Errusiako enpresei funtsak lapurtzen espezializatutako ziber talde ezagun batzuk daude. Helburuaren sarera sarbidea ahalbidetzen duten segurtasun hutsuneak erabiliz erasoak ikusi ditugu. Behin sarbidea lortzen dutenean, erasotzaileek erakundearen sare-egitura aztertzen dute eta beren tresnak zabaltzen dituzte funtsak lapurtzeko. Joera horren adibide klasiko bat Buhtrap, Cobalt eta Corkow hacker taldeak dira.
Txosten honek ardatz duen RTM taldea joera horren parte da. Bereziki diseinatutako malwarea erabiltzen du Delphi-n idatzita, hurrengo ataletan zehatzago aztertuko duguna. ESET telemetria sisteman tresna horien lehen aztarnak 2015. urte amaieran aurkitu ziren. Taldeak hainbat modulu berri kargatzen ditu kutsatutako sistemetan behar bezala. Erasoak Errusiako eta inguruko herrialde batzuetako urruneko banku sistemen erabiltzaileei zuzenduta daude.
1. Helburuak
RTM kanpaina erabiltzaile korporatiboei zuzenduta dago; hori begi bistakoa da erasotzaileek sistema arriskutsu batean detektatzen saiatzen diren prozesuetatik. Urruneko banku-sistemekin lan egiteko kontabilitate softwarea da arreta.
RTMrentzat interesgarri diren prozesuen zerrendak Buhtrap taldearen dagokion zerrendaren antza du, baina taldeek infekzio-bektore desberdinak dituzte. Buhtrapek orrialde faltsuak maizago erabiltzen bazituen, orduan RTM-k drive-by deskarga-erasoak (arakatzailearen edo bere osagaien aurkako erasoak) eta posta elektroniko bidez spam-a erabili zuen. Telemetria datuen arabera, mehatxua Errusia eta inguruko hainbat herrialdetara (Ukraina, Kazakhstan, Txekiar Errepublika, Alemania) zuzenduta dago. Hala ere, banaketa masiboko mekanismoak erabiltzeagatik, xede-eskualdeetatik kanpo malwarea detektatzea ez da harritzekoa.
Malware detektatzeko kopuru osoa nahiko txikia da. Bestalde, RTM kanpainak programa konplexuak erabiltzen ditu, eta horrek adierazten du erasoak oso bideratuak direla.
RTM-k erabiltzen dituen hainbat agiri aurkitu ditugu, existitzen ez diren kontratuak, fakturak edo zerga kontabilitate dokumentuak barne. Erasoen izaerak, erasoaren xede den software motarekin batera, erasotzaileak Errusiako enpresen sareetan "sartzen" ari direla adierazten du kontabilitate sailaren bitartez. Taldeak eskema beraren arabera jokatu zuen 2014-2015 urteetan
Ikerketan zehar, hainbat C&C zerbitzariekin elkarreragin ahal izan dugu. Komandoen zerrenda osoa hurrengo ataletan zerrendatuko dugu, baina oraingoz esan dezakegu bezeroak teklatu-erregistrogailutik zuzenean zerbitzari erasotzailera transferitzen dituela datuak, eta gero komando gehigarriak jasotzen dira.
Hala ere, komando eta kontrol zerbitzari batera konektatu eta interesatzen zitzaizkizun datu guztiak biltzeko besterik ez zenituen egunak desagertu egin dira. Erregistro fitxategi errealistak birsortu ditugu zerbitzaritik komando garrantzitsu batzuk lortzeko.
Horietako lehenengoa bot-ari 1c_to_kl.txt fitxategia transferitzeko eskaera bat da - 1C: Enterprise 8 programaren garraio-fitxategia, zeinaren itxura aktiboki kontrolatzen duen RTM-k. 1C urruneko banku-sistemekin elkarreragin egiten du irteerako ordainketen datuak testu-fitxategi batera kargatuz. Ondoren, fitxategia urruneko banku-sistemara bidaltzen da ordainketa-agindua automatizatzeko eta exekutatzeko.
Fitxategiak ordainketaren xehetasunak ditu. Erasotzaileek irteerako ordainketei buruzko informazioa aldatzen badute, transferentzia xehetasun faltsuak erabiliz bidaliko da erasotzaileen kontuetara.
