Il existe plusieurs cybergroupes connus spécialisés dans le vol de fonds auprès d’entreprises russes. Nous avons vu des attaques utilisant des failles de sécurité permettant d'accéder au réseau de la cible. Une fois qu'ils y ont accès, les attaquants étudient la structure du réseau de l'organisation et déploient leurs propres outils pour voler des fonds. Les groupes de hackers Buhtrap, Cobalt et Corkow sont un exemple classique de cette tendance.
Le groupe RTM sur lequel se concentre ce rapport s’inscrit dans cette tendance. Il utilise des logiciels malveillants spécialement conçus et écrits en Delphi, que nous examinerons plus en détail dans les sections suivantes. Les premières traces de ces outils dans le système de télémétrie ESET ont été découvertes fin 2015. L'équipe charge divers nouveaux modules sur les systèmes infectés selon les besoins. Les attaques visent les utilisateurs de systèmes bancaires à distance en Russie et dans certains pays voisins.
1. Objectifs
La campagne RTM s'adresse aux utilisateurs d'entreprise - cela ressort clairement des processus que les attaquants tentent de détecter dans un système compromis. L'accent est mis sur les logiciels de comptabilité permettant de travailler avec les systèmes bancaires à distance.
La liste des processus intéressant le RTM ressemble à la liste correspondante du groupe Buhtrap, mais les groupes ont des vecteurs d'infection différents. Si Buhtrap utilisait plus souvent de fausses pages, RTM utilisait alors des attaques par téléchargement (attaques contre le navigateur ou ses composants) et le spam par courrier électronique. Selon les données télémétriques, la menace vise la Russie et plusieurs pays voisins (Ukraine, Kazakhstan, République tchèque, Allemagne). Cependant, en raison de l’utilisation de mécanismes de distribution de masse, la détection de logiciels malveillants en dehors des régions cibles n’est pas surprenante.
Le nombre total de détections de logiciels malveillants est relativement faible. En revanche, la campagne RTM utilise des programmes complexes, ce qui indique que les attaques sont très ciblées.
Nous avons découvert plusieurs documents leurres utilisés par RTM, notamment des contrats, factures ou documents de comptabilité fiscale inexistants. La nature des leurres, combinée au type de logiciel ciblé par l’attaque, indique que les attaquants « pénètrent » dans les réseaux des entreprises russes via le service comptable. Le groupe a agi selon le même schéma dans 2014-2015
Au cours de la recherche, nous avons pu interagir avec plusieurs serveurs C&C. Nous énumérerons la liste complète des commandes dans les sections suivantes, mais pour l'instant, nous pouvons dire que le client transfère les données du keylogger directement au serveur attaquant, à partir duquel des commandes supplémentaires sont ensuite reçues.
Cependant, l’époque où vous pouviez simplement vous connecter à un serveur de commande et de contrôle et collecter toutes les données qui vous intéressaient est révolue. Nous avons recréé des fichiers journaux réalistes pour obtenir des commandes pertinentes du serveur.
Le premier d'entre eux est une demande adressée au bot pour transférer le fichier 1c_to_kl.txt - un fichier de transport du programme 1C : Enterprise 8, dont l'apparence est activement surveillée par RTM. 1C interagit avec les systèmes bancaires à distance en téléchargeant les données sur les paiements sortants dans un fichier texte. Ensuite, le dossier est envoyé au système de banque à distance pour automatisation et exécution de l'ordre de paiement.
Le fichier contient les détails du paiement. Si les attaquants modifient les informations sur les paiements sortants, le transfert sera envoyé avec de fausses informations sur les comptes des attaquants.
Environ un mois après avoir demandé ces fichiers au serveur de commande et de contrôle, nous avons observé qu'un nouveau plugin, 1c_2_kl.dll, était chargé sur le système compromis. Le module (DLL) est conçu pour analyser automatiquement le fichier téléchargé en pénétrant dans les processus du logiciel de comptabilité. Nous le décrirons en détail dans les sections suivantes.
Il est intéressant de noter que FinCERT de la Banque de Russie a publié fin 2016 un bulletin d'avertissement concernant les cybercriminels utilisant des fichiers de téléchargement 1c_to_kl.txt. Les développeurs de 1C connaissent également ce système, ils ont déjà fait une déclaration officielle et énuméré les précautions.
