Tunnetaan useita kyberryhmiä, jotka ovat erikoistuneet varastamaan varoja venäläisiltä yrityksiltä. Olemme nähneet hyökkäyksiä, joissa on käytetty suojausreikiä, jotka mahdollistavat pääsyn kohteen verkkoon. Kun hyökkääjät pääsevät käsiksi, he tutkivat organisaation verkkorakennetta ja käyttävät omia työkalujaan varojen varastamiseen. Klassinen esimerkki tästä trendistä ovat hakkeriryhmät Buhtrap, Cobalt ja Corkow.
RTM-ryhmä, johon tämä raportti keskittyy, on osa tätä suuntausta. Se käyttää erityisesti suunniteltuja Delphissä kirjoitettuja haittaohjelmia, joita tarkastelemme tarkemmin seuraavissa osioissa. Ensimmäiset jäljet näistä työkaluista ESET-telemetriajärjestelmästä löydettiin vuoden 2015 lopussa. Tiimi lataa useita uusia moduuleja tartunnan saaneisiin järjestelmiin tarpeen mukaan. Hyökkäykset kohdistuvat etäpankkijärjestelmien käyttäjiin Venäjällä ja joissakin naapurimaissa.
1. Tavoitteet
RTM-kampanja on suunnattu yrityskäyttäjille - tämä käy ilmi prosesseista, joita hyökkääjät yrittävät havaita vaarantuneessa järjestelmässä. Painopiste on kirjanpitoohjelmistoissa etäpankkijärjestelmien kanssa työskentelyyn.
RTM:n kiinnostavien prosessien luettelo muistuttaa vastaavaa Buhtrap-ryhmän luetteloa, mutta ryhmillä on erilaiset infektiovektorit. Jos Buhtrap käytti väärennettyjä sivuja useammin, niin RTM käytti drive-by-lataushyökkäyksiä (hyökkäyksiä selaimeen tai sen komponentteihin) ja sähköpostin roskapostia. Telemetriatietojen mukaan uhka kohdistuu Venäjään ja useisiin lähimaihin (Ukraina, Kazakstan, Tšekki, Saksa). Massajakelumekanismien käytön vuoksi haittaohjelmien havaitseminen kohdealueiden ulkopuolella ei kuitenkaan ole yllättävää.
Haittaohjelmien havaitsemien kokonaismäärä on suhteellisen pieni. Toisaalta RTM-kampanja käyttää monimutkaisia ohjelmia, mikä osoittaa, että hyökkäykset ovat erittäin kohdennettuja.
Olemme havainneet useita RTM:n käyttämiä houkutusasiakirjoja, kuten olemattomia sopimuksia, laskuja tai verokirjanpitoasiakirjoja. Vieheiden luonne yhdistettynä hyökkäyksen kohteena olevien ohjelmistojen tyyppiin viittaa siihen, että hyökkääjät "tulevat" venäläisten yritysten verkkoihin tilitoimiston kautta. Ryhmä toimi saman kaavan mukaan vuosina 2014-2015
Tutkimuksen aikana pystyimme olemaan vuorovaikutuksessa useiden C&C-palvelimien kanssa. Listaamme täyden luettelon komennoista seuraavissa osioissa, mutta toistaiseksi voidaan sanoa, että asiakas siirtää tiedot keyloggerista suoraan hyökkäävälle palvelimelle, josta sitten vastaanotetaan lisäkomentoja.
Kuitenkin ajat, jolloin pystyit yksinkertaisesti muodostamaan yhteyden komento- ja ohjauspalvelimeen ja kerätä kaikki sinua kiinnostavat tiedot, ovat menneet. Loimme uudelleen realistiset lokitiedostot saadaksemme joitain asiaankuuluvia komentoja palvelimelta.
Ensimmäinen niistä on pyyntö botille siirtää tiedosto 1c_to_kl.txt - 1C: Enterprise 8 -ohjelman siirtotiedosto, jonka ulkonäköä RTM valvoo aktiivisesti. 1C on vuorovaikutuksessa etäpankkijärjestelmien kanssa lataamalla lähtevien maksujen tiedot tekstitiedostoon. Seuraavaksi tiedosto lähetetään etäpankkijärjestelmään maksutoimeksiannon automatisointia ja suorittamista varten.
Tiedosto sisältää maksutiedot. Jos hyökkääjät muuttavat lähtevien maksujen tietoja, siirto lähetetään väärillä tiedoilla hyökkääjien tileille.
