Υπάρχουν αρκετές γνωστές ομάδες στον κυβερνοχώρο που ειδικεύονται στην κλοπή κεφαλαίων από ρωσικές εταιρείες. Έχουμε δει επιθέσεις χρησιμοποιώντας κενά ασφαλείας που επιτρέπουν την πρόσβαση στο δίκτυο του στόχου. Μόλις αποκτήσουν πρόσβαση, οι εισβολείς μελετούν τη δομή του δικτύου του οργανισμού και αναπτύσσουν τα δικά τους εργαλεία για να κλέψουν χρήματα. Κλασικό παράδειγμα αυτής της τάσης είναι οι ομάδες χάκερ Buhtrap, Cobalt και Corkow.
Η ομάδα RTM στην οποία εστιάζει αυτή η έκθεση αποτελεί μέρος αυτής της τάσης. Χρησιμοποιεί ειδικά σχεδιασμένο κακόβουλο λογισμικό γραμμένο στους Δελφούς, το οποίο θα δούμε αναλυτικότερα στις επόμενες ενότητες. Τα πρώτα ίχνη αυτών των εργαλείων στο σύστημα τηλεμετρίας ESET ανακαλύφθηκαν στα τέλη του 2015. Η ομάδα φορτώνει διάφορες νέες μονάδες σε μολυσμένα συστήματα όπως απαιτείται. Οι επιθέσεις στοχεύουν χρήστες απομακρυσμένων τραπεζικών συστημάτων στη Ρωσία και σε ορισμένες γειτονικές χώρες.
1. Γκολ
Η καμπάνια RTM απευθύνεται σε εταιρικούς χρήστες - αυτό είναι προφανές από τις διαδικασίες που προσπαθούν να εντοπίσουν οι εισβολείς σε ένα παραβιασμένο σύστημα. Η εστίαση είναι στο λογιστικό λογισμικό για εργασία με απομακρυσμένα τραπεζικά συστήματα.
Η λίστα των διεργασιών που ενδιαφέρουν το RTM μοιάζει με την αντίστοιχη λίστα της ομάδας Buhtrap, αλλά οι ομάδες έχουν διαφορετικούς φορείς μόλυνσης. Εάν ο Buhtrap χρησιμοποιούσε πιο συχνά ψεύτικες σελίδες, τότε η RTM χρησιμοποιούσε επιθέσεις λήψης μέσω οδήγησης (επιθέσεις στο πρόγραμμα περιήγησης ή τα στοιχεία του) και ανεπιθύμητη αλληλογραφία μέσω email. Σύμφωνα με στοιχεία τηλεμετρίας, η απειλή στοχεύει τη Ρωσία και αρκετές γειτονικές χώρες (Ουκρανία, Καζακστάν, Τσεχία, Γερμανία). Ωστόσο, λόγω της χρήσης μηχανισμών μαζικής διανομής, ο εντοπισμός κακόβουλου λογισμικού εκτός των περιοχών-στόχων δεν προκαλεί έκπληξη.
Ο συνολικός αριθμός ανιχνεύσεων κακόβουλου λογισμικού είναι σχετικά μικρός. Από την άλλη πλευρά, η καμπάνια RTM χρησιμοποιεί πολύπλοκα προγράμματα, γεγονός που δείχνει ότι οι επιθέσεις είναι εξαιρετικά στοχευμένες.
Ανακαλύψαμε πολλά παραπλανητικά έγγραφα που χρησιμοποιούνται από την RTM, συμπεριλαμβανομένων ανύπαρκτων συμβολαίων, τιμολογίων ή φορολογικών λογιστικών εγγράφων. Η φύση των δολωμάτων, σε συνδυασμό με τον τύπο του λογισμικού που στοχεύει η επίθεση, δείχνει ότι οι επιτιθέμενοι «μπαίνουν» στα δίκτυα των ρωσικών εταιρειών μέσω του λογιστηρίου. Η ομάδα ενήργησε σύμφωνα με το ίδιο σχέδιο το 2014-2015
Κατά τη διάρκεια της έρευνας, μπορέσαμε να αλληλεπιδράσουμε με αρκετούς διακομιστές C&C. Θα παραθέσουμε την πλήρη λίστα εντολών στις επόμενες ενότητες, αλλά προς το παρόν μπορούμε να πούμε ότι ο πελάτης μεταφέρει δεδομένα από το keylogger απευθείας στον διακομιστή που επιτίθεται, από τον οποίο στη συνέχεια λαμβάνονται πρόσθετες εντολές.
Ωστόσο, οι μέρες που μπορούσατε απλώς να συνδεθείτε σε έναν διακομιστή εντολών και ελέγχου και να συλλέξετε όλα τα δεδομένα που σας ενδιέφεραν έχουν παρέλθει. Δημιουργήσαμε ξανά ρεαλιστικά αρχεία καταγραφής για να λάβουμε κάποιες σχετικές εντολές από τον διακομιστή.
Το πρώτο από αυτά είναι ένα αίτημα προς το bot να μεταφέρει το αρχείο 1c_to_kl.txt - ένα αρχείο μεταφοράς του προγράμματος 1C: Enterprise 8, η εμφάνιση του οποίου παρακολουθείται ενεργά από το RTM. Το 1C αλληλεπιδρά με απομακρυσμένα τραπεζικά συστήματα μεταφορτώνοντας δεδομένα για εξερχόμενες πληρωμές σε ένα αρχείο κειμένου. Στη συνέχεια, το αρχείο αποστέλλεται στο απομακρυσμένο τραπεζικό σύστημα για αυτοματοποίηση και εκτέλεση της εντολής πληρωμής.
Το αρχείο περιέχει στοιχεία πληρωμής. Εάν οι εισβολείς αλλάξουν τις πληροφορίες σχετικά με τις εξερχόμενες πληρωμές, η μεταφορά θα σταλεί με ψευδείς λεπτομέρειες στους λογαριασμούς των εισβολέων.
