Existuje několik známých kybernetických skupin, které se specializují na krádeže finančních prostředků od ruských společností. Viděli jsme útoky využívající bezpečnostní mezery, které umožňují přístup do cílové sítě. Jakmile útočníci získají přístup, prostudují síťovou strukturu organizace a nasadí své vlastní nástroje ke krádeži finančních prostředků. Klasickým příkladem tohoto trendu jsou hackerské skupiny Buhtrap, Cobalt a Corkow.
Skupina RTM, na kterou se tato zpráva zaměřuje, je součástí tohoto trendu. Využívá speciálně navržený malware napsaný v Delphi, na který se podíváme podrobněji v následujících částech. První stopy těchto nástrojů v telemetrickém systému ESET byly objeveny na konci roku 2015. Tým podle potřeby nahraje do infikovaných systémů různé nové moduly. Útoky jsou zaměřeny na uživatele vzdálených bankovních systémů v Rusku a některých sousedních zemích.
1. Cíle
RTM kampaň je zaměřena na firemní uživatele – to je zřejmé z procesů, které se útočníci snaží v napadeném systému odhalit. Důraz je kladen na účetní software pro práci se vzdálenými bankovními systémy.
Seznam procesů zajímavých pro RTM se podobá odpovídajícímu seznamu skupiny Buhtrap, ale skupiny mají různé infekční vektory. Jestliže Buhtrap používal falešné stránky častěji, pak RTM využívalo drive-by download útoky (útoky na prohlížeč nebo jeho součásti) a spamování e-mailem. Podle telemetrických údajů je hrozba namířena proti Rusku a několika blízkým zemím (Ukrajina, Kazachstán, Česká republika, Německo). Vzhledem k použití mechanismů hromadné distribuce však není detekce malwaru mimo cílové regiony překvapivá.
Celkový počet detekcí malwaru je relativně malý. Na druhou stranu RTM kampaň využívá komplexní programy, což naznačuje, že útoky jsou vysoce cílené.
Objevili jsme několik návnadových dokumentů používaných RTM, včetně neexistujících smluv, faktur nebo daňových účetních dokladů. Povaha návnad v kombinaci s typem softwaru, na který je útok zaměřen, naznačuje, že útočníci „pronikají“ do sítí ruských společností prostřednictvím účetního oddělení. Skupina jednala podle stejného schématu v letech 2014-2015
Během výzkumu jsme byli schopni komunikovat s několika servery C&C. Úplný seznam příkazů uvedeme v následujících částech, ale prozatím můžeme říci, že klient přenáší data z keyloggeru přímo na útočící server, ze kterého jsou pak přijímány další příkazy.
Doby, kdy jste se mohli jednoduše připojit k příkazovému a řídicímu serveru a shromažďovat všechna data, která vás zajímala, jsou však pryč. Znovu jsme vytvořili realistické soubory protokolu, abychom získali některé relevantní příkazy ze serveru.
Prvním z nich je požadavek na bota, aby přenesl soubor 1c_to_kl.txt - transportní soubor programu 1C: Enterprise 8, jehož vzhled aktivně sleduje RTM. 1C spolupracuje se vzdálenými bankovními systémy nahráním dat o odchozích platbách do textového souboru. Dále je soubor odeslán do vzdáleného bankovního systému pro automatizaci a provedení platebního příkazu.
Soubor obsahuje platební údaje. Pokud útočníci změní informace o odchozích platbách, převod bude odeslán pomocí falešných údajů na účty útočníků.
Asi měsíc poté, co jsme si tyto soubory vyžádali z příkazového a řídicího serveru, jsme zaznamenali načítání nového pluginu 1c_2_kl.dll do kompromitovaného systému. Modul (DLL) je navržen tak, aby automaticky analyzoval stažený soubor pronikáním do procesů účetního softwaru. Podrobně jej popíšeme v následujících částech.
Zajímavé je, že FinCERT z Ruské banky vydal na konci roku 2016 bulletin s varováním před kyberzločinci, kteří používají soubory 1c_to_kl.txt na nahrávání. O tomto schématu vědí také vývojáři z 1C, kteří již učinili oficiální prohlášení a uvedli opatření.
