Der er flere kendte cybergrupper, der specialiserer sig i at stjæle midler fra russiske virksomheder. Vi har set angreb ved hjælp af sikkerhedshuller, der giver adgang til målets netværk. Når de får adgang, studerer angribere organisationens netværksstruktur og implementerer deres egne værktøjer til at stjæle penge. Et klassisk eksempel på denne tendens er hackergrupperne Buhtrap, Cobalt og Corkow.
RTM-gruppen, som denne rapport fokuserer på, er en del af denne tendens. Den bruger specielt designet malware skrevet i Delphi, som vi vil se nærmere på i de følgende afsnit. De første spor af disse værktøjer i ESET-telemetrisystemet blev opdaget i slutningen af 2015. Teamet indlæser forskellige nye moduler på inficerede systemer efter behov. Angrebene er rettet mod brugere af fjernbanksystemer i Rusland og nogle nabolande.
1. Mål
RTM-kampagnen er rettet mod virksomhedsbrugere - dette er tydeligt fra de processer, som angribere forsøger at opdage i et kompromitteret system. Fokus er på regnskabssoftware til arbejde med fjernbanksystemer.
Listen over processer af interesse for RTM ligner den tilsvarende liste over Buhtrap-gruppen, men grupperne har forskellige infektionsvektorer. Hvis Buhtrap brugte falske sider oftere, brugte RTM drive-by download-angreb (angreb på browseren eller dens komponenter) og spamming via e-mail. Ifølge telemetridata er truslen rettet mod Rusland og flere nærliggende lande (Ukraine, Kasakhstan, Tjekkiet, Tyskland). Men på grund af brugen af massedistributionsmekanismer er detektion af malware uden for målregionerne ikke overraskende.
Det samlede antal malware-detektioner er relativt lille. På den anden side bruger RTM-kampagnen komplekse programmer, hvilket indikerer, at angrebene er meget målrettede.
Vi har opdaget adskillige lokkedokumenter brugt af RTM, herunder ikke-eksisterende kontrakter, fakturaer eller skatteregnskabsdokumenter. Arten af lokkemidlerne, kombineret med typen af software, der er målrettet af angrebet, indikerer, at angriberne "træder ind i" russiske virksomheders netværk gennem regnskabsafdelingen. Gruppen handlede efter samme ordning i 2014-2015
Under undersøgelsen var vi i stand til at interagere med flere C&C-servere. Vi vil liste den fulde liste over kommandoer i de følgende sektioner, men indtil videre kan vi sige, at klienten overfører data fra keyloggeren direkte til den angribende server, hvorfra yderligere kommandoer så modtages.
Men de dage, hvor du blot kunne oprette forbindelse til en kommando- og kontrolserver og indsamle alle de data, du var interesseret i, er forbi. Vi genskabte realistiske logfiler for at få nogle relevante kommandoer fra serveren.
Den første af dem er en anmodning til botten om at overføre filen 1c_to_kl.txt - en transportfil fra 1C: Enterprise 8-programmet, hvis udseende overvåges aktivt af RTM. 1C interagerer med eksterne banksystemer ved at uploade data om udgående betalinger til en tekstfil. Derefter sendes filen til fjernbanksystemet til automatisering og udførelse af betalingsordren.
Filen indeholder betalingsoplysninger. Hvis angribere ændrer oplysningerne om udgående betalinger, vil overførslen blive sendt med falske oplysninger til angriberens konti.
Cirka en måned efter at have anmodet om disse filer fra kommando- og kontrolserveren, så vi et nyt plugin, 1c_2_kl.dll, blive indlæst på det kompromitterede system. Modulet (DLL) er designet til automatisk at analysere downloadfilen ved at trænge ind i regnskabssoftwareprocesserne. Vi vil beskrive det i detaljer i de følgende afsnit.
Interessant nok udsendte FinCERT fra Bank of Russia i slutningen af 2016 en bulletinadvarsel om cyberkriminelle, der bruger 1c_to_kl.txt-uploadfiler. Udviklere fra 1C kender også til denne ordning; de har allerede lavet en officiel erklæring og anført forholdsregler.
