Ci sò parechji gruppi cibernetici cunnisciuti chì sò specializati in a robba di fondi da cumpagnie russe. Avemu vistu attacchi chì utilizanu loopholes di sicurità chì permettenu l'accessu à a reta di u mira. Una volta acquistate l'accessu, l'attaccanti studianu a struttura di a rete di l'urganisazione è implementanu i so propiu strumenti per arrubbari fondi. Un esempiu classicu di sta tendenza hè i gruppi di pirate Buhtrap, Cobalt è Corkow.
U gruppu RTM chì stu rapportu si cuncentra hè parti di sta tendenza. Aduprate malware apposta scrittu in Delphi, chì guardemu in più detail in e sezioni seguenti. I primi tracce di sti strumenti in u sistema di telemetria ESET sò stati scuperti à a fine di u 2015. A squadra carica diversi moduli novi nantu à i sistemi infettati quantu necessariu. L'attacchi sò destinati à l'utilizatori di sistemi bancari remoti in Russia è in certi paesi vicini.
1. Ugettivi
A campagna RTM hè destinata à l'utilizatori corporativi - questu hè ovvi da i prucessi chì l'attaccanti pruvate di detectà in un sistema cumprumissu. L'enfasi hè nantu à u software di cuntabilità per travaglià cù sistemi bancari remoti.
A lista di prucessi d'interessu à RTM s'assumiglia à a lista currispundente di u gruppu Buhtrap, ma i gruppi anu parechji vettori di infezzione. Se Buhtrap hà utilizatu pagine falsi più spessu, allora RTM hà utilizatu attacchi di scaricamentu drive-by (attacchi à u navigatore o i so cumpunenti) è spamming per email. Sicondu i dati di telemetria, a minaccia hè diretta à Russia è parechji paesi vicini (Ucraina, Kazakistan, Repubblica Ceca, Germania). In ogni casu, per via di l'usu di miccanismi di distribuzione di massa, a rilevazione di malware fora di e regioni di destinazione ùn hè micca surprisante.
U numeru tutale di rilevazioni di malware hè relativamente chjucu. Per d 'altra banda, a campagna RTM usa prugrammi cumplessi, chì indicanu chì l'attacchi sò assai mirati.
Avemu scupertu parechji documenti decoy utilizati da RTM, cumpresi cuntratti inesistenti, fatture o documenti di cuntabilità fiscale. A natura di i lures, cumminata cù u tipu di software destinatu à l'attaccu, indica chì l'attaccanti "entranu" in e rete di l'imprese russe attraversu u dipartimentu di cuntabilità. U gruppu hà agitu secondu u listessu schema in u 2014-2015
Durante a ricerca, pudemu interagisce cù parechji servitori C&C. Avemu da liste a lista completa di cumandamenti in i seguenti sezzioni, ma per avà pudemu dì chì u cliente trasferisce dati da u keylogger direttamente à u servitore attaccu, da quale cumandamenti supplementari sò allora ricevuti.
In ogni casu, i ghjorni chì puderebbenu simpliciamente cunnette à un servitore di cummandu è cuntrollu è raccoglie tutte e dati chì avete interessatu sò andati. Avemu ricreatu i schedarii di log realistichi per uttene alcuni cumandamenti pertinenti da u servitore.
U primu di elli hè una dumanda à u bot per trasfiriri u schedariu 1c_to_kl.txt - un schedariu di trasportu di u prugramma 1C: Enterprise 8, l'apparenza di quale hè attivamente monitoratu da RTM. 1C interagisce cù i sistemi bancari remoti carichendu dati nantu à i pagamenti in uscita in un schedariu di testu. Dopu, u schedariu hè mandatu à u sistema bancariu remoto per l'automatizazione è l'esekzione di l'ordine di pagamentu.
U schedariu cuntene i dettagli di pagamentu. Se l'attaccanti cambianu l'infurmazioni nantu à i pagamenti in uscita, u trasferimentu serà mandatu cù falsi dettagli à i cunti di l'attaccanti.