Komando eta kontrol zerbitzariari fitxategi hauek eskatu eta hilabete ingurura, 1c_2_kl.dll plugin berri bat kargatzen ari zela ikusi genuen sistema arriskutsuan. Modulua (DLL) deskarga fitxategia automatikoki aztertzeko diseinatuta dago, kontabilitate softwarearen prozesuetan sartuz. Hurrengo ataletan zehatz deskribatuko dugu.
Interesgarria da Errusiako Bankuko FinCERT-ek 2016aren amaieran 1c_to_kl.txt kargatzeko fitxategiak erabiliz ziberkriminalei buruzko abisua eman zuen buletin bat. 1C-ko garatzaileek ere badakite eskema honen berri; dagoeneko adierazpen ofizial bat egin dute eta neurriak zerrendatu dituzte.
Komando zerbitzaritik beste modulu batzuk ere kargatu ziren, VNC bereziki (bere 32 eta 64 biteko bertsioak). Lehen Dridex Troiako erasoetan erabiltzen zen VNC moduluaren antza du. Modulu hau kutsatutako ordenagailu batera urrunetik konektatzeko eta sistemaren azterketa zehatza egiteko erabiltzen omen da. Ondoren, erasotzaileak sarean zehar mugitzen saiatzen dira, erabiltzaileen pasahitzak ateraz, informazioa bilduz eta malwarearen etengabeko presentzia bermatuz.
2. Infekzio-bektoreak
Hurrengo irudian kanpainaren azterketa-aldian atzemandako infekzio-bektoreak ageri dira. Taldeak bektore sorta zabala erabiltzen du, baina batez ere deskarga bidezko erasoak eta spamak. Tresna hauek erosoak dira helburuko erasoetarako, izan ere, lehenengo kasuan, erasotzaileek biktimek bisitatu ditzaketen guneak hauta ditzakete, eta bigarrenean, eranskinekin mezu elektronikoa bidal diezaiekete zuzenean nahi diren enpresako langileei.
Malwarea hainbat kanalen bidez banatzen da, besteak beste, RIG eta Sundown ustiapen-kitak edo spam posta elektronikoak, erasotzaileen eta zerbitzu hauek eskaintzen dituzten beste zibererasotzaile batzuen arteko konexioak adieraziz.
2.1. Nola lotuta daude RTM eta Buhtrap?
RTM kanpaina Buhtrap-en oso antzekoa da. Galdera naturala da: nola erlazionatzen dira elkarren artean?
2016ko irailean, Buhtrap kargatzailea erabiliz RTM lagin bat banatzen ari zela ikusi genuen. Gainera, Buhtrapen eta RTMn erabiltzen diren bi ziurtagiri digital aurkitu ditugu.
Lehenengoa, ustez DNISTER-M enpresari igorritakoa, bigarren Delphi inprimakia (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) eta Buhtrap DLL (SHA-1: 1E2642B454C2CE) digitalki sinatzeko erabili zen. 889).
Bigarrena, Bit-Tredj-i igorritakoa, Buhtrap kargagailuak sinatzeko erabili zen (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 eta B74F71560E48488D2153AE2FB51207A0FB206A2ACXNUMX) sinatzeko.
RTM operadoreek beste malware familien ohikoak diren ziurtagiriak erabiltzen dituzte, baina ziurtagiri bakarra ere badute. ESET telemetriaren arabera, Kit-SD-ra igorri zen eta RTM malware batzuk sinatzeko soilik erabiltzen zen (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM-k Buhtrap-en kargatzaile bera erabiltzen du, RTM osagaiak Buhtrap azpiegituratik kargatzen dira, beraz, taldeek sare-adierazle antzekoak dituzte. Hala ere, gure kalkuluen arabera, RTM eta Buhtrap talde desberdinak dira, gutxienez RTM modu ezberdinetan banatzen delako (ez soilik deskargatzaile "atzerriko" bat erabiliz).
Hala ere, hacker taldeek antzeko funtzionamendu-printzipioak erabiltzen dituzte. Kontabilitate softwarea erabiliz negozioak bideratzen dituzte, era berean, sistemaren informazioa biltzen, txartel adimendunen irakurgailuak bilatzen eta biktimak espioitzeko tresna maltzurren sorta zabaltzen dute.
3. Bilakaera
Atal honetan, azterketan zehar aurkitutako malwarearen bertsio desberdinak ikusiko ditugu.