Z příkazového serveru byly nahrány i další moduly, zejména VNC (jeho 32 a 64bitové verze). Podobá se modulu VNC, který byl dříve používán při útocích na trojské koně Dridex. Tento modul se údajně používá pro vzdálené připojení k infikovanému počítači a provedení podrobné studie systému. Dále se útočníci snaží pohybovat po síti, získávat uživatelská hesla, shromažďovat informace a zajišťovat stálou přítomnost malwaru.
2. Vektory infekce
Následující obrázek ukazuje infekční vektory detekované během studijního období kampaně. Skupina využívá širokou škálu vektorů, ale hlavně útoky typu drive-by download a spam. Tyto nástroje jsou vhodné pro cílené útoky, protože v prvním případě si útočníci mohou vybrat stránky navštěvované potenciálními oběťmi a ve druhém mohou posílat e-maily s přílohami přímo požadovaným zaměstnancům společnosti.
Malware je distribuován prostřednictvím více kanálů, včetně RIG a Sundown exploit kitů nebo spamových e-mailů, což naznačuje spojení mezi útočníky a dalšími kyberútočníky nabízejícími tyto služby.
2.1. Jak souvisí RTM a Buhtrap?
RTM kampaň je velmi podobná Buhtrapu. Přirozená otázka zní: jak spolu souvisí?
V září 2016 jsme pozorovali distribuci vzorku RTM pomocí Buhtrap uploaderu. Navíc jsme našli dva digitální certifikáty používané v Buhtrap i RTM.
První, údajně vydaný společnosti DNISTER-M, byl použit k digitálnímu podepsání druhého formuláře Delphi (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) a Buhtrap DLL (SHA-1: 1E2642B454B2F889C6D41116F83C ).
Druhý, vydaný společnosti Bit-Tredj, byl použit k podepsání zavaděčů Buhtrap (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 a B74F71560E48488D2153AE2FB51207A0C206 ke stažení jako well.TME2BAC).
Operátoři RTM používají certifikáty, které jsou společné pro jiné rodiny malwaru, ale mají také jedinečný certifikát. Podle telemetrie ESET byl vydán pro Kit-SD a byl použit pouze k podepsání některého RTM malwaru (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM používá stejný zavaděč jako Buhtrap, komponenty RTM se načítají z infrastruktury Buhtrap, takže skupiny mají podobné síťové indikátory. Podle našich odhadů jsou však RTM a Buhtrap odlišné skupiny, přinejmenším proto, že RTM je distribuováno různými způsoby (nejen pomocí „cizího“ downloaderu).
Navzdory tomu skupiny hackerů používají podobné principy fungování. Zaměřují se na podniky, které používají účetní software, podobně sbírají systémové informace, vyhledávají čtečky čipových karet a nasazují řadu škodlivých nástrojů ke špehování obětí.
3. Evoluce
V této části se podíváme na různé verze malwaru nalezené během studie.
3.1. Verzování
RTM ukládá konfigurační data do sekce registru, nejzajímavější částí je botnet-prefix. Seznam všech hodnot, které jsme viděli ve vzorcích, které jsme studovali, je uveden v tabulce níže.
Je možné, že hodnoty by mohly být použity k zaznamenání verzí malwaru. Mezi verzemi jako bit2 a bit3, 0.1.6.4 a 0.1.6.6 jsme však nezaznamenali velký rozdíl. Navíc jedna z předpon existuje od začátku a vyvinula se z typické domény C&C na doménu .bit, jak bude ukázáno níže.
3.2. Plán
Pomocí telemetrických dat jsme vytvořili graf výskytu vzorků.