Circa un mesi dopu avè dumandatu questi schedari da u servitore di cumandamentu è cuntrollu, avemu osservatu un novu plugin, 1c_2_kl.dll, esse caricatu nantu à u sistema cumprumissu. U modulu (DLL) hè pensatu per analizà automaticamente u schedariu di scaricamentu penetrendu i prucessi di u software di cuntabilità. Avemu da discriverà in detail in i seguenti sezzioni.
Curiosamente, FinCERT di u Bancu di Russia à a fine di u 2016 hà publicatu un bulletin d'avvertimentu nantu à i cibercriminali chì utilizanu 1c_to_kl.txt upload files. I sviluppatori da 1C sanu ancu di stu schema; anu digià fattu una dichjarazione ufficiale è e precauzioni listate.
Altri moduli sò stati caricati ancu da u servitore di cumandamentu, in particulare VNC (i so versioni 32 è 64-bit). S'assumiglia à u modulu VNC chì era usatu prima in attacchi di Troia Dridex. Stu modulu hè suppostu utilizatu per cunnette remotamente à un computer infettatu è fà un studiu detallatu di u sistema. In seguitu, l'attaccanti pruvate di trasfurmà in a reta, estrattendu password di l'utilizatori, cullighjendu l'infurmazioni è assicurendu a presenza constante di malware.
2. Vettori di infezzjoni
A figura seguente mostra i vettori di infezzione rilevati durante u periodu di studiu di a campagna. U gruppu usa una larga gamma di vettori, ma principalmente attacchi di scaricamentu drive-by è spam. Questi strumenti sò convenienti per attacchi mirati, postu chì in u primu casu, l'attaccanti ponu selezziunà siti visitati da e vittimi potenziali, è in u sicondu, ponu mandà email cù attache direttamente à l'impiegati di a cumpagnia desiderata.
U malware hè distribuitu à traversu diversi canali, cumpresi RIG è Sundown exploit kits o spam mailings, chì indicanu cunnessione trà l'attaccanti è l'altri cyberattackers chì offrenu sti servizii.
2.1. Cumu sò RTM è Buhtrap ligati?
A campagna RTM hè assai simili à Buhtrap. A quistione naturali hè: cumu si sò ligati l'un à l'altru?
In settembre 2016, avemu osservatu una mostra RTM chì hè stata distribuita cù l'uploader Buhtrap. Inoltre, avemu trovu dui certificati digitale utilizati sia in Buhtrap sia in RTM.
U primu, presuntamente emessu à a cumpagnia DNISTER-M, hè stata utilizata per firmà digitalmente a seconda forma Delphi (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) è a Buhtrap DLL (SHA-1: 1E2642B454B2B889B) 6).
U sicondu, emessu à Bit-Tredj, hè stata utilizata per firmà i caricatori Buhtrap (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 è B74F71560E48488D2153AE2FB51207A0B206), è ancu i cumpunenti di scaricamentu è RTM.
L'operatori RTM utilizanu certificati chì sò cumuni à altre famiglie di malware, ma anu ancu un certificatu unicu. Sicondu a telemetria ESET, hè stata emessa à Kit-SD è hè stata solu utilizata per firmà qualchì malware RTM (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM usa u listessu caricatore cum'è Buhtrap, i cumpunenti RTM sò carricati da l'infrastruttura Buhtrap, perchè i gruppi anu indicatori di rete simili. In ogni casu, sicondu i nostri estimi, RTM è Buhtrap sò gruppi diffirenti, almenu perchè RTM hè distribuitu in modi diffirenti (micca solu cù un scaricatore "stranieru").
Malgradu questu, i gruppi di pirate utilizanu principii operativi simili. Sò destinati à l'imprese chì utilizanu software di contabilità, in modu simili di cullezzione di l'infurmazioni di u sistema, cercandu lettori di smart card, è implementendu una serie di strumenti maliziusi per spià e vittime.