3.1. Bertsioa
RTM-k konfigurazio datuak erregistroko atal batean gordetzen ditu, zatirik interesgarriena botnet-aurrizkia izanik. Aztertu ditugun laginetan ikusi ditugun balio guztien zerrenda beheko taulan aurkezten da.
Baliteke balioak malwarearen bertsioak grabatzeko erabiltzea. Hala ere, ez dugu alde handirik nabaritu bit2 eta bit3, 0.1.6.4 eta 0.1.6.6 bezalako bertsioen artean. Gainera, aurrizkietako bat hasieratik egon da eta C&C domeinu tipiko batetik .bit domeinu batera eboluzionatu da, behean erakutsiko den bezala.
3.2. Ordutegia
Telemetria datuak erabiliz, laginen agerraldiaren grafiko bat sortu dugu.
4. Azterketa teknikoa
Atal honetan, RTM banku Troiakoaren funtzio nagusiak deskribatuko ditugu, erresistentzia-mekanismoak, RC4 algoritmoaren bertsio propioa, sare-protokoloa, espioitza funtzionaltasuna eta beste zenbait ezaugarri barne. Bereziki, SHA-1 laginetan zentratuko gara AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 eta 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. Instalazioa eta aurreztea
4.1.1. Ezarpena
RTM core DLL bat da, liburutegia diskoan kargatzen da .EXE erabiliz. Fitxategi exekutagarria normalean paketatuta dago eta DLL kodea dauka. Abiarazi ondoren, DLL erauzten du eta exekutatzen du komando hau erabiliz:
rundll32.exe β%PROGRAMDATA%Winlogonwinlogon.lnkβ,DllGetClassObject host4.1.2. DLL
DLL nagusia diskoan kargatzen da beti winlogon.lnk gisa %PROGRAMDATA%Winlogon karpetan. Fitxategi-luzapen hau lasterbide batekin erlazionatu ohi da, baina fitxategia Delphi-n idatzitako DLL bat da, garatzaileak core.dll izenekoa, beheko irudian erakusten den moduan.
ΠΡΠΈΠΌΠ΅Ρ Π½Π°Π·Π²Π°Π½ΠΈΡ DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Behin abian jarritakoan, troiarrak bere erresistentzia mekanismoa aktibatzen du. Bi modu ezberdinetan egin daiteke, biktimak sisteman dituen pribilegioen arabera. Administratzaile-eskubideak badituzu, Troiakoak Windows Update sarrera bat gehitzen du HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun erregistroan. Windows Update-n jasotako komandoak erabiltzailearen saioaren hasieran exekutatuko dira.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe β%PROGRAMDATA%winlogon.lnkβ,DllGetClassObject ostalaria
Troiako Windows Zereginen Antolatzaileari zeregin bat gehitzen saiatzen da. Zereginak winlogon.lnk DLL abiaraziko du goiko parametro berberekin. Erabiltzaile-eskubide arruntei esker, Troiakoari Windows Update sarrera bat gehitzeko datu berdinekin HKCUSoftwareMicrosoftWindowsCurrentVersionRun erregistroan:
rundll32.exe β%PROGRAMDATA%winlogon.lnkβ,DllGetClassObject host4.2. RC4 algoritmo aldatua
Ezagutzen dituen gabeziak izan arren, RC4 algoritmoa aldizka erabiltzen dute malware egileek. Hala ere, RTM-ren sortzaileek apur bat aldatu zuten, ziurrenik birusen analisten zeregina zailtzeko. RC4-ren bertsio aldatua oso erabilia da RTM tresna gaiztoetan kateak, sareko datuak, konfigurazioa eta moduluak enkriptatzeko.
4.2.1. Aldeak
Jatorrizko RC4 algoritmoak bi fase ditu: s-blokearen hasieratzea (KSA - Key-Scheduling Algorithm) eta sasi-ausazko sekuentzia sortzea (PRGA - Pseudo-Random Generation Algorithm). Lehenengo fasean s-kutxa gakoa erabiliz hasieratzen da, eta bigarren fasean sorburu-testua prozesatzen da enkriptatzeko s-kutxa erabiliz.
RTM egileek s-box hasierako eta enkriptatzeko tarteko urrats bat gehitu zuten. Gako gehigarria aldakorra da eta zifratu eta deszifratu beharreko datuen aldi berean ezartzen da. Urrats gehigarri hau egiten duen funtzioa beheko irudian ageri da.
