Rusiya şirkətlərindən pul oğurlamaqda ixtisaslaşan bir neçə tanınmış kiberqruplar var. Hədəfin şəbəkəsinə daxil olmağa imkan verən təhlükəsizlik boşluqlarından istifadə edilən hücumları gördük. Təcavüzkarlar giriş əldə etdikdən sonra təşkilatın şəbəkə strukturunu öyrənir və vəsaitləri oğurlamaq üçün öz alətlərini yerləşdirirlər. Bu tendensiyanın klassik nümunəsi Buhtrap, Cobalt və Corkow haker qruplarıdır.
Bu hesabatın diqqət mərkəzində olduğu RTM qrupu bu tendensiyanın bir hissəsidir. O, Delphi-də yazılmış xüsusi hazırlanmış zərərli proqramlardan istifadə edir ki, biz bundan sonrakı bölmələrdə daha ətraflı baxacağıq. ESET telemetriya sistemində bu alətlərin ilk izləri 2015-ci ilin sonunda aşkar edilib. Komanda lazım gəldikdə yoluxmuş sistemlərə müxtəlif yeni modullar yükləyir. Hücumlar Rusiyada və bəzi qonşu ölkələrdə uzaq bank sistemlərinin istifadəçilərinə qarşı yönəlib.
1. Məqsədlər
RTM kampaniyası korporativ istifadəçilərə yönəlib - bu, təcavüzkarların təhlükəyə məruz qalmış sistemdə aşkarlamağa çalışdıqları proseslərdən aydın görünür. Əsas diqqət uzaqdan bank sistemləri ilə işləmək üçün mühasibat proqramlarına verilir.
RTM üçün maraq doğuran proseslərin siyahısı Buhtrap qrupunun müvafiq siyahısına bənzəyir, lakin qrupların müxtəlif infeksiya vektorları var. Əgər Buhtrap saxta səhifələrdən daha tez-tez istifadə edirdisə, o zaman RTM sürücü ilə yükləmə hücumlarından (brauzerə və ya onun komponentlərinə hücumlar) və e-poçt vasitəsilə spam göndərmələrdən istifadə edirdi. Telemetriya məlumatlarına əsasən, təhlükə Rusiya və bir sıra yaxın ölkələrə (Ukrayna, Qazaxıstan, Çexiya, Almaniya) yönəlib. Bununla belə, kütləvi paylama mexanizmlərinin istifadəsi səbəbindən zərərli proqramların hədəf bölgələrdən kənarda aşkarlanması təəccüblü deyil.
Zərərli proqram aşkarlamalarının ümumi sayı nisbətən azdır. Digər tərəfdən, RTM kampaniyası kompleks proqramlardan istifadə edir ki, bu da hücumların yüksək hədəfli olduğunu göstərir.
Mövcud olmayan müqavilələr, hesab-fakturalar və ya vergi uçotu sənədləri də daxil olmaqla, RTM tərəfindən istifadə edilən bir neçə saxta sənədləri aşkar etdik. Hücum tərəfindən hədəflənən proqram növü ilə birlikdə cazibələrin xarakteri, təcavüzkarların mühasibat şöbəsi vasitəsilə Rusiya şirkətlərinin şəbəkələrinə "daxil olduqlarını" göstərir. Qrup eyni sxem üzrə hərəkət edirdi 2014-2015-ci illərdə
Tədqiqat zamanı biz bir neçə C&C serverləri ilə qarşılıqlı əlaqə qura bildik. Əmrlərin tam siyahısını növbəti bölmələrdə sadalayacağıq, lakin hələlik deyə bilərik ki, müştəri məlumatı keyloggerdən birbaşa hücum edən serverə ötürür və bundan sonra əlavə əmrlər alınır.
Bununla belə, sadəcə bir komanda və idarəetmə serverinə qoşula və maraqlandığınız bütün məlumatları toplaya biləcəyiniz günlər geridə qaldı. Serverdən bəzi müvafiq əmrləri əldə etmək üçün real log fayllarını yenidən yaratdıq.
Bunlardan birincisi, görünüşü RTM tərəfindən aktiv şəkildə izlənilən 1C: Enterprise 1 proqramının nəqliyyat faylı olan 8c_to_kl.txt faylını köçürmək üçün bot tələbidir. 1C, gedən ödənişlər haqqında məlumatları mətn faylına yükləməklə uzaq bank sistemləri ilə qarşılıqlı əlaqə qurur. Sonra, fayl ödəniş tapşırığının avtomatlaşdırılması və icrası üçün uzaq bank sisteminə göndərilir.