3. Evoluzione
In questa rùbbrica, avemu da circà à e diverse versioni di malware truvati durante u studiu.
3.1. Versioning
RTM guarda i dati di cunfigurazione in una sezione di registru, a parte più interessante hè botnet-prefix. Una lista di tutti i valori chì avemu vistu in i campioni chì avemu studiatu hè prisentatu in a tabella sottu.
Hè pussibule chì i valori puderanu esse aduprati per registrà versioni di malware. Tuttavia, ùn avemu micca nutatu assai diffarenza trà e versioni cum'è bit2 è bit3, 0.1.6.4 è 0.1.6.6. Inoltre, unu di i prefissi hè statu dapoi u principiu è hà evolutu da un duminiu tipicu C & C à un duminiu .bit, cum'è serà mostratu quì sottu.
3.2. Schedule
Utilizendu dati di telemetria, avemu creatu un graficu di l'occurrence di campioni.
4. Analisi tecnica
In questa sezione, descriveremu e funzioni principali di u troianu bancariu RTM, cumpresi i miccanismi di resistenza, a so propria versione di l'algoritmu RC4, u protocolu di a rete, a funziunalità di spia è alcune altre funziunalità. In particulare, ci concentreremu nantu à i campioni SHA-1 AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 è 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. Installazione è salvezza
4.1.1. Implementazione
U core RTM hè una DLL, a biblioteca hè caricata nantu à u discu cù .EXE. U schedariu eseguibile hè generalmente imballatu è cuntene codice DLL. Una volta lanciata, estrae a DLL è u lancia cù u cumandimu seguente:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. DLL
A DLL principale hè sempre caricata à u discu cum'è winlogon.lnk in u cartulare %PROGRAMDATA%Winlogon. Questa estensione di u schedariu hè generalmente assuciata cù una scurciatoia, ma u schedariu hè veramente un DLL scrittu in Delphi, chjamatu core.dll da u sviluppatore, cum'è mostra in l'imaghjini sottu.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Una volta lanciata, u Troia attiva u so mecanismu di resistenza. Questu pò esse fattu in dui modi diffirenti, secondu i privilegi di a vittima in u sistema. Sì avete i diritti di amministratore, u Trojan aghjunghje una entrata di Windows Update à u registru HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun. I cumandamenti cuntenuti in Windows Update correranu à l'iniziu di a sessione di l'utilizatore.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe "%PROGRAMDATA%winlogon.lnk", DllGetClassObject host
U Trojan prova ancu di aghjunghje un compitu à u Windows Task Scheduler. U compitu lanciarà a DLL winlogon.lnk cù i stessi parametri cum'è sopra. I diritti di l'utilizatori rigulari permettenu à u Trojan per aghjunghje una voce di Windows Update cù i stessi dati à u registru HKCUSoftwareMicrosoftWindowsCurrentVersionRun:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Algoritmu RC4 mudificatu
Malgradu i so difetti cunnisciuti, l'algoritmu RC4 hè regularmente utilizatu da l'autori di malware. Tuttavia, i creatori di RTM l'hanu mudificatu ligeramente, probabilmente per fà u compitu di l'analista di virus più difficiule. Una versione modificata di RC4 hè largamente usata in l'utili RTM maliziusi per criptà strings, dati di rete, cunfigurazione è moduli.
4.2.1. Differenzi
L'algoritmu RC4 originale include duie fasi: inizializazione s-block (aka KSA - Key-Scheduling Algorithm) è generazione di sequenza pseudo-aleatoriu (PRGA - Pseudo-Random Generation Algorithm). A prima tappa implica l'inizializazione di a s-box cù a chjave, è in a seconda tappa u testu fonte hè processatu cù a s-box per a criptografia.
L'autori RTM aghjunghjenu un passu intermediu trà l'inizializazione s-box è a criptografia. A chjave supplementaria hè variabile è hè stallata à u stessu tempu chì i dati per esse criptati è decifrati. A funzione chì eseguisce stu passu supplementu hè mostrata in a figura sottu.
