D'r binne ferskate bekende cybergroepen dy't spesjalisearje yn it stellen fan fûnsen fan Russyske bedriuwen. Wy hawwe oanfallen sjoen mei befeiligingslûzen dy't tagong jouwe ta it netwurk fan it doel. Sadree't se tagong krije, studearje oanfallers de netwurkstruktuer fan 'e organisaasje en sette har eigen ark yn om fûnsen te stellen. In klassyk foarbyld fan dizze trend binne de hackergroepen Buhtrap, Cobalt en Corkow.
De RTM-groep wêrop dit rapport him rjochtet is diel fan dizze trend. It brûkt spesjaal ûntworpen malware skreaun yn Delphi, dy't wy yn 'e folgjende seksjes yn mear detail sille besjen. De earste spoaren fan dizze ark yn it ESET telemetry systeem waarden ûntdutsen oan 'e ein fan 2015. It team laadt ferskate nije modules op ynfekteare systemen as nedich. De oanfallen binne rjochte op brûkers fan banksystemen op ôfstân yn Ruslân en guon buorlannen.
1. Doelen
De RTM-kampanje is rjochte op bedriuwsbrûkers - dit is dúdlik út 'e prosessen dy't oanfallers besykje te ûntdekken yn in kompromittearre systeem. De fokus leit op boekhâldsoftware foar wurkjen mei banksystemen op ôfstân.
De list fan prosessen fan belang foar RTM liket de oerienkommende list fan 'e Buhtrap-groep, mar de groepen hawwe ferskillende ynfeksjefektors. As Buhtrap faker falske siden brûkte, dan brûkte RTM drive-by download-oanfallen (oanfallen op 'e browser of syn komponinten) en spam fia e-post. Neffens telemetrygegevens is de bedriging rjochte op Ruslân en ferskate tichtby lizzende lannen (Oekraïne, Kazachstan, Tsjechje, Dútslân). Troch it gebrûk fan massadistribúsjemeganismen is deteksje fan malware bûten de doelregio's lykwols net ferrassend.
It totale oantal malware-deteksjes is relatyf lyts. Oan 'e oare kant brûkt de RTM-kampanje komplekse programma's, wat oanjout dat de oanfallen tige rjochte binne.
Wy hawwe ûntdutsen ferskate decoy dokuminten brûkt troch RTM, ynklusyf net-besteande kontrakten, faktueren of belesting boekhâlding dokuminten. De aard fan 'e lokken, kombinearre mei it type software dy't troch de oanfal rjochte is, jout oan dat de oanfallers "ynfiere" de netwurken fan Russyske bedriuwen fia de boekhâlding. De groep hannele neffens itselde skema yn 2014-2015
Tidens it ûndersyk koenen wy ynteraksje mei ferskate C&C-servers. Wy sille de folsleine list fan kommando's yn 'e folgjende seksjes listje, mar foar no kinne wy sizze dat de kliïnt gegevens fan' e keylogger direkt nei de oanfalle tsjinner oerbringt, wêrfan ekstra kommando's dan wurde ûntfongen.
De dagen dat jo gewoan ferbine kinne mei in kommando- en kontrôletsjinner en alle gegevens sammelje wêryn jo ynteressearre wiene, binne lykwols fuort. Wy hawwe realistyske logbestannen opnij makke om wat relevante kommando's fan 'e tsjinner te krijen.
De earste fan har is in fersyk oan 'e bot om it bestân 1c_to_kl.txt oer te bringen - in transportbestân fan it programma 1C: Enterprise 8, wêrfan it uterlik aktyf wurdt kontrolearre troch RTM. 1C ynteraksje mei banksystemen op ôfstân troch it uploaden fan gegevens oer útgeande betellingen nei in tekstbestân. Dêrnei wurdt it bestân stjoerd nei it banksysteem op ôfstân foar automatisearring en útfiering fan 'e betellingsopdracht.
