Es gibt mehrere bekannte Cyber-Gruppen, die sich darauf spezialisiert haben, Gelder von russischen Unternehmen zu stehlen. Wir haben Angriffe gesehen, die Sicherheitslücken ausnutzten, die den Zugriff auf das Netzwerk des Ziels ermöglichten. Sobald sie Zugriff erhalten, untersuchen Angreifer die Netzwerkstruktur der Organisation und setzen ihre eigenen Tools ein, um Gelder zu stehlen. Ein klassisches Beispiel für diesen Trend sind die Hackergruppen Buhtrap, Cobalt und Corkow.
Die RTM-Gruppe, auf die sich dieser Bericht konzentriert, ist Teil dieses Trends. Es verwendet speziell entwickelte, in Delphi geschriebene Malware, auf die wir in den folgenden Abschnitten näher eingehen werden. Die ersten Spuren dieser Tools im ESET-Telemetriesystem wurden Ende 2015 entdeckt. Das Team lädt je nach Bedarf verschiedene neue Module auf infizierte Systeme. Die Angriffe richten sich gegen Benutzer von Remote-Banking-Systemen in Russland und einigen Nachbarländern.
1. Ziele
Die RTM-Kampagne richtet sich an Unternehmensanwender – das zeigt sich deutlich an den Prozessen, die Angreifer in einem kompromittierten System zu erkennen versuchen. Der Schwerpunkt liegt auf Buchhaltungssoftware für die Arbeit mit Remote-Banking-Systemen.
Die Liste der für RTM interessanten Prozesse ähnelt der entsprechenden Liste der Buhtrap-Gruppe, aber die Gruppen haben unterschiedliche Infektionsvektoren. Während Buhtrap häufiger gefälschte Seiten verwendete, nutzte RTM Drive-by-Download-Angriffe (Angriffe auf den Browser oder seine Komponenten) und Spam per E-Mail. Den Telemetriedaten zufolge richtet sich die Bedrohung gegen Russland und mehrere Nachbarländer (Ukraine, Kasachstan, Tschechien, Deutschland). Aufgrund der Verwendung von Massenverteilungsmechanismen ist die Erkennung von Malware außerhalb der Zielregionen jedoch nicht überraschend.
Die Gesamtzahl der Malware-Erkennungen ist relativ gering. Andererseits nutzt die RTM-Kampagne komplexe Programme, was darauf hindeutet, dass die Angriffe sehr zielgerichtet sind.
Wir haben mehrere von RTM verwendete Täuschungsdokumente entdeckt, darunter nicht vorhandene Verträge, Rechnungen oder Steuerbuchhaltungsdokumente. Die Art der Köder sowie die Art der Software, auf die der Angriff abzielt, deuten darauf hin, dass die Angreifer über die Buchhaltungsabteilung in die Netzwerke russischer Unternehmen „eindringen“. Die Gruppe handelte nach dem gleichen Schema in 2014-2015
Während der Recherche konnten wir mit mehreren C&C-Servern interagieren. Wir werden in den folgenden Abschnitten die vollständige Liste der Befehle auflisten, aber vorerst können wir sagen, dass der Client Daten vom Keylogger direkt an den angreifenden Server überträgt, von dem dann weitere Befehle empfangen werden.
Allerdings sind die Zeiten vorbei, in denen Sie einfach eine Verbindung zu einem Befehls- und Kontrollserver herstellen und alle Daten sammeln konnten, die Sie interessierten. Wir haben realistische Protokolldateien neu erstellt, um einige relevante Befehle vom Server zu erhalten.
Die erste davon ist eine Aufforderung an den Bot, die Datei 1c_to_kl.txt zu übertragen – eine Transportdatei des Programms 1C: Enterprise 8, deren Erscheinungsbild von RTM aktiv überwacht wird. 1C interagiert mit Remote-Banking-Systemen, indem es Daten zu ausgehenden Zahlungen in eine Textdatei hochlädt. Anschließend wird die Datei zur Automatisierung und Ausführung des Zahlungsauftrags an das Remote-Banking-System gesendet.
Die Datei enthält Zahlungsdetails. Ändern Angreifer die Informationen über ausgehende Zahlungen, wird die Überweisung unter falschen Angaben an die Konten der Angreifer gesendet.
