Mae yna nifer o grwpiau seiber hysbys sy'n arbenigo mewn dwyn arian gan gwmnïau Rwsia. Rydym wedi gweld ymosodiadau gan ddefnyddio bylchau diogelwch sy'n caniatáu mynediad i rwydwaith y targed. Ar ôl iddynt gael mynediad, mae ymosodwyr yn astudio strwythur rhwydwaith y sefydliad ac yn defnyddio eu hoffer eu hunain i ddwyn arian. Enghraifft glasurol o'r duedd hon yw'r grwpiau haciwr Buhtrap, Cobalt a Corkow.
Mae'r grŵp RTM y mae'r adroddiad hwn yn canolbwyntio arno yn rhan o'r duedd hon. Mae'n defnyddio meddalwedd maleisus wedi'i ddylunio'n arbennig a ysgrifennwyd yn Delphi, y byddwn yn edrych arno'n fanylach yn yr adrannau canlynol. Darganfuwyd olion cyntaf yr offer hyn yn system telemetreg ESET ar ddiwedd 2015. Mae'r tîm yn llwytho amrywiol fodiwlau newydd ar systemau heintiedig yn ôl yr angen. Mae'r ymosodiadau wedi'u hanelu at ddefnyddwyr systemau bancio o bell yn Rwsia a rhai gwledydd cyfagos.
1. Amcanion
Mae'r ymgyrch RTM wedi'i anelu at ddefnyddwyr corfforaethol - mae hyn yn amlwg o'r prosesau y mae ymosodwyr yn ceisio eu canfod mewn system gyfaddawdu. Mae'r ffocws ar feddalwedd cyfrifo ar gyfer gweithio gyda systemau bancio o bell.
Mae'r rhestr o brosesau sydd o ddiddordeb i RTM yn debyg i restr gyfatebol grŵp Buhtrap, ond mae gan y grwpiau fectorau haint gwahanol. Pe bai Buhtrap yn defnyddio tudalennau ffug yn amlach, yna roedd RTM yn defnyddio ymosodiadau llwytho i lawr gyrru heibio (ymosodiadau ar y porwr neu ei gydrannau) a sbamio trwy e-bost. Yn ôl data telemetreg, mae'r bygythiad wedi'i anelu at Rwsia a nifer o wledydd cyfagos (Wcráin, Kazakhstan, Gweriniaeth Tsiec, yr Almaen). Fodd bynnag, oherwydd y defnydd o fecanweithiau dosbarthu màs, nid yw canfod malware y tu allan i'r rhanbarthau targed yn syndod.
Mae cyfanswm nifer y darganfyddiadau malware yn gymharol fach. Ar y llaw arall, mae'r ymgyrch RTM yn defnyddio rhaglenni cymhleth, sy'n nodi bod yr ymosodiadau wedi'u targedu'n fawr.
Rydym wedi darganfod nifer o ddogfennau dadgoe a ddefnyddir gan RTM, gan gynnwys contractau nad ydynt yn bodoli, anfonebau neu ddogfennau cyfrifyddu treth. Mae natur y llithiau, ynghyd â'r math o feddalwedd a dargedwyd gan yr ymosodiad, yn dangos bod yr ymosodwyr yn “mynd i mewn” i rwydweithiau cwmnïau Rwsia trwy'r adran gyfrifyddu. Gweithredodd y grŵp yn unol â'r un cynllun yn 2014-2015
Yn ystod yr ymchwil, roeddem yn gallu rhyngweithio â sawl gweinydd C&C. Byddwn yn rhestru'r rhestr lawn o orchmynion yn yr adrannau canlynol, ond am y tro gallwn ddweud bod y cleient yn trosglwyddo data o'r keylogger yn uniongyrchol i'r gweinydd ymosod, y derbynnir gorchmynion ychwanegol ohono wedyn.
Fodd bynnag, mae'r dyddiau pan allech chi gysylltu â gweinydd gorchymyn a rheoli a chasglu'r holl ddata yr oedd gennych ddiddordeb ynddo wedi diflannu. Fe wnaethom ail-greu ffeiliau log realistig i gael rhai gorchmynion perthnasol gan y gweinydd.
Y cyntaf ohonynt yw cais i'r bot i drosglwyddo'r ffeil 1c_to_kl.txt - ffeil gludo o'r rhaglen 1C: Enterprise 8, y mae ei golwg yn cael ei fonitro'n weithredol gan RTM. Mae 1C yn rhyngweithio â systemau bancio o bell trwy uwchlwytho data ar daliadau sy'n mynd allan i ffeil testun. Nesaf, anfonir y ffeil i'r system fancio o bell ar gyfer awtomeiddio a gweithredu'r gorchymyn talu.
Mae'r ffeil yn cynnwys manylion talu. Os bydd ymosodwyr yn newid y wybodaeth am daliadau sy'n mynd allan, bydd y trosglwyddiad yn cael ei anfon gan ddefnyddio manylion ffug i gyfrifon yr ymosodwyr.