4.2.2. Kateen enkriptatzea
Lehen begiratuan, hainbat lerro irakurgarri daude DLL nagusian. Gainontzekoak goian deskribatutako algoritmoaren bidez zifratzen dira, zeinaren egitura hurrengo irudian ageri den. Aztertutako laginetan kateak enkriptatzeko 25 RC4 gako ezberdin baino gehiago aurkitu ditugu. XOR tekla desberdina da errenkada bakoitzeko. Zenbakizko eremuak bereizten dituen lerroen balioa 0xFFFFFFFF da beti.
Exekuzioaren hasieran, RTM-k kateak deszifratzen ditu aldagai global batean. Kate batera sartzeko beharrezkoa denean, troiarrak dinamikoki kalkulatzen du deszifratutako kateen helbidea oinarrizko helbidearen eta desplazamenduaren arabera.
Kateek malwarearen funtzioei buruzko informazio interesgarria dute. Adibide-kate batzuk 6.8 atalean eskaintzen dira.
4.3. Sarea
RTM malwarea C&C zerbitzariarekin harremanetan jartzeko modua aldatu egiten da bertsio batetik bestera. Lehenengo aldaketek (2015eko urria - 2016ko apirila) domeinu-izen tradizionalak erabili zituzten livejournal.com-eko RSS jarioarekin batera komandoen zerrenda eguneratzeko.
2016ko apiriletik, telemetriako datuetan .bit domeinuetara aldatu dela ikusi dugu. Hau domeinuaren erregistro-datak berresten du - lehen RTM domeinua fde05d0573da.bit 13ko martxoaren 2016an erregistratu zen.
Kanpainaren jarraipena egiten ikusi genituen URL guztiek bide komun bat zuten: /r/z.php. Nahiko ezohikoa da eta sareko fluxuetan RTM eskaerak identifikatzen lagunduko du.
4.3.1. Agindu eta kontrolerako kanala
Oinarrizko adibideek kanal hau erabili zuten komando eta kontrol zerbitzarien zerrenda eguneratzeko. Hosting-a livejournal.com helbidean dago, txostena idazteko unean hxxp://f72bba81c921(.)livejournal(.)com/data/rss URLan geratu zen.
Livejournal errusiar-amerikar enpresa bat da, blogak egiteko plataforma bat eskaintzen duena. RTM operadoreek LJ blog bat sortzen dute eta bertan kodetutako komandoekin artikulu bat argitaratzen dute - ikusi pantaila-argazkia.
Agindu- eta kontrol-lerroak aldatutako RC4 algoritmo baten bidez kodetzen dira (4.2 atala). Kanalaren egungo bertsioak (2016ko azaroa) komando eta kontrol zerbitzariaren helbide hauek ditu:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. .bit domeinuak
Azken RTM laginetan, egileak C&C domeinuetara konektatzen dira .bit TLD goi-mailako domeinua erabiliz. Ez dago ICANN (Domain Name and Internet Corporation) goi-mailako domeinuen zerrendan. Horren ordez, Namecoin sistema erabiltzen du, Bitcoin teknologiaren gainean eraikita dagoena. Malware egileek ez dute maiz erabiltzen .bit TLD-a beren domeinuetarako, nahiz eta erabilera horren adibide bat lehenago ikusi den Necurs botnet-en bertsio batean.
Bitcoin ez bezala, banatutako Namecoin datu-basearen erabiltzaileek datuak gordetzeko gaitasuna dute. Ezaugarri honen aplikazio nagusia .bit goi-mailako domeinua da. Banatutako datu-base batean gordeko diren domeinuak erregistra ditzakezu. Datu-basean dagozkien sarrerek domeinuak ebatzitako IP helbideak dituzte. TLD hau "zentsurari erresistentea" da, erregistratzaileak bakarrik alda dezakeelako .bit domeinuaren bereizmena. Horrek esan nahi du askoz zailagoa dela domeinu gaizto bat TLD mota hau erabiliz geldiaraztea.
RTM Troiakoak ez du txertatzen banatutako Namecoin datu-basea irakurtzeko beharrezkoa den softwarea. DNS zerbitzari zentralak erabiltzen ditu, hala nola dns.dot-bit.org edo OpenNic zerbitzariak .bit domeinuak ebazteko. Hori dela eta, DNS zerbitzarien iraunkortasun bera du. Blogeko argitalpen batean aipatu ondoren talde-domeinu batzuk ez zirela detektatzen ikusi genuen.