Andre moduler blev også indlæst fra kommandoserveren, især VNC (dens 32 og 64-bit versioner). Det ligner VNC-modulet, der tidligere blev brugt i Dridex trojanske angreb. Dette modul bruges angiveligt til at fjernforbindelse til en inficeret computer og udføre en detaljeret undersøgelse af systemet. Dernæst forsøger angriberne at bevæge sig rundt på netværket, udtrække brugeradgangskoder, indsamle information og sikre konstant tilstedeværelse af malware.
2. Vektorer af infektion
Følgende figur viser de infektionsvektorer, der er påvist i løbet af kampagnens undersøgelsesperiode. Gruppen bruger en bred vifte af vektorer, men primært drive-by download-angreb og spam. Disse værktøjer er praktiske til målrettede angreb, da angribere i det første tilfælde kan vælge websteder, der besøges af potentielle ofre, og i det andet kan de sende e-mail med vedhæftede filer direkte til de ønskede medarbejdere i virksomheden.
Malwaren distribueres gennem flere kanaler, herunder RIG- og Sundown-udnyttelsessæt eller spam-mailings, hvilket indikerer forbindelser mellem angriberne og andre cyberangribere, der tilbyder disse tjenester.
2.1. Hvordan hænger RTM og Buhtrap sammen?
RTM-kampagnen minder meget om Buhtrap. Det naturlige spørgsmål er: hvordan er de relateret til hinanden?
I september 2016 observerede vi en RTM-prøve, der blev distribueret ved hjælp af Buhtrap-uploaderen. Derudover fandt vi to digitale certifikater brugt i både Buhtrap og RTM.
Den første, der angiveligt er udstedt til virksomheden DNISTER-M, blev brugt til digitalt at underskrive den anden Delphi-formular (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) og Buhtrap DLL (SHA-1: 1E2642B454FCCD2C889C6C41116C83C6C2D 4890).
Den anden, udstedt til Bit-Tredj, blev brugt til at signere Buhtrap-læssere (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 og B74F71560E48488D2153AE2FB51207A0) samt installere RTM-komponenter og downloade og downloade206.
RTM-operatører bruger certifikater, der er fælles for andre malware-familier, men de har også et unikt certifikat. Ifølge ESET-telemetri blev det udstedt til Kit-SD og blev kun brugt til at signere noget RTM-malware (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM bruger den samme loader som Buhtrap, RTM-komponenter indlæses fra Buhtrap-infrastrukturen, så grupperne har lignende netværksindikatorer. Men ifølge vores skøn er RTM og Buhtrap forskellige grupper, i det mindste fordi RTM distribueres på forskellige måder (ikke kun ved at bruge en "fremmed" downloader).
På trods af dette bruger hackergrupper lignende driftsprincipper. De retter sig mod virksomheder, der bruger regnskabssoftware, indsamler på samme måde systemoplysninger, søger efter smartkortlæsere og implementerer en række ondsindede værktøjer til at spionere på ofre.
3. Evolution
I dette afsnit vil vi se på de forskellige versioner af malware fundet under undersøgelsen.
3.1. Versionering
RTM gemmer konfigurationsdata i en registreringssektion, den mest interessante del er botnet-præfiks. En liste over alle de værdier, vi så i de prøver, vi undersøgte, er præsenteret i tabellen nedenfor.
Det er muligt, at værdierne kan bruges til at optage malwareversioner. Vi bemærkede dog ikke den store forskel mellem versioner som bit2 og bit3, 0.1.6.4 og 0.1.6.6. Desuden har et af præfikserne eksisteret siden begyndelsen og har udviklet sig fra et typisk C&C-domæne til et .bit-domæne, som det vil blive vist nedenfor.
3.2. Tidsplan
Ved hjælp af telemetridata lavede vi en graf over forekomsten af prøver.
