چندین گروه سایبری شناخته شده وجود دارد که در سرقت وجوه از شرکت های روسی تخصص دارند. ما شاهد حملاتی با استفاده از حفره های امنیتی بوده ایم که امکان دسترسی به شبکه هدف را فراهم می کند. هنگامی که مهاجمان دسترسی پیدا کردند، ساختار شبکه سازمان را مطالعه می کنند و ابزارهای خود را برای سرقت وجوه مستقر می کنند. نمونه کلاسیک این روند، گروه های هکری Buhtrap، Cobalt و Corkow هستند.
گروه RTM که این گزارش بر روی آن تمرکز دارد بخشی از این روند است. این برنامه از بدافزار طراحی شده ویژه ای استفاده می کند که در دلفی نوشته شده است، که در بخش های بعدی با جزئیات بیشتری به آن خواهیم پرداخت. اولین آثار این ابزارها در سیستم تله متری ESET در پایان سال 2015 کشف شد. تیم ماژول های مختلف جدید را در صورت نیاز بر روی سیستم های آلوده بارگذاری می کند. هدف این حملات کاربران سیستم های بانکی از راه دور در روسیه و برخی کشورهای همسایه است.
هدف کمپین RTM کاربران شرکتی است - این از فرآیندهایی که مهاجمان سعی در شناسایی در یک سیستم در معرض خطر دارند آشکار است. تمرکز بر نرم افزار حسابداری برای کار با سیستم های بانکداری از راه دور است.
لیست فرآیندهای مورد علاقه RTM شبیه لیست مربوط به گروه Buhtrap است، اما گروه ها ناقل های عفونت متفاوتی دارند. اگر Buhtrap بیشتر از صفحات جعلی استفاده می کرد، RTM از حملات بارگیری درایو (حمله به مرورگر یا اجزای آن) و ارسال هرزنامه از طریق ایمیل استفاده می کرد. بر اساس داده های تله متری، این تهدید روسیه و چندین کشور مجاور (اوکراین، قزاقستان، جمهوری چک، آلمان) را هدف گرفته است. با این حال، به دلیل استفاده از مکانیسم های توزیع انبوه، تشخیص بدافزار در خارج از مناطق هدف تعجب آور نیست.
تعداد کل شناسایی بدافزارها نسبتاً کم است. از سوی دیگر، کمپین RTM از برنامه های پیچیده استفاده می کند که نشان می دهد حملات به شدت هدفمند هستند.
ما چندین سند فریب مورد استفاده RTM را کشف کرده ایم، از جمله قراردادها، فاکتورها یا اسناد حسابداری مالیاتی که وجود ندارند. ماهیت فریب ها، همراه با نوع نرم افزار مورد هدف حمله، نشان می دهد که مهاجمان از طریق بخش حسابداری وارد شبکه های شرکت های روسی می شوند. گروه نیز بر اساس همین طرح عمل کرد
در طول تحقیقات، ما توانستیم با چندین سرور C&C تعامل داشته باشیم. ما لیست کامل دستورات را در بخشهای بعدی فهرست میکنیم، اما در حال حاضر میتوان گفت که کلاینت دادهها را از keylogger مستقیماً به سرور مهاجم منتقل میکند و سپس دستورات اضافی از آن دریافت میشود.
با این حال، روزهایی که به سادگی میتوانستید به یک سرور فرمان و کنترل متصل شوید و تمام دادههایی را که به آنها علاقه داشتید جمعآوری کنید، گذشته است. ما فایل های گزارش واقعی را دوباره ایجاد کردیم تا برخی از دستورات مربوطه را از سرور دریافت کنیم.
اولین مورد درخواستی از ربات برای انتقال فایل 1c_to_kl.txt - یک فایل انتقال برنامه 1C: Enterprise 8 است که ظاهر آن به طور فعال توسط RTM نظارت می شود. 1C با بارگذاری دادههای مربوط به پرداختهای خروجی در یک فایل متنی، با سیستمهای بانکی از راه دور تعامل دارد. سپس فایل جهت اتوماسیون و اجرای دستور پرداخت به سامانه بانکی از راه دور ارسال می شود.
فایل حاوی جزئیات پرداخت است. اگر مهاجمان اطلاعات مربوط به پرداختهای خروجی را تغییر دهند، انتقال با استفاده از جزئیات نادرست به حسابهای مهاجمان ارسال میشود.
