Estas pluraj konataj cibergrupoj, kiuj specialiĝas pri ŝtelado de financoj de rusaj kompanioj. Ni vidis atakojn uzante sekurecajn kaŝpasejojn, kiuj permesas aliron al la reto de la celo. Post kiam ili akiras aliron, atakantoj studas la retan strukturon de la organizo kaj deplojas siajn proprajn ilojn por ŝteli financon. Klasika ekzemplo de ĉi tiu tendenco estas la hacker-grupoj Buhtrap, Cobalt kaj Corkow.
La RTM-grupo, kiun ĉi tiu raporto fokusiĝas, estas parto de ĉi tiu tendenco. Ĝi uzas speciale desegnitajn malware skribitajn en Delphi, kiun ni rigardos pli detale en la sekvaj sekcioj. La unuaj spuroj de ĉi tiuj iloj en la telemetria sistemo ESET estis malkovritaj fine de 2015. La teamo ŝarĝas diversajn novajn modulojn sur infektitaj sistemoj laŭbezone. La atakoj celas uzantojn de foraj bankaj sistemoj en Rusio kaj iuj najbaraj landoj.
1. Celoj
La RTM-kampanjo celas kompaniajn uzantojn - ĉi tio estas evidenta el la procezoj, kiujn atakantoj provas detekti en kompromitita sistemo. La fokuso estas pri kontada programaro por labori kun foraj bankaj sistemoj.
La listo de procezoj de intereso al RTM similas la ekvivalentan liston de la Buhtrap-grupo, sed la grupoj havas malsamajn infektvektorojn. Se Buhtrap pli ofte uzis falsajn paĝojn, tiam RTM uzis elŝutajn atakojn (atakoj kontraŭ la retumilo aŭ ĝiaj komponantoj) kaj spamado per retpoŝto. Laŭ telemetriaj datumoj, la minaco celas Rusion kaj plurajn proksimajn landojn (Ukrainio, Kazaĥio, Ĉeĥio, Germanio). Tamen, pro la uzo de amasdistribuaj mekanismoj, detekto de malware ekster la celregionoj ne estas surpriza.
La totala nombro da malware-detektoj estas relative malgranda. Aliflanke, la kampanjo RTM uzas kompleksajn programojn, kio indikas, ke la atakoj estas tre celitaj.
Ni malkovris plurajn trompdokumentojn uzatajn de RTM, inkluzive de neekzistantaj kontraktoj, fakturoj aŭ impostkontadaj dokumentoj. La naturo de la logiloj, kombinita kun la tipo de programaro celita de la atako, indikas, ke la atakantoj "eniras" la retojn de rusaj kompanioj tra la kontada fako. La grupo agis laŭ la sama skemo en 2014-2015
Dum la esplorado, ni povis interagi kun pluraj C&C-serviloj. Ni listigos la plenan liston de komandoj en la sekvaj sekcioj, sed nuntempe ni povas diri, ke la kliento transdonas datumojn de la keylogger rekte al la ataka servilo, de kiu aldonaj komandoj tiam estas ricevitaj.
Tamen, la tagoj, kiam vi simple povis konektiĝi al komanda kaj kontrola servilo kaj kolekti ĉiujn datumojn pri kiuj vi interesiĝis, estas for. Ni rekreis realismajn protokolojn por ricevi iujn koncernajn komandojn de la servilo.
La unua el ili estas peto al la bot por transdoni la dosieron 1c_to_kl.txt - transporta dosiero de la programo 1C: Enterprise 8, kies aspekto estas aktive kontrolata de RTM. 1C interagas kun foraj bankaj sistemoj alŝutante datumojn pri eksiĝintaj pagoj al tekstdosiero. Poste, la dosiero estas sendita al la fora banka sistemo por aŭtomatigo kaj ekzekuto de la pago-ordono.
La dosiero enhavas pagodetalojn. Se atakantoj ŝanĝas la informojn pri eksiĝintaj pagoj, la translokigo estos sendita uzante falsajn detalojn al la kontoj de la atakantoj.