Noin kuukauden kuluttua näiden tiedostojen pyytämisestä komento- ja ohjauspalvelimelta havaitsimme uuden laajennuksen, 1c_2_kl.dll, latautuvan vaarantuneeseen järjestelmään. Moduuli (DLL) on suunniteltu analysoimaan automaattisesti ladattava tiedosto tunkeutumalla kirjanpitoohjelmiston prosesseihin. Kuvaamme sen yksityiskohtaisesti seuraavissa osioissa.
Mielenkiintoista on, että Venäjän keskuspankin FinCERT julkaisi vuoden 2016 lopussa tiedotevaroituksen kyberrikollisista, jotka käyttävät 1c_to_kl.txt-lataustiedostoja. Myös 1C:n kehittäjät tietävät tästä järjestelmästä; he ovat jo antaneet virallisen lausunnon ja listanneet varotoimenpiteet.
Myös muita moduuleja ladattiin komentopalvelimelta, erityisesti VNC (sen 32- ja 64-bittiset versiot). Se muistuttaa VNC-moduulia, jota käytettiin aiemmin Dridexin troijalaishyökkäyksissä. Tätä moduulia käytetään oletettavasti etäyhteyden muodostamiseen tartunnan saaneeseen tietokoneeseen ja järjestelmän yksityiskohtaiseen tutkimukseen. Seuraavaksi hyökkääjät yrittävät liikkua verkossa, poimimalla käyttäjien salasanoja, keräämällä tietoja ja varmistamalla haittaohjelmien jatkuvan läsnäolon.
2. Infektiovektorit
Seuraava kuva esittää kampanjan tutkimusjakson aikana havaitut tartuntavektorit. Ryhmä käyttää monenlaisia vektoreita, mutta pääasiassa ajavat lataushyökkäyksiä ja roskapostia. Nämä työkalut ovat käteviä kohdistetuissa hyökkäyksissä, koska ensimmäisessä tapauksessa hyökkääjät voivat valita sivustot, joilla mahdolliset uhrit vierailevat, ja toisessa tapauksessa he voivat lähettää sähköpostin liitteineen suoraan halutuille yrityksen työntekijöille.
Haittaohjelma leviää useiden kanavien kautta, mukaan lukien RIG- ja Sundown-hyödyntämispakkaukset tai roskapostiviestit, jotka osoittavat yhteyksiä hyökkääjien ja muiden näitä palveluja tarjoavien kyberhyökkääjien välillä.
2.1. Miten RTM ja Buhtrap liittyvät toisiinsa?
RTM-kampanja on hyvin samanlainen kuin Buhtrap. Luonnollinen kysymys kuuluu: miten ne liittyvät toisiinsa?
Syyskuussa 2016 havaitsimme, että RTM-näytettä jaettiin Buhtrap-latausohjelman avulla. Lisäksi löysimme kaksi digitaalista sertifikaattia, joita käytetään sekä Buhtrapissa että RTM:ssä.
Ensimmäistä, väitetysti yritykselle DNISTER-M myönnettyä, käytettiin toisen Delphi-lomakkeen (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) ja Buhtrap DLL:n (SHA-1: 1E2642B454B2F889DBA6D41116F83F6D2A4890) allekirjoittamiseen digitaalisesti. XNUMX).
Toista, Bit-Tredj:lle myönnettyä, käytettiin Buhtrap-latainten allekirjoittamiseen (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 ja B74F71560E48488D2153AE2FB51207A) sekä osien asennukseen ja asennukseen sekä0B.
RTM-operaattorit käyttävät varmenteita, jotka ovat yhteisiä muille haittaohjelmaperheille, mutta niillä on myös ainutlaatuinen varmenne. ESET-telemetrian mukaan se myönnettiin Kit-SD:lle ja sitä käytettiin vain joidenkin RTM-haittaohjelmien allekirjoittamiseen (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM käyttää samaa latausohjelmaa kuin Buhtrap, RTM-komponentit ladataan Buhtrap-infrastruktuurista, joten ryhmillä on samanlaiset verkko-indikaattorit. Arviomme mukaan RTM ja Buhtrap ovat kuitenkin eri ryhmiä, ainakin koska RTM:ää jaetaan eri tavoin (ei pelkästään "vieraalla" latausohjelmalla).