Faylda ödəniş təfərrüatları var. Təcavüzkarlar gedən ödənişlər haqqında məlumatı dəyişdirsələr, köçürmə saxta detallardan istifadə edilərək təcavüzkarların hesablarına göndəriləcək.
Komanda və idarəetmə serverindən bu faylları tələb etdikdən təxminən bir ay sonra biz 1c_2_kl.dll adlı yeni plaqinin təhlükəyə məruz qalmış sistemə yükləndiyini müşahidə etdik. Modul (DLL) mühasibat proqram təminatı proseslərinə nüfuz edərək yükləmə faylını avtomatik təhlil etmək üçün nəzərdə tutulmuşdur. Bunu sonrakı bölmələrdə ətraflı təsvir edəcəyik.
Maraqlıdır ki, Rusiya Bankının FinCERT 2016-cı ilin sonunda 1c_to_kl.txt yükləmə fayllarından istifadə edən kibercinayətkarlar haqqında xəbərdarlıq bülleteni dərc edib. 1C-dən olan tərtibatçılar da bu sxem haqqında bilirlər, onlar artıq rəsmi açıqlama verib və ehtiyat tədbirlərini sadalayıblar.
Digər modullar da komanda serverindən, xüsusən VNC-dən (onun 32 və 64-bit versiyaları) yüklənmişdir. O, əvvəllər Dridex troyan hücumlarında istifadə edilən VNC moduluna bənzəyir. Bu modulun yoluxmuş kompüterə uzaqdan qoşulmaq və sistemin ətraflı öyrənilməsi üçün istifadə edildiyi güman edilir. Bundan sonra təcavüzkarlar şəbəkədə hərəkət etməyə, istifadəçi parollarını çıxarmağa, məlumat toplamağa və zərərli proqramların daimi mövcudluğunu təmin etməyə çalışırlar.
2. İnfeksiya vektorları
Aşağıdakı şəkildə kampaniyanın öyrənilməsi dövründə aşkar edilmiş infeksiya vektorları göstərilir. Qrup geniş vektorlardan istifadə edir, lakin əsasən sürücü ilə yükləmə hücumları və spam. Bu alətlər məqsədyönlü hücumlar üçün əlverişlidir, çünki birinci halda təcavüzkarlar potensial qurbanların ziyarət etdiyi saytları seçə, ikinci halda isə əlavələri olan e-poçtları birbaşa istədiyiniz şirkət işçilərinə göndərə bilərlər.
Zərərli proqram bir çox kanallar, o cümlədən RIG və Sundown istismar dəstləri və ya spam göndərişləri vasitəsilə yayılır ki, bu da təcavüzkarlar və bu xidmətləri təklif edən digər kiberhücumçular arasında əlaqələri göstərir.
2.1. RTM və Buhtrap necə əlaqəlidir?
RTM kampaniyası Buhtrap-a çox bənzəyir. Təbii sual: onların bir-biri ilə necə əlaqəsi var?
2016-cı ilin sentyabrında Buhtrap yükləyicisindən istifadə etməklə RTM nümunəsinin paylandığını müşahidə etdik. Bundan əlavə, həm Buhtrap, həm də RTM-də istifadə olunan iki rəqəmsal sertifikat tapdıq.
DNISTER-M şirkətinə verildiyi iddia edilən birincisi, ikinci Delphi formasını (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) və Buhtrap DLL-ni (SHA-1: 1E2642D454FC2B) rəqəmsal imzalamaq üçün istifadə edilmişdir. D889).
Bit-Tredj-ə verilmiş ikincisi, Buhtrap yükləyicilərini imzalamaq üçün istifadə edilmişdir (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 və B74F71560E48488D2153AE2FB51207E0), həmçinin R206AE2 komponentlərini yükləmək və quraşdırmaq.
RTM operatorları digər zərərli proqram ailələri üçün ümumi olan sertifikatlardan istifadə edirlər, lakin onların da unikal sertifikatı var. ESET telemetriyasına görə, o, Kit-SD-yə buraxılıb və yalnız bəzi RTM zərərli proqram təminatını imzalamaq üçün istifadə edilib (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM Buhtrap ilə eyni yükləyicidən istifadə edir, RTM komponentləri Buhtrap infrastrukturundan yüklənir, ona görə də qruplar oxşar şəbəkə göstəricilərinə malikdir. Bununla belə, təxminlərimizə görə, RTM və Buhtrap fərqli qruplardır, ən azı RTM müxtəlif yollarla paylandığı üçün (yalnız “xarici” yükləyicidən istifadə edilmir).