Ungefähr einen Monat nachdem wir diese Dateien vom Befehls- und Kontrollserver angefordert hatten, beobachteten wir, dass ein neues Plugin, 1c_2_kl.dll, auf das kompromittierte System geladen wurde. Das Modul (DLL) ist so konzipiert, dass es die heruntergeladene Datei automatisch analysiert, indem es in die Prozesse der Buchhaltungssoftware eindringt. Wir werden es in den folgenden Abschnitten ausführlich beschreiben.
Interessanterweise veröffentlichte FinCERT der Bank of Russia Ende 2016 eine Warnung vor Cyberkriminellen, die 1c_to_kl.txt-Upload-Dateien verwenden. Auch Entwickler von 1C wissen von diesem Schema, sie haben bereits eine offizielle Stellungnahme abgegeben und Vorsichtsmaßnahmen aufgeführt.
Auch andere Module wurden vom Kommandoserver geladen, insbesondere VNC (seine 32- und 64-Bit-Versionen). Es ähnelt dem VNC-Modul, das zuvor bei Dridex-Trojaner-Angriffen verwendet wurde. Dieses Modul wird angeblich verwendet, um eine Fernverbindung zu einem infizierten Computer herzustellen und eine detaillierte Untersuchung des Systems durchzuführen. Als nächstes versuchen die Angreifer, sich im Netzwerk zu bewegen, Benutzerkennwörter zu extrahieren, Informationen zu sammeln und sicherzustellen, dass ständig Malware vorhanden ist.
2. Infektionsvektoren
Die folgende Abbildung zeigt die im Untersuchungszeitraum der Kampagne entdeckten Infektionsvektoren. Die Gruppe nutzt eine Vielzahl von Vektoren, hauptsächlich jedoch Drive-by-Download-Angriffe und Spam. Diese Tools sind praktisch für gezielte Angriffe, da Angreifer im ersten Fall Websites auswählen können, die von potenziellen Opfern besucht werden, und im zweiten Fall E-Mails mit Anhängen direkt an die gewünschten Mitarbeiter des Unternehmens senden können.
Die Malware wird über mehrere Kanäle verbreitet, darunter RIG- und Sundown-Exploit-Kits oder Spam-Mailings, was auf Verbindungen zwischen den Angreifern und anderen Cyberangreifern hinweist, die diese Dienste anbieten.
2.1. Wie hängen RTM und Buhtrap zusammen?
Die RTM-Kampagne ist Buhtrap sehr ähnlich. Die natürliche Frage ist: Wie hängen sie miteinander zusammen?
Im September 2016 beobachteten wir die Verbreitung eines RTM-Beispiels mithilfe des Buhtrap-Uploaders. Darüber hinaus haben wir zwei digitale Zertifikate gefunden, die sowohl in Buhtrap als auch in RTM verwendet werden.
Das erste, das angeblich an das Unternehmen DNISTER-M ausgegeben wurde, wurde verwendet, um das zweite Delphi-Formular digital zu unterzeichnen (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) und BUHTRAP DLL (SHA-1: 1E2642B454B2a889c6b41116d83cdb6b2cdb4890bXNUMXbXNUMXbXNUMXbXNUMXbXNUMXbXNUMXt .
Die zweite, an Bit-Tredj ausgegebene, wurde zum Signieren von Buhtrap-Loadern (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 und B74F71560E48488D2153AE2FB51207A0AC206E2B) sowie zum Herunterladen und Installieren von RTM-Komponenten verwendet.
RTM-Betreiber verwenden Zertifikate, die auch bei anderen Malware-Familien üblich sind, verfügen aber auch über ein eindeutiges Zertifikat. Laut ESET-Telemetrie wurde es an Kit-SD ausgegeben und nur zum Signieren einiger RTM-Malware verwendet (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM verwendet denselben Loader wie Buhtrap. RTM-Komponenten werden von der Buhtrap-Infrastruktur geladen, sodass die Gruppen ähnliche Netzwerkindikatoren haben. Nach unseren Schätzungen handelt es sich bei RTM und Buhtrap jedoch um unterschiedliche Gruppen, zumindest weil RTM auf unterschiedliche Weise verbreitet wird (nicht nur über einen „fremden“ Downloader).
Dennoch nutzen Hackergruppen ähnliche Arbeitsprinzipien. Sie nehmen Unternehmen ins Visier, die Buchhaltungssoftware verwenden, sammeln auf ähnliche Weise Systeminformationen, suchen nach Smartcard-Lesegeräten und setzen eine Reihe bösartiger Tools ein, um Opfer auszuspionieren.