Tua mis ar ôl gofyn am y ffeiliau hyn gan y gweinydd gorchymyn a rheoli, gwelsom ategyn newydd, 1c_2_kl.dll, yn cael ei lwytho i'r system dan fygythiad. Mae'r modiwl (DLL) wedi'i gynllunio i ddadansoddi'r ffeil llwytho i lawr yn awtomatig trwy dreiddio i'r prosesau meddalwedd cyfrifo. Byddwn yn ei ddisgrifio'n fanwl yn yr adrannau canlynol.
Yn ddiddorol, cyhoeddodd FinCERT o Fanc Rwsia ar ddiwedd 2016 rybudd bwletin am seiberdroseddwyr gan ddefnyddio ffeiliau uwchlwytho 1c_to_kl.txt. Mae datblygwyr o 1C hefyd yn gwybod am y cynllun hwn; maent eisoes wedi gwneud datganiad swyddogol ac wedi rhestru rhagofalon.
Llwythwyd modiwlau eraill hefyd o'r gweinydd gorchymyn, yn enwedig VNC (ei fersiynau 32 a 64-bit). Mae'n debyg i'r modiwl VNC a ddefnyddiwyd yn flaenorol mewn ymosodiadau Dridex Trojan. Mae'n debyg bod y modiwl hwn yn cael ei ddefnyddio i gysylltu o bell â chyfrifiadur heintiedig a chynnal astudiaeth fanwl o'r system. Nesaf, mae'r ymosodwyr yn ceisio symud o gwmpas y rhwydwaith, gan dynnu cyfrineiriau defnyddwyr, casglu gwybodaeth a sicrhau presenoldeb cyson malware.
2. Fectorau haint
Mae'r ffigur canlynol yn dangos y fectorau haint a ganfuwyd yn ystod cyfnod astudio'r ymgyrch. Mae'r grŵp yn defnyddio ystod eang o fectorau, ond yn bennaf ymosodiadau llwytho i lawr gyrru heibio a sbam. Mae'r offer hyn yn gyfleus ar gyfer ymosodiadau wedi'u targedu, oherwydd yn yr achos cyntaf, gall ymosodwyr ddewis safleoedd y mae darpar ddioddefwyr yn ymweld â nhw, ac yn yr ail, gallant anfon e-bost gydag atodiadau yn uniongyrchol at weithwyr y cwmni a ddymunir.
Mae'r malware yn cael ei ddosbarthu trwy sawl sianel, gan gynnwys pecynnau ecsbloetio RIG a Sundown neu bostio sbam, gan nodi cysylltiadau rhwng yr ymosodwyr a seibr ymosodwyr eraill sy'n cynnig y gwasanaethau hyn.
2.1. Sut mae RTM a Buhtrap yn gysylltiedig?
Mae'r ymgyrch RTM yn debyg iawn i Buhtrap. Y cwestiwn naturiol yw: sut maen nhw'n perthyn i'w gilydd?
Ym mis Medi 2016, gwelsom sampl RTM yn cael ei ddosbarthu gan ddefnyddio'r uwchlwythwr Buhtrap. Yn ogystal, canfuom ddwy dystysgrif ddigidol a ddefnyddir yn Buhtrap ac RTM.
Defnyddiwyd y cyntaf, yr honnir iddo gael ei roi i'r cwmni Dnister-M, i arwyddo'r ail ffurflen Delphi yn ddigidol (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) a'r Buhtrap DLL (1E-1: 2642E -454C2B889C6CD ).
Defnyddiwyd yr ail un, a gyhoeddwyd i Bit-Tredj, i lofnodi llwythwyr Buhtrap (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 a B74F71560E48488D2153AE2FB51207E0 a installBAC206 fel cydrannau yn ogystal â installBAC2).
Mae gweithredwyr RTM yn defnyddio tystysgrifau sy'n gyffredin i deuluoedd malware eraill, ond mae ganddyn nhw dystysgrif unigryw hefyd. Yn ôl telemetreg ESET, fe'i cyhoeddwyd i Kit-SD a dim ond i lofnodi rhai malware RTM y cafodd ei ddefnyddio (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
Mae RTM yn defnyddio'r un llwythwr â Buhtrap, mae cydrannau RTM yn cael eu llwytho o seilwaith Buhtrap, felly mae gan y grwpiau ddangosyddion rhwydwaith tebyg. Fodd bynnag, yn ôl ein hamcangyfrifon, mae RTM a Buhtrap yn grwpiau gwahanol, o leiaf oherwydd bod RTM yn cael ei ddosbarthu mewn gwahanol ffyrdd (nid yn unig gan ddefnyddio lawrlwythwr “tramor”).
Er gwaethaf hyn, mae grwpiau hacwyr yn defnyddio egwyddorion gweithredu tebyg. Maent yn targedu busnesau gan ddefnyddio meddalwedd cyfrifo, gan gasglu gwybodaeth system yn yr un modd, chwilio am ddarllenwyr cardiau clyfar, a defnyddio amrywiaeth o offer maleisus i ysbïo ar ddioddefwyr.