Ĉirkaŭ monato post peti ĉi tiujn dosierojn de la komanda kaj kontrola servilo, ni observis novan kromprogramon, 1c_2_kl.dll, ŝarĝitan sur la kompromitita sistemo. La modulo (DLL) estas desegnita por aŭtomate analizi la elŝutan dosieron penetrante la kontadajn programajn procezojn. Ni priskribos ĝin detale en la sekvaj sekcioj.
Interese, FinCERT de la Banko de Rusio fine de 2016 eldonis bultenon avertante pri ciberkrimuloj uzante 1c_to_kl.txt alŝutajn dosierojn. Programistoj de 1C ankaŭ scias pri ĉi tiu skemo; ili jam faris oficialan deklaron kaj listigis antaŭzorgojn.
Aliaj moduloj ankaŭ estis ŝarĝitaj de la komandservilo, aparte VNC (ĝiaj 32 kaj 64-bitaj versioj). Ĝi similas la VNC-modulon, kiu antaŭe estis uzata en Dridex Trojan-atakoj. Ĉi tiu modulo estas supozeble uzata por malproksime konekti al infektita komputilo kaj fari detalan studon de la sistemo. Poste, la atakantoj provas moviĝi ĉirkaŭ la reto, ĉerpante uzantpasvortojn, kolektante informojn kaj certigante la konstantan ĉeeston de malware.
2. Vektoroj de infekto
La sekva figuro montras la infektajn vektorojn detektitaj dum la studa periodo de la kampanjo. La grupo uzas ampleksan gamon de vektoroj, sed ĉefe elŝutajn atakojn kaj spamon. Ĉi tiuj iloj estas oportunaj por celitaj atakoj, ĉar en la unua kazo, atakantoj povas elekti retejojn vizitatajn de eblaj viktimoj, kaj en la dua, ili povas sendi retpoŝton kun aldonaĵoj rekte al la dezirataj firmaaj dungitoj.
La malbon-varo estas distribuita per multoblaj kanaloj, inkluzive de RIG kaj Sundown-ekspluatas kits aŭ spam-sendaĵojn, indikante ligojn inter la atakantoj kaj aliaj ciberatakantoj proponantaj ĉi tiujn servojn.
2.1. Kiel RTM kaj Buhtrap rilatas?
La RTM-kampanjo estas tre simila al Buhtrap. La natura demando estas: kiel ili rilatas unu al la alia?
En septembro 2016, ni observis RTM-specimenon esti distribuita per la Buhtrap-alŝutilo. Aldone, ni trovis du ciferecajn atestojn uzatajn en kaj Buhtrap kaj RTM.
La unua, supozeble eldonita al la kompanio DNISTER-M, estis uzata por ciferece subskribi la duan Delphi-formularon (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) kaj la Buhtrap DLL (SHA-1: 1E2642B454DLL) 2).
La dua, eldonita al Bit-Tredj, estis uzata por subskribi Buhtrap-ŝargilojn (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 kaj B74F71560E48488D2153AE2FB51207A0FB206A2BXNUMX), same kiel RXNUMXAEXNUMXFBXNUMXAXNUMXBXNUMX.
RTM-funkciigistoj uzas atestilojn kiuj estas komunaj al aliaj malware familioj, sed ili ankaŭ havas unikan atestilon. Laŭ ESET-telemetrio, ĝi estis eldonita al Kit-SD kaj estis nur uzita por subskribi iun RTM-malware (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM uzas la saman ŝargilon kiel Buhtrap, RTM-komponentoj estas ŝarĝitaj de la Buhtrap-infrastrukturo, do la grupoj havas similajn retajn indikilojn. Tamen, laŭ niaj taksoj, RTM kaj Buhtrap estas malsamaj grupoj, almenaŭ ĉar RTM estas distribuata en malsamaj manieroj (ne nur uzante "fremdan" elŝutilon).
Malgraŭ tio, retpirataj grupoj uzas similajn funkciajn principojn. Ili celas entreprenojn uzante kontadan programaron, simile kolektante sistemajn informojn, serĉante inteligentajn kartojn legilojn kaj deplojante aron da malicaj iloj por spioni viktimojn.
3. Evoluo
En ĉi tiu sekcio, ni rigardos la malsamajn versiojn de malware trovitaj dum la studo.