3. Entwicklung
In diesem Abschnitt werden wir uns die verschiedenen Versionen von Malware ansehen, die während der Studie gefunden wurden.
3.1. Versionierung
RTM speichert Konfigurationsdaten in einem Registrierungsabschnitt, wobei der interessanteste Teil das Botnet-Präfix ist. Eine Liste aller Werte, die wir in den von uns untersuchten Proben gesehen haben, finden Sie in der folgenden Tabelle.
Möglicherweise könnten die Werte zur Erfassung von Malware-Versionen genutzt werden. Allerdings haben wir keinen großen Unterschied zwischen Versionen wie Bit2 und Bit3, 0.1.6.4 und 0.1.6.6 festgestellt. Darüber hinaus gibt es eines der Präfixe von Anfang an und hat sich von einer typischen C&C-Domäne zu einer .bit-Domäne entwickelt, wie weiter unten gezeigt wird.
3.2. Zeitplan
Mithilfe von Telemetriedaten haben wir ein Diagramm des Vorkommens von Proben erstellt.
4. Technische Analyse
In diesem Abschnitt beschreiben wir die Hauptfunktionen des RTM-Banking-Trojaners, darunter Widerstandsmechanismen, eine eigene Version des RC4-Algorithmus, Netzwerkprotokoll, Spionagefunktionalität und einige andere Funktionen. Insbesondere werden wir uns auf die SHA-1-Beispiele AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 und 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B konzentrieren.
4.1. Installation und Speicherung
4.1.1. Umsetzung
Der RTM-Kern ist eine DLL, die Bibliothek wird per .EXE auf die Festplatte geladen. Die ausführbare Datei ist normalerweise gepackt und enthält DLL-Code. Nach dem Start extrahiert es die DLL und führt sie mit dem folgenden Befehl aus:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. DLL
Die Haupt-DLL wird immer als winlogon.lnk im Ordner %PROGRAMDATA%Winlogon auf die Festplatte geladen. Diese Dateierweiterung ist normalerweise mit einer Verknüpfung verbunden, aber die Datei ist tatsächlich eine in Delphi geschriebene DLL, die vom Entwickler core.dll genannt wird, wie im Bild unten gezeigt.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Nach dem Start aktiviert der Trojaner seinen Widerstandsmechanismus. Dies kann je nach den Berechtigungen des Opfers im System auf zwei verschiedene Arten erfolgen. Wenn Sie über Administratorrechte verfügen, fügt der Trojaner einen Windows Update-Eintrag zur HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun-Registrierung hinzu. Die in Windows Update enthaltenen Befehle werden zu Beginn der Benutzersitzung ausgeführt.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe „%PROGRAMDATA%winlogon.lnk“,DllGetClassObject-Host
Der Trojaner versucht außerdem, eine Aufgabe zum Windows-Taskplaner hinzuzufügen. Die Aufgabe startet die winlogon.lnk-DLL mit denselben Parametern wie oben. Mit regulären Benutzerrechten kann der Trojaner einen Windows Update-Eintrag mit denselben Daten zur HKCUSoftwareMicrosoftWindowsCurrentVersionRun-Registrierung hinzufügen:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Modifizierter RC4-Algorithmus
Trotz seiner bekannten Mängel wird der RC4-Algorithmus regelmäßig von Malware-Autoren verwendet. Allerdings haben die Entwickler von RTM es leicht modifiziert, wahrscheinlich um die Aufgabe von Virenanalysten zu erschweren. Eine modifizierte Version von RC4 wird häufig in bösartigen RTM-Tools zum Verschlüsseln von Zeichenfolgen, Netzwerkdaten, Konfigurationen und Modulen verwendet.
4.2.1. Unterschiede
Der ursprüngliche RC4-Algorithmus umfasst zwei Stufen: S-Block-Initialisierung (auch bekannt als KSA – Key-Scheduling-Algorithmus) und pseudozufällige Sequenzgenerierung (PRGA – Pseudo-Random Generation Algorithm). Im ersten Schritt wird die S-Box mit dem Schlüssel initialisiert, im zweiten Schritt wird der Quelltext mithilfe der S-Box zur Verschlüsselung verarbeitet.
Die RTM-Autoren haben einen Zwischenschritt zwischen der S-Box-Initialisierung und der Verschlüsselung hinzugefügt. Der Zusatzschlüssel ist variabel und wird gleichzeitig mit den zu verschlüsselnden und zu entschlüsselnden Daten festgelegt. Die Funktion, die diesen zusätzlichen Schritt ausführt, ist in der folgenden Abbildung dargestellt.