Tästä huolimatta hakkeriryhmät käyttävät samanlaisia toimintaperiaatteita. Ne kohdistuvat yrityksiin, jotka käyttävät kirjanpitoohjelmistoja, keräävät samalla tavalla järjestelmätietoja, etsivät älykortinlukijoita ja ottavat käyttöön erilaisia haitallisia työkaluja uhrien vakoomiseen.
3. Evoluutio
Tässä osiossa tarkastellaan tutkimuksen aikana löydettyjä haittaohjelmien eri versioita.
3.1. Versiointi
RTM tallentaa määritystiedot rekisteriosioon, mielenkiintoisin osa on botnet-etuliite. Alla olevassa taulukossa on luettelo kaikista arvoista, joita näimme tutkimissamme näytteissä.
On mahdollista, että arvoja voidaan käyttää haittaohjelmien versioiden tallentamiseen. Emme kuitenkaan huomanneet paljon eroa versioiden, kuten bit2 ja bit3, 0.1.6.4 ja 0.1.6.6, välillä. Lisäksi yksi etuliitteistä on ollut olemassa alusta lähtien ja on kehittynyt tyypillisestä C&C-alueesta .bit-verkkotunnukseksi, kuten alla näytetään.
3.2. Ajoittaa
Telemetriatietojen avulla loimme kaavion näytteiden esiintymisestä.
4. Tekninen analyysi
Tässä osiossa kuvataan RTM-pankkitroijalaisen päätoiminnot, mukaan lukien vastustusmekanismit, sen oma versio RC4-algoritmista, verkkoprotokolla, vakoilutoiminto ja joitain muita ominaisuuksia. Keskitymme erityisesti SHA-1-näytteisiin AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 ja 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. Asennus ja tallennus
4.1.1. Toteutus
RTM-ydin on DLL, kirjasto ladataan levylle käyttämällä .EXE-tiedostoa. Suoritettava tiedosto on yleensä pakattu ja sisältää DLL-koodin. Kun se on käynnistetty, se purkaa DLL:n ja suorittaa sen seuraavalla komennolla:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. DLL
Pää-DLL ladataan aina levylle nimellä winlogon.lnk %PROGRAMDATA%Winlogon-kansiossa. Tämä tiedostopääte liittyy yleensä pikakuvakkeeseen, mutta tiedosto on itse asiassa Delphissä kirjoitettu DLL, jonka kehittäjä on nimennyt core.dll-tiedostoksi, kuten alla olevassa kuvassa näkyy.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Kun troijalainen käynnistetään, se aktivoi vastustusmekanisminsa. Tämä voidaan tehdä kahdella eri tavalla riippuen uhrin oikeuksista järjestelmässä. Jos sinulla on järjestelmänvalvojan oikeudet, troijalainen lisää Windows Update -merkinnän HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun-rekisteriin. Windows Updaten sisältämät komennot suoritetaan käyttäjän istunnon alussa.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject-isäntä
Troijalainen yrittää myös lisätä tehtävän Windowsin Tehtävien ajoitukseen. Tehtävä käynnistää winlogon.lnk DLL:n samoilla parametreilla kuin yllä. Säännöllisten käyttöoikeuksien ansiosta troijalainen voi lisätä Windows Update -merkinnän samoilla tiedoilla HKCUSoftwareMicrosoftWindowsCurrentVersionRun-rekisteriin:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Muokattu RC4-algoritmi
Tunnetuista puutteistaan huolimatta haittaohjelmien tekijät käyttävät RC4-algoritmia säännöllisesti. RTM:n luojat kuitenkin muokkasivat sitä hieman, luultavasti tehdäkseen virusanalyytikkojen tehtävästä vaikeampaa. RC4:n muokattua versiota käytetään laajalti haitallisissa RTM-työkaluissa merkkijonojen, verkkotietojen, määritysten ja moduulien salaamiseen.
4.2.1. Erot
Alkuperäinen RC4-algoritmi sisältää kaksi vaihetta: s-lohkon alustuksen (alias KSA - Key-Scheduling Algorithm) ja näennäissatunnaisen sekvenssin generoinnin (PRGA - Pseudo-Random Generation Algorithm). Ensimmäisessä vaiheessa s-box alustetaan avaimella ja toisessa vaiheessa lähdeteksti käsitellään s-boxin avulla salaukseen.
RTM-tekijät lisäsivät välivaiheen s-box-alustuksen ja salauksen väliin. Lisäavain on muuttuva ja se asetetaan samaan aikaan kuin salattava ja purettava tieto. Toiminto, joka suorittaa tämän lisävaiheen, on esitetty alla olevassa kuvassa.