D'autres modules ont également été chargés depuis le serveur de commandes, notamment VNC (ses versions 32 et 64 bits). Il ressemble au module VNC précédemment utilisé dans les attaques du cheval de Troie Dridex. Ce module est censé être utilisé pour se connecter à distance à un ordinateur infecté et réaliser une étude détaillée du système. Ensuite, les attaquants tentent de se déplacer sur le réseau, extrayant les mots de passe des utilisateurs, collectant des informations et assurant la présence constante de logiciels malveillants.
2. Vecteurs d'infection
La figure suivante présente les vecteurs d'infection détectés pendant la période d'étude de la campagne. Le groupe utilise un large éventail de vecteurs, mais principalement des attaques par téléchargement et du spam. Ces outils sont pratiques pour les attaques ciblées, puisque dans le premier cas, les attaquants peuvent sélectionner les sites visités par les victimes potentielles, et dans le second, ils peuvent envoyer des e-mails avec pièces jointes directement aux employés souhaités de l'entreprise.
Le malware est distribué via plusieurs canaux, notamment les kits d'exploitation RIG et Sundown ou les courriers indésirables, indiquant les liens entre les attaquants et d'autres cyberattaquants proposant ces services.
2.1. Quel est le lien entre RTM et Buhtrap ?
La campagne RTM est très similaire à Buhtrap. La question naturelle est : comment sont-ils liés les uns aux autres ?
En septembre 2016, nous avons observé qu'un échantillon RTM était distribué à l'aide du téléchargeur Buhtrap. De plus, nous avons trouvé deux certificats numériques utilisés à la fois dans Buhtrap et RTM.
Le premier, prétendument délivré à la société DNISTER-M, a été utilisé pour signer numériquement le deuxième formulaire Delphi (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) et la DLL BUHTRAP (SHA-1: 1E2642B454A2C889B6D41116CDBA) .
Le second, délivré à Bit-Tredj, a été utilisé pour signer les chargeurs Buhtrap (SHA-1 : 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 et B74F71560E48488D2153AE2FB51207A0AC206E2B), ainsi que pour télécharger et installer des composants RTM.
Les opérateurs RTM utilisent des certificats communs à d’autres familles de malwares, mais ils disposent également d’un certificat unique. Selon la télémétrie ESET, il a été émis vers Kit-SD et n'a été utilisé que pour signer certains logiciels malveillants RTM (SHA-1 : 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM utilise le même chargeur que Buhtrap, les composants RTM sont chargés depuis l'infrastructure Buhtrap, les groupes ont donc des indicateurs de réseau similaires. Cependant, selon nos estimations, RTM et Buhtrap sont des groupes différents, du moins parce que RTM est distribué de différentes manières (pas seulement en utilisant un téléchargeur « étranger »).
Malgré cela, les groupes de hackers utilisent des principes de fonctionnement similaires. Ils ciblent les entreprises utilisant des logiciels de comptabilité, collectant de la même manière des informations système, recherchant des lecteurs de cartes à puce et déployant une gamme d'outils malveillants pour espionner les victimes.
3. Évolution
Dans cette section, nous examinerons les différentes versions de malwares trouvées au cours de l’étude.
3.1. Gestion des versions
RTM stocke les données de configuration dans une section de registre, la partie la plus intéressante étant le préfixe du botnet. Une liste de toutes les valeurs que nous avons observées dans les échantillons que nous avons étudiés est présentée dans le tableau ci-dessous.
Il est possible que les valeurs soient utilisées pour enregistrer les versions de logiciels malveillants. Cependant, nous n'avons pas remarqué beaucoup de différence entre les versions telles que bit2 et bit3, 0.1.6.4 et 0.1.6.6. De plus, l'un des préfixes existe depuis le début et a évolué d'un domaine C&C typique à un domaine .bit, comme nous le verrons ci-dessous.
3.2. Graphique
À l'aide de données de télémétrie, nous avons créé un graphique de l'occurrence des échantillons.