3.1. Versiado
RTM stokas agordajn datumojn en registra sekcio, la plej interesa parto estas botnet-prefikso. Listo de ĉiuj valoroj, kiujn ni vidis en la specimenoj, kiujn ni studis, estas prezentita en la suba tabelo.
Eblas, ke la valoroj povus esti uzataj por registri malware versiojn. Tamen ni ne rimarkis multe da diferenco inter versioj kiel bit2 kaj bit3, 0.1.6.4 kaj 0.1.6.6. Plie, unu el la prefiksoj ekzistas ekde la komenco kaj evoluis de tipa C&C-domajno al .bit-domajno, kiel estos montrita sube.
3.2. Horaro
Uzante telemetriajn datumojn, ni kreis grafeon de la okazo de specimenoj.
4. Teknika analizo
En ĉi tiu sekcio, ni priskribos la ĉefajn funkciojn de la banka trojano RTM, inkluzive de rezistmekanismoj, sia propra versio de la algoritmo RC4, reto-protokolo, spiona funkcio kaj iuj aliaj funkcioj. Aparte, ni koncentriĝos pri SHA-1-provaĵoj AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 kaj 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. Instalado kaj konservado
4.1.1. Efektivigo
La RTM-kerno estas DLL, la biblioteko estas ŝarĝita sur disko uzante .EXE. La rulebla dosiero estas kutime pakita kaj enhavas DLL-kodon. Post lanĉite, ĝi ĉerpas la DLL kaj rulas ĝin per la sekva komando:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. DLL
La ĉefa DLL ĉiam estas ŝarĝita al disko kiel winlogon.lnk en la dosierujo %PROGRAMDATA%Winlogon. Ĉi tiu etendo de dosiero estas kutime asociita kun ŝparvojo, sed la dosiero estas fakte DLL skribita en Delphi, nomita core.dll de la programisto, kiel montrite en la bildo sube.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Fojo lanĉita, la trojano aktivigas sian rezistan mekanismon. Ĉi tio povas esti farita laŭ du malsamaj manieroj, depende de la privilegioj de la viktimo en la sistemo. Se vi havas administrantajn rajtojn, la trojano aldonas eniron de Windows Update al la registro HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun. La komandoj enhavitaj en Windows Update ruliĝos ĉe la komenco de la sesio de la uzanto.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe "%PROGRAMDATA%winlogon.lnk",DllGetClassObject-gastiganto
La Trojano ankaŭ provas aldoni taskon al la Vindoza Task Scheduler. La tasko lanĉos la winlogon.lnk DLL kun la samaj parametroj kiel supre. Regulaj uzantrajtoj permesas al la trojano aldoni eniron de Windows Update kun la samaj datumoj al la registro HKCUSoftwareMicrosoftWindowsCurrentVersionRun:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Modifita RC4-algoritmo
Malgraŭ ĝiaj konataj mankoj, la RC4-algoritmo estas regule uzata de aŭtoroj de malware. Tamen, la kreintoj de RTM iomete modifis ĝin, verŝajne por malfaciligi la taskon de virusaj analizistoj. Modifita versio de RC4 estas vaste uzata en malicaj RTM-iloj por ĉifri ŝnurojn, retajn datumojn, agordojn kaj modulojn.
4.2.1. Diferencoj
La origina RC4-algoritmo inkludas du stadiojn: s-bloka inicialigo (alinome KSA - Key-Scheduling Algorithm) kaj pseŭdo-hazarda sekvencogeneracio (PRGA - Pseudo-Random Generation Algorithm). La unua fazo implikas pravalorigi la s-keston uzante la ŝlosilon, kaj en la dua etapo la fontteksto estas prilaborita uzante la s-keston por ĉifrado.
La RTM-aŭtoroj aldonis mezan paŝon inter s-kesto inicialigo kaj ĉifrado. La kroma ŝlosilo estas ŝanĝiĝema kaj estas agordita samtempe kun la datumoj por esti ĉifrita kaj malĉifrita. La funkcio, kiu plenumas ĉi tiun aldonan paŝon, estas montrita en la suba figuro.