4.2.2. Merkkijonojen salaus
Ensi silmäyksellä pää-DLL:ssä on useita luettavia rivejä. Loput salataan yllä kuvatulla algoritmilla, jonka rakenne on esitetty seuraavassa kuvassa. Löysimme analysoiduista näytteistä yli 25 erilaista RC4-avainta merkkijonosalaukseen. XOR-näppäin on erilainen jokaisella rivillä. Numeeristen kenttien erotinviivojen arvo on aina 0xFFFFFFFF.
Suorituksen alussa RTM purkaa merkkijonojen salauksen globaaliksi muuttujaksi. Kun tarvitaan pääsyä merkkijonoon, troijalainen laskee dynaamisesti purettujen merkkijonojen osoitteet perusosoitteen ja offsetin perusteella.
Merkkijonot sisältävät mielenkiintoista tietoa haittaohjelman toiminnoista. Osassa 6.8 on joitakin esimerkkimerkkijonoja.
4.3. Verkko
Tapa, jolla RTM-haittaohjelma ottaa yhteyttä C&C-palvelimeen, vaihtelee versioittain. Ensimmäiset muutokset (lokakuu 2015 – huhtikuu 2016) käyttivät perinteisiä verkkotunnuksia yhdessä livejournal.com-sivuston RSS-syötteen kanssa komentoluettelon päivittämiseksi.
Huhtikuusta 2016 lähtien olemme nähneet siirtymisen .bit-verkkotunnuksiin telemetriatiedoissa. Tämän vahvistaa verkkotunnuksen rekisteröintipäivä - ensimmäinen RTM-verkkotunnus fde05d0573da.bit rekisteröitiin 13. maaliskuuta 2016.
Kaikilla URL-osoitteilla, joita näimme kampanjaa seurattaessa, oli yhteinen polku: /r/z.php. Se on melko epätavallista ja auttaa tunnistamaan RTM-pyynnöt verkkovirroissa.
4.3.1. Kanava komentoja ja ohjausta varten
Vanhat esimerkit käyttivät tätä kanavaa komento- ja ohjauspalvelinluettelonsa päivittämiseen. Hosting sijaitsee osoitteessa livejournal.com, raportin kirjoitushetkellä se pysyi URL-osoitteessa hxxp://f72bba81c921(.)livejournal(.)com/ data/rss.
Livejournal on venäläis-amerikkalainen yritys, joka tarjoaa blogialustan. RTM-operaattorit luovat LJ-blogin, johon he julkaisevat artikkelin koodatuilla komennoilla - katso kuvakaappaus.
Komento- ja ohjausrivit on koodattu muokatun RC4-algoritmin avulla (osio 4.2). Kanavan nykyinen versio (marraskuu 2016) sisältää seuraavat komento- ja ohjauspalvelinosoitteet:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. .bit-verkkotunnuksia
Uusimmissa RTM-näytteissä kirjoittajat muodostavat yhteyden C&C-verkkotunnuksiin käyttämällä .bit TLD-ylitason verkkotunnusta. Se ei ole ICANNin (Domain Name and Internet Corporation) huipputason verkkotunnusten luettelossa. Sen sijaan se käyttää Namecoin-järjestelmää, joka on rakennettu Bitcoin-teknologian päälle. Haittaohjelmien tekijät eivät usein käytä .bit TLD:tä verkkotunnuksissaan, vaikka esimerkki tällaisesta käytöstä on havaittu aiemmin eräässä Necurs-botnet-versiossa.
Toisin kuin Bitcoin, hajautetun Namecoin-tietokannan käyttäjillä on mahdollisuus tallentaa tietoja. Tämän ominaisuuden pääsovellus on .bit-ylätason verkkotunnus. Voit rekisteröidä verkkotunnuksia, jotka tallennetaan hajautettuun tietokantaan. Tietokannan vastaavat merkinnät sisältävät toimialueen ratkaisemia IP-osoitteita. Tämä TLD on "sensuurinkestävä", koska vain rekisteröijä voi muuttaa .bit-verkkotunnuksen resoluutiota. Tämä tarkoittaa, että on paljon vaikeampaa pysäyttää haitallinen verkkotunnus käyttämällä tämän tyyppistä TLD:tä.