4.2.2. Criptazione di stringhe
À u primu sguardu, ci sò parechje linee leghjite in a DLL principale. U restu sò criptati cù l'algoritmu descrittu sopra, a struttura di quale hè mostrata in a figura seguente. Avemu trovu più di 25 chjavi RC4 differenti per a criptografia di stringa in i campioni analizati. A chjave XOR hè diversa per ogni fila. U valore di u campu numericu chì separanu e linee hè sempre 0xFFFFFFFF.
À u principiu di l'esekzione, RTM decrypts the strings in una variable globale. Quandu hè necessariu d'accede à una stringa, u troianu calcula dinamicamente l'indirizzu di e strings decrypted basatu annantu à l'indirizzu di basa è offset.
I strings cuntenenu infurmazioni interessanti nantu à e funzioni di u malware. Alcune stringhe di esempiu sò furnite in a Sezione 6.8.
4.3. Rete
A manera chì u malware RTM cuntatta u servitore C&C varieghja da versione à versione. I primi mudificazioni (uttobre 2015 - aprile 2016) anu utilizatu nomi di duminiu tradiziunale cù un feed RSS in livejournal.com per aghjurnà a lista di cumandamenti.
Da l'aprili 2016, avemu vistu un cambiamentu à i domini .bit in dati di telemetria. Questu hè cunfirmatu da a data di registrazione di u duminiu - u primu duminiu RTM fde05d0573da.bit hè statu registratu u 13 di marzu di u 2016.
Tutti l'URL chì avemu vistu mentre monitorava a campagna avianu un percorsu cumuni: /r/z.php. Hè abbastanza inusual è aiutarà à identificà e richieste RTM in i flussi di rete.
4.3.1. Canale per cumandamenti è cuntrollu
L'esempii legati anu utilizatu stu canale per aghjurnà a so lista di servitori di cummandu è cuntrollu. L'ospitu hè situatu in livejournal.com, à u mumentu di a scrittura di u rapportu, hè stata à l'URL hxxp://f72bba81c921(.)livejournal(.)com/data/rss.
Livejournal hè una cumpagnia russa-americana chì furnisce una piattaforma di blogging. L'operatori RTM creanu un blog LJ in quale pubblicanu un articulu cù cumandamenti codificati - vede screenshot.
E linee di cumandamentu è di cuntrollu sò codificate cù un algoritmu RC4 mudificatu (Section 4.2). A versione attuale (nuvembre 2016) di u canali cuntene i seguenti indirizzi di u servitore di cumandamentu è cuntrollu:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. duminii .bit
In i più recenti campioni RTM, l'autori cunnettanu à i domini C&C usendu u duminiu di primu livellu .bit TLD. Ùn hè micca nantu à a lista ICANN (Domain Name and Internet Corporation) di domini di primu livellu. Invece, usa u sistema Namecoin, chì hè custruitu nantu à a tecnulugia Bitcoin. L'autori di malware ùn anu micca spessu usatu u .bit TLD per i so domini, ancu s'è un esempiu di tali usu hè statu osservatu prima in una versione di a botnet Necurs.
A cuntrariu di Bitcoin, l'utilizatori di a basa di dati Namecoin distribuita anu a capacità di salvà dati. L'applicazioni principali di sta funzione hè u duminiu di u livellu .bit. Pudete registrà domini chì seranu guardati in una basa di dati distribuita. L'entrata currispundenti in a basa di dati cuntenenu l'indirizzi IP risolti da u duminiu. Stu TLD hè "resistente à a censura" perchè solu u registratu pò cambià a risoluzione di u duminiu .bit. Questu significa chì hè assai più difficiule di piantà un duminiu maliziusu cù stu tipu di TLD.