Hackerentzako .bit TLD-ren beste abantaila bat kostua da. Domeinu bat erregistratzeko, operadoreek 0,01 NK baino ez dute ordaindu behar, hau da, 0,00185 dolarri dagokio (5ko abenduaren 2016etik aurrera). Konparazio baterako, domain.com-ek gutxienez 10 $ balio du.
4.3.3. Protokoloa
Komando eta kontrol zerbitzariarekin komunikatzeko, RTM-k HTTP POST eskaerak erabiltzen ditu protokolo pertsonalizatu bat erabiliz formateatutako datuekin. Bide-balioa beti da /r/z.php; Mozilla/5.0 erabiltzaile-agentea (bateragarria; MSIE 9.0; Windows NT 6.1; Trident/5.0). Zerbitzariari egindako eskaeretan, datuak honela formateatzen dira, non offset balioak bytetan adierazten diren:
0tik 6rako byteak ez dira kodetzen; 6tik hasten diren byteak RC4 algoritmo aldatu baten bidez kodetzen dira. C&C erantzun paketearen egitura sinpleagoa da. Byteak 4tik paketeen tamainara kodetzen dira.
Ekintza byte balio posibleen zerrenda beheko taulan aurkezten da:
Malwareak deszifratutako datuen CRC32 kalkulatzen du beti eta paketean dagoenarekin konparatzen du. Desberdintasunak badira, troiarrak paketea erortzen du.
Datu gehigarriek hainbat objektu izan ditzakete, besteak beste, PE fitxategi bat, fitxategi sisteman bilatu beharreko fitxategi bat edo komandoen URL berriak.
4.3.4. Panela
RTM-k C&C zerbitzarietan panel bat erabiltzen duela ohartu ginen. Beheko pantaila-argazkia:
4.4. Zeinu ezaugarria
RTM banku-troiako ohiko bat da. Ez da harritzekoa operadoreek biktimaren sistemari buruzko informazioa nahi izatea. Alde batetik, bot-ak OSari buruzko informazio orokorra biltzen du. Bestalde, arriskuan dagoen sistemak Errusiako urruneko banku-sistemekin lotutako atributuak dituen ala ez jakiten du.
4.4.1. Informazio orokorra
Berrabiarazi ondoren malwarea instalatzen edo abiarazten denean, txosten bat bidaltzen da komando eta kontrol zerbitzariari informazio orokorra duena, besteak beste:
- Ordu eremu;
- sistemaren hizkuntza lehenetsia;
- baimendutako erabiltzailearen kredentzialak;
- prozesuen osotasun maila;
- Erabiltzaile izena;
- ordenagailuaren izena;
- OS bertsioa;
- instalatutako modulu osagarriak;
- instalatutako birusen aurkako programa;
- txartel adimendunen irakurgailuen zerrenda.
4.4.2 Urruneko banku-sistema
Troiako helburu tipikoa urruneko banku-sistema bat da, eta RTM ez da salbuespena. Programaren moduluetako bat TBdo deitzen da, eta hainbat zeregin egiten ditu, besteak beste, diskoak eskaneatzea eta arakatze-historia.
Diskoa eskaneatzearekin, troiarrak banku-softwarea makinan instalatuta dagoen egiaztatzen du. Xede-programen zerrenda osoa beheko taulan dago. Intereseko fitxategi bat detektatu ondoren, programak komando-zerbitzariari bidaltzen dio informazioa. Hurrengo ekintzak komando zentroaren (C&C) algoritmoak zehaztutako logikaren araberakoak dira.
RTM-k URL ereduak ere bilatzen ditu arakatzailearen historian eta fitxa irekietan. Horrez gain, programak FindNextUrlCacheEntryA eta FindFirstUrlCacheEntryA funtzioen erabilera aztertzen du, eta sarrera bakoitza URLa eredu hauetako batekin bat etortzeko ere egiaztatzen du:
Fitxa irekiak detektatuta, Troiakoak Internet Explorer edo Firefox harremanetan jartzen du Dynamic Data Exchange (DDE) mekanismoaren bidez, fitxa ereduarekin bat datorren egiaztatzeko.