RTM-troijalainen ei upota hajautetun Namecoin-tietokannan lukemiseen tarvittavaa ohjelmistoa. Se käyttää keskitettyjä DNS-palvelimia, kuten dns.dot-bit.org tai OpenNic-palvelimia .bit-verkkotunnuksien ratkaisemiseen. Siksi sillä on sama kestävyys kuin DNS-palvelimilla. Huomasimme, että joitakin tiimien verkkotunnuksia ei enää havaittu, kun ne mainittiin blogikirjoituksessa.
Toinen .bit-TLD:n etu hakkereille on hinta. Verkkotunnuksen rekisteröimiseksi operaattoreiden on maksettava vain 0,01 NK, mikä vastaa 0,00185 dollaria (5. joulukuuta 2016). Vertailun vuoksi domain.com maksaa vähintään 10 dollaria.
4.3.3. pöytäkirja
Kommentoikseen komento- ja ohjauspalvelimen kanssa RTM käyttää HTTP POST -pyyntöjä, joiden tiedot on muotoiltu mukautetulla protokollalla. Polun arvo on aina /r/z.php; Mozilla/5.0 käyttäjäagentti (yhteensopiva; MSIE 9.0; Windows NT 6.1; Trident/5.0). Palvelimelle lähetetyissä pyynnöissä tiedot muotoillaan seuraavasti, jossa offset-arvot ilmaistaan tavuina:
Tavuja 0-6 ei ole koodattu; tavut alkaen 6 koodataan käyttämällä modifioitua RC4-algoritmia. C&C-vastauspaketin rakenne on yksinkertaisempi. Tavut koodataan 4:stä paketin kokoon.
Luettelo mahdollisista toimintatavuarvoista on esitetty alla olevassa taulukossa:
Haittaohjelma laskee aina puretun tiedon CRC32:n ja vertaa sitä paketissa olevaan tietoon. Jos ne eroavat toisistaan, troijalainen pudottaa paketin.
Lisätiedot voivat sisältää erilaisia objekteja, kuten PE-tiedoston, tiedostojärjestelmästä etsittävän tiedoston tai uusia komento-URL-osoitteita.
4.3.4. Paneeli
Huomasimme, että RTM käyttää paneelia C&C-palvelimilla. Kuvakaappaus alla:
4.4 Ominainen merkki
RTM on tyypillinen pankkitroijalainen. Ei ole yllätys, että operaattorit haluavat tietoa uhrin järjestelmästä. Toisaalta botti kerää yleistä tietoa käyttöjärjestelmästä. Toisaalta se selvittää, sisältääkö vaarantunut järjestelmä venäläisiin etäpankkijärjestelmiin liittyviä attribuutteja.
4.4.1. Yleistä tietoa
Kun haittaohjelma asennetaan tai käynnistetään uudelleenkäynnistyksen jälkeen, komento- ja ohjauspalvelimelle lähetetään raportti, joka sisältää yleisiä tietoja, mukaan lukien:
- Aikavyöhyke;
- järjestelmän oletuskieli;
- valtuutetut käyttäjätiedot;
- prosessin eheyden taso;
- Käyttäjätunnus;
- tietokoneen nimi;
- käyttöjärjestelmän versio;
- lisäasennetut moduulit;
- asennettu virustorjuntaohjelma;
- älykortinlukijoiden luettelo.
4.4.2 Etäpankkijärjestelmä
Tyypillinen troijalainen kohde on etäpankkijärjestelmä, eikä RTM ole poikkeus. Yksi ohjelman moduuleista on nimeltään TBdo, joka suorittaa erilaisia tehtäviä, kuten levyjen skannauksen ja selaushistorian.
Skannaamalla levyn troijalainen tarkistaa, onko koneeseen asennettu pankkiohjelmisto. Täydellinen luettelo kohdeohjelmista on alla olevassa taulukossa. Havaittuaan kiinnostavan tiedoston ohjelma lähettää tiedot komentopalvelimelle. Seuraavat toimet riippuvat komentokeskuksen (C&C) algoritmien määrittämästä logiikasta.
RTM etsii myös URL-malleja selainhistoriastasi ja avoimista välilehdistä. Lisäksi ohjelma tutkii FindNextUrlCacheEntryA- ja FindFirstUrlCacheEntryA-toimintojen käyttöä ja tarkistaa myös jokaisen merkinnän, jotta se vastaa URL-osoitetta johonkin seuraavista malleista:
Havaittuaan avoimet välilehdet troijalainen ottaa yhteyttä Internet Exploreriin tai Firefoxiin Dynamic Data Exchange (DDE) -mekanismin kautta tarkistaakseen, vastaako välilehti kuviota.
