Tuntud on mitmeid küberrühmitusi, mis on spetsialiseerunud Venemaa ettevõtetelt raha varastamisele. Oleme näinud rünnakuid, mis kasutavad turvalünki, mis võimaldavad juurdepääsu sihtmärgi võrgule. Kui ründajad saavad juurdepääsu, uurivad nad organisatsiooni võrgustruktuuri ja kasutavad raha varastamiseks oma tööriistu. Selle trendi klassikaline näide on häkkerite rühmad Buhtrap, Cobalt ja Corkow.
RTM-i grupp, millele käesolev aruanne keskendub, on osa sellest suundumusest. See kasutab spetsiaalselt Delphis kirjutatud pahavara, mida me järgnevates osades lähemalt vaatleme. Esimesed jäljed nendest tööriistadest ESET-i telemeetriasüsteemis avastati 2015. aasta lõpus. Meeskond laadib vastavalt vajadusele nakatunud süsteemidesse erinevaid uusi mooduleid. Rünnakud on suunatud kaugpangandussüsteemide kasutajatele Venemaal ja mõnes naaberriigis.
1. Eesmärgid
RTM-i kampaania on suunatud ärikasutajatele – see on ilmne protsessidest, mida ründajad ohustatud süsteemis tuvastada üritavad. Fookuses on raamatupidamistarkvara kaugpangasüsteemidega töötamiseks.
RTM-i huvipakkuvate protsesside loend sarnaneb Buhtrapi rühma vastava loendiga, kuid rühmadel on erinevad nakkusvektorid. Kui Buhtrap kasutas sagedamini võltslehti, siis RTM kasutas drive-by download rünnakuid (rünnakud brauserile või selle komponentidele) ja spämmimine meili teel. Telemeetria andmetel on oht suunatud Venemaale ja mitmele lähiriigile (Ukraina, Kasahstan, Tšehhi, Saksamaa). Massilise levitamise mehhanismide kasutamise tõttu pole pahavara tuvastamine väljaspool sihtpiirkondi aga üllatav.
Pahavara tuvastamise koguarv on suhteliselt väike. Teisest küljest kasutab RTM-i kampaania keerulisi programme, mis näitab, et rünnakud on väga sihitud.
Oleme avastanud mitmeid RTM-i kasutuses olevaid peibutusdokumente, sh olematuid lepinguid, arveid või maksuarvestuse dokumente. Peibutiste olemus koos rünnaku sihikule suunatud tarkvara tüübiga viitab sellele, et ründajad “sisenevad” raamatupidamisosakonna kaudu Venemaa ettevõtete võrkudesse. Rühm tegutses sama skeemi järgi aastatel 2014-2015
Uurimise käigus saime suhelda mitme C&C serveriga. Järgmistes osades loetleme täieliku käskude loendi, kuid praegu võime öelda, et klient edastab andmed klahvilogijast otse ründavasse serverisse, kust seejärel saab täiendavaid käske.
Kuid ajad, mil saite lihtsalt käsu- ja juhtimisserveriga ühenduse luua ja koguda kõiki teid huvitavaid andmeid, on möödas. Me lõime uuesti realistlikud logifailid, et saada serverist asjakohaseid käske.
Esimene neist on taotlus robotile edastada fail 1c_to_kl.txt - programmi 1C: Enterprise 8 transpordifail, mille välimust RTM aktiivselt jälgib. 1C suhtleb kaugpangasüsteemidega, laadides tekstifaili üles andmed väljaminevate maksete kohta. Järgmisena saadetakse fail kaugpangasüsteemi maksekorralduse automatiseerimiseks ja täitmiseks.
Fail sisaldab makseandmeid. Kui ründajad muudavad väljaminevate maksete teavet, saadetakse ülekanne ründajate kontodele valeandmeid kasutades.
