Postoji nekoliko poznatih sajber grupa koje su specijalizovane za krađu sredstava od ruskih kompanija. Vidjeli smo napade koji koriste sigurnosne rupe koje omogućavaju pristup mreži cilja. Nakon što dobiju pristup, napadači proučavaju mrežnu strukturu organizacije i koriste vlastite alate za krađu sredstava. Klasičan primjer ovog trenda su hakerske grupe Buhtrap, Cobalt i Corkow.
RTM grupa na koju se fokusira ovaj izvještaj dio je ovog trenda. Koristi posebno dizajniran zlonamjerni softver napisan u Delphiju, koji ćemo detaljnije pogledati u sljedećim odjeljcima. Prvi tragovi ovih alata u ESET telemetrijskom sistemu otkriveni su krajem 2015. godine. Tim po potrebi učitava različite nove module na zaražene sisteme. Napadi su usmjereni na korisnike sistema daljinskog bankarstva u Rusiji i nekim susjednim zemljama.
1. Ciljevi
RTM kampanja je usmerena na korporativne korisnike - to je očigledno iz procesa koje napadači pokušavaju da otkriju u kompromitovanom sistemu. Fokus je na računovodstvenom softveru za rad sa sistemima za daljinsko bankarstvo.
Lista procesa od interesa za RTM liči na odgovarajuću listu Buhtrap grupe, ali grupe imaju različite vektore infekcije. Ako je Buhtrap češće koristio lažne stranice, onda je RTM koristio napade preuzimanja (napadi na pretraživač ili njegove komponente) i spam putem e-pošte. Prema telemetrijskim podacima, prijetnja je usmjerena na Rusiju i nekoliko obližnjih zemalja (Ukrajina, Kazahstan, Češka, Njemačka). Međutim, zbog upotrebe mehanizama masovne distribucije, otkrivanje zlonamjernog softvera izvan ciljanih regija nije iznenađujuće.
Ukupan broj otkrivanja zlonamjernog softvera je relativno mali. S druge strane, RTM kampanja koristi složene programe, što ukazuje da su napadi visoko ciljani.
Otkrili smo nekoliko lažnih dokumenata koje koristi RTM, uključujući nepostojeće ugovore, fakture ili poreske računovodstvene dokumente. Priroda mamaca, u kombinaciji sa vrstom softvera koji je cilj napada, ukazuje na to da napadači „ulaze“ u mreže ruskih kompanija preko računovodstvenog odjela. Grupa je delovala po istoj šemi u 2014-2015
Tokom istraživanja uspjeli smo stupiti u interakciju sa nekoliko C&C servera. Navest ćemo punu listu komandi u sljedećim odjeljcima, ali za sada možemo reći da klijent prenosi podatke sa keylogger-a direktno na napadački server, od kojeg se zatim primaju dodatne komande.
Međutim, dani kada ste jednostavno mogli da se povežete na komandni i kontrolni server i prikupite sve podatke koji su vas zanimali, prošli su. Rekreirali smo realistične log fajlove da bismo dobili neke relevantne komande sa servera.
Prvi od njih je zahtjev botu da prenese datoteku 1c_to_kl.txt - transportnu datoteku programa 1C: Enterprise 8, čiji izgled aktivno prati RTM. 1C komunicira sa sistemima daljinskog bankarstva učitavanjem podataka o odlaznim uplatama u tekstualnu datoteku. Zatim se fajl šalje u sistem daljinskog bankarstva radi automatizacije i izvršenja naloga za plaćanje.
Datoteka sadrži detalje plaćanja. Ako napadači promijene informacije o odlaznim uplatama, transfer će biti poslan koristeći lažne podatke na račune napadača.
Otprilike mjesec dana nakon što smo zatražili ove datoteke od komandnog i kontrolnog servera, primijetili smo da se novi dodatak, 1c_2_kl.dll, učitava na kompromitovani sistem. Modul (DLL) je dizajniran da automatski analizira preuzetu datoteku prodiranjem u procese računovodstvenog softvera. Detaljno ćemo ga opisati u sljedećim odjeljcima.
Zanimljivo je da je FinCERT Banke Rusije krajem 2016. godine izdao bilten sa upozorenjem o sajber kriminalcima koji koriste 1c_to_kl.txt fajlove za otpremanje. Programeri iz 1C također znaju za ovu šemu, već su dali službenu izjavu i naveli mjere opreza.