4.2.2. String-Verschlüsselung
Auf den ersten Blick gibt es in der Haupt-DLL mehrere lesbare Zeilen. Der Rest wird mit dem oben beschriebenen Algorithmus verschlüsselt, dessen Struktur in der folgenden Abbildung dargestellt ist. In den analysierten Proben haben wir mehr als 25 verschiedene RC4-Schlüssel zur String-Verschlüsselung gefunden. Der XOR-Schlüssel ist für jede Zeile unterschiedlich. Der Wert des numerischen Felds, das die Zeilen trennt, ist immer 0xFFFFFFFF.
Zu Beginn der Ausführung entschlüsselt RTM die Zeichenfolgen in eine globale Variable. Wenn es für den Zugriff auf eine Zeichenfolge erforderlich ist, berechnet der Trojaner dynamisch die Adresse der entschlüsselten Zeichenfolgen basierend auf der Basisadresse und dem Offset.
Die Strings enthalten interessante Informationen über die Funktionsweise der Schadsoftware. Einige Beispielzeichenfolgen finden Sie in Abschnitt 6.8.
4.3. Netzwerk
Die Art und Weise, wie RTM-Malware den C&C-Server kontaktiert, variiert von Version zu Version. Bei den ersten Änderungen (Oktober 2015 – April 2016) wurden traditionelle Domänennamen zusammen mit einem RSS-Feed auf livejournal.com verwendet, um die Liste der Befehle zu aktualisieren.
Seit April 2016 beobachten wir bei Telemetriedaten eine Verlagerung hin zu .bit-Domänen. Dies wird durch das Domainregistrierungsdatum bestätigt – die erste RTM-Domain fde05d0573da.bit wurde am 13. März 2016 registriert.
Alle URLs, die wir während der Überwachung der Kampagne sahen, hatten einen gemeinsamen Pfad: /r/z.php. Das ist ziemlich ungewöhnlich und hilft dabei, RTM-Anfragen in Netzwerkflüssen zu identifizieren.
4.3.1. Kanal für Befehle und Kontrolle
Ältere Beispiele nutzten diesen Kanal, um ihre Liste der Befehls- und Kontrollserver zu aktualisieren. Das Hosting erfolgt unter livejournal.com, zum Zeitpunkt der Erstellung des Berichts blieb es unter der URL hxxp://f72bba81c921(.)livejournal(.)com/data/rss.
Livejournal ist ein russisch-amerikanisches Unternehmen, das eine Blogging-Plattform bereitstellt. RTM-Betreiber erstellen einen LJ-Blog, in dem sie einen Artikel mit codierten Befehlen veröffentlichen – siehe Screenshot.
Befehls- und Steuerzeilen werden mit einem modifizierten RC4-Algorithmus codiert (Abschnitt 4.2). Die aktuelle Version (November 2016) des Kanals enthält die folgenden Befehls- und Kontrollserveradressen:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. .bit-Domänen
In den neuesten RTM-Beispielen stellen Autoren über die .bit-TLD-Top-Level-Domain eine Verbindung zu C&C-Domänen her. Sie steht nicht auf der ICANN-Liste (Domain Name and Internet Corporation) der Top-Level-Domains. Stattdessen wird das Namecoin-System verwendet, das auf der Bitcoin-Technologie aufbaut. Malware-Autoren verwenden die .bit-TLD nicht oft für ihre Domains, obwohl ein Beispiel für eine solche Verwendung bereits zuvor in einer Version des Necurs-Botnetzes beobachtet wurde.
Im Gegensatz zu Bitcoin haben Benutzer der verteilten Namecoin-Datenbank die Möglichkeit, Daten zu speichern. Die Hauptanwendung dieser Funktion ist die .bit-Top-Level-Domain. Sie können Domänen registrieren, die in einer verteilten Datenbank gespeichert werden. Die entsprechenden Einträge in der Datenbank enthalten von der Domäne aufgelöste IP-Adressen. Diese TLD ist „zensurresistent“, da nur der Registrant die Auflösung der .bit-Domain ändern kann. Dies bedeutet, dass es viel schwieriger ist, eine bösartige Domain zu stoppen, die diese Art von TLD verwendet.
