Hi ha diversos grups cibernètics coneguts especialitzats en robar fons d'empreses russes. Hem vist atacs amb llacunes de seguretat que permeten l'accés a la xarxa de l'objectiu. Un cop tenen accés, els atacants examinen l'estructura de la xarxa de l'organització i despleguen les seves pròpies eines per robar fons. Un exemple clàssic d'aquesta tendència són els grups de pirates informàtics Buhtrap, Cobalt i Corkow.
El grup RTM en què se centra aquest informe forma part d'aquesta tendència. Utilitza programari maliciós dissenyat especialment escrit a Delphi, que veurem amb més detall a les seccions següents. Els primers rastres d'aquestes eines al sistema de telemetria ESET es van descobrir a finals de 2015. L'equip carrega diversos mòduls nous als sistemes infectats segons sigui necessari. Els atacs estan dirigits a usuaris de sistemes bancaris remots a Rússia i alguns països veïns.
1. Objectius
La campanya RTM està dirigida als usuaris corporatius; això és evident pels processos que els atacants intenten detectar en un sistema compromès. El focus se centra en el programari de comptabilitat per treballar amb sistemes bancaris remots.
La llista de processos d'interès per a RTM s'assembla a la llista corresponent del grup Buhtrap, però els grups tenen diferents vectors d'infecció. Si Buhtrap utilitzava pàgines falses amb més freqüència, RTM utilitzava atacs de descàrrega drive-by (atacs al navegador o als seus components) i correu brossa per correu electrònic. Segons les dades de telemetria, l'amenaça està dirigida a Rússia i a diversos països propers (Ucraïna, Kazakhstan, República Txeca, Alemanya). Tanmateix, a causa de l'ús de mecanismes de distribució massiva, la detecció de programari maliciós fora de les regions objectiu no és sorprenent.
El nombre total de deteccions de programari maliciós és relativament petit. D'altra banda, la campanya RTM utilitza programes complexos, la qual cosa indica que els atacs són molt dirigits.
Hem descobert diversos documents seductors utilitzats per RTM, inclosos contractes, factures o documents comptables fiscals inexistents. La naturalesa dels esquers, combinada amb el tipus de programari objectiu de l'atac, indica que els atacants estan "entrant" a les xarxes d'empreses russes a través del departament de comptabilitat. El grup va actuar seguint el mateix esquema el 2014-2015
Durant la investigació, vam poder interactuar amb diversos servidors C&C. Llistarem la llista completa d'ordres a les seccions següents, però de moment podem dir que el client transfereix dades del keylogger directament al servidor atacant, des del qual després es reben ordres addicionals.
Tanmateix, els dies en què simplement podríeu connectar-vos a un servidor d'ordres i control i recollir totes les dades que us interessaven han desaparegut. Hem recreat fitxers de registre realistes per obtenir algunes ordres rellevants del servidor.
El primer d'ells és una sol·licitud al bot per transferir el fitxer 1c_to_kl.txt, un fitxer de transport del programa 1C: Enterprise 8, l'aspecte del qual és supervisat activament per RTM. 1C interactua amb els sistemes bancaris remots penjant dades sobre els pagaments sortints a un fitxer de text. A continuació, el fitxer s'envia al sistema bancari remot per a l'automatització i execució de l'ordre de pagament.
El fitxer conté les dades de pagament. Si els atacants canvien la informació sobre els pagaments sortints, la transferència s'enviarà amb dades falses als comptes dels atacants.
Aproximadament un mes després de sol·licitar aquests fitxers al servidor d'ordres i control, vam observar que es carregava un nou connector, 1c_2_kl.dll, al sistema compromès. El mòdul (DLL) està dissenyat per analitzar automàticament el fitxer de descàrrega penetrant els processos del programari de comptabilitat. Ho descriurem amb detall en els apartats següents.
Curiosament, FinCERT del Banc de Rússia a finals de 2016 va publicar un butlletí d'advertència sobre els ciberdelinqüents que utilitzaven fitxers de càrrega 1c_to_kl.txt. Els desenvolupadors d'1C també coneixen aquest esquema que ja han fet una declaració oficial i han enumerat les precaucions.