3. Esblygiad
Yn yr adran hon, byddwn yn edrych ar y gwahanol fersiynau o malware a ddarganfuwyd yn ystod yr astudiaeth.
3.1. Fersiynu
Mae RTM yn storio data cyfluniad mewn adran gofrestrfa, a'r rhan fwyaf diddorol yw rhagddodiad botnet. Cyflwynir rhestr o'r holl werthoedd a welsom yn y samplau a astudiwyd gennym yn y tabl isod.
Mae'n bosibl y gellid defnyddio'r gwerthoedd i gofnodi fersiynau malware. Fodd bynnag, ni wnaethom sylwi ar lawer o wahaniaeth rhwng fersiynau fel bit2 a bit3, 0.1.6.4 a 0.1.6.6. Ar ben hynny, mae un o'r rhagddodiaid wedi bod o gwmpas ers y dechrau ac mae wedi esblygu o barth C&C nodweddiadol i barth .bit, fel y dangosir isod.
3.2. Atodlen
Gan ddefnyddio data telemetreg, fe wnaethom greu graff o ddigwyddiad samplau.
4. Dadansoddiad technegol
Yn yr adran hon, byddwn yn disgrifio prif swyddogaethau'r Trojan bancio RTM, gan gynnwys mecanweithiau gwrthiant, ei fersiwn ei hun o'r algorithm RC4, protocol rhwydwaith, ymarferoldeb ysbïo a rhai nodweddion eraill. Yn benodol, byddwn yn canolbwyntio ar samplau SHA-1 AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 a 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. Gosod ac arbed
4.1.1. Gweithredu
Mae'r craidd RTM yn DLL, mae'r llyfrgell yn cael ei llwytho ar ddisg gan ddefnyddio .EXE. Mae'r ffeil gweithredadwy fel arfer wedi'i phecynnu ac mae'n cynnwys cod DLL. Ar ôl ei lansio, mae'n echdynnu'r DLL ac yn ei redeg gan ddefnyddio'r gorchymyn canlynol:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. DLL
Mae'r prif DLL bob amser yn cael ei lwytho i ddisg fel winlogon.lnk yn y ffolder %PROGRAMDATA%Winlogon. Mae'r estyniad ffeil hwn fel arfer yn gysylltiedig â llwybr byr, ond mae'r ffeil mewn gwirionedd yn DLL a ysgrifennwyd yn Delphi, a enwir core.dll gan y datblygwr, fel y dangosir yn y ddelwedd isod.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Ar ôl ei lansio, mae y pren Troea yn actifadu ei fecanwaith ymwrthedd. Gellir gwneud hyn mewn dwy ffordd wahanol, yn dibynnu ar freintiau'r dioddefwr yn y system. Os oes gennych hawliau gweinyddwr, mae'r Trojan yn ychwanegu cofnod Windows Update i gofrestrfa HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun. Bydd y gorchmynion a gynhwysir yn Windows Update yn rhedeg ar ddechrau sesiwn y defnyddiwr.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe “%PROGRAMDATA%winlogon.lnk”, gwesteiwr DllGetClassObject
Mae y pren Troea hefyd yn ceisio ychwanegu tasg at y Windows Task Scheduler. Bydd y dasg yn lansio'r winlogon.lnk DLL gyda'r un paramedrau ag uchod. Mae hawliau defnyddiwr rheolaidd yn caniatáu i'r Trojan ychwanegu cofnod Windows Update gyda'r un data i gofrestrfa HKCUSoftwareMicrosoftWindowsCurrentVersionRun:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Algorithm RC4 wedi'i addasu
Er gwaethaf ei ddiffygion hysbys, mae'r algorithm RC4 yn cael ei ddefnyddio'n rheolaidd gan awduron malware. Fodd bynnag, fe wnaeth crewyr RTM ei addasu ychydig, yn ôl pob tebyg i wneud tasg dadansoddwyr firws yn anoddach. Defnyddir fersiwn wedi'i addasu o RC4 yn eang mewn offer RTM maleisus i amgryptio llinynnau, data rhwydwaith, cyfluniad a modiwlau.
4.2.1. Gwahaniaethau
Mae'r algorithm RC4 gwreiddiol yn cynnwys dau gam: ymgychwyn bloc s (aka KSA - Algorithm Amserlennu Allweddol) a chynhyrchu dilyniant ffug-hap (PRGA - Algorithm Generation Ffug-Ar hap). Mae'r cam cyntaf yn cynnwys cychwyn y blwch s gan ddefnyddio'r allwedd, ac yn yr ail gam mae'r testun ffynhonnell yn cael ei brosesu gan ddefnyddio'r blwch s ar gyfer amgryptio.