Selaushistoriasi ja avoimien välilehtien tarkistus suoritetaan WHILE-silmukassa (silmukka, jolla on ennakkoehto) ja tarkistusten välillä on 1 sekunnin tauko. Muita reaaliajassa seurattavia tietoja käsitellään kohdassa 4.5.
Jos malli löytyy, ohjelma raportoi sen komentopalvelimelle seuraavan taulukon merkkijonoluettelon avulla:
4.5 Valvonta
Kun troijalainen on käynnissä, tietoja tartunnan saaneen järjestelmän ominaispiirteistä (mukaan lukien tiedot pankkiohjelmiston olemassaolosta) lähetetään komento- ja ohjauspalvelimelle. Sormenjälki otetaan, kun RTM käynnistää valvontajärjestelmän ensimmäisen kerran heti ensimmäisen käyttöjärjestelmän tarkistuksen jälkeen.
4.5.1. Etäpankkitoiminta
TBdo-moduuli vastaa myös pankkitoimintaan liittyvien prosessien seurannasta. Se käyttää dynaamista tiedonvaihtoa tarkistaakseen välilehdet Firefoxissa ja Internet Explorerissa ensimmäisen tarkistuksen aikana. Toista TShell-moduulia käytetään komentoikkunoiden valvontaan (Internet Explorer tai File Explorer).
Moduuli käyttää COM-liittymiä IShellWindows, iWebBrowser, DWebBrowserEvents2 ja IConnectionPointContainer ikkunoiden valvontaan. Kun käyttäjä siirtyy uudelle verkkosivulle, haittaohjelma huomaa tämän. Sitten se vertaa sivun URL-osoitetta yllä oleviin malleihin. Havaittuaan osuman troijalainen ottaa kuusi peräkkäistä kuvakaappausta 5 sekunnin välein ja lähettää ne C&S-komentopalvelimelle. Ohjelma tarkistaa myös joitain pankkiohjelmistoihin liittyviä ikkunoiden nimiä - täydellinen luettelo on alla:
4.5.2. Älykortti
RTM:n avulla voit seurata tartunnan saaneisiin tietokoneisiin kytkettyjä älykortinlukijoita. Näitä laitteita käytetään joissakin maissa maksumääräysten täsmäyttämiseen. Jos tämäntyyppinen laite on liitetty tietokoneeseen, se voi osoittaa troijalaiselle, että laitetta käytetään pankkitapahtumiin.
Toisin kuin muut pankkitroijalaiset, RTM ei voi olla vuorovaikutuksessa tällaisten älykorttien kanssa. Ehkä tämä toiminto sisältyy lisämoduuliin, jota emme ole vielä nähneet.
4.5.3. Keylogger
Tärkeä osa tartunnan saaneen tietokoneen valvontaa on näppäinpainallusten tallentaminen. Näyttää siltä, että RTM-kehittäjiltä ei puutu mitään tietoa, koska he valvovat tavallisten näppäinten lisäksi myös virtuaalista näppäimistöä ja leikepöytää.
Voit tehdä tämän käyttämällä SetWindowsHookExA-toimintoa. Hyökkääjät kirjaavat painetut näppäimet tai virtuaalista näppäimistöä vastaavat näppäimet sekä ohjelman nimen ja päivämäärän. Puskuri lähetetään sitten C&C-komentopalvelimelle.
SetClipboardViewer-toimintoa käytetään leikepöydän sieppaamiseen. Hakkerit kirjaavat leikepöydän sisällön, kun tiedot ovat tekstiä. Nimi ja päivämäärä kirjataan myös lokiin ennen puskurin lähettämistä palvelimelle.
4.5.4. Kuvakaappaukset
Toinen RTM-toiminto on kuvakaappauksen sieppaus. Ominaisuutta käytetään, kun ikkunanvalvontamoduuli havaitsee kiinnostavan sivuston tai pankkiohjelmiston. Kuvakaappaukset otetaan graafisten kuvien kirjastolla ja siirretään komentopalvelimelle.
4.6. Asennuksen poisto
C&C-palvelin voi pysäyttää haittaohjelman toiminnan ja puhdistaa tietokoneesi. Komennon avulla voit tyhjentää tiedostot ja rekisterimerkinnät, jotka on luotu RTM:n ollessa käynnissä. DLL-tiedostoa käytetään sitten haittaohjelman ja winlogon-tiedoston poistamiseen, minkä jälkeen komento sammuttaa tietokoneen. Kuten alla olevassa kuvassa näkyy, kehittäjät poistavat DLL:n käyttämällä erase.dll-tiedostoa.
