Adunay ubay-ubay nga nailhan nga mga grupo sa cyber nga espesyalista sa pagpangawat sa mga pondo gikan sa mga kompanya sa Russia. Nakita namon ang mga pag-atake gamit ang mga lungag sa seguridad nga nagtugot sa pag-access sa network sa target. Kung maka-access na sila, tun-an sa mga tig-atake ang istruktura sa network sa organisasyon ug i-deploy ang ilang kaugalingon nga mga himan aron mangawat mga pondo. Usa ka klasiko nga pananglitan niini nga uso mao ang mga grupo sa hacker nga Buhtrap, Cobalt ug Corkow.
Ang grupo sa RTM nga gipunting sa kini nga taho bahin sa kini nga uso. Naggamit kini og espesyal nga gidisenyo nga malware nga gisulat sa Delphi, nga atong tan-awon sa mas detalyado sa mosunod nga mga seksyon. Ang unang mga pagsubay niini nga mga himan sa ESET telemetry system nadiskobrehan sa katapusan sa 2015. Ang team nagkarga sa lain-laing mga bag-ong modules sa mga nataptan nga sistema kung gikinahanglan. Ang mga pag-atake gitumong sa mga tiggamit sa hilit nga mga sistema sa pagbabangko sa Russia ug pipila ka silingang mga nasud.
1. Mga tumong
Ang kampanya sa RTM gitumong sa mga tiggamit sa korporasyon - kini klaro gikan sa mga proseso nga gisulayan sa mga tig-atake nga makit-an sa usa ka nakompromiso nga sistema. Ang pokus mao ang software sa accounting alang sa pagtrabaho sa mga hilit nga sistema sa pagbabangko.
Ang listahan sa mga proseso sa interes sa RTM susama sa katugbang nga listahan sa Buhtrap nga grupo, apan ang mga grupo adunay lain-laing mga impeksyon vectors. Kung ang Buhtrap migamit ug peke nga mga panid mas kanunay, ang RTM migamit sa drive-by download nga mga pag-atake (mga pag-atake sa browser o sa mga sangkap niini) ug spamming pinaagi sa email. Sumala sa datos sa telemetry, ang hulga gitumong sa Russia ug ubay-ubay nga kasikbit nga mga nasud (Ukraine, Kazakhstan, Czech Republic, Germany). Bisan pa, tungod sa paggamit sa mga mekanismo sa pag-apod-apod sa masa, ang pagkakita sa malware sa gawas sa target nga mga rehiyon dili ikatingala.
Ang kinatibuk-ang gidaghanon sa malware detection medyo gamay. Sa laing bahin, ang kampanya sa RTM naggamit ug komplikadong mga programa, nga nagpaila nga ang mga pag-atake gipuntirya pag-ayo.
Nadiskobrehan namo ang daghang mga decoy nga mga dokumento nga gigamit sa RTM, lakip na ang wala'y mga kontrata, mga invoice o mga dokumento sa accounting sa buhis. Ang kinaiya sa mga paon, inubanan sa matang sa software nga gipunting sa pag-atake, nagpakita nga ang mga tig-atake "nagsulod" sa mga network sa mga kompanya sa Russia pinaagi sa departamento sa accounting. Ang grupo milihok sumala sa samang laraw niadtong 2014-2015
Atol sa panukiduki, nakahimo kami sa pagpakig-uban sa daghang mga server sa C&C. Atong ilista ang tibuok nga listahan sa mga sugo sa mosunod nga mga seksyon, apan sa pagkakaron makaingon kita nga ang kliyente nagbalhin sa datos gikan sa keylogger direkta ngadto sa nag-atake nga server, diin ang dugang nga mga sugo madawat dayon.
Bisan pa, ang mga adlaw kung kanus-a ka makakonekta sa usa ka command ug control server ug makolekta ang tanan nga datos nga interesado ka nawala. Gibuhat namo pag-usab ang realistiko nga mga file sa log aron makakuha og pipila ka may kalabutan nga mga sugo gikan sa server.
Ang una niini mao ang usa ka hangyo sa bot nga ibalhin ang file 1c_to_kl.txt - usa ka transport file sa 1C: Enterprise 8 nga programa, ang dagway niini aktibo nga gibantayan sa RTM. Nakig-interact ang 1C sa mga remote banking system pinaagi sa pag-upload sa mga datos sa mga outgoing payments ngadto sa text file. Sunod, ang file gipadala sa hilit nga sistema sa pagbabangko alang sa automation ug pagpatuman sa order sa pagbayad.
Ang file adunay mga detalye sa pagbayad. Kung ang mga tig-atake magbag-o sa kasayuran bahin sa mga nanggawas nga bayad, ang pagbalhin ipadala gamit ang sayup nga mga detalye sa mga account sa mga tig-atake.