Ychwanegodd yr awduron RTM gam canolradd rhwng cychwyniad blwch s ac amgryptio. Mae'r allwedd ychwanegol yn amrywiol ac fe'i gosodir ar yr un pryd â'r data i'w hamgryptio a'i ddadgryptio. Dangosir y swyddogaeth sy'n cyflawni'r cam ychwanegol hwn yn y ffigur isod.
4.2.2. Amgryptio llinynnol
Ar yr olwg gyntaf, mae sawl llinell ddarllenadwy yn y prif DLL. Mae'r gweddill yn cael eu hamgryptio gan ddefnyddio'r algorithm a ddisgrifir uchod, y dangosir ei strwythur yn y ffigur canlynol. Gwelsom fwy na 25 o allweddi RC4 gwahanol ar gyfer amgryptio llinynnol yn y samplau a ddadansoddwyd. Mae'r allwedd XOR yn wahanol ar gyfer pob rhes. Gwerth y llinellau gwahanu maes rhifol bob amser yw 0xFFFFFFFF.
Ar ddechrau'r gweithredu, mae RTM yn dadgryptio'r llinynnau yn newidyn byd-eang. Pan fo angen i gael mynediad at llinyn, mae'r Trojan yn cyfrifo cyfeiriad y llinynnau dadgryptio yn ddeinamig yn seiliedig ar y cyfeiriad sylfaen a gwrthbwyso.
Mae'r llinynnau'n cynnwys gwybodaeth ddiddorol am swyddogaethau'r malware. Darperir rhai llinynnau enghreifftiol yn Adran 6.8.
4.3. Rhwydwaith
Mae'r ffordd y mae malware RTM yn cysylltu â'r gweinydd C&C yn amrywio o fersiwn i fersiwn. Defnyddiodd yr addasiadau cyntaf (Hydref 2015 - Ebrill 2016) enwau parth traddodiadol ynghyd â phorthiant RSS ar livejournal.com i ddiweddaru'r rhestr o orchmynion.
Ers mis Ebrill 2016, rydym wedi gweld symudiad i barthau .bit mewn data telemetreg. Cadarnheir hyn gan ddyddiad cofrestru'r parth - cofrestrwyd y parth RTM cyntaf fde05d0573da.bit ar Fawrth 13, 2016.
Roedd gan yr holl URLau a welsom wrth fonitro'r ymgyrch lwybr cyffredin: /r/z.php. Mae'n eithaf anarferol a bydd yn helpu i nodi ceisiadau RTM mewn llif rhwydwaith.
4.3.1. Sianel ar gyfer gorchmynion a rheolaeth
Defnyddiodd enghreifftiau etifeddiaeth y sianel hon i ddiweddaru eu rhestr o weinyddion gorchymyn a rheoli. Mae hosting wedi'i leoli yn livejournal.com, ar adeg ysgrifennu'r adroddiad roedd yn aros yn yr URL hxxp://f72bba81c921(.)livejournal(.) com/ data/rss.
Mae Livejournal yn gwmni Rwsiaidd-Americanaidd sy'n darparu llwyfan blogio. Mae gweithredwyr RTM yn creu blog LJ lle maen nhw'n postio erthygl gyda gorchmynion wedi'u codio - gweler y sgrinlun.
Mae llinellau gorchymyn a rheoli yn cael eu hamgodio gan ddefnyddio algorithm RC4 wedi'i addasu (Adran 4.2). Mae fersiwn gyfredol (Tachwedd 2016) o'r sianel yn cynnwys y cyfeiriadau gweinydd gorchymyn a rheoli canlynol:
- hxxp://cainoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. parthau .bit
Yn y samplau RTM diweddaraf, mae awduron yn cysylltu â pharthau C&C gan ddefnyddio'r parth lefel uchaf .bit TLD. Nid yw ar restr ICANN (Enw Parth a Chorfforaeth Rhyngrwyd) o barthau lefel uchaf. Yn lle hynny, mae'n defnyddio system Namecoin, sydd wedi'i adeiladu ar ben technoleg Bitcoin. Nid yw awduron malware yn aml yn defnyddio'r .bit TLD ar gyfer eu parthau, er bod enghraifft o ddefnydd o'r fath wedi'i arsylwi o'r blaen mewn fersiwn o'r botnet Necurs.
Yn wahanol i Bitcoin, mae gan ddefnyddwyr cronfa ddata ddosbarthedig Namecoin y gallu i arbed data. Prif gymhwysiad y nodwedd hon yw'r parth lefel uchaf .bit. Gallwch gofrestru parthau a fydd yn cael eu storio mewn cronfa ddata ddosbarthedig. Mae'r cofnodion cyfatebol yn y gronfa ddata yn cynnwys cyfeiriadau IP a ddatryswyd gan y parth. Mae'r TLD hwn yn “wrthsefyll sensoriaeth” oherwydd dim ond yr unigolyn cofrestredig all newid cydraniad y parth .bit. Mae hyn yn golygu ei bod yn llawer anoddach atal parth maleisus rhag defnyddio'r math hwn o TLD.