It bestân befettet betellingsdetails. As oanfallers de ynformaasje feroarje oer útgeande betellingen, sil de oerdracht stjoerd wurde mei falske details nei de akkounts fan 'e oanfallers.
Ungefear in moanne nei it oanfreegjen fan dizze bestannen fan 'e kommando- en kontrôletsjinner, hawwe wy in nije plugin, 1c_2_kl.dll, op it kompromittearre systeem laden. De module (DLL) is ûntworpen om it ynlaadbestân automatysk te analysearjen troch de prosessen fan accountingsoftware te penetrearjen. Wy sille it yn detail beskriuwe yn 'e folgjende seksjes.
Ynteressant hat FinCERT fan 'e Bank fan Ruslân oan' e ein fan 2016 in bulletin warskôging útjûn oer cyberkriminelen dy't 1c_to_kl.txt uploadbestannen brûke. Untwikkelders fan 1C witte ek oer dit skema, se hawwe al in offisjele ferklearring makke en foarsoarchsmaatregels neamd.
Oare modules waarden ek laden fan 'e kommando-tsjinner, benammen VNC (syn 32- en 64-bit ferzjes). It liket op de VNC-module dy't earder brûkt waard yn Dridex Trojan-oanfallen. Dizze module wurdt nei alle gedachten brûkt om op ôfstân te ferbinen mei in ynfekteare kompjûter en in detaillearre stúdzje fan it systeem út te fieren. Dêrnei besykje de oanfallers om it netwurk te ferpleatsen, brûkerswachtwurden út te heljen, ynformaasje te sammeljen en de konstante oanwêzigens fan malware te garandearjen.
2. Vectors fan ynfeksje
De folgjende figuer toant de ynfeksjevektoren ûntdutsen yn 'e stúdzjeperioade fan' e kampanje. De groep brûkt in breed oanbod fan vectoren, mar benammen drive-by download oanfallen en spam. Dizze ark binne handich foar rjochte oanfallen, om't yn it earste gefal oanfallers siden kinne selektearje dy't besocht wurde troch potensjele slachtoffers, en yn 't twadde kinne se e-post mei taheaksels direkt nei de winske bedriuwmeiwurkers stjoere.
De malware wurdt ferspraat fia meardere kanalen, ynklusyf RIG en Sundown eksploitaasjekits as spammailings, wat oanjout op ferbiningen tusken de oanfallers en oare cyberoanfallers dy't dizze tsjinsten oanbiede.
2.1. Hoe binne RTM en Buhtrap besibbe?
De RTM-kampanje is heul gelyk oan Buhtrap. De natuerlike fraach is: hoe binne se mei-inoar besibbe?
Yn septimber 2016 observearren wy in RTM-monster dat waard ferspraat mei de Buhtrap-uploader. Derneist fûnen wy twa digitale sertifikaten brûkt yn sawol Buhtrap as RTM.
De earste, nei alle gedachten útjûn oan it bedriuw DNISTER-M, waard brûkt om it twadde Delphi-formulier digitaal te tekenjen (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) en de Buhtrap DLL (SHA-1: 1E2642B454B2BAC889B6B41116B83C6C2C4890D XNUMX).
De twadde, útjûn oan Bit-Tredj, waard brûkt om Buhtrap-laders te tekenjen (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 en B74F71560E48488D2153AE2FB51207A0AC), lykas komponinten ynstalleare en ynstalleare.
RTM-operators brûke sertifikaten dy't mienskiplik binne foar oare malware-famyljes, mar se hawwe ek in unyk sertifikaat. Neffens ESET-telemetry waard it útjûn oan Kit-SD en waard allinich brûkt om guon RTM-malware te ûndertekenjen (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM brûkt deselde loader as Buhtrap, RTM-komponinten wurde laden fan 'e Buhtrap-ynfrastruktuer, sadat de groepen ferlykbere netwurkyndikatoaren hawwe. Lykwols, neffens ús rûzings, RTM en Buhtrap binne ferskillende groepen, teminsten om't RTM wurdt ferdield op ferskillende wizen (net allinnich mei help fan in "bûtenlânske" downloader).