4. Teknisk analyse
I dette afsnit vil vi beskrive hovedfunktionerne i RTM-banktrojaneren, herunder modstandsmekanismer, dens egen version af RC4-algoritmen, netværksprotokol, spionagefunktionalitet og nogle andre funktioner. Vi vil især fokusere på SHA-1 prøver AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 og 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. Installation og lagring
4.1.1. Implementering
RTM-kernen er en DLL, biblioteket indlæses på disken ved hjælp af .EXE. Den eksekverbare fil er normalt pakket og indeholder DLL-kode. Når den er startet, udpakker den DLL'en og kører den ved hjælp af følgende kommando:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. DLL
Hoved-DLL'en indlæses altid på disken som winlogon.lnk i mappen %PROGRAMDATA%Winlogon. Denne filtypenavn er normalt forbundet med en genvej, men filen er faktisk en DLL skrevet i Delphi, kaldet core.dll af udvikleren, som vist på billedet nedenfor.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Når først den er lanceret, aktiverer trojaneren sin modstandsmekanisme. Dette kan gøres på to forskellige måder, afhængigt af ofrets privilegier i systemet. Hvis du har administratorrettigheder, tilføjer trojaneren en Windows Update-post til HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun-registret. Kommandoerne i Windows Update kører i starten af brugerens session.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject-vært
Trojaneren forsøger også at tilføje en opgave til Windows Task Scheduler. Opgaven vil starte winlogon.lnk DLL'en med de samme parametre som ovenfor. Almindelige brugerrettigheder tillader trojaneren at tilføje en Windows Update-post med de samme data til HKCUSoftwareMicrosoftWindowsCurrentVersionRun registreringsdatabasen:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Ændret RC4-algoritme
På trods af dens kendte mangler, bruges RC4-algoritmen regelmæssigt af malware-forfattere. Skaberne af RTM ændrede det dog lidt, sandsynligvis for at gøre opgaven for virusanalytikere vanskeligere. En modificeret version af RC4 er meget brugt i ondsindede RTM-værktøjer til at kryptere strenge, netværksdata, konfiguration og moduler.
4.2.1. Forskelle
Den originale RC4-algoritme inkluderer to trin: s-blok-initialisering (alias KSA - Key-Scheduling Algorithm) og pseudo-tilfældig sekvensgenerering (PRGA - Pseudo-Random Generation Algorithm). Det første trin involverer initialisering af s-boksen ved hjælp af nøglen, og i det andet trin behandles kildeteksten ved hjælp af s-boksen til kryptering.
RTM-forfatterne tilføjede et mellemtrin mellem initialisering af s-box og kryptering. Den ekstra nøgle er variabel og indstilles samtidig med, at dataene skal krypteres og dekrypteres. Funktionen, der udfører dette ekstra trin, er vist i figuren nedenfor.
4.2.2. String kryptering
Ved første øjekast er der flere læsbare linjer i hoved-DLL'en. Resten er krypteret ved hjælp af den ovenfor beskrevne algoritme, hvis struktur er vist i den følgende figur. Vi fandt mere end 25 forskellige RC4-nøgler til strengkryptering i de analyserede prøver. XOR-tasten er forskellig for hver række. Værdien af de numeriske feltadskillelseslinjer er altid 0xFFFFFFFF.
I begyndelsen af eksekveringen dekrypterer RTM strengene til en global variabel. Når det er nødvendigt for at få adgang til en streng, beregner trojaneren dynamisk adressen på de dekrypterede strenge baseret på basisadressen og offset.
Strengene indeholder interessant information om malwarens funktioner. Nogle eksempler på strenge findes i afsnit 6.8.
4.3. Netværk
Måden RTM malware kontakter C&C-serveren på varierer fra version til version. De første ændringer (oktober 2015 – april 2016) brugte traditionelle domænenavne sammen med et RSS-feed på livejournal.com til at opdatere listen over kommandoer.
Siden april 2016 har vi set et skift til .bit-domæner i telemetridata. Dette bekræftes af domæneregistreringsdatoen - det første RTM-domæne fde05d0573da.bit blev registreret den 13. marts 2016.
Alle de webadresser, vi så, mens vi overvågede kampagnen, havde en fælles sti: /r/z.php. Det er ret usædvanligt, og det vil hjælpe med at identificere RTM-anmodninger i netværksflows.