Nid yw'r Trojan RTM yn ymgorffori'r feddalwedd sy'n angenrheidiol i ddarllen cronfa ddata ddosbarthedig Namecoin. Mae'n defnyddio gweinyddwyr DNS canolog fel gweinyddwyr dns.dot-bit.org neu OpenNic i ddatrys parthau .bit. Felly, mae ganddo'r un gwydnwch â gweinyddwyr DNS. Gwelsom nad oedd rhai parthau tîm bellach wedi'u canfod ar ôl cael eu crybwyll mewn post blog.
Mantais arall y .bit TLD ar gyfer hacwyr yw cost. I gofrestru parth, dim ond 0,01 NK y mae angen i weithredwyr ei dalu, sy'n cyfateb i $0,00185 (ar 5 Rhagfyr, 2016). Er mwyn cymharu, mae domain.com yn costio o leiaf $10.
4.3.3. Protocol
I gyfathrebu â'r gweinydd gorchymyn a rheoli, mae RTM yn defnyddio ceisiadau HTTP POST gyda data wedi'i fformatio gan ddefnyddio protocol arferol. Gwerth y llwybr bob amser yw /r/z.php; Asiant defnyddiwr Mozilla/5.0 (cyd-fynd; MSIE 9.0; Windows NT 6.1; Trident/5.0). Mewn ceisiadau i'r gweinydd, mae'r data wedi'i fformatio fel a ganlyn, lle mae'r gwerthoedd gwrthbwyso'n cael eu mynegi mewn beit:
Nid yw beit 0 i 6 wedi'u hamgodio; Mae beit sy'n dechrau o 6 yn cael eu hamgodio gan ddefnyddio algorithm RC4 wedi'i addasu. Mae strwythur y pecyn ymateb C&C yn symlach. Mae beit wedi'u hamgodio o 4 i faint pecyn.
Cyflwynir y rhestr o werthoedd beit gweithredu posibl yn y tabl isod:
Mae'r malware bob amser yn cyfrifo CRC32 y data dadgryptio ac yn ei gymharu â'r hyn sy'n bresennol yn y pecyn. Os ydynt yn wahanol, mae y pren Troea yn gollwng y pecyn.
Gall y data ychwanegol gynnwys gwrthrychau amrywiol, gan gynnwys ffeil PE, ffeil i'w chwilio yn y system ffeiliau, neu URLau gorchymyn newydd.
4.3.4. Panel
Gwnaethom sylwi bod RTM yn defnyddio panel ar weinyddion C&C. Sgrinlun isod:
4.4. Arwydd nodweddiadol
Mae RTM yn Trojan bancio nodweddiadol. Nid yw'n syndod bod gweithredwyr eisiau gwybodaeth am system y dioddefwr. Ar y naill law, mae'r bot yn casglu gwybodaeth gyffredinol am yr OS. Ar y llaw arall, mae'n darganfod a yw'r system dan fygythiad yn cynnwys nodweddion sy'n gysylltiedig â systemau bancio o bell Rwsia.
4.4.1. gwybodaeth gyffredinol
Pan fydd malware yn cael ei osod neu ei lansio ar ôl ailgychwyn, anfonir adroddiad at y gweinydd gorchymyn a rheoli sy'n cynnwys gwybodaeth gyffredinol gan gynnwys:
- Cylchfa Amser;
- iaith system ddiofyn;
- manylion defnyddiwr awdurdodedig;
- lefel cywirdeb proses;
- Enw defnyddiwr;
- enw cyfrifiadur;
- fersiwn OS;
- modiwlau ychwanegol wedi'u gosod;
- rhaglen gwrthfeirws wedi'i gosod;
- rhestr o ddarllenwyr cardiau smart.
4.4.2 System fancio o bell
System fancio o bell yw targed Trojan nodweddiadol, ac nid yw RTM yn eithriad. Gelwir un o fodiwlau'r rhaglen yn TBdo, sy'n cyflawni tasgau amrywiol, gan gynnwys sganio disgiau a hanes pori.
Trwy sganio'r ddisg, mae'r Trojan yn gwirio a yw meddalwedd bancio wedi'i osod ar y peiriant. Mae rhestr lawn o'r rhaglenni targed yn y tabl isod. Ar ôl canfod ffeil o ddiddordeb, mae'r rhaglen yn anfon gwybodaeth i'r gweinydd gorchymyn. Mae'r gweithredoedd nesaf yn dibynnu ar y rhesymeg a bennir gan algorithmau'r ganolfan orchymyn (C&C).
Mae RTM hefyd yn edrych am batrymau URL yn hanes eich porwr a thabiau agored. Yn ogystal, mae'r rhaglen yn archwilio'r defnydd o swyddogaethau FindNextUrlCacheEntryA a FindFirstUrlCacheEntryA, a hefyd yn gwirio pob cofnod i gyfateb yr URL i un o'r patrymau canlynol:
Ar ôl canfod tabiau agored, mae'r Trojan yn cysylltu â Internet Explorer neu Firefox trwy fecanwaith Cyfnewid Data Dynamig (DDE) i wirio a yw'r tab yn cyd-fynd â'r patrwm.