Mga usa ka bulan human sa paghangyo niini nga mga file gikan sa command and control server, among naobserbahan ang usa ka bag-ong plugin, 1c_2_kl.dll, nga gikarga ngadto sa nakompromiso nga sistema. Ang module (DLL) gidisenyo aron awtomatiko nga analisahon ang pag-download nga file pinaagi sa pagsulod sa mga proseso sa software sa accounting. Atong ihulagway kini sa detalye sa mosunod nga mga seksyon.
Makapainteres, ang FinCERT sa Bank of Russia sa katapusan sa 2016 nag-isyu sa usa ka bulletin nga pasidaan bahin sa mga cybercriminal gamit ang 1c_to_kl.txt nga mga file sa pag-upload. Nahibal-an usab sa mga developer gikan sa 1C ang bahin sa kini nga laraw; nakahimo na sila usa ka opisyal nga pahayag ug nakalista nga mga pag-amping.
Ang ubang mga module gikarga usab gikan sa command server, ilabina ang VNC (ang 32 ug 64-bit nga mga bersyon niini). Nahisama kini sa VNC module nga gigamit kaniadto sa mga pag-atake sa Dridex Trojan. Kini nga module gigamit kuno sa layo nga koneksyon sa usa ka nataptan nga kompyuter ug magpahigayon usa ka detalyado nga pagtuon sa sistema. Sunod, ang mga tig-atake naningkamot sa paglihok sa palibot sa network, pagkuha sa mga password sa user, pagkolekta sa impormasyon ug pagsiguro sa kanunay nga presensya sa malware.
2. Vector sa impeksyon
Ang mosunud nga numero nagpakita sa mga vector sa impeksyon nga nakit-an sa panahon sa pagtuon sa kampanya. Ang grupo naggamit sa usa ka halapad nga mga vectors, apan nag-una sa drive-by download nga mga pag-atake ug spam. Kini nga mga himan sayon ββββalang sa gipunting nga mga pag-atake, tungod kay sa una nga kaso, ang mga tig-atake makapili sa mga site nga gibisitahan sa mga potensyal nga biktima, ug sa ikaduha, mahimo silang magpadala sa email nga adunay mga attachment direkta sa gusto nga mga empleyado sa kompanya.
Ang malware gipang-apod-apod pinaagi sa daghang mga channel, lakip ang RIG ug Sundown exploit kits o spam mailings, nga nagpaila sa mga koneksyon tali sa mga tig-atake ug uban pang mga cyberattacker nga nagtanyag niini nga mga serbisyo.
2.1. Sa unsang paagi nalangkit ang RTM ug Buhtrap?
Ang kampanya sa RTM susama kaayo sa Buhtrap. Ang natural nga pangutana mao: sa unsang paagi sila konektado sa usag usa?
Niadtong Septiyembre 2016, among naobserbahan ang usa ka RTM sample nga gipang-apod-apod gamit ang Buhtrap uploader. Dugang pa, nakit-an namon ang duha ka digital nga sertipiko nga gigamit sa parehas nga Buhtrap ug RTM.
Ang una, giingon nga gi-isyu sa kompanya nga DNISTER-M, gigamit sa digital nga pagpirma sa ikaduha nga porma sa Delphi (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) ug ang Buhtrap DLL (SHA-1: 1E2642C454D2F889B6B41116A83A 6).
Ang ikaduha, nga gi-isyu sa Bit-Tredj, gigamit sa pagpirma sa mga loader sa Buhtrap (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 ug B74F71560E48488D2153AE2FB51207A0 ug pag-install sa RTM ingon man usab sa pag-download sa mga sangkap.
Ang mga operator sa RTM naggamit og mga sertipiko nga kasagaran sa ubang mga pamilya sa malware, apan aduna usab silay talagsaon nga sertipiko. Sumala sa telemetry sa ESET, gi-isyu kini sa Kit-SD ug gigamit lamang sa pagpirma sa pipila ka RTM malware (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
Gigamit sa RTM ang parehas nga loader sama sa Buhtrap, ang mga sangkap sa RTM gikarga gikan sa imprastraktura sa Buhtrap, mao nga ang mga grupo adunay parehas nga mga indikasyon sa network. Bisan pa, sumala sa among mga banabana, ang RTM ug Buhtrap lahi nga mga grupo, labing menos tungod kay ang RTM giapod-apod sa lainlaing mga paagi (dili lamang gamit ang usa ka "langyaw" nga nag-download).