U Trojan RTM ùn incorpora micca u software necessariu per leghje a basa di dati Namecoin distribuita. Utiliza servitori DNS cintrali cum'è dns.dot-bit.org o servitori OpenNic per risolve i domini .bit. Dunque, hà a listessa durabilità cum'è i servitori DNS. Avemu osservatu chì certi domini di a squadra ùn sò più rilevati dopu esse citati in un blog post.
Un altru vantaghju di u .bit TLD per i pirate hè u costu. Per registrà un duminiu, l'operatori deve pagà solu 0,01 NK, chì currisponde à $ 0,00185 (da u 5 di dicembre di u 2016). Per paragunà, domain.com costa almenu $ 10.
4.3.3. Protocolu
Per cumunicà cù u servitore di cumandamentu è cuntrollu, RTM usa richieste HTTP POST cù dati furmatu cù un protokollu persunalizatu. U valore di a strada hè sempre /r/z.php; Agente d'utilizatore Mozilla/5.0 (compatibile; MSIE 9.0; Windows NT 6.1; Trident/5.0). In e dumande à u servitore, i dati sò furmatu cum'è seguitu, induve i valori di offset sò espressi in byte:
Bytes 0 à 6 ùn sò micca codificati; bytes partendu da 6 sò codificati cù un algoritmu RC4 mudificatu. A struttura di u pacchettu di risposta C&C hè più simplice. I byte sò codificati da 4 à a dimensione di pacchettu.
A lista di i pussibuli valori di byte d'azzione hè presentata in a tabella sottu:
U malware calcula sempre u CRC32 di i dati decriptati è paragunà cù ciò chì hè presente in u pacchettu. S'elli sò diffirenti, u Troia abbanduneghja u pacchettu.
I dati supplementari ponu cuntene parechji oggetti, cumpresu un schedariu PE, un schedariu per esse cercatu in u sistema di schedari, o novi URL di cumandamenti.
4.3.4. Panel
Avemu nutatu chì RTM usa un pannellu nantu à i servitori C&C. Screenshot quì sottu:
4.4. Segnu caratteristicu
RTM hè un tipicu Trojan bancariu. Ùn hè micca surprisa chì l'operatori volenu infurmazione nantu à u sistema di a vittima. Da una banda, u bot coglie infurmazione generale nantu à u SO. Per d 'altra banda, scopre se u sistema cumprumissu cuntene attributi assuciati à i sistemi bancari remoti russi.
4.4.1. Informazioni generale
Quandu u malware hè stallatu o lanciatu dopu un reboot, un rapportu hè mandatu à u servitore di cumandamentu è cuntrollu chì cuntene infurmazione generale cumpresa:
- Timezone;
- lingua predeterminata di u sistema;
- credenziali d'utilizatori autorizati;
- livellu di integrità di prucessu;
- Nome d'utilizatore;
- nome di l'urdinatore;
- versione OS;
- moduli installati supplementari;
- prugramma antivirus installatu;
- lista di lettori di smart card.
4.4.2 Sistema bancariu remoto
Un scopu tipicu di Troia hè un sistema bancariu remotu, è RTM ùn hè micca eccezzioni. Unu di i moduli di u prugramma hè chjamatu TBdo, chì esegue diverse attività, cumprese scanning disks è storia di navigazione.
Scannendu u discu, u Trojan verifica se u software bancariu hè stallatu nantu à a macchina. A lista completa di i prugrammi di destinazione hè in a tavula sottu. Dopu avè rilevatu un schedariu d'interessu, u prugramma manda infurmazione à u servitore di cumanda. L'azzioni prossime dipendenu da a logica specificata da l'algoritmi di u centru di cummandu (C & C).
RTM cerca ancu mudelli d'URL in a storia di u vostru navigatore è aprite tabulazioni. Inoltre, u prugramma esamina l'usu di e funzioni FindNextUrlCacheEntryA è FindFirstUrlCacheEntryA, è verifica ancu ogni entrata per currisponde à l'URL à unu di i seguenti mudelli:
Dopu avè rilevatu tabulazioni aperte, u troianu cuntatta Internet Explorer o Firefox per mezu di u mecanismu di scambiu di dati dinamichi (DDE) per verificà se a tabulazione currisponde à u mudellu.