Nettsjinsteande dit brûke hackergroepen ferlykbere bestjoeringsprinsipes. Se rjochtsje op bedriuwen dy't boekhâldsoftware brûke, op deselde manier systeemynformaasje sammelje, sykje nei tûkekaartlêzers, en in array fan kweade ark ynsette om slachtoffers te bispieden.
3. Evolúsje
Yn dizze seksje sille wy sjen nei de ferskate ferzjes fan malware fûn tidens de stúdzje.
3.1. Ferzjefoarming
RTM bewarret konfiguraasjegegevens yn in registerseksje, it meast nijsgjirrige diel is botnet-prefix. In list mei alle wearden dy't wy seagen yn 'e samples dy't wy studearre, wurdt presintearre yn' e tabel hjirûnder.
It is mooglik dat de wearden kinne wurde brûkt om malware-ferzjes op te nimmen. Wy merkten lykwols net folle ferskil tusken ferzjes lykas bit2 en bit3, 0.1.6.4 en 0.1.6.6. Boppedat is ien fan 'e foarheaksels al sûnt it begjin en is evoluearre fan in typysk C&C-domein nei in .bit-domein, sa't hjirûnder te sjen is.
3.2. Skema
Mei help fan telemetrygegevens makken wy in grafyk fan it foarkommen fan samples.
4. Technyske analyze
Yn dizze seksje sille wy de haadfunksjes fan 'e RTM-banking Trojan beskriuwe, ynklusyf fersetmeganismen, in eigen ferzje fan it RC4-algoritme, netwurkprotokol, spyingfunksjonaliteit en guon oare funksjes. Yn it bysûnder sille wy rjochtsje op SHA-1 samples AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 en 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. Ynstallaasje en bewarjen
4.1.1. Útfiering
De RTM-kearn is in DLL, de bibleteek wurdt op skiif laden mei .EXE. It útfierbere bestân wurdt normaal ynpakt en befettet DLL-koade. Ienris lansearre, ekstrakt it de DLL en rint it mei it folgjende kommando út:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. DLL
De haad-DLL wurdt altyd op skiif laden as winlogon.lnk yn 'e map %PROGRAMDATA%Winlogon. Dizze triem-útwreiding wurdt normaal ferbûn mei in fluchtoets, mar it bestân is eins in DLL skreaun yn Delphi, neamd core.dll troch de ûntwikkelder, lykas werjûn yn 'e ôfbylding hjirûnder.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Ienris lansearre, aktivearret de Trojan syn fersetmeganisme. Dit kin dien wurde op twa ferskillende manieren, ôfhinklik fan it slachtoffer syn privileezjes yn it systeem. As jo administratorrjochten hawwe, foeget de Trojan in Windows Update-yngong ta oan it register HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun. De kommando's yn Windows Update sille rinne oan it begjin fan 'e sesje fan' e brûker.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host
De Trojan besiket ek in taak ta te foegjen oan de Windows Task Scheduler. De taak sil de winlogon.lnk DLL starte mei deselde parameters as hjirboppe. Reguliere brûkersrjochten tastean de Trojan om in Windows Update-yngong mei deselde gegevens ta te foegjen oan it register HKCUSoftwareMicrosoftWindowsCurrentVersionRun:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Feroare RC4 algoritme
Nettsjinsteande syn bekende tekoarten wurdt it RC4-algoritme regelmjittich brûkt troch malware-auteurs. De makkers fan RTM hawwe it lykwols in bytsje feroare, wierskynlik om de taak fan firusanalisten dreger te meitsjen. In wizige ferzje fan RC4 wurdt in protte brûkt yn kweade RTM-ark om stringen, netwurkgegevens, konfiguraasje en modules te fersiferjen.