4. Analyse technique
Dans cette section, nous décrirons les principales fonctions du cheval de Troie bancaire RTM, notamment les mécanismes de résistance, sa propre version de l'algorithme RC4, le protocole réseau, la fonctionnalité d'espionnage et quelques autres fonctionnalités. En particulier, nous nous concentrerons sur les échantillons SHA-1 AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 et 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. Installation et sauvegarde
4.1.1. Mise en œuvre
Le noyau RTM est une DLL, la bibliothèque est chargée sur le disque à l'aide de .EXE. Le fichier exécutable est généralement packagé et contient du code DLL. Une fois lancé, il extrait la DLL et l'exécute à l'aide de la commande suivante :
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. DLL
La DLL principale est toujours chargée sur le disque sous le nom winlogon.lnk dans le dossier %PROGRAMDATA%Winlogon. Cette extension de fichier est généralement associée à un raccourci, mais le fichier est en réalité une DLL écrite en Delphi, nommée core.dll par le développeur, comme le montre l'image ci-dessous.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Une fois lancé, le cheval de Troie active son mécanisme de résistance. Cela peut se faire de deux manières différentes, selon les privilèges de la victime dans le système. Si vous disposez de droits d'administrateur, le cheval de Troie ajoute une entrée Windows Update au registre HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun. Les commandes contenues dans Windows Update s'exécuteront au début de la session de l'utilisateur.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe « %PROGRAMDATA%winlogon.lnk », hôte DllGetClassObject
Le cheval de Troie tente également d'ajouter une tâche au Planificateur de tâches Windows. La tâche lancera la DLL winlogon.lnk avec les mêmes paramètres que ci-dessus. Les droits d'utilisateur réguliers permettent au cheval de Troie d'ajouter une entrée Windows Update avec les mêmes données au registre HKCUSoftwareMicrosoftWindowsCurrentVersionRun :
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Algorithme RC4 modifié
Malgré ses défauts connus, l’algorithme RC4 est régulièrement utilisé par les auteurs de malwares. Cependant, les créateurs de RTM l'ont légèrement modifié, probablement pour rendre la tâche des analystes de virus plus difficile. Une version modifiée de RC4 est largement utilisée dans les outils RTM malveillants pour chiffrer les chaînes, les données réseau, la configuration et les modules.
4.2.1. Différences
L'algorithme RC4 original comprend deux étapes : l'initialisation du bloc s (alias KSA - Key-Scheduling Algorithm) et la génération de séquences pseudo-aléatoires (PRGA - Pseudo-Random Generation Algorithm). La première étape consiste à initialiser la s-box à l'aide de la clé, et dans la deuxième étape, le texte source est traité à l'aide de la s-box pour le cryptage.
Les auteurs de RTM ont ajouté une étape intermédiaire entre l'initialisation de la s-box et le chiffrement. La clé supplémentaire est variable et est paramétrée en même temps que les données à chiffrer et déchiffrer. La fonction qui effectue cette étape supplémentaire est illustrée dans la figure ci-dessous.
4.2.2. Chiffrement de chaîne
À première vue, il y a plusieurs lignes lisibles dans la DLL principale. Le reste est chiffré à l'aide de l'algorithme décrit ci-dessus, dont la structure est illustrée dans la figure suivante. Nous avons trouvé plus de 25 clés RC4 différentes pour le chiffrement de chaînes dans les échantillons analysés. La clé XOR est différente pour chaque ligne. La valeur du champ numérique séparant les lignes est toujours 0xFFFFFFFF.
Au début de l'exécution, RTM déchiffre les chaînes en une variable globale. Lorsqu'il est nécessaire d'accéder à une chaîne, le cheval de Troie calcule dynamiquement l'adresse des chaînes déchiffrées en fonction de l'adresse de base et du décalage.
Les chaînes contiennent des informations intéressantes sur les fonctions du malware. Quelques exemples de chaînes sont fournis à la section 6.8.
4.3. Réseau
La manière dont le malware RTM contacte le serveur C&C varie d'une version à l'autre. Les premières modifications (octobre 2015 – avril 2016) utilisaient des noms de domaine traditionnels ainsi qu'un flux RSS sur livejournal.com pour mettre à jour la liste des commandes.
Depuis avril 2016, nous avons constaté une transition vers les domaines .bit dans les données de télémétrie. Ceci est confirmé par la date d'enregistrement du domaine - le premier domaine RTM fde05d0573da.bit a été enregistré le 13 mars 2016.
Toutes les URL que nous avons vues lors du suivi de la campagne avaient un chemin commun : /r/z.php. C'est assez inhabituel et cela permettra d'identifier les requêtes RTM dans les flux réseau.