4. Technická analýza
V této části popíšeme hlavní funkce bankovního trojského koně RTM, včetně mechanismů odolnosti, vlastní verze algoritmu RC4, síťového protokolu, funkce špehování a některých dalších funkcí. Konkrétně se zaměříme na vzorky SHA-1 AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 a 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. Instalace a uložení
4.1.1. Implementace
Jádro RTM je DLL, knihovna se nahrává na disk pomocí .EXE. Spustitelný soubor je obvykle zabalen a obsahuje kód DLL. Po spuštění extrahuje DLL a spustí ji pomocí následujícího příkazu:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. DLL
Hlavní knihovna DLL je vždy načtena na disk jako winlogon.lnk ve složce %PROGRAMDATA%Winlogon. Tato přípona souboru je obvykle spojena se zkratkou, ale soubor je ve skutečnosti DLL napsaná v Delphi, pojmenovaná vývojářem core.dll, jak je znázorněno na obrázku níže.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Po spuštění trojský kůň aktivuje svůj odporový mechanismus. To lze provést dvěma různými způsoby v závislosti na privilegiích oběti v systému. Pokud máte práva správce, trojský kůň přidá položku Windows Update do registru HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun. Příkazy obsažené ve službě Windows Update se spustí na začátku relace uživatele.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe „%PROGRAMDATA%winlogon.lnk“, hostitel DllGetClassObject
Trojský kůň se také pokusí přidat úlohu do Plánovače úloh systému Windows. Úloha spustí DLL winlogon.lnk se stejnými parametry jako výše. Běžná uživatelská práva umožňují trojskému koni přidat položku Windows Update se stejnými daty do registru HKCUSoftwareMicrosoftWindowsCurrentVersionRun:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Upravený algoritmus RC4
Navzdory známým nedostatkům je algoritmus RC4 pravidelně používán autory malwaru. Tvůrci RTM jej však mírně upravili, pravděpodobně proto, aby ztížili úkol virových analytiků. Upravená verze RC4 je široce používána ve škodlivých nástrojích RTM k šifrování řetězců, síťových dat, konfigurace a modulů.
4.2.1. Rozdíly
Původní algoritmus RC4 zahrnuje dvě fáze: inicializaci s-bloku (aka KSA - Key-Scheduling Algorithm) a generování pseudonáhodné sekvence (PRGA - Pseudo-Random Generation Algorithm). První fáze zahrnuje inicializaci s-boxu pomocí klíče a ve druhé fázi je zdrojový text zpracován pomocí s-boxu pro šifrování.
Autoři RTM přidali mezikrok mezi inicializací s-boxu a šifrováním. Dodatečný klíč je variabilní a nastavuje se současně s daty, která mají být šifrována a dešifrována. Funkce, která provádí tento dodatečný krok, je znázorněna na obrázku níže.
4.2.2. Řetězcové šifrování
Na první pohled je v hlavní DLL několik čitelných řádků. Zbytek je zašifrován pomocí výše popsaného algoritmu, jehož struktura je znázorněna na následujícím obrázku. V analyzovaných vzorcích jsme našli více než 25 různých klíčů RC4 pro šifrování řetězců. Klávesa XOR je pro každý řádek jiná. Hodnota číselného pole oddělujícího řádky je vždy 0xFFFFFFFF.
Na začátku provádění RTM dešifruje řetězce do globální proměnné. V případě potřeby přístupu k řetězci trojský kůň dynamicky vypočítá adresu dešifrovaných řetězců na základě základní adresy a offsetu.
Řetězce obsahují zajímavé informace o funkcích malwaru. Některé příklady řetězců jsou uvedeny v části 6.8.
4.3. Síť
Způsob, jakým malware RTM kontaktuje server C&C, se liší od verze k verzi. První úpravy (říjen 2015 – duben 2016) používaly tradiční názvy domén spolu s RSS kanálem na livejournal.com k aktualizaci seznamu příkazů.
Od dubna 2016 zaznamenáváme v telemetrických datech posun k doménám .bit. Potvrzuje to datum registrace domény – první RTM doména fde05d0573da.bit byla zaregistrována 13. března 2016.
Všechny adresy URL, které jsme viděli při sledování kampaně, měly společnou cestu: /r/z.php. Je to docela neobvyklé a pomůže to identifikovat požadavky RTM v síťových tocích.