Drugi moduli su takođe učitani sa komandnog servera, posebno VNC (njegove 32 i 64-bitne verzije). Podsjeća na VNC modul koji je ranije korišten u Dridex trojanskim napadima. Ovaj modul se navodno koristi za daljinsko povezivanje sa zaraženim računarom i sprovođenje detaljne studije sistema. Zatim se napadači pokušavaju kretati po mreži, izvlačeći korisničke lozinke, prikupljajući informacije i osiguravajući stalno prisustvo zlonamjernog softvera.
2. Vektori infekcije
Sljedeća slika prikazuje vektore infekcije otkrivene tokom perioda istraživanja kampanje. Grupa koristi širok spektar vektora, ali uglavnom napade preuzimanja i neželjenu poštu. Ovi alati su pogodni za ciljane napade, jer u prvom slučaju napadači mogu odabrati stranice koje posjećuju potencijalne žrtve, au drugom mogu slati e-poštu sa prilozima direktno željenim zaposlenicima kompanije.
Zlonamjerni softver se distribuira putem više kanala, uključujući RIG i Sundown komplete za eksploataciju ili neželjenu poštu, što ukazuje na veze između napadača i drugih sajber napadača koji nude ove usluge.
2.1. Kako su RTM i Buhtrap povezani?
RTM kampanja je vrlo slična Buhtrapu. Prirodno je pitanje: kako su oni međusobno povezani?
U septembru 2016. primijetili smo da se RTM uzorak distribuira pomoću Buhtrap uploadera. Osim toga, pronašli smo dva digitalna certifikata koja se koriste u Buhtrapu i RTM-u.
Prvi, navodno izdat kompaniji DNISTER-M, korišten je za digitalno potpisivanje drugog Delphi obrasca (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) i Buhtrap DLL-a (SHA-1: 1E2642CF454B2B889D6D41116D83). 6).
Drugi, izdat Bit-Tredj-u, korišćen je za potpisivanje Buhtrap utovarivača (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 i B74F71560E48488D2153AE2FB51207E0), kao i download komponenti RTM206E2.
RTM operateri koriste certifikate koji su zajednički za druge porodice zlonamjernog softvera, ali imaju i jedinstveni certifikat. Prema ESET telemetriji, izdat je Kit-SD i korišten je samo za potpisivanje nekog RTM zlonamjernog softvera (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM koristi isti loader kao i Buhtrap, RTM komponente se učitavaju iz Buhtrap infrastrukture, tako da grupe imaju slične mrežne indikatore. Međutim, prema našim procjenama, RTM i Buhtrap su različite grupe, barem zato što se RTM distribuira na različite načine (ne samo pomoću “stranog” downloadera).
Uprkos tome, hakerske grupe koriste slične principe rada. Oni ciljaju kompanije koje koriste računovodstveni softver, na sličan način prikupljaju informacije o sistemu, traže čitače pametnih kartica i koriste niz zlonamjernih alata za špijuniranje žrtava.
3. Evolucija
U ovom dijelu ćemo pogledati različite verzije zlonamjernog softvera pronađene tokom studije.
3.1. Versioniranje
RTM pohranjuje konfiguracijske podatke u odjeljak registra, a najzanimljiviji dio je botnet-prefiks. Lista svih vrijednosti koje smo vidjeli u uzorcima koje smo proučavali predstavljena je u donjoj tabeli.
Moguće je da se vrijednosti mogu koristiti za snimanje verzija zlonamjernog softvera. Međutim, nismo primijetili veliku razliku između verzija kao što su bit2 i bit3, 0.1.6.4 i 0.1.6.6. Štaviše, jedan od prefiksa postoji od početka i evoluirao je od tipične C&C domene do .bit domene, kao što će biti prikazano u nastavku.
3.2. Raspored
Koristeći podatke telemetrije, kreirali smo graf pojavljivanja uzoraka.