Bisan pa niini, ang mga grupo sa hacker naggamit sa parehas nga mga prinsipyo sa operasyon. Gipunting nila ang mga negosyo nga naggamit sa software sa accounting, parehas nga pagkolekta sa impormasyon sa sistema, pagpangita alang sa mga magbabasa sa smart card, ug pag-deploy sa daghang mga malisyosong himan aron sa pagpaniid sa mga biktima.
3. Ebolusyon
Niini nga seksyon, atong tan-awon ang lainlaing mga bersyon sa malware nga nakit-an sa panahon sa pagtuon.
3.1. Pag-bersyon
Ang RTM nagtipig sa datos sa pagsumpo sa usa ka seksyon sa rehistro, ang labing makapaikag nga bahin mao ang botnet-prefix. Ang usa ka lista sa tanan nga mga kantidad nga among nakita sa mga sample nga among gitun-an gipresentar sa lamesa sa ubos.
Posible nga ang mga kantidad magamit sa pagrekord sa mga bersyon sa malware. Bisan pa, wala kami nakamatikod nga daghang kalainan tali sa mga bersyon sama sa bit2 ug bit3, 0.1.6.4 ug 0.1.6.6. Dugang pa, ang usa sa mga prefix anaa na sukad pa sa sinugdanan ug milambo gikan sa usa ka tipikal nga C&C nga dominyo ngadto sa usa ka .bit nga dominyo, ingon sa gipakita sa ubos.
3.2. Eskedyul
Gamit ang data sa telemetry, naghimo kami usa ka graph sa panghitabo sa mga sample.
4. Teknikal nga pagtuki
Niini nga seksyon, atong ihulagway ang mga nag-unang gimbuhaton sa RTM banking Trojan, lakip ang mga mekanismo sa pagsukol, kaugalingon nga bersyon sa RC4 algorithm, protocol sa network, pagpaandar sa pagpaniid ug uban pang mga bahin. Sa partikular, atong ipunting ang mga sampol sa SHA-1 AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 ug 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. Pag-instalar ug pagtipig
4.1.1. Pagpatuman
Ang RTM core kay usa ka DLL, ang library gikarga sa disk gamit ang .EXE. Ang executable nga file kasagarang giputos ug adunay DLL code. Kung gilansad, gikuha niini ang DLL ug gipadagan kini gamit ang mosunud nga mando:
rundll32.exe β%PROGRAMDATA%Winlogonwinlogon.lnkβ,DllGetClassObject host4.1.2. DLL
Ang nag-unang DLL kanunay nga gikarga sa disk isip winlogon.lnk sa %PROGRAMDATA%Winlogon folder. Kini nga extension sa file kasagaran nalangkit sa usa ka shortcut, apan ang file sa pagkatinuod usa ka DLL nga gisulat sa Delphi, nga ginganlan og core.dll sa developer, sama sa gipakita sa hulagway sa ubos.
ΠΡΠΈΠΌΠ΅Ρ Π½Π°Π·Π²Π°Π½ΠΈΡ DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Sa higayon nga gilansad, ang Trojan nagpalihok sa mekanismo sa pagsukol niini. Mahimo kini sa duha ka lainlaing paagi, depende sa mga pribilehiyo sa biktima sa sistema. Kung aduna kay katungod sa tagdumala, ang Trojan magdugang ug Windows Update entry sa HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun registry. Ang mga sugo nga anaa sa Windows Update modagan sa pagsugod sa sesyon sa user.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe β%PROGRAMDATA%winlogon.lnkβ,DllGetClassObject host
Gisulayan usab sa Trojan ang pagdugang usa ka buluhaton sa Windows Task Scheduler. Ang buluhaton maglunsad sa winlogon.lnk DLL nga adunay parehas nga mga parameter sama sa ibabaw. Gitugotan sa regular nga mga katungod sa tiggamit ang Trojan nga makadugang usa ka entry sa Windows Update nga adunay parehas nga datos sa HKCUSoftwareMicrosoftWindowsCurrentVersionRun registry:
rundll32.exe β%PROGRAMDATA%winlogon.lnkβ,DllGetClassObject host4.2. Giusab nga RC4 algorithm
Bisan pa sa nahibal-an nga mga kakulangan, ang RC4 algorithm kanunay nga gigamit sa mga tagsulat sa malware. Bisan pa, ang mga tiglalang sa RTM nagbag-o niini gamay, tingali aron mas lisud ang buluhaton sa mga analista sa virus. Ang usa ka giusab nga bersyon sa RC4 kaylap nga gigamit sa malisyosong RTM nga mga himan sa pag-encrypt sa mga string, data sa network, configuration ug modules.