حدود یک ماه پس از درخواست این فایلها از سرور فرمان و کنترل، شاهد بارگذاری یک افزونه جدید به نام 1c_2_kl.dll در سیستم در معرض خطر بودیم. ماژول (DLL) به گونه ای طراحی شده است که فایل دانلودی را با نفوذ به فرآیندهای نرم افزار حسابداری به طور خودکار تجزیه و تحلیل کند. در قسمت های بعدی به تفصیل توضیح خواهیم داد.
جالب اینجاست که FinCERT بانک روسیه در پایان سال 2016 بولتنی درباره مجرمان سایبری با استفاده از فایل های آپلود 1c_to_kl.txt صادر کرد. توسعه دهندگان 1C نیز از این طرح اطلاع دارند؛ آنها قبلاً بیانیه ای رسمی داده اند و اقدامات احتیاطی را ذکر کرده اند.
ماژول های دیگر نیز از سرور فرمان، به ویژه VNC (نسخه های 32 و 64 بیتی آن) بارگیری شدند. شبیه ماژول VNC است که قبلا در حملات Dridex Trojan استفاده می شد. این ماژول ظاهراً برای اتصال از راه دور به یک رایانه آلوده و انجام مطالعه دقیق سیستم استفاده می شود. در مرحله بعد، مهاجمان سعی می کنند در سراسر شبکه حرکت کنند، رمزهای عبور کاربر را استخراج کنند، اطلاعات را جمع آوری کنند و از حضور مداوم بدافزار اطمینان حاصل کنند.
2. ناقلین عفونت
شکل زیر ناقل های عفونت شناسایی شده در طول دوره مطالعه کمپین را نشان می دهد. این گروه از طیف گسترده ای از بردارها استفاده می کند، اما عمدتاً از حملات بارگیری و هرزنامه استفاده می کند. این ابزارها برای حملات هدفمند مناسب هستند، زیرا در حالت اول، مهاجمان می توانند سایت های بازدید شده توسط قربانیان احتمالی را انتخاب کنند و در حالت دوم، می توانند ایمیل هایی را با پیوست ها به طور مستقیم برای کارمندان شرکت مورد نظر ارسال کنند.
بدافزار از طریق کانالهای متعددی از جمله کیتهای بهرهبرداری RIG و Sundown یا پستهای هرزنامه توزیع میشود که نشاندهنده ارتباط بین مهاجمان و سایر مهاجمان سایبری است که این خدمات را ارائه میدهند.
2.1. RTM و Buhtrap چگونه به هم مرتبط هستند؟
کمپین RTM بسیار شبیه به Buhtrap است. سؤال طبیعی این است: آنها چگونه با یکدیگر مرتبط هستند؟
در سپتامبر 2016، ما شاهد توزیع یک نمونه RTM با استفاده از آپلود کننده Buhtrap بودیم. علاوه بر این، ما دو گواهی دیجیتالی را پیدا کردیم که هم در Buhtrap و هم در RTM استفاده می شود.
اولین مورد، که گفته میشود برای شرکت DNISTER-M صادر شده است، برای امضای دیجیتالی دومین فرم دلفی (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) و Buhtrap DLL (SHA-1: 1E2642BD 454F2D889).
دومی که برای Bit-Tredj صادر شد، برای امضای لودرهای Buhtrap (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 و B74F71560E48488D2153AE2EB51207) و همچنین نصب کامپوننت های R.T.
اپراتورهای RTM از گواهیهایی استفاده میکنند که در سایر خانوادههای بدافزار مشترک است، اما آنها همچنین گواهی منحصر به فردی دارند. بر اساس تله متری ESET، برای Kit-SD صادر شد و فقط برای امضای برخی بدافزارهای RTM (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6) مورد استفاده قرار گرفت.
RTM از همان لودر Buhtrap استفاده می کند، اجزای RTM از زیرساخت Buhtrap بارگیری می شوند، بنابراین گروه ها نشانگرهای شبکه مشابهی دارند. با این حال، طبق برآورد ما، RTM و Buhtrap گروههای متفاوتی هستند، حداقل به این دلیل که RTM به روشهای متفاوتی توزیع میشود (نه تنها با استفاده از یک دانلود کننده «خارجی»).
با وجود این، گروه های هکر از اصول عملیاتی مشابهی استفاده می کنند. آنها کسبوکارهایی را با استفاده از نرمافزار حسابداری، جمعآوری اطلاعات سیستم، جستجوی کارتخوانهای هوشمند و استقرار مجموعهای از ابزارهای مخرب برای جاسوسی از قربانیان هدف قرار میدهند.
3. تکامل
در این بخش، نسخههای مختلف بدافزارهای یافت شده در طول مطالعه را بررسی خواهیم کرد.
