Вядома некалькі кібергруп, якія спецыялізуюцца на крадзяжы сродкаў у расійскіх кампаній. Мы назіралі напады з ужываннем шчылін у сістэмах бяспекі, якія адкрываюць доступ у сеткі мэтавых аб'ектаў. Атрымаўшы доступ, атакавалыя вывучаюць структуру сеткі арганізацыі і разгортваюць уласныя прылады для крадзяжу сродкаў. Класічны прыклад гэтага трэнду - хакерскія групоўкі Buhtrap, Cobalt і Corkow.
Група RTM, якой прысвечана гэтая справаздача, з'яўляецца часткай дадзенага трэнду. Яна выкарыстоўвае спецыяльна распрацаваныя шкоднасныя праграмы, напісаныя на Delphi, якія мы разгледзім падрабязней у наступных раздзелах. Першыя сляды гэтых інструментаў у сістэме тэлеметрыі ESET выяўлены ў канцы 2015 года. Па меры неабходнасці група загружае ў заражаныя сістэмы розныя новыя модулі. Напады накіраваны на карыстальнікаў сістэм ДБО ў Расіі і некаторых суседніх краінах.
1. Галы
Кампанія RTM арыентавана на карпаратыўных карыстальнікаў - гэта відавочна з працэсаў, якія атакуючыя спрабуюць выявіць у скампраметаванай сістэме. У фокусе бухгалтарскае ПЗ для працы з сістэмамі дыстанцыйнага банкінгу.
Спіс працэсаў, якія цікавяць RTM, нагадвае які адпавядае спіс групы Buhtrap, але пры гэтым у груповак адрозніваюцца вектары заражэння. Калі Buhtrap часцей выкарыстоўвала падробленыя старонкі, то RTM - атакі drive-by download (напады на браўзэр або яго кампаненты) і рассылку спаму па электроннай пошце. Паводле звестак тэлеметрыі, пагроза накіравана на Расію і некалькі бліжэйшых краін (Украіну, Казахстан, Чэхію, Германію). Тым не менш, у сувязі з выкарыстаннем механізмаў масавага распаўсюджвання, выяўленне шкоднаснага ПЗ за межамі мэтавых рэгіёнаў не здзіўляе.
Агульны лік выяў шкоднаснага ПА параўнальна невяліка. З іншага боку, у кампаніі RTM выкарыстоўваюцца складаныя праграмы, што сведчыць аб высокай таргетаванасці нападаў.
Мы выявілі некалькі дакументаў-прынад, якія выкарыстоўваюцца RTM, у тым ліку неіснуючыя кантракты, рахунак-фактуры або дакументы падатковага ўліку. Характар прынад у спалучэнні з тыпам праграмнага забеспячэння, на якое накіравана атака, паказвае на тое, што атакавалыя "заходзяць" у сеткі расійскіх кампаній праз бухгалтэрыю. Па той жа схеме дзейнічала група у 2014-2015 гг.
У ходзе даследавання нам удалося ўзаемадзейнічаць з некалькімі С&С-серверамі. Поўны спіс каманд пералічым у наступных раздзелах, а пакуль можам сказаць, што кліент перадае дадзеныя з кейлоггера напрамую на сервер атакавалых, з якога затым паступаюць дадатковыя каманды.
Тым не менш, дні, калі вы маглі проста падлучыцца да каманднага сервера і сабраць усе якія цікавяць дадзеныя, мінулі. Мы аднавілі рэалістычныя файлы часопісаў, каб атрымаць некалькі рэлевантных каманд ад сервера.
Першая з іх – запыт робату для перадачы файла 1c_to_kl.txt – транспартнага файла праграмы "1С: Прадпрыемства 8", з'яўленне якога актыўна адсочвае RTM. 1С ўзаемадзейнічае з сістэмамі ДБО шляхам выгрузкі дадзеных аб выходных плацяжах у тэкставы файл. Далей файл накіроўваецца ў сістэму ДБО для аўтаматызацыі і выкананні аплатнага даручэння.
Файл утрымоўвае аплатныя рэквізіты. Калі зламыснікі зменяць дадзеныя аб выходных плацяжах, перавод пойдзе па фальшывых рэквізітах на рахункі атакавалых.