4.2.1. Mga kalainan
Ang orihinal nga RC4 algorithm naglakip sa duha ka yugto: s-block initialization (aka KSA - Key-Scheduling Algorithm) ug pseudo-random sequence generation (PRGA - Pseudo-Random Generation Algorithm). Ang unang yugto naglakip sa pagsugod sa s-box gamit ang yawe, ug sa ikaduhang yugto ang tinubdan nga teksto giproseso gamit ang s-box para sa encryption.
Ang mga tagsulat sa RTM midugang ug intermediate nga lakang tali sa s-box initialization ug encryption. Ang dugang nga yawe kay baryable ug gitakda dungan sa data nga i-encrypt ug i-decrypt. Ang function nga naghimo niining dugang nga lakang gipakita sa numero sa ubos.
4.2.2. Pag-encrypt sa string
Sa una nga pagtan-aw, adunay daghang mabasa nga linya sa panguna nga DLL. Ang uban gi-encrypt gamit ang algorithm nga gihulagway sa ibabaw, ang istruktura nga gipakita sa mosunod nga numero. Nakit-an namo ang labaw sa 25 ka lain-laing RC4 keys para sa string encryption sa mga na-analisa nga sample. Ang XOR nga yawe lahi sa matag laray. Ang bili sa numeric field separating lines kanunay 0xFFFFFFFF.
Sa sinugdanan sa pagpatuman, gi-decrypt sa RTM ang mga string ngadto sa global variable. Kung gikinahanglan aron maka-access sa usa ka string, ang Trojan dinamikong kalkulado sa adres sa mga decrypted string base sa base address ug offset.
Ang mga kuwerdas adunay makaiikag nga impormasyon bahin sa mga gimbuhaton sa malware. Ang pipila ka pananglitan nga mga kuwerdas gihatag sa Seksyon 6.8.
4.3. Network
Ang paagi sa pagkontak sa RTM malware sa server sa C&C lainlain gikan sa bersyon hangtod sa bersyon. Ang una nga mga pagbag-o (Oktubre 2015 - Abril 2016) migamit sa tradisyonal nga mga ngalan sa domain kauban ang usa ka RSS feed sa livejournal.com aron ma-update ang lista sa mga mando.
Sukad sa Abril 2016, nakita namo ang pagbalhin ngadto sa .bit nga mga domain sa telemetry data. Gipamatud-an kini sa petsa sa pagparehistro sa domain - ang unang RTM domain fde05d0573da.bit narehistro niadtong Marso 13, 2016.
Ang tanang URL nga among nakita samtang nagmonitor sa kampanya adunay komon nga dalan: /r/z.php. Talagsaon kini ug makatabang kini sa pag-ila sa mga hangyo sa RTM sa mga dagan sa network.
4.3.1. Channel alang sa mga sugo ug pagkontrol
Ang mga pananglitan sa kabilin migamit niini nga channel sa pag-update sa ilang listahan sa command ug control servers. Ang pag-host nahimutang sa livejournal.com, sa panahon sa pagsulat sa taho nagpabilin kini sa URL hxxp://f72bba81c921(.)livejournal(.)com/ data/rss.
Ang Livejournal usa ka kompanya nga Ruso-Amerikano nga naghatag usa ka plataporma sa pag-blog. Ang mga operator sa RTM naghimo ug LJ nga blog diin sila nag-post ug usa ka artikulo nga adunay coded nga mga sugo - tan-awa ang screenshot.
Ang command ug control lines gi-encode gamit ang giusab nga RC4 algorithm (Seksyon 4.2). Ang kasamtangan nga bersyon (Nobyembre 2016) sa channel naglangkob sa mosunod nga command ug control server address:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. .bit nga mga dominyo
Sa pinakabag-o nga mga sampol sa RTM, ang mga tagsulat nagkonektar sa C&C nga mga dominyo gamit ang .bit TLD top-level domain. Wala kini sa lista sa ICANN (Domain Name ug Internet Corporation) sa mga top-level nga domain. Hinuon, gigamit niini ang sistema sa Namecoin, nga gitukod sa ibabaw sa teknolohiya sa Bitcoin. Ang mga tagsulat sa malware dili kanunay mogamit sa .bit TLD alang sa ilang mga domain, bisan kung ang usa ka pananglitan sa ingon nga paggamit naobserbahan kaniadto sa usa ka bersyon sa Necurs botnet.
Dili sama sa Bitcoin, ang mga tiggamit sa gipang-apod-apod nga database sa Namecoin adunay katakus sa pagtipig sa datos. Ang nag-unang aplikasyon niini nga bahin mao ang .bit top-level domain. Mahimo nimong irehistro ang mga domain nga tipigan sa usa ka gipang-apod-apod nga database. Ang katugbang nga mga entry sa database adunay mga IP address nga nasulbad sa domain. Kini nga TLD mao ang "censorship-resistant" tungod kay ang nagparehistro lamang ang makausab sa resolusyon sa .bit nga domain. Kini nagpasabot nga mas lisud ang pagpahunong sa usa ka malisyosong domain gamit kining matang sa TLD.
