هناك العديد من المجموعات الإلكترونية المعروفة المتخصصة في سرقة الأموال من الشركات الروسية. لقد شهدنا هجمات تستخدم ثغرات أمنية تسمح بالوصول إلى شبكة الهدف. وبمجرد حصولهم على إمكانية الوصول، يقوم المهاجمون بدراسة بنية شبكة المنظمة ونشر أدواتهم الخاصة لسرقة الأموال. ومن الأمثلة الكلاسيكية على هذا الاتجاه مجموعات القرصنة Buhtrap وCobalt وCorkow.
تعد مجموعة RTM التي يركز عليها هذا التقرير جزءًا من هذا الاتجاه. ويستخدم برامج ضارة مصممة خصيصًا مكتوبة بلغة دلفي، والتي سنتناولها بمزيد من التفصيل في الأقسام التالية. تم اكتشاف الآثار الأولى لهذه الأدوات في نظام القياس عن بعد ESET في نهاية عام 2015. يقوم الفريق بتحميل وحدات جديدة متنوعة على الأنظمة المصابة حسب الحاجة. وتستهدف الهجمات مستخدمي الأنظمة المصرفية البعيدة في روسيا وبعض الدول المجاورة.
1. الأهداف
تستهدف حملة RTM مستخدمي الشركات - وهذا واضح من العمليات التي يحاول المهاجمون اكتشافها في نظام مخترق. ينصب التركيز على برامج المحاسبة للعمل مع الأنظمة المصرفية عن بعد.
تشبه قائمة العمليات التي تهم RTM القائمة المقابلة لمجموعة Buhtrap، لكن المجموعات لها نواقل عدوى مختلفة. إذا استخدم Buhtrap الصفحات المزيفة في كثير من الأحيان، فإن RTM استخدم هجمات التنزيل من محرك الأقراص (الهجمات على المتصفح أو مكوناته) والبريد العشوائي عبر البريد الإلكتروني. ووفقا لبيانات القياس عن بعد، فإن التهديد يستهدف روسيا والعديد من الدول المجاورة (أوكرانيا وكازاخستان وجمهورية التشيك وألمانيا). ومع ذلك، ونظرًا لاستخدام آليات التوزيع الشامل، فإن اكتشاف البرامج الضارة خارج المناطق المستهدفة ليس أمرًا مفاجئًا.
العدد الإجمالي لاكتشافات البرامج الضارة صغير نسبيًا. من ناحية أخرى، تستخدم حملة RTM برامج معقدة، مما يشير إلى أن الهجمات شديدة الاستهداف.
لقد اكتشفنا العديد من المستندات الخادعة التي تستخدمها RTM، بما في ذلك العقود أو الفواتير أو مستندات المحاسبة الضريبية غير الموجودة. وتشير طبيعة الإغراءات، بالإضافة إلى نوع البرنامج الذي يستهدفه الهجوم، إلى أن المهاجمين "يدخلون" إلى شبكات الشركات الروسية من خلال قسم المحاسبة. تصرفت المجموعة وفقا لنفس المخطط في 2014-2015
أثناء البحث، تمكنا من التفاعل مع العديد من خوادم التحكم والسيطرة. سنقوم بإدراج القائمة الكاملة للأوامر في الأقسام التالية، ولكن في الوقت الحالي يمكننا القول أن العميل ينقل البيانات من برنامج Keylogger مباشرة إلى الخادم المهاجم، والذي يتم بعد ذلك تلقي أوامر إضافية منه.
ومع ذلك، فقد ولت الأيام التي كان بإمكانك فيها ببساطة الاتصال بخادم الأوامر والتحكم وجمع كل البيانات التي كنت مهتمًا بها. لقد قمنا بإعادة إنشاء ملفات سجل واقعية للحصول على بعض الأوامر ذات الصلة من الخادم.
أولها هو طلب من الروبوت لنقل الملف 1c_to_kl.txt - ملف نقل لبرنامج 1C: Enterprise 8، والذي تتم مراقبة مظهره بشكل نشط بواسطة RTM. يتفاعل 1C مع الأنظمة المصرفية عن بعد عن طريق تحميل البيانات الخاصة بالمدفوعات الصادرة إلى ملف نصي. بعد ذلك، يتم إرسال الملف إلى النظام المصرفي عن بعد لأتمتة وتنفيذ أمر الدفع.
يحتوي الملف على تفاصيل الدفع. إذا قام المهاجمون بتغيير المعلومات المتعلقة بالمدفوعات الصادرة، فسيتم إرسال التحويل باستخدام تفاصيل زائفة إلى حسابات المهاجمين.