Прыкладна праз месяц пасля запыту гэтых файлаў з каманднага сервера мы назіралі загрузку ў скампраметаваную сістэму новага плагіна 1c_2_kl.dll. Модуль (бібліятэка DLL) прызначаны для аўтаматычнага аналізу файла выгрузкі шляхам пранікнення ў працэсы бухгалтарскага ПЗ. Мы падрабязна апішам яго ў наступных раздзелах.
Цікава, што "Фінцэрт" Банка Расіі ў канцы 2016 года выпусціў бюлетэнь з папярэджаннем аб кіберзлачынцах, якія выкарыстоўваюць файлы выгрузкі 1c_to_kl.txt. Распрацоўнікі з 1С таксама ведаюць аб гэтай схеме, яны ўжо выступілі з афіцыйнай заявай і пералічылі меры засцярогі.
З каманднага сервера загружаліся і іншыя модулі, у прыватнасці, VNC (яго 32 і 64-бітныя версіі). Ён нагадвае модуль VNC, які раней выкарыстоўваўся ў нападах з траянам Dridex. Дадзены модуль меркавана выкарыстоўваецца для выдаленага падлучэння да заражанага кампутара і дэталёвага вывучэння сістэмы. Далей атакавалыя спрабуюць перамяшчацца ў сеткі, здабываючы паролі карыстачоў, збіраць інфармацыю і забяспечваць сталую прысутнасць шкоднаснага ПА.
2. Вектары заражэння
На наступным малюнку прадстаўлены вектары заражэння, выяўленыя ў перыяд вывучэння кампаніі. Група выкарыстоўвае шырокі спектр вектараў, але пераважна напады drive-by download і спам. Гэтыя прылады зручныя для таргетаваных нападаў, паколькі ў першым выпадку атакавалыя могуць выбіраць сайты, наведвальныя патэнцыйнымі ахвярамі, у другім - адпраўляць электронную пошту з укладаннямі напроста патрэбным супрацоўнікам кампаній.
Шкоднаснае ПА распаўсюджваецца ў некалькіх каналах, уключаючы наборы эксплойтаў RIG і Sundown або спам-рассыланні, што паказвае на сувязі атакавалых з іншымі кіберзламыснікамі, якія прапануюць гэтыя сэрвісы.
2.1. Як звязаны RTM і Buhtrap?
Кампанія RTM вельмі падобная на кампанію Buhtrap. Заканамернае пытанне: як яны злучаны сябар з сябрам?
У верасні 2016 года мы назіралі распаўсюджванне ўзору RTM пры дапамозе загрузніка Buhtrap. Акрамя таго, мы знайшлі два лічбавыя сертыфікаты, якія выкарыстоўваюцца як у Buhtrap, так і RTM.
Першы, нібы выдадзены кампаніі DNISTER-M, выкарыстоўваўся для лічбавага подпісу другой формы Delphi (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) і DLL Buhtrap (SHA-1: 1E2642B454A2 ).
Другі, выдадзены кампаніі Bit-Tredj, выкарыстоўваўся для подпісу загрузчыкаў Buhtrap. TM.
Аператары RTM выкарыстоўваюць сертыфікаты, агульныя з іншымі сямействамі шкоднаснага ПЗ, але ў іх ёсць і ўнікальны сертыфікат. Па дадзеных сістэмы тэлеметрыі ESET, ён выдадзены кампаніі Kit-SD і выкарыстоўваўся толькі для подпісу некаторых шкоднасных праграм RTM (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM выкарыстоўвае такі ж як і ў Buhtrap загрузнік, кампаненты RTM загружаецца з інфраструктуры Buhtrap, таму ў груп падобныя сеткавыя індыкатары. Тым не менш, па нашых ацэнках, RTM і Buhtrap - розныя групоўкі, як мінімум, таму што RTM распаўсюджваецца рознымі спосабамі (не толькі пры дапамозе "чужога" загрузніка).
Нягледзячы на гэта, хакерскія групоўкі выкарыстоўваюць падобныя прынцыпы працы. Яны накіраваны на прадпрыемствы, якія выкарыстоўваюць бухгалтарскае ПА, падобным чынам збіраюць інфармацыю аб сістэме, шукаюць прылады чытання смарт-карт і разгортваюць масіў шкоднасных інструментаў для сачэння за ахвярамі.