4.3.1. Canal pour les commandes et le contrôle
Les anciens exemples utilisaient ce canal pour mettre à jour leur liste de serveurs de commande et de contrôle. L'hébergement est situé sur livejournal.com, au moment de la rédaction du rapport, il restait à l'URL hxxp://f72bba81c921(.)livejournal(.)com/ data/rss.
Livejournal est une société russo-américaine qui propose une plateforme de blogs. Les opérateurs RTM créent un blog LJ dans lequel ils publient un article avec des commandes codées - voir capture d'écran.
Les lignes de commande et de contrôle sont codées à l'aide d'un algorithme RC4 modifié (Section 4.2). La version actuelle (novembre 2016) du canal contient les adresses de serveur de commande et de contrôle suivantes :
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. domaines .bit
Dans les exemples RTM les plus récents, les auteurs se connectent aux domaines C&C à l'aide du domaine de premier niveau .bit TLD. Il ne figure pas sur la liste des domaines de premier niveau de l'ICANN (Domain Name and Internet Corporation). Au lieu de cela, il utilise le système Namecoin, qui repose sur la technologie Bitcoin. Les auteurs de logiciels malveillants n'utilisent pas souvent le TLD .bit pour leurs domaines, bien qu'un exemple d'une telle utilisation ait déjà été observé dans une version du botnet Necurs.
Contrairement à Bitcoin, les utilisateurs de la base de données distribuée Namecoin ont la possibilité de sauvegarder des données. La principale application de cette fonctionnalité est le domaine de premier niveau .bit. Vous pouvez enregistrer des domaines qui seront stockés dans une base de données distribuée. Les entrées correspondantes dans la base de données contiennent des adresses IP résolues par le domaine. Ce TLD est « résistant à la censure » car seul le titulaire peut modifier la résolution du domaine .bit. Cela signifie qu'il est beaucoup plus difficile d'arrêter un domaine malveillant utilisant ce type de TLD.
Le cheval de Troie RTM n'embarque pas le logiciel nécessaire pour lire la base de données Namecoin distribuée. Il utilise des serveurs DNS centraux tels que dns.dot-bit.org ou des serveurs OpenNic pour résoudre les domaines .bit. Il a donc la même durabilité que les serveurs DNS. Nous avons observé que certains domaines d'équipe n'étaient plus détectés après avoir été mentionnés dans un article de blog.
Un autre avantage du TLD .bit pour les pirates est son coût. Pour enregistrer un domaine, les opérateurs ne doivent payer que 0,01 NK, ce qui correspond à 0,00185 $ (au 5 décembre 2016). À titre de comparaison, domain.com coûte au moins 10 $.
4.3.3. Protocole
Pour communiquer avec le serveur de commande et de contrôle, RTM utilise des requêtes HTTP POST avec des données formatées à l'aide d'un protocole personnalisé. La valeur du chemin est toujours /r/z.php ; Agent utilisateur Mozilla/5.0 (compatible ; MSIE 9.0 ; Windows NT 6.1 ; Trident/5.0). Dans les requêtes adressées au serveur, les données sont formatées comme suit, où les valeurs de décalage sont exprimées en octets :
Les octets 0 à 6 ne sont pas codés ; les octets à partir de 6 sont codés à l'aide d'un algorithme RC4 modifié. La structure du paquet de réponse C&C est plus simple. Les octets sont codés de 4 à la taille du paquet.
La liste des valeurs d'octets d'action possibles est présentée dans le tableau ci-dessous :
Le malware calcule toujours le CRC32 des données décryptées et le compare avec ce qui est présent dans le paquet. S'ils diffèrent, le cheval de Troie abandonne le paquet.
Les données supplémentaires peuvent contenir divers objets, notamment un fichier PE, un fichier à rechercher dans le système de fichiers ou de nouvelles URL de commande.
4.3.4. Panneau
Nous avons remarqué que RTM utilise un panel sur les serveurs C&C. Capture d'écran ci-dessous :
4.4. Signe caractéristique
RTM est un cheval de Troie bancaire typique. Il n'est pas surprenant que les opérateurs souhaitent obtenir des informations sur le système de la victime. D'une part, le bot collecte des informations générales sur le système d'exploitation. D’autre part, il découvre si le système compromis contient des attributs associés aux systèmes bancaires à distance russes.