4.2.1. Ferskillen
It orizjinele RC4-algoritme omfettet twa stadia: inisjalisaasje fan s-blok (aka KSA - Key-Scheduling Algorithm) en pseudo-willekeurige sekwinsjegeneraasje (PRGA - Pseudo-Random Generation Algorithm). De earste etappe omfettet inisjalisearjen fan de s-box mei de kaai, en yn 'e twadde etappe wurdt de boarnetekst ferwurke mei de s-box foar fersifering.
De RTM-auteurs hawwe in tuskenstap tafoege tusken s-box-initialisaasje en fersifering. De ekstra kaai is fariabel en wurdt tagelyk ynsteld as de gegevens dy't wurde fersifere en ûntsifere. De funksje dy't dizze ekstra stap útfiert wurdt werjûn yn 'e figuer hjirûnder.
4.2.2. String fersifering
Op it earste each binne d'r ferskate lêsbere rigels yn 'e haad DLL. De rest wurde fersifere mei it hjirboppe beskreaune algoritme, wêrfan de struktuer wurdt werjûn yn 'e folgjende figuer. Wy fûnen mear as 25 ferskillende RC4-kaaien foar tekenrige fersifering yn 'e analysearre samples. De XOR-kaai is oars foar elke rige. De wearde fan de numerike fjild skieding rigels is altyd 0xFFFFFFFF.
Oan it begjin fan útfiering ûntsiferet RTM de snaren yn in globale fariabele. As it nedich is om tagong te krijen ta in tekenrige, berekkenet de Trojan dynamysk it adres fan 'e ûntsifere snaren basearre op it basisadres en offset.
De snaren befetsje nijsgjirrige ynformaasje oer de funksjes fan 'e malware. Guon foarbyldstrings wurde jûn yn paragraaf 6.8.
4.3. Netwurk
De manier wêrop RTM-malware kontakt makket mei de C&C-tsjinner ferskilt fan ferzje ta ferzje. De earste oanpassingen (oktober 2015 - april 2016) brûkten tradisjonele domeinnammen tegearre mei in RSS-feed op livejournal.com om de list mei kommando's te aktualisearjen.
Sûnt april 2016 hawwe wy in ferskowing sjoen nei .bit-domeinen yn telemetrygegevens. Dit wurdt befêstige troch de domeinregistraasjedatum - it earste RTM-domein fde05d0573da.bit waard registrearre op maart 13, 2016.
Alle URL's dy't wy seagen by it kontrolearjen fan 'e kampanje hiene in mienskiplik paad: /r/z.php. It is frij ûngewoan en it sil helpe by it identifisearjen fan RTM-oanfragen yn netwurkstreamen.
4.3.1. Kanaal foar kommando's en kontrôle
Legacy foarbylden brûkten dit kanaal om har list mei kommando- en kontrôleservers te aktualisearjen. Hosting is te finen op livejournal.com, op it momint fan it skriuwen fan it rapport bleau it op de URL hxxp://f72bba81c921(.)livejournal(.)com/ data/rss.
Livejournal is in Russysk-Amerikaansk bedriuw dat in blogplatfoarm leveret. RTM-operators meitsje in LJ-blog wêryn se in artikel pleatse mei kodearre kommando's - sjoch skermprint.
Kommando- en kontrôlelinen wurde kodearre mei in wizige RC4-algoritme (Seksje 4.2). De hjoeddeistige ferzje (novimber 2016) fan it kanaal befettet de folgjende kommando- en kontrôleserveradressen:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. .bit domeinen
Yn de meast resinte RTM-samples ferbine auteurs mei C&C-domeinen mei it .bit TLD-topnivo-domein. It is net op 'e ICANN (Domain Name and Internet Corporation) list fan top-level domeinen. Ynstee brûkt it Namecoin-systeem, dat boppe op Bitcoin-technology boud is. Malware-auteurs brûke de .bit TLD net faak foar har domeinen, hoewol in foarbyld fan sa'n gebrûk is earder waarnommen yn in ferzje fan it Necurs-botnet.