3.1. نسخه سازی
RTM داده های پیکربندی را در یک بخش رجیستری ذخیره می کند که جالب ترین قسمت آن پیشوند بات نت است. فهرستی از تمام مقادیری که در نمونه هایی که مطالعه کردیم دیدیم در جدول زیر ارائه شده است.
این امکان وجود دارد که از مقادیر برای ضبط نسخه های بدافزار استفاده شود. اما تفاوت چندانی بین نسخه هایی مانند bit2 و bit3، 0.1.6.4 و 0.1.6.6 مشاهده نکردیم. علاوه بر این، یکی از پیشوندها از ابتدا وجود داشته است و از یک دامنه C&C معمولی به یک دامنه .bit تبدیل شده است، همانطور که در زیر نشان داده خواهد شد.
3.2. برنامه
با استفاده از داده های تله متری، نموداری از وقوع نمونه ها ایجاد کردیم.
4. تحلیل فنی
در این بخش، عملکردهای اصلی تروجان بانکی RTM، از جمله مکانیسم های مقاومت، نسخه خود الگوریتم RC4، پروتکل شبکه، قابلیت جاسوسی و برخی ویژگی های دیگر را شرح خواهیم داد. به طور خاص، ما بر روی نمونه های SHA-1 AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 و 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B تمرکز خواهیم کرد.
4.1. نصب و ذخیره
4.1.1. پیاده سازی
هسته RTM یک DLL است، کتابخانه با استفاده از EXE. روی دیسک بارگذاری می شود. فایل اجرایی معمولا بسته بندی شده و حاوی کد DLL است. پس از راه اندازی، DLL را استخراج کرده و با استفاده از دستور زیر اجرا می کند:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host
4.1.2. DLL
DLL اصلی همیشه به عنوان winlogon.lnk در پوشه %PROGRAMDATA% Winlogon روی دیسک بارگذاری می شود. این پسوند فایل معمولاً با یک میانبر همراه است، اما فایل در واقع یک DLL است که در دلفی نوشته شده است که توسط توسعه دهنده core.dll نامگذاری شده است، همانطور که در تصویر زیر نشان داده شده است.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
پس از راه اندازی، تروجان مکانیسم مقاومت خود را فعال می کند. بسته به امتیازات قربانی در سیستم، این می تواند به دو روش مختلف انجام شود. اگر حقوق سرپرست دارید، تروجان یک ورودی Windows Update را به رجیستری HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun اضافه می کند. دستورات موجود در Windows Update در شروع جلسه کاربر اجرا می شود.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe "%PROGRAMDATA%winlogon.lnk",DllGetClassObject میزبان
تروجان همچنین سعی می کند یک وظیفه به برنامه زمانبندی وظایف ویندوز اضافه کند. این وظیفه DLL winlogon.lnk را با همان پارامترهای بالا راه اندازی می کند. حقوق کاربر معمولی به تروجان اجازه می دهد تا یک ورودی Windows Update با همان داده ها را به رجیستری HKCUSoftwareMicrosoftWindowsCurrentVersionRun اضافه کند:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host
4.2. الگوریتم RC4 اصلاح شده
با وجود کاستی های شناخته شده، الگوریتم RC4 به طور مرتب توسط نویسندگان بدافزار استفاده می شود. با این حال، سازندگان RTM آن را کمی اصلاح کردند، احتمالاً برای اینکه کار تحلیلگران ویروس را دشوارتر کنند. نسخه اصلاح شده RC4 به طور گسترده در ابزارهای RTM مخرب برای رمزگذاری رشته ها، داده های شبکه، پیکربندی و ماژول ها استفاده می شود.
4.2.1. تفاوت
الگوریتم اصلی RC4 شامل دو مرحله است: مقداردهی اولیه s-block (با نام مستعار KSA - Key-Scheduling Algorithm) و تولید توالی شبه تصادفی (PRGA - الگوریتم تولید شبه تصادفی). مرحله اول شامل مقداردهی اولیه s-box با استفاده از کلید است و در مرحله دوم متن منبع با استفاده از s-box برای رمزگذاری پردازش می شود.
نویسندگان RTM یک مرحله میانی بین مقداردهی اولیه s-box و رمزگذاری اضافه کردند. کلید اضافی متغیر است و همزمان با داده ها برای رمزگذاری و رمزگشایی تنظیم می شود. تابعی که این مرحله اضافی را انجام می دهد در شکل زیر نشان داده شده است.