També es van carregar altres mòduls des del servidor d'ordres, en particular VNC (les seves versions de 32 i 64 bits). S'assembla al mòdul VNC que s'utilitzava anteriorment als atacs de troians Dridex. Aquest mòdul suposadament s'utilitza per connectar-se de forma remota a un ordinador infectat i realitzar un estudi detallat del sistema. A continuació, els atacants intenten moure's per la xarxa, extreure contrasenyes d'usuari, recopilant informació i assegurant la presència constant de programari maliciós.
2. Vectors d'infecció
La figura següent mostra els vectors d'infecció detectats durant el període d'estudi de la campanya. El grup utilitza una àmplia gamma de vectors, però principalment atacs de descàrrega i correu brossa. Aquestes eines són convenients per a atacs dirigits, ja que en el primer cas, els atacants poden seleccionar llocs visitats per víctimes potencials, i en el segon, poden enviar correu electrònic amb fitxers adjunts directament als empleats de l'empresa desitjats.
El programari maliciós es distribueix a través de diversos canals, inclosos els kits d'explotació RIG i Sundown o els correus brossa, que indiquen connexions entre els atacants i altres ciberatacants que ofereixen aquests serveis.
2.1. Com es relacionen RTM i Buhtrap?
La campanya RTM és molt semblant a Buhtrap. La pregunta natural és: com es relacionen entre ells?
El setembre de 2016, vam observar que es distribuïa una mostra RTM mitjançant el carregador Buhtrap. A més, hem trobat dos certificats digitals utilitzats tant a Buhtrap com a RTM.
El primer, suposadament emès a l'empresa DNISTER-M, es va utilitzar per signar digitalment el segon formulari de Delphi (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) i la DLL de Buhtrap (SHA-1: 1E2642B454B2B889F6A) 41116).
El segon, emès a Bit-Tredj, es va utilitzar per signar carregadors Buhtrap (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 i B74F71560E48488D2153AE2FB51207A0B206), així com els components de la baixada i instal·lació R.
Els operadors RTM utilitzen certificats comuns a altres famílies de programari maliciós, però també tenen un certificat únic. Segons la telemetria d'ESET, es va emetre a Kit-SD i només es va utilitzar per signar algun programari maliciós RTM (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM utilitza el mateix carregador que Buhtrap, els components RTM es carreguen des de la infraestructura de Buhtrap, de manera que els grups tenen indicadors de xarxa similars. Tanmateix, segons les nostres estimacions, RTM i Buhtrap són grups diferents, almenys perquè RTM es distribueix de diferents maneres (no només utilitzant un descarregador "estranger").
Malgrat això, els grups de pirates informàtics utilitzen principis de funcionament similars. Apunten a les empreses que utilitzen programari de comptabilitat, de manera similar recopilant informació del sistema, cercant lectors de targetes intel·ligents i desplegant una sèrie d'eines malicioses per espiar les víctimes.
3. Evolució
En aquesta secció, veurem les diferents versions de programari maliciós trobat durant l'estudi.
3.1. Versioning
RTM emmagatzema les dades de configuració en una secció de registre, la part més interessant és botnet-prefix. A la taula següent es presenta una llista de tots els valors que vam veure a les mostres que vam estudiar.
És possible que els valors es puguin utilitzar per registrar versions de programari maliciós. Tanmateix, no vam notar gaire diferència entre versions com ara bit2 i bit3, 0.1.6.4 i 0.1.6.6. A més, un dels prefixos ha existit des del principi i ha evolucionat d'un domini C&C típic a un domini .bit, com es mostrarà a continuació.
3.2. Horari
Utilitzant dades de telemetria, vam crear un gràfic de l'aparició de mostres.