3. Эвалюцыя
У гэтым раздзеле мы разгледзім розныя версіі шкоднаснага ПЗ, выяўленыя падчас даследаванняў.
3.1. Версіённасць
RTM захоўвае канфігурацыйныя дадзеныя ў падзеле рэестра, найболей цікавая частка botnet-prefix. Спіс усіх значэнняў, якія мы бачылі ў вывучаных узорах, прадстаўлена ў табліцы ніжэй.
Магчыма, значэнні могуць быць скарыстаны для запісу версій шкоднаснай праграмы. Тым не менш, мы не заўважылі адмысловых адрозненняў паміж версіямі, такімі як bit2 і bit3, 0.1.6.4 і 0.1.6.6. Больш за тое, адзін з прэфіксаў існуе з самага пачатку і ператварыўся з тыповага дамена C&C у .bit дамен, як будзе паказана далей.
3.2. Графік
Выкарыстоўваючы дадзеныя тэлеметрыі, мы стварылі графік з'яўлення узораў.
4. Тэхнічны аналіз
У гэтай частцы мы апішам галоўныя функцыі банкаўскага траяна RTM, уключаючы механізмы ўстойлівасці, уласную версію алгарытму RC4, сеткавы пратакол, шпіёнскі функцыянал і некаторыя іншыя магчымасці. У прыватнасці, мы засяродзімся на узорах SHA-1 AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 і 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. Ўстаноўка і захаванне
4.1.1. Рэалізацыя
Ядро RTM - DLL, бібліятэка загружаецца на дыск пры дапамозе .EXE. Выконваны файл, як правіла, спакаваны і ўтрымоўвае код DLL. Пасля запуску ён здабывае DLL і запускае яе, выкарыстоўваючы наступную каманду:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. DLL
Асноўная DLL заўсёды загружаецца на дыск як winlogon.lnk у тэчцы %PROGRAMDATA%Winlogon. Гэта пашырэнне файла як правіла злучана з цэтлікам, але файл насамрэч з'яўляецца DLL-бібліятэкай, напісанай на Delphi, названай распрацоўнікам core.dll, як паказана на малюнку ніжэй.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Пасля запуску траян актывуе механізм устойлівасці. Гэта можна рэалізаваць двума рознымі спосабамі - у залежнасці ад прывілеяў ахвяры ў сістэме. Пры наяўнасці правоў адміністратара, траян дадае запіс Windows Update у рэестр HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun. Каманды, якія змяшчаюцца ў Windows Update, будуць выконвацца ў пачатку сеанса карыстальніка.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe "%PROGRAMDATA%winlogon.lnk",DllGetClassObject host
Траян таксама спрабуе дадаць задачу ў Планавальнік заданняў Windows. Задача запусціць DLL-бібліятэку winlogon.lnk з тымі ж параметрамі, як паказана вышэй. Правы звычайнага карыстальніка дазваляюць траяну дадаць запіс Windows Update з тымі ж дадзенымі ў рэестр HKCUSoftwareMicrosoftWindowsCurrentVersionRun:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Мадыфікаваны алгарытм RC4
Нягледзячы на вядомыя недахопы, алгарытм RC4 рэгулярна выкарыстоўваецца аўтарамі шкоднасных праграм. Тым не менш, стваральнікі RTM трохі перайначылі яго – верагодна, каб ускладніць задачу вірусных аналітыкаў. Мадыфікаваная версія RC4 шырока выкарыстоўваецца ў шкоднасных прыладах RTM для шыфравання радкоў, сеткавых дадзеных, канфігурацыі і модуляў.
4.2.1. Адрозненні
Арыгінальны алгарытм RC4 уключае два этапы: ініцыялізацыю s-блока (яна ж KSA – Key-Scheduling Algorithm) і генерацыю псеўдавыпадковай паслядоўнасці (PRGA – Pseudo-Random Generation Algorithm). Першы этап мяркуе ініцыялізацыю s-блока з выкарыстаннем ключа, на другім этапе зыходны тэкст апрацоўваецца пры дапамозе s-блока для шыфравання.
Аўтары RTM дадалі прамежкавы этап паміж ініцыялізацыяй s-блока і шыфраваннем. Дадатковы ключ з'яўляецца зменнай і задаецца ў той жа час, што і дадзеныя для шыфравання і дэшыфраванні. Функцыя, якая выконвае гэты дадатковы крок, прадстаўлена на малюнку ніжэй.