4.4.1. Informations générales
Lorsqu'un logiciel malveillant est installé ou lancé après un redémarrage, un rapport est envoyé au serveur de commande et de contrôle contenant des informations générales, notamment :
- fuseau horaire
- langue du système par défaut ;
- informations d'identification de l'utilisateur autorisé ;
- niveau d'intégrité du processus ;
- Nom d'utilisateur;
- Nom de l'ordinateur;
- Version du système d'exploitation ;
- modules installés supplémentaires ;
- programme antivirus installé ;
- liste des lecteurs de cartes à puce.
4.4.2 Système de banque à distance
Une cible typique d’un cheval de Troie est un système bancaire à distance, et RTM ne fait pas exception. L'un des modules du programme s'appelle TBdo, qui effectue diverses tâches, notamment l'analyse des disques et l'historique de navigation.
En analysant le disque, le cheval de Troie vérifie si un logiciel bancaire est installé sur la machine. La liste complète des programmes cibles se trouve dans le tableau ci-dessous. Après avoir détecté un fichier intéressant, le programme envoie des informations au serveur de commande. Les actions suivantes dépendent de la logique spécifiée par les algorithmes du centre de commande (C&C).
RTM recherche également les modèles d'URL dans l'historique de votre navigateur et les onglets ouverts. De plus, le programme examine l'utilisation des fonctions FindNextUrlCacheEntryA et FindFirstUrlCacheEntryA, et vérifie également chaque entrée pour faire correspondre l'URL à l'un des modèles suivants :
Après avoir détecté des onglets ouverts, le cheval de Troie contacte Internet Explorer ou Firefox via le mécanisme Dynamic Data Exchange (DDE) pour vérifier si l'onglet correspond au modèle.
La vérification de votre historique de navigation et des onglets ouverts s'effectue dans une boucle WHILE (une boucle avec une condition préalable) avec une pause d'une seconde entre les vérifications. D'autres données surveillées en temps réel seront abordées dans la section 1.
Si un modèle est trouvé, le programme le signale au serveur de commandes à l'aide d'une liste de chaînes du tableau suivant :
4.5 Surveillance
Pendant l'exécution du cheval de Troie, des informations sur les caractéristiques du système infecté (y compris des informations sur la présence d'un logiciel bancaire) sont envoyées au serveur de commande et de contrôle. La prise d'empreintes digitales se produit lorsque RTM exécute pour la première fois le système de surveillance immédiatement après l'analyse initiale du système d'exploitation.
4.5.1. Banque à distance
Le module TBdo est également chargé du suivi des processus liés à la banque. Il utilise l'échange de données dynamique pour vérifier les onglets dans Firefox et Internet Explorer lors de l'analyse initiale. Un autre module TShell est utilisé pour surveiller les fenêtres de commande (Internet Explorer ou File Explorer).
Le module utilise les interfaces COM IShellWindows, iWebBrowser, DWebBrowserEvents2 et IConnectionPointContainer pour surveiller les fenêtres. Lorsqu'un utilisateur accède à une nouvelle page Web, le malware le note. Il compare ensuite l'URL de la page avec les modèles ci-dessus. Après avoir détecté une correspondance, le cheval de Troie prend six captures d'écran consécutives à 5 secondes d'intervalle et les envoie au serveur de commande C&S. Le programme vérifie également certains noms de fenêtres liés aux logiciels bancaires - la liste complète est ci-dessous :
4.5.2. Carte à puce
RTM vous permet de surveiller les lecteurs de cartes à puce connectés aux ordinateurs infectés. Ces appareils sont utilisés dans certains pays pour rapprocher les ordres de paiement. Si ce type d'appareil est connecté à un ordinateur, cela pourrait indiquer à un cheval de Troie que la machine est utilisée pour des transactions bancaires.
Contrairement à d’autres chevaux de Troie bancaires, RTM ne peut pas interagir avec de telles cartes à puce. Peut-être que cette fonctionnalité est incluse dans un module supplémentaire que nous n'avons pas encore vu.
4.5.3. Enregistreur de frappe
Une partie importante de la surveillance d’un PC infecté consiste à capturer les frappes. Il semble que les développeurs RTM ne manquent aucune information, puisqu'ils surveillent non seulement les touches normales, mais également le clavier virtuel et le presse-papiers.