Umbes kuu aega pärast nende failide küsimist käsu- ja juhtimisserverist märkasime uue pistikprogrammi 1c_2_kl.dll laadimist ohustatud süsteemi. Moodul (DLL) on loodud allalaaditava faili automaatseks analüüsimiseks, tungides raamatupidamistarkvara protsessidesse. Kirjeldame seda üksikasjalikult järgmistes jaotistes.
Huvitaval kombel avaldas Venemaa Panga FinCERT 2016. aasta lõpus bülletääni hoiatuse küberkurjategijate kohta, kes kasutavad üleslaadimisfaile 1c_to_kl.txt. Sellest skeemist teavad ka 1C arendajad; nad on juba teinud ametliku avalduse ja loetlenud ettevaatusabinõud.
Käsuserverist laaditi ka teisi mooduleid, eriti VNC-d (selle 32- ja 64-bitised versioonid). See meenutab VNC-moodulit, mida varem kasutati Dridexi troojalaste rünnakutes. Seda moodulit kasutatakse väidetavalt nakatunud arvutiga kaugühenduse loomiseks ja süsteemi üksikasjalikuks uurimiseks. Järgmiseks üritavad ründajad võrgus ringi liikuda, ammutades kasutajate paroole, kogudes infot ja tagades pahavara pideva olemasolu.
2. Nakkuse vektorid
Järgmisel joonisel on näidatud kampaania uuringuperioodil tuvastatud nakkusvektorid. Grupp kasutab laia valikut vektoreid, kuid peamiselt allalaadimisrünnakuid ja rämpsposti. Need tööriistad on sihitud rünnakute jaoks mugavad, kuna esimesel juhul saavad ründajad valida potentsiaalsete ohvrite külastatud saidid ja teisel juhul saavad nad saata e-kirju koos manustega otse soovitud ettevõtte töötajatele.
Pahavara levitatakse mitme kanali kaudu, sealhulgas RIG-i ja Sundowni ärakasutamiskomplektide või rämpspostituste kaudu, mis näitavad ühendusi ründajate ja teiste neid teenuseid pakkuvate küberründajate vahel.
2.1. Kuidas on RTM ja Buhtrap seotud?
RTM-i kampaania on väga sarnane Buhtrapiga. Loomulik küsimus on: kuidas nad on omavahel seotud?
2016. aasta septembris täheldasime, et Buhtrapi üleslaadija abil levitati RTM-i näidist. Lisaks leidsime kaks digisertifikaati, mida kasutatakse nii Buhtrapis kui ka RTM-is.
Esimest, mis väidetavalt väljastati ettevõttele DNISTER-M, kasutati teise Delphi vormi (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) ja Buhtrap DLL-i (SHA-1: 1E2642B454B2F889DBA6B41116B83D6D2D4890DXNUMXA) digitaalallkirjastamiseks. XNUMX).
Teist, ettevõttele Bit-Tredj välja antud, kasutati Buhtrapi laadurite allkirjastamiseks (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 ja B74F71560E48488D2153AE2FB51207A), samuti komponentide allalaadimiseks ja installimiseks ning0B.
RTM-i operaatorid kasutavad sertifikaate, mis on ühised teistele pahavaraperekondadele, kuid neil on ka unikaalne sertifikaat. ESET-i telemeetria andmetel väljastati see Kit-SD-le ja seda kasutati ainult mõne RTM-i pahavara allkirjastamiseks (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM kasutab sama laadijat, mis Buhtrap, RTM-i komponendid laaditakse Buhtrapi infrastruktuurist, seega on rühmadel sarnased võrgunäitajad. Kuid meie hinnangul on RTM ja Buhtrap erinevad rühmad, vähemalt seetõttu, et RTM-i levitatakse erineval viisil (mitte ainult "võõra" allalaadija abil).
Sellest hoolimata kasutavad häkkerirühmad sarnaseid tegevuspõhimõtteid. Need sihivad ettevõtteid, kes kasutavad raamatupidamistarkvara, koguvad samamoodi süsteemiteavet, otsivad kiipkaardilugejaid ja kasutavad ohvrite järele luuramiseks hulgaliselt pahatahtlikke tööriistu.