4. Tehnička analiza
U ovom odeljku ćemo opisati glavne funkcije RTM bankarskog trojanca, uključujući mehanizme otpora, sopstvenu verziju RC4 algoritma, mrežni protokol, funkciju špijuniranja i neke druge karakteristike. Posebno ćemo se fokusirati na SHA-1 uzorke AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 i 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. Instalacija i spremanje
4.1.1. Implementacija
RTM jezgro je DLL, biblioteka se učitava na disk pomoću .EXE. Izvršni fajl je obično upakovan i sadrži DLL kod. Kada se pokrene, izvlači DLL i pokreće ga pomoću sljedeće naredbe:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. DLL
Glavni DLL se uvijek učitava na disk kao winlogon.lnk u folderu %PROGRAMDATA%Winlogon. Ova ekstenzija datoteke obično je povezana sa prečicom, ali datoteka je zapravo DLL napisana u Delphiju, koju je programer nazvao core.dll, kao što je prikazano na slici ispod.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Jednom pokrenut, trojanac aktivira svoj mehanizam otpora. Ovo se može uraditi na dva različita načina, u zavisnosti od privilegija žrtve u sistemu. Ako imate administratorska prava, trojanac dodaje unos Windows Update u registar HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun. Komande sadržane u Windows Update-u će se pokrenuti na početku sesije korisnika.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host
Trojanac takođe pokušava da doda zadatak u Windows Task Scheduler. Zadatak će pokrenuti winlogon.lnk DLL sa istim parametrima kao gore. Redovna korisnička prava dozvoljavaju trojancu da doda unos Windows Update sa istim podacima u registar HKCUSoftwareMicrosoftWindowsCurrentVersionRun:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Modificirani RC4 algoritam
Uprkos poznatim nedostacima, RC4 algoritam redovno koriste autori malvera. Međutim, kreatori RTM-a su ga malo modificirali, vjerovatno da bi otežali zadatak virusnim analitičarima. Modificirana verzija RC4 se široko koristi u zlonamjernim RTM alatima za šifriranje nizova, mrežnih podataka, konfiguracije i modula.
4.2.1. Razlike
Originalni RC4 algoritam uključuje dvije faze: inicijalizaciju s-bloka (aka KSA - Key-Scheduling Algoritam) i generiranje pseudo-slučajnih sekvenci (PRGA - Pseudo-Random Generation Algoritam). Prva faza uključuje inicijalizaciju s-boxa pomoću ključa, au drugoj fazi se izvorni tekst obrađuje korištenjem s-boxa za šifriranje.
Autori RTM-a su dodali međukorak između inicijalizacije s-boxa i enkripcije. Dodatni ključ je varijabilan i postavlja se istovremeno s podacima koji se šifriraju i dešifriraju. Funkcija koja izvodi ovaj dodatni korak prikazana je na donjoj slici.
4.2.2. String enkripcija
Na prvi pogled, postoji nekoliko čitljivih redova u glavnom DLL-u. Ostatak je šifriran gore opisanim algoritmom, čija je struktura prikazana na sljedećoj slici. Pronašli smo više od 25 različitih RC4 ključeva za string enkripciju u analiziranim uzorcima. Ključ XOR je različit za svaki red. Vrijednost numeričkog polja koje razdvaja linije je uvijek 0xFFFFFFFF.
Na početku izvršavanja, RTM dešifruje nizove u globalnu varijablu. Kada je potrebno pristupiti stringu, trojanac dinamički izračunava adresu dešifrovanih nizova na osnovu osnovne adrese i pomaka.
Nizovi sadrže zanimljive informacije o funkcijama zlonamjernog softvera. Neki primjeri nizova su dati u Odjeljku 6.8.
4.3. Mreža
Način na koji RTM malver kontaktira C&C server razlikuje se od verzije do verzije. Prve modifikacije (oktobar 2015 – april 2016) koristile su tradicionalne nazive domena zajedno sa RSS feedom na livejournal.com za ažuriranje liste komandi.
Od aprila 2016. vidjeli smo pomak na .bit domene u telemetrijskim podacima. To potvrđuje i datum registracije domena - prvi RTM domen fde05d0573da.bit registrovan je 13. marta 2016. godine.
Svi URL-ovi koje smo vidjeli tokom praćenja kampanje imali su zajednički put: /r/z.php. To je prilično neobično i pomoći će u identifikaciji RTM zahtjeva u mrežnim tokovima.