A verificazione di a vostra storia di navigazione è e tabulazioni aperte hè realizatu in un ciclu WHILE (un ciclu cù una precondizione) cù una pausa di 1 seconda trà i cuntrolli. L'altri dati chì sò monitorati in tempu reale seranu discututi in a sezione 4.5.
Se si trova un mudellu, u prugramma informa questu à u servitore di cumandamenti utilizendu una lista di stringhe da a tabella seguente:
4.5 Surviglianza
Mentre chì u troianu hè in esecuzione, l'infurmazioni nantu à e caratteristiche caratteristiche di u sistema infettatu (cumpresa l'infurmazioni nantu à a presenza di software bancariu) hè mandatu à u servitore di cumandamentu è cuntrollu. L'impronta digitale si trova quandu RTM prima eseguisce u sistema di monitoraghju immediatamente dopu a scansione iniziale di u SO.
4.5.1. Banca remota
U modulu TBdo hè ancu rispunsevule per u monitoraghju di i prucessi bancari. Utiliza u scambiu dinamicu di dati per verificà e tabulazioni in Firefox è Internet Explorer durante a scansione iniziale. Un altru modulu TShell hè utilizatu per monitorà e finestre di cumanda (Internet Explorer o File Explorer).
U modulu usa l'interfacce COM IShellWindows, iWebBrowser, DWebBrowserEvents2 è IConnectionPointContainer per monitorà Windows. Quandu un utilizatore naviga in una nova pagina web, u malware nota questu. Allora compara l'URL di a pagina cù i mudelli sopra. Dopu avè rilevatu un match, u Trojan piglia sei screenshots consecutivi cù un intervallu di 5 seconde è li manda à u servitore di cumanda C&S. U prugramma verifica ancu alcuni nomi di finestra ligati à u software bancariu - a lista completa hè quì sottu:
4.5.2. Smart card
RTM permette di monitorà i lettori di smart card cunnessi à l'urdinatori infettati. Sti dispusitivi sò usati in certi paesi per cunciliari ordini di pagamentu. Se stu tipu di dispositivu hè attaccatu à un computer, puderia indicà à un Troia chì a macchina hè aduprata per transazzione bancaria.
A cuntrariu di altri troiani bancari, RTM ùn pò micca interagisce cù tali carte intelligenti. Forse sta funziunalità hè inclusa in un modulu supplementu chì ùn avemu micca vistu ancu.
4.5.3. Keylogger
Una parte impurtante di u monitoraghju di un PC infettatu hè di catturà i tasti. Sembra chì i sviluppatori RTM ùn mancanu nisuna infurmazione, postu chì monitoranu micca solu e chjave regulare, ma ancu u teclatu virtuale è u clipboard.
Per fà questu, utilizate a funzione SetWindowsHookExA. L'attaccanti registranu i chjavi pressati o i chjavi chì currispondenu à u teclatu virtuale, cù u nome è a data di u prugramma. U buffer hè dopu mandatu à u servitore di cumanda C&C.
A funzione SetClipboardViewer hè aduprata per intercepte u clipboard. Hackers registranu u cuntenutu di u clipboard quandu i dati sò testu. U nome è a data sò ancu registrati prima chì u buffer hè mandatu à u servitore.
4.5.4. Screenshots
Un'altra funzione RTM hè l'interception di screenshot. A funzione hè appiicata quandu u modulu di surviglianza di a finestra detecta un situ o un software bancariu d'interessu. I screenshots sò fatti cù una biblioteca di imaghjini grafichi è trasferiti à u servitore di cumandamentu.