3. Evolutsioon
Selles jaotises vaatleme uuringu käigus leitud pahavara erinevaid versioone.
3.1. Versioonide koostamine
RTM salvestab konfiguratsiooniandmed registriosasse, millest kõige huvitavam osa on botnet-prefiks. Allolevas tabelis on esitatud loend kõigist väärtustest, mida me uuritud proovides nägime.
Võimalik, et väärtusi saab kasutada pahavara versioonide salvestamiseks. Kuid me ei märganud erilist erinevust selliste versioonide nagu bit2 ja bit3, 0.1.6.4 ja 0.1.6.6 vahel. Lisaks on üks eesliidetest olnud olemas algusest peale ja on arenenud tüüpilisest C&C domeenist .bit domeeniks, nagu allpool näidatud.
3.2. Ajakava
Telemeetria andmeid kasutades koostasime proovide esinemise graafiku.
4. Tehniline analüüs
Selles jaotises kirjeldame RTM-i panganduse trooja peamisi funktsioone, sealhulgas vastupanumehhanisme, RC4 algoritmi oma versiooni, võrguprotokolli, nuhkimisfunktsioone ja mõnda muud funktsiooni. Eelkõige keskendume SHA-1 proovidele AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 ja 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. Paigaldamine ja salvestamine
4.1.1. Rakendamine
RTM-i tuum on DLL, teek laaditakse kettale .EXE abil. Käivitatav fail on tavaliselt pakitud ja sisaldab DLL-koodi. Pärast käivitamist ekstraheerib see DLL-i ja käivitab selle järgmise käsuga:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. DLL
Peamine DLL laaditakse alati kettale kui winlogon.lnk kaustas %PROGRAMDATA%Winlogon. Seda faililaiendit seostatakse tavaliselt otseteega, kuid tegelikult on fail Delphis kirjutatud DLL-fail, mille arendaja annab nimeks core.dll, nagu on näidatud alloleval pildil.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Pärast käivitamist aktiveerib trooja oma vastupanumehhanismi. Seda saab teha kahel erineval viisil, olenevalt ohvri privileegidest süsteemis. Kui teil on administraatoriõigused, lisab troojalane Windows Update'i kirje HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun registrisse. Windows Update'is sisalduvad käsud käivituvad kasutaja seansi alguses.
HKLMTARKVARAMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe "%PROGRAMDATA%winlogon.lnk",DllGetClassObject host
Troojalane proovib lisada ülesande ka Windowsi ülesannete ajakavasse. Ülesanne käivitab winlogon.lnk DLL-i samade parameetritega nagu ülal. Tavalised kasutajaõigused võimaldavad troojal lisada samade andmetega Windows Update'i kirje HKCUSoftwareMicrosoftWindowsCurrentVersionRun registrisse:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Muudetud RC4 algoritm
Vaatamata teadaolevatele puudustele kasutavad pahavara autorid RC4 algoritmi regulaarselt. Küll aga muutsid RTM-i loojad seda veidi, ilmselt selleks, et viirusanalüütikute ülesannet raskendada. RC4 muudetud versiooni kasutatakse laialdaselt pahatahtlikes RTM-i tööriistades stringide, võrguandmete, konfiguratsiooni ja moodulite krüptimiseks.
4.2.1. Erinevused
Algne RC4 algoritm sisaldab kahte etappi: s-ploki lähtestamine (teise nimega KSA – Key-Scheduling Algorithm) ja pseudojuhusliku järjestuse genereerimine (PRGA – pseudojuhusliku genereerimise algoritm). Esimene etapp hõlmab s-kasti lähtestamist võtme abil ja teises etapis töödeldakse lähteteksti krüptimiseks s-kasti abil.
RTM-i autorid lisasid vaheetapi s-boxi lähtestamise ja krüptimise vahele. Täiendav võti on muutuv ja seatakse samaaegselt krüpteeritavate ja dekrüpteeritavate andmetega. Funktsioon, mis seda täiendavat sammu täidab, on näidatud alloleval joonisel.