4.3.1. Kanal za komande i kontrolu
Naslijeđeni primjeri su koristili ovaj kanal da ažuriraju svoju listu komandnih i kontrolnih servera. Hosting se nalazi na livejournal.com, u vrijeme pisanja izvještaja ostao je na URL hxxp://f72bba81c921(.)livejournal(.)com/data/rss.
Livejournal je rusko-američka kompanija koja pruža platformu za blogovanje. RTM operateri kreiraju LJ blog u kojem objavljuju članak sa kodiranim komandama - pogledajte snimak ekrana.
Komandne i kontrolne linije su kodirane korištenjem modificiranog RC4 algoritma (odjeljak 4.2). Trenutna verzija (novembar 2016.) kanala sadrži sljedeće adrese komandnog i kontrolnog servera:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. .bit domene
U najnovijim RTM uzorcima, autori se povezuju na C&C domene koristeći .bit TLD domen najvišeg nivoa. Nije na ICANN-ovoj listi domena najvišeg nivoa (Domain Name and Internet Corporation). Umjesto toga, koristi Namecoin sistem, koji je izgrađen na vrhu Bitcoin tehnologije. Autori zlonamjernog softvera ne koriste često .bit TLD za svoje domene, iako je primjer takve upotrebe ranije uočen u verziji Necurs botneta.
Za razliku od Bitcoina, korisnici distribuirane Namecoin baze podataka imaju mogućnost pohranjivanja podataka. Glavna primena ove funkcije je .bit domen najvišeg nivoa. Možete registrirati domene koje će biti pohranjene u distribuiranoj bazi podataka. Odgovarajući unosi u bazi podataka sadrže IP adrese razriješene domenom. Ovaj TLD je “otporan na cenzuru” jer samo registrant može promijeniti rezoluciju .bit domene. To znači da je mnogo teže zaustaviti zlonamjernu domenu koristeći ovu vrstu TLD-a.
RTM trojanac ne ugrađuje softver potreban za čitanje distribuirane Namecoin baze podataka. Koristi centralne DNS servere kao što su dns.dot-bit.org ili OpenNic serveri za rješavanje .bit domena. Stoga ima istu izdržljivost kao i DNS serveri. Primijetili smo da neke timske domene više nisu otkrivene nakon što su spomenute u postu na blogu.
Još jedna prednost .bit TLD-a za hakere je cijena. Za registraciju domene, operateri trebaju platiti samo 0,01 NK, što odgovara 0,00185 USD (od 5. decembra 2016.). Poređenja radi, domain.com košta najmanje 10 dolara.
4.3.3. Protokol
Za komunikaciju sa komandnim i kontrolnim serverom, RTM koristi HTTP POST zahtjeve s podacima formatiranim korištenjem prilagođenog protokola. Vrijednost putanje je uvijek /r/z.php; Mozilla/5.0 korisnički agent (kompatibilan; MSIE 9.0; Windows NT 6.1; Trident/5.0). U zahtjevima prema serveru, podaci se formatiraju na sljedeći način, gdje su vrijednosti pomaka izražene u bajtovima:
Bajtovi od 0 do 6 nisu kodirani; bajtovi koji počinju od 6 su kodirani korištenjem modificiranog RC4 algoritma. Struktura C&C paketa odgovora je jednostavnija. Bajtovi su kodirani od 4 do veličine paketa.
Lista mogućih vrijednosti bajtova akcije prikazana je u donjoj tabeli:
Zlonamjerni softver uvijek izračunava CRC32 dešifriranih podataka i upoređuje ga sa onim što je prisutno u paketu. Ako se razlikuju, trojanac ispušta paket.
Dodatni podaci mogu sadržavati različite objekte, uključujući PE datoteku, datoteku koju treba pretraživati u sistemu datoteka ili nove URL-ove komandi.
4.3.4. Panel
Primetili smo da RTM koristi panel na C&C serverima. Snimak ekrana ispod:
4.4. Karakterističan znak
RTM je tipičan bankarski trojanac. Nije iznenađenje da operateri žele informacije o sistemu žrtve. S jedne strane, bot prikuplja opšte informacije o OS-u. S druge strane, otkriva da li kompromitovani sistem sadrži atribute povezane sa ruskim sistemima daljinskog bankarstva.