Der RTM-Trojaner integriert nicht die Software, die zum Lesen der verteilten Namecoin-Datenbank erforderlich ist. Es verwendet zentrale DNS-Server wie dns.dot-bit.org oder OpenNic-Server, um .bit-Domänen aufzulösen. Daher hat er die gleiche Haltbarkeit wie DNS-Server. Wir haben festgestellt, dass einige Team-Domänen nicht mehr erkannt wurden, nachdem sie in einem Blog-Beitrag erwähnt wurden.
Ein weiterer Vorteil der .bit-TLD für Hacker sind die Kosten. Für die Registrierung einer Domain müssen Betreiber lediglich 0,01 NK bezahlen, was 0,00185 $ entspricht (Stand: 5. Dezember 2016). Zum Vergleich: domain.com kostet mindestens 10 $.
4.3.3. Protokoll
Zur Kommunikation mit dem Befehls- und Steuerungsserver verwendet RTM HTTP-POST-Anfragen mit Daten, die mit einem benutzerdefinierten Protokoll formatiert wurden. Der Pfadwert ist immer /r/z.php; Mozilla/5.0-Benutzeragent (kompatibel; MSIE 9.0; Windows NT 6.1; Trident/5.0). Bei Anfragen an den Server werden die Daten wie folgt formatiert, wobei die Offsetwerte in Bytes ausgedrückt werden:
Die Bytes 0 bis 6 sind nicht kodiert; Bytes ab 6 werden mit einem modifizierten RC4-Algorithmus codiert. Die Struktur des C&C-Antwortpakets ist einfacher. Bytes werden von 4 bis Paketgröße codiert.
Die Liste der möglichen Aktionsbytewerte ist in der folgenden Tabelle aufgeführt:
Die Malware berechnet stets den CRC32 der entschlüsselten Daten und vergleicht ihn mit dem, was im Paket vorhanden ist. Wenn sie unterschiedlich sind, verwirft der Trojaner das Paket.
Die zusätzlichen Daten können verschiedene Objekte enthalten, darunter eine PE-Datei, eine zu durchsuchende Datei im Dateisystem oder neue Befehls-URLs.
4.3.4. Panel
Uns ist aufgefallen, dass RTM ein Panel auf C&C-Servern verwendet. Screenshot unten:
4.4. Charakteristisches Zeichen
RTM ist ein typischer Banking-Trojaner. Es ist keine Überraschung, dass Betreiber Informationen über das System des Opfers wünschen. Einerseits sammelt der Bot allgemeine Informationen über das Betriebssystem. Andererseits wird herausgefunden, ob das kompromittierte System Attribute enthält, die mit russischen Remote-Banking-Systemen in Verbindung stehen.
4.4.1. Allgemeine Information
Wenn Malware installiert oder nach einem Neustart gestartet wird, wird ein Bericht an den Befehls- und Kontrollserver gesendet, der allgemeine Informationen enthält, darunter:
- Zeitzone;
- Standardsystemsprache;
- Anmeldeinformationen autorisierter Benutzer;
- Prozessintegritätsniveau;
- Benutzername;
- Computername;
- OS Version;
- zusätzlich installierte Module;
- installiertes Antivirenprogramm;
- Liste der Smartcard-Lesegeräte.
4.4.2 Remote-Banking-System
Ein typisches Trojaner-Ziel ist ein Remote-Banking-System, und RTM bildet da keine Ausnahme. Eines der Module des Programms heißt TBdo und führt verschiedene Aufgaben aus, darunter das Scannen von Datenträgern und den Browserverlauf.
Durch Scannen der Festplatte prüft der Trojaner, ob Banksoftware auf dem Rechner installiert ist. Die vollständige Liste der Zielprogramme finden Sie in der folgenden Tabelle. Nachdem das Programm eine Datei von Interesse erkannt hat, sendet es Informationen an den Befehlsserver. Die nächsten Aktionen hängen von der Logik ab, die von den Algorithmen der Kommandozentrale (C&C) vorgegeben wird.
RTM sucht auch nach URL-Mustern in Ihrem Browserverlauf und in geöffneten Tabs. Darüber hinaus untersucht das Programm die Verwendung der Funktionen FindNextUrlCacheEntryA und FindFirstUrlCacheEntryA und überprüft außerdem jeden Eintrag darauf, ob die URL einem der folgenden Muster entspricht:
Nachdem der Trojaner offene Tabs erkannt hat, kontaktiert er Internet Explorer oder Firefox über den Dynamic Data Exchange (DDE)-Mechanismus, um zu prüfen, ob der Tab mit dem Muster übereinstimmt.