4.2.2. Stringi krüpteerimine
Esmapilgul on põhi-DLL-is mitu loetavat rida. Ülejäänud krüpteeritakse ülalkirjeldatud algoritmi abil, mille struktuur on näidatud järgmisel joonisel. Analüüsitud proovidest leidsime stringide krüptimiseks rohkem kui 25 erinevat RC4-võtit. XOR-klahv on iga rea jaoks erinev. Arvvälja eraldusjoonte väärtus on alati 0xFFFFFFFF.
Täitmise alguses dekrüpteerib RTM stringid globaalseks muutujaks. Kui see on vajalik stringile juurdepääsuks, arvutab trooja dünaamiliselt dekrüpteeritud stringide aadressi baasaadressi ja nihke põhjal.
Stringid sisaldavad huvitavat teavet pahavara funktsioonide kohta. Mõned stringide näited on toodud jaotises 6.8.
4.3. Võrk
See, kuidas RTM-i pahavara C&C-serveriga ühendust võtab, on versiooniti erinev. Esimesed muudatused (oktoober 2015 – aprill 2016) kasutasid käskude loendi värskendamiseks traditsioonilisi domeeninimesid koos RSS-kanaliga saidil livejournal.com.
Alates 2016. aasta aprillist oleme telemeetriaandmetes nihkunud biti domeenidele. Seda kinnitab domeeni registreerimiskuupäev – esimene RTM-domeen fde05d0573da.bit registreeriti 13. märtsil 2016. aastal.
Kõigil URL-idel, mida kampaania jälgimisel nägime, oli ühine tee: /r/z.php. See on üsna ebatavaline ja aitab tuvastada RTM-i taotlusi võrguvoogudes.
4.3.1. Kanal käskude ja juhtimise jaoks
Pärandnäited kasutasid seda kanalit oma käsu- ja juhtimisserverite loendi värskendamiseks. Hosting asub aadressil livejournal.com, aruande kirjutamise ajal jäi see URL-ile hxxp://f72bba81c921(.)livejournal(.)com/ data/rss.
Livejournal on Vene-Ameerika ettevõte, mis pakub ajaveebi platvormi. RTM-i operaatorid loovad LJ-blogi, kuhu postitavad artikli kodeeritud käskudega – vaata ekraanipilti.
Käsu- ja juhtread kodeeritakse modifitseeritud RC4 algoritmi abil (jaotis 4.2). Kanali praegune versioon (november 2016) sisaldab järgmisi käsu- ja juhtimisserveri aadresse:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. .bit domeenid
Enamikes viimastes RTM-i näidistes loovad autorid C&C domeenidega ühenduse, kasutades .bit TLD tippdomeeni. See ei ole ICANNi (Domain Name and Internet Corporation) tippdomeenide loendis. Selle asemel kasutab see Namecoini süsteemi, mis on üles ehitatud Bitcoini tehnoloogiale. Pahavara autorid ei kasuta sageli oma domeenide jaoks .bit TLD-d, kuigi sellise kasutamise näidet on varem täheldatud Necursi robotivõrgu versioonis.
Erinevalt Bitcoinist on hajutatud Namecoini andmebaasi kasutajatel andmete salvestamise võimalus. Selle funktsiooni peamine rakendus on .bit tippdomeen. Saate registreerida domeene, mis salvestatakse hajutatud andmebaasi. Andmebaasi vastavad kirjed sisaldavad domeeni poolt lahendatud IP-aadresse. See tippdomeen on "tsensuurikindel", kuna ainult registreerija saab muuta .bit domeeni eraldusvõimet. See tähendab, et seda tüüpi tippdomeeni abil on pahatahtlikku domeeni palju keerulisem peatada.