4.4.1. Opće informacije
Kada se zlonamjerni softver instalira ili pokrene nakon ponovnog pokretanja, na komandni i kontrolni server se šalje izvještaj koji sadrži opće informacije uključujući:
- Vremenska zona;
- podrazumevani sistemski jezik;
- ovlaštenja korisnika;
- nivo integriteta procesa;
- Korisničko ime;
- naziv računara;
- OS verzija;
- dodatni instalirani moduli;
- instaliran antivirusni program;
- lista čitača pametnih kartica.
4.4.2 Sistem daljinskog bankarstva
Tipična meta trojanaca je sistem udaljenog bankarstva, a RTM nije izuzetak. Jedan od modula programa se zove TBdo, koji obavlja različite zadatke, uključujući skeniranje diskova i istoriju pretraživanja.
Skeniranjem diska, trojanac provjerava da li je bankarski softver instaliran na mašini. Kompletna lista ciljnih programa nalazi se u donjoj tabeli. Nakon što je otkrio datoteku od interesa, program šalje informacije komandnom serveru. Sljedeće akcije zavise od logike specificirane algoritmima komandnog centra (C&C).
RTM takođe traži URL obrasce u istoriji vašeg pretraživača i otvorenim karticama. Osim toga, program ispituje upotrebu funkcija FindNextUrlCacheEntryA i FindFirstUrlCacheEntryA, a također provjerava svaki unos da li URL odgovara jednom od sljedećih obrazaca:
Nakon što otkrije otvorene kartice, trojanac kontaktira Internet Explorer ili Firefox putem mehanizma DDE (Dynamic Data Exchange) kako bi provjerio da li kartica odgovara uzorku.
Provjera vaše historije pretraživanja i otvorenih kartica vrši se u WHILE petlji (petlja sa preduvjetom) sa pauzom od 1 sekunde između provjera. Ostali podaci koji se prate u realnom vremenu biće razmatrani u odjeljku 4.5.
Ako se pronađe obrazac, program to prijavljuje komandnom serveru koristeći listu stringova iz sljedeće tabele:
4.5 Monitoring
Dok trojanac radi, informacije o karakterističnim karakteristikama zaraženog sistema (uključujući informacije o prisutnosti bankarskog softvera) šalju se na komandni i kontrolni server. Otisak prsta se javlja kada RTM prvi put pokrene sistem za nadzor odmah nakon početnog skeniranja OS-a.
4.5.1. Bankarstvo na daljinu
TBdo modul je također odgovoran za praćenje procesa vezanih za bankarstvo. Koristi dinamičku razmjenu podataka za provjeru kartica u Firefoxu i Internet Exploreru tokom početnog skeniranja. Drugi TShell modul se koristi za nadgledanje komandnih prozora (Internet Explorer ili File Explorer).
Modul koristi COM interfejse IShellWindows, iWebBrowser, DWebBrowserEvents2 i IConnectionPointContainer za nadgledanje prozora. Kada korisnik ode na novu web stranicu, zlonamjerni softver to bilježi. Zatim uspoređuje URL stranice sa gornjim obrascima. Nakon što je otkrio podudaranje, trojanac pravi šest uzastopnih snimaka ekrana u intervalu od 5 sekundi i šalje ih C&S komandnom serveru. Program također provjerava neke nazive prozora koji se odnose na bankarski softver - potpuna lista je ispod:
4.5.2. Pametna kartica
RTM vam omogućava da nadgledate čitače pametnih kartica povezanih sa zaraženim računarima. Ovi uređaji se u nekim zemljama koriste za usaglašavanje naloga za plaćanje. Ako je ovaj tip uređaja priključen na računar, to bi moglo ukazivati na trojanca da se mašina koristi za bankarske transakcije.
Za razliku od drugih bankarskih trojanaca, RTM ne može komunicirati sa takvim pametnim karticama. Možda je ova funkcionalnost uključena u dodatni modul koji još nismo vidjeli.
4.5.3. Keylogger
Važan dio praćenja zaraženog računara je hvatanje pritisaka na tipke. Čini se da programeri RTM-a ne propuštaju nijednu informaciju, jer prate ne samo obične tipke, već i virtuelnu tastaturu i međuspremnik.