4. Anàlisi tècnica
En aquesta secció, descriurem les principals funcions del troià bancari RTM, inclosos els mecanismes de resistència, la seva pròpia versió de l'algorisme RC4, el protocol de xarxa, la funcionalitat d'espionatge i algunes altres característiques. En particular, ens centrarem en les mostres SHA-1 AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 i 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. Instal·lació i estalvi
4.1.1. Implementació
El nucli RTM és una DLL, la biblioteca es carrega al disc mitjançant .EXE. El fitxer executable sol estar empaquetat i conté codi DLL. Un cop llançat, extreu la DLL i l'executa amb l'ordre següent:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. DLL
La DLL principal sempre es carrega al disc com a winlogon.lnk a la carpeta %PROGRAMDATA%Winlogon. Aquesta extensió de fitxer normalment s'associa amb una drecera, però el fitxer és en realitat una DLL escrita en Delphi, anomenada core.dll pel desenvolupador, tal com es mostra a la imatge següent.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Un cop llançat, el troià activa el seu mecanisme de resistència. Això es pot fer de dues maneres diferents, depenent dels privilegis de la víctima al sistema. Si teniu drets d'administrador, el troià afegeix una entrada de Windows Update al registre HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun. Les ordres contingudes a Windows Update s'executaran a l'inici de la sessió de l'usuari.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe “%PROGRAMDATA%winlogon.lnk”, amfitrió DllGetClassObject
El troià també intenta afegir una tasca al Programador de tasques de Windows. La tasca llançarà la DLL winlogon.lnk amb els mateixos paràmetres que l'anterior. Els drets d'usuari habituals permeten al troià afegir una entrada de Windows Update amb les mateixes dades al registre HKCUSoftwareMicrosoftWindowsCurrentVersionRun:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Algorisme RC4 modificat
Malgrat les seves deficiències conegudes, els autors de programari maliciós utilitzen habitualment l'algoritme RC4. Tanmateix, els creadors de RTM el van modificar lleugerament, probablement per dificultar la tasca dels analistes de virus. Una versió modificada de RC4 s'utilitza àmpliament en eines RTM malicioses per xifrar cadenes, dades de xarxa, configuració i mòduls.
4.2.1. Diferències
L'algorisme RC4 original inclou dues etapes: la inicialització del bloc s (també conegut com KSA - Key-Scheduling Algorithm) i la generació de seqüències pseudoaleatòries (PRGA - Pseudo-Random Generation Algorithm). La primera etapa consisteix a inicialitzar l's-box amb la clau i, a la segona, el text d'origen es processa mitjançant l's-box per a l'encriptació.
Els autors de RTM van afegir un pas intermedi entre la inicialització i el xifratge de s-box. La clau addicional és variable i s'estableix al mateix temps que les dades a xifrar i desxifrar. La funció que realitza aquest pas addicional es mostra a la figura següent.
4.2.2. Xifratge de cadenes
A primera vista, hi ha diverses línies llegibles a la DLL principal. La resta es xifren mitjançant l'algorisme descrit anteriorment, l'estructura del qual es mostra a la figura següent. Hem trobat més de 25 claus RC4 diferents per al xifratge de cadenes a les mostres analitzades. La clau XOR és diferent per a cada fila. El valor del camp numèric que separa les línies és sempre 0xFFFFFFFF.
Al començament de l'execució, RTM desxifra les cadenes en una variable global. Quan cal accedir a una cadena, el troià calcula dinàmicament l'adreça de les cadenes desxifrades en funció de l'adreça base i el desplaçament.
Les cadenes contenen informació interessant sobre les funcions del programari maliciós. Alguns exemples de cadenes es proporcionen a la Secció 6.8.
4.3. Xarxa
La manera com el programari maliciós RTM contacta amb el servidor C&C varia d'una versió a una altra. Les primeres modificacions (octubre de 2015 - abril de 2016) utilitzaven noms de domini tradicionals juntament amb un canal RSS a livejournal.com per actualitzar la llista d'ordres.
Des de l'abril de 2016, hem vist un canvi a dominis .bit a les dades de telemetria. Això es confirma amb la data de registre del domini: el primer domini RTM fde05d0573da.bit es va registrar el 13 de març de 2016.
Tots els URL que vam veure durant el seguiment de la campanya tenien un camí comú: /r/z.php. És força inusual i ajudarà a identificar les sol·licituds RTM als fluxos de xarxa.