Die Überprüfung Ihres Browserverlaufs und geöffneter Tabs erfolgt in einer WHILE-Schleife (einer Schleife mit einer Vorbedingung) mit einer Pause von 1 Sekunde zwischen den Überprüfungen. Weitere Daten, die in Echtzeit überwacht werden, werden in Abschnitt 4.5 besprochen.
Wenn ein Muster gefunden wird, meldet das Programm dies anhand einer Liste von Zeichenfolgen aus der folgenden Tabelle an den Befehlsserver:
4.5 Überwachung
Während der Trojaner ausgeführt wird, werden Informationen über die charakteristischen Merkmale des infizierten Systems (einschließlich Informationen über das Vorhandensein von Banksoftware) an den Befehls- und Kontrollserver gesendet. Fingerabdrücke treten auf, wenn RTM das Überwachungssystem unmittelbar nach dem ersten Betriebssystem-Scan zum ersten Mal ausführt.
4.5.1. Remote-Banking
Das TBdo-Modul ist auch für die Überwachung bankrelevanter Prozesse zuständig. Es nutzt den dynamischen Datenaustausch, um Tabs in Firefox und Internet Explorer während des ersten Scans zu überprüfen. Ein weiteres TShell-Modul dient zur Überwachung von Befehlsfenstern (Internet Explorer oder Datei-Explorer).
Das Modul nutzt die COM-Schnittstellen IShellWindows, iWebBrowser, DWebBrowserEvents2 und IConnectionPointContainer zur Überwachung von Fenstern. Wenn ein Benutzer zu einer neuen Webseite navigiert, bemerkt die Malware dies. Anschließend wird die Seiten-URL mit den oben genannten Mustern verglichen. Nachdem eine Übereinstimmung festgestellt wurde, erstellt der Trojaner sechs aufeinanderfolgende Screenshots im Abstand von 5 Sekunden und sendet diese an den C&S-Befehlsserver. Das Programm überprüft auch einige Fensternamen im Zusammenhang mit Banksoftware – die vollständige Liste finden Sie unten:
4.5.2. Chipkarte
Mit RTM können Sie Smartcard-Lesegeräte überwachen, die an infizierte Computer angeschlossen sind. Diese Geräte werden in einigen Ländern zum Abgleich von Zahlungsaufträgen verwendet. Wenn ein solches Gerät an einen Computer angeschlossen ist, könnte es einem Trojaner signalisieren, dass der Computer für Banktransaktionen verwendet wird.
Im Gegensatz zu anderen Banking-Trojanern kann RTM nicht mit solchen Smartcards interagieren. Möglicherweise ist diese Funktionalität in einem zusätzlichen Modul enthalten, das wir noch nicht gesehen haben.
4.5.3. Keylogger
Ein wichtiger Teil der Überwachung eines infizierten PCs ist die Erfassung von Tastenanschlägen. Es scheint, dass den RTM-Entwicklern keine Informationen entgehen, da sie nicht nur reguläre Tasten, sondern auch die virtuelle Tastatur und die Zwischenablage überwachen.
Verwenden Sie dazu die SetWindowsHookExA-Funktion. Angreifer protokollieren die gedrückten Tasten bzw. die der virtuellen Tastatur entsprechenden Tasten sowie den Namen und das Datum des Programms. Der Puffer wird dann an den C&C-Befehlsserver gesendet.
Die SetClipboardViewer-Funktion wird zum Abfangen der Zwischenablage verwendet. Hacker protokollieren den Inhalt der Zwischenablage, wenn es sich bei den Daten um Text handelt. Name und Datum werden ebenfalls protokolliert, bevor der Puffer an den Server gesendet wird.
4.5.4. Screenshots
Eine weitere RTM-Funktion ist das Abfangen von Screenshots. Die Funktion wird angewendet, wenn das Fensterüberwachungsmodul eine interessante Site oder Banking-Software erkennt. Mithilfe einer Bibliothek grafischer Bilder werden Screenshots erstellt und an den Befehlsserver übertragen.