4.6. Disinstallazione
U servitore C&C pò piantà u malware da correre è pulisce u vostru urdinatore. U cumandamentu permette di sguassà i fugliali è e voci di registru creati mentre RTM hè in esecuzione. U DLL hè allora utilizatu per sguassà u malware è u schedariu winlogon, dopu chì u cumandimu chjude l'urdinatore. Comu mostra in l'imaghjini sottu, a DLL hè eliminata da i sviluppatori chì utilizanu erase.dll.
U servitore pò mandà à u Trojan un cumandamentu distruttivu di uninstall-lock. In questu casu, se avete diritti di amministratore, RTM sguasserà u settore di boot MBR in u discu duru. Se questu falla, u Trojan hà da pruvà à trasfurmà u settore di boot MBR à un settore aleatoriu - allora l'urdinatore ùn serà micca capaci di inizià u SO dopu l'arrestu. Questu pò purtà à una reinstallazione cumpleta di u SO, chì significa a distruzzione di l'evidenza.
Senza privileggi di amministratore, u malware scrive un .EXE codificato in a DLL RTM sottostante. L'eseguibile eseguisce u codice necessariu per chjude l'urdinatore è registra u modulu in a chjave di registru HKCUCurrentVersionRun. Ogni volta chì l'utilizatore principia una sessione, l'urdinatore si ferma immediatamente.
4.7. U schedariu di cunfigurazione
Per automaticamente, RTM ùn hà quasi nisun schedariu di cunfigurazione, ma u servitore di cumanda è cuntrollu pò mandà valori di cunfigurazione chì seranu guardati in u registru è utilizatu da u prugramma. A lista di e chjave di cunfigurazione hè presentata in a tavula sottu:
A cunfigurazione hè guardata in a chjave di registru Software [Pseudo-random string]. Ogni valore currisponde à una di e fila prisentata in a tabella precedente. I valori è i dati sò codificati cù l'algoritmu RC4 in RTM.
I dati anu a listessa struttura cum'è una reta o strings. Una chjave XOR di quattru byte hè aghjuntu à u principiu di i dati codificati. Per i valori di cunfigurazione, a chjave XOR hè diversa è dipende da a dimensione di u valore. Pò esse calculatu cusì:
xor_key = (len (config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)
4.8. Altre funzioni
Dopu, fighjemu altre funzioni chì RTM sustene.
4.8.1. Moduli supplementari
U Trojan include moduli supplementari, chì sò schedarii DLL. I moduli mandati da u servitore di cumanda C&C ponu esse eseguiti cum'è prugrammi esterni, riflessi in RAM è lanciati in novi filamenti. Per l'almacenamiento, i moduli sò salvati in i schedarii .dtt è codificati cù l'algoritmu RC4 cù a listessa chjave utilizata per e cumunicazioni in rete.
Finu a ora avemu osservatu l'installazione di u modulu VNC (8966319882494077C21F66A8354E2CBCA0370464), u modulu di estrazione di dati di u navigatore (03DE8622BE6B2F75A364A275995C3411626C4D9E_1 è u modulu C2D1E_562) EFC1FBA69 B6BE58D88753B7E0CFAB).
Per carricà u modulu VNC, u servitore C&C emette un cumandamentu chì dumanda cunnessione à u servitore VNC à un indirizzu IP specificu in u portu 44443. U plugin di ricuperazione di dati di u navigatore eseguisce TBrowserDataCollector, chì pò leghje a storia di navigazione IE. Allora manda a lista completa di l'URL visitati à u servitore di cumanda C&C.
L'ultimu modulu scupertu hè chjamatu 1c_2_kl. Pò interagisce cù u pacchettu di software 1C Enterprise. U modulu include duie parte: a parte principale - DLL è dui agenti (32 è 64 bit), chì saranu injected in ogni prucessu, registrendu un vintu à WH_CBT. Dopu avè statu introduttu in u prucessu 1C, u modulu vince e funzioni CreateFile è WriteFile. Sempre chì a funzione ligata CreateFile hè chjamata, u modulu guarda a strada di u schedariu 1c_to_kl.txt in memoria. Dopu avè interceptatu a chjama di WriteFile, chjama a funzione WriteFile è manda u percorsu di u schedariu 1c_to_kl.txt à u modulu DLL principale, passendu u missaghju Windows WM_COPYDATA.