Ang RTM Trojan wala mag-embed sa software nga gikinahanglan aron mabasa ang gipang-apod-apod nga database sa Namecoin. Gigamit niini ang mga sentral nga DNS server sama sa dns.dot-bit.org o OpenNic server aron masulbad ang .bit nga mga dominyo. Busa, kini adunay parehas nga kalig-on sa mga DNS server. Naobserbahan namon nga ang pipila ka mga domain sa team wala na makit-an pagkahuman nahisgutan sa usa ka post sa blog.
Ang laing bentaha sa .bit TLD alang sa mga hacker mao ang gasto. Aron magparehistro sa usa ka domain, ang mga operator kinahanglan nga mobayad lamang sa 0,01 NK, nga katumbas sa $0,00185 (sa Disyembre 5, 2016). Alang sa pagtandi, ang domain.com nagkantidad ug labing menos $10.
4.3.3. Protokol
Aron makigkomunikar sa command ug control server, ang RTM naggamit sa HTTP POST nga mga hangyo nga adunay datos nga giporma gamit ang custom protocol. Ang bili sa agianan kanunay /r/z.php; Mozilla/5.0 user agent (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0). Sa mga hangyo sa server, ang datos giporma sama sa mosunod, diin ang mga kantidad sa offset gipahayag sa bytes:
Ang mga byte 0 hangtod 6 wala gi-encode; Ang mga byte sugod sa 6 gi-encode gamit ang giusab nga RC4 algorithm. Ang istruktura sa C&C response packet mas simple. Ang mga byte gi-encode gikan sa 4 hangtod sa gidak-on sa pakete.
Ang lista sa posible nga aksyon byte nga kantidad gipresentar sa lamesa sa ubos:
Kanunay nga kalkulado sa malware ang CRC32 sa gi-decrypted nga datos ug gitandi kini sa kung unsa ang naa sa pakete. Kung magkalainlain sila, ihulog sa Trojan ang pakete.
Ang dugang nga datos mahimong adunay lain-laing mga butang, lakip ang PE file, file nga pangitaon sa file system, o bag-ong command URL.
4.3.4. Panel
Namatikdan namo nga ang RTM naggamit ug panel sa mga server sa C&C. Screenshot sa ubos:
4.4. Kinaiya nga timaan
Ang RTM usa ka tipikal nga Trojan sa banking. Dili ikatingala nga ang mga operator gusto og impormasyon bahin sa sistema sa biktima. Sa usa ka bahin, ang bot nagkolekta sa kinatibuk-ang kasayuran bahin sa OS. Sa laing bahin, nahibal-an kung ang nakompromiso nga sistema adunay mga hiyas nga may kalabutan sa mga sistema sa bangko nga layo sa Russia.
4.4.1. kinatibuk-ang impormasyon
Kung ang malware gi-install o gilunsad pagkahuman sa pag-reboot, usa ka taho ang ipadala sa command ug control server nga adunay kinatibuk-ang kasayuran lakip ang:
- Timezone;
- default nga pinulongan sa sistema;
- awtorisado nga mga kredensyal sa tiggamit;
- lebel sa integridad sa proseso;
- Username;
- ngalan sa kompyuter;
- OS nga bersyon;
- dugang nga na-install nga mga module;
- gi-install nga antivirus nga programa;
- listahan sa mga smart card readers.
4.4.2 Remote banking system
Ang kasagaran nga target sa Trojan usa ka hilit nga sistema sa pagbabangko, ug ang RTM dili eksepsiyon. Usa sa mga module sa programa gitawag nga TBdo, nga naghimo sa lainlaing mga buluhaton, lakip ang pag-scan sa mga disk ug kasaysayan sa pag-browse.
Pinaagi sa pag-scan sa disk, gisusi sa Trojan kung na-install ba ang software sa pagbabangko sa makina. Ang kompleto nga lista sa mga target nga programa naa sa lamesa sa ubos. Kay nakamatikod sa usa ka file sa interes, ang programa nagpadala impormasyon ngadto sa command server. Ang sunod nga mga aksyon nagdepende sa lohika nga gitakda sa command center (C&C) algorithm.