4.2.2. Ŝnuro ĉifrado
Unuavide, estas pluraj legeblaj linioj en la ĉefa DLL. La ceteraj estas ĉifritaj uzante la supre priskribitan algoritmon, kies strukturo estas montrita en la sekva figuro. Ni trovis pli ol 25 malsamajn RC4-ŝlosilojn por ĉifrado de ŝnuroj en la analizitaj specimenoj. La XOR-ŝlosilo estas malsama por ĉiu vico. La valoro de la nombra kampo apartiganta liniojn ĉiam estas 0xFFFFFFFF.
Komence de ekzekuto, RTM malĉifras la ŝnurojn en tutmondan variablon. Kiam necesas aliri ĉenon, la trojano dinamike kalkulas la adreson de la deĉifritaj ĉenoj surbaze de la baza adreso kaj ofseto.
La ĉenoj enhavas interesajn informojn pri la funkcioj de la malware. Kelkaj ekzemploŝnuroj estas disponigitaj en Sekcio 6.8.
4.3. Reto
La maniero kiel RTM-malware kontaktas la C&C-servilon varias de versio al versio. La unuaj modifoj (oktobro 2015 - aprilo 2016) uzis tradiciajn domajnajn nomojn kune kun RSS-fluo ĉe livejournal.com por ĝisdatigi la liston de komandoj.
Ekde aprilo 2016, ni vidis ŝanĝon al .bit domajnoj en telemetriaj datumoj. Ĉi tio estas konfirmita de la domajna registra dato - la unua RTM-domajno fde05d0573da.bit estis registrita la 13-an de marto 2016.
Ĉiuj URL-oj, kiujn ni vidis dum monitorado de la kampanjo, havis komunan vojon: /r/z.php. Ĝi estas sufiĉe nekutima kaj ĝi helpos identigi RTM-petojn en retaj fluoj.
4.3.1. Kanalo por komandoj kaj kontrolo
Heredaĵaj ekzemploj uzis ĉi tiun kanalon por ĝisdatigi sian liston de komandaj kaj kontrolaj serviloj. Gastigado troviĝas ĉe livejournal.com, dum la verkado de la raporto ĝi restis ĉe la URL hxxp://f72bba81c921(.)livejournal(.)com/data/rss.
Livejournal estas rus-usona kompanio, kiu provizas blogan platformon. RTM-funkciigistoj kreas LJ-blogon en kiu ili afiŝas artikolon kun kodigitaj komandoj - vidu ekrankopion.
Komando kaj kontrollinioj estas koditaj per modifita RC4-algoritmo (Sekcio 4.2). La nuna versio (novembro 2016) de la kanalo enhavas la sekvajn komandajn kaj kontrolserviladresojn:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. .bit domajnoj
En plej lastatempaj RTM-specimenoj, verkintoj konektas al C&C-domajnoj uzante la .bit TLD-supernivelan domajnon. Ĝi ne estas en la listo de ĉefnivelaj domajnoj de ICANN (Domajna Nomo kaj Interreta Korporacio). Anstataŭe, ĝi uzas la Namecoin-sistemon, kiu estas konstruita sur Bitcoin-teknologio. Malware-aŭtoroj ne ofte uzas la .bit TLD por siaj domajnoj, kvankam ekzemplo de tia uzo antaŭe estis observita en versio de la Necurs-botreto.
Male al Bitcoin, uzantoj de la distribuita Namecoin-datumbazo havas la kapablon konservi datumojn. La ĉefa aplikaĵo de ĉi tiu funkcio estas la supranivela domajno .bit. Vi povas registri domajnojn, kiuj estos konservitaj en distribuita datumbazo. La respondaj enskriboj en la datumbazo enhavas IP-adresojn solvitajn de la domajno. Ĉi tiu TLD estas "cenzura imuna" ĉar nur la registrinto povas ŝanĝi la rezolucion de la domajno .bit. Ĉi tio signifas, ke estas multe pli malfacile haltigi malican domajnon uzante ĉi tiun tipon de TLD.