4.2.2. Шыфраванне радкоў
На першы погляд, у асноўнай DLL бібліятэцы ёсць некалькі даступных для чытання радкоў. Астатнія зашыфраваны з выкарыстаннем апісанага вышэй алгарытму, структура якога паказана на наступным малюнку. Мы знайшлі больш за 25 розных ключоў RC4 для шыфравання радкоў у прааналізаваных узорах. Ключ XOR адрозніваецца для кожнага радка. Значэнне лічбавага поля, які падзяляе радкі, заўсёды 0xFFFFFFFF.
У пачатку выканання RTM расшыфроўвае радкі ў глабальную зменную. Калі гэта неабходна для доступу да радка, траян дынамічна вылічае адрас расшыфраваных радкоў на аснове базавага адраса і зрушэнні.
Радкі змяшчаюць цікавую інфармацыю аб функцыях шкоднаснага ПЗ. Некаторыя прыклады радкоў прадстаўлены ў раздзеле 6.8.
4.3. сетка
Спосаб кантакту шкоднаснага ПЗ RTM з камандным серверам змяняецца ад версіі да версіі. Першыя мадыфікацыі (кастрычнік 2015 - красавік 2016) выкарыстоўвалі для абнаўлення спісу каманд традыцыйныя даменныя імёны разам з каналам RSS на livejournal.com.
З красавіка 2016 года мы назіралі ў дадзеных тэлеметрыі пераход на дамены .bit. Гэта пацвярджае дата рэгістрацыі даменаў - першы дамен RTM fde05d0573da.bit быў зарэгістраваны 13 сакавіка 2016 года.
Усе URL адрасы, якія мы бачылі падчас назірання за кампаніяй, мелі агульны шлях: /r/z.php. Ён даволі незвычайны, і гэта дапаможа вызначыць запыты RTM у сеткавых плынях.
4.3.1. Канал для каманд і кіравання
Старыя ўзоры выкарыстоўвалі гэты канал для абнаўлення свайго спісу камандных сервераў. Хостынг знаходзіцца на livejournal.com, на момант падрыхтоўкі справаздачы ён заставаўся на URL hxxp://f72bba81c921(.)livejournal(.)com/data/rss.
Livejournal - расійска-амерыканская кампанія, якая прадстаўляе платформу для блогаў. Аператары RTM ствараюць ЖЖ-блог, у якім размяшчаюць артыкул з кадаванымі камандамі - гл. скрыншот.
Радкі каманд і кіравання кадуюцца з дапамогай мадыфікаванага алгарытму RC4 (раздзел 4.2). Бягучая версія (лістапад 2016 года) канала змяшчае наступныя адрасы сервера каманд і кіравання:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. Дамены .bit
У большасці свежых узораў RTM аўтары падлучаюцца да З&З даменам, выкарыстоўвалым дамен верхняга ўзроўня TLD .bit. Яго няма ў спісе даменаў верхняга ўзроўня ICANN (Карпарацыі па кіраванні даменнымі імёнамі і IP-адрасамі). Замест гэтага ён выкарыстоўвае сістэму Namecoin, пабудаваную на аснове тэхналогіі Bitcoin. Аўтары шкоднаснага ПА не часта выкарыстоўваюць TLD. Bit для сваіх даменаў, хоць прыклад такога выкарыстання раней назіраўся ў версіі бот-сеткі Necurs.
У адрозненне ад Bitcoin, карыстачы размеркаванай базы Namecoin маюць магчымасць захоўваць дадзеныя. Асноўнае прымяненне гэтай асаблівасці - дамен верхняга ўзроўню .bit. Можна рэгістраваць дамены, якія будуць захоўвацца ў размеркаванай базе даных. Адпаведныя запісы ў базе змяшчаюць IP-адрасы, дазволеныя даменам. Дадзены TLD "устойлівы да цэнзуры", паколькі толькі рэгіструючая асоба можа змяніць дазвол дамена .bit. Гэта азначае, што спыніць працу шкоднаснага дамена пры выкарыстанні гэтага віду TLD нашмат цяжэй.