RTM-i troojalane ei manusta tarkvara, mis on vajalik hajutatud Namecoini andmebaasi lugemiseks. See kasutab .bit domeenide lahendamiseks keskseid DNS-servereid, nagu dns.dot-bit.org või OpenNic-servereid. Seetõttu on sellel sama vastupidavus kui DNS-serveritel. Märkasime, et mõnda meeskonnadomeeni ei tuvastatud enam pärast seda, kui neid blogipostituses mainiti.
Teine .bit tippdomeeni eelis häkkerite jaoks on kulu. Domeeni registreerimiseks peavad operaatorid maksma ainult 0,01 NK, mis vastab 0,00185 dollarile (seisuga 5. detsember 2016). Võrdluseks, domain.com maksab vähemalt 10 dollarit.
4.3.3. Protokoll
Käsu- ja juhtimisserveriga suhtlemiseks kasutab RTM HTTP POST päringuid andmetega, mis on vormindatud kohandatud protokolli abil. Tee väärtus on alati /r/z.php; Mozilla/5.0 kasutajaagent (ühildub; MSIE 9.0; Windows NT 6.1; Trident/5.0). Serveri päringutes vormindatakse andmed järgmiselt, kus nihke väärtused on väljendatud baitides:
Baite 0 kuni 6 ei kodeerita; 6-st algavad baidid kodeeritakse modifitseeritud RC4 algoritmi abil. C&C vastusepaketi struktuur on lihtsam. Baitid on kodeeritud 4-st paketi suuruseni.
Võimalike tegevusbaitide väärtuste loend on toodud allolevas tabelis:
Pahavara arvutab alati välja dekrüpteeritud andmete CRC32 ja võrdleb seda paketis leiduvaga. Kui need erinevad, kukutab trooja paketi.
Lisaandmed võivad sisaldada erinevaid objekte, sealhulgas PE-faili, failisüsteemis otsitavat faili või uusi käsu URL-e.
4.3.4. Paneel
Märkasime, et RTM kasutab C&C serverites paneeli. Ekraanipilt allpool:
4.4. Iseloomulik märk
RTM on tüüpiline pangandustroojalane. Pole üllatav, et operaatorid tahavad teavet ohvri süsteemi kohta. Ühest küljest kogub bot üldist teavet OS-i kohta. Teisest küljest selgitab ta välja, kas ohustatud süsteem sisaldab Venemaa kaugpangasüsteemidega seotud atribuute.
4.4.1. Üldinfo
Kui pahavara installitakse või käivitatakse pärast taaskäivitamist, saadetakse käsu- ja juhtimisserverisse aruanne, mis sisaldab üldist teavet, sealhulgas:
- Ajavöönd;
- süsteemi vaikekeel;
- volitatud kasutaja mandaadid;
- protsessi terviklikkuse tase;
- Kasutajanimi;
- arvuti nimi;
- OS-i versioon;
- täiendavad paigaldatud moodulid;
- installitud viirusetõrjeprogramm;
- kiipkaardilugejate loend.
4.4.2 Kaugpangasüsteem
Tüüpiline Trooja sihtmärk on kaugpangandussüsteem ja RTM pole erand. Üks programmi moodulitest kannab nime TBdo, mis täidab erinevaid ülesandeid, sealhulgas skannib kettaid ja vaatab sirvimisajalugu.
Ketta skaneerimisega kontrollib troojalane, kas pangatarkvara on masinasse installitud. Sihtprogrammide täielik loetelu on allolevas tabelis. Pärast huvipakkuva faili tuvastamist saadab programm teabe käsuserverisse. Järgmised toimingud sõltuvad käsukeskuse (C&C) algoritmide määratud loogikast.
RTM otsib ka URL-i mustreid teie brauseri ajaloost ja avatud vahelehtedelt. Lisaks uurib programm funktsioonide FindNextUrlCacheEntryA ja FindFirstUrlCacheEntryA kasutamist ning kontrollib ka iga kirje vastavust URL-ile ühega järgmistest mustritest:
Avatud vahelehtede tuvastamisel võtab troojalane dünaamilise andmevahetuse (DDE) mehhanismi kaudu ühendust Internet Exploreri või Firefoxiga, et kontrollida, kas vahekaart vastab mustrile.