La RTM Trojan ne enkonstruas la programaron necesan por legi la distribuitan Namecoin-datumbazon. Ĝi uzas centrajn DNS-servilojn kiel dns.dot-bit.org aŭ OpenNic-servilojn por solvi .bit-domajnojn. Tial ĝi havas la saman fortikecon kiel DNS-serviloj. Ni observis, ke iuj teamaj domajnoj ne plu estis detektitaj post menciado en bloga afiŝo.
Alia avantaĝo de la .bit TLD por retpiratoj estas kosto. Por registri domajnon, funkciigistoj devas pagi nur 0,01 NK, kio respondas al 0,00185 USD (de la 5-a de decembro 2016). Por komparo, domain.com kostas almenaŭ $10.
4.3.3. Protokolo
Por komuniki kun la komanda kaj kontrola servilo, RTM uzas HTTP-POST-petojn kun datumoj formatitaj per kutima protokolo. La padvaloro ĉiam estas /r/z.php; Mozilla/5.0 uzanta agento (kongrua; MSIE 9.0; Windows NT 6.1; Trident/5.0). En petoj al la servilo, la datumoj estas formatitaj jene, kie la ofsetaj valoroj estas esprimitaj en bajtoj:
Bajtoj 0 ĝis 6 ne estas koditaj; bajtoj ekde 6 estas ĉifritaj uzante modifitan RC4-algoritmon. La strukturo de la C&C respondpakaĵo estas pli simpla. Bajtoj estas koditaj de 4 ĝis paka grandeco.
La listo de eblaj agaj bajtaj valoroj estas prezentita en la suba tabelo:
La malware ĉiam kalkulas la CRC32 de la deĉifritaj datumoj kaj komparas ĝin kun tio, kio ĉeestas en la pako. Se ili malsamas, la trojano faligas la pakaĵon.
La kromaj datumoj povas enhavi diversajn objektojn, inkluzive de PE-dosiero, serĉenda dosiero en la dosiersistemo aŭ novaj komand-URL-oj.
4.3.4. Panelo
Ni rimarkis, ke RTM uzas panelon sur C&C-serviloj. Ekrankopio sube:
4.4. Karakteriza signo
RTM estas tipa banka trojano. Ne estas surprizo, ke telefonistoj volas informojn pri la sistemo de la viktimo. Unuflanke, la bot kolektas ĝeneralajn informojn pri la OS. Aliflanke, ĝi malkovras ĉu la kompromitita sistemo enhavas atributojn asociitajn kun rusaj malproksimaj banksistemoj.
4.4.1. Ĝeneralaj informoj
Kiam malware estas instalita aŭ lanĉita post rekomenco, raporto estas sendita al la komanda kaj kontrola servilo enhavanta ĝeneralajn informojn inkluzive de:
- Horzono;
- defaŭlta sistemlingvo;
- rajtigitaj uzantkreditaĵoj;
- nivelo de integreco de procezo;
- Uzantnomo;
- komputila nomo;
- OS-versio;
- aldonaj instalitaj moduloj;
- instalita antivirusa programo;
- listo de legantoj de inteligentaj kartoj.
4.4.2 Malproksima banka sistemo
Tipa troja celo estas fora banka sistemo, kaj RTM ne estas escepto. Unu el la moduloj de la programo nomiĝas TBdo, kiu plenumas diversajn taskojn, inkluzive de skanado de diskoj kaj foliumhistorio.
Skanante la diskon, la trojano kontrolas ĉu banka programaro estas instalita sur la maŝino. La plena listo de celprogramoj estas en la suba tabelo. Detektante interesan dosieron, la programo sendas informojn al la komanda servilo. La venontaj agoj dependas de la logiko specifita per la komandcentro (C&C) algoritmoj.
RTM ankaŭ serĉas URL-ŝablonojn en via retumila historio kaj malfermaj langetoj. Krome, la programo ekzamenas la uzon de la funkcioj FindNextUrlCacheEntryA kaj FindFirstUrlCacheEntryA, kaj ankaŭ kontrolas ĉiun eniron por kongrui la URL al unu el la sekvaj ŝablonoj:
Detektante malfermitajn langetojn, la trojano kontaktas Internet Explorer aŭ Fajrovulpon per la mekanismo de Dynamic Data Exchange (DDE) por kontroli ĉu la langeto kongruas kun la ŝablono.