Gipangita usab sa RTM ang mga pattern sa URL sa imong kasaysayan sa browser ug mga bukas nga tab. Dugang pa, gisusi sa programa ang paggamit sa FindNextUrlCacheEntryA ug FindFirstUrlCacheEntryA nga mga gimbuhaton, ug gisusi usab ang matag entry aron ipares ang URL sa usa sa mosunod nga mga sumbanan:
Kay nakamatikod sa mga bukas nga tab, ang Trojan mikontak sa Internet Explorer o Firefox pinaagi sa Dynamic Data Exchange (DDE) nga mekanismo aron masusi kon ang tab mohaum sa sumbanan.
Ang pagsusi sa imong kasaysayan sa pag-browse ug mga bukas nga tab gihimo sa usa ka WHILE loop (usa ka loop nga adunay precondition) nga adunay usa ka segundo nga pahulay tali sa mga tseke. Ang ubang mga datos nga gimonitor sa tinuod nga panahon hisgotan sa seksyon 1.
Kung makit-an ang usa ka sumbanan, ang programa nagtaho niini sa command server gamit ang usa ka lista sa mga string gikan sa mosunod nga lamesa:
4.5 Pag-monitor
Samtang nagdagan ang Trojan, ang kasayuran bahin sa mga kinaiya nga bahin sa nataptan nga sistema (lakip ang kasayuran bahin sa presensya sa software sa pagbabangko) gipadala sa command and control server. Mahitabo ang pag-fingerprint kung ang RTM una nga nagpadagan sa sistema sa pag-monitor pagkahuman dayon sa inisyal nga pag-scan sa OS.
4.5.1. Hilit nga bangko
Ang TBdo module mao usab ang responsable sa pagmonitor sa mga proseso nga may kalabotan sa banking. Gigamit niini ang dinamikong pagbayloay sa datos aron masusi ang mga tab sa Firefox ug Internet Explorer sa panahon sa inisyal nga pag-scan. Laing TShell module ang gigamit sa pagmonitor sa command windows (Internet Explorer o File Explorer).
Gigamit sa module ang mga interface sa COM nga IShellWindows, iWebBrowser, DWebBrowserEvents2 ug IConnectionPointContainer aron mamonitor ang mga bintana. Kung ang usa ka tiggamit mag-navigate sa usa ka bag-ong web page, ang malware namatikdan kini. Gikomparar dayon niini ang URL sa panid sa mga sumbanan sa ibabaw. Kay nakamatikod sa usa ka duwa, ang Trojan mokuha ug unom ka sunod-sunod nga mga screenshot nga adunay interval nga 5 segundos ug ipadala kini ngadto sa C&S command server. Gisusi usab sa programa ang pipila ka mga ngalan sa bintana nga may kalabotan sa software sa pagbabangko - ang tibuuk nga lista naa sa ubos:
4.5.2. Smart card
Ang RTM nagtugot kanimo sa pag-monitor sa mga smart card reader nga konektado sa mga nataptan nga kompyuter. Kini nga mga himan gigamit sa pipila ka mga nasud aron mapasig-uli ang mga order sa pagbayad. Kung kini nga klase sa aparato gilakip sa usa ka kompyuter, mahimoβg kini magpakita sa usa ka Trojan nga ang makina gigamit alang sa mga transaksyon sa bangko.
Dili sama sa ubang mga Trojan sa bangko, ang RTM dili maka-interact sa maong mga smart card. Tingali kini nga gamit gilakip sa usa ka dugang nga module nga wala pa namon makita.
4.5.3. Keylogger
Usa ka importante nga bahin sa pagmonitor sa usa ka nataptan nga PC mao ang pagkuha sa mga keystroke. Ingon og walaβy nawala nga kasayuran ang mga developer sa RTM, tungod kay gibantayan nila dili lamang ang mga regular nga yawe, apan usab ang virtual nga keyboard ug clipboard.
Aron mahimo kini, gamita ang SetWindowsHookExA function. Gi-log sa mga tig-atake ang mga yawe nga gipugos o ang mga yawe nga katumbas sa virtual nga keyboard, kauban ang ngalan ug petsa sa programa. Ang buffer dayon ipadala sa C&C command server.
Ang SetClipboardViewer function gigamit sa pag-intercept sa clipboard. Ang mga hacker nag-log sa sulod sa clipboard kung ang datos kay text. Ang ngalan ug petsa gi-log usab sa wala pa ipadala ang buffer sa server.
4.5.4. Mga screenshot
Ang laing RTM function mao ang screenshot interception. Ang bahin magamit kung ang module sa pag-monitor sa bintana nakamatikod sa usa ka site o software sa bangko nga interesado. Ang mga screenshot gikuha gamit ang usa ka librarya sa mga graphic nga mga hulagway ug gibalhin ngadto sa command server.