Περίπου ένα μήνα αφότου ζητήσαμε αυτά τα αρχεία από τον διακομιστή εντολών και ελέγχου, παρατηρήσαμε μια νέα προσθήκη, 1c_2_kl.dll, να φορτώνεται στο παραβιασμένο σύστημα. Η ενότητα (DLL) έχει σχεδιαστεί για να αναλύει αυτόματα το αρχείο λήψης διεισδύοντας στις διαδικασίες του λογιστικού λογισμικού. Θα το περιγράψουμε αναλυτικά στις επόμενες ενότητες.
Είναι ενδιαφέρον ότι το FinCERT της Τράπεζας της Ρωσίας στα τέλη του 2016 εξέδωσε ένα δελτίο προειδοποίησης για εγκληματίες στον κυβερνοχώρο που χρησιμοποιούν αρχεία μεταφόρτωσης 1c_to_kl.txt. Οι προγραμματιστές από το 1C γνωρίζουν επίσης για αυτό το σχέδιο· έχουν ήδη κάνει επίσημη δήλωση και έχουν αναφέρει προφυλάξεις.
Άλλες μονάδες φορτώθηκαν επίσης από τον διακομιστή εντολών, ιδιαίτερα το VNC (οι εκδόσεις 32 και 64 bit του). Μοιάζει με τη μονάδα VNC που χρησιμοποιήθηκε στο παρελθόν σε επιθέσεις Dridex Trojan. Αυτή η μονάδα υποτίθεται ότι χρησιμοποιείται για την απομακρυσμένη σύνδεση σε έναν μολυσμένο υπολογιστή και τη διεξαγωγή λεπτομερούς μελέτης του συστήματος. Στη συνέχεια, οι εισβολείς προσπαθούν να μετακινηθούν στο δίκτυο, εξάγοντας κωδικούς πρόσβασης χρηστών, συλλέγοντας πληροφορίες και διασφαλίζοντας τη συνεχή παρουσία κακόβουλου λογισμικού.
2. Φορείς μόλυνσης
Το παρακάτω σχήμα δείχνει τους φορείς μόλυνσης που εντοπίστηκαν κατά την περίοδο μελέτης της εκστρατείας. Η ομάδα χρησιμοποιεί ένα ευρύ φάσμα διανυσμάτων, αλλά κυρίως επιθέσεις λήψης και ανεπιθύμητη αλληλογραφία κατά τη λήψη. Αυτά τα εργαλεία είναι βολικά για στοχευμένες επιθέσεις, αφού στην πρώτη περίπτωση, οι εισβολείς μπορούν να επιλέξουν ιστότοπους που επισκέπτονται πιθανά θύματα και στη δεύτερη, μπορούν να στείλουν email με συνημμένα απευθείας στους υπαλλήλους της εταιρείας που επιθυμούν.
Το κακόβουλο λογισμικό διανέμεται μέσω πολλαπλών καναλιών, συμπεριλαμβανομένων των κιτ εκμετάλλευσης RIG και Sundown ή αποστολών ανεπιθύμητης αλληλογραφίας, υποδεικνύοντας τις συνδέσεις μεταξύ των εισβολέων και άλλων κυβερνοεπιθέσεων που προσφέρουν αυτές τις υπηρεσίες.
2.1. Πώς σχετίζονται το RTM και το Buhtrap;
Η καμπάνια RTM μοιάζει πολύ με την Buhtrap. Το φυσικό ερώτημα είναι: πώς συνδέονται μεταξύ τους;
Τον Σεπτέμβριο του 2016, παρατηρήσαμε ένα δείγμα RTM να διανέμεται χρησιμοποιώντας το πρόγραμμα μεταφόρτωσης Buhtrap. Επιπλέον, βρήκαμε δύο ψηφιακά πιστοποιητικά που χρησιμοποιούνται τόσο στο Buhtrap όσο και στο RTM.
Το πρώτο, που φέρεται να εκδόθηκε στην εταιρεία DNISTER-M, χρησιμοποιήθηκε για την ψηφιακή υπογραφή του δεύτερου εντύπου Delphi (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) και του Buhtrap DLL (SHA-1: 1E2642BDCD 454F2D889).
Το δεύτερο, που εκδόθηκε για την Bit-Tredj, χρησιμοποιήθηκε για την υπογραφή φορτωτών Buhtrap (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 και B74F71560E48488D2153AE2FB51207), καθώς και για την εγκατάσταση στοιχείων R0AE206FB2.
Οι χειριστές RTM χρησιμοποιούν πιστοποιητικά που είναι κοινά σε άλλες οικογένειες κακόβουλου λογισμικού, αλλά διαθέτουν επίσης ένα μοναδικό πιστοποιητικό. Σύμφωνα με την τηλεμετρία της ESET, εκδόθηκε στο Kit-SD και χρησιμοποιήθηκε μόνο για την υπογραφή κάποιου κακόβουλου λογισμικού RTM (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
Το RTM χρησιμοποιεί τον ίδιο φορτωτή με το Buhtrap, τα στοιχεία RTM φορτώνονται από την υποδομή Buhtrap, επομένως οι ομάδες έχουν παρόμοιους δείκτες δικτύου. Ωστόσο, σύμφωνα με τις εκτιμήσεις μας, το RTM και το Buhtrap είναι διαφορετικές ομάδες, τουλάχιστον επειδή το RTM διανέμεται με διαφορετικούς τρόπους (όχι μόνο χρησιμοποιώντας "ξένο" πρόγραμμα λήψης).
Παρόλα αυτά, οι ομάδες χάκερ χρησιμοποιούν παρόμοιες αρχές λειτουργίας. Στοχεύουν επιχειρήσεις που χρησιμοποιούν λογιστικό λογισμικό, συλλέγουν παρομοίως πληροφορίες συστήματος, αναζητούν συσκευές ανάγνωσης έξυπνων καρτών και αναπτύσσουν μια σειρά από κακόβουλα εργαλεία για να κατασκοπεύουν τα θύματα.