بعد حوالي شهر من طلب هذه الملفات من خادم الأوامر والتحكم، لاحظنا تحميل مكون إضافي جديد، 1c_2_kl.dll، على النظام المخترق. تم تصميم الوحدة (DLL) لتحليل ملف التنزيل تلقائيًا عن طريق اختراق عمليات برامج المحاسبة. وسنصفها بالتفصيل في الأقسام التالية.
ومن المثير للاهتمام أن FinCERT التابع لبنك روسيا أصدر في نهاية عام 2016 نشرة تحذيرية بشأن مجرمي الإنترنت الذين يستخدمون ملفات التحميل 1c_to_kl.txt. يعرف مطورو 1C أيضًا هذا المخطط، وقد أصدروا بالفعل بيانًا رسميًا وأدرجوا الاحتياطات.
تم أيضًا تحميل وحدات أخرى من خادم الأوامر، ولا سيما VNC (إصداريه 32 و64 بت). وهو يشبه وحدة VNC التي تم استخدامها سابقًا في هجمات Dridex Trojan. من المفترض أن يتم استخدام هذه الوحدة للاتصال عن بعد بجهاز كمبيوتر مصاب وإجراء دراسة تفصيلية للنظام. بعد ذلك، يحاول المهاجمون التنقل عبر الشبكة، واستخراج كلمات مرور المستخدم، وجمع المعلومات وضمان التواجد المستمر للبرامج الضارة.
2. نواقل العدوى
والشكل التالي يوضح نواقل العدوى المكتشفة خلال فترة دراسة الحملة. تستخدم المجموعة نطاقًا واسعًا من النواقل، ولكن بشكل أساسي هجمات التنزيل والبريد العشوائي. تعتبر هذه الأدوات مناسبة للهجمات المستهدفة، لأنه في الحالة الأولى، يمكن للمهاجمين تحديد المواقع التي زارها الضحايا المحتملون، وفي الحالة الثانية، يمكنهم إرسال بريد إلكتروني مع المرفقات مباشرة إلى موظفي الشركة المطلوبين.
يتم توزيع البرامج الضارة من خلال قنوات متعددة، بما في ذلك مجموعات استغلال RIG وSundown أو رسائل البريد العشوائي، مما يشير إلى الاتصالات بين المهاجمين والمهاجمين الإلكترونيين الآخرين الذين يقدمون هذه الخدمات.
2.1. كيف ترتبط RTM وBuhtrap؟
حملة RTM تشبه إلى حد كبير حملة Buhtrap. السؤال الطبيعي هو: كيف ترتبط ببعضها البعض؟
في سبتمبر 2016، لاحظنا توزيع عينة RTM باستخدام برنامج تحميل Buhtrap. بالإضافة إلى ذلك، وجدنا شهادتين رقميتين مستخدمتين في كل من Buhtrap وRTM.
الأول ، الذي يُزعم أنه تم إصداره لشركة Dnister-M ، تم استخدامه لتوقيع نموذج Delphi الثاني (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11C1CE) و BUHTRAP DLL (SHA-1: 2642E454B2A889C6B41116D83D6D2D4890DXNUMXDXNUMXDXNUMXDXNUMXDXNUMXDXNUMXDXNUMXDXNUMXDXNUMXDXNUMXDXNUMX ).
تم استخدام الإصدار الثاني، الصادر إلى Bit-Tredj، للتوقيع على محمل Buhtrap (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 وB74F71560E48488D2153AE2FB51207A0AC206E2B)، بالإضافة إلى تنزيل وتثبيت مكونات RTM.
يستخدم مشغلو RTM شهادات مشتركة بين عائلات البرامج الضارة الأخرى، ولكن لديهم أيضًا شهادة فريدة. وفقًا لقياس ESET عن بعد، تم إصداره إلى Kit-SD وتم استخدامه فقط للتوقيع على بعض برامج RTM الضارة (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
يستخدم RTM نفس المُحمل الذي يستخدمه Buhtrap، ويتم تحميل مكونات RTM من البنية التحتية لـ Buhtrap، وبالتالي فإن المجموعات لديها مؤشرات شبكة مماثلة. ومع ذلك، وفقًا لتقديراتنا، فإن RTM وBuhtrap مجموعتان مختلفتان، على الأقل بسبب توزيع RTM بطرق مختلفة (ليس فقط باستخدام برنامج تنزيل "أجنبي").
وعلى الرغم من ذلك، تستخدم مجموعات القراصنة مبادئ تشغيل مماثلة. إنهم يستهدفون الشركات التي تستخدم برامج المحاسبة، ويجمعون بالمثل معلومات النظام، ويبحثون عن قارئات البطاقات الذكية، وينشرون مجموعة من الأدوات الضارة للتجسس على الضحايا.