4.6. Deinstallation
Der C&C-Server kann die Ausführung der Malware stoppen und Ihren Computer bereinigen. Mit dem Befehl können Sie Dateien und Registrierungseinträge löschen, die während der Ausführung von RTM erstellt wurden. Die DLL wird dann verwendet, um die Malware und die Winlogon-Datei zu entfernen, woraufhin der Befehl den Computer herunterfährt. Wie in der Abbildung unten gezeigt, wird die DLL von Entwicklern mithilfe von erase.dll entfernt.
Der Server kann dem Trojaner einen destruktiven Uninstall-Lock-Befehl senden. Wenn Sie über Administratorrechte verfügen, löscht RTM in diesem Fall den MBR-Bootsektor auf der Festplatte. Wenn dies fehlschlägt, versucht der Trojaner, den MBR-Bootsektor in einen zufälligen Sektor zu verschieben – dann kann der Computer das Betriebssystem nach dem Herunterfahren nicht starten. Dies kann zu einer kompletten Neuinstallation des Betriebssystems führen, was die Vernichtung von Beweismitteln bedeutet.
Ohne Administratorrechte schreibt die Malware eine .EXE-Datei, die in der zugrunde liegenden RTM-DLL codiert ist. Die ausführbare Datei führt den zum Herunterfahren des Computers erforderlichen Code aus und registriert das Modul im Registrierungsschlüssel HKCUCurrentVersionRun. Jedes Mal, wenn der Benutzer eine Sitzung startet, wird der Computer sofort heruntergefahren.
4.7. Die Konfigurationsdatei
Standardmäßig verfügt RTM fast über keine Konfigurationsdatei, aber der Befehls- und Kontrollserver kann Konfigurationswerte senden, die in der Registrierung gespeichert und vom Programm verwendet werden. Die Liste der Konfigurationsschlüssel ist in der folgenden Tabelle aufgeführt:
Die Konfiguration wird im Registrierungsschlüssel Software[Pseudozufallszeichenfolge] gespeichert. Jeder Wert entspricht einer der in der vorherigen Tabelle dargestellten Zeilen. Werte und Daten werden mit dem RC4-Algorithmus in RTM kodiert.
Die Daten haben die gleiche Struktur wie ein Netzwerk oder Strings. Am Anfang der kodierten Daten wird ein Vier-Byte-XOR-Schlüssel hinzugefügt. Bei Konfigurationswerten ist der XOR-Schlüssel unterschiedlich und hängt von der Größe des Werts ab. Es kann wie folgt berechnet werden:
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)
4.8. Andere Funktionen
Schauen wir uns als Nächstes andere Funktionen an, die RTM unterstützt.
4.8.1. Zusatzmodule
Der Trojaner enthält zusätzliche Module, bei denen es sich um DLL-Dateien handelt. Vom C&C-Befehlsserver gesendete Module können als externe Programme ausgeführt, im RAM reflektiert und in neuen Threads gestartet werden. Zur Speicherung werden Module in .dtt-Dateien gespeichert und mit dem RC4-Algorithmus mit demselben Schlüssel codiert, der für die Netzwerkkommunikation verwendet wird.
Bisher haben wir die Installation des VNC-Moduls (8966319882494077C21F66A8354E2CBCA0370464), des Browser-Datenextraktionsmoduls (03DE8622BE6B2F75A364A275995C3411626C4D9F) und des 1c_2_kl-Moduls (B1EE562E1F69EFC) beobachtet 6FBA58 B88753BE7D0B3E4CFAB).
Um das VNC-Modul zu laden, gibt der C&C-Server einen Befehl aus, der Verbindungen zum VNC-Server unter einer bestimmten IP-Adresse an Port 44443 anfordert. Das Browser-Datenabruf-Plugin führt TBrowserDataCollector aus, der den IE-Browserverlauf lesen kann. Anschließend sendet es die vollständige Liste der besuchten URLs an den C&C-Befehlsserver.
Das zuletzt entdeckte Modul heißt 1c_2_kl. Es kann mit dem Softwarepaket 1C Enterprise interagieren. Das Modul besteht aus zwei Teilen: dem Hauptteil – der DLL und zwei Agenten (32 und 64 Bit), die in jeden Prozess eingefügt werden und eine Bindung an WH_CBT registrieren. Nachdem das Modul in den 1C-Prozess eingeführt wurde, bindet es die Funktionen CreateFile und WriteFile. Immer wenn die gebundene Funktion „CreateFile“ aufgerufen wird, speichert das Modul den Dateipfad 1c_to_kl.txt im Speicher. Nach dem Abfangen des WriteFile-Aufrufs ruft es die WriteFile-Funktion auf und sendet den Dateipfad 1c_to_kl.txt an das Haupt-DLL-Modul und übergibt ihm die manipulierte Windows-WM_COPYDATA-Nachricht.