4.3.1. Canal per a comandaments i control
Els exemples heretats utilitzaven aquest canal per actualitzar la seva llista de servidors de comandament i control. L'allotjament es troba a livejournal.com, en el moment d'escriure l'informe es mantenia a l'URL hxxp://f72bba81c921(.)livejournal(.)com/data/rss.
Livejournal és una empresa russoamericana que ofereix una plataforma de blocs. Els operadors de RTM creen un bloc de LJ en el qual publiquen un article amb ordres codificades; vegeu la captura de pantalla.
Les línies de comandament i control es codifiquen mitjançant un algorisme RC4 modificat (Secció 4.2). La versió actual (novembre de 2016) del canal conté les següents adreces de servidor d'ordres i control:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. dominis .bit
A les mostres RTM més recents, els autors es connecten a dominis C&C mitjançant el domini de primer nivell .bit TLD. No està a la llista de dominis de primer nivell de la ICANN (Nom de domini i Corporació d'Internet). En comptes d'això, utilitza el sistema Namecoin, que es basa en la tecnologia Bitcoin. Els autors de programari maliciós no utilitzen sovint el TLD .bit per als seus dominis, tot i que anteriorment s'ha observat un exemple d'aquest ús en una versió de la botnet Necurs.
A diferència de Bitcoin, els usuaris de la base de dades distribuïda de Namecoin tenen la possibilitat de desar dades. L'aplicació principal d'aquesta característica és el domini de primer nivell .bit. Podeu registrar dominis que s'emmagatzemaran en una base de dades distribuïda. Les entrades corresponents a la base de dades contenen adreces IP resoltes pel domini. Aquest TLD és "resistent a la censura" perquè només el registrant pot canviar la resolució del domini .bit. Això vol dir que és molt més difícil aturar un domini maliciós utilitzant aquest tipus de TLD.
El troià RTM no incorpora el programari necessari per llegir la base de dades de Namecoin distribuïda. Utilitza servidors DNS centrals com ara dns.dot-bit.org o servidors OpenNic per resoldre dominis .bit. Per tant, té la mateixa durabilitat que els servidors DNS. Hem observat que alguns dominis d'equip ja no es detectaven després de ser esmentats en una publicació del bloc.
Un altre avantatge del TLD .bit per als pirates informàtics és el cost. Per registrar un domini, els operadors només han de pagar 0,01 NK, que corresponen a 0,00185 $ (a partir del 5 de desembre de 2016). Com a comparació, domain.com costa almenys 10 dòlars.
4.3.3. Protocol
Per comunicar-se amb el servidor d'ordres i control, RTM utilitza sol·licituds HTTP POST amb dades formatades mitjançant un protocol personalitzat. El valor del camí sempre és /r/z.php; Agent d'usuari Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0). En les sol·licituds al servidor, les dades tenen el format següent, on els valors de compensació s'expressen en bytes:
Els bytes del 0 al 6 no estan codificats; els bytes a partir de 6 es codifiquen mitjançant un algorisme RC4 modificat. L'estructura del paquet de resposta C&C és més senzilla. Els bytes es codifiquen des de 4 fins a la mida del paquet.
La llista de possibles valors de bytes d'acció es presenta a la taula següent:
El programari maliciós sempre calcula el CRC32 de les dades desxifrades i el compara amb el que hi ha al paquet. Si són diferents, el troià deixa caure el paquet.
Les dades addicionals poden contenir diversos objectes, com ara un fitxer PE, un fitxer que cal cercar al sistema de fitxers o nous URL d'ordres.
4.3.4. Panell
Hem observat que RTM utilitza un panell als servidors C&C. Captura de pantalla a continuació:
4.4. Signe característic
RTM és un troià bancari típic. No és d'estranyar que els operadors vulguin informació sobre el sistema de la víctima. D'una banda, el bot recull informació general sobre el sistema operatiu. D'altra banda, esbrina si el sistema compromès conté atributs associats als sistemes bancaris remots russos.