Buna baxmayaraq, haker qrupları oxşar fəaliyyət prinsiplərindən istifadə edirlər. Onlar mühasibat proqramından istifadə edərək, sistem məlumatlarını toplayan, smart kart oxuyucuları axtaran və qurbanlara casusluq etmək üçün bir sıra zərərli alətlər yerləşdirən müəssisələri hədəfləyirlər.
3. Təkamül
Bu bölmədə biz tədqiqat zamanı aşkar edilmiş zərərli proqramların müxtəlif versiyalarına baxacağıq.
3.1. Versiyalaşdırma
RTM konfiqurasiya məlumatlarını reyestr bölməsində saxlayır, ən maraqlı hissəsi botnet-prefiksdir. Öyrəndiyimiz nümunələrdə gördüyümüz bütün dəyərlərin siyahısı aşağıdakı cədvəldə təqdim olunur.
Mümkündür ki, dəyərlər zərərli proqram versiyalarını qeyd etmək üçün istifadə edilə bilər. Bununla belə, bit2 və bit3, 0.1.6.4 və 0.1.6.6 kimi versiyalar arasında çox fərq görmədik. Üstəlik, prefikslərdən biri əvvəldən mövcuddur və aşağıda göstərildiyi kimi tipik C&C domenindən .bit domeninə çevrilmişdir.
3.2. Cədvəl
Telemetriya məlumatlarından istifadə edərək nümunələrin baş vermə qrafikini yaratdıq.
4. Texniki analiz
Bu bölmədə biz RTM bank Trojanının əsas funksiyalarını, o cümlədən müqavimət mexanizmlərini, RC4 alqoritminin öz versiyasını, şəbəkə protokolunu, casusluq funksiyalarını və bəzi digər xüsusiyyətləri təsvir edəcəyik. Xüsusilə, SHA-1 nümunələrinə diqqət yetirəcəyik AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 və 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. Quraşdırma və qənaət
4.1.1. İcra
RTM nüvəsi DLL-dir, kitabxana .EXE istifadə edərək diskə yüklənir. İcra olunan fayl adətən paketlənir və DLL kodunu ehtiva edir. Başladıqdan sonra o, DLL-ni çıxarır və aşağıdakı əmrdən istifadə edərək onu işə salır:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. DLL
Əsas DLL həmişə %PROGRAMDATA%Winlogon qovluğunda winlogon.lnk kimi diskə yüklənir. Bu fayl uzantısı adətən qısayolla əlaqələndirilir, lakin bu fayl əslində Delphi-də yazılmış, aşağıdakı şəkildə göstərildiyi kimi tərtibatçı tərəfindən core.dll adlandırılmış DLL-dir.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Trojan işə salındıqdan sonra müqavimət mexanizmini işə salır. Bu, qurbanın sistemdəki imtiyazlarından asılı olaraq iki fərqli şəkildə edilə bilər. Əgər administrator hüquqlarınız varsa, Trojan HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun reyestrinə Windows Update girişini əlavə edir. Windows Update-də olan əmrlər istifadəçi sessiyasının başlanğıcında işləyəcək.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Yeniləmə [REG_SZ] = rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host
Trojan həmçinin Windows Task Scheduler-ə tapşırıq əlavə etməyə çalışır. Tapşırıq yuxarıdakı kimi eyni parametrlərlə winlogon.lnk DLL-ni işə salacaq. Daimi istifadəçi hüquqları Trojan-a HKCUSoftwareMicrosoftWindowsCurrentVersionRun reyestrinə eyni məlumatlarla Windows Yeniləmə girişini əlavə etməyə imkan verir:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Dəyişdirilmiş RC4 alqoritmi
Məlum çatışmazlıqlarına baxmayaraq, RC4 alqoritmi zərərli proqram müəllifləri tərəfindən müntəzəm olaraq istifadə olunur. Bununla belə, RTM yaradıcıları virus analitiklərinin işini çətinləşdirmək üçün onu bir qədər dəyişdirdilər. RC4-ün dəyişdirilmiş versiyası sətirləri, şəbəkə məlumatlarını, konfiqurasiyanı və modulları şifrələmək üçün zərərli RTM alətlərində geniş istifadə olunur.
4.2.1. Fərqlər
Orijinal RC4 alqoritmi iki mərhələdən ibarətdir: s-blokunun işə salınması (aka KSA - Açar Planlaşdırma Alqoritmi) və psevdo-təsadüfi ardıcıllığın yaradılması (PRGA - Pseudo-Random Generation Alqoritmi). Birinci mərhələ açardan istifadə edərək s-qutunun işə salınmasını nəzərdə tutur, ikinci mərhələdə isə mənbə mətn şifrələmə üçün s-box-dan istifadə etməklə işlənir.