3. التطور
في هذا القسم، سنلقي نظرة على الإصدارات المختلفة من البرامج الضارة التي تم العثور عليها أثناء الدراسة.
3.1. الإصدار
يقوم RTM بتخزين بيانات التكوين في قسم التسجيل، والجزء الأكثر إثارة للاهتمام هو بادئة الروبوتات. وترد في الجدول أدناه قائمة بجميع القيم التي رأيناها في العينات التي درسناها.
من الممكن استخدام القيم لتسجيل إصدارات البرامج الضارة. ومع ذلك، لم نلاحظ اختلافًا كبيرًا بين الإصدارات مثل bit2 وbit3 و0.1.6.4 و0.1.6.6. علاوة على ذلك، كانت إحدى البادئات موجودة منذ البداية وتطورت من نطاق C&C نموذجي إلى نطاق .bit، كما سيوضح أدناه.
3.2. جدول
باستخدام بيانات القياس عن بعد، قمنا بإنشاء رسم بياني لحدوث العينات.
4. التحليل الفني
في هذا القسم، سنصف الوظائف الرئيسية لحصان طروادة المصرفي RTM، بما في ذلك آليات المقاومة ونسخته الخاصة من خوارزمية RC4 وبروتوكول الشبكة ووظيفة التجسس وبعض الميزات الأخرى. على وجه الخصوص، سنركز على عينات SHA-1 AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 و48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. التثبيت والحفظ
4.1.1. التنفيذ
جوهر RTM هو ملف DLL، ويتم تحميل المكتبة على القرص باستخدام .EXE. عادةً ما يتم حزم الملف القابل للتنفيذ ويحتوي على كود DLL. بمجرد إطلاقه، يقوم باستخراج ملف DLL وتشغيله باستخدام الأمر التالي:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2.DLL
يتم دائمًا تحميل ملف DLL الرئيسي على القرص باسم winlogon.lnk في المجلد %PROGRAMDATA%Winlogon. عادة ما يرتبط امتداد الملف هذا باختصار، ولكن الملف هو في الواقع ملف DLL مكتوب بلغة دلفي، اسمه core.dll من قبل المطور، كما هو موضح في الصورة أدناه.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
بمجرد إطلاقه، يقوم حصان طروادة بتنشيط آلية المقاومة الخاصة به. ويمكن القيام بذلك بطريقتين مختلفتين، اعتمادًا على امتيازات الضحية في النظام. إذا كانت لديك حقوق المسؤول، فسيقوم حصان طروادة بإضافة إدخال Windows Update إلى سجل HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun. سيتم تشغيل الأوامر الموجودة في Windows Update في بداية جلسة المستخدم.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe "%PROGRAMDATA%winlogon.lnk"، مضيف DllGetClassObject
يحاول حصان طروادة أيضًا إضافة مهمة إلى برنامج جدولة المهام في Windows. ستقوم المهمة بتشغيل ملف Winlogon.lnk DLL بنفس المعلمات المذكورة أعلاه. تسمح حقوق المستخدم العادية لفيروس طروادة بإضافة إدخال Windows Update بنفس البيانات إلى سجل HKCUSoftwareMicrosoftWindowsCurrentVersionRun:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. خوارزمية RC4 المعدلة
على الرغم من عيوبها المعروفة، يتم استخدام خوارزمية RC4 بانتظام من قبل مؤلفي البرامج الضارة. ومع ذلك، قام مبتكرو RTM بتعديله قليلاً، ربما لجعل مهمة محللي الفيروسات أكثر صعوبة. يتم استخدام نسخة معدلة من RC4 على نطاق واسع في أدوات RTM الضارة لتشفير السلاسل وبيانات الشبكة والتكوين والوحدات النمطية.
4.2.1. اختلافات
تشتمل خوارزمية RC4 الأصلية على مرحلتين: تهيئة s-block (المعروفة أيضًا باسم KSA - خوارزمية جدولة المفاتيح) وتوليد التسلسل العشوائي الزائف (PRGA - خوارزمية الجيل العشوائي الزائف). تتضمن المرحلة الأولى تهيئة صندوق s باستخدام المفتاح، وفي المرحلة الثانية تتم معالجة النص المصدر باستخدام صندوق s للتشفير.
أضاف مؤلفو RTM خطوة وسيطة بين تهيئة s-box والتشفير. المفتاح الإضافي متغير ويتم ضبطه في نفس الوقت الذي يتم فيه تشفير البيانات وفك تشفيرها. تظهر الوظيفة التي تنفذ هذه الخطوة الإضافية في الشكل أدناه.