Траян RTM не ўбудоўвае ПЗ, неабходнае для чытання размеркаванай базы Namecoin. Ён выкарыстоўвае цэнтральныя серверы DNS, такія як dns.dot-bit.org або серверы OpenNic, для дазволу даменаў .bit. Такім чынам, ён мае тую ж устойлівасць, што і ў сервераў DNS. Мы назіралі, што некаторыя камандныя дамены перасталі вызначацца пасля згадвання ў запісе блога.
Іншая перавага TLD. Bit для хакераў – кошт. Каб зарэгістраваць дамен, аператарам трэба заплаціць усяго 0,01 НК, што адпавядае 0,00185 долараў (на 5 снежня 2016 года). Для параўнання: дамен.com каштуе як мінімум 10 долараў.
4.3.3. Пратакол
Для сувязі з камандным серверам RTM выкарыстоўвае запыты HTTP POST з дадзенымі, фарматаванымі пры дапамозе карыстацкага пратакола. Значэнне шляху заўседы /r/z.php; карыстацкі агент Mozilla/5.0 (сумяшчальны; MSIE 9.0; Windows NT 6.1; Trident/5.0). У запытах на сервер дадзеныя фарматуюцца, як след далей, дзе значэнні зрушэння выяўляюцца ў байтах:
Байты з 0 да 6 не кадуюцца; байты, пачынальна з 6, кадуюцца пры дапамозе мадыфікаванага алгарытму RC4. Структура пакета адказаў каманднага сервера прасцей. Кадуюцца байты з 4 да памеру пакета.
Спіс магчымых значэнняў байтаў дзеяння прадстаўлены ў табліцы ніжэй:
Шкоднасная праграма заўсёды вылічае CRC32 расшыфраваных дадзеных і параўноўвае атрыманае з тым, што прадстаўлена ў пакеце. Калі яны адрозніваюцца, траян скідае пакет.
Дадатковыя дадзеныя могуць утрымоўваць розныя аб'екты, уключаючы файл РЭ, файл для пошуку ў файлавай сістэме ці новыя камандныя URL.
4.3.4. Панэль
Мы заўважылі, што RTM выкарыстоўвае панэль на камандных сэрверах. Скрыншот ніжэй:
4.4. Характэрная прыкмета
RTM - тыповы банкаўскі траян. Нядзіўна, што аператарам патрэбна інфармацыя аб сістэме ахвяры. З аднаго боку, робат збірае агульныя звесткі аб АС. З іншага - высвятляе, ці змяшчае скампраметаваная сістэма атрыбуты, звязаныя з расійскімі сістэмамі ДБО.
4.4.1. Агульная інфармацыя
Калі шкоднаснае ПЗ усталявана ці запушчана пасля перазагрузкі, на камандны сервер сыходзіць справаздача, утрымоўвальная агульную інфармацыю, уключаючы:
- гадзінны пояс;
- мова сістэмы па змаўчанні;
- паўнамоцтвы аўтарызаванага карыстальніка;
- узровень цэласнасці працэсу;
- Імя карыстальніка;
- імя кампутара;
- версію АС;
- дадатковыя ўсталяваныя модулі;
- устаноўленую антывірусную праграму;
- спіс счытвальнікаў смарт-карт.
4.4.2 Сістэма дыстанцыйнага банкаўскага абслугоўвання
Тыповая мэта траяна - сістэма ДБО, і RTM - не выключэнне. Адзін з модуляў праграмы называецца TBdo, ён выконвае розныя задачы, у тым ліку сканіраванне дыскаў і гісторыі наведванняў.
Скануючы дыск, траян правярае, ці ўстаноўлена на машыне банкаўскае ПЗ. Поўны спіс мэтавых праграм - у табліцы ніжэй. Выявіўшы які цікавіць файл, праграма адпраўляе інфармацыю на камандны сервер. Наступныя дзеянні залежыць ад логікі, зададзенай алгарытмамі каманднага цэнтра (З&З).
RTM шукае таксама шаблоны URL адрасоў у гісторыі наведванняў браўзэра і ў адчыненых укладках. Акрамя таго, праграма вывучае выкарыстанне функцый FindNextUrlCacheEntryA і FindFirstUrlCacheEntryA, а таксама правярае кожны ўваход на адпаведнасць URL адрасам аднаму з ніжэйпералічаных шаблонаў:
Выявіўшы адчыненыя ўкладкі, траян звяртаецца да Internet Explorer або Firefox праз механізм дынамічнага абмену дадзенымі (DDE), каб праверыць, ці адпавядае ці ўкладка шаблону.