4.2.2. رمزگذاری رشته
در نگاه اول، چندین خط قابل خواندن در DLL اصلی وجود دارد. بقیه با استفاده از الگوریتمی که در بالا توضیح داده شد رمزگذاری شده اند که ساختار آن در شکل زیر نشان داده شده است. ما بیش از 25 کلید RC4 مختلف برای رمزگذاری رشتهای در نمونههای آنالیز شده پیدا کردیم. کلید XOR برای هر ردیف متفاوت است. مقدار فیلدهای عددی جداکننده خطوط همیشه 0xFFFFFFFF است.
در ابتدای اجرا، RTM رشته ها را به یک متغیر سراسری رمزگشایی می کند. در صورت لزوم برای دسترسی به یک رشته، تروجان به صورت پویا آدرس رشته های رمزگشایی شده را بر اساس آدرس پایه و افست محاسبه می کند.
رشته ها حاوی اطلاعات جالبی در مورد عملکرد بدافزار هستند. برخی از رشته های نمونه در بخش 6.8 ارائه شده است.
4.3. شبکه
نحوه تماس بدافزار RTM با سرور C&C از نسخه ای به نسخه دیگر متفاوت است. اولین تغییرات (اکتبر 2015 - آوریل 2016) از نام های دامنه سنتی به همراه یک فید RSS در livejournal.com برای به روز رسانی لیست دستورات استفاده می کردند.
از آوریل 2016، ما شاهد تغییر به دامنه های .bit در داده های تله متری بوده ایم. این توسط تاریخ ثبت دامنه تأیید شده است - اولین دامنه RTM fde05d0573da.bit در 13 مارس 2016 ثبت شد.
همه URL هایی که هنگام نظارت بر کمپین دیدیم یک مسیر مشترک داشتند: /r/z.php. این کاملا غیر معمول است و به شناسایی درخواست های RTM در جریان های شبکه کمک می کند.
4.3.1. کانال دستورات و کنترل
نمونه های قدیمی از این کانال برای به روز رسانی لیست سرورهای فرمان و کنترل خود استفاده کردند. میزبانی در livejournal.com قرار دارد، در زمان نوشتن گزارش در URL hxxp://f72bba81c921(.)livejournal(.)com/ data/rss باقی مانده است.
Livejournal یک شرکت روسی-آمریکایی است که یک پلت فرم وبلاگ نویسی را ارائه می دهد. اپراتورهای RTM یک وبلاگ LJ ایجاد می کنند که در آن مقاله ای با دستورات کدگذاری شده ارسال می کنند - به اسکرین شات مراجعه کنید.
خطوط فرمان و کنترل با استفاده از الگوریتم اصلاح شده RC4 کدگذاری می شوند (بخش 4.2). نسخه فعلی (نوامبر 2016) کانال شامل آدرس های سرور فرمان و کنترل زیر است:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. دامنه های .bit
در نمونههای اخیر RTM، نویسندگان با استفاده از دامنه سطح بالای .bit TLD به دامنههای C&C متصل میشوند. در فهرست دامنه های سطح بالا ICANN (نام دامنه و شرکت اینترنتی) نیست. در عوض، از سیستم Namecoin استفاده می کند که بر پایه فناوری بیت کوین ساخته شده است. نویسندگان بدافزار اغلب از .bit TLD برای دامنه های خود استفاده نمی کنند، اگرچه نمونه ای از چنین استفاده ای قبلاً در نسخه ای از بات نت Necurs مشاهده شده بود.
برخلاف بیت کوین، کاربران پایگاه داده توزیع شده Namecoin توانایی ذخیره داده ها را دارند. کاربرد اصلی این ویژگی دامنه سطح بالای .bit است. می توانید دامنه هایی را ثبت کنید که در یک پایگاه داده توزیع شده ذخیره می شوند. ورودی های مربوطه در پایگاه داده حاوی آدرس های IP هستند که توسط دامنه حل شده اند. این TLD "مقاوم در برابر سانسور" است زیرا فقط ثبت کننده می تواند وضوح دامنه .bit را تغییر دهد. این بدان معنی است که متوقف کردن یک دامنه مخرب با استفاده از این نوع TLD بسیار دشوارتر است.
تروجان RTM نرم افزار لازم برای خواندن پایگاه داده Namecoin توزیع شده را تعبیه نمی کند. از سرورهای DNS مرکزی مانند dns.dot-bit.org یا سرورهای OpenNic برای حل و فصل دامنه های .bit استفاده می کند. بنابراین دوام آن مانند سرورهای DNS است. مشاهده کردیم که برخی از دامنههای تیم پس از ذکر در یک پست وبلاگ دیگر شناسایی نشدند.