4.6. Pag-uninstall
Ang C&C server makapahunong sa malware sa pagdagan ug paglimpyo sa imong computer. Ang sugo nagtugot kanimo sa paghawan sa mga file ug registry entries nga gihimo samtang ang RTM nagdagan. Ang DLL dayon gigamit sa pagtangtang sa malware ug sa winlogon file, pagkahuman gipahunong sa command ang computer. Sama sa gipakita sa hulagway sa ubos, ang DLL gikuha sa mga developers gamit ang erase.dll.
Ang server makapadala sa Trojan og usa ka makadaut nga uninstall-lock nga sugo. Sa kini nga kaso, kung ikaw adunay mga katungod sa tagdumala, ang RTM magtangtang sa MBR boot sector sa hard drive. Kung kini mapakyas, ang Trojan mosulay sa pagbalhin sa MBR boot sector ngadto sa usa ka random nga sektor - unya ang computer dili na maka-boot sa OS human sa shutdown. Kini mahimong mosangpot sa usa ka bug-os nga pag-instalar sa OS, nga nagpasabot sa pagkaguba sa ebidensya.
Kung walay mga pribilehiyo sa administrador, ang malware nagsulat og .EXE nga gi-encode sa nagpahiping RTM DLL. Ang executable mopatuman sa kodigo nga gikinahanglan aron mapalong ang kompyuter ug irehistro ang module sa HKCUCurrentVersionRun registry key. Sa matag higayon nga ang user magsugod sa usa ka sesyon, ang computer mosira dayon.
4.7. Ang configuration file
Sa kasagaran, ang RTM halos walay configuration file, apan ang command ug control server makapadala ug configuration values ββnga tipigan sa registry ug gamiton sa programa. Ang lista sa mga yawe sa pag-configure gipresentar sa lamesa sa ubos:
Ang configuration gitipigan sa Software [Pseudo-random string] registry key. Ang matag bili katumbas sa usa sa mga laray nga gipresentar sa miaging lamesa. Ang mga kantidad ug datos gi-encode gamit ang RC4 algorithm sa RTM.
Ang datos adunay parehas nga istruktura sama sa usa ka network o mga kuwerdas. Ang upat ka byte nga XOR nga yawe gidugang sa sinugdanan sa na-encode nga datos. Alang sa mga kantidad sa pagsumpo, ang XOR nga yawe lahi ug nagdepende sa gidak-on sa kantidad. Mahimo kining kalkulado sama sa mosunod:
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)
4.8. Ubang mga gimbuhaton
Sunod, atong tan-awon ang ubang mga gimbuhaton nga gisuportahan sa RTM.
4.8.1. Dugang nga mga module
Ang Trojan naglakip sa dugang nga mga module, nga mga DLL file. Ang mga module nga gipadala gikan sa C&C command server mahimong ipatuman isip external nga mga programa, nga makita sa RAM ug ilunsad sa bag-ong mga thread. Alang sa pagtipig, ang mga module gitipigan sa .dtt nga mga file ug gi-encode gamit ang RC4 algorithm nga adunay parehas nga yawe nga gigamit alang sa komunikasyon sa network.
Sa pagkakaron among naobserbahan ang pag-instalar sa VNC module (8966319882494077C21F66A8354E2CBCA0370464), ang browser data extraction module (03DE8622BE6B2F75A364A275995C3411626C4D9E1C2D1E562C1D69E6F_EE) FC58FBA88753 B7BE0D3B4EXNUMXCFAB).
Aron ma-load ang VNC module, ang C&C server nag-isyu ug command nga naghangyo og mga koneksyon sa VNC server sa usa ka piho nga IP address sa port 44443. Ang browser data retrieval plugin nagpatuman sa TBrowserDataCollector, nga makabasa sa IE nga kasaysayan sa pag-browse. Dayon ipadala niini ang tibuok listahan sa gibisita nga mga URL ngadto sa C&C command server.
Ang kataposang module nga nadiskobrehan gitawag ug 1c_2_kl. Mahimo kini nga makig-uban sa 1C Enterprise software package. Ang module naglakip sa duha ka bahin: ang nag-unang bahin - DLL ug duha ka ahente (32 ug 64 bit), nga i-injected sa matag proseso, pagrehistro sa usa ka pagbugkos sa WH_CBT. Kay gipaila-ila sa proseso sa 1C, ang module nagbugkos sa CreateFile ug WriteFile functions. Sa matag higayon nga ang CreateFile bound function gitawag, ang module nagtipig sa file path 1c_to_kl.txt sa memorya. Human sa pag-intercept sa WriteFile nga tawag, kini nagtawag sa WriteFile function ug nagpadala sa file path 1c_to_kl.txt sa main DLL module, nga gipasa niini ang crafted Windows WM_COPYDATA nga mensahe.