Праверка гісторыі наведванняў і адчыненых укладак выконваецца ў цыкле WHILE (цыкле з перадумовай) з перапынкам у 1 секунду паміж праверкамі. Іншыя дадзеныя, якія адсочваюцца ў рэжыме рэальнага часу, разгледзім у раздзеле 4.5.
Калі шаблон знойдзены, праграма паведамляе аб гэтым на камандны сервер пры дапамозе спісу радкоў з наступнай табліцы:
4.5 Маніторынг
Падчас працы траяна інфармацыя аб характэрных асаблівасцях заражанай сістэмы (уключаючы дадзеныя аб наяўнасці банкаўскага ПЗ) адпраўляецца на камандны сервер. Зняцце лічбавых адбіткаў адбываецца, калі RTM упершыню запускае сістэму маніторынгу адразу пасля зыходнага сканавання АС.
4.5.1. Дыстанцыйнае банкаўскае абслугоўванне
Модуль TBdo таксама адказвае за маніторынг працэсаў, звязаных з банкінгам. Ён выкарыстоўвае дынамічны абмен дадзенымі, каб у момант першапачатковага сканавання праверыць укладкі ў Firefox і Internet Explorer. Іншы модуль TShell выкарыстоўваецца для маніторынгу камандных вокнаў (Internet Explorer ці правадыра).
Модуль выкарыстоўвае інтэрфейсы COM IShellWindows, iWebBrowser, DWebBrowserEvents2 і IConnectionPointContainer для маніторынгу вокнаў. Калі карыстач пераходзіць на новую вэб-старонку, шкоднасная праграма адзначае гэта. Затым яна параўноўвае URL-адрас старонкі з вышэйпералічанымі шаблонамі. Выявіўшы супадзенне, траян робіць шэсць паслядоўных скрыншотаў з інтэрвалам у 5 секунд і адпраўляе іх на камандны сервер С&С. Праграма таксама правярае некаторыя назвы вокнаў, якія адносяцца да банкаўскага ПЗ - поўны спіс ніжэй:
4.5.2. Смарт-карта
RTM дазваляе маніторыць счытвальнікі смарт-карт, злучаных з заражанымі кампутарамі. Гэтыя прылады выкарыстоўваюцца ў некаторых краінах для зверкі плацежных даручэнняў. Калі прылады гэтага тыпу далучаюцца да кампутара, для траяна гэта можа паказваць на выкарыстанне машыны для банкаўскіх транзакцый.
У адрозненне ад іншых банкаўскіх траянаў, RTM не можа ўзаемадзейнічаць з такімі смарт-картамі. Магчыма, гэты функцыянал уваходзіць у дадатковы модуль, які мы пакуль не бачылі.
4.5.3. Клавіятурны шпіён
Важная частка маніторынгу заражанага ПК - перахоп націску клавіш. Ствараецца ўражанне, што распрацоўшчыкі RTM не прапускаюць ніякай інфармацыі, паколькі адсочваюць не толькі звычайныя клавішы, але і віртуальную клавіятуру і буфер абмену.
Для гэтага выкарыстоўваецца функцыя SetWindowsHookExA. Атакуючыя рэгіструюць націснутыя клавішы або клавішы, якія адпавядаюць віртуальнай клавіятуры, разам з імем і датай праграмы. Затым буфер накіроўваецца на камандны C&C сервер.
Для перахопу буфера абмену выкарыстоўваецца функцыя SetClipboardViewer. Хакеры рэгіструюць змесціва буфера абмену, калі дадзеныя ўяўляюць сабой тэкст. Перад адпраўкай буфера на сервер таксама рэгіструецца імя і дата.
4.5.4. Скрыншоты
Яшчэ адна функцыя RTM – перахоп скрыншотаў. Магчымасць ужываецца, калі модуль маніторынгу вокнаў выяўляе які цікавіць сайт або банкаўскае ПА. Скрыншоты выконваюцца пры дапамозе бібліятэкі графічных малюнкаў і перадаюцца на камандны сервер.