یکی دیگر از مزایای TLD .bit برای هکرها هزینه است. برای ثبت دامنه، اپراتورها باید فقط 0,01 NK پرداخت کنند که معادل 0,00185 دلار است (از 5 دسامبر 2016). برای مقایسه، domain.com حداقل 10 دلار هزینه دارد.
4.3.3. پروتکل
برای برقراری ارتباط با سرور فرمان و کنترل، RTM از درخواست های HTTP POST با داده های فرمت شده با استفاده از یک پروتکل سفارشی استفاده می کند. مقدار مسیر همیشه /r/z.php است. عامل کاربر Mozilla/5.0 (سازگار؛ MSIE 9.0؛ Windows NT 6.1؛ Trident/5.0). در درخواست ها به سرور، داده ها به صورت زیر قالب بندی می شوند، که در آن مقادیر افست در بایت بیان می شود:
بایت های 0 تا 6 کدگذاری نمی شوند. بایت هایی که از 6 شروع می شوند با استفاده از الگوریتم اصلاح شده RC4 کدگذاری می شوند. ساختار بسته پاسخ C&C ساده تر است. بایت ها از 4 تا اندازه بسته کدگذاری می شوند.
لیست مقادیر بایت عمل ممکن در جدول زیر ارائه شده است:
بدافزار همیشه CRC32 داده های رمزگشایی شده را محاسبه می کند و آن را با آنچه در بسته موجود است مقایسه می کند. اگر آنها متفاوت باشند، تروجان بسته را حذف می کند.
داده های اضافی ممکن است شامل اشیاء مختلفی از جمله یک فایل PE، یک فایل برای جستجو در سیستم فایل یا URL های دستوری جدید باشد.
4.3.4. پانل
ما متوجه شدیم که RTM از یک پنل در سرورهای C&C استفاده می کند. اسکرین شات زیر:
4.4. علامت مشخصه
RTM یک تروجان بانکی معمولی است. جای تعجب نیست که اپراتورها اطلاعاتی در مورد سیستم قربانی می خواهند. از یک طرف، ربات اطلاعات کلی در مورد سیستم عامل را جمع آوری می کند. از سوی دیگر، متوجه می شود که آیا سیستم به خطر افتاده دارای ویژگی های مرتبط با سیستم های بانکداری از راه دور روسیه است یا خیر.
4.4.1. اطلاعات عمومی
هنگامی که بدافزار پس از راه اندازی مجدد نصب یا راه اندازی می شود، گزارشی به سرور فرمان و کنترل ارسال می شود که حاوی اطلاعات کلی از جمله:
- منطقه زمانی؛
- زبان سیستم پیش فرض؛
- اعتبار کاربر مجاز؛
- سطح یکپارچگی فرآیند؛
- نام کاربری؛
- نام کامپیوتر؛
- نسخه سیستم عامل؛
- ماژول های نصب شده اضافی؛
- برنامه آنتی ویروس نصب شده؛
- لیست کارتخوان های هوشمند
4.4.2 سیستم بانکداری از راه دور
یک هدف تروجان معمولی یک سیستم بانکی از راه دور است و RTM نیز از این قاعده مستثنی نیست. یکی از ماژول های این برنامه TBdo نام دارد که کارهای مختلفی از جمله اسکن دیسک ها و تاریخچه مرور را انجام می دهد.
با اسکن دیسک، تروجان بررسی می کند که آیا نرم افزار بانکی روی دستگاه نصب شده است یا خیر. لیست کامل برنامه های هدف در جدول زیر آمده است. پس از شناسایی یک فایل مورد علاقه، برنامه اطلاعات را به سرور فرمان ارسال می کند. اقدامات بعدی به منطق مشخص شده توسط الگوریتم های مرکز فرمان (C&C) بستگی دارد.
RTM همچنین به دنبال الگوهای URL در تاریخچه مرورگر شما و برگه های باز می گردد. علاوه بر این، برنامه استفاده از توابع FindNextUrlCacheEntryA و FindFirstUrlCacheEntryA را بررسی می کند و همچنین هر ورودی را برای مطابقت URL با یکی از الگوهای زیر بررسی می کند:
با شناسایی برگه های باز، تروجان از طریق مکانیسم تبادل اطلاعات پویا (DDE) با اینترنت اکسپلورر یا فایرفاکس تماس می گیرد تا بررسی کند که آیا برگه با الگو مطابقت دارد یا خیر.
