮግራሙ ስም እና ቀን ጋር ይመዘግባሉ። ቋቱ ወደ C&C ትዕዛዝ አገልጋይ ይላካል።

የ SetClipboardViewer ተግባር የቅንጥብ ሰሌዳውን ለመጥለፍ ይጠቅማል። መረጃው ጽሑፍ ሲሆን ጠላፊዎች የቅንጥብ ሰሌዳውን ይዘቶች ይመዘግባሉ። ቋቱ ወደ አገልጋዩ ከመላኩ በፊት ስሙ እና ቀኑ እንዲሁ ተመዝግቧል።

4.5.4. ቅጽበታዊ ገጽ እይታዎች

ሌላው የRTM ተግባር የቅጽበታዊ ገጽ እይታ መጥለፍ ነው። ባህሪው የሚተገበረው የመስኮት መቆጣጠሪያ ሞዱል የፍላጎት ጣቢያ ወይም የባንክ ሶፍትዌር ሲያገኝ ነው። ቅጽበታዊ ገጽ እይታዎች የግራፊክ ምስሎችን ቤተ-መጽሐፍት በመጠቀም ይነሳሉ እና ወደ ትዕዛዝ አገልጋይ ይዛወራሉ.

4.6. ማራገፍ

የC&C አገልጋይ ማልዌር እንዳይሰራ ያቆማል እና ኮምፒውተርዎን ያጸዳል። ትዕዛዙ RTM በሚሰራበት ጊዜ የተፈጠሩ ፋይሎችን እና የመመዝገቢያ ምዝግቦችን እንዲያጸዱ ይፈቅድልዎታል. ከዚያ በኋላ DLL ማልዌርን እና የዊንሎጎን ፋይልን ለማስወገድ ይጠቅማል, ከዚያ በኋላ ትዕዛዙ ኮምፒውተሩን ይዘጋዋል. ከታች ባለው ምስል እንደሚታየው ዲኤልኤል በገንቢዎች erase.dll በመጠቀም ይወገዳል።

አገልጋዩ ለትሮጃን አጥፊ የማራገፍ-መቆለፊያ ትእዛዝ መላክ ይችላል። በዚህ አጋጣሚ፣ የአስተዳዳሪ መብቶች ካሉዎት፣ RTM የ MBR ቡት ሴክተሩን በሃርድ ድራይቭ ላይ ይሰርዘዋል። ይህ ካልሰራ, ትሮጃን የ MBR ቡት ሴክተሩን ወደ የዘፈቀደ ዘርፍ ለመቀየር ይሞክራል - ከዚያም ኮምፒዩተሩ ከተዘጋ በኋላ ስርዓተ ክወናውን ማስነሳት አይችልም. ይህ የስርዓተ ክወናውን ሙሉ በሙሉ እንደገና መጫን ሊያስከትል ይችላል, ይህም ማለት የማስረጃ መጥፋት ማለት ነው.

የአስተዳዳሪ ልዩ መብቶች ከሌለ ማልዌር በ RTM DLL ውስጥ የተቀመጠ .EXE ይጽፋል። ተፈፃሚው ኮምፒተርን ለመዝጋት የሚያስፈልገውን ኮድ ያስፈጽማል እና ሞጁሉን በ HKCurrentVersionRun መዝገብ ቤት ውስጥ ይመዘግባል. ተጠቃሚው ክፍለ ጊዜ በጀመረ ቁጥር ኮምፒዩተሩ ወዲያውኑ ይዘጋል።

4.7. የማዋቀሪያው ፋይል

በነባሪ ፣ RTM ምንም የውቅር ፋይል የለውም ፣ ግን የትዕዛዝ እና የቁጥጥር አገልጋዩ በመዝገቡ ውስጥ የሚቀመጡ እና በፕሮግራሙ ጥቅም ላይ የሚውሉ የውቅር እሴቶችን መላክ ይችላል። የማዋቀሪያ ቁልፎች ዝርዝር ከዚህ በታች ባለው ሠንጠረዥ ውስጥ ቀርቧል።

ውቅሩ በሶፍትዌር [የይስሙላ-ራንደም string] መዝገብ ቁልፍ ውስጥ ተከማችቷል። እያንዳንዱ እሴት በቀደመው ሠንጠረዥ ውስጥ ከቀረቡት ረድፎች ከአንዱ ጋር ይዛመዳል። እሴቶች እና መረጃዎች በ RTM ውስጥ የ RC4 አልጎሪዝምን በመጠቀም የተቀመጡ ናቸው።

ውሂቡ እንደ አውታረ መረብ ወይም ሕብረቁምፊዎች ተመሳሳይ መዋቅር አለው። ባለ አራት ባይት XOR ቁልፍ በተቀጠረው መረጃ መጀመሪያ ላይ ተጨምሯል። ለማዋቀር ዋጋዎች የ XOR ቁልፉ የተለየ ነው እና በእሴቱ መጠን ይወሰናል. እንደሚከተለው ሊሰላ ይችላል.

xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| ሌን(የዋጋ_ዋጋ)| (len(config_value) << 8)

4.8. ሌሎች ተግባራት

በመቀጠል፣ RTM የሚደግፋቸውን ሌሎች ተግባራትን እንመልከት።

4.8.1. ተጨማሪ ሞጁሎች

ትሮጃን ተጨማሪ ሞጁሎችን ያካትታል, እነሱም DLL ፋይሎች ናቸው. ከ C&C ትዕዛዝ አገልጋይ የተላኩ ሞጁሎች እንደ ውጫዊ ፕሮግራሞች ሊከናወኑ ይችላሉ ፣ በ RAM ውስጥ ይንፀባርቃሉ እና በአዲስ ክሮች ውስጥ ይጀምራሉ። ለማከማቻ፣ ሞጁሎች በዲቲ ፋይሎች ውስጥ ይቀመጣሉ እና በ RC4 አልጎሪዝም ለአውታረ መረብ ግንኙነቶች ጥቅም ላይ በሚውለው ተመሳሳይ ቁልፍ ይቀመጣሉ።

እስካሁን ድረስ የቪኤንሲ ሞጁሉን (8966319882494077C21F66A8354E2CBCA0370464)፣ የአሳሽ ዳታ ማውጣት ሞጁል (03DE8622BE6B2F75A364A275995C3411626C4D9c1klE እና The2C1C562D1c69C6C58D88753c7klE 0FBA3 B4BEXNUMXDXNUMXBXNUMXEXNUMXCFAB)።

የቪኤንሲ ሞጁሉን ለመጫን የC&C አገልጋይ ከቪኤንሲ አገልጋይ ጋር ግንኙነቶችን የሚጠይቅ ትእዛዝ በፖርት 44443 የተወሰነ IP አድራሻ ይሰጣል። የአሳሽ ዳታ ማግኛ ፕለጊን የ IE አሰሳ ታሪክን ማንበብ የሚችል TBrowserDataCollector ን ይሰራል። ከዚያ ሙሉውን የተጎበኙ ዩአርኤሎች ዝርዝር ወደ C&C ትዕዛዝ አገልጋይ ይልካል።

የመጨረሻው የተገኘ ሞጁል 1c_2_kl ይባላል። ከ1C ኢንተርፕራይዝ ሶፍትዌር ጥቅል ጋር መስተጋብር መፍጠር ይችላል። ሞጁሉ ሁለት ክፍሎችን ያካትታል: ዋናው ክፍል - DLL እና ሁለት ወኪሎች (32 እና 64 ቢት), በእያንዳንዱ ሂደት ውስጥ በመርፌ የሚገቡት, ከ WH_CBT ጋር አስገዳጅነት ይመዘግባል. ወደ 1C ሂደት ከገባ በኋላ ሞጁሉ የ CreateFile እና WriteFile ተግባራትን ያገናኛል። የ CreateFile ማሰሪያ ተግባር በተጠራ ቁጥር ሞጁሉ የፋይል ዱካውን 1c_to_kl.txt በማህደረ ትውስታ ውስጥ ያከማቻል። የWriteFile ጥሪውን ከጠለፈ በኋላ የWriteFile ተግባርን በመጥራት የፋይል ዱካውን 1c_to_kl.txt ወደ ዋናው DLL ሞጁል ይልካል እና የተሰራውን የዊንዶውስ WM_COPYDATA መልእክት ያስተላልፋል።

ዋናው የዲኤልኤል ሞጁል የክፍያ ትዕዛዞችን ለመወሰን ፋይሉን ይከፍታል እና ይተነትናል. በፋይሉ ውስጥ ያለውን መጠን እና የግብይት ቁጥር ያውቃል። ይህ መረጃ ወደ ትዕዛዝ አገልጋይ ይላካል. ይህ ሞጁል በአሁኑ ጊዜ በመገንባት ላይ ነው ብለን እናምናለን ምክንያቱም የማረም መልእክት ስለያዘ እና 1c_to_kl.txtን በራስ ሰር መቀየር አይችልም።

4.8.2. የልዩነት መጨመር

RTM የውሸት የስህተት መልዕክቶችን በማሳየት ልዩ መብቶችን ለመጨመር ሊሞክር ይችላል። ማልዌር የመመዝገቢያ ቼክን ያስመስላል (ከዚህ በታች ያለውን ምስል ይመልከቱ) ወይም እውነተኛ የመመዝገቢያ አርታኢ አዶን ይጠቀማል። እባክዎን የተሳሳተ የፊደል አጻጻፍ መጠበቅን ያስተውሉ - ምን። ከጥቂት ሰከንዶች ፍተሻ በኋላ ፕሮግራሙ የተሳሳተ የስህተት መልእክት ያሳያል።