3. Εξέλιξη
Σε αυτήν την ενότητα, θα εξετάσουμε τις διαφορετικές εκδόσεις κακόβουλου λογισμικού που βρέθηκαν κατά τη διάρκεια της μελέτης.
3.1. Εκδόσεις
Το RTM αποθηκεύει δεδομένα διαμόρφωσης σε μια ενότητα μητρώου, με το πιο ενδιαφέρον μέρος να είναι το πρόθεμα botnet. Μια λίστα με όλες τις τιμές που είδαμε στα δείγματα που μελετήσαμε παρουσιάζεται στον παρακάτω πίνακα.
Είναι πιθανό ότι οι τιμές θα μπορούσαν να χρησιμοποιηθούν για την εγγραφή εκδόσεων κακόβουλου λογισμικού. Ωστόσο, δεν παρατηρήσαμε μεγάλη διαφορά μεταξύ εκδόσεων όπως bit2 και bit3, 0.1.6.4 και 0.1.6.6. Επιπλέον, ένα από τα προθέματα υπάρχει από την αρχή και έχει εξελιχθεί από έναν τυπικό τομέα C&C σε έναν τομέα .bit, όπως θα παρουσιαστεί παρακάτω.
3.2. Πρόγραμμα
Χρησιμοποιώντας δεδομένα τηλεμετρίας, δημιουργήσαμε ένα γράφημα της εμφάνισης των δειγμάτων.
4. Τεχνική ανάλυση
Σε αυτήν την ενότητα, θα περιγράψουμε τις κύριες λειτουργίες του τραπεζικού Trojan RTM, συμπεριλαμβανομένων των μηχανισμών αντίστασης, της δικής του έκδοσης του αλγόριθμου RC4, του πρωτοκόλλου δικτύου, της λειτουργικότητας κατασκοπείας και ορισμένων άλλων χαρακτηριστικών. Συγκεκριμένα, θα επικεντρωθούμε στα δείγματα SHA-1 AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 και 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. Εγκατάσταση και αποθήκευση
4.1.1. Εκτέλεση
Ο πυρήνας RTM είναι ένα DLL, η βιβλιοθήκη φορτώνεται στο δίσκο χρησιμοποιώντας .EXE. Το εκτελέσιμο αρχείο είναι συνήθως συσκευασμένο και περιέχει κώδικα DLL. Μόλις εκκινηθεί, εξάγει το DLL και το εκτελεί χρησιμοποιώντας την ακόλουθη εντολή:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. DLL
Το κύριο DLL φορτώνεται πάντα στο δίσκο ως winlogon.lnk στο φάκελο %PROGRAMDATA%Winlogon. Αυτή η επέκταση αρχείου συνήθως σχετίζεται με μια συντόμευση, αλλά το αρχείο είναι στην πραγματικότητα ένα DLL γραμμένο στους Δελφούς, που ονομάζεται core.dll από τον προγραμματιστή, όπως φαίνεται στην παρακάτω εικόνα.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Μόλις εκτοξευθεί, το Trojan ενεργοποιεί τον μηχανισμό αντίστασής του. Αυτό μπορεί να γίνει με δύο διαφορετικούς τρόπους, ανάλογα με τα προνόμια του θύματος στο σύστημα. Εάν έχετε δικαιώματα διαχειριστή, ο Trojan προσθέτει μια καταχώρηση του Windows Update στο μητρώο HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun. Οι εντολές που περιέχονται στο Windows Update θα εκτελούνται κατά την έναρξη της συνεδρίας του χρήστη.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject κεντρικός υπολογιστής
Ο Trojan προσπαθεί επίσης να προσθέσει μια εργασία στον Προγραμματιστή εργασιών των Windows. Η εργασία θα ξεκινήσει το winlogon.lnk DLL με τις ίδιες παραμέτρους όπως παραπάνω. Τα δικαιώματα τακτικού χρήστη επιτρέπουν στον Trojan να προσθέσει μια καταχώρηση του Windows Update με τα ίδια δεδομένα στο μητρώο HKCUSoftwareMicrosoftWindowsCurrentVersionRun:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Τροποποιημένος αλγόριθμος RC4
Παρά τις γνωστές του ελλείψεις, ο αλγόριθμος RC4 χρησιμοποιείται τακτικά από δημιουργούς κακόβουλου λογισμικού. Ωστόσο, οι δημιουργοί του RTM το τροποποίησαν ελαφρώς, πιθανώς για να κάνουν πιο δύσκολο το έργο των αναλυτών ιών. Μια τροποποιημένη έκδοση του RC4 χρησιμοποιείται ευρέως σε κακόβουλα εργαλεία RTM για την κρυπτογράφηση συμβολοσειρών, δεδομένων δικτύου, διαμόρφωσης και λειτουργικών μονάδων.
4.2.1. Διαφορές
Ο αρχικός αλγόριθμος RC4 περιλαμβάνει δύο στάδια: αρχικοποίηση s-block (γνωστός και ως KSA - Key-Scheduling Algorithm) και δημιουργία ψευδοτυχαίας ακολουθίας (PRGA - Pseudo-Random Generation Algorithm). Το πρώτο στάδιο περιλαμβάνει την προετοιμασία του s-box χρησιμοποιώντας το κλειδί και στο δεύτερο στάδιο το κείμενο προέλευσης επεξεργάζεται χρησιμοποιώντας το s-box για κρυπτογράφηση.
Οι συντάκτες του RTM πρόσθεσαν ένα ενδιάμεσο βήμα μεταξύ της προετοιμασίας του s-box και της κρυπτογράφησης. Το πρόσθετο κλειδί είναι μεταβλητό και ρυθμίζεται ταυτόχρονα με τα δεδομένα που θα κρυπτογραφηθούν και θα αποκρυπτογραφηθούν. Η λειτουργία που εκτελεί αυτό το πρόσθετο βήμα φαίνεται στο παρακάτω σχήμα.