Ang nag-unang DLL module nag-abli ug nag-parse sa file aron mahibal-an ang mga order sa pagbayad. Giila niini ang kantidad ug numero sa transaksyon nga anaa sa file. Kini nga impormasyon gipadala ngadto sa command server. Nagtuo kami nga kini nga module karon gipauswag tungod kay kini adunay usa ka mensahe sa pag-debug ug dili awtomatiko nga usbon ang 1c_to_kl.txt.
4.8.2. Pagtaas sa pribilehiyo
Ang RTM mahimong mosulay sa pagpausbaw sa mga pribilehiyo pinaagi sa pagpakita sa mga sayop nga mensahe sa sayop. Ang malware nagsundog sa usa ka registry check (tan-awa ang hulagway sa ubos) o naggamit sa usa ka tinuod nga registry editor icon. Palihug timan-i ang sayop nga spelling paghulat - whait. Human sa pipila ka mga segundo sa pag-scan, ang programa nagpakita sa usa ka sayop nga mensahe sa sayop.
Ang usa ka bakak nga mensahe dali nga makalimbong sa kasagaran nga tiggamit, bisan pa sa mga sayup sa gramatika. Kung ang user mag-klik sa usa sa duha ka link, ang RTM mosulay sa pagpadako sa iyang mga pribilehiyo sa sistema.
Human sa pagpili sa usa sa duha ka mga kapilian sa pagbawi, ang Trojan maglunsad sa DLL gamit ang runas nga opsyon sa ShellExecute function nga adunay mga pribilehiyo sa tagdumala. Ang user makakita og tinuod nga Windows prompt (tan-awa ang hulagway sa ubos) para sa elevation. Kon ang user mohatag sa gikinahanglang permiso, ang Trojan modagan uban sa mga pribilehiyo sa tagdumala.
Depende sa default nga pinulongan nga gibutang sa sistema, ang Trojan nagpakita sa mga mensahe sa sayop sa Russian o English.
4.8.3. Sertipiko
Ang RTM mahimong makadugang og mga sertipiko sa Windows Store ug makumpirma ang kasaligan sa pagdugang pinaagi sa awtomatikong pag-klik sa "oo" nga buton sa csrss.exe dialog box. Kini nga pamatasan dili bag-o; pananglitan, ang banking Trojan Retefe usab independente nga nagpamatuod sa pag-instalar sa usa ka bag-ong sertipiko.
4.8.4. Balikbalik nga koneksyon
Gihimo usab sa mga tagsulat sa RTM ang Backconnect TCP tunnel. Wala pa namo makita ang feature nga gigamit pa, pero gidesinyo kini aron ma-monitor sa layo ang mga nataptan nga PC.
4.8.5. Pagdumala sa file sa host
Ang C&C server makapadala ug command sa Trojan aron usbon ang Windows host file. Ang host file gigamit sa paghimo og custom nga mga resolusyon sa DNS.
4.8.6. Pangita ug pagpadala ug file
Ang server mahimong mohangyo sa pagpangita ug pag-download sa usa ka file sa nataptan nga sistema. Pananglitan, sa panahon sa panukiduki nakadawat kami usa ka hangyo alang sa file nga 1c_to_kl.txt. Sama sa gihulagway kaniadto, kini nga file gihimo sa 1C: Enterprise 8 accounting system.
4.8.7. Pag-update
Sa katapusan, ang mga tagsulat sa RTM mahimong mag-update sa software pinaagi sa pagsumite sa usa ka bag-ong DLL aron ilisan ang karon nga bersyon.
5. Panapos
Gipakita sa panukiduki sa RTM nga ang sistema sa bangko sa Russia nagdani gihapon sa mga tig-atake sa cyber. Ang mga grupo sama sa Buhtrap, Corkow ug Carbanak malampuson nga nangawat sa salapi gikan sa mga institusyong pinansyal ug ilang mga kliyente sa Russia. Ang RTM usa ka bag-ong magdudula sa kini nga industriya.
Ang malisyosong mga himan sa RTM gigamit sukad sa ulahing bahin sa 2015, sumala sa telemetry sa ESET. Ang programa adunay usa ka bug-os nga han-ay sa mga kapabilidad sa pagpaniid, lakip ang pagbasa sa mga smart card, pag-intercept sa mga keystroke ug pag-monitor sa mga transaksyon sa banking, ingon man pagpangita alang sa 1C: Enterprise 8 transport files.
Ang paggamit sa usa ka desentralisado, uncensored .bit top-level nga domain nagsiguro sa lig-on kaayo nga imprastraktura.
Source: www.habr.com