Mae gwirio eich hanes pori a thabiau agored yn cael ei berfformio mewn dolen WHILE (dolen gyda rhagamod) gyda thoriad o 1 eiliad rhwng sieciau. Bydd data arall sy'n cael ei fonitro mewn amser real yn cael ei drafod yn adran 4.5.
Os canfyddir patrwm, mae'r rhaglen yn adrodd hyn i'r gweinydd gorchymyn gan ddefnyddio rhestr o linynnau o'r tabl canlynol:
4.5 Monitro
Tra bod y pren Troea yn rhedeg, anfonir gwybodaeth am nodweddion nodweddiadol y system heintiedig (gan gynnwys gwybodaeth am bresenoldeb meddalwedd bancio) at y gweinydd gorchymyn a rheoli. Mae olion bysedd yn digwydd pan fydd RTM yn rhedeg y system fonitro gyntaf yn syth ar ôl y sgan OS cychwynnol.
4.5.1. Bancio o bell
Mae'r modiwl TBdo hefyd yn gyfrifol am fonitro prosesau sy'n ymwneud â bancio. Mae'n defnyddio cyfnewid data deinamig i wirio tabiau yn Firefox ac Internet Explorer yn ystod y sgan cychwynnol. Defnyddir modiwl TShell arall i fonitro ffenestri gorchymyn (Internet Explorer neu File Explorer).
Mae'r modiwl yn defnyddio rhyngwynebau COM IShellWindows, iWebBrowser, DWebBrowserEvents2 ac IConnectionPointContainer i fonitro ffenestri. Pan fydd defnyddiwr yn llywio i dudalen we newydd, mae'r malware yn nodi hyn. Yna mae'n cymharu URL y dudalen gyda'r patrymau uchod. Ar ôl canfod cyfatebiaeth, mae'r Trojan yn cymryd chwe sgrin sgrin yn olynol gydag egwyl o 5 eiliad ac yn eu hanfon at y gweinydd gorchymyn C&S. Mae'r rhaglen hefyd yn gwirio rhai enwau ffenestri sy'n gysylltiedig â meddalwedd bancio - mae'r rhestr lawn isod:
4.5.2. Cerdyn call
Mae RTM yn caniatáu ichi fonitro darllenwyr cardiau smart sy'n gysylltiedig â chyfrifiaduron heintiedig. Defnyddir y dyfeisiau hyn mewn rhai gwledydd i gysoni archebion talu. Os yw'r math hwn o ddyfais ynghlwm wrth gyfrifiadur, gallai ddangos i Trojan bod y peiriant yn cael ei ddefnyddio ar gyfer trafodion bancio.
Yn wahanol i Trojans bancio eraill, ni all RTM ryngweithio â chardiau smart o'r fath. Efallai bod y swyddogaeth hon wedi'i chynnwys mewn modiwl ychwanegol nad ydym wedi'i weld eto.
4.5.3. Keylogger
Rhan bwysig o fonitro PC heintiedig yw dal trawiadau bysell. Mae'n ymddangos nad yw datblygwyr RTM yn colli unrhyw wybodaeth, gan eu bod yn monitro nid yn unig allweddi rheolaidd, ond hefyd y bysellfwrdd rhithwir a'r clipfwrdd.
I wneud hyn, defnyddiwch y swyddogaeth SetWindowsHookExA. Mae ymosodwyr yn cofnodi'r bysellau wedi'u pwyso neu'r bysellau sy'n cyfateb i'r bysellfwrdd rhithwir, ynghyd ag enw a dyddiad y rhaglen. Yna anfonir y byffer i'r gweinydd gorchymyn C&C.
Defnyddir y swyddogaeth SetClipboardViewer i ryng-gipio'r clipfwrdd. Mae hacwyr yn logio cynnwys y clipfwrdd pan fydd y data yn destun. Mae'r enw a'r dyddiad hefyd yn cael eu cofnodi cyn i'r byffer gael ei anfon at y gweinydd.
4.5.4. Sgrinluniau
Swyddogaeth RTM arall yw rhyng-gipio sgrin. Cymhwysir y nodwedd pan fydd y modiwl monitro ffenestr yn canfod gwefan neu feddalwedd bancio o ddiddordeb. Cymerir sgrinluniau gan ddefnyddio llyfrgell o ddelweddau graffig a'u trosglwyddo i'r gweinydd gorchymyn.