4.2.2. Κρυπτογράφηση συμβολοσειράς
Με την πρώτη ματιά, υπάρχουν αρκετές ευανάγνωστες γραμμές στο κύριο DLL. Τα υπόλοιπα κρυπτογραφούνται χρησιμοποιώντας τον αλγόριθμο που περιγράφηκε παραπάνω, η δομή του οποίου φαίνεται στο παρακάτω σχήμα. Βρήκαμε περισσότερα από 25 διαφορετικά κλειδιά RC4 για κρυπτογράφηση συμβολοσειρών στα δείγματα που αναλύθηκαν. Το κλειδί XOR είναι διαφορετικό για κάθε σειρά. Η τιμή των γραμμών που διαχωρίζουν το αριθμητικό πεδίο είναι πάντα 0xFFFFFFFF.
Στην αρχή της εκτέλεσης, το RTM αποκρυπτογραφεί τις συμβολοσειρές σε μια καθολική μεταβλητή. Όταν είναι απαραίτητο για πρόσβαση σε μια συμβολοσειρά, το Trojan υπολογίζει δυναμικά τη διεύθυνση των αποκρυπτογραφημένων συμβολοσειρών με βάση τη διεύθυνση βάσης και τη μετατόπιση.
Οι συμβολοσειρές περιέχουν ενδιαφέρουσες πληροφορίες σχετικά με τις λειτουργίες του κακόβουλου λογισμικού. Ορισμένα παραδείγματα συμβολοσειρών παρέχονται στην Ενότητα 6.8.
4.3. Δίκτυο
Ο τρόπος με τον οποίο το κακόβουλο λογισμικό RTM έρχεται σε επαφή με τον διακομιστή C&C διαφέρει από έκδοση σε έκδοση. Οι πρώτες τροποποιήσεις (Οκτώβριος 2015 – Απρίλιος 2016) χρησιμοποίησαν παραδοσιακά ονόματα τομέα μαζί με μια ροή RSS στο livejournal.com για την ενημέρωση της λίστας εντολών.
Από τον Απρίλιο του 2016, έχουμε δει μια στροφή σε τομείς .bit στα δεδομένα τηλεμετρίας. Αυτό επιβεβαιώνεται από την ημερομηνία εγγραφής τομέα - ο πρώτος τομέας RTM fde05d0573da.bit καταχωρήθηκε στις 13 Μαρτίου 2016.
Όλες οι διευθύνσεις URL που είδαμε κατά την παρακολούθηση της καμπάνιας είχαν μια κοινή διαδρομή: /r/z.php. Είναι αρκετά ασυνήθιστο και θα βοηθήσει στον εντοπισμό αιτημάτων RTM στις ροές δικτύου.
4.3.1. Κανάλι για εντολές και έλεγχο
Παραδείγματα παλαιού τύπου χρησιμοποίησαν αυτό το κανάλι για να ενημερώσουν τη λίστα των διακομιστών εντολών και ελέγχου. Η φιλοξενία βρίσκεται στη διεύθυνση livejournal.com, τη στιγμή της σύνταξης της αναφοράς παρέμεινε στη διεύθυνση URL hxxp://f72bba81c921(.)livejournal(.)com/ data/rss.
Η Livejournal είναι μια ρωσοαμερικανική εταιρεία που παρέχει μια πλατφόρμα blogging. Οι χειριστές RTM δημιουργούν ένα ιστολόγιο LJ στο οποίο δημοσιεύουν ένα άρθρο με κωδικοποιημένες εντολές - δείτε στιγμιότυπο οθόνης.
Οι γραμμές εντολών και ελέγχου κωδικοποιούνται χρησιμοποιώντας έναν τροποποιημένο αλγόριθμο RC4 (Ενότητα 4.2). Η τρέχουσα έκδοση (Νοέμβριος 2016) του καναλιού περιέχει τις ακόλουθες διευθύνσεις διακομιστή εντολών και ελέγχου:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. τομείς .bit
Στα πιο πρόσφατα δείγματα RTM, οι συντάκτες συνδέονται με τομείς C&C χρησιμοποιώντας τον τομέα ανώτατου επιπέδου .bit TLD. Δεν περιλαμβάνεται στη λίστα τομέων ανώτατου επιπέδου του ICANN (Όνομα τομέα και Internet Corporation). Αντίθετα, χρησιμοποιεί το σύστημα Namecoin, το οποίο είναι χτισμένο πάνω στην τεχνολογία Bitcoin. Οι συντάκτες κακόβουλου λογισμικού δεν χρησιμοποιούν συχνά το .bit TLD για τους τομείς τους, αν και ένα παράδειγμα τέτοιας χρήσης έχει παρατηρηθεί παλαιότερα σε μια έκδοση του botnet Necurs.
Σε αντίθεση με το Bitcoin, οι χρήστες της κατανεμημένης βάσης δεδομένων Namecoin έχουν τη δυνατότητα να αποθηκεύουν δεδομένα. Η κύρια εφαρμογή αυτής της δυνατότητας είναι ο τομέας ανώτατου επιπέδου .bit. Μπορείτε να καταχωρίσετε τομείς που θα αποθηκευτούν σε μια κατανεμημένη βάση δεδομένων. Οι αντίστοιχες καταχωρήσεις στη βάση δεδομένων περιέχουν διευθύνσεις IP που επιλύονται από τον τομέα. Αυτό το TLD είναι "ανθεκτικό στη λογοκρισία" επειδή μόνο ο καταχωρίζων μπορεί να αλλάξει την ανάλυση του τομέα .bit. Αυτό σημαίνει ότι είναι πολύ πιο δύσκολο να σταματήσετε έναν κακόβουλο τομέα χρησιμοποιώντας αυτόν τον τύπο TLD.
Το RTM Trojan δεν ενσωματώνει το λογισμικό που είναι απαραίτητο για την ανάγνωση της κατανεμημένης βάσης δεδομένων Namecoin. Χρησιμοποιεί κεντρικούς διακομιστές DNS, όπως διακομιστές dns.dot-bit.org ή OpenNic για την επίλυση τομέων .bit. Επομένως, έχει την ίδια αντοχή με τους διακομιστές DNS. Παρατηρήσαμε ότι ορισμένοι τομείς ομάδας δεν εντοπίστηκαν πλέον αφού αναφέρθηκαν σε μια ανάρτηση ιστολογίου.