Zure arakatze-historia eta irekitako fitxak egiaztatzea WHILE begizta batean egiten da (aurrebaldintza duen begizta) egiaztapenen artean segundoko etenarekin. Denbora errealean kontrolatzen diren beste datu batzuk 1 atalean aztertuko dira.
Eredu bat aurkitzen bada, programak komando-zerbitzariari jakinaraziko dio hurrengo taulako kate-zerrenda bat erabiliz:
4.5 Jarraipena
Troiako exekutatzen ari den bitartean, kutsatutako sistemaren ezaugarriei buruzko informazioa (banku-softwarearen presentziari buruzko informazioa barne) komando eta kontrol zerbitzarira bidaltzen da. Hatz-markak RTM-k monitorizazio-sistema lehen aldiz exekutatzen duenean gertatzen da hasierako OS eskaneatu eta berehala.
4.5.1. Urruneko bankua
TBdo modulua bankuarekin lotutako prozesuen jarraipenaz ere arduratzen da. Datu-truke dinamikoa erabiltzen du Firefox eta Internet Explorer-en fitxak egiaztatzeko hasierako eskaneatzean. Beste TShell modulu bat komando-leihoak kontrolatzeko erabiltzen da (Internet Explorer edo File Explorer).
Moduluak COM interfazeak erabiltzen ditu IShellWindows, iWebBrowser, DWebBrowserEvents2 eta IConnectionPointContainer leihoak kontrolatzeko. Erabiltzaile batek web orri berri batera nabigatzen duenean, malwareak hori ohartzen du. Ondoren, orriaren URLa goiko ereduekin alderatzen du. Bat-etortze bat detektatu ondoren, Troiakoak sei pantaila-argazki jarraian hartzen ditu 5 segundoko tartearekin eta C&S komando-zerbitzarira bidaltzen ditu. Programak banku-softwarearekin lotutako leiho-izen batzuk ere egiaztatzen ditu - zerrenda osoa behean dago:
4.5.2. Txartel adimenduna
RTM-k kutsatutako ordenagailuetara konektatuta dauden txartel adimendunen irakurgailuak kontrolatzeko aukera ematen du. Gailu hauek herrialde batzuetan ordainketa-aginduak bateratzeko erabiltzen dira. Gailu mota hau ordenagailu bati lotuta badago, troiako bati adierazi diezaioke makina banku-transakzioetarako erabiltzen ari dela.
Beste banku troiako batzuek ez bezala, RTM-k ezin du horrelako txartel adimendunekin elkarreragin. Agian funtzionalitate hau oraindik ikusi ez dugun modulu gehigarri batean sartzen da.
4.5.3. Keylogger
Kutsatutako ordenagailu baten jarraipenaren zati garrantzitsu bat tekla sakatzeak harrapatzea da. Badirudi RTM garatzaileek ez dutela informaziorik faltan, ohiko teklak ez ezik, teklatu birtuala eta arbela ere kontrolatzen baitituzte.
Horretarako, erabili SetWindowsHookExA funtzioa. Erasotzaileek sakatutako teklak edo teklatu birtualari dagozkion teklak erregistratzen dituzte, programaren izena eta datarekin batera. Buffer-a C&C komando-zerbitzarira bidaltzen da.
SetClipboardViewer funtzioa arbela atzemateko erabiltzen da. Hackerrek arbeleko edukia erregistratzen dute datuak testuak direnean. Izena eta data ere buffera zerbitzarira bidali aurretik erregistratzen dira.
4.5.4. Pantaila-argazkiak
Beste RTM funtzio bat pantaila-argazkiak atzematea da. Eginbidea leihoak kontrolatzeko moduluak gune edo banku-software interesgarri bat detektatzen duenean aplikatzen da. Pantaila-argazkiak irudi grafikoen liburutegi bat erabiliz ateratzen dira eta komando-zerbitzarira transferitzen dira.
4.6. Desinstalazioa
C&C zerbitzariak malwarea exekutatzen utzi eta ordenagailua garbitu dezake. Komandoari esker, RTM exekutatzen ari den bitartean sortutako fitxategiak eta erregistroko sarrerak garbitu ditzakezu. Ondoren, DLL malwarea eta winlogon fitxategia kentzeko erabiltzen da, eta ondoren komandoak ordenagailua itzaltzen du. Beheko irudian erakusten den bezala, DLL erase.dll erabiliz garatzaileek kentzen dute.