Da biste to učinili, koristite funkciju SetWindowsHookExA. Napadači evidentiraju pritisnute tastere ili tastere koji odgovaraju virtuelnoj tastaturi, zajedno sa nazivom i datumom programa. Bafer se zatim šalje na C&C komandni server.
Funkcija SetClipboardViewer se koristi za presretanje međuspremnika. Hakeri evidentiraju sadržaj međuspremnika kada su podaci tekst. Ime i datum se također evidentiraju prije nego što se bafer pošalje na server.
4.5.4. Screenshot
Još jedna RTM funkcija je presretanje snimka ekrana. Ova funkcija se primjenjuje kada modul za nadzor prozora otkrije web lokaciju ili bankarski softver od interesa. Snimci ekrana se prave pomoću biblioteke grafičkih slika i prenose na server za komande.
4.6. Deinstalacija
C&C server može zaustaviti pokretanje zlonamjernog softvera i očistiti vaš računar. Komanda vam omogućava da obrišete datoteke i unose u registratoru kreirane dok je RTM pokrenut. DLL se zatim koristi za uklanjanje zlonamjernog softvera i winlogon datoteke, nakon čega komanda isključuje računar. Kao što je prikazano na slici ispod, programeri uklanjaju DLL koristeći erase.dll.
Server može poslati trojancu destruktivnu naredbu deinstalacije-zaključavanje. U tom slučaju, ako imate administratorska prava, RTM će izbrisati MBR sektor za pokretanje na tvrdom disku. Ako ovo ne uspije, trojanac će pokušati pomjeriti MBR sektor za pokretanje u nasumični sektor - tada računar neće moći pokrenuti OS nakon isključivanja. To može dovesti do potpune ponovne instalacije OS-a, što znači uništenje dokaza.
Bez administratorskih privilegija, zlonamjerni softver piše .EXE kodiran u osnovnom RTM DLL-u. Izvršna datoteka izvršava kod potreban za gašenje računara i registruje modul u ključu registra HKCUCurrentVersionRun. Svaki put kada korisnik započne sesiju, računar se odmah gasi.
4.7. Konfiguracijski fajl
Podrazumevano, RTM gotovo da nema konfiguracionu datoteku, ali komandni i kontrolni server mogu poslati konfiguracione vrednosti koje će biti pohranjene u registru i koje će program koristiti. Lista konfiguracijskih ključeva prikazana je u donjoj tabeli:
Konfiguracija je pohranjena u ključu registra softvera [Pseudo-slučajni string]. Svaka vrijednost odgovara jednom od redova prikazanih u prethodnoj tabeli. Vrijednosti i podaci su kodirani pomoću RC4 algoritma u RTM-u.
Podaci imaju istu strukturu kao mreža ili nizovi. Četvorobajtni XOR ključ se dodaje na početak kodiranih podataka. Za konfiguracijske vrijednosti, ključ XOR je drugačiji i ovisi o veličini vrijednosti. Može se izračunati na sljedeći način:
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)
4.8. Ostale karakteristike
Zatim, pogledajmo druge funkcije koje RTM podržava.
4.8.1. Dodatni moduli
Trojanac uključuje dodatne module, koji su DLL datoteke. Moduli koji se šalju sa C&C komandnog servera mogu se izvršavati kao eksterni programi, odražavati se u RAM-u i pokretati u novim nitima. Za skladištenje, moduli se spremaju u .dtt datoteke i kodiraju pomoću RC4 algoritma s istim ključem koji se koristi za mrežnu komunikaciju.
Do sada smo posmatrali instalaciju VNC modula (8966319882494077C21F66A8354E2CBCA0370464), modula za ekstrakciju podataka pretraživača (03DE8622BE6B2F75A364A275995C3411626C) i 4E9C 1EFC2FBA1B 562BE1D69B6E58CFAB).
Za učitavanje VNC modula, C&C server izdaje komandu tražeći konekcije sa VNC serverom na određenoj IP adresi na portu 44443. Dodatak za preuzimanje podataka pretraživača izvršava TBrowserDataCollector, koji može čitati historiju IE pretraživanja. Zatim šalje potpunu listu posjećenih URL-ova na C&C komandni server.