Sirvimisajaloo ja avatud vahekaartide kontrollimine toimub tsüklis WHILE (eeltingimusega tsükkel), mille kontrollide vahel on 1-sekundiline paus. Teisi reaalajas jälgitavaid andmeid käsitletakse jaotises 4.5.
Kui leitakse muster, teatab programm sellest käsuserverile, kasutades stringide loendit järgmisest tabelist:
4.5 Seire
Trooja töötamise ajal saadetakse käsu- ja juhtimisserverisse teave nakatunud süsteemi iseloomulike omaduste kohta (sh teave pangatarkvara olemasolu kohta). Sõrmejälgede võtmine toimub siis, kui RTM käivitab seiresüsteemi esimest korda kohe pärast OS-i esialgset skannimist.
4.5.1. Kaugpangandus
TBdo moodul vastutab ka pangandusega seotud protsesside jälgimise eest. See kasutab dünaamilist andmevahetust Firefoxi ja Internet Exploreri vahekaartide kontrollimiseks esialgse skannimise ajal. Teist TShelli moodulit kasutatakse käsuakende jälgimiseks (Internet Explorer või File Explorer).
Moodul kasutab akende jälgimiseks COM-liideseid IShellWindows, iWebBrowser, DWebBrowserEvents2 ja IConnectionPointContainer. Kui kasutaja navigeerib uuele veebilehele, märgib pahavara seda. Seejärel võrdleb see lehe URL-i ülaltoodud mustritega. Pärast vaste tuvastamist teeb troojalane kuus järjestikust 5-sekundilise intervalliga ekraanipilti ja saadab need C&S käsuserverisse. Programm kontrollib ka mõningaid pangatarkvaraga seotud aknanimesid – täielik nimekiri on allpool:
4.5.2. Kiipkaart
RTM võimaldab jälgida nakatunud arvutitega ühendatud kiipkaardilugejaid. Neid seadmeid kasutatakse mõnes riigis maksekorralduste kooskõlastamiseks. Kui seda tüüpi seade on arvutiga ühendatud, võib see troojalasele viidata, et masinat kasutatakse pangatehingute tegemiseks.
Erinevalt teistest pangandustroojalastest ei saa RTM selliste kiipkaartidega suhelda. Võib-olla on see funktsioon lisatud lisamoodulisse, mida me pole veel näinud.
4.5.3. Keylogger
Nakatunud arvuti jälgimise oluline osa on klahvivajutuste jäädvustamine. Tundub, et RTM-i arendajatel pole infot puudu, kuna nad ei jälgi mitte ainult tavalisi klahve, vaid ka virtuaalset klaviatuuri ja lõikepuhvrit.
Selleks kasutage funktsiooni SetWindowsHookExA. Ründajad logivad alla vajutatud või virtuaalsele klaviatuurile vastavad klahvid koos programmi nime ja kuupäevaga. Seejärel saadetakse puhver C&C käsuserverisse.
Lõikepuhvri pealtkuulamiseks kasutatakse funktsiooni SetClipboardViewer. Häkkerid logivad lõikepuhvri sisu, kui andmed on tekst. Nimi ja kuupäev logitakse ka enne puhvri serverisse saatmist.
4.5.4. Ekraanipildid
Teine RTM-i funktsioon on ekraanipiltide pealtkuulamine. Funktsioon rakendub siis, kui akna jälgimise moodul tuvastab huvipakkuva saidi või pangatarkvara. Ekraanipildid tehakse graafiliste piltide teegi abil ja edastatakse käsuserverisse.