4.3.1. Kanal for kommandoer og kontrol
Ældre eksempler brugte denne kanal til at opdatere deres liste over kommando- og kontrolservere. Hosting er placeret på livejournal.com, da rapporten blev skrevet, forblev den på URL'en hxxp://f72bba81c921(.)livejournal(.)com/data/rss.
Livejournal er et russisk-amerikansk firma, der tilbyder en bloggingplatform. RTM-operatører opretter en LJ-blog, hvor de poster en artikel med kodede kommandoer - se skærmbillede.
Kommando- og kontrollinjer kodes ved hjælp af en modificeret RC4-algoritme (afsnit 4.2). Den aktuelle version (november 2016) af kanalen indeholder følgende kommando- og kontrolserveradresser:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. .bit domæner
I de seneste RTM-eksempler forbinder forfattere sig til C&C-domæner ved hjælp af .bit TLD-topniveaudomænet. Det er ikke på ICANN (Domain Name and Internet Corporation) listen over topdomæner. I stedet bruger den Namecoin-systemet, som er bygget oven på Bitcoin-teknologien. Malware-forfattere bruger ikke ofte .bit-TLD'et til deres domæner, selvom et eksempel på sådan brug tidligere er blevet observeret i en version af Necurs botnet.
I modsætning til Bitcoin har brugere af den distribuerede Namecoin-database mulighed for at gemme data. Hovedanvendelsen af denne funktion er .bit-topniveaudomænet. Du kan registrere domæner, der vil blive gemt i en distribueret database. De tilsvarende poster i databasen indeholder IP-adresser, der er løst af domænet. Denne TLD er "censur-resistent", fordi kun registranten kan ændre opløsningen af .bit-domænet. Det betyder, at det er meget sværere at stoppe et ondsindet domæne ved at bruge denne type TLD.
RTM-trojaneren indlejrer ikke den software, der er nødvendig for at læse den distribuerede Namecoin-database. Den bruger centrale DNS-servere såsom dns.dot-bit.org eller OpenNic-servere til at løse .bit-domæner. Derfor har den samme holdbarhed som DNS-servere. Vi observerede, at nogle teamdomæner ikke længere blev opdaget efter at være blevet nævnt i et blogindlæg.
En anden fordel ved .bit TLD for hackere er omkostningerne. For at registrere et domæne skal operatører kun betale 0,01 NK, hvilket svarer til $0,00185 (pr. 5. december 2016). Til sammenligning koster domain.com mindst $10.
4.3.3. Protokol
For at kommunikere med kommando- og kontrolserveren bruger RTM HTTP POST-anmodninger med data formateret ved hjælp af en brugerdefineret protokol. Stiværdien er altid /r/z.php; Mozilla/5.0 brugeragent (kompatibel; MSIE 9.0; Windows NT 6.1; Trident/5.0). I anmodninger til serveren formateres dataene som følger, hvor offsetværdierne er udtrykt i bytes:
Bytes 0 til 6 er ikke kodet; bytes, der starter fra 6, kodes ved hjælp af en modificeret RC4-algoritme. Strukturen af C&C-svarpakken er enklere. Bytes kodes fra 4 til pakkestørrelse.
Listen over mulige handlingsbyteværdier er vist i tabellen nedenfor:
Malwaren beregner altid CRC32 for de dekrypterede data og sammenligner det med det, der er til stede i pakken. Hvis de er forskellige, taber trojaneren pakken.
De yderligere data kan indeholde forskellige objekter, herunder en PE-fil, en fil, der skal søges i filsystemet, eller nye kommando-URL'er.
4.3.4. Panel
Vi har bemærket, at RTM bruger et panel på C&C-servere. Skærmbillede nedenfor:
4.4. Karakteristisk tegn
RTM er en typisk banktrojaner. Det er ingen overraskelse, at operatører ønsker information om ofrets system. På den ene side indsamler botten generel information om operativsystemet. På den anden side finder den ud af, om det kompromitterede system indeholder attributter forbundet med russiske fjernbanksystemer.