Ένα άλλο πλεονέκτημα του .bit TLD για τους χάκερ είναι το κόστος. Για την εγγραφή ενός τομέα, οι χειριστές πρέπει να πληρώσουν μόνο 0,01 NK, που αντιστοιχεί σε 0,00185 $ (από τις 5 Δεκεμβρίου 2016). Για σύγκριση, το domain.com κοστίζει τουλάχιστον 10 $.
4.3.3. Πρωτόκολλο
Για να επικοινωνήσει με τον διακομιστή εντολών και ελέγχου, το RTM χρησιμοποιεί αιτήματα HTTP POST με δεδομένα μορφοποιημένα χρησιμοποιώντας ένα προσαρμοσμένο πρωτόκολλο. Η τιμή της διαδρομής είναι πάντα /r/z.php; Mozilla/5.0 user agent (συμβατό; MSIE 9.0; Windows NT 6.1; Trident/5.0). Σε αιτήματα προς τον διακομιστή, τα δεδομένα μορφοποιούνται ως εξής, όπου οι τιμές μετατόπισης εκφράζονται σε byte:
Τα byte 0 έως 6 δεν είναι κωδικοποιημένα. Τα byte που ξεκινούν από το 6 κωδικοποιούνται χρησιμοποιώντας έναν τροποποιημένο αλγόριθμο RC4. Η δομή του πακέτου απόκρισης C&C είναι απλούστερη. Τα byte κωδικοποιούνται από 4 σε μέγεθος πακέτου.
Η λίστα με τις πιθανές τιμές byte ενέργειας παρουσιάζεται στον παρακάτω πίνακα:
Το κακόβουλο λογισμικό υπολογίζει πάντα το CRC32 των αποκρυπτογραφημένων δεδομένων και το συγκρίνει με αυτό που υπάρχει στο πακέτο. Εάν διαφέρουν, ο Trojan απορρίπτει το πακέτο.
Τα πρόσθετα δεδομένα μπορεί να περιέχουν διάφορα αντικείμενα, όπως ένα αρχείο PE, ένα αρχείο προς αναζήτηση στο σύστημα αρχείων ή νέες διευθύνσεις URL εντολών.
4.3.4. Πίνακας
Παρατηρήσαμε ότι το RTM χρησιμοποιεί ένα πάνελ σε διακομιστές C&C. Στιγμιότυπο οθόνης παρακάτω:
4.4. Χαρακτηριστικό σημάδι
Το RTM είναι ένα τυπικό τραπεζικό Trojan. Δεν αποτελεί έκπληξη το γεγονός ότι οι χειριστές θέλουν πληροφορίες για το σύστημα του θύματος. Από τη μία πλευρά, το bot συλλέγει γενικές πληροφορίες σχετικά με το λειτουργικό σύστημα. Από την άλλη πλευρά, ανακαλύπτει εάν το παραβιασμένο σύστημα περιέχει χαρακτηριστικά που σχετίζονται με τα ρωσικά απομακρυσμένα τραπεζικά συστήματα.
4.4.1. Γενικές πληροφορίες
Όταν εγκαθίσταται ή εκκινείται κακόβουλο λογισμικό μετά από επανεκκίνηση, αποστέλλεται μια αναφορά στον διακομιστή εντολών και ελέγχου που περιέχει γενικές πληροφορίες, όπως:
- Ζώνη ώρας;
- προεπιλεγμένη γλώσσα συστήματος.
- εξουσιοδοτημένα διαπιστευτήρια χρήστη·
- επίπεδο ακεραιότητας της διαδικασίας·
- Όνομα χρήστη;
- όνομα υπολογιστή·
- Έκδοση λειτουργικού συστήματος.
- πρόσθετες εγκατεστημένες μονάδες.
- εγκατεστημένο πρόγραμμα προστασίας από ιούς.
- λίστα με συσκευές ανάγνωσης έξυπνων καρτών.
4.4.2 Τραπεζικό σύστημα εξ αποστάσεως
Ένας τυπικός στόχος Trojan είναι ένα απομακρυσμένο τραπεζικό σύστημα και το RTM δεν αποτελεί εξαίρεση. Ένα από τα modules του προγράμματος ονομάζεται TBdo, το οποίο εκτελεί διάφορες εργασίες, συμπεριλαμβανομένης της σάρωσης δίσκων και του ιστορικού περιήγησης.
Με τη σάρωση του δίσκου, ο Trojan ελέγχει εάν το τραπεζικό λογισμικό είναι εγκατεστημένο στο μηχάνημα. Ο πλήρης κατάλογος των προγραμμάτων-στόχων βρίσκεται στον παρακάτω πίνακα. Έχοντας εντοπίσει ένα αρχείο ενδιαφέροντος, το πρόγραμμα στέλνει πληροφορίες στον διακομιστή εντολών. Οι επόμενες ενέργειες εξαρτώνται από τη λογική που καθορίζεται από τους αλγόριθμους του κέντρου εντολών (C&C).
Το RTM αναζητά επίσης μοτίβα URL στο ιστορικό του προγράμματος περιήγησής σας και στις ανοιχτές καρτέλες. Επιπλέον, το πρόγραμμα εξετάζει τη χρήση των συναρτήσεων FindNextUrlCacheEntryA και FindFirstUrlCacheEntryA και ελέγχει επίσης κάθε καταχώρηση ώστε να ταιριάζει με τη διεύθυνση URL σε ένα από τα ακόλουθα μοτίβα:
Έχοντας εντοπίσει ανοιχτές καρτέλες, ο Trojan επικοινωνεί με τον Internet Explorer ή τον Firefox μέσω του μηχανισμού Dynamic Data Exchange (DDE) για να ελέγξει εάν η καρτέλα ταιριάζει με το μοτίβο.