4.2.2. تشفير السلسلة
للوهلة الأولى، هناك عدة أسطر يمكن قراءتها في ملف DLL الرئيسي. ويتم تشفير الباقي باستخدام الخوارزمية الموضحة أعلاه، والتي يظهر هيكلها في الشكل التالي. لقد وجدنا أكثر من 25 مفتاح RC4 مختلفًا لتشفير السلسلة في العينات التي تم تحليلها. يختلف مفتاح XOR لكل صف. قيمة الحقل الرقمي الذي يفصل الأسطر هي دائمًا 0xFFFFFFFF.
في بداية التنفيذ، يقوم RTM بفك تشفير السلاسل وتحويلها إلى متغير عام. عند الضرورة للوصول إلى سلسلة ما، يقوم حصان طروادة بحساب عنوان السلاسل التي تم فك تشفيرها ديناميكيًا استنادًا إلى العنوان الأساسي والإزاحة.
تحتوي السلاسل على معلومات مثيرة للاهتمام حول وظائف البرامج الضارة. يتم توفير بعض أمثلة السلاسل في القسم 6.8.
4.3. الشبكة
تختلف الطريقة التي تتصل بها البرامج الضارة RTM بخادم القيادة والسيطرة من إصدار إلى آخر. استخدمت التعديلات الأولى (أكتوبر 2015 – أبريل 2016) أسماء النطاقات التقليدية إلى جانب موجز RSS على موقع Livejournal.com لتحديث قائمة الأوامر.
منذ أبريل 2016، شهدنا تحولًا إلى نطاقات .bit في بيانات القياس عن بعد. تم تأكيد ذلك من خلال تاريخ تسجيل النطاق - تم تسجيل أول نطاق RTM fde05d0573da.bit في 13 مارس 2016.
جميع عناوين URL التي شاهدناها أثناء مراقبة الحملة كان لها مسار مشترك: /r/z.php. إنه أمر غير معتاد وسيساعد في تحديد طلبات RTM في تدفقات الشبكة.
4.3.1. قناة للأوامر والتحكم
استخدمت الأمثلة القديمة هذه القناة لتحديث قائمة خوادم القيادة والسيطرة الخاصة بها. تقع الاستضافة على موقع Livejournal.com، وفي وقت كتابة التقرير ظلت على عنوان URL hxxp://f72bba81c921(.)livejournal(.)com/ data/rss.
Livejournal هي شركة روسية أمريكية توفر منصة للتدوين. يقوم مشغلو RTM بإنشاء مدونة LJ ينشرون فيها مقالة تحتوي على أوامر مشفرة - انظر لقطة الشاشة.
يتم تشفير خطوط الأوامر والتحكم باستخدام خوارزمية RC4 المعدلة (القسم 4.2). يحتوي الإصدار الحالي (نوفمبر 2016) من القناة على عناوين خادم الأوامر والتحكم التالية:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. نطاقات .bit
في أحدث نماذج RTM، يتصل المؤلفون بنطاقات القيادة والسيطرة باستخدام نطاق المستوى الأعلى .bit TLD. إنه ليس مدرجًا في قائمة ICANN (اسم المجال وشركة الإنترنت) لنطاقات المستوى الأعلى. وبدلاً من ذلك، فهو يستخدم نظام Namecoin، المبني على تقنية Bitcoin. لا يستخدم مؤلفو البرامج الضارة في كثير من الأحيان نطاق .bit TLD لنطاقاتهم، على الرغم من ملاحظة مثال على هذا الاستخدام مسبقًا في إصدار Necurs botnet.
على عكس Bitcoin، يتمتع مستخدمو قاعدة بيانات Namecoin الموزعة بالقدرة على حفظ البيانات. التطبيق الرئيسي لهذه الميزة هو نطاق المستوى الأعلى .bit. يمكنك تسجيل المجالات التي سيتم تخزينها في قاعدة بيانات موزعة. تحتوي الإدخالات المقابلة في قاعدة البيانات على عناوين IP التي تم حلها بواسطة المجال. إن نطاق TLD هذا "مقاوم للرقابة" لأن المسجل فقط يمكنه تغيير دقة نطاق .bit. وهذا يعني أنه من الصعب جدًا إيقاف النطاق الضار الذي يستخدم هذا النوع من TLD.
لا يقوم حصان طروادة RTM بتضمين البرنامج اللازم لقراءة قاعدة بيانات Namecoin الموزعة. ويستخدم خوادم DNS المركزية مثل dns.dot-bit.org أو خوادم OpenNic لحل نطاقات .bit. ولذلك، فهو يتمتع بنفس المتانة التي تتمتع بها خوادم DNS. لاحظنا أنه لم يعد يتم اكتشاف بعض نطاقات الفريق بعد ذكرها في منشور بالمدونة.