RTM müəllifləri s-box başlatma və şifrələmə arasında aralıq addım əlavə etdilər. Əlavə açar dəyişkəndir və şifrələnəcək və şifrəsi açılacaq məlumatlarla eyni vaxtda təyin edilir. Bu əlavə addımı yerinə yetirən funksiya aşağıdakı şəkildə göstərilmişdir.
4.2.2. Simli şifrələmə
İlk baxışdan əsas DLL-də bir neçə oxunaqlı sətir var. Qalanları yuxarıda təsvir edilən alqoritmdən istifadə edərək şifrələnir, strukturu aşağıdakı şəkildə göstərilir. Təhlil edilən nümunələrdə sətir şifrələməsi üçün 25-dən çox müxtəlif RC4 açarı tapdıq. XOR açarı hər bir sıra üçün fərqlidir. Sətirləri ayıran rəqəmsal sahənin dəyəri həmişə 0xFFFFFFFF-dir.
İcranın əvvəlində RTM sətirləri qlobal dəyişənə çevirir. Sətirə daxil olmaq üçün lazım olduqda, Trojan əsas ünvan və ofset əsasında deşifrə edilmiş sətirlərin ünvanını dinamik olaraq hesablayır.
Sətirlərdə zərərli proqramın funksiyaları haqqında maraqlı məlumatlar var. Bəzi misal sətirlər Bölmə 6.8-də verilmişdir.
4.3. Şəbəkə
RTM zərərli proqram təminatının C&C serveri ilə əlaqə qurma üsulu versiyadan versiyaya dəyişir. İlk dəyişikliklər (2015-ci ilin oktyabrı – 2016-cı ilin apreli) əmrlərin siyahısını yeniləmək üçün livejournal.com saytında RSS lenti ilə birlikdə ənənəvi domen adlarından istifadə etdi.
2016-cı ilin aprelindən biz telemetriya məlumatlarında .bit domenlərinə keçid gördük. Bu, domen qeydiyyatı tarixi ilə təsdiqlənir - ilk RTM domeni fde05d0573da.bit 13 mart 2016-cı ildə qeydə alınıb.
Kampaniyaya nəzarət edərkən gördüyümüz bütün URL-lərin ümumi yolu var idi: /r/z.php. Bu olduqca qeyri-adidir və şəbəkə axınlarında RTM sorğularını müəyyən etməyə kömək edəcək.
4.3.1. Əmrlər və nəzarət üçün kanal
Köhnə nümunələr komanda və idarəetmə serverlərinin siyahısını yeniləmək üçün bu kanaldan istifadə edirdi. Hostinq livejournal.com saytında yerləşir, hesabatı yazarkən o, hxxp://f72bba81c921(.)livejournal(.)com/data/rss URL-də qaldı.
Livejournal, blog platforması təqdim edən Rusiya-Amerika şirkətidir. RTM operatorları kodlanmış əmrlərlə məqalə yerləşdirdikləri LJ bloqu yaradırlar - ekran görüntüsünə baxın.
Komanda və idarəetmə xətləri dəyişdirilmiş RC4 alqoritmi ilə kodlanır (Bölmə 4.2). Kanalın cari versiyası (noyabr 2016) aşağıdakı əmr və idarəetmə server ünvanlarını ehtiva edir:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. .bit domenləri
Ən son RTM nümunələrində müəlliflər .bit TLD yüksək səviyyəli domenindən istifadə edərək C&C domenlərinə qoşulurlar. O, ICANN (Domain Name and Internet Corporation) ən yüksək səviyyəli domenlər siyahısında deyil. Bunun əvəzinə Bitcoin texnologiyası üzərində qurulmuş Namecoin sistemindən istifadə edir. Zərərli proqram müəllifləri öz domenləri üçün .bit TLD-dən tez-tez istifadə etmirlər, baxmayaraq ki, bu cür istifadə nümunəsi əvvəllər Necurs botnetinin versiyasında müşahidə olunub.
Bitcoin-dən fərqli olaraq, paylanmış Namecoin verilənlər bazasının istifadəçiləri məlumatları saxlamaq imkanına malikdirlər. Bu funksiyanın əsas tətbiqi .bit üst səviyyəli domendir. Siz paylanmış verilənlər bazasında saxlanılacaq domenləri qeydiyyatdan keçirə bilərsiniz. Verilənlər bazasındakı müvafiq qeydlər domen tərəfindən həll edilən IP ünvanlarını ehtiva edir. Bu TLD "senzuraya davamlıdır" çünki yalnız qeydiyyatdan keçən şəxs .bit domeninin həllini dəyişə bilər. Bu o deməkdir ki, bu tip TLD-dən istifadə edərək zərərli domeni dayandırmaq daha çətindir.