Zerbitzariak Troiakoari desinstalazio-blokeo komando suntsitzailea bidal diezaioke. Kasu honetan, administratzaile-eskubideak badituzu, RTM-k MBR abio-sektorea ezabatuko du disko gogorrean. Honek huts egiten badu, Troiako MBR abio-sektorea ausazko sektore batera aldatzen saiatuko da; orduan ordenagailuak ezin izango du sistema eragilea abiarazi itzali ondoren. Honek sistema eragilea guztiz berrezartzea ekar dezake, eta horrek frogak suntsitzea esan nahi du.
Administratzaile-pribilegiorik gabe, malwareak .EXE bat idazten du azpiko RTM DLLan kodetuta. Exekutagarriak ordenagailua itzaltzeko behar den kodea exekutatzen du eta modulua HKCUCurrentVersionRun erregistro-gakoan erregistratzen du. Erabiltzaileak saio bat hasten duen bakoitzean, ordenagailua berehala itzaltzen da.
4.7. Konfigurazio fitxategia
Lehenespenez, RTM-k ez du ia konfigurazio fitxategirik, baina komando eta kontrol zerbitzariak erregistroan gorde eta programak erabiliko dituen konfigurazio-balioak bidal ditzake. Konfigurazio-gakoen zerrenda beheko taulan aurkezten da:
Konfigurazioa Software[Pseudo-random string] erregistroko gakoan gordetzen da. Balio bakoitza aurreko taulan aurkeztutako errenkadetako bati dagokio. Balioak eta datuak RTM-n RC4 algoritmoa erabiliz kodetzen dira.
Datuek sare edo kateen egitura bera dute. Lau byteko XOR gako bat gehitzen da kodetutako datuen hasieran. Konfigurazio-balioetarako, XOR gakoa desberdina da eta balioaren tamainaren araberakoa da. Honela kalkula daiteke:
xor_key = (len (config_value) << 24) | (len(config_value) << 16)
| len(konfigurazio_balioa)| (len(config_value) << 8)
4.8. Beste ezaugarri batzuk
Jarraian, ikus ditzagun RTM-k onartzen dituen beste funtzio batzuk.
4.8.1. Modulu osagarriak
Troiako modulu osagarriak barne hartzen ditu, hau da, DLL fitxategiak. C&C komando zerbitzaritik bidalitako moduluak kanpoko programa gisa exekutatu daitezke, RAMan islatu eta hari berrietan abiarazi. Biltegiratzeko, moduluak .dtt fitxategietan gordetzen dira eta sareko komunikazioetarako erabiltzen den gako berarekin RC4 algoritmoa erabiliz kodetzen dira.
Orain arte VNC modulua (8966319882494077C21F66A8354E2CBCA0370464), arakatzailearen datuak erauzteko modulua (03DE8622BE6B2F75A364A275995C3411626C4D9E_1) eta (2DE1BE562B1F69A6A58C88753C7D0E_3) eta C4E_XNUMX_XNUMXkFXNUMXE_XNUMX. EFCXNUMXFBAXNUMX BXNUMXBEXNUMXDXNUMXBXNUMXEXNUMXCFAB).
VNC modulua kargatzeko, C&C zerbitzariak komando bat ematen du VNC zerbitzariarekin konexioak eskatzeko 44443 atakako IP helbide zehatz batean. Arakatzailearen datuak berreskuratzeko pluginak TBrowserDataCollector exekutatzen du, IE arakatze-historia irakur dezakeena. Ondoren, bisitatutako URLen zerrenda osoa bidaltzen du C&C komando-zerbitzarira.
Aurkitutako azken modulua 1c_2_kl deitzen da. 1C Enterprise software paketearekin elkarreragin dezake. Moduluak bi zati ditu: zati nagusia - DLL eta bi agente (32 eta 64 bit), prozesu bakoitzean txertatuko direnak, WH_CBT-rekin lotura bat erregistratuz. 1C prozesuan sartuta, moduluak CreateFile eta WriteFile funtzioak lotzen ditu. CreateFile bound funtzioari deitzen zaion bakoitzean, moduluak 1c_to_kl.txt fitxategi-bidea gordetzen du memorian. WriteFile deia atzeman ondoren, WriteFile funtziora deitzen du eta 1c_to_kl.txt fitxategi-bidea bidaltzen du DLL modulu nagusira, landutako Windows WM_COPYDATA mezua pasatuz.