هناك ميزة أخرى لـ .bit TLD للمتسللين وهي التكلفة. لتسجيل النطاق، يحتاج المشغلون إلى دفع 0,01 NK فقط، وهو ما يعادل 0,00185 دولارًا أمريكيًا (اعتبارًا من 5 ديسمبر 2016). للمقارنة، تبلغ تكلفة domain.com 10 دولارات على الأقل.
4.3.3. بروتوكول
للتواصل مع خادم الأوامر والتحكم، يستخدم RTM طلبات HTTP POST مع البيانات المنسقة باستخدام بروتوكول مخصص. قيمة المسار دائمًا هي /r/z.php؛ وكيل مستخدم Mozilla/5.0 (متوافق؛ MSIE 9.0؛ Windows NT 6.1؛ Trident/5.0). في الطلبات المقدمة إلى الخادم، يتم تنسيق البيانات على النحو التالي، حيث يتم التعبير عن قيم الإزاحة بالبايت:
البايتات من 0 إلى 6 غير مشفرة؛ يتم تشفير البايتات التي تبدأ من 6 باستخدام خوارزمية RC4 المعدلة. هيكل حزمة استجابة C&C أبسط. يتم ترميز البايتات من 4 إلى حجم الحزمة.
يتم عرض قائمة قيم بايت الإجراء المحتملة في الجدول أدناه:
تقوم البرامج الضارة دائمًا بحساب CRC32 للبيانات التي تم فك تشفيرها ومقارنتها بما هو موجود في الحزمة. إذا اختلفوا، فإن حصان طروادة يسقط الحزمة.
قد تحتوي البيانات الإضافية على كائنات مختلفة، بما في ذلك ملف PE، أو ملف سيتم البحث فيه في نظام الملفات، أو عناوين URL للأوامر الجديدة.
4.3.4. لوحة
لاحظنا أن RTM يستخدم لوحة على خوادم التحكم والسيطرة. لقطة الشاشة أدناه:
4.4. علامة مميزة
RTM هو حصان طروادة المصرفي النموذجي. ليس من المستغرب أن يرغب المشغلون في الحصول على معلومات حول نظام الضحية. من ناحية، يقوم الروبوت بجمع معلومات عامة حول نظام التشغيل. ومن ناحية أخرى، فإنه يكتشف ما إذا كان النظام المخترق يحتوي على سمات مرتبطة بالأنظمة المصرفية عن بعد الروسية.
4.4.1. معلومات عامة
عند تثبيت برامج ضارة أو إطلاقها بعد إعادة التشغيل، يتم إرسال تقرير إلى خادم الأوامر والتحكم يحتوي على معلومات عامة بما في ذلك:
- وحدة زمنية؛
- لغة النظام الافتراضية؛
- بيانات اعتماد المستخدم المعتمد؛
- مستوى سلامة العملية؛
- اسم المستخدم؛
- اسم الحاسوب؛
- إصدار نظام التشغيل؛
- وحدات إضافية مثبتة؛
- برنامج مكافحة الفيروسات المثبت؛
- قائمة قارئات البطاقات الذكية.
4.4.2 النظام المصرفي عن بعد
هدف طروادة النموذجي هو النظام المصرفي البعيد، وRTM ليس استثناءً. إحدى وحدات البرنامج تسمى TBdo، والتي تؤدي مهام مختلفة، بما في ذلك فحص الأقراص وسجل التصفح.
ومن خلال فحص القرص، يتحقق حصان طروادة من تثبيت البرنامج المصرفي على الجهاز. القائمة الكاملة للبرامج المستهدفة موجودة في الجدول أدناه. بعد اكتشاف ملف مثير للاهتمام، يرسل البرنامج المعلومات إلى خادم الأوامر. تعتمد الإجراءات التالية على المنطق المحدد بواسطة خوارزميات مركز القيادة (C&C).
يبحث RTM أيضًا عن أنماط URL في سجل المتصفح وعلامات التبويب المفتوحة. بالإضافة إلى ذلك، يقوم البرنامج بفحص استخدام الدالتين FindNextUrlCacheEntryA وFindFirstUrlCacheEntryA، ويتحقق أيضًا من كل إدخال لمطابقة عنوان URL بأحد الأنماط التالية:
بعد اكتشاف علامات التبويب المفتوحة، يتصل حصان طروادة بإنترنت إكسبلورر أو فايرفوكس من خلال آلية تبادل البيانات الديناميكية (DDE) للتحقق مما إذا كانت علامة التبويب تتطابق مع النمط.