4.3.1. Kanál pro příkazy a ovládání
Starší příklady využívaly tento kanál k aktualizaci jejich seznamu příkazových a řídicích serverů. Hosting je umístěn na livejournal.com, v době psaní zprávy zůstával na URL hxxp://f72bba81c921(.)livejournal(.)com/data/rss.
Livejournal je rusko-americká společnost, která poskytuje platformu pro blogování. Operátoři RTM vytvoří blog LJ, do kterého zveřejní článek s kódovanými příkazy – viz snímek obrazovky.
Příkazové a řídicí řádky jsou kódovány pomocí upraveného algoritmu RC4 (oddíl 4.2). Aktuální verze (listopad 2016) kanálu obsahuje následující adresy příkazového a řídicího serveru:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. .bit domény
V nejnovějších ukázkách RTM se autoři připojují k doménám C&C pomocí domény nejvyšší úrovně .bit TLD. Není na seznamu domén nejvyšší úrovně ICANN (Domain Name and Internet Corporation). Místo toho používá systém Namecoin, který je postaven na technologii bitcoinů. Autoři malwaru často nepoužívají TLD .bit pro své domény, ačkoli příklad takového použití byl již dříve pozorován ve verzi botnetu Necurs.
Na rozdíl od bitcoinu mají uživatelé distribuované databáze Namecoin možnost ukládat data. Hlavní aplikací této funkce je doména nejvyšší úrovně .bit. Můžete registrovat domény, které budou uloženy v distribuované databázi. Odpovídající položky v databázi obsahují IP adresy rozlišené doménou. Tato TLD je „odolná proti cenzuře“, protože pouze registrující osoba může změnit rozlišení domény .bit. To znamená, že je mnohem obtížnější zastavit škodlivou doménu pomocí tohoto typu TLD.
Trojan RTM nevkládá software nezbytný ke čtení distribuované databáze Namecoin. K překladu domén .bit používá centrální servery DNS, jako jsou servery dns.dot-bit.org nebo OpenNic. Proto má stejnou odolnost jako servery DNS. Zjistili jsme, že některé týmové domény již nebyly detekovány poté, co byly zmíněny v příspěvku na blogu.
Další výhodou .bit TLD pro hackery je cena. Za registraci domény musí provozovatelé zaplatit pouze 0,01 NK, což odpovídá 0,00185 USD (k 5. prosinci 2016). Pro srovnání, domain.com stojí minimálně 10 $.
4.3.3. Protokol
Pro komunikaci s příkazovým a řídicím serverem používá RTM požadavky HTTP POST s daty formátovanými pomocí vlastního protokolu. Hodnota cesty je vždy /r/z.php; Uživatelský agent Mozilla/5.0 (kompatibilní; MSIE 9.0; Windows NT 6.1; Trident/5.0). V požadavcích na server jsou data formátována následovně, kde hodnoty offsetu jsou vyjádřeny v bajtech:
Bajty 0 až 6 nejsou kódovány; bajty začínající od 6 jsou kódovány pomocí modifikovaného algoritmu RC4. Struktura paketu odpovědi C&C je jednodušší. Bajty jsou kódovány od 4 do velikosti paketu.
Seznam možných hodnot akčních bajtů je uveden v tabulce níže:
Malware vždy vypočítá CRC32 dešifrovaných dat a porovná je s tím, co je přítomno v paketu. Pokud se liší, trojský kůň paket zahodí.
Další data mohou obsahovat různé objekty, včetně souboru PE, souboru, který se má prohledávat v systému souborů, nebo nových adres URL příkazů.
4.3.4. Panel
Všimli jsme si, že RTM používá panel na serverech C&C. Snímek obrazovky níže:
4.4. Charakteristický znak
RTM je typický bankovní trojan. Není žádným překvapením, že operátoři chtějí informace o systému oběti. Na jedné straně bot shromažďuje obecné informace o OS. Na druhou stranu zjišťuje, zda napadený systém obsahuje atributy spojené s ruskými vzdálenými bankovními systémy.