Pour ce faire, utilisez la fonction SetWindowsHookExA. Les attaquants enregistrent les touches enfoncées ou les touches correspondant au clavier virtuel, ainsi que le nom et la date du programme. Le tampon est ensuite envoyé au serveur de commandes C&C.
La fonction SetClipboardViewer est utilisée pour intercepter le presse-papiers. Les pirates enregistrent le contenu du presse-papiers lorsque les données sont du texte. Le nom et la date sont également enregistrés avant que le tampon ne soit envoyé au serveur.
4.5.4. Captures d'écran
Une autre fonction RTM est l'interception de capture d'écran. La fonctionnalité est appliquée lorsque le module de surveillance des fenêtres détecte un site ou un logiciel bancaire d'intérêt. Les captures d'écran sont prises à l'aide d'une bibliothèque d'images graphiques et transférées au serveur de commandes.
4.6. Désinstallation
Le serveur C&C peut empêcher l'exécution du logiciel malveillant et nettoyer votre ordinateur. La commande vous permet d'effacer les fichiers et les entrées de registre créés pendant l'exécution de RTM. La DLL est ensuite utilisée pour supprimer le malware et le fichier winlogon, après quoi la commande arrête l'ordinateur. Comme le montre l'image ci-dessous, la DLL est supprimée par les développeurs à l'aide d'effacement.dll.
Le serveur peut envoyer au cheval de Troie une commande de désinstallation-verrouillage destructrice. Dans ce cas, si vous disposez des droits d'administrateur, RTM supprimera le secteur de démarrage MBR sur le disque dur. Si cela échoue, le cheval de Troie tentera de déplacer le secteur de démarrage du MBR vers un secteur aléatoire. L'ordinateur ne pourra alors pas démarrer le système d'exploitation après l'arrêt. Cela peut conduire à une réinstallation complète du système d'exploitation, ce qui entraîne la destruction des preuves.
Sans privilèges d'administrateur, le malware écrit un .EXE codé dans la DLL RTM sous-jacente. L'exécutable exécute le code nécessaire pour arrêter l'ordinateur et enregistre le module dans la clé de registre HKCUCurrentVersionRun. Chaque fois que l'utilisateur démarre une session, l'ordinateur s'éteint immédiatement.
4.7. Le fichier de configuration
Par défaut, RTM n'a presque pas de fichier de configuration, mais le serveur de commande et de contrôle peut envoyer des valeurs de configuration qui seront stockées dans le registre et utilisées par le programme. La liste des clés de configuration est présentée dans le tableau ci-dessous :
La configuration est stockée dans la clé de registre du logiciel [chaîne pseudo-aléatoire]. Chaque valeur correspond à l'une des lignes présentées dans le tableau précédent. Les valeurs et les données sont codées à l'aide de l'algorithme RC4 dans RTM.
Les données ont la même structure qu'un réseau ou des chaînes. Une clé XOR de quatre octets est ajoutée au début des données codées. Pour les valeurs de configuration, la clé XOR est différente et dépend de la taille de la valeur. Il peut être calculé comme suit :
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(valeur_config)| (len(config_value) << 8)
4.8. Autres fonctions
Examinons ensuite les autres fonctions prises en charge par RTM.
4.8.1. Modules supplémentaires
Le cheval de Troie inclut des modules supplémentaires, qui sont des fichiers DLL. Les modules envoyés depuis le serveur de commandes C&C peuvent être exécutés en tant que programmes externes, reflétés dans la RAM et lancés dans de nouveaux threads. Pour le stockage, les modules sont enregistrés dans des fichiers .dtt et codés à l'aide de l'algorithme RC4 avec la même clé utilisée pour les communications réseau.
Jusqu'à présent, nous avons observé l'installation du module VNC (8966319882494077C21F66A8354E2CBCA0370464), du module d'extraction de données du navigateur (03DE8622BE6B2F75A364A275995C3411626C4D9F) et du module 1c_2_kl (B1EE562E1F69EFC). 6FBA58B88753BE7D0B3E4CFAB).
Pour charger le module VNC, le serveur C&C émet une commande demandant des connexions au serveur VNC à une adresse IP spécifique sur le port 44443. Le plugin de récupération de données du navigateur exécute TBrowserDataCollector, qui peut lire l'historique de navigation d'IE. Ensuite, il envoie la liste complète des URL visitées au serveur de commandes C&C.