4.4.1. Generel information
Når malware er installeret eller lanceret efter en genstart, sendes en rapport til kommando- og kontrolserveren med generel information, herunder:
- Tidszone;
- standard systemsprog;
- autoriserede brugeroplysninger;
- procesintegritetsniveau;
- Brugernavn;
- computernavn;
- OS version;
- yderligere installerede moduler;
- installeret antivirusprogram;
- liste over chipkortlæsere.
4.4.2 Fjernbanksystem
Et typisk trojansk mål er et fjernbanksystem, og RTM er ingen undtagelse. Et af programmets moduler hedder TBdo, som udfører forskellige opgaver, herunder scanning af diske og browserhistorik.
Ved at scanne disken kontrollerer trojaneren, om banksoftware er installeret på maskinen. Den fulde liste over målprogrammer er i tabellen nedenfor. Efter at have fundet en fil af interesse, sender programmet information til kommandoserveren. De næste handlinger afhænger af logikken specificeret af kommandocenterets (C&C) algoritmer.
RTM leder også efter URL-mønstre i din browserhistorik og åbne faner. Derudover undersøger programmet brugen af funktionerne FindNextUrlCacheEntryA og FindFirstUrlCacheEntryA og kontrollerer også hver post for at matche URL'en til et af følgende mønstre:
Efter at have opdaget åbne faner, kontakter trojaneren Internet Explorer eller Firefox gennem Dynamic Data Exchange (DDE)-mekanismen for at kontrollere, om fanen matcher mønsteret.
Kontrol af din browserhistorik og åbne faner udføres i en WHILE-løkke (en loop med en forudsætning) med en pause på 1 sekund mellem kontrollerne. Andre data, der overvåges i realtid, vil blive diskuteret i afsnit 4.5.
Hvis der findes et mønster, rapporterer programmet dette til kommandoserveren ved hjælp af en liste over strenge fra følgende tabel:
4.5 Overvågning
Mens trojaneren kører, sendes information om de karakteristiske træk ved det inficerede system (inklusive oplysninger om tilstedeværelsen af banksoftware) til kommando- og kontrolserveren. Fingeraftryk opstår, når RTM først kører overvågningssystemet umiddelbart efter den indledende OS-scanning.
4.5.1. Fjernbank
TBdo-modulet er også ansvarlig for overvågning af bankrelaterede processer. Den bruger dynamisk dataudveksling til at kontrollere faner i Firefox og Internet Explorer under den indledende scanning. Et andet TShell-modul bruges til at overvåge kommandovinduer (Internet Explorer eller File Explorer).
Modulet bruger COM-grænsefladerne IShellWindows, iWebBrowser, DWebBrowserEvents2 og IConnectionPointContainer til at overvåge vinduer. Når en bruger navigerer til en ny webside, bemærker malware dette. Den sammenligner derefter sidens URL med ovenstående mønstre. Efter at have fundet et match, tager trojaneren seks på hinanden følgende skærmbilleder med et interval på 5 sekunder og sender dem til C&S kommandoserveren. Programmet kontrollerer også nogle vinduesnavne relateret til banksoftware - den fulde liste er nedenfor:
4.5.2. Chipkort
RTM giver dig mulighed for at overvåge chipkortlæsere forbundet til inficerede computere. Disse enheder bruges i nogle lande til at afstemme betalingsordrer. Hvis denne type enhed er tilsluttet en computer, kan det indikere for en trojaner, at maskinen bliver brugt til banktransaktioner.
I modsætning til andre banktrojanske heste kan RTM ikke interagere med sådanne smartkort. Måske er denne funktionalitet inkluderet i et ekstra modul, som vi ikke har set endnu.
4.5.3. Keylogger
En vigtig del af overvågningen af en inficeret pc er at fange tastetryk. Det ser ud til, at RTM-udviklerne ikke mangler nogen information, da de ikke kun overvåger almindelige taster, men også det virtuelle tastatur og udklipsholder.
For at gøre dette skal du bruge funktionen SetWindowsHookExA. Angribere logger tasterne, der er trykket eller de taster, der svarer til det virtuelle tastatur, sammen med navnet og datoen for programmet. Bufferen sendes derefter til C&C-kommandoserveren.