4.4.1. Informació general
Quan s'instal·la o s'inicia programari maliciós després d'un reinici, s'envia un informe al servidor d'ordres i control que conté informació general que inclou:
- Fus horari;
- idioma del sistema predeterminat;
- credencials d'usuari autoritzat;
- nivell d'integritat del procés;
- Nom d'usuari;
- nom de l'ordinador;
- versió del sistema operatiu;
- mòduls instal·lats addicionals;
- programa antivirus instal·lat;
- llista de lectors de targetes intel·ligents.
4.4.2 Sistema de banca a distància
Un objectiu troià típic és un sistema bancari remot, i RTM no és una excepció. Un dels mòduls del programa s'anomena TBdo, que realitza diverses tasques, com ara escanejar discos i l'historial de navegació.
En escanejar el disc, el troià comprova si el programari bancari està instal·lat a la màquina. La llista completa dels programes objectiu es troba a la taula següent. Després d'haver detectat un fitxer d'interès, el programa envia informació al servidor d'ordres. Les següents accions depenen de la lògica especificada pels algorismes del centre de comandaments (C&C).
RTM també cerca patrons d'URL a l'historial del navegador i les pestanyes obertes. A més, el programa examina l'ús de les funcions FindNextUrlCacheEntryA i FindFirstUrlCacheEntryA, i també comprova que cada entrada coincideixi amb l'URL amb un dels patrons següents:
Després d'haver detectat les pestanyes obertes, el troià es posa en contacte amb Internet Explorer o Firefox mitjançant el mecanisme Dynamic Data Exchange (DDE) per comprovar si la pestanya coincideix amb el patró.
La comprovació de l'historial de navegació i les pestanyes obertes es realitza en un bucle WHILE (un bucle amb una condició prèvia) amb un descans d'1 segon entre comprovacions. Altres dades que es controlen en temps real es tractaran a l'apartat 4.5.
Si es troba un patró, el programa ho informa al servidor d'ordres mitjançant una llista de cadenes de la taula següent:
4.5 Seguiment
Mentre el troià s'executa, la informació sobre les característiques del sistema infectat (inclosa informació sobre la presència de programari bancari) s'envia al servidor d'ordres i control. L'empremta digital es produeix quan RTM executa per primera vegada el sistema de supervisió immediatament després de l'exploració inicial del sistema operatiu.
4.5.1. Banca a distància
El mòdul TBdo també s'encarrega del seguiment dels processos relacionats amb la banca. Utilitza l'intercanvi dinàmic de dades per comprovar les pestanyes a Firefox i Internet Explorer durant l'exploració inicial. Un altre mòdul TShell s'utilitza per supervisar les finestres d'ordres (Internet Explorer o File Explorer).
El mòdul utilitza les interfícies COM IShellWindows, iWebBrowser, DWebBrowserEvents2 i IConnectionPointContainer per supervisar les finestres. Quan un usuari navega a una pàgina web nova, el programari maliciós ho nota. A continuació, compara l'URL de la pàgina amb els patrons anteriors. Després d'haver detectat una coincidència, el troià fa sis captures de pantalla consecutives amb un interval de 5 segons i les envia al servidor d'ordres C&S. El programa també verifica alguns noms de finestres relacionats amb el programari bancari; la llista completa es troba a continuació:
4.5.2. Targeta intel · ligent
RTM us permet controlar els lectors de targetes intel·ligents connectats a ordinadors infectats. Aquests dispositius s'utilitzen en alguns països per conciliar les ordres de pagament. Si aquest tipus de dispositiu està connectat a un ordinador, podria indicar a un troià que la màquina s'està utilitzant per a transaccions bancàries.
A diferència d'altres troians bancaris, RTM no pot interactuar amb aquestes targetes intel·ligents. Potser aquesta funcionalitat s'inclou en un mòdul addicional que encara no hem vist.
4.5.3. Keylogger
Una part important de la supervisió d'un ordinador infectat és capturar les pulsacions de tecles. Sembla que als desenvolupadors de RTM no els perd cap informació, ja que no només controlen les tecles normals, sinó també el teclat virtual i el porta-retalls.
Per fer-ho, utilitzeu la funció SetWindowsHookExA. Els atacants registren les tecles premudes o les tecles corresponents al teclat virtual, juntament amb el nom i la data del programa. A continuació, el buffer s'envia al servidor d'ordres C&C.