Kontroli vian foliumhistorion kaj malfermajn langetojn estas farita en WHILE-buklo (buklo kun antaŭkondiĉo) kun 1 sekunda paŭzo inter kontroloj. Aliaj datumoj, kiuj estas monitoritaj en reala tempo, estos diskutitaj en sekcio 4.5.
Se ŝablono estas trovita, la programo raportas tion al la komandservilo uzante liston de ĉenoj el la sekva tabelo:
4.5 Monitorado
Dum la trojano funkcias, informoj pri la karakterizaj trajtoj de la infektita sistemo (inkluzive de informoj pri la ĉeesto de banka programaro) estas senditaj al la komanda kaj kontrola servilo. Fingrospurado okazas kiam RTM unue funkciigas la monitoradsistemon tuj post la komenca OS-skanado.
4.5.1. Fora bankado
La TBdo-modulo ankaŭ respondecas pri monitorado de bank-rilataj procezoj. Ĝi uzas dinamikan interŝanĝon de datumoj por kontroli langetojn en Firefox kaj Internet Explorer dum la komenca skanado. Alia TShell-modulo estas uzata por kontroli komandfenestrojn (Internet Explorer aŭ File Explorer).
La modulo uzas la COM-interfacojn IShellWindows, iWebBrowser, DWebBrowserEvents2 kaj IConnectionPointContainer por monitori fenestrojn. Kiam uzanto navigas al nova retpaĝo, la malware notas tion. Ĝi tiam komparas la paĝon URL kun la supraj ŝablonoj. Detektante matĉon, la trojano prenas ses sinsekvajn ekrankopiojn kun intervalo de 5 sekundoj kaj sendas ilin al la komandservilo C&S. La programo ankaŭ kontrolas kelkajn fenestrajn nomojn rilatajn al banka programaro - la plena listo estas sube:
4.5.2. Saĝkarto
RTM permesas al vi monitori saĝkartlegilojn konektitajn al infektitaj komputiloj. Ĉi tiuj aparatoj estas uzataj en iuj landoj por akordigi pagomendojn. Se ĉi tiu tipo de aparato estas ligita al komputilo, ĝi povus indiki al trojano, ke la maŝino estas uzata por bankaj transakcioj.
Male al aliaj bankaj trojanoj, RTM ne povas interagi kun tiaj saĝkartoj. Eble ĉi tiu funkcio estas inkluzivita en aldona modulo, kiun ni ankoraŭ ne vidis.
4.5.3. Keylogger
Grava parto de monitorado de infektita komputilo estas kapti klavopremojn. Ŝajnas, ke la programistoj de RTM ne mankas informojn, ĉar ili kontrolas ne nur regulajn klavojn, sed ankaŭ la virtualan klavaron kaj tondujo.
Por fari tion, uzu la funkcion SetWindowsHookExA. Atakantoj registras la klavojn premitajn aŭ la klavojn respondajn al la virtuala klavaro, kune kun la nomo kaj dato de la programo. La bufro tiam estas sendita al la komandservilo C&C.
La funkcio SetClipboardViewer estas uzata por kapti la tondujo. Hakistoj registras la enhavon de la tondujo kiam la datumoj estas teksto. La nomo kaj dato ankaŭ estas registritaj antaŭ ol la bufro estas sendita al la servilo.
4.5.4. Ekrankopioj
Alia RTM-funkcio estas ekrankopio-interkapto. La funkcio estas aplikata kiam la fenestra monitora modulo detektas retejon aŭ bankan programaron interesan. Ekrankopioj estas prenitaj per biblioteko de grafikaj bildoj kaj transdonitaj al la komanda servilo.
4.6. Malinstalo
La C&C-servilo povas ĉesigi la malware funkcii kaj purigi vian komputilon. La komando permesas al vi forigi dosierojn kaj registrajn enskribojn kreitajn dum RTM funkcias. La DLL tiam estas uzata por forigi la malware kaj la winlogon-dosieron, post kio la komando malŝaltas la komputilon. Kiel montrite en la suba bildo, la DLL estas forigita de programistoj uzante erase.dll.