يتم التحقق من سجل التصفح وعلامات التبويب المفتوحة في حلقة WHILE (حلقة ذات شرط مسبق) مع فاصل مدته ثانية واحدة بين عمليات التحقق. ستتم مناقشة البيانات الأخرى التي تتم مراقبتها في الوقت الفعلي في القسم 1.
إذا تم العثور على نمط، يقوم البرنامج بإبلاغ خادم الأوامر بذلك باستخدام قائمة السلاسل من الجدول التالي:
4.5 المراقبة
أثناء تشغيل حصان طروادة، يتم إرسال معلومات حول السمات المميزة للنظام المصاب (بما في ذلك المعلومات حول وجود البرامج المصرفية) إلى خادم القيادة والتحكم. تحدث بصمات الأصابع عندما يقوم RTM بتشغيل نظام المراقبة لأول مرة مباشرة بعد الفحص الأولي لنظام التشغيل.
4.5.1. الخدمات المصرفية عن بعد
وحدة TBdo مسؤولة أيضًا عن مراقبة العمليات المصرفية. ويستخدم التبادل الديناميكي للبيانات للتحقق من علامات التبويب في Firefox وInternet Explorer أثناء الفحص الأولي. يتم استخدام وحدة TShell أخرى لمراقبة نوافذ الأوامر (Internet Explorer أو File Explorer).
تستخدم الوحدة واجهات COM IShellWindows وiWebBrowser وDWebBrowserEvents2 وIConnectionPointContainer لمراقبة النوافذ. عندما ينتقل المستخدم إلى صفحة ويب جديدة، تلاحظ البرامج الضارة ذلك. ثم يقوم بمقارنة عنوان URL للصفحة بالأنماط المذكورة أعلاه. بعد اكتشاف التطابق، يأخذ حصان طروادة ست لقطات شاشة متتالية بفاصل زمني قدره 5 ثوانٍ ويرسلها إلى خادم أوامر C&S. يقوم البرنامج أيضًا بفحص بعض أسماء النوافذ المتعلقة بالبرامج المصرفية - القائمة الكاملة أدناه:
4.5.2. بطاقة ذكية
يسمح لك RTM بمراقبة أجهزة قراءة البطاقات الذكية المتصلة بأجهزة الكمبيوتر المصابة. تُستخدم هذه الأجهزة في بعض البلدان لتسوية أوامر الدفع. إذا كان هذا النوع من الأجهزة متصلاً بجهاز كمبيوتر، فقد يشير ذلك إلى حصان طروادة أن الجهاز يُستخدم في المعاملات المصرفية.
وعلى عكس أحصنة طروادة المصرفية الأخرى، لا يمكن لـ RTM التفاعل مع مثل هذه البطاقات الذكية. ربما يتم تضمين هذه الوظيفة في وحدة إضافية لم نرها بعد.
4.5.3. كلوغر
جزء مهم من مراقبة جهاز الكمبيوتر المصاب هو التقاط ضغطات المفاتيح. يبدو أن مطوري RTM لا يفتقدون أي معلومات، لأنهم لا يراقبون المفاتيح العادية فحسب، بل يراقبون أيضًا لوحة المفاتيح الافتراضية والحافظة.
للقيام بذلك، استخدم الدالة SetWindowsHookExA. يقوم المهاجمون بتسجيل المفاتيح التي تم الضغط عليها أو المفاتيح المقابلة للوحة المفاتيح الافتراضية، بالإضافة إلى اسم البرنامج وتاريخه. يتم بعد ذلك إرسال المخزن المؤقت إلى خادم أوامر C&C.
يتم استخدام الدالة SetClipboardViewer لاعتراض الحافظة. يقوم المتسللون بتسجيل محتويات الحافظة عندما تكون البيانات نصية. يتم أيضًا تسجيل الاسم والتاريخ قبل إرسال المخزن المؤقت إلى الخادم.
4.5.4. لقطات الشاشة
وظيفة RTM الأخرى هي اعتراض لقطة الشاشة. يتم تطبيق هذه الميزة عندما تكتشف وحدة مراقبة النوافذ موقعًا أو برنامجًا مصرفيًا محل اهتمام. يتم التقاط لقطات الشاشة باستخدام مكتبة الصور الرسومية ونقلها إلى خادم الأوامر.
4.6. إلغاء التثبيت
يمكن لخادم C&C إيقاف تشغيل البرامج الضارة وتنظيف جهاز الكمبيوتر الخاص بك. يسمح لك الأمر بمسح الملفات وإدخالات التسجيل التي تم إنشاؤها أثناء تشغيل RTM. يتم بعد ذلك استخدام ملف DLL لإزالة البرامج الضارة وملف winlogon، وبعد ذلك يقوم الأمر بإيقاف تشغيل الكمبيوتر. كما هو موضح في الصورة أدناه، تتم إزالة ملف DLL بواسطة المطورين باستخدام Ease.dll.