Ο έλεγχος του ιστορικού περιήγησής σας και των ανοιχτών καρτελών πραγματοποιείται σε βρόχο WHILE (βρόχος με προϋπόθεση) με διάλειμμα 1 δευτερολέπτου μεταξύ των ελέγχων. Άλλα δεδομένα που παρακολουθούνται σε πραγματικό χρόνο θα συζητηθούν στην ενότητα 4.5.
Εάν βρεθεί ένα μοτίβο, το πρόγραμμα το αναφέρει στον διακομιστή εντολών χρησιμοποιώντας μια λίστα συμβολοσειρών από τον ακόλουθο πίνακα:
4.5 Παρακολούθηση
Ενώ εκτελείται το Trojan, πληροφορίες σχετικά με τα χαρακτηριστικά γνωρίσματα του μολυσμένου συστήματος (συμπεριλαμβανομένων πληροφοριών σχετικά με την παρουσία τραπεζικού λογισμικού) αποστέλλονται στον διακομιστή εντολών και ελέγχου. Το δακτυλικό αποτύπωμα εμφανίζεται όταν το RTM εκτελεί για πρώτη φορά το σύστημα παρακολούθησης αμέσως μετά την αρχική σάρωση του λειτουργικού συστήματος.
4.5.1. Απομακρυσμένη τραπεζική
Η ενότητα TBdo είναι επίσης υπεύθυνη για την παρακολούθηση των τραπεζικών διαδικασιών. Χρησιμοποιεί δυναμική ανταλλαγή δεδομένων για τον έλεγχο των καρτελών στον Firefox και στον Internet Explorer κατά την αρχική σάρωση. Μια άλλη λειτουργική μονάδα TShell χρησιμοποιείται για την παρακολούθηση των παραθύρων εντολών (Internet Explorer ή File Explorer).
Η λειτουργική μονάδα χρησιμοποιεί τις διεπαφές COM IShellWindows, iWebBrowser, DWebBrowserEvents2 και IConnectionPointContainer για την παρακολούθηση των παραθύρων. Όταν ένας χρήστης πλοηγείται σε μια νέα ιστοσελίδα, το κακόβουλο λογισμικό το σημειώνει αυτό. Στη συνέχεια συγκρίνει τη διεύθυνση URL της σελίδας με τα παραπάνω μοτίβα. Έχοντας εντοπίσει μια αντιστοίχιση, ο Trojan λαμβάνει έξι διαδοχικά στιγμιότυπα οθόνης με διάστημα 5 δευτερολέπτων και τα στέλνει στον διακομιστή εντολών C&S. Το πρόγραμμα ελέγχει επίσης ορισμένα ονόματα παραθύρων που σχετίζονται με το τραπεζικό λογισμικό - η πλήρης λίστα είναι παρακάτω:
4.5.2. Εξυπνη κάρτα
Το RTM σάς επιτρέπει να παρακολουθείτε συσκευές ανάγνωσης έξυπνων καρτών που είναι συνδεδεμένες σε μολυσμένους υπολογιστές. Αυτές οι συσκευές χρησιμοποιούνται σε ορισμένες χώρες για τη συμφωνία εντολών πληρωμής. Εάν αυτός ο τύπος συσκευής είναι συνδεδεμένος σε υπολογιστή, θα μπορούσε να υποδεικνύει σε έναν Trojan ότι το μηχάνημα χρησιμοποιείται για τραπεζικές συναλλαγές.
Σε αντίθεση με άλλα τραπεζικά Trojans, το RTM δεν μπορεί να αλληλεπιδράσει με τέτοιες έξυπνες κάρτες. Ίσως αυτή η λειτουργία περιλαμβάνεται σε μια πρόσθετη ενότητα που δεν έχουμε δει ακόμα.
4.5.3. Keylogger
Ένα σημαντικό μέρος της παρακολούθησης ενός μολυσμένου υπολογιστή είναι η λήψη πλήκτρων. Φαίνεται ότι από τους προγραμματιστές του RTM δεν λείπει καμία πληροφορία, αφού παρακολουθούν όχι μόνο τα κανονικά πλήκτρα, αλλά και το εικονικό πληκτρολόγιο και το πρόχειρο.
Για να το κάνετε αυτό, χρησιμοποιήστε τη συνάρτηση SetWindowsHookExA. Οι εισβολείς καταγράφουν τα πλήκτρα που πατήθηκαν ή τα πλήκτρα που αντιστοιχούν στο εικονικό πληκτρολόγιο, μαζί με το όνομα και την ημερομηνία του προγράμματος. Στη συνέχεια, το buffer αποστέλλεται στον διακομιστή εντολών C&C.
Η συνάρτηση SetClipboardViewer χρησιμοποιείται για την παρεμπόδιση του προχείρου. Οι χάκερ καταγράφουν τα περιεχόμενα του προχείρου όταν τα δεδομένα είναι κείμενο. Το όνομα και η ημερομηνία καταγράφονται επίσης πριν από την αποστολή του buffer στον διακομιστή.
4.5.4. Στιγμιότυπα οθόνης
Μια άλλη λειτουργία RTM είναι η παρακολούθηση στιγμιότυπου οθόνης. Η δυνατότητα εφαρμόζεται όταν η μονάδα παρακολούθησης παραθύρου εντοπίζει έναν ιστότοπο ή ένα τραπεζικό λογισμικό που σας ενδιαφέρει. Τα στιγμιότυπα οθόνης λαμβάνονται χρησιμοποιώντας μια βιβλιοθήκη εικόνων γραφικών και μεταφέρονται στον διακομιστή εντολών.
4.6. Απεγκατάσταση
Ο διακομιστής C&C μπορεί να σταματήσει την εκτέλεση του κακόβουλου λογισμικού και να καθαρίσει τον υπολογιστή σας. Η εντολή σάς επιτρέπει να διαγράψετε αρχεία και καταχωρήσεις μητρώου που δημιουργήθηκαν ενώ εκτελείται το RTM. Στη συνέχεια, το DLL χρησιμοποιείται για την αφαίρεση του κακόβουλου λογισμικού και του αρχείου winlogon, μετά το οποίο η εντολή τερματίζει τη λειτουργία του υπολογιστή. Όπως φαίνεται στην παρακάτω εικόνα, το DLL καταργείται από προγραμματιστές που χρησιμοποιούν το erase.dll.