La servilo povas sendi al la trojano detruan malinstal-ŝlosan komandon. En ĉi tiu kazo, se vi havas administrantajn rajtojn, RTM forigos la MBR-ŝargsektoron sur la malmola disko. Se ĉi tio malsukcesas, la Trojano provos movi la MBR-botigan sektoron al hazarda sektoro - tiam la komputilo ne povos lanĉi la OS post malŝalto. Ĉi tio povas konduki al kompleta reinstalo de la OS, kio signifas la detruon de evidenteco.
Sen administranto-privilegioj, la malware skribas .EXE kodita en la subesta RTM DLL. La rulebla ekzekutas la kodon necesan por malŝalti la komputilon kaj registras la modulon en la registra ŝlosilo HKCUCurrentVersionRun. Ĉiufoje kiam la uzanto komencas seancon, la komputilo tuj malŝaltas.
4.7. La agorda dosiero
Defaŭlte, RTM preskaŭ ne havas agordan dosieron, sed la komanda kaj kontrola servilo povas sendi agordajn valorojn, kiuj estos stokitaj en la registro kaj uzataj de la programo. La listo de agordaj ŝlosiloj estas prezentita en la suba tabelo:
La agordo estas konservita en la registroŝlosilo de Programaro[Pseŭdo-hazarda ĉeno]. Ĉiu valoro respondas al unu el la vicoj prezentitaj en la antaŭa tabelo. Valoroj kaj datumoj estas koditaj per la RC4-algoritmo en RTM.
La datumoj havas la saman strukturon kiel reto aŭ ŝnuroj. Kvarbajta XOR-ŝlosilo estas aldonita komence de la koditaj datenoj. Por agordaj valoroj, la XOR-ŝlosilo estas malsama kaj dependas de la grandeco de la valoro. Ĝi povas esti kalkulita jene:
xor_key = (len(agorda_valoro) << 24) | (len(agorda_valoro) << 16)
| len(agorda_valoro)| (len(agorda_valoro) << 8)
4.8. Aliaj trajtoj
Poste, ni rigardu aliajn funkciojn, kiujn RTM subtenas.
4.8.1. Pliaj moduloj
La trojano inkluzivas pliajn modulojn, kiuj estas DLL-dosieroj. Moduloj senditaj de la komandservilo C&C povas esti ekzekutitaj kiel eksteraj programoj, reflektitaj en RAM kaj lanĉitaj en novaj fadenoj. Por stokado, moduloj estas konservitaj en .dtt-dosieroj kaj koditaj uzante la RC4-algoritmon per la sama ŝlosilo uzata por retkomunikadoj.
Ĝis nun ni observis la instaladon de la VNC-modulo (8966319882494077C21F66A8354E2CBCA0370464), la retumila eltira modulo (03DE8622BE6B2F75A364A275995C3411626C4D9E_1) kaj la modulo de retumilo (2DE1BE562B1F69A6A58C88753C7D0E_3) EFC4FBAXNUMX BXNUMXBEXNUMXDXNUMXBXNUMXEXNUMXCFAB).
Por ŝarĝi la VNC-modulon, la C&C-servilo eldonas komandon petante konektojn al la VNC-servilo ĉe specifa IP-adreso sur haveno 44443. La retumila datum-retrova kromaĵo ekzekutas TBrowserDataCollector, kiu povas legi IE-foliumhistorion. Tiam ĝi sendas la plenan liston de vizititaj URL-oj al la komandservilo C&C.
La lasta modulo malkovrita nomiĝas 1c_2_kl. Ĝi povas interagi kun la programaro 1C Enterprise. La modulo inkluzivas du partojn: la ĉefa parto - DLL kaj du agentoj (32 kaj 64 bitoj), kiuj estos injektitaj en ĉiun procezon, registrante ligon al WH_CBT. Estinte enkondukita en la 1C-procezon, la modulo ligas la funkciojn CreateFile kaj WriteFile. Kiam ajn la CreateFile ligita funkcio estas vokita, la modulo konservas la dosiervojon 1c_to_kl.txt en memoro. Post kapti la alvokon WriteFile, ĝi vokas la funkcion WriteFile kaj sendas la dosiervojon 1c_to_kl.txt al la ĉefa DLL-modulo, pasigante al ĝi la kreitan Vindozan WM_COPYDATA-mesaĝon.