Oars as Bitcoin hawwe brûkers fan 'e ferspraat Namecoin-database de mooglikheid om gegevens te bewarjen. De wichtichste tapassing fan dizze funksje is it .bit top-level domein. Jo kinne domeinen registrearje dy't sille wurde opslein yn in ferspraat databank. De oerienkommende yngongen yn 'e databank befetsje IP-adressen oplost troch it domein. Dizze TLD is "sensuerbestindich" om't allinich de registrant de resolúsje fan it .bit-domein kin feroarje. Dit betsjut dat it folle dreger is om in kwea-aardich domein te stopjen mei dit type TLD.
De RTM Trojan ynbêde de software net yn dy't nedich is om de ferspraat Namecoin-database te lêzen. It brûkt sintrale DNS-tsjinners lykas dns.dot-bit.org of OpenNic-tsjinners om .bit-domeinen op te lossen. Dêrom hat it deselde duorsumens as DNS-tsjinners. Wy observearre dat guon teamdomeinen net mear waarden ûntdutsen nei't se neamd waarden yn in blogpost.
In oar foardiel fan 'e .bit TLD foar hackers is kosten. Om in domein te registrearjen, moatte operators allinich 0,01 NK betelje, wat oerienkomt mei $ 0,00185 (as 5 desimber 2016). Foar fergeliking kostet domain.com op syn minst $10.
4.3.3. Protokol
Om te kommunisearjen mei de kommando- en kontrôletsjinner, brûkt RTM HTTP POST-oanfragen mei gegevens opmakke mei in oanpast protokol. De paadwearde is altyd /r/z.php; Mozilla/5.0 brûkersagint (kompatibel; MSIE 9.0; Windows NT 6.1; Trident/5.0). Yn oanfragen oan de tsjinner wurde de gegevens as folget opmakke, wêrby't de offsetwearden wurde útdrukt yn bytes:
Bytes 0 oant 6 binne net kodearre; bytes begjinnend fan 6 wurde kodearre mei in wizige RC4-algoritme. De struktuer fan it C&C-antwurdpakket is ienfâldiger. Bytes wurde kodearre fan 4 oant pakketgrutte.
De list mei mooglike aksjebytewearden wurdt presintearre yn 'e tabel hjirûnder:
De malware berekkent altyd de CRC32 fan 'e dekodearre gegevens en fergeliket it mei wat oanwêzich is yn it pakket. As se ferskille, falt de Trojan it pakket.
De ekstra gegevens kinne ferskate objekten befetsje, ynklusyf in PE-bestân, in bestân om te sykjen yn it bestânsysteem, of nije kommando-URL's.
4.3.4. Panel
Wy hawwe opmurken dat RTM in paniel brûkt op C&C-tsjinners. Skermprint hjirûnder:
4.4. Karakteristyk teken
RTM is in typyske bank Trojan. It is gjin ferrassing dat operators ynformaasje wolle oer it systeem fan it slachtoffer. Oan 'e iene kant sammelt de bot algemiene ynformaasje oer it OS. Oan 'e oare kant fynt it út oft it kompromitteare systeem attributen befettet dy't ferbûn binne mei Russyske banksystemen op ôfstân.
4.4.1. Algemiene ynformaasje
As malware wurdt ynstalleare of lansearre nei in herstart, wurdt in rapport stjoerd nei de kommando- en kontrôletsjinner mei algemiene ynformaasje ynklusyf:
- Tiidsône;
- standert systeemtaal;
- autorisearre brûker bewiisbrieven;
- proses yntegriteit nivo;
- brûkersnamme;
- kompjûter namme;
- OS ferzje;
- ekstra ynstallearre modules;
- ynstallearre antivirus programma;
- list fan smart card lêzers.
4.4.2 Banksysteem op ôfstân
In typysk Trojan-doel is in banksysteem op ôfstân, en RTM is gjin útsûndering. Ien fan 'e modules fan it programma hjit TBdo, dy't ferskate taken útfiert, ynklusyf skennen fan skiven en blêdzjeskiednis.