RTM Trojan paylanmış Namecoin verilənlər bazasını oxumaq üçün lazım olan proqram təminatını daxil etmir. O, .bit domenlərini həll etmək üçün dns.dot-bit.org və ya OpenNic serverləri kimi mərkəzi DNS serverlərindən istifadə edir. Buna görə də DNS serverləri ilə eyni davamlılığa malikdir. Bəzi komanda domenlərinin bir blog yazısında qeyd edildikdən sonra artıq aşkar edilmədiyini müşahidə etdik.
Hakerlər üçün .bit TLD-nin başqa bir üstünlüyü qiymətdir. Domeni qeydiyyatdan keçirmək üçün operatorlar cəmi 0,01 NK ödəməlidirlər ki, bu da $0,00185 (5 dekabr 2016-cı il tarixinə) uyğun gəlir. Müqayisə üçün qeyd edək ki, domain.com ən azı 10 dollara başa gəlir.
4.3.3. Protokol
Komanda və idarəetmə serveri ilə əlaqə yaratmaq üçün RTM, xüsusi protokoldan istifadə edərək formatlanmış verilənlərlə HTTP POST sorğularından istifadə edir. Yol dəyəri həmişə /r/z.php; Mozilla/5.0 istifadəçi agenti (uyğundur; MSIE 9.0; Windows NT 6.1; Trident/5.0). Serverə edilən sorğularda məlumatlar aşağıdakı kimi formatlanır, burada ofset dəyərləri baytlarla ifadə edilir:
0-dan 6-ya qədər bayt kodlaşdırılmayıb; 6-dan başlayan baytlar dəyişdirilmiş RC4 alqoritmi ilə kodlanır. C&C cavab paketinin strukturu daha sadədir. Baytlar 4-dən paket ölçüsünə qədər kodlanır.
Mümkün fəaliyyət bayt dəyərlərinin siyahısı aşağıdakı cədvəldə təqdim olunur:
Zərərli proqram həmişə şifrəsi açılmış məlumatın CRC32-ni hesablayır və onu paketdə mövcud olanlarla müqayisə edir. Əgər onlar fərqlidirsə, Trojan paketi buraxır.
Əlavə məlumatlar müxtəlif obyektləri, o cümlədən PE faylı, fayl sistemində axtarılan faylı və ya yeni əmr URL-lərini ehtiva edə bilər.
4.3.4. Panel
RTM-nin C&C serverlərində paneldən istifadə etdiyini gördük. Aşağıdakı ekran görüntüsü:
4.4. Xarakterik əlamət
RTM tipik bank Trojanıdır. Operatorların qurbanın sistemi haqqında məlumat istəməsi təəccüblü deyil. Bir tərəfdən, bot ƏS haqqında ümumi məlumat toplayır. Digər tərəfdən, o, pozulmuş sistemdə Rusiyanın uzaqdan bank sistemləri ilə əlaqəli atributların olub-olmadığını öyrənir.
4.4.1. Ümumi məlumat
Zərərli proqram yenidən yükləndikdən sonra quraşdırıldıqda və ya işə salındıqda, komanda və idarəetmə serverinə hesabat göndərilir, o cümlədən:
- Saat qurşağı;
- standart sistem dili;
- səlahiyyətli istifadəçi etimadnaməsini;
- prosesin bütövlüyü səviyyəsi;
- İstifadəçi adı;
- kompüter adı;
- OS versiyası;
- əlavə quraşdırılmış modullar;
- quraşdırılmış antivirus proqramı;
- smart kart oxuyucularının siyahısı.
4.4.2 Uzaqdan bank sistemi
Tipik bir Trojan hədəfi uzaq bank sistemidir və RTM də istisna deyil. Proqramın modullarından biri TBdo adlanır və disklərin skan edilməsi və baxış tarixçəsi də daxil olmaqla müxtəlif vəzifələri yerinə yetirir.
Diski skan edərək, troyan bank proqramının maşında quraşdırılıb-quraşdırılmadığını yoxlayır. Hədəf proqramlarının tam siyahısı aşağıdakı cədvəldə verilmişdir. Maraqlanan faylı aşkar etdikdən sonra proqram məlumatı komanda serverinə göndərir. Növbəti hərəkətlər komanda mərkəzi (C&C) alqoritmləri tərəfindən müəyyən edilmiş məntiqdən asılıdır.