Palvelin voi lähettää troijalaiselle tuhoavan uninstall-lock -komennon. Tässä tapauksessa, jos sinulla on järjestelmänvalvojan oikeudet, RTM poistaa MBR-käynnistyssektorin kiintolevyltä. Jos tämä epäonnistuu, troijalainen yrittää siirtää MBR-käynnistyssektorin satunnaiseen sektoriin - silloin tietokone ei pysty käynnistämään käyttöjärjestelmää sammutuksen jälkeen. Tämä voi johtaa käyttöjärjestelmän täydelliseen uudelleenasennukseen, mikä tarkoittaa todisteiden tuhoamista.
Ilman järjestelmänvalvojan oikeuksia haittaohjelma kirjoittaa .EXE-tiedoston, joka on koodattu taustalla olevaan RTM-DLL-tiedostoon. Suoritettava tiedosto suorittaa tietokoneen sammuttamiseen tarvittavan koodin ja rekisteröi moduulin HKCUCurrentVersionRun-rekisteriavaimeen. Joka kerta kun käyttäjä aloittaa istunnon, tietokone sammuu välittömästi.
4.7. Asetustiedosto
Oletusarvoisesti RTM:llä ei ole juuri lainkaan määritystiedostoa, mutta komento- ja ohjauspalvelin voi lähettää konfiguraatioarvoja, jotka tallennetaan rekisteriin ja joita ohjelma käyttää. Luettelo konfigurointiavaimista on alla olevassa taulukossa:
Kokoonpano tallennetaan Software [Pseudo-random string] -rekisteriavaimeen. Jokainen arvo vastaa yhtä edellisessä taulukossa esitetyistä riveistä. Arvot ja tiedot koodataan RTM:n RC4-algoritmilla.
Tiedoilla on sama rakenne kuin verkossa tai merkkijonoilla. Nelitavuinen XOR-avain lisätään koodatun datan alkuun. Konfigurointiarvoille XOR-avain on erilainen ja riippuu arvon koosta. Se voidaan laskea seuraavasti:
xor_avain = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)
4.8. Muut toiminnot
Seuraavaksi tarkastellaan muita toimintoja, joita RTM tukee.
4.8.1. Lisämoduulit
Troijalainen sisältää lisämoduuleja, jotka ovat DLL-tiedostoja. C&C-komentopalvelimelta lähetetyt moduulit voidaan suorittaa ulkoisina ohjelmina, näkyä RAM-muistissa ja käynnistää uusissa säikeissä. Tallennusta varten moduulit tallennetaan .dtt-tiedostoihin ja koodataan käyttämällä RC4-algoritmia samalla avaimella, jota käytetään verkkoviestintään.
Toistaiseksi olemme havainneet VNC-moduulin (8966319882494077C21F66A8354E2CBCA0370464), selaimen tiedonpoimintamoduulin (03DE8622BE6B2F75A364A275995C3411626C4C9F1A2E1CBCA562) asennuksen (1DE69BE6B58F88753A7A0C3C4FXNUMXBXNUMXBXNUMX XNUMXEFCXNUMXFBAXNUMX BXNUMXBEXNUMXDXNUMXBXNUMXEXNUMXCFAB).
VNC-moduulin lataamiseksi C&C-palvelin antaa komennon, joka pyytää yhteyksiä VNC-palvelimeen tietyssä IP-osoitteessa portissa 44443. Selaimen tietojen hakulaajennus suorittaa TBrowserDataCollectorin, joka voi lukea IE-selaushistoriaa. Sitten se lähettää täydellisen luettelon vierailluista URL-osoitteista C&C-komentopalvelimelle.
Viimeisin löydetty moduuli on nimeltään 1c_2_kl. Se voi olla vuorovaikutuksessa 1C Enterprise -ohjelmistopaketin kanssa. Moduuli sisältää kaksi osaa: pääosan - DLL:n ja kaksi agenttia (32 ja 64 bittiä), jotka ruiskutetaan jokaiseen prosessiin rekisteröiden sitoutumisen WH_CBT:hen. Kun moduuli on otettu käyttöön 1C-prosessissa, se sitoo CreateFile- ja WriteFile-funktiot. Aina kun CreateFile-sidottu funktio kutsutaan, moduuli tallentaa tiedostopolun 1c_to_kl.txt muistiin. Kun WriteFile-kutsu on siepattu, se kutsuu WriteFile-funktiota ja lähettää tiedostopolun 1c_to_kl.txt DLL-päämoduuliin välittäen sille muodostetun Windows WM_COPYDATA -sanoman.