Posljednji otkriveni modul se zove 1c_2_kl. Može da komunicira sa softverskim paketom 1C Enterprise. Modul se sastoji od dva dela: glavni deo - DLL i dva agenta (32 i 64 bitna), koji će biti ubačeni u svaki proces, registrujući vezivanje za WH_CBT. Nakon što je uveden u 1C proces, modul povezuje funkcije CreateFile i WriteFile. Kad god se pozove vezana funkcija CreateFile, modul pohranjuje putanju datoteke 1c_to_kl.txt u memoriju. Nakon što presretne poziv WriteFile, on poziva funkciju WriteFile i šalje putanju datoteke 1c_to_kl.txt glavnom DLL modulu, prosljeđujući mu kreiranu Windows WM_COPYDATA poruku.
Glavni DLL modul se otvara i analizira datoteku kako bi odredio naloge za plaćanje. Prepoznaje iznos i broj transakcije sadržane u datoteci. Ove informacije se šalju komandnom serveru. Vjerujemo da je ovaj modul trenutno u razvoju jer sadrži poruku za otklanjanje grešaka i ne može automatski mijenjati 1c_to_kl.txt.
4.8.2. Eskalacija privilegija
RTM može pokušati eskalirati privilegije prikazivanjem lažnih poruka o grešci. Zlonamjerni softver simulira provjeru registra (pogledajte sliku ispod) ili koristi pravu ikonu uređivača registra. Obratite pažnju na pravopisnu grešku čekaj – šta. Nakon nekoliko sekundi skeniranja, program prikazuje lažnu poruku o grešci.
Lažna poruka će lako prevariti prosječnog korisnika, uprkos gramatičkim greškama. Ako korisnik klikne na jednu od dvije veze, RTM će pokušati eskalirati svoje privilegije u sistemu.
Nakon odabira jedne od dvije opcije oporavka, trojanac pokreće DLL koristeći opciju runas u funkciji ShellExecute s administratorskim privilegijama. Korisnik će vidjeti pravi Windows prompt (pogledajte sliku ispod) za elevaciju. Ako korisnik da potrebne dozvole, trojanac će se pokrenuti s administratorskim privilegijama.
U zavisnosti od podrazumevanog jezika instaliranog na sistemu, Trojanac prikazuje poruke o grešci na ruskom ili engleskom.
4.8.3. Certifikat
RTM može dodati sertifikate u Windows prodavnicu i potvrditi pouzdanost dodatka automatskim klikom na dugme „da“ u dijaloškom okviru csrss.exe. Ovo ponašanje nije novo, na primjer, bankarski trojanac Retefe također samostalno potvrđuje instalaciju novog certifikata.
4.8.4. Obrnuta veza
Autori RTM-a su kreirali i Backconnect TCP tunel. Još nismo vidjeli ovu funkciju u upotrebi, ali je dizajnirana za daljinsko praćenje zaraženih računara.
4.8.5. Upravljanje fajlovima domaćina
C&C server može poslati naredbu Trojancu da modificira Windows host datoteku. Datoteka hosta se koristi za kreiranje prilagođenih DNS rezolucija.
4.8.6. Pronađite i pošaljite datoteku
Server može zatražiti pretragu i preuzimanje datoteke na zaraženom sistemu. Na primjer, tokom istraživanja dobili smo zahtjev za fajl 1c_to_kl.txt. Kao što je prethodno opisano, ovu datoteku generiše računovodstveni sistem 1C: Enterprise 8.
4.8.7. Ažuriraj
Konačno, RTM autori mogu ažurirati softver slanjem nove DLL datoteke koja će zamijeniti trenutnu verziju.
5. Zaključak
RTM-ovo istraživanje pokazuje da ruski bankarski sistem i dalje privlači sajber napadače. Grupe kao što su Buhtrap, Corkow i Carbanak uspješno kradu novac od finansijskih institucija i njihovih klijenata u Rusiji. RTM je novi igrač u ovoj industriji.
Zlonamjerni RTM alati su u upotrebi barem od kraja 2015. godine, prema telemetriji ESET-a. Program ima čitav niz mogućnosti špijuniranja, uključujući čitanje pametnih kartica, presretanje pritisaka na tipke i praćenje bankarskih transakcija, kao i traženje transportnih datoteka 1C: Enterprise 8.
Upotreba decentralizovane, necenzurisane .bit domene najvišeg nivoa osigurava visoko otpornu infrastrukturu.
izvor: www.habr.com