U modulu DLL principale apre è analizza u schedariu per determinà ordini di pagamentu. Ricunnosce a quantità è u numeru di transazzione cuntenuti in u schedariu. Sta infurmazione hè mandata à u servitore di cumanda. Cridemu chì stu modulu hè attualmente in sviluppu perchè cuntene un messagiu di debug è ùn pò micca mudificà automaticamente 1c_to_kl.txt.
4.8.2. Escalation de privilèges
RTM pò pruvà à scalate i privilegi affissendu falsi missaghji di errore. U malware simula una verificazione di u registru (vede a stampa sottu) o usa un veru icona di l'editore di registru. Per piacè nutate l'errore di spelling wait - what. Dopu à qualchi seconde di scanning, u prugrammu mostra un missaghju falsu errore.
Un missaghju falsu ingannarà facilmente l'utilizatore mediu, malgradu l'errori grammaticali. Se l'utilizatore clicche nantu à unu di i dui ligami, RTM pruvarà à scalate i so privilegi in u sistema.
Dopu avè sceltu una di e duie opzioni di ricuperazione, u Trojan lancia a DLL cù l'opzione runas in a funzione ShellExecute cù privilegi di amministratore. L'utilizatore vede un veru prompt di Windows (vede l'imagine sottu) per l'elevazione. Se l'utilizatore dà i permessi necessarii, u Trojan correrà cù privilegi di amministratore.
Sicondu a lingua predeterminata installata in u sistema, u Troia mostra messagi d'errore in russo o inglese.
4.8.3. Certificatu
RTM pò aghjunghje certificati à u Windows Store è cunfirmà l'affidabilità di l'aghjuntu clicchendu automaticamente u buttone "sì" in a finestra di dialogu csrss.exe. Stu cumpurtamentu ùn hè micca novu; per esempiu, u troianu bancariu Retefe cunfirma ancu indipindentamente a stallazione di un novu certificatu.
4.8.4. Cunnessione inversa
L'autori RTM anu ancu creatu u tunnel TCP Backconnect. Ùn avemu micca vistu a funzione in usu, ma hè pensata per monitorà remotamente i PC infettati.
4.8.5. Gestione di i schedari di l'ospiti
U servitore C&C pò mandà un cumandamentu à u Trojan per mudificà u schedariu di Windows host. U schedariu d'ospitu hè utilizatu per creà risoluzioni DNS persunalizati.
4.8.6. Truvate è mandate un schedariu
U servitore pò dumandà à circà è scaricà un schedariu nantu à u sistema infettatu. Per esempiu, durante a ricerca avemu ricevutu una dumanda per u schedariu 1c_to_kl.txt. Comu descrittu prima, stu schedariu hè generatu da u sistema di cuntabilità 1C: Enterprise 8.
4.8.7. Actualizazione
Infine, l'autori RTM ponu aghjurnà u software sottumettendu una nova DLL per rimpiazzà a versione attuale.
5. Chjave
A ricerca di RTM mostra chì u sistema bancariu russu sempre attrae ciber-attaccanti. Gruppi cum'è Buhtrap, Corkow è Carbanak furanu cù successu soldi da istituzioni finanziarii è i so clienti in Russia. RTM hè un novu attore in questa industria.
Strumenti RTM maliciosi sò stati in usu da almenu a fine di u 2015, secondu a telemetria ESET. U prugramma hà una gamma completa di capacità di spia, cumpresa a lettura di carte intelligenti, intercepting keystrokes è surviglianza di e transazzione bancaria, è ancu a ricerca di 1C: Enterprise 8 i schedari di trasportu.
L'usu di un duminiu .bit decentralizatu, senza censura, assicura una infrastruttura altamente resistente.
Source: www.habr.com