SetClipboardViewer-funktionen bruges til at opsnappe udklipsholderen. Hackere logger indholdet af udklipsholderen, når dataene er tekst. Navnet og datoen logges også, før bufferen sendes til serveren.
4.5.4. Skærmbilleder
En anden RTM-funktion er screenshot-aflytning. Funktionen anvendes, når vinduesovervågningsmodulet registrerer et websted eller en banksoftware af interesse. Skærmbilleder tages ved hjælp af et bibliotek af grafiske billeder og overføres til kommandoserveren.
4.6. Afinstallation
C&C-serveren kan stoppe malwaren i at køre og rense din computer. Kommandoen giver dig mulighed for at rydde filer og poster i registreringsdatabasen, der er oprettet, mens RTM kører. DLL'en bruges derefter til at fjerne malwaren og winlogon-filen, hvorefter kommandoen lukker computeren ned. Som vist på billedet nedenfor fjernes DLL'en af udviklere, der bruger erase.dll.
Serveren kan sende trojaneren en destruktiv uninstall-lock kommando. I dette tilfælde, hvis du har administratorrettigheder, vil RTM slette MBR-startsektoren på harddisken. Hvis dette mislykkes, vil trojaneren forsøge at flytte MBR-startsektoren til en tilfældig sektor - så vil computeren ikke være i stand til at starte OS'et efter nedlukning. Dette kan føre til en fuldstændig geninstallation af OS, hvilket betyder ødelæggelse af beviser.
Uden administratorrettigheder skriver malwaren en .EXE kodet i den underliggende RTM DLL. Den eksekverbare udfører den nødvendige kode for at lukke computeren og registrerer modulet i HKCUCurrentVersionRun registreringsnøglen. Hver gang brugeren starter en session, lukkes computeren med det samme.
4.7. Konfigurationsfilen
Som standard har RTM næsten ingen konfigurationsfil, men kommando- og kontrolserveren kan sende konfigurationsværdier, der vil blive gemt i registreringsdatabasen og brugt af programmet. Listen over konfigurationsnøgler er vist i tabellen nedenfor:
Konfigurationen er gemt i Software[Pseudo-tilfældig streng] registreringsdatabasenøglen. Hver værdi svarer til en af rækkerne i den foregående tabel. Værdier og data er kodet ved hjælp af RC4-algoritmen i RTM.
Dataene har samme struktur som et netværk eller strenge. En fire-byte XOR-nøgle tilføjes i begyndelsen af de kodede data. For konfigurationsværdier er XOR-nøglen anderledes og afhænger af værdiens størrelse. Det kan beregnes som følger:
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)
4.8. Andre funktioner
Lad os derefter se på andre funktioner, som RTM understøtter.
4.8.1. Yderligere moduler
Trojanen inkluderer yderligere moduler, som er DLL-filer. Moduler sendt fra C&C kommandoserveren kan udføres som eksterne programmer, afspejles i RAM og lanceres i nye tråde. Til lagring gemmes moduler i .dtt-filer og kodes ved hjælp af RC4-algoritmen med den samme nøgle, der bruges til netværkskommunikation.
Indtil videre har vi observeret installationen af VNC-modulet (8966319882494077C21F66A8354E2CBCA0370464), browser-dataudtræksmodulet (03DE8622BE6B2F75A364A275995C3411626C4D-modulet 9EF1C2D) 1EF562C1D (69EF6c58C88753D, 7EF0C3D) C4FBAXNUMX BXNUMXBEXNUMXDXNUMXBXNUMXEXNUMXCFAB).
For at indlæse VNC-modulet udsender C&C-serveren en kommando, der anmoder om forbindelser til VNC-serveren på en specifik IP-adresse på port 44443. Browserens datahentningsplugin udfører TBrowserDataCollector, som kan læse IE-browserhistorikken. Derefter sender den hele listen over besøgte URL'er til C&C-kommandoserveren.