Troch de skiif te scannen, kontrolearret de Trojan oft banksoftware is ynstalleare op 'e masine. De folsleine list mei doelprogramma's is yn 'e tabel hjirûnder. Nei it ûntdekken fan in bestân fan belang, stjoert it programma ynformaasje nei de kommando-tsjinner. De folgjende aksjes binne ôfhinklik fan de logika oantsjutte troch it kommando sintrum (C & C) algoritmen.
RTM siket ek nei URL-patroanen yn jo blêderskiednis en iepen ljeppers. Derneist ûndersiket it programma it gebrûk fan 'e funksjes FindNextUrlCacheEntryA en FindFirstUrlCacheEntryA, en kontrolearret ek elke yngong om de URL te passen oan ien fan 'e folgjende patroanen:
Nei it ûntdekken fan iepen ljeppers, kontaktet de Trojan Internet Explorer of Firefox fia it Dynamic Data Exchange (DDE) meganisme om te kontrolearjen oft de ljepper oerienkomt mei it patroan.
It kontrolearjen fan jo blêdzjeskiednis en iepen ljeppers wurdt útfierd yn in WHILE-lus (in lus mei in betingst) mei in 1 sekonde pauze tusken kontrôles. Oare gegevens dy't yn realtime kontrolearre wurde, wurde besprutsen yn paragraaf 4.5.
As in patroan fûn wurdt, rapportearret it programma dit oan de kommando-tsjinner mei in list mei stringen út de folgjende tabel:
4.5 Monitoring
Wylst de Trojan rint, wurdt ynformaasje oer de karakteristike skaaimerken fan it ynfekteare systeem (ynklusyf ynformaasje oer de oanwêzigens fan banksoftware) stjoerd nei de kommando- en kontrôletsjinner. Fingerprinting komt foar as RTM it tafersjochsysteem foar it earst rint nei de earste OS-scan.
4.5.1. Bankieren op ôfstân
De TBdo-module is ek ferantwurdlik foar it kontrolearjen fan bankrelatearre prosessen. It brûkt dynamyske gegevensútwikseling om ljeppers yn Firefox en Internet Explorer te kontrolearjen tidens de earste scan. In oare TShell-module wurdt brûkt om kommando-finsters te kontrolearjen (Internet Explorer of File Explorer).
De module brûkt de COM-ynterfaces IShellWindows, iWebBrowser, DWebBrowserEvents2 en IConnectionPointContainer om finsters te kontrolearjen. As in brûker nei in nije webside navigearret, merkt de malware dit op. It fergeliket dan de side-URL mei de boppesteande patroanen. Nei it ûntdekken fan in wedstriid, nimt de Trojan seis opienfolgjende skermôfbyldings mei in ynterval fan 5 sekonden en stjoert se nei de C&S kommando-tsjinner. It programma kontrolearret ek guon finsternammen yn ferbân mei banksoftware - de folsleine list is hjirûnder:
4.5.2. Smart card
RTM lit jo tûkkaartlêzers kontrolearje dy't ferbûn binne mei ynfekteare kompjûters. Dizze apparaten wurde yn guon lannen brûkt om betellingsopdrachten te fermoedsoenjen. As dit type apparaat is hechte oan in kompjûter, kin it oanjaan oan in Trojan dat de masine wurdt brûkt foar banktransaksjes.
Oars as oare bank Trojans, kin RTM net ynteraksje mei sokke smart cards. Miskien is dizze funksjonaliteit opnommen yn in ekstra module dy't wy noch net sjoen hawwe.
4.5.3. Keylogger
In wichtich ûnderdiel fan it kontrolearjen fan in ynfekteare PC is it fêstlizzen fan toetsoanslagen. It liket derop dat de RTM-ûntwikkelders gjin ynformaasje misse, om't se net allinich gewoane toetsen kontrolearje, mar ek it firtuele toetseboerd en klamboerd.