4.6. Дэўсталёўка
C&C сервер можа прыпыніць працу шкоднаснага ПЗ і ачысціць кампутар. Каманда дазваляе ачысціць файлы і запісы рэестра, створаныя падчас працы RTM. Затым пры дапамозе DLL-бібліятэкі ажыццяўляецца выдаленне шкоднаснага ПЗ і файла winlogon, пасля чаго каманда выключае кампутар. Як паказана на малюнку ніжэй, DLL-бібліятэка выдаляецца распрацоўшчыкамі пры дапамозе erase.dll.
Сервер можа адправіць траяну дэструктыўную каманду uninstall-lock. У гэтым выпадку пры наяўнасці мае рацыю адміністратара RTM выдаліць загрузны сектар MBR на цвёрдай кружэлцы. Калі гэта не атрымаецца, траян паспрабуе зрушыць загрузны сектар MBR на выпадковы сектар - тады кампутар пасля выключэння не зможа загрузіць АС. Гэта можа прывесці да поўнай пераўсталёўкі АС, гэта значыць знішчэнню доказаў.
У адсутнасць паўнамоцтваў адміністратара шкоднаснае ПЗ запісвае .EXE, закадаваны ў асноўнай бібліятэцы DLL RTM. Выконваны файл выконвае код, неабходны для выключэння кампутара, і рэгіструе модуль у падзеле рэестра HKCUCurrentVersionRun. Кожны раз, калі карыстач пачынае сесію, кампутар неадкладна выключаецца.
4.7. Файл канфігурацыі
Па змаўчанні, RTM амаль не мае файла канфігурацыі, але камандны сервер можа адправіць значэнні канфігурацыі, якія будуць захоўвацца ў рэестры і выкарыстоўвацца праграмай. Спіс ключоў канфігурацыі прадстаўлены ў табліцы ніжэй:
Канфігурацыя захоўваецца ў ключы рэестра Software[Pseudo-random string]. Кожнае значэнне адпавядае адной з радкоў, прадстаўленых у папярэдняй табліцы. Значэнні і дадзеныя кадуюцца пры дапамозе алгарытму RC4 у RTM.
Дадзеныя маюць тую ж структуру, што сетка ці радкі. Чатырохбайтны ключ XOR дадаецца ў пачатку кадаваных дадзеных. Для значэнняў канфігурацыі ключ XOR адрозніваецца і залежыць ад памеру значэння. Ён можа вылічацца наступным чынам:
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)
4.8. Іншыя функцыі
Далей разгледзім іншыя функцыі, якія падтрымлівае RTM.
4.8.1. Дадатковыя модулі
Траян уключае дадатковыя модулі, якія з'яўляюцца файламі DLL. Модулі, якія адпраўляюцца з каманднага C&C сервера, могуць выконвацца як вонкавыя праграмы, адлюстроўвацца ў аператыўнай памяці і запускацца ў новых струменях. Для захоўвання модулі захоўваюцца ў файлах .dtt і кадуюцца пры дапамозе алгарытму RC4 з тым жа ключом, які выкарыстоўваецца для камунікацый сеткі.
Пакуль мы назіралі ўсталёўку модуля VNC (8966319882494077C21F66A8354E2CBCA0370464), модуля вымання дадзеных браўзэра (03DE8622BE6B2F75A364A275995C3411626 4F9EFC1FBA2B1BE562D1B69E6CFAB).
Для загрузкі модуля VNC камандны сервер накіроўвае каманду, запытваючы злучэнні з серверам VNC па вызначаным IP-адрасу ў порце 44443. Убудова вымання дадзеных браўзэра выконвае TBrowserDataCollector, які можа счытваць гісторыю наведванняў IE. Затым адпраўляе поўны спіс наведаных URL адрасоў на камандны З&C сервер.
Апошні знойдзены модуль называецца 1c_2_kl. Ён можа ўзаемадзейнічаць з праграмным пакетам 1C Прадпрыемства. Модуль уключае дзве часткі: асноўную частку – DLL і два агенты (32-х і 64-х бітныя), якія будуць укараняцца ў кожны працэс, рэгіструючы прывязку да WH_CBT. Укараніўшыся ў працэс 1C, модуль прывязвае функцыі CreateFile і WriteFile. Калі б не выклікалася прывязаная функцыя CreateFile, модуль захоўвае ў памяці шлях файла 1c_to_kl.txt. Пасля перахопу выкліку WriteFile, ён выклікае функцыю WriteFile і адпраўляе шлях файла 1c_to_kl.txt на асноўны модуль DLL, перадаючы яму створанае паведамленне Windows WM_COPYDATA.