RTM həmçinin brauzer tarixçənizdə və açıq tablarda URL nümunələri axtarır. Bundan əlavə, proqram FindNextUrlCacheEntryA və FindFirstUrlCacheEntryA funksiyalarının istifadəsini yoxlayır və həmçinin hər bir girişin URL-in aşağıdakı nümunələrdən birinə uyğunluğunu yoxlayır:
Açıq nişanları aşkar etdikdən sonra Trojan Dinamik Məlumat Mübadiləsi (DDE) mexanizmi vasitəsilə Internet Explorer və ya Firefox ilə əlaqə saxlayır və nişanın nümunəyə uyğun olub-olmadığını yoxlayır.
Baxış tarixçənizi və açıq nişanları yoxlamaq WHILE dövrəsində (ilkin şərti olan dövrə) yoxlamalar arasında 1 saniyə fasilə ilə həyata keçirilir. Real vaxt rejimində monitorinq edilən digər məlumatlar bölmə 4.5-də müzakirə olunacaq.
Nümunə tapılarsa, proqram bunu aşağıdakı cədvəldəki sətirlərin siyahısından istifadə edərək əmr serverinə bildirir:
4.5 Monitorinq
Troyan işləyərkən, yoluxmuş sistemin xarakterik xüsusiyyətləri haqqında məlumat (bank proqram təminatının mövcudluğu haqqında məlumat daxil olmaqla) komanda və idarəetmə serverinə göndərilir. Barmaq izi ilkin OS skanından dərhal sonra RTM monitorinq sistemini ilk dəfə işə saldıqda baş verir.
4.5.1. Uzaqdan bankçılıq
TBdo modulu həmçinin bank işi ilə bağlı proseslərin monitorinqinə cavabdehdir. İlkin skan zamanı Firefox və Internet Explorer-də nişanları yoxlamaq üçün dinamik məlumat mübadiləsindən istifadə edir. Digər TShell modulu əmr pəncərələrinə (Internet Explorer və ya File Explorer) nəzarət etmək üçün istifadə olunur.
Modul pəncərələrə nəzarət etmək üçün IShellWindows, iWebBrowser, DWebBrowserEvents2 və IConnectionPointContainer COM interfeyslərindən istifadə edir. İstifadəçi yeni veb səhifəyə keçdikdə, zərərli proqram bunu qeyd edir. Sonra səhifənin URL-ni yuxarıdakı nümunələrlə müqayisə edir. Uyğunluğu aşkar edərək, troyan 5 saniyəlik fasilə ilə altı ardıcıl skrinşot çəkir və onları C&S komanda serverinə göndərir. Proqram həmçinin bank proqramı ilə bağlı bəzi pəncərə adlarını yoxlayır - tam siyahı aşağıdadır:
4.5.2. Ağıllı kart
RTM yoluxmuş kompüterlərə qoşulmuş smart kart oxuyucularına nəzarət etməyə imkan verir. Bu cihazlar bəzi ölkələrdə ödəniş tapşırıqlarını tutuşdurmaq üçün istifadə olunur. Bu tip cihaz kompüterə qoşulubsa, bu, troyana maşının bank əməliyyatları üçün istifadə edildiyini göstərə bilər.
Digər bank troyanlarından fərqli olaraq, RTM belə smart kartlarla qarşılıqlı əlaqədə ola bilməz. Bəlkə də bu funksionallıq hələ görmədiyimiz əlavə modula daxildir.
4.5.3. Keylogger
Yoluxmuş PC-nin monitorinqinin vacib hissəsi düymə vuruşlarını çəkməkdir. Görünür, RTM tərtibatçıları heç bir məlumatı əskik etmirlər, çünki onlar təkcə adi düymələri deyil, həm də virtual klaviatura və mübadilə buferini izləyirlər.
Bunu etmək üçün SetWindowsHookExA funksiyasından istifadə edin. Təcavüzkarlar proqramın adı və tarixi ilə birlikdə basılan düymələri və ya virtual klaviaturaya uyğun düymələri qeyd edirlər. Sonra bufer C&C komanda serverinə göndərilir.
SetClipboardViewer funksiyası panoya müdaxilə etmək üçün istifadə olunur. Məlumat mətn olduqda hakerlər mübadilə buferinin məzmununu qeyd edirlər. Bufer serverə göndərilməzdən əvvəl ad və tarix də qeyd olunur.
4.5.4. Ekran görüntüləri
Digər RTM funksiyası ekran görüntüsünün tutulmasıdır. Pəncərə monitorinqi modulu maraq doğuran saytı və ya bank proqramını aşkar etdikdə bu funksiya tətbiq edilir. Ekran görüntüləri qrafik şəkillər kitabxanasından istifadə edilərək götürülür və komanda serverinə ötürülür.