La ĉefa DLL-modulo malfermiĝas kaj analizas la dosieron por determini pagordojn. Ĝi rekonas la kvanton kaj transakcian numeron enhavitan en la dosiero. Ĉi tiu informo estas sendita al la komanda servilo. Ni kredas, ke ĉi tiu modulo estas nuntempe evoluanta ĉar ĝi enhavas sencimigan mesaĝon kaj ne povas aŭtomate modifi 1c_to_kl.txt.
4.8.2. Privilegia eskalado
RTM povas provi pligrandigi privilegiojn montrante falsajn erarmesaĝojn. La malbon-varo simulas registran kontrolon (vidu bildon malsupre) aŭ uzas veran registroredaktilikonon. Bonvolu noti la misliterumon atendu - kio. Post kelkaj sekundoj da skanado, la programo montras falsan erarmesaĝon.
Malvera mesaĝo facile trompos la mezan uzanton, malgraŭ gramatikaj eraroj. Se la uzanto klakas sur unu el la du ligiloj, RTM provos pligrandigi siajn privilegiojn en la sistemo.
Post elekto de unu el du reakiraj elektoj, la Trojano lanĉas la DLL uzante la runas-opcion en la funkcio ShellExecute kun administranto-privilegioj. La uzanto vidos veran Vindozan prompton (vidu bildon sube) por alteco. Se la uzanto donas la necesajn permesojn, la trojano funkcios kun administranto-privilegioj.
Depende de la defaŭlta lingvo instalita en la sistemo, la trojano montras erarmesaĝojn en la rusa aŭ angla.
4.8.3. Atestilo
RTM povas aldoni atestilojn al la Vindoza Vendejo kaj konfirmi la fidindecon de la aldono aŭtomate alklakante la butonon "jes" en la dialogujo csrss.exe. Ĉi tiu konduto ne estas nova; ekzemple, la banka Trojan Retefe ankaŭ sendepende konfirmas la instaladon de nova atestilo.
4.8.4. Inversa konekto
La RTM-aŭtoroj ankaŭ kreis la Backconnect TCP-tunelon. Ni ankoraŭ ne vidis la funkcion uzatan, sed ĝi estas desegnita por malproksime monitori infektitajn komputilojn.
4.8.5. Gastiganta dosieradministrado
La C&C-servilo povas sendi komandon al la Trojano por modifi la Vindozan gastigan dosieron. La gastiga dosiero estas uzata por krei kutimajn DNS-rezoluciojn.
4.8.6. Trovu kaj sendu dosieron
La servilo povas peti serĉi kaj elŝuti dosieron sur la infektita sistemo. Ekzemple, dum la esploro ni ricevis peton por la dosiero 1c_to_kl.txt. Kiel antaŭe priskribite, ĉi tiu dosiero estas generita de la kontada sistemo 1C: Enterprise 8.
4.8.7. Ĝisdatigo
Fine, RTM-aŭtoroj povas ĝisdatigi la programaron sendante novan DLL por anstataŭigi la nunan version.
5. Konkludo
La esplorado de RTM montras, ke la rusa banka sistemo ankoraŭ altiras ciberatakantojn. Grupoj kiel Buhtrap, Corkow kaj Carbanak sukcese ŝtelas monon de financaj institucioj kaj siaj klientoj en Rusio. RTM estas nova ludanto en ĉi tiu industrio.
Malicaj RTM-iloj estas uzataj ekde almenaŭ malfrua 2015, laŭ ESET-telemetrio. La programo havas plenan gamon de spionaj kapabloj, inkluzive de legado de inteligentaj kartoj, kaptado de klavopremoj kaj monitorado de bankaj transakcioj, kaj ankaŭ serĉado de 1C: Enterprise 8 transportdosieroj.
La uzo de malcentralizita, necenzurita .bit altnivela domajno certigas tre rezisteman infrastrukturon.
fonto: www.habr.com