Le dernier module découvert s'appelle 1c_2_kl. Il peut interagir avec le progiciel 1C Enterprise. Le module comprend deux parties : la partie principale - DLL et deux agents (32 et 64 bits), qui seront injectés dans chaque processus, en enregistrant une liaison à WH_CBT. Ayant été introduit dans le processus 1C, le module lie les fonctions CreateFile et WriteFile. Chaque fois que la fonction liée CreateFile est appelée, le module stocke le chemin du fichier 1c_to_kl.txt en mémoire. Après avoir intercepté l'appel WriteFile, il appelle la fonction WriteFile et envoie le chemin du fichier 1c_to_kl.txt au module DLL principal, en lui transmettant le message Windows WM_COPYDATA contrefait.
Le module DLL principal ouvre et analyse le fichier pour déterminer les ordres de paiement. Il reconnaît le montant et le numéro de transaction contenus dans le fichier. Ces informations sont envoyées au serveur de commandes. Nous pensons que ce module est actuellement en cours de développement car il contient un message de débogage et ne peut pas modifier automatiquement 1c_to_kl.txt.
4.8.2. Élévation de privilèges
RTM peut tenter d'élever les privilèges en affichant de faux messages d'erreur. Le malware simule une vérification du registre (voir image ci-dessous) ou utilise une véritable icône d'éditeur de registre. Veuillez noter la faute d'orthographe wait – whait. Après quelques secondes d'analyse, le programme affiche un faux message d'erreur.
Un faux message trompera facilement l’utilisateur moyen, malgré les erreurs grammaticales. Si l'utilisateur clique sur l'un des deux liens, RTM tentera d'élever ses privilèges dans le système.
Après avoir sélectionné l'une des deux options de récupération, le cheval de Troie lance la DLL à l'aide de l'option runas de la fonction ShellExecute avec les privilèges d'administrateur. L'utilisateur verra une véritable invite Windows (voir l'image ci-dessous) pour l'élévation. Si l'utilisateur donne les autorisations nécessaires, le cheval de Troie s'exécutera avec les privilèges d'administrateur.
Selon la langue par défaut installée sur le système, le cheval de Troie affiche des messages d'erreur en russe ou en anglais.
4.8.3. Certificat
RTM peut ajouter des certificats au Windows Store et confirmer la fiabilité de l'ajout en cliquant automatiquement sur le bouton « oui » dans la boîte de dialogue csrss.exe. Ce comportement n'est pas nouveau : par exemple, le cheval de Troie bancaire Retefe confirme également de manière indépendante l'installation d'un nouveau certificat.
4.8.4. Connexion inversée
Les auteurs de RTM ont également créé le tunnel TCP Backconnect. Nous n'avons pas encore vu cette fonctionnalité utilisée, mais elle est conçue pour surveiller à distance les PC infectés.
4.8.5. Gestion des fichiers hôtes
Le serveur C&C peut envoyer une commande au cheval de Troie pour modifier le fichier hôte Windows. Le fichier hôte est utilisé pour créer des résolutions DNS personnalisées.
4.8.6. Rechercher et envoyer un fichier
Le serveur peut demander de rechercher et de télécharger un fichier sur le système infecté. Par exemple, lors de la recherche, nous avons reçu une demande pour le fichier 1c_to_kl.txt. Comme décrit précédemment, ce fichier est généré par le système comptable 1C : Enterprise 8.
4.8.7. Mise à jour
Enfin, les auteurs RTM peuvent mettre à jour le logiciel en soumettant une nouvelle DLL pour remplacer la version actuelle.
5. Заключение
Les recherches de RTM montrent que le système bancaire russe attire toujours les cyberattaquants. Des groupes tels que Buhtrap, Corkow et Carbanak réussissent à voler de l’argent aux institutions financières et à leurs clients en Russie. RTM est un nouvel acteur dans cette industrie.
Des outils RTM malveillants sont utilisés depuis au moins fin 2015, selon la télémétrie ESET. Le programme dispose d'une gamme complète de capacités d'espionnage, notamment la lecture de cartes à puce, l'interception de frappes au clavier et la surveillance des transactions bancaires, ainsi que la recherche de fichiers de transport 1C : Enterprise 8.
L'utilisation d'un domaine de premier niveau .bit décentralisé et non censuré garantit une infrastructure hautement résiliente.
Source: habr.com