4.6. Desinstallimine
C&C server võib peatada pahavara käitamise ja puhastada teie arvutit. Käsk võimaldab teil kustutada failid ja registrikirjed, mis on loodud RTM-i töötamise ajal. Seejärel kasutatakse DLL-i pahavara ja winlogoni faili eemaldamiseks, misjärel käsk lülitab arvuti välja. Nagu on näidatud alloleval pildil, eemaldavad arendajad DLL-i faili erase.dll abil.
Server võib saata troojalasele hävitava uninstall-lock käsu. Sel juhul, kui teil on administraatori õigused, kustutab RTM kõvakettalt MBR alglaadimissektori. Kui see ebaõnnestub, proovib trooja MBR alglaadimissektorit nihutada juhuslikku sektorisse – siis ei saa arvuti pärast sulgemist OS-i käivitada. See võib viia OS-i täieliku uuesti installimiseni, mis tähendab tõendite hävitamist.
Ilma administraatoriõigusteta kirjutab pahavara selle aluseks olevasse RTM-i DLL-i kodeeritud EXE-faili. Käivitav fail käivitab arvuti väljalülitamiseks vajaliku koodi ja registreerib mooduli HKCUCurrentVersionRun registrivõtmes. Iga kord, kui kasutaja seanssi alustab, lülitub arvuti kohe välja.
4.7. Konfiguratsioonifail
Vaikimisi pole RTM-il peaaegu ühtegi konfiguratsioonifaili, kuid käsu- ja juhtimisserver saab saata konfiguratsiooniväärtusi, mis salvestatakse registrisse ja mida programm kasutab. Konfiguratsioonivõtmete loend on toodud allolevas tabelis:
Konfiguratsioon salvestatakse tarkvara [pseudojuhuslik string] registrivõtmesse. Iga väärtus vastab ühele eelmises tabelis esitatud ridadest. Väärtused ja andmed kodeeritakse RTM-is RC4 algoritmi abil.
Andmetel on sama struktuur kui võrgul või stringidel. Kodeeritud andmete algusesse lisatakse neljabaidine XOR-võti. Konfiguratsiooniväärtuste puhul on XOR-klahv erinev ja sõltub väärtuse suurusest. Seda saab arvutada järgmiselt:
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)
4.8. Muud omadused
Järgmisena vaatame teisi funktsioone, mida RTM toetab.
4.8.1. Lisamoodulid
Troojalane sisaldab täiendavaid mooduleid, mis on DLL-failid. C&C käsuserverist saadetud mooduleid saab käivitada väliste programmidena, need kajastuvad RAM-is ja käivitatakse uutes lõimedes. Salvestamiseks salvestatakse moodulid .dtt-failidesse ja kodeeritakse RC4 algoritmi kasutades sama võtmega, mida kasutatakse võrgusuhtluseks.
Siiani oleme jälginud VNC mooduli (8966319882494077C21F66A8354E2CBCA0370464), brauseri andmete ekstraktimise mooduli (03DE8622BE6B2F75A364A275995C3411626C4C9F1A2E1CBCA562) installimist (1DE69BE6B58F88753A7A0C3C4BXNUMXCXNUMXDXNUMXcE) XNUMXEFCXNUMXFBAXNUMX BXNUMXBEXNUMXDXNUMXBXNUMXEXNUMXCFAB).
VNC-mooduli laadimiseks väljastab C&C-server käsu, mis nõuab ühenduse loomist VNC-serveriga kindlal IP-aadressil pordis 44443. Brauseri andmete taastamise pistikprogramm käivitab TBrowserDataCollectori, mis suudab lugeda IE sirvimisajalugu. Seejärel saadab see külastatud URL-ide täieliku loendi C&C käsuserverisse.
Viimase avastatud mooduli nimi on 1c_2_kl. See saab suhelda 1C Enterprise tarkvarapaketiga. Moodul sisaldab kahte osa: põhiosa - DLL ja kaks agenti (32 ja 64 bitti), mis sisestatakse igasse protsessi, registreerides seose WH_CBT-ga. Pärast 1C protsessi kasutuselevõttu seob moodul funktsioonid CreateFile ja WriteFile. Alati, kui kutsutakse välja seotud funktsioon CreateFile, salvestab moodul mällu failitee 1c_to_kl.txt. Pärast WriteFile'i kõne katkestamist kutsub see funktsiooni WriteFile ja saadab failitee 1c_to_kl.txt DLL-i põhimoodulisse, edastades sellele koostatud Windowsi WM_COPYDATA sõnumi.