بررسی تاریخچه مرور و برگههای باز در یک حلقه WHILE (حلقه با پیش شرط) با وقفه 1 ثانیهای بین بررسیها انجام میشود. سایر داده هایی که در زمان واقعی نظارت می شوند در بخش 4.5 مورد بحث قرار خواهند گرفت.
اگر یک الگو پیدا شود، برنامه با استفاده از لیستی از رشته ها از جدول زیر این را به سرور فرمان گزارش می کند:
4.5 نظارت
هنگامی که تروجان در حال اجرا است، اطلاعات مربوط به ویژگی های مشخصه سیستم آلوده (از جمله اطلاعات مربوط به وجود نرم افزار بانکی) به سرور فرمان و کنترل ارسال می شود. اثرانگشت زمانی اتفاق می افتد که RTM برای اولین بار سیستم مانیتورینگ را بلافاصله پس از اسکن اولیه سیستم عامل اجرا می کند.
4.5.1. بانکداری از راه دور
ماژول TBdo همچنین مسئول نظارت بر فرآیندهای مرتبط با بانکداری است. از تبادل اطلاعات پویا برای بررسی برگهها در فایرفاکس و اینترنت اکسپلورر در طول اسکن اولیه استفاده میکند. یکی دیگر از ماژول های TShell برای نظارت بر پنجره های فرمان (Internet Explorer یا File Explorer) استفاده می شود.
این ماژول از رابط های COM ISShellWindows، iWebBrowser، DWebBrowserEvents2 و IConnectionPointContainer برای نظارت بر ویندوزها استفاده می کند. هنگامی که کاربر به یک صفحه وب جدید هدایت می شود، بدافزار این را یادداشت می کند. سپس URL صفحه را با الگوهای بالا مقایسه می کند. با شناسایی یک تطابق، تروجان شش اسکرین شات متوالی با فاصله زمانی 5 ثانیه می گیرد و آنها را به سرور فرمان C&S ارسال می کند. این برنامه همچنین نام پنجره های مربوط به نرم افزار بانکی را بررسی می کند - لیست کامل در زیر است:
4.5.2. کارت هوشمند
RTM به شما امکان می دهد کارت خوان های هوشمند متصل به رایانه های آلوده را نظارت کنید. این دستگاه ها در برخی کشورها برای تطبیق دستورهای پرداخت مورد استفاده قرار می گیرند. اگر این نوع دستگاه به رایانه متصل باشد، می تواند به یک تروجان نشان دهد که دستگاه برای تراکنش های بانکی استفاده می شود.
برخلاف سایر تروجان های بانکی، RTM نمی تواند با چنین کارت های هوشمند تعامل داشته باشد. شاید این قابلیت در یک ماژول اضافی که هنوز ندیده ایم گنجانده شده باشد.
4.5.3. کی لاگر
بخش مهمی از نظارت بر کامپیوتر آلوده، گرفتن کلید است. به نظر می رسد که توسعه دهندگان RTM هیچ اطلاعاتی را از دست نمی دهند، زیرا آنها نه تنها کلیدهای معمولی، بلکه صفحه کلید مجازی و کلیپ بورد را نیز نظارت می کنند.
برای این کار از تابع SetWindowsHookExA استفاده کنید. مهاجمان کلیدهای فشرده شده یا کلیدهای مربوط به صفحه کلید مجازی را همراه با نام و تاریخ برنامه ثبت می کنند. سپس بافر به سرور فرمان C&C ارسال می شود.
تابع SetClipboardViewer برای رهگیری کلیپ بورد استفاده می شود. هنگامی که داده ها متنی هستند، هکرها محتوای کلیپ بورد را ثبت می کنند. نام و تاریخ نیز قبل از ارسال بافر به سرور ثبت می شود.
4.5.4. اسکرین شات ها
یکی دیگر از عملکردهای RTM رهگیری اسکرین شات است. این ویژگی زمانی اعمال می شود که ماژول نظارت بر پنجره، سایت یا نرم افزار بانکی مورد علاقه را شناسایی کند. اسکرین شات ها با استفاده از کتابخانه ای از تصاویر گرافیکی گرفته شده و به سرور فرمان منتقل می شوند.
4.6. حذف نصب
سرور C&C می تواند از اجرای بدافزار جلوگیری کند و رایانه شما را تمیز کند. این دستور به شما امکان می دهد فایل ها و ورودی های رجیستری ایجاد شده در حین اجرای RTM را پاک کنید. سپس از DLL برای حذف بدافزار و فایل winlogon استفاده میشود و پس از آن دستور کامپیوتر را خاموش میکند. همانطور که در تصویر زیر نشان داده شده است، DLL توسط توسعه دهندگان با استفاده از erase.dll حذف می شود.