Ο διακομιστής μπορεί να στείλει στον Trojan μια καταστροφική εντολή uninstall-lock. Σε αυτήν την περίπτωση, εάν έχετε δικαιώματα διαχειριστή, το RTM θα διαγράψει τον τομέα εκκίνησης MBR στον σκληρό δίσκο. Εάν αυτό δεν λειτουργήσει, ο Trojan θα προσπαθήσει να μετατοπίσει τον τομέα εκκίνησης MBR σε έναν τυχαίο τομέα - τότε ο υπολογιστής δεν θα μπορεί να εκκινήσει το λειτουργικό σύστημα μετά τον τερματισμό. Αυτό μπορεί να οδηγήσει σε πλήρη επανεγκατάσταση του λειτουργικού συστήματος, που σημαίνει την καταστροφή αποδεικτικών στοιχείων.
Χωρίς δικαιώματα διαχειριστή, το κακόβουλο λογισμικό γράφει ένα .EXE που κωδικοποιείται στο υποκείμενο RTM DLL. Το εκτελέσιμο εκτελεί τον κώδικα που απαιτείται για τον τερματισμό της λειτουργίας του υπολογιστή και καταχωρεί τη λειτουργική μονάδα στο κλειδί μητρώου HKCUCurrentVersionRun. Κάθε φορά που ο χρήστης ξεκινά μια περίοδο λειτουργίας, ο υπολογιστής τερματίζεται αμέσως.
4.7. Το αρχείο ρυθμίσεων
Από προεπιλογή, το RTM δεν έχει σχεδόν κανένα αρχείο διαμόρφωσης, αλλά ο διακομιστής εντολών και ελέγχου μπορεί να στείλει τιμές διαμόρφωσης που θα αποθηκευτούν στο μητρώο και θα χρησιμοποιηθούν από το πρόγραμμα. Η λίστα των κλειδιών διαμόρφωσης παρουσιάζεται στον παρακάτω πίνακα:
Η διαμόρφωση αποθηκεύεται στο κλειδί μητρώου Software[Pseudo-random string]. Κάθε τιμή αντιστοιχεί σε μία από τις σειρές που παρουσιάζονται στον προηγούμενο πίνακα. Οι τιμές και τα δεδομένα κωδικοποιούνται χρησιμοποιώντας τον αλγόριθμο RC4 στο RTM.
Τα δεδομένα έχουν την ίδια δομή με ένα δίκτυο ή συμβολοσειρές. Ένα κλειδί XOR τεσσάρων byte προστίθεται στην αρχή των κωδικοποιημένων δεδομένων. Για τις τιμές διαμόρφωσης, το κλειδί XOR είναι διαφορετικό και εξαρτάται από το μέγεθος της τιμής. Μπορεί να υπολογιστεί ως εξής:
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)
4.8. Άλλες λειτουργίες
Στη συνέχεια, ας δούμε άλλες λειτουργίες που υποστηρίζει το RTM.
4.8.1. Πρόσθετες ενότητες
Το Trojan περιλαμβάνει πρόσθετες μονάδες, οι οποίες είναι αρχεία DLL. Οι μονάδες που αποστέλλονται από τον διακομιστή εντολών C&C μπορούν να εκτελεστούν ως εξωτερικά προγράμματα, να αντικατοπτρίζονται στη μνήμη RAM και να εκκινούνται σε νέα νήματα. Για αποθήκευση, οι μονάδες αποθηκεύονται σε αρχεία .dtt και κωδικοποιούνται χρησιμοποιώντας τον αλγόριθμο RC4 με το ίδιο κλειδί που χρησιμοποιείται για τις επικοινωνίες δικτύου.
Μέχρι στιγμής έχουμε παρατηρήσει την εγκατάσταση της μονάδας VNC (8966319882494077C21F66A8354E2CBCA0370464), της μονάδας εξαγωγής δεδομένων του προγράμματος περιήγησης (03DE8622BE6B2F75A364A275995C3411626F_4C9) και της μονάδας 1EE2F (1DE562BE1B69F6A58A88753C7F_0C3) EFC4FBAXNUMX BXNUMXBEXNUMXDXNUMXBXNUMXEXNUMXCFAB).
Για τη φόρτωση της μονάδας VNC, ο διακομιστής C&C εκδίδει μια εντολή που ζητά συνδέσεις με τον διακομιστή VNC σε μια συγκεκριμένη διεύθυνση IP στη θύρα 44443. Το πρόσθετο ανάκτησης δεδομένων του προγράμματος περιήγησης εκτελεί το TBrowserDataCollector, το οποίο μπορεί να διαβάσει το ιστορικό περιήγησης IE. Στη συνέχεια, στέλνει την πλήρη λίστα των διευθύνσεων URL που επισκέφθηκες στον διακομιστή εντολών C&C.
Η τελευταία ενότητα που ανακαλύφθηκε ονομάζεται 1c_2_kl. Μπορεί να αλληλεπιδράσει με το πακέτο λογισμικού 1C Enterprise. Η ενότητα περιλαμβάνει δύο μέρη: το κύριο μέρος - DLL και δύο πράκτορες (32 και 64 bit), οι οποίοι θα εγχυθούν σε κάθε διεργασία, καταγράφοντας μια σύνδεση στο WH_CBT. Έχοντας εισαχθεί στη διαδικασία 1C, η μονάδα δεσμεύει τις λειτουργίες CreateFile και WriteFile. Κάθε φορά που καλείται η δεσμευμένη συνάρτηση CreateFile, η λειτουργική μονάδα αποθηκεύει τη διαδρομή αρχείου 1c_to_kl.txt στη μνήμη. Αφού αναχαιτίσει την κλήση WriteFile, καλεί τη συνάρτηση WriteFile και στέλνει τη διαδρομή αρχείου 1c_to_kl.txt στην κύρια μονάδα DLL, περνώντας της το δημιουργημένο μήνυμα WM_COPYDATA των Windows.