Das Haupt-DLL-Modul öffnet und analysiert die Datei, um Zahlungsaufträge zu ermitteln. Es erkennt den in der Datei enthaltenen Betrag und die Transaktionsnummer. Diese Informationen werden an den Befehlsserver gesendet. Wir gehen davon aus, dass sich dieses Modul derzeit in der Entwicklung befindet, da es eine Debug-Meldung enthält und 1c_to_kl.txt nicht automatisch ändern kann.
4.8.2. Eskalation von Berechtigungen
RTM versucht möglicherweise, Berechtigungen zu erweitern, indem es falsche Fehlermeldungen anzeigt. Die Malware simuliert eine Registrierungsprüfung (siehe Bild unten) oder verwendet ein echtes Registrierungseditor-Symbol. Bitte beachten Sie die Rechtschreibfehler „wait – wait“. Nach einigen Sekunden des Scannens zeigt das Programm eine falsche Fehlermeldung an.
Eine falsche Nachricht kann den durchschnittlichen Benutzer trotz grammatikalischer Fehler leicht täuschen. Wenn der Benutzer auf einen der beiden Links klickt, versucht RTM, seine Berechtigungen im System zu erweitern.
Nach Auswahl einer von zwei Wiederherstellungsoptionen startet der Trojaner die DLL mithilfe der Option runas in der ShellExecute-Funktion mit Administratorrechten. Dem Benutzer wird eine echte Windows-Eingabeaufforderung (siehe Abbildung unten) zur Angabe der Höhe angezeigt. Wenn der Benutzer die erforderlichen Berechtigungen erteilt, wird der Trojaner mit Administratorrechten ausgeführt.
Abhängig von der auf dem System installierten Standardsprache zeigt der Trojaner Fehlermeldungen auf Russisch oder Englisch an.
4.8.3. Zertifikat
RTM kann Zertifikate zum Windows Store hinzufügen und die Zuverlässigkeit des Hinzufügens bestätigen, indem es im Dialogfeld csrss.exe automatisch auf die Schaltfläche „Ja“ klickt. Dieses Verhalten ist nicht neu; beispielsweise bestätigt auch der Banking-Trojaner Retefe selbstständig die Installation eines neuen Zertifikats.
4.8.4. Umgekehrte Verbindung
Die RTM-Autoren haben auch den Backconnect TCP-Tunnel erstellt. Wir haben die Funktion noch nicht im Einsatz gesehen, sie dient jedoch der Fernüberwachung infizierter PCs.
4.8.5. Host-Dateiverwaltung
Der C&C-Server kann einen Befehl an den Trojaner senden, um die Windows-Hostdatei zu ändern. Die Hostdatei wird zum Erstellen benutzerdefinierter DNS-Auflösungen verwendet.
4.8.6. Suchen und senden Sie eine Datei
Der Server fordert möglicherweise an, eine Datei auf dem infizierten System zu suchen und herunterzuladen. Während der Recherche erhielten wir beispielsweise eine Anfrage für die Datei 1c_to_kl.txt. Wie bereits beschrieben, wird diese Datei vom Buchhaltungssystem 1C: Enterprise 8 generiert.
4.8.7. Aktualisieren
Schließlich können RTM-Autoren die Software aktualisieren, indem sie eine neue DLL einreichen, um die aktuelle Version zu ersetzen.
5. Заключение
Die Untersuchungen von RTM zeigen, dass das russische Bankensystem immer noch Cyber-Angreifer anzieht. Gruppen wie Buhtrap, Corkow und Carbanak stehlen erfolgreich Geld von Finanzinstituten und ihren Kunden in Russland. RTM ist ein neuer Player in dieser Branche.
Laut ESET-Telemetrie sind schädliche RTM-Tools seit mindestens Ende 2015 im Einsatz. Das Programm verfügt über umfassende Spionagefunktionen, darunter das Lesen von Smartcards, das Abfangen von Tastenanschlägen und die Überwachung von Banktransaktionen sowie die Suche nach 1C: Enterprise 8-Transportdateien.
Die Verwendung einer dezentralen, unzensierten .bit-Top-Level-Domain gewährleistet eine äußerst belastbare Infrastruktur.
Source: habr.com