4.6. Silinmə
C&C serveri zərərli proqramın işləməsini dayandıra və kompüterinizi təmizləyə bilər. Komanda RTM işləyərkən yaradılmış faylları və qeyd defteri qeydlərini təmizləməyə imkan verir. Daha sonra DLL zərərli proqramı və winlogon faylını silmək üçün istifadə olunur, bundan sonra komanda kompüteri bağlayır. Aşağıdakı şəkildə göstərildiyi kimi, DLL erase.dll istifadə edən tərtibatçılar tərəfindən silinir.
Server Troyana dağıdıcı silmə-kilid əmri göndərə bilər. Bu halda, administrator hüquqlarınız varsa, RTM sabit diskdə MBR açılış sektorunu siləcək. Bu uğursuz olarsa, troyan MBR açılış sektorunu təsadüfi sektora keçirməyə çalışacaq - o zaman kompüter bağlandıqdan sonra OS-ni işə sala bilməyəcək. Bu, OS-nin tamamilə yenidən qurulmasına səbəb ola bilər, bu da sübutların məhv edilməsi deməkdir.
Administrator imtiyazları olmadan zərərli proqram əsas RTM DLL-də kodlanmış .EXE yazır. İcra olunan proqram kompüteri söndürmək üçün lazım olan kodu icra edir və modulu HKCUCurrentVersionRun qeyd açarında qeyd edir. İstifadəçi hər dəfə sessiyaya başlayanda kompüter dərhal sönür.
4.7. Konfiqurasiya faylı
Varsayılan olaraq, RTM-də demək olar ki, heç bir konfiqurasiya faylı yoxdur, lakin komanda və idarəetmə serveri reyestrdə saxlanacaq və proqram tərəfindən istifadə ediləcək konfiqurasiya dəyərlərini göndərə bilər. Konfiqurasiya açarlarının siyahısı aşağıdakı cədvəldə təqdim olunur:
Konfiqurasiya Software[Pseudo-radom string] reyestr açarında saxlanılır. Hər bir dəyər əvvəlki cədvəldə təqdim olunan sətirlərdən birinə uyğun gəlir. Dəyərlər və məlumatlar RTM-də RC4 alqoritmi ilə kodlanır.
Məlumatlar şəbəkə və ya sətirlərlə eyni quruluşa malikdir. Kodlanmış məlumatın əvvəlinə dörd baytlıq XOR açarı əlavə olunur. Konfiqurasiya dəyərləri üçün XOR açarı fərqlidir və dəyərin ölçüsündən asılıdır. Bunu aşağıdakı kimi hesablamaq olar:
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)
4.8. Digər xüsusiyyətlər
Sonra, RTM-nin dəstəklədiyi digər funksiyalara baxaq.
4.8.1. Əlavə modullar
Trojan DLL faylları olan əlavə modulları ehtiva edir. C&C komanda serverindən göndərilən modullar xarici proqramlar kimi icra oluna, RAM-da əks oluna və yeni mövzularda işə salına bilər. Saxlama üçün modullar .dtt fayllarında saxlanılır və şəbəkə rabitəsi üçün istifadə edilən eyni açarla RC4 alqoritmi ilə kodlaşdırılır.
İndiyə qədər biz VNC modulunun (8966319882494077C21F66A8354E2CBCA0370464), brauzer məlumatlarının çıxarılması modulunun (03DE8622BE6B2F75A364A275995C3411626B (modul) 4B9F (modul) quraşdırılmasını müşahidə etdik. 1EFC2FBA1 B562BE1D69B6E58CFAB).
VNC modulunu yükləmək üçün C&C serveri 44443-cü portda xüsusi IP ünvanında VNC serverinə qoşulma tələbi ilə əmr verir. Brauzer məlumatlarının axtarışı plaqini IE baxış tarixçəsini oxuya bilən TBrowserDataCollector proqramını icra edir. Sonra ziyarət edilən URL-lərin tam siyahısını C&C komanda serverinə göndərir.
Ən son tapılan modul 1c_2_kl adlanır. O, 1C Enterprise proqram paketi ilə qarşılıqlı əlaqədə ola bilər. Modul iki hissədən ibarətdir: əsas hissə - DLL və iki agent (32 və 64 bit). 1C prosesinə daxil olan modul CreateFile və WriteFile funksiyalarını birləşdirir. CreateFile bağlı funksiyası çağırılanda modul 1c_to_kl.txt fayl yolunu yaddaşda saxlayır. WriteFile çağırışına müdaxilə etdikdən sonra o, WriteFile funksiyasını çağırır və hazırlanmış Windows WM_COPYDATA mesajını ötürərək 1c_to_kl.txt fayl yolunu əsas DLL moduluna göndərir.