La funció SetClipboardViewer s'utilitza per interceptar el porta-retalls. Els pirates informàtics registren el contingut del porta-retalls quan les dades són text. El nom i la data també es registren abans que el buffer s'enviï al servidor.
4.5.4. Captures de pantalla
Una altra funció RTM és la intercepció de captures de pantalla. La funció s'aplica quan el mòdul de monitorització de finestres detecta un lloc o programari bancari d'interès. Les captures de pantalla es fan mitjançant una biblioteca d'imatges gràfiques i es transfereixen al servidor d'ordres.
4.6. Desinstal·lació
El servidor C&C pot evitar que el programari maliciós s'executi i netejar l'ordinador. L'ordre us permet esborrar fitxers i entrades de registre creades mentre s'executa RTM. A continuació, utilitzant la DLL, el programari maliciós i el fitxer winlogon s'eliminen, després de la qual cosa l'ordre apaga l'ordinador. Com es mostra a la imatge següent, els desenvolupadors eliminen la DLL que utilitzen erase.dll.
El servidor pot enviar al troià una ordre destructiva de desinstal·lació de bloqueig. En aquest cas, si teniu drets d'administrador, RTM suprimirà el sector d'arrencada MBR del disc dur. Si això falla, el troià intentarà desplaçar el sector d'arrencada MBR a un sector aleatori; aleshores l'ordinador no podrà arrencar el sistema operatiu després de l'apagat. Això pot provocar una reinstal·lació completa del sistema operatiu, la qual cosa significa la destrucció de proves.
Sense privilegis d'administrador, el programari maliciós escriu un .EXE codificat a la DLL RTM subjacent. L'executable executa el codi necessari per apagar l'ordinador i registra el mòdul a la clau de registre HKCUCurrentVersionRun. Cada vegada que l'usuari inicia una sessió, l'ordinador s'apaga immediatament.
4.7. El fitxer de configuració
De manera predeterminada, RTM gairebé no té cap fitxer de configuració, però el servidor d'ordres i control pot enviar valors de configuració que s'emmagatzemaran al registre i utilitzaran el programa. La llista de claus de configuració es presenta a la taula següent:
La configuració s'emmagatzema a la clau de registre del programari[cadena pseudoaleatoria]. Cada valor correspon a una de les files presentades a la taula anterior. Els valors i les dades es codifiquen mitjançant l'algorisme RC4 a RTM.
Les dades tenen la mateixa estructura que una xarxa o cadenes. S'afegeix una clau XOR de quatre bytes al principi de les dades codificades. Per als valors de configuració, la clau XOR és diferent i depèn de la mida del valor. Es pot calcular de la següent manera:
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(valor_config)| (len(config_value) << 8)
4.8. Altres funcions
A continuació, mirem altres funcions que admet RTM.
4.8.1. Mòduls addicionals
El troià inclou mòduls addicionals, que són fitxers DLL. Els mòduls enviats des del servidor d'ordres C&C es poden executar com a programes externs, reflectir-se a la memòria RAM i llançar-se en nous fils. Per a l'emmagatzematge, els mòduls es guarden en fitxers .dtt i es codifiquen mitjançant l'algorisme RC4 amb la mateixa clau que s'utilitza per a les comunicacions de xarxa.
Fins ara hem observat la instal·lació del mòdul VNC (8966319882494077C21F66A8354E2CBCA0370464), el mòdul d'extracció de dades del navegador (03DE8622BE6B2F75A364A275995C3411626C4C9C1) i el mòdul d'extracció de dades del navegador (2DE1BE562B1F69A6A58C88753 C7FBA0B 3BE4DXNUMXBXNUMXEXNUMXCFAB).
Per carregar el mòdul VNC, el servidor C&C emet una ordre demanant connexions al servidor VNC a una adreça IP específica al port 44443. El connector de recuperació de dades del navegador executa TBrowserDataCollector, que pot llegir l'historial de navegació d'IE. A continuació, envia la llista completa d'URL visitats al servidor d'ordres C&C.