Peamine DLL-moodul avab ja analüüsib faili maksekorralduste määramiseks. See tuvastab failis sisalduva summa ja tehingunumbri. See teave saadetakse käsuserverisse. Usume, et seda moodulit arendatakse praegu, kuna see sisaldab silumissõnumit ega saa faili 1c_to_kl.txt automaatselt muuta.
4.8.2. Privileegide eskalatsioon
RTM võib üritada õigusi suurendada, kuvades valeteateteateid. Pahavara simuleerib registrikontrolli (vt allolevat pilti) või kasutab tõelist registriredaktori ikooni. Pange tähele õigekirjaviga, oodake – vau. Pärast mõnesekundilist skannimist kuvab programm vale veateate.
Valesõnum petab tavakasutaja kergesti ära, hoolimata grammatikavigadest. Kui kasutaja klõpsab ühel kahest lingist, proovib RTM oma õigusi süsteemis suurendada.
Pärast kahest taastevalikust ühe valimist käivitab troojalane DLL-i, kasutades administraatoriõigustega funktsiooni ShellExecute suvandit runas. Kasutaja näeb tõelist Windowsi viipa (vt allolevat pilti) kõrguse kohta. Kui kasutaja annab vajalikud õigused, töötab troojalane administraatoriõigustega.
Olenevalt süsteemi installitud vaikekeelest kuvab trooja tõrketeateid vene või inglise keeles.
4.8.3. tunnistus
RTM saab lisada sertifikaate Windows Store'i ja kinnitada lisamise usaldusväärsust, klõpsates dialoogiboksis csrss.exe automaatselt nuppu "Jah". Selline käitumine pole uus, näiteks pangandustroojalane Retefe kinnitab iseseisvalt ka uue sertifikaadi installimist.
4.8.4. Vastupidine ühendus
RTM-i autorid lõid ka Backconnect TCP tunneli. Me pole seda funktsiooni veel kasutanud, kuid see on loodud nakatunud arvutite kaugseireks.
4.8.5. Hostifailide haldamine
C&C server võib saata troojalasele käsu Windowsi hostfaili muutmiseks. Hostifaili kasutatakse kohandatud DNS-i eraldusvõime loomiseks.
4.8.6. Otsige ja saatke fail
Server võib taotleda nakatunud süsteemis faili otsimist ja allalaadimist. Näiteks saime uuringu käigus päringu faili 1c_to_kl.txt kohta. Nagu eelnevalt kirjeldatud, genereerib selle faili 1C: Enterprise 8 raamatupidamissüsteem.
4.8.7. Värskenda
Lõpuks saavad RTM-i autorid tarkvara värskendada, esitades praeguse versiooni asendamiseks uue DLL-i.
5. Järeldus
RTM-i uuringud näitavad, et Venemaa pangandussüsteem tõmbab endiselt ligi küberründajaid. Grupid nagu Buhtrap, Corkow ja Carbanak varastavad edukalt raha finantsasutustelt ja nende klientidelt Venemaal. RTM on selles valdkonnas uus tegija.
ESET-i telemeetria andmetel on pahatahtlikke RTM-i tööriistu kasutatud vähemalt 2015. aasta lõpust. Programmil on täielik valik nuhkimisvõimalusi, sealhulgas kiipkaartide lugemine, klahvivajutuste pealtkuulamine ja pangatehingute jälgimine, aga ka 1C: Enterprise 8 transpordifailide otsimine.
Detsentraliseeritud, tsenseerimata .bit tippdomeeni kasutamine tagab väga vastupidava infrastruktuuri.
Allikas: www.habr.com