يمكن للخادم أن يرسل إلى حصان طروادة أمرًا مدمرًا لإلغاء التثبيت. في هذه الحالة، إذا كانت لديك حقوق المسؤول، فسيقوم RTM بحذف قطاع تمهيد MBR الموجود على القرص الصلب. إذا فشل ذلك، فسيحاول حصان طروادة تحويل قطاع تمهيد MBR إلى قطاع عشوائي - فلن يتمكن الكمبيوتر من تشغيل نظام التشغيل بعد إيقاف التشغيل. يمكن أن يؤدي هذا إلى إعادة تثبيت نظام التشغيل بالكامل، مما يعني تدمير الأدلة.
بدون امتيازات المسؤول، تقوم البرامج الضارة بكتابة ملف .EXE المشفر في ملف RTM DLL الأساسي. يقوم الملف القابل للتنفيذ بتنفيذ التعليمات البرمجية اللازمة لإيقاف تشغيل الكمبيوتر وتسجيل الوحدة في مفتاح التسجيل HKCUCurrentVersionRun. في كل مرة يبدأ فيها المستخدم جلسة، يتم إيقاف تشغيل الكمبيوتر على الفور.
4.7. ملف التكوين
افتراضيًا، لا يحتوي RTM على أي ملف تكوين تقريبًا، ولكن يمكن لخادم الأوامر والتحكم إرسال قيم التكوين التي سيتم تخزينها في السجل واستخدامها بواسطة البرنامج. يتم عرض قائمة مفاتيح التكوين في الجدول أدناه:
يتم تخزين التكوين في مفتاح التسجيل الخاص بالبرنامج [سلسلة عشوائية زائفة]. تتوافق كل قيمة مع أحد الصفوف المعروضة في الجدول السابق. يتم تشفير القيم والبيانات باستخدام خوارزمية RC4 في RTM.
البيانات لها نفس بنية الشبكة أو السلاسل. تتم إضافة مفتاح XOR بأربعة بايت في بداية البيانات المشفرة. بالنسبة لقيم التكوين، يختلف مفتاح XOR ويعتمد على حجم القيمة. ويمكن حسابها على النحو التالي:
xor_key = (len(config_value) << 24) | (لين (config_value) << 16)
| لين(config_value)| (لين (config_value) << 8)
4.8. وظائف أخرى
بعد ذلك، دعونا نلقي نظرة على الوظائف الأخرى التي يدعمها RTM.
4.8.1. وحدات إضافية
يتضمن حصان طروادة وحدات إضافية، وهي ملفات DLL. يمكن تنفيذ الوحدات المرسلة من خادم أوامر C&C كبرامج خارجية، وتنعكس في ذاكرة الوصول العشوائي (RAM) ويتم إطلاقها في سلاسل رسائل جديدة. للتخزين، يتم حفظ الوحدات في ملفات .dtt ويتم تشفيرها باستخدام خوارزمية RC4 بنفس المفتاح المستخدم لاتصالات الشبكة.
لقد لاحظنا حتى الآن تثبيت وحدة VNC (8966319882494077C21F66A8354E2CBCA0370464)، ووحدة استخراج بيانات المتصفح (03DE8622BE6B2F75A364A275995C3411626C4D9F) ووحدة 1c_2_kl (B1EE562E1F69EFC6F). BA58B88753 7BE0D3B4EXNUMXCFAB).
لتحميل وحدة VNC، يصدر خادم القيادة والسيطرة أمرًا يطلب الاتصال بخادم VNC على عنوان IP محدد على المنفذ 44443. يقوم البرنامج الإضافي لاستعادة بيانات المتصفح بتنفيذ TBrowserDataCollector، الذي يمكنه قراءة سجل تصفح IE. ثم يرسل القائمة الكاملة لعناوين URL التي تمت زيارتها إلى خادم أوامر القيادة والتحكم.
الوحدة الأخيرة التي تم اكتشافها تسمى 1c_2_kl. يمكنه التفاعل مع حزمة برامج 1C Enterprise. تتضمن الوحدة جزأين: الجزء الرئيسي - DLL ووكيلين (32 و64 بت)، سيتم إدخالهما في كل عملية، وتسجيل الارتباط لـ WH_CBT. بعد أن تم إدخالها في عملية 1C، تربط الوحدة بين وظيفتي CreateFile وWriteFile. عندما يتم استدعاء الدالة المنضمة CreateFile، تقوم الوحدة بتخزين مسار الملف 1c_to_kl.txt في الذاكرة. بعد اعتراض استدعاء WriteFile، فإنه يستدعي وظيفة WriteFile ويرسل مسار الملف 1c_to_kl.txt إلى وحدة DLL الرئيسية، ويمرر إليها رسالة Windows WM_COPYDATA المعدة.