L'últim mòdul descobert s'anomena 1c_2_kl. Pot interactuar amb el paquet de programari 1C Enterprise. El mòdul inclou dues parts: la part principal - DLL i dos agents (32 i 64 bits), que s'injectaran a cada procés, registrant una vinculació a WH_CBT. Després d'haver estat introduït al procés 1C, el mòdul enllaça les funcions CreateFile i WriteFile. Sempre que es crida a la funció d'enllaç CreateFile, el mòdul emmagatzema la ruta del fitxer 1c_to_kl.txt a la memòria. Després d'interceptar la trucada WriteFile, crida a la funció WriteFile i envia la ruta del fitxer 1c_to_kl.txt al mòdul DLL principal, passant-li el missatge WM_COPYDATA de Windows elaborat.
El mòdul DLL principal obre i analitza el fitxer per determinar les ordres de pagament. Reconeix l'import i el número de transacció que conté el fitxer. Aquesta informació s'envia al servidor d'ordres. Creiem que aquest mòdul està actualment en desenvolupament perquè conté un missatge de depuració i no pot modificar automàticament 1c_to_kl.txt.
4.8.2. Escalada de privilegis
RTM pot intentar augmentar els privilegis mostrant missatges d'error falsos. El programari maliciós simula una comprovació del registre (vegeu la imatge següent) o utilitza una icona de l'editor del registre real. Si us plau, tingueu en compte la falta d'ortografia espera - què. Després d'uns segons d'escaneig, el programa mostra un missatge d'error fals.
Un missatge fals enganyarà fàcilment l'usuari mitjà, malgrat els errors gramaticals. Si l'usuari fa clic en un dels dos enllaços, RTM intentarà augmentar els seus privilegis al sistema.
Després de seleccionar una de les dues opcions de recuperació, el troià llança la DLL mitjançant l'opció runas de la funció ShellExecute amb privilegis d'administrador. L'usuari veurà un missatge real de Windows (vegeu la imatge següent) per a l'elevació. Si l'usuari dóna els permisos necessaris, el troià s'executarà amb privilegis d'administrador.
Depenent de l'idioma predeterminat instal·lat al sistema, el troià mostra missatges d'error en rus o anglès.
4.8.3. Certificat
RTM pot afegir certificats a la botiga de Windows i confirmar la fiabilitat de l'addició fent clic automàticament al botó "sí" al quadre de diàleg csrss.exe. Aquest comportament no és nou, per exemple, el troià bancari Retefe també confirma de manera independent la instal·lació d'un nou certificat.
4.8.4. Connexió inversa
Els autors de RTM també van crear el túnel TCP de Backconnect. Encara no hem vist la funció en ús, però està dissenyada per controlar de forma remota els ordinadors infectats.
4.8.5. Gestió de fitxers host
El servidor C&C pot enviar una ordre al troià per modificar el fitxer host de Windows. El fitxer amfitrió s'utilitza per crear resolucions DNS personalitzades.
4.8.6. Cerca i envia un fitxer
El servidor pot sol·licitar cercar i descarregar un fitxer al sistema infectat. Per exemple, durant la investigació vam rebre una sol·licitud per al fitxer 1c_to_kl.txt. Com s'ha descrit anteriorment, aquest fitxer el genera el sistema de comptabilitat 1C: Enterprise 8.
4.8.7. Actualització
Finalment, els autors de RTM poden actualitzar el programari enviant una nova DLL per substituir la versió actual.
5. Conclusió
La investigació de RTM mostra que el sistema bancari rus encara atrau ciberatacants. Grups com Buhtrap, Corkow i Carbanak roben amb èxit diners a les institucions financeres i als seus clients a Rússia. RTM és un nou jugador en aquesta indústria.
Les eines RTM malicioses s'utilitzen almenys des de finals de 2015, segons la telemetria d'ESET. El programa té una gamma completa de capacitats d'espionatge, com ara llegir targetes intel·ligents, interceptar les pulsacions de tecles i controlar transaccions bancàries, així com cercar fitxers de transport 1C: Enterprise 8.
L'ús d'un domini de primer nivell .bit descentralitzat i sense censura garanteix una infraestructura altament resistent.
Font: www.habr.com