4.4.1. Obecné informace
Když je malware nainstalován nebo spuštěn po restartu, je na příkazový a řídicí server odeslána zpráva obsahující obecné informace včetně:
- Časové pásmo;
- výchozí jazyk systému;
- pověření oprávněného uživatele;
- úroveň integrity procesu;
- uživatelské jméno;
- název počítače;
- verze OS;
- další instalované moduly;
- nainstalovaný antivirový program;
- seznam čteček čipových karet.
4.4.2 Vzdálený bankovní systém
Typickým cílem trojského koně je vzdálený bankovní systém a RTM není výjimkou. Jeden z modulů programu se nazývá TBdo, který provádí různé úkoly, včetně skenování disků a historie prohlížení.
Naskenováním disku trojský kůň zkontroluje, zda je v počítači nainstalován bankovní software. Úplný seznam cílových programů je v tabulce níže. Po zjištění požadovaného souboru program odešle informace na příkazový server. Další akce závisí na logice určené algoritmy řídicího centra (C&C).
RTM také hledá vzory adres URL v historii prohlížeče a otevřených kartách. Kromě toho program prověřuje použití funkcí FindNextUrlCacheEntryA a FindFirstUrlCacheEntryA a také kontroluje každou položku, zda odpovídá URL jednomu z následujících vzorů:
Po zjištění otevřených karet trojský kůň kontaktuje Internet Explorer nebo Firefox prostřednictvím mechanismu Dynamic Data Exchange (DDE), aby zkontroloval, zda karta odpovídá vzoru.
Kontrola historie procházení a otevřených karet se provádí ve smyčce WHILE (smyčka s předběžnou podmínkou) s 1 sekundovou přestávkou mezi kontrolami. Další data, která jsou monitorována v reálném čase, budou popsána v části 4.5.
Pokud je vzor nalezen, program to oznámí příkazovému serveru pomocí seznamu řetězců z následující tabulky:
4.5 Monitorování
Během běhu trojského koně jsou na příkazový a řídicí server odesílány informace o charakteristických vlastnostech infikovaného systému (včetně informací o přítomnosti bankovního softwaru). K otiskům prstů dochází, když RTM poprvé spustí monitorovací systém ihned po počátečním skenování operačního systému.
4.5.1. Vzdálené bankovnictví
Modul TBdo je také zodpovědný za sledování procesů souvisejících s bankovnictvím. Používá dynamickou výměnu dat ke kontrole karet ve Firefoxu a Internet Exploreru během počáteční kontroly. Další modul TShell slouží ke sledování příkazových oken (Internet Explorer nebo File Explorer).
Modul využívá COM rozhraní IShellWindows, iWebBrowser, DWebBrowserEvents2 a IConnectionPointContainer ke sledování oken. Když uživatel přejde na novou webovou stránku, malware to zaznamená. Poté porovná adresu URL stránky s výše uvedenými vzory. Po zjištění shody trojský kůň pořídí šest po sobě jdoucích snímků obrazovky v intervalu 5 sekund a odešle je na příkazový server C&S. Program také kontroluje některá jména oken souvisejících s bankovním softwarem - úplný seznam je níže:
4.5.2. Chytrá karta
RTM umožňuje sledovat čtečky čipových karet připojené k infikovaným počítačům. Tato zařízení se v některých zemích používají k odsouhlasení platebních příkazů. Pokud je tento typ zařízení připojen k počítači, může trojskému koni indikovat, že je stroj používán pro bankovní transakce.
Na rozdíl od jiných bankovních trojských koní nemůže RTM s takovými čipovými kartami komunikovat. Možná je tato funkce obsažena v přídavném modulu, který jsme ještě neviděli.
4.5.3. Keylogger
Důležitou součástí monitorování infikovaného PC je zachytávání stisku kláves. Zdá se, že vývojářům RTM nechybí žádné informace, protože sledují nejen běžné klávesy, ale také virtuální klávesnici a schránku.
K tomu použijte funkci SetWindowsHookExA. Útočníci zaznamenávají stisknuté klávesy nebo klávesy odpovídající virtuální klávesnici spolu s názvem a datem programu. Vyrovnávací paměť je poté odeslána na příkazový server C&C.