DLL modulu nagusiak fitxategia ireki eta analizatzen du ordainketa-aginduak zehazteko. Fitxategian jasotako zenbatekoa eta transakzio zenbakia aitortzen ditu. Informazio hori komando-zerbitzariari bidaltzen zaio. Modulu hau garatzen ari dela uste dugu, arazketa-mezu bat duelako eta ezin duelako automatikoki aldatu 1c_to_kl.txt.
4.8.2. Pribilegioen igoera
Baliteke RTM-k pribilegioak handitzen saiatzea errore-mezu faltsuak erakutsiz. Malwareak erregistroaren egiaztapena simulatzen du (ikus beheko irudia) edo benetako erregistro-editorearen ikonoa erabiltzen du. Mesedez, kontuan izan itxaron ortografia akatsa - zer. Eskaneatu segundo batzuk igaro ondoren, programak errore-mezu faltsu bat bistaratzen du.
Mezu faltsu batek erraz engainatuko du erabiltzaile arrunta, akats gramatikalak izan arren. Erabiltzaileak bi esteketako batean klik egiten badu, RTM sisteman dituen pribilegioak handitzen saiatuko da.
Bi berreskuratzeko aukeretako bat hautatu ondoren, Troiakoak DLL abiarazten du ShellExecute funtzioko runas aukera erabiliz administratzaile-pribilegioekin. Erabiltzaileak benetako Windows gonbita ikusiko du (ikusi beheko irudia) kotarako. Erabiltzaileak beharrezko baimenak ematen baditu, Troiako administratzaile-pribilegioekin exekutatuko da.
Sisteman instalatutako hizkuntza lehenetsiaren arabera, Troiako akats-mezuak errusieraz edo ingelesez bistaratzen ditu.
4.8.3. Ziurtagiria
RTM-k Windows dendan ziurtagiriak gehi ditzake eta gehiketaren fidagarritasuna berretsi dezake csrss.exe elkarrizketa-koadroko "bai" botoian automatikoki klik eginez. Jokabide hau ez da berria; adibidez, banku Troiako Retefe-k ere modu independentean berresten du ziurtagiri berri bat instalatzea.
4.8.4. Alderantzizko konexioa
RTM egileek Backconnect TCP tunela ere sortu zuten. Oraindik ez dugu ikusi funtzioa erabiltzen, baina kutsatutako ordenagailuak urrunetik kontrolatzeko diseinatuta dago.
4.8.5. Ostalari fitxategien kudeaketa
C&C zerbitzariak komando bat bidal diezaioke Troiakoari Windows ostalari fitxategia aldatzeko. Ostalari fitxategia DNS bereizmen pertsonalizatuak sortzeko erabiltzen da.
4.8.6. Bilatu eta bidali fitxategi bat
Zerbitzariak infektatutako sisteman fitxategi bat bilatzeko eta deskargatzeko eska dezake. Adibidez, ikerketan zehar 1c_to_kl.txt fitxategiaren eskaera jaso genuen. Aurrez azaldu bezala, fitxategi hau 1C: Enterprise 8 kontabilitate sistemak sortzen du.
4.8.7. Eguneratzea
Azkenik, RTM egileek softwarea egunera dezakete DLL berri bat bidaliz uneko bertsioa ordezkatzeko.
5. Ondorioa
RTM-ren ikerketak erakusten du Errusiako banku-sistemak zibererasotzaileak erakartzen dituela oraindik. Buhtrap, Corkow eta Carbanak bezalako taldeek dirua arrakastaz lapurtzen diete finantza erakundeei eta haien bezeroei Errusian. RTM industria honetako jokalari berria da.
ESET telemetriaren arabera, 2015aren amaieratik gutxienez erabiltzen ari dira RTM tresna gaiztoak. Programak espioitza gaitasun ugari ditu, besteak beste, txartel adimendunak irakurtzea, teklak atzematea eta banku-transakzioak kontrolatzea, baita 1C: Enterprise 8 garraio fitxategiak bilatzea ere.
.bit goi-mailako domeinu deszentralizatua eta zentsuratu gabe erabiltzeak azpiegitura oso erresilientea bermatzen du.
Iturria: www.habr.com