سرور می تواند یک فرمان مخرب حذف-قفل به تروجان ارسال کند. در این حالت، اگر حقوق مدیر دارید، RTM بخش بوت MBR را در هارد دیسک حذف می کند. اگر این کار انجام نشد، تروجان سعی می کند بخش بوت MBR را به یک بخش تصادفی تغییر دهد - در این صورت کامپیوتر پس از خاموش شدن نمی تواند سیستم عامل را بوت کند. این می تواند منجر به نصب مجدد کامل سیستم عامل شود که به معنای از بین رفتن شواهد است.
بدون حقوق مدیر، بدافزار یک EXE. کدگذاری شده در RTM DLL زیرین می نویسد. فایل اجرایی کد مورد نیاز برای خاموش کردن رایانه را اجرا می کند و ماژول را در کلید رجیستری HKCUCurrentVersionRun ثبت می کند. هر بار که کاربر جلسه ای را شروع می کند، کامپیوتر بلافاصله خاموش می شود.
4.7. فایل پیکربندی
به طور پیش فرض، RTM تقریباً هیچ فایل پیکربندی ندارد، اما سرور فرمان و کنترل می تواند مقادیر پیکربندی را ارسال کند که در رجیستری ذخیره می شود و توسط برنامه استفاده می شود. لیست کلیدهای پیکربندی در جدول زیر ارائه شده است:
پیکربندی در کلید رجیستری نرم افزار [رشته تصادفی شبه] ذخیره می شود. هر مقدار مربوط به یکی از ردیف های ارائه شده در جدول قبلی است. مقادیر و داده ها با استفاده از الگوریتم RC4 در RTM کدگذاری می شوند.
داده ها همان ساختار شبکه یا رشته ها را دارند. یک کلید XOR چهار بایتی در ابتدای داده های کدگذاری شده اضافه می شود. برای مقادیر پیکربندی، کلید XOR متفاوت است و به اندازه مقدار بستگی دارد. می توان آن را به صورت زیر محاسبه کرد:
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)
4.8. سایر ویژگی ها
در مرحله بعد، بیایید به سایر عملکردهایی که RTM پشتیبانی می کند نگاه کنیم.
4.8.1. ماژول های اضافی
تروجان شامل ماژول های اضافی است که فایل های DLL هستند. ماژول های ارسال شده از سرور فرمان C&C می توانند به عنوان برنامه های خارجی اجرا شوند، در RAM منعکس شده و در موضوعات جدید راه اندازی شوند. برای ذخیره سازی، ماژول ها در فایل های .dtt ذخیره می شوند و با استفاده از الگوریتم RC4 با همان کلید مورد استفاده برای ارتباطات شبکه کدگذاری می شوند.
تا کنون نصب ماژول VNC (8966319882494077C21F66A8354E2CBCA0370464)، ماژول استخراج داده های مرورگر (03DE8622BE6B2F75A364A275995C3411626F4 و 9C1F2EE1E562) و ماژول 1C69F6EE58EE88753D EFC7FBA0 B3BE4DXNUMXBXNUMXEXNUMXCFAB).
برای بارگذاری ماژول VNC، سرور C&C فرمانی را صادر می کند که درخواست اتصال به سرور VNC در یک آدرس IP خاص در پورت 44443 را می دهد. افزونه بازیابی اطلاعات مرورگر TBrowserDataCollector را اجرا می کند که می تواند تاریخچه مرور IE را بخواند. سپس لیست کامل URL های بازدید شده را به سرور فرمان C&C ارسال می کند.
آخرین ماژول کشف شده 1c_2_kl نام دارد. این می تواند با بسته نرم افزاری 1C Enterprise تعامل داشته باشد. ماژول شامل دو بخش است: بخش اصلی - DLL و دو عامل (32 و 64 بیتی) که به هر فرآیند تزریق می شود و یک اتصال به WH_CBT را ثبت می کند. ماژول پس از وارد شدن به فرآیند 1C، توابع CreateFile و WriteFile را متصل می کند. هر زمان که تابع CreateFile bound فراخوانی شود، ماژول مسیر فایل 1c_to_kl.txt را در حافظه ذخیره می کند. پس از قطع تماس WriteFile، تابع WriteFile را فراخوانی میکند و مسیر فایل 1c_to_kl.txt را به ماژول اصلی DLL ارسال میکند و پیام WM_COPYDATA ویندوز دستکاری شده را ارسال میکند.