የሰዋሰው ስህተት ቢኖርም የውሸት መልእክት ተራውን ተጠቃሚ በቀላሉ ያታልላል። ተጠቃሚው ከሁለቱ አገናኞች አንዱን ጠቅ ካደረገ፣ RTM በስርዓቱ ውስጥ ያለውን ልዩ መብት ለማሳደግ ይሞክራል።

ከሁለት የመልሶ ማግኛ አማራጮች ውስጥ አንዱን ከመረጡ በኋላ ትሮጃኑ በ ShellExecute ተግባር ውስጥ ከአስተዳዳሪ ልዩ መብቶች ጋር የ runas አማራጭን በመጠቀም DLL ን ይጀምራል። ተጠቃሚው ከፍ ለማድረግ እውነተኛውን የዊንዶውስ ጥያቄ (ከዚህ በታች ያለውን ምስል ይመልከቱ) ያያሉ። ተጠቃሚው አስፈላጊውን ፈቃድ ከሰጠ፣ ትሮጃኑ ከአስተዳዳሪ መብቶች ጋር አብሮ ይሰራል።

በስርዓቱ ላይ በተጫነው ነባሪ ቋንቋ ላይ በመመስረት ትሮጃኑ የስህተት መልዕክቶችን በሩሲያ ወይም በእንግሊዝኛ ያሳያል።

4.8.3. የምስክር ወረቀት

RTM ሰርተፊኬቶችን ወደ ዊንዶውስ ስቶር ማከል እና በ csrss.exe የንግግር ሳጥን ውስጥ ያለውን "አዎ" ቁልፍን በራስ-ሰር ጠቅ በማድረግ የመደመርውን አስተማማኝነት ማረጋገጥ ይችላል። ይህ ባህሪ አዲስ አይደለም፤ ለምሳሌ የባንክ ትሮጃን ሬቴፌ አዲስ ሰርተፍኬት መጫኑንም በራሱ ያረጋግጣል።

4.8.4. የተገላቢጦሽ ግንኙነት

የአርቲኤም ደራሲዎች የBackconnect TCP ዋሻን ፈጥረዋል። እስካሁን ጥቅም ላይ የዋለውን ባህሪ አላየንም፣ ነገር ግን የተበከሉ ፒሲዎችን በርቀት ለመቆጣጠር የተነደፈ ነው።

4.8.5. አስተናጋጅ ፋይል አስተዳደር

የC&C አገልጋይ የዊንዶውስ አስተናጋጅ ፋይልን ለማሻሻል ወደ ትሮጃን ትእዛዝ መላክ ይችላል። የአስተናጋጁ ፋይል ብጁ የዲ ኤን ኤስ ጥራቶችን ለመፍጠር ጥቅም ላይ ይውላል።

4.8.6. ፋይል ይፈልጉ እና ይላኩ።

አገልጋዩ በተበከለው ስርዓት ላይ ፋይል ለመፈለግ እና ለማውረድ ሊጠይቅ ይችላል። ለምሳሌ፣ በጥናቱ ወቅት ለፋይሉ 1c_to_kl.txt ጥያቄ ደርሶናል። ቀደም ሲል እንደተገለፀው, ይህ ፋይል በ 1C: Enterprise 8 የሂሳብ አሰራር ስርዓት የተፈጠረ ነው.

4.8.7. አዘምን

በመጨረሻም፣ የአርቲኤም ደራሲዎች አሁን ያለውን ስሪት ለመተካት አዲስ DLL በማስገባት ሶፍትዌሩን ማዘመን ይችላሉ።

5. ማጠቃለያ

የ RTM ጥናት እንደሚያሳየው የሩስያ የባንክ አሰራር አሁንም የሳይበር አጥቂዎችን ይስባል። እንደ ቡህትራፕ፣ ኮርኮው እና ካርባንክ ያሉ ቡድኖች በሩሲያ ከሚገኙ የገንዘብ ተቋማት እና ደንበኞቻቸው በተሳካ ሁኔታ ገንዘብ ይሰርቃሉ። RTM በዚህ ኢንዱስትሪ ውስጥ አዲስ ተጫዋች ነው።

በ ESET ቴሌሜትሪ መሠረት ተንኮል አዘል RTM መሳሪያዎች ቢያንስ ከ2015 መጨረሻ ጀምሮ ጥቅም ላይ ውለዋል። ፕሮግራሙ ስማርት ካርዶችን ማንበብ፣የቁልፍ ቁልፎችን ማቋረጥ እና የባንክ ግብይቶችን መከታተል፣እንዲሁም 1C፡ኢንተርፕራይዝ 8 ማጓጓዣ ፋይሎችን መፈለግን ጨምሮ ሙሉ የስለላ ችሎታዎች አሉት።

ያልተማከለ፣ ሳንሱር ያልተደረገበት .ቢት ከፍተኛ ደረጃ ጎራ መጠቀም በጣም ጠንካራ መሠረተ ልማትን ያረጋግጣል።

ምንጭ: hab.com