Funkce SetClipboardViewer slouží k zachycení schránky. Hackeři zaznamenávají obsah schránky, když jsou data textová. Jméno a datum se také zaprotokolují před odesláním vyrovnávací paměti na server.
4.5.4. Snímky obrazovky
Další funkcí RTM je zachycení snímku obrazovky. Tato funkce se použije, když modul monitorování oken detekuje web nebo bankovní software, který vás zajímá. Snímky obrazovky jsou pořizovány pomocí knihovny grafických obrázků a přenášeny na příkazový server.
4.6. Odinstalace
Server C&C může zastavit spouštění malwaru a vyčistit váš počítač. Příkaz umožňuje vymazat soubory a položky registru vytvořené při spuštěném RTM. DLL se pak použije k odstranění malwaru a souboru winlogon, načež příkaz vypne počítač. Jak je znázorněno na obrázku níže, DLL je odstraněna vývojáři pomocí erase.dll.
Server může trojskému koni poslat destruktivní příkaz odinstalovat-uzamknout. V tomto případě, pokud máte práva správce, RTM smaže spouštěcí sektor MBR na pevném disku. Pokud se to nezdaří, trojský kůň se pokusí posunout spouštěcí sektor MBR na náhodný sektor - počítač pak nebude moci po vypnutí zavést operační systém. To může vést k úplné reinstalaci OS, což znamená zničení důkazů.
Bez administrátorských práv zapíše malware soubor .EXE zakódovaný v základní RTM DLL. Spustitelný soubor spustí kód potřebný k vypnutí počítače a zaregistruje modul do klíče registru HKCUCurrentVersionRun. Pokaždé, když uživatel zahájí relaci, počítač se okamžitě vypne.
4.7. Konfigurační soubor
Ve výchozím nastavení nemá RTM téměř žádný konfigurační soubor, ale příkazový a řídicí server může odesílat konfigurační hodnoty, které budou uloženy v registru a použity programem. Seznam konfiguračních klíčů je uveden v tabulce níže:
Konfigurace je uložena v klíči registru Software [Pseudo-random string]. Každá hodnota odpovídá jednomu z řádků uvedených v předchozí tabulce. Hodnoty a data jsou kódována pomocí algoritmu RC4 v RTM.
Data mají stejnou strukturu jako síť nebo řetězce. Na začátek kódovaných dat je přidán čtyřbajtový klíč XOR. U konfiguračních hodnot je klíč XOR odlišný a závisí na velikosti hodnoty. Lze jej vypočítat následovně:
xor_key = (délka(hodnota_konfigurace) << 24) | (len(config_value) << 16)
| len(hodnota_konfigurace)| (len(config_value) << 8)
4.8. Další funkce
Dále se podívejme na další funkce, které RTM podporuje.
4.8.1. Přídavné moduly
Trojan obsahuje další moduly, což jsou soubory DLL. Moduly odeslané z příkazového serveru C&C lze spouštět jako externí programy, odrážet se v paměti RAM a spouštět v nových vláknech. Pro ukládání jsou moduly uloženy v souborech .dtt a zakódovány pomocí algoritmu RC4 se stejným klíčem, jaký se používá pro síťovou komunikaci.
Doposud jsme pozorovali instalaci modulu VNC (8966319882494077C21F66A8354E2CBCA0370464), modulu pro extrakci dat prohlížeče (03DE8622BE6B2F75A364A275995C3411626C4EF_9 modul F1C2_1B562E1F) FBA69 B6BE58D88753B7E0CFAB).
K načtení modulu VNC vydá server C&C příkaz požadující připojení k serveru VNC na konkrétní IP adrese na portu 44443. Zásuvný modul pro načítání dat prohlížeče spustí TBrowserDataCollector, který dokáže číst historii procházení IE. Poté odešle úplný seznam navštívených URL na příkazový server C&C.