Əsas DLL modulu ödəniş tapşırıqlarını müəyyən etmək üçün faylı açır və təhlil edir. O, faylda olan məbləği və əməliyyat nömrəsini tanıyır. Bu məlumat komanda serverinə göndərilir. Hesab edirik ki, bu modul hazırda inkişaf mərhələsindədir, çünki o, sazlama mesajını ehtiva edir və 1c_to_kl.txt faylını avtomatik dəyişdirə bilmir.
4.8.2. İmtiyazların artırılması
RTM yanlış səhv mesajları göstərməklə imtiyazları artırmağa cəhd edə bilər. Zərərli proqram reyestr yoxlamasını simulyasiya edir (aşağıdakı şəklə baxın) və ya real reyestr redaktoru ikonasından istifadə edir. Zəhmət olmasa yazım səhvinə diqqət yetirin - Whait. Bir neçə saniyə skan etdikdən sonra proqram yanlış səhv mesajı göstərir.
Yalan mesaj qrammatik səhvlərə baxmayaraq, adi istifadəçini asanlıqla aldadır. İstifadəçi iki keçiddən birini klikləsə, RTM sistemdəki imtiyazlarını artırmağa çalışacaq.
İki bərpa variantından birini seçdikdən sonra Trojan idarəçi imtiyazları ilə ShellExecute funksiyasında runas seçimindən istifadə edərək DLL-ni işə salır. İstifadəçi yüksəklik üçün real Windows sorğusunu (aşağıdakı şəkilə baxın) görəcək. İstifadəçi lazımi icazələri verərsə, Trojan administrator imtiyazları ilə işləyəcək.
Sistemdə quraşdırılmış standart dildən asılı olaraq, troyan səhv mesajlarını rus və ya ingilis dillərində göstərir.
4.8.3. Sertifikat
RTM Windows Mağazasına sertifikatlar əlavə edə və csrss.exe dialoq qutusunda avtomatik olaraq “bəli” düyməsini klikləməklə əlavənin etibarlılığını təsdiqləyə bilər. Bu davranış yeni deyil, məsələn, bank Trojan Retefe də müstəqil olaraq yeni sertifikatın quraşdırılmasını təsdiqləyir.
4.8.4. Əks əlaqə
RTM müəllifləri həmçinin Backconnect TCP tunelini yaratdılar. Biz hələ istifadə olunan funksiyanı görməmişik, lakin o, yoluxmuş kompüterləri uzaqdan izləmək üçün nəzərdə tutulub.
4.8.5. Host faylının idarə edilməsi
C&C serveri Windows host faylını dəyişdirmək üçün Troyana əmr göndərə bilər. Host faylı xüsusi DNS qətnamələri yaratmaq üçün istifadə olunur.
4.8.6. Fayl tapın və göndərin
Server yoluxmuş sistemdə faylın axtarışını və endirilməsini tələb edə bilər. Məsələn, araşdırma zamanı 1c_to_kl.txt faylı üçün sorğu aldıq. Daha əvvəl təsvir edildiyi kimi, bu fayl 1C: Enterprise 8 mühasibat sistemi tərəfindən yaradılır.
4.8.7. Yeniləyin
Nəhayət, RTM müəllifləri cari versiyanı əvəz etmək üçün yeni DLL təqdim edərək proqramı yeniləyə bilərlər.
5. Nəticə
RTM-in araşdırmaları göstərir ki, Rusiya bank sistemi hələ də kiber hücumçuları cəlb edir. Buhtrap, Corkow və Carbanak kimi qruplar Rusiyadakı maliyyə institutlarından və onların müştərilərindən uğurla pul oğurlayır. RTM bu sənayedə yeni oyunçudur.
ESET telemetriyasına görə, zərərli RTM alətləri ən azı 2015-ci ilin sonundan istifadə olunur. Proqram, smart kartların oxunması, düymələrin basılması və bank əməliyyatlarının monitorinqi, həmçinin 1C: Enterprise 8 nəqliyyat fayllarının axtarışı daxil olmaqla, casusluq imkanlarının tam spektrinə malikdir.
Mərkəzləşdirilməmiş, senzurasız .bit yüksək səviyyəli domenindən istifadə yüksək davamlı infrastrukturu təmin edir.
Mənbə: www.habr.com