DLL-päämoduuli avaa ja jäsentää tiedoston maksumääräysten määrittämiseksi. Se tunnistaa tiedostoon sisältyvän summan ja tapahtumanumeron. Nämä tiedot lähetetään komentopalvelimelle. Uskomme, että tämä moduuli on parhaillaan kehitteillä, koska se sisältää virheenkorjausviestin eikä voi muokata automaattisesti tiedostoa 1c_to_kl.txt.
4.8.2. Etuoikeuksien eskaloituminen
RTM voi yrittää laajentaa oikeuksia näyttämällä vääriä virheilmoituksia. Haittaohjelma simuloi rekisterin tarkistusta (katso kuva alla) tai käyttää todellista rekisterieditorin kuvaketta. Huomaa kirjoitusvirheet, odota – mitä. Muutaman sekunnin tarkistuksen jälkeen ohjelma näyttää väärän virheilmoituksen.
Väärä viesti pettää helposti keskivertokäyttäjän kielioppivirheistä huolimatta. Jos käyttäjä napsauttaa toista kahdesta linkistä, RTM yrittää laajentaa oikeuksiaan järjestelmässä.
Valittuaan yhden kahdesta palautusvaihtoehdosta troijalainen käynnistää DLL:n käyttämällä ShellExecute-funktion runas-vaihtoehtoa järjestelmänvalvojan oikeuksin. Käyttäjä näkee todellisen Windows-kehotteen (katso kuva alla) korkeudesta. Jos käyttäjä antaa tarvittavat käyttöoikeudet, troijalainen toimii järjestelmänvalvojan oikeuksin.
Järjestelmään asennetusta oletuskielestä riippuen troijalainen näyttää virheilmoitukset venäjäksi tai englanniksi.
4.8.3. Todistus
RTM voi lisätä varmenteita Windows Storeen ja vahvistaa lisäyksen luotettavuuden napsauttamalla "kyllä"-painiketta automaattisesti csrss.exe-valintaikkunassa. Tämä käyttäytyminen ei ole uutta; esimerkiksi pankkitroijalainen Retefe vahvistaa myös itsenäisesti uuden varmenteen asennuksen.
4.8.4. Käänteinen kytkentä
RTM:n kirjoittajat loivat myös Backconnect TCP -tunnelin. Emme ole vielä nähneet ominaisuutta käytössä, mutta se on suunniteltu tartunnan saaneiden tietokoneiden etävalvontaan.
4.8.5. Isäntätiedoston hallinta
C&C-palvelin voi lähettää troijalaiselle komennon Windows-isäntätiedoston muokkaamiseksi. Isäntätiedostoa käytetään mukautettujen DNS-resoluutioiden luomiseen.
4.8.6. Etsi ja lähetä tiedosto
Palvelin voi pyytää hakemaan ja lataamaan tiedoston tartunnan saaneesta järjestelmästä. Esimerkiksi tutkimuksen aikana saimme pyynnön tiedostosta 1c_to_kl.txt. Kuten aiemmin kuvattiin, tämä tiedosto on luotu 1C: Enterprise 8 -kirjanpitojärjestelmällä.
4.8.7. Päivitä
Lopuksi RTM:n tekijät voivat päivittää ohjelmiston lähettämällä uuden DLL:n nykyisen version tilalle.
5. Päätelmä
RTM:n tutkimus osoittaa, että Venäjän pankkijärjestelmä houkuttelee edelleen kyberhyökkääjiä. Ryhmät, kuten Buhtrap, Corkow ja Carbanak, varastavat menestyksekkäästi rahaa rahoituslaitoksilta ja niiden asiakkailta Venäjällä. RTM on uusi toimija tällä alalla.
ESET-telemetrian mukaan haitallisia RTM-työkaluja on ollut käytössä ainakin vuoden 2015 lopusta lähtien. Ohjelmassa on täysi valikoima vakoiluominaisuuksia, mukaan lukien älykorttien lukeminen, näppäinpainallusten sieppaus ja pankkitapahtumien valvonta sekä 1C: Enterprise 8 -siirtotiedostojen etsiminen.
Hajautetun, sensuroimattoman .bit-ylätason verkkotunnuksen käyttö varmistaa erittäin joustavan infrastruktuurin.
Lähde: will.com