Poslední objevený modul se nazývá 1c_2_kl. Může komunikovat se softwarovým balíčkem 1C Enterprise. Modul obsahuje dvě části: hlavní část - DLL a dva agenty (32 a 64 bit), kteří budou vloženi do každého procesu a registrují vazbu na WH_CBT. Po zavedení do procesu 1C modul váže funkce CreateFile a WriteFile. Kdykoli je volána funkce CreateFile bound, modul uloží cestu k souboru 1c_to_kl.txt do paměti. Po zachycení volání WriteFile zavolá funkci WriteFile a odešle cestu k souboru 1c_to_kl.txt do hlavního modulu DLL a předá mu vytvořenou zprávu Windows WM_COPYDATA.
Hlavní modul DLL otevře a analyzuje soubor pro určení platebních příkazů. Rozpoznává částku a číslo transakce obsažené v souboru. Tyto informace jsou odeslány na příkazový server. Domníváme se, že tento modul je aktuálně ve vývoji, protože obsahuje ladicí zprávu a nemůže automaticky upravit 1c_to_kl.txt.
4.8.2. Eskalace privilegií
RTM se může pokusit eskalovat oprávnění zobrazením falešných chybových zpráv. Malware simuluje kontrolu registru (viz obrázek níže) nebo používá skutečnou ikonu editoru registru. Všimněte si prosím překlepu wait – what. Po několika sekundách skenování program zobrazí falešnou chybovou zprávu.
Falešná zpráva běžného uživatele snadno oklame, a to i přes gramatické chyby. Pokud uživatel klikne na jeden ze dvou odkazů, RTM se pokusí eskalovat svá oprávnění v systému.
Po výběru jedné ze dvou možností obnovy trojský kůň spustí DLL pomocí možnosti runas ve funkci ShellExecute s právy správce. Uživatel uvidí skutečnou výzvu Windows (viz obrázek níže) pro zvýšení výšky. Pokud uživatel udělí potřebná oprávnění, trojský kůň bude spuštěn s právy správce.
V závislosti na výchozím jazyce nainstalovaném v systému trojský kůň zobrazuje chybové zprávy v ruštině nebo angličtině.
4.8.3. Certifikát
RTM může přidat certifikáty do Windows Store a potvrdit spolehlivost přidání automatickým kliknutím na tlačítko „ano“ v dialogovém okně csrss.exe. Toto chování není nové, například bankovní Trojan Retefe nezávisle potvrzuje instalaci nového certifikátu.
4.8.4. Reverzní zapojení
Autoři RTM také vytvořili tunel Backconnect TCP. Zatím jsme tuto funkci neviděli, ale je navržena pro vzdálené sledování infikovaných počítačů.
4.8.5. Správa hostitelských souborů
Server C&C může trojskému koni poslat příkaz k úpravě hostitelského souboru Windows. Hostitelský soubor se používá k vytváření vlastních překladů DNS.
4.8.6. Najděte a odešlete soubor
Server může požádat o vyhledání a stažení souboru v infikovaném systému. Během výzkumu jsme například dostali požadavek na soubor 1c_to_kl.txt. Jak bylo popsáno dříve, tento soubor je generován účetním systémem 1C: Enterprise 8.
4.8.7. Aktualizace
Nakonec mohou autoři RTM aktualizovat software odesláním nové knihovny DLL, která nahradí aktuální verzi.
5. Závěr
Výzkum RTM ukazuje, že ruský bankovní systém stále přitahuje kybernetické útočníky. Skupiny jako Buhtrap, Corkow a Carbanak úspěšně kradou peníze od finančních institucí a jejich klientů v Rusku. RTM je novým hráčem v tomto odvětví.
Podle telemetrie ESET se škodlivé nástroje RTM používají minimálně od konce roku 2015. Program má celou řadu možností špehování, včetně čtení čipových karet, zachycování stisku kláves a sledování bankovních transakcí, stejně jako vyhledávání transportních souborů 1C: Enterprise 8.
Použití decentralizované, necenzurované domény nejvyšší úrovně .bit zajišťuje vysoce odolnou infrastrukturu.
Zdroj: www.habr.com