4.6. Dadosod
Gall y gweinydd C&C atal y malware rhag rhedeg a glanhau'ch cyfrifiadur. Mae'r gorchymyn yn caniatáu ichi glirio ffeiliau a chofnodion cofrestrfa a grëwyd tra bod RTM yn rhedeg. Yna defnyddir y DLL i gael gwared ar y malware a'r ffeil winlogon, ac ar ôl hynny mae'r gorchymyn yn cau'r cyfrifiadur i lawr. Fel y dangosir yn y ddelwedd isod, mae'r DLL yn cael ei dynnu gan ddatblygwyr sy'n defnyddio erase.dll.
Gall y gweinydd anfon gorchymyn dadosod-clo dinistriol at y pren Troea. Yn yr achos hwn, os oes gennych hawliau gweinyddwr, bydd RTM yn dileu'r sector cychwyn MBR ar y gyriant caled. Os bydd hyn yn methu, bydd y pren Troea yn ceisio symud y sector cychwyn MBR i sector ar hap - yna ni fydd y cyfrifiadur yn gallu cychwyn yr OS ar ôl ei gau i lawr. Gall hyn arwain at ailosod yr OS yn llwyr, sy'n golygu dinistrio tystiolaeth.
Heb freintiau gweinyddwr, mae'r malware yn ysgrifennu .EXE wedi'i amgodio yn y DLL RTM sylfaenol. Mae'r gweithredadwy yn gweithredu'r cod sydd ei angen i gau'r cyfrifiadur ac yn cofrestru'r modiwl yn allwedd cofrestrfa HKCUCurrentVersionRun. Bob tro mae'r defnyddiwr yn dechrau sesiwn, mae'r cyfrifiadur yn cau i lawr ar unwaith.
4.7. Y ffeil ffurfweddu
Yn ddiofyn, nid oes gan RTM bron unrhyw ffeil ffurfweddu, ond gall y gweinydd gorchymyn a rheoli anfon gwerthoedd cyfluniad a fydd yn cael eu storio yn y gofrestrfa a'u defnyddio gan y rhaglen. Cyflwynir y rhestr o allweddi ffurfweddu yn y tabl isod:
Mae'r ffurfwedd yn cael ei storio yn yr allwedd gofrestrfa Meddalwedd[llinyn ffug-hap]. Mae pob gwerth yn cyfateb i un o'r rhesi a gyflwynwyd yn y tabl blaenorol. Mae gwerthoedd a data yn cael eu hamgodio gan ddefnyddio'r algorithm RC4 yn RTM.
Mae gan y data yr un strwythur â rhwydwaith neu linynnau. Ychwanegir allwedd XOR pedwar beit ar ddechrau'r data wedi'i amgodio. Ar gyfer gwerthoedd cyfluniad, mae'r allwedd XOR yn wahanol ac yn dibynnu ar faint y gwerth. Gellir ei gyfrifo fel a ganlyn:
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)
4.8. Nodweddion eraill
Nesaf, gadewch i ni edrych ar swyddogaethau eraill y mae RTM yn eu cefnogi.
4.8.1. Modiwlau ychwanegol
Mae y pren Troea yn cynnwys modiwlau ychwanegol, sef ffeiliau DLL. Gellir gweithredu modiwlau a anfonir o'r gweinydd gorchymyn C&C fel rhaglenni allanol, eu hadlewyrchu yn RAM a'u lansio mewn edafedd newydd. Ar gyfer storio, mae modiwlau'n cael eu cadw mewn ffeiliau .dtt a'u hamgodio gan ddefnyddio'r algorithm RC4 gyda'r un allwedd a ddefnyddir ar gyfer cyfathrebu rhwydwaith.
Hyd yn hyn rydym wedi arsylwi gosod y modiwl VNC (8966319882494077C21F66A8354E2CCA0370464), y modiwl echdynnu data porwr (03DE8622BE6B2F75A364A275995C3411626C4 Modiwl) a modiwl echdynnu data porwr FC9FBA1 B2BE1D562B1E69CFAB).
I lwytho'r modiwl VNC, mae'r gweinydd C&C yn cyhoeddi gorchymyn yn gofyn am gysylltiadau â'r gweinydd VNC mewn cyfeiriad IP penodol ar borth 44443. Mae ategyn adalw data'r porwr yn gweithredu TBrowserDataCollector, sy'n gallu darllen hanes pori IE. Yna mae'n anfon y rhestr lawn o URLau yr ymwelwyd â nhw i'r gweinydd gorchymyn C&C.
Gelwir y modiwl olaf a ddarganfuwyd yn 1c_2_kl. Gall ryngweithio â'r pecyn meddalwedd Menter 1C. Mae'r modiwl yn cynnwys dwy ran: y brif ran - DLL a dau asiant (32 a 64 bit), a fydd yn cael eu chwistrellu i bob proses, gan gofrestru rhwymiad i WH_CBT. Ar ôl cael ei gyflwyno i'r broses 1C, mae'r modiwl yn clymu swyddogaethau CreateFile a WriteFile. Pryd bynnag y gelwir y swyddogaeth rhwymedig CreateFile, mae'r modiwl yn storio'r llwybr ffeil 1c_to_kl.txt yn y cof. Ar ôl rhyng-gipio'r alwad WriteFile, mae'n galw'r swyddogaeth WriteFile ac yn anfon y llwybr ffeil 1c_to_kl.txt i'r prif fodiwl DLL, gan basio neges grefftus Windows WM_COPYDATA iddo.