Det sidst opdagede modul hedder 1c_2_kl. Den kan interagere med 1C Enterprise-softwarepakken. Modulet indeholder to dele: hoveddelen - DLL og to agenter (32 og 64 bit), som vil blive injiceret i hver proces, der registrerer en binding til WH_CBT. Efter at være blevet introduceret i 1C-processen, binder modulet CreateFile- og WriteFile-funktionerne. Når funktionen CreateFile bound kaldes, gemmer modulet filstien 1c_to_kl.txt i hukommelsen. Efter at have opsnappet WriteFile-kaldet, kalder den WriteFile-funktionen og sender filstien 1c_to_kl.txt til DLL-hovedmodulet og sender den den udformede Windows WM_COPYDATA-meddelelse.
Hoved-DLL-modulet åbner og analyserer filen for at bestemme betalingsordrer. Den genkender beløbet og transaktionsnummeret i filen. Disse oplysninger sendes til kommandoserveren. Vi mener, at dette modul i øjeblikket er under udvikling, fordi det indeholder en fejlretningsmeddelelse og ikke automatisk kan ændre 1c_to_kl.txt.
4.8.2. Privilegium eskalering
RTM kan forsøge at eskalere privilegier ved at vise falske fejlmeddelelser. Malwaren simulerer en registreringskontrol (se billedet nedenfor) eller bruger et rigtigt registreringseditor-ikon. Bemærk venligst stavefejlen vente - whait. Efter et par sekunders scanning viser programmet en falsk fejlmeddelelse.
En falsk besked vil nemt vildlede den gennemsnitlige bruger, trods grammatiske fejl. Hvis brugeren klikker på et af de to links, vil RTM forsøge at eskalere sine privilegier i systemet.
Efter at have valgt en af to gendannelsesmuligheder, starter trojaneren DLL'en ved hjælp af indstillingen runas i ShellExecute-funktionen med administratorrettigheder. Brugeren vil se en rigtig Windows-prompt (se billedet nedenfor) for elevation. Hvis brugeren giver de nødvendige tilladelser, vil trojaneren køre med administratorrettigheder.
Afhængigt af standardsproget, der er installeret på systemet, viser trojaneren fejlmeddelelser på russisk eller engelsk.
4.8.3. Certifikat
RTM kan tilføje certifikater til Windows Store og bekræfte pålideligheden af tilføjelsen ved automatisk at klikke på "ja"-knappen i csrss.exe-dialogboksen. Denne adfærd er ikke ny; for eksempel bekræfter banktrojanske Retefe også selvstændigt installationen af et nyt certifikat.
4.8.4. Omvendt forbindelse
RTM-forfatterne skabte også Backconnect TCP-tunnelen. Vi har endnu ikke set funktionen i brug, men den er designet til at fjernovervåge inficerede pc'er.
4.8.5. Host filhåndtering
C&C-serveren kan sende en kommando til trojaneren for at ændre Windows-værtsfilen. Værtsfilen bruges til at oprette brugerdefinerede DNS-opløsninger.
4.8.6. Find og send en fil
Serveren kan anmode om at søge og downloade en fil på det inficerede system. For eksempel modtog vi under researchen en anmodning om filen 1c_to_kl.txt. Som tidligere beskrevet er denne fil genereret af 1C: Enterprise 8 regnskabssystemet.
4.8.7. Opdatering
Endelig kan RTM-forfattere opdatere softwaren ved at indsende en ny DLL til at erstatte den nuværende version.
5. Konklusion
RTM's forskning viser, at det russiske banksystem stadig tiltrækker cyberangribere. Grupper som Buhtrap, Corkow og Carbanak stjæler med succes penge fra finansielle institutioner og deres kunder i Rusland. RTM er en ny spiller i denne branche.
Ondsindede RTM-værktøjer har været i brug siden mindst slutningen af 2015, ifølge ESET telemetri. Programmet har et komplet udvalg af spionagefunktioner, herunder læsning af smart cards, opsnapning af tastetryk og overvågning af banktransaktioner, samt søgning efter 1C: Enterprise 8 transportfiler.
Brugen af et decentraliseret, ucensureret .bit-topniveaudomæne sikrer en meget robust infrastruktur.
Kilde: www.habr.com