تقوم وحدة DLL الرئيسية بفتح الملف وتحليله لتحديد أوامر الدفع. يتعرف على المبلغ ورقم المعاملة الموجود في الملف. يتم إرسال هذه المعلومات إلى خادم الأوامر. نعتقد أن هذه الوحدة قيد التطوير حاليًا لأنها تحتوي على رسالة تصحيح ولا يمكنها تعديل 1c_to_kl.txt تلقائيًا.
4.8.2. التصعيد امتياز
قد تحاول RTM تصعيد الامتيازات عن طريق عرض رسائل خطأ خاطئة. تحاكي البرامج الضارة فحص التسجيل (انظر الصورة أدناه) أو تستخدم رمز محرر التسجيل الحقيقي. يرجى ملاحظة الخطأ الإملائي انتظر – وايت. بعد بضع ثوان من المسح، يعرض البرنامج رسالة خطأ خاطئة.
من السهل أن تخدع الرسالة الكاذبة المستخدم العادي، على الرغم من الأخطاء النحوية. إذا قام المستخدم بالنقر فوق أحد الارتباطين، فسيحاول RTM تصعيد امتيازاته في النظام.
بعد تحديد أحد خياري الاسترداد، يقوم حصان طروادة بتشغيل ملف DLL باستخدام خيار runas في وظيفة ShellExecute بامتيازات المسؤول. سيرى المستخدم مطالبة Windows حقيقية (انظر الصورة أدناه) للارتفاع. إذا أعطى المستخدم الأذونات اللازمة، فسيتم تشغيل حصان طروادة بامتيازات المسؤول.
اعتمادًا على اللغة الافتراضية المثبتة على النظام، يعرض حصان طروادة رسائل خطأ باللغة الروسية أو الإنجليزية.
4.8.3. شهادة
يمكن لـ RTM إضافة شهادات إلى متجر Windows وتأكيد موثوقية الإضافة عن طريق النقر تلقائيًا على الزر "نعم" في مربع الحوار csrss.exe. وهذا السلوك ليس جديدًا؛ على سبيل المثال، يؤكد حصان طروادة Retefe المصرفي أيضًا بشكل مستقل تثبيت شهادة جديدة.
4.8.4. اتصال عكسي
أنشأ مؤلفو RTM أيضًا نفق Backconnect TCP. لم نر هذه الميزة قيد الاستخدام بعد، ولكنها مصممة لمراقبة أجهزة الكمبيوتر المصابة عن بعد.
4.8.5. إدارة الملفات المضيفة
يمكن لخادم C&C إرسال أمر إلى حصان طروادة لتعديل ملف مضيف Windows. يتم استخدام الملف المضيف لإنشاء قرارات DNS مخصصة.
4.8.6. ابحث عن ملف وأرسله
قد يطلب الخادم البحث عن ملف وتنزيله على النظام المصاب. على سبيل المثال، أثناء البحث تلقينا طلبًا للملف 1c_to_kl.txt. كما هو موضح سابقًا، يتم إنشاء هذا الملف بواسطة نظام المحاسبة 1C: Enterprise 8.
4.8.7. التحديث
أخيرًا، يمكن لمؤلفي RTM تحديث البرنامج عن طريق إرسال ملف DLL جديد ليحل محل الإصدار الحالي.
5. الخلاصة
يظهر بحث RTM أن النظام المصرفي الروسي لا يزال يجذب المهاجمين السيبرانيين. نجحت مجموعات مثل Buhtrap وCorkow وCarbanak في سرقة الأموال من المؤسسات المالية وعملائها في روسيا. RTM لاعب جديد في هذه الصناعة.
تم استخدام أدوات RTM الضارة منذ أواخر عام 2015 على الأقل، وفقًا لقياس ESET عن بعد. يتمتع البرنامج بمجموعة كاملة من إمكانيات التجسس، بما في ذلك قراءة البطاقات الذكية واعتراض ضغطات المفاتيح ومراقبة المعاملات المصرفية، بالإضافة إلى البحث عن ملفات النقل 1C: Enterprise 8.
إن استخدام نطاق المستوى الأعلى اللامركزي وغير الخاضع للرقابة .bit يضمن بنية تحتية عالية المرونة.
المصدر: www.habr.com