Асноўны модуль DLL адчыняе і аналізуе файл для вызначэння плацежных даручэнняў. Ён распазнае суму і нумар транзакцый, якія змяшчаюцца ў файле. Гэтая інфармацыя накіроўваецца на камандны сэрвер. Мы лічым, што гэты модуль у дадзены момант знаходзіцца ў распрацоўцы, паколькі ён утрымоўвае паведамленне аб адладцы і не можа аўтаматычна мадыфікаваць 1c_to_kl.txt.
4.8.2. Павышэнне прывілеяў
RTM можа спрабаваць павысіць прывілеі, паказваючы ілжывыя паведамленні аб памылцы. Малвар імітуе праверку рэестра (гл. малюнак ніжэй) або выкарыстоўвае сапраўдны абразок рэдактара рэестра. Звярніце ўвагу на памылку ў напісанні wait - whait. Праз некалькі секунд сканавання праграма выводзіць ілжывае паведамленне аб памылцы.
Ілжывае паведамленне лёгка падмане звычайнага карыстальніка, нягледзячы на граматычныя памылкі. Калі карыстач націсне на адну з двух спасылак, RTM паспрабуе падвысіць свае прывілеі ў сістэме.
Пасля выбару аднаго з двух варыянтаў аднаўлення, траян запускае DLL пры дапамозе опцыі runas у функцыі ShellExecute з паўнамоцтвамі адміністратара. Карыстальнік убачыць сапраўдны запыт Windows (гл. малюнак ніжэй) аб павышэнні паўнамоцтваў. Калі карыстач дасць неабходныя дазволы, траян будзе працаваць з прывілеямі адміністратара.
У залежнасці ад мовы па змаўчанні, усталяванай у сістэме, траян паказвае паведамленні аб памылцы на рускай ці англійскай.
4.8.3. Сертыфікат
RTM можа дадаваць сертыфікаты ў Windows Store і пацвярджаць надзейнасць дадання аўтаматычным націскам на кнопку "так" у дыялогавым акне csrss.exe. Такія паводзіны не з'яўляюцца новымі, напрыклад, банкаўскі траян Retefe таксама самастойна пацвярджае ўстаноўку новага сертыфіката.
4.8.4. Зваротнае злучэнне
Аўтары RTM таксама стварылі тунэль Backconnect TCP. Пакуль мы не бачылі функцыю ў эксплуатацыі, але яна прызначаная для дыстанцыйнага кантролю заражаных ПК.
4.8.5. Кіраванне файлам вузла
Камандны C&C сервер можа адпраўляць траяну каманду мадыфікаваць файл вузла Windows. Файл вузла выкарыстоўваецца для стварэння карыстальніцкіх дазволаў DNS.
4.8.6. Знайсці і адправіць файл
Сервер можа запытаць пошук і загрузку файла ў заражанай сістэме. Напрыклад, у ходзе даследавання мы атрымалі запыт файла 1c_to_kl.txt. Як раней апісвалася, гэты файл генеруе сістэма бухгалтарскага ўліку 1C: Прадпрыемства 8.
4.8.7. Абнаўленне
Нарэшце, аўтары RTM могуць абнаўляць ПЗ, адпраўляючы новы DLL на змену бягучай версіі.
5. заключэнне
Даследаванне RTM паказвае, што расійская банкаўская сістэма да гэтага часу прыцягвае кіберзламыснікаў. Такія групоўкі як Buhtrap, Corkow і Carbanak паспяхова крадуць грошы ў фінансавых устаноў і іх кліентаў у Расіі. RTM - новы гулец у гэтай індустрыі.
Па дадзеных тэлеметрыі ESET, шкоднасныя прылады RTM ужываюцца прынамсі з канца 2015 гады. Праграма валодае поўным дыяпазонам шпіёнскіх магчымасцяў, у тым ліку чытанне смарт-карт, перахоп націску клавіш і маніторынг банкаўскіх аперацый, а таксама пошук транспартных файлаў 1C: Прадпрыемства 8.
Выкарыстанне дэцэнтралізаванага нецэнзураванага дамена верхняга ўзроўню .bit забяспечвае высокую ўстойлівасць інфраструктуры.
Крыніца: habr.com