Mae'r prif fodiwl DLL yn agor ac yn dosrannu'r ffeil i bennu gorchmynion talu. Mae'n cydnabod y swm a'r rhif trafodiad a gynhwysir yn y ffeil. Anfonir y wybodaeth hon i'r gweinydd gorchymyn. Credwn fod y modiwl hwn yn cael ei ddatblygu ar hyn o bryd oherwydd ei fod yn cynnwys neges dadfygio ac ni all addasu 1c_to_kl.txt yn awtomatig.
4.8.2. Cynnydd braint
Gall RTM geisio cynyddu breintiau trwy arddangos negeseuon gwall ffug. Mae'r malware yn efelychu gwiriad cofrestrfa (gweler y llun isod) neu'n defnyddio eicon golygydd cofrestrfa go iawn. Sylwch ar y camsillafu aros - whait. Ar ôl ychydig eiliadau o sganio, mae'r rhaglen yn dangos neges gwall ffug.
Bydd neges ffug yn hawdd twyllo'r defnyddiwr cyffredin, er gwaethaf gwallau gramadegol. Os yw'r defnyddiwr yn clicio ar un o'r ddau ddolen, bydd RTM yn ceisio cynyddu ei freintiau yn y system.
Ar ôl dewis un o ddau opsiwn adfer, mae'r Trojan yn lansio'r DLL gan ddefnyddio'r opsiwn runas yn swyddogaeth ShellExecute gyda breintiau gweinyddwr. Bydd y defnyddiwr yn gweld anogwr Windows go iawn (gweler y ddelwedd isod) ar gyfer drychiad. Os yw'r defnyddiwr yn rhoi'r caniatâd angenrheidiol, bydd y pren Troea yn rhedeg gyda breintiau gweinyddwr.
Yn dibynnu ar yr iaith ddiofyn sydd wedi'i gosod ar y system, mae'r Trojan yn dangos negeseuon gwall yn Rwsieg neu Saesneg.
4.8.3. Tystysgrif
Gall RTM ychwanegu tystysgrifau i Windows Store a chadarnhau dibynadwyedd yr ychwanegiad trwy glicio ar y botwm “ie” yn awtomatig yn y blwch deialog csrss.exe. Nid yw'r ymddygiad hwn yn newydd; er enghraifft, mae'r Trojan Retefe bancio hefyd yn cadarnhau'n annibynnol gosod tystysgrif newydd.
4.8.4. Cysylltiad gwrthdroi
Creodd yr awduron RTM dwnnel TCP Backconnect hefyd. Nid ydym wedi gweld y nodwedd yn cael ei defnyddio eto, ond fe'i cynlluniwyd i fonitro cyfrifiaduron sydd wedi'u heintio o bell.
4.8.5. Rheoli ffeiliau gwesteiwr
Gall y gweinydd C&C anfon gorchymyn i'r Trojan i addasu ffeil gwesteiwr Windows. Defnyddir y ffeil gwesteiwr i greu penderfyniadau DNS arferol.
4.8.6. Dod o hyd i ffeil a'i hanfon
Gall y gweinydd ofyn am gael chwilio a lawrlwytho ffeil ar y system heintiedig. Er enghraifft, yn ystod yr ymchwil cawsom gais am y ffeil 1c_to_kl.txt. Fel y disgrifiwyd yn flaenorol, cynhyrchir y ffeil hon gan system gyfrifo 1C: Enterprise 8.
4.8.7. Diweddariad
Yn olaf, gall awduron RTM ddiweddaru'r meddalwedd trwy gyflwyno DLL newydd i ddisodli'r fersiwn gyfredol.
5. Casgliad
Mae ymchwil RTM yn dangos bod system fancio Rwsia yn dal i ddenu ymosodwyr seiber. Mae grwpiau fel Buhtrap, Corkow a Carbanak yn llwyddo i ddwyn arian oddi wrth sefydliadau ariannol a'u cleientiaid yn Rwsia. Mae RTM yn chwaraewr newydd yn y diwydiant hwn.
Mae offer RTM maleisus wedi bod yn cael eu defnyddio ers o leiaf yn hwyr yn 2015, yn ôl telemetreg ESET. Mae gan y rhaglen ystod lawn o alluoedd ysbïo, gan gynnwys darllen cardiau smart, rhyng-gipio trawiadau bysell a monitro trafodion bancio, yn ogystal â chwilio am ffeiliau trafnidiaeth 1C: Enterprise 8.
Mae defnyddio parth lefel-uchaf .bit datganoledig, heb ei sensro, yn sicrhau seilwaith hynod wydn.
Ffynhonnell: hab.com