ماژول اصلی DLL باز می شود و فایل را برای تعیین دستورات پرداخت تجزیه می کند. مبلغ و شماره تراکنش موجود در فایل را تشخیص می دهد. این اطلاعات به سرور فرمان ارسال می شود. ما معتقدیم که این ماژول در حال حاضر در حال توسعه است زیرا حاوی یک پیام اشکال زدایی است و نمی تواند به طور خودکار 1c_to_kl.txt را تغییر دهد.
4.8.2. افزایش امتیازات
RTM ممکن است سعی کند با نمایش پیام های خطای نادرست امتیازات را افزایش دهد. این بدافزار یک بررسی رجیستری را شبیه سازی می کند (تصویر زیر را ببینید) یا از یک نماد ویرایشگر رجیستری واقعی استفاده می کند. لطفاً به غلط املایی توجه داشته باشید صبر کنید. پس از چند ثانیه اسکن، برنامه یک پیغام خطای نادرست نمایش می دهد.
یک پیام نادرست علیرغم اشتباهات گرامری به راحتی کاربر عادی را فریب می دهد. اگر کاربر بر روی یکی از دو لینک کلیک کند، RTM تلاش می کند تا امتیازات خود را در سیستم افزایش دهد.
پس از انتخاب یکی از دو گزینه بازیابی، تروجان DLL را با استفاده از گزینه runas در تابع ShellExecute با امتیازات مدیر راه اندازی می کند. کاربر یک اعلان واقعی ویندوز (تصویر زیر را ببینید) برای ارتفاع مشاهده خواهد کرد. اگر کاربر مجوزهای لازم را بدهد، تروجان با امتیازات مدیر اجرا می شود.
بسته به زبان پیش فرض نصب شده روی سیستم، تروجان پیام های خطا را به زبان روسی یا انگلیسی نمایش می دهد.
4.8.3. گواهی
RTM میتواند گواهیها را به فروشگاه ویندوز اضافه کند و با کلیک کردن خودکار روی دکمه «بله» در کادر محاورهای csrss.exe، قابلیت اطمینان آن را تأیید کند. این رفتار جدید نیست؛ به عنوان مثال، Trojan Retefe بانکی نیز به طور مستقل نصب یک گواهی جدید را تأیید می کند.
4.8.4. اتصال معکوس
نویسندگان RTM همچنین تونل Backconnect TCP را ایجاد کردند. ما هنوز این ویژگی را در حال استفاده ندیدهایم، اما برای نظارت از راه دور رایانههای شخصی آلوده طراحی شده است.
4.8.5. مدیریت فایل میزبان
سرور C&C می تواند دستوری را برای تغییر فایل میزبان ویندوز به تروجان ارسال کند. فایل میزبان برای ایجاد رزولوشن های سفارشی DNS استفاده می شود.
4.8.6. فایلی را پیدا و ارسال کنید
سرور ممکن است درخواست جستجو و دانلود فایلی در سیستم آلوده را داشته باشد. به عنوان مثال، در طول تحقیق ما درخواستی برای فایل 1c_to_kl.txt دریافت کردیم. همانطور که قبلا توضیح داده شد، این فایل توسط سیستم حسابداری 1C: Enterprise 8 تولید شده است.
4.8.7. به روز رسانی
در نهایت، نویسندگان RTM می توانند با ارسال یک DLL جدید برای جایگزینی نسخه فعلی، نرم افزار را به روز کنند.
5. نتیجه گیری
تحقیقات RTM نشان می دهد که سیستم بانکی روسیه همچنان مهاجمان سایبری را جذب می کند. گروه هایی مانند Buhtrap، Corkow و Carbanak با موفقیت از موسسات مالی و مشتریان آنها در روسیه پول سرقت می کنند. RTM یک بازیگر جدید در این صنعت است.
بر اساس تله متری ESET، ابزارهای RTM مخرب حداقل از اواخر سال 2015 مورد استفاده قرار گرفته اند. این برنامه دارای طیف کاملی از قابلیتهای جاسوسی، از جمله خواندن کارتهای هوشمند، رهگیری ضربههای کلید و نظارت بر تراکنشهای بانکی، و همچنین جستجوی فایلهای انتقال 1C: Enterprise 8 است.
استفاده از یک دامنه سطح بالای .bit غیرمتمرکز و بدون سانسور زیرساخت بسیار انعطاف پذیر را تضمین می کند.
منبع: www.habr.com