Η κύρια μονάδα DLL ανοίγει και αναλύει το αρχείο για να καθορίσει εντολές πληρωμής. Αναγνωρίζει το ποσό και τον αριθμό συναλλαγής που περιέχονται στο αρχείο. Αυτές οι πληροφορίες αποστέλλονται στον διακομιστή εντολών. Πιστεύουμε ότι αυτή η ενότητα είναι υπό ανάπτυξη, επειδή περιέχει ένα μήνυμα εντοπισμού σφαλμάτων και δεν μπορεί να τροποποιήσει αυτόματα το 1c_to_kl.txt.
4.8.2. Κλιμάκωση προνομίων
Το RTM μπορεί να επιχειρήσει να κλιμακώσει τα προνόμια εμφανίζοντας ψευδή μηνύματα σφάλματος. Το κακόβουλο λογισμικό προσομοιώνει έναν έλεγχο μητρώου (δείτε την παρακάτω εικόνα) ή χρησιμοποιεί ένα πραγματικό εικονίδιο επεξεργασίας μητρώου. Παρακαλώ σημειώστε το ορθογραφικό λάθος περιμένετε – ό,τι. Μετά από μερικά δευτερόλεπτα σάρωσης, το πρόγραμμα εμφανίζει ένα ψευδές μήνυμα σφάλματος.
Ένα ψευδές μήνυμα θα εξαπατήσει εύκολα τον μέσο χρήστη, παρά τα γραμματικά λάθη. Εάν ο χρήστης κάνει κλικ σε έναν από τους δύο συνδέσμους, το RTM θα προσπαθήσει να κλιμακώσει τα προνόμιά του στο σύστημα.
Αφού επιλέξετε μία από τις δύο επιλογές ανάκτησης, ο Trojan εκκινεί το DLL χρησιμοποιώντας την επιλογή runas στη συνάρτηση ShellExecute με δικαιώματα διαχειριστή. Ο χρήστης θα δει μια πραγματική προτροπή των Windows (δείτε την παρακάτω εικόνα) για ανύψωση. Εάν ο χρήστης δώσει τα απαραίτητα δικαιώματα, το Trojan θα εκτελεστεί με δικαιώματα διαχειριστή.
Ανάλογα με την προεπιλεγμένη γλώσσα που είναι εγκατεστημένη στο σύστημα, το Trojan εμφανίζει μηνύματα σφάλματος στα ρωσικά ή στα αγγλικά.
4.8.3. Πιστοποιητικό
Το RTM μπορεί να προσθέσει πιστοποιητικά στο Windows Store και να επιβεβαιώσει την αξιοπιστία της προσθήκης κάνοντας αυτόματα κλικ στο κουμπί «ναι» στο πλαίσιο διαλόγου csrss.exe. Αυτή η συμπεριφορά δεν είναι νέα· για παράδειγμα, ο τραπεζικός Trojan Retefe επιβεβαιώνει επίσης ανεξάρτητα την εγκατάσταση ενός νέου πιστοποιητικού.
4.8.4. Αντίστροφη σύνδεση
Οι συντάκτες του RTM δημιούργησαν επίσης τη σήραγγα Backconnect TCP. Δεν έχουμε δει ακόμη τη λειτουργία σε χρήση, αλλά έχει σχεδιαστεί για να παρακολουθεί εξ αποστάσεως μολυσμένους υπολογιστές.
4.8.5. Διαχείριση αρχείων κεντρικού υπολογιστή
Ο διακομιστής C&C μπορεί να στείλει μια εντολή στον Trojan για να τροποποιήσει το αρχείο κεντρικού υπολογιστή των Windows. Το αρχείο κεντρικού υπολογιστή χρησιμοποιείται για τη δημιουργία προσαρμοσμένων αναλύσεων DNS.
4.8.6. Βρείτε και στείλτε ένα αρχείο
Ο διακομιστής μπορεί να ζητήσει την αναζήτηση και λήψη ενός αρχείου στο μολυσμένο σύστημα. Για παράδειγμα, κατά τη διάρκεια της έρευνας λάβαμε ένα αίτημα για το αρχείο 1c_to_kl.txt. Όπως περιγράφηκε προηγουμένως, αυτό το αρχείο δημιουργείται από το λογιστικό σύστημα 1C: Enterprise 8.
4.8.7. Ενημέρωση
Τέλος, οι συντάκτες του RTM μπορούν να ενημερώσουν το λογισμικό υποβάλλοντας ένα νέο DLL για να αντικαταστήσει την τρέχουσα έκδοση.
5. Συμπέρασμα
Η έρευνα της RTM δείχνει ότι το ρωσικό τραπεζικό σύστημα εξακολουθεί να προσελκύει κυβερνοεπιτιθέμενους. Ομάδες όπως οι Buhtrap, Corkow και Carbanak κλέβουν με επιτυχία χρήματα από χρηματοπιστωτικά ιδρύματα και τους πελάτες τους στη Ρωσία. Η RTM είναι ένας νέος παίκτης σε αυτόν τον κλάδο.
Τα κακόβουλα εργαλεία RTM χρησιμοποιούνται τουλάχιστον από τα τέλη του 2015, σύμφωνα με την τηλεμετρία της ESET. Το πρόγραμμα διαθέτει ένα πλήρες φάσμα δυνατοτήτων κατασκοπείας, όπως ανάγνωση έξυπνων καρτών, υποκλοπή πληκτρολογήσεων και παρακολούθηση τραπεζικών συναλλαγών, καθώς και αναζήτηση αρχείων μεταφοράς 1C: Enterprise 8.
Η χρήση ενός αποκεντρωμένου, χωρίς λογοκρισία τομέα ανώτατου επιπέδου .bit εξασφαλίζει εξαιρετικά ανθεκτική υποδομή.
Πηγή: www.habr.com