Om dit te dwaan, brûk de funksje SetWindowsHookExA. Oanfallers logje de yndrukte toetsen of de toetsen dy't oerienkomme mei it firtuele toetseboerd, tegearre mei de namme en datum fan it programma. De buffer wurdt dan stjoerd nei de C & C kommando tsjinner.
De funksje SetClipboardViewer wurdt brûkt om it klamboerd te ûnderskeppen. Hackers loggen de ynhâld fan it klamboerd as de gegevens tekst binne. De namme en datum wurde ek oanmeld foardat de buffer nei de tsjinner stjoerd wurdt.
4.5.4. Skermôfbyldings
In oare RTM-funksje is screenshot-ûnderskepping. De funksje wurdt tapast as de finstermonitoringsmodule in side of banksoftware fan belang detektearret. Skermôfbyldings wurde makke mei in bibleteek fan grafyske ôfbyldings en oerdroegen oan de kommando-tsjinner.
4.6. Uninstallaasje
De C&C-tsjinner kin stopje dat de malware rint en jo kompjûter skjinmeitsje. It kommando lit jo bestannen en registeryngongen wiskje dy't makke binne wylst RTM rint. De DLL wurdt dan brûkt om de malware en it winlogon-bestân te ferwiderjen, wêrnei't it kommando de kompjûter ôfslút. Lykas werjûn yn 'e ôfbylding hjirûnder, wurdt de DLL fuortsmiten troch ûntwikkelders mei erase.dll.
De tsjinner kin de Trojan in destruktyf uninstall-lock kommando stjoere. Yn dit gefal, as jo administratorrjochten hawwe, sil RTM de MBR-bootsektor op 'e hurde skiif wiskje. As dit mislearret, sil de Trojan besykje de MBR-bootsektor te ferpleatsen nei in willekeurige sektor - dan sil de kompjûter it OS net kinne bootje nei it ôfsluten. Dit kin liede ta in folsleine werynstallaasje fan it OS, dat betsjut de ferneatiging fan bewiis.
Sûnder beheardersrjochten skriuwt de malware in .EXE kodearre yn de ûnderlizzende RTM DLL. De útfierbere útfiert de koade dy't nedich is om de kompjûter út te sluten en registrearret de module yn 'e registerkaai HKCUCurrentVersionRun. Elke kear as de brûker in sesje begjint, slút de kompjûter fuortendaliks út.
4.7. De konfiguraasjetriem
Standert hat RTM hast gjin konfiguraasjetriem, mar de kommando- en kontrôletsjinner kin konfiguraasjewearden stjoere dy't sille wurde opslein yn it register en brûkt troch it programma. De list mei konfiguraasjekaaien wurdt presintearre yn 'e tabel hjirûnder:
De konfiguraasje wurdt opslein yn de Software[Pseudo-willekeurige string] registerkaai. Elke wearde komt oerien mei ien fan 'e rigen presintearre yn' e foarige tabel. Wearden en gegevens wurde kodearre mei it RC4-algoritme yn RTM.
De gegevens hawwe deselde struktuer as in netwurk of snaren. In fjouwer-byte XOR-kaai wurdt tafoege oan it begjin fan 'e kodearre gegevens. Foar konfiguraasjewearden is de XOR-kaai oars en hinget ôf fan 'e grutte fan 'e wearde. It kin wurde berekkene as folget:
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)
4.8. Oare funksjes
Litte wy dan nei oare funksjes sjen dy't RTM stipet.
4.8.1. Oanfoljende modules
De Trojan befettet ekstra modules, dy't DLL-bestannen binne. Modules ferstjoerd fan de C&C kommando tsjinner kinne wurde útfierd as eksterne programma, wjerspegele yn RAM en lansearre yn nije triedden. Foar opslach wurde modules bewarre yn .dtt-bestannen en kodearre mei it RC4-algoritme mei deselde kaai dy't brûkt wurdt foar netwurkkommunikaasje.
Oant no hawwe wy de ynstallaasje fan 'e VNC-module observearre (8966319882494077C21F66A8354E2CBCA0370464), de module foar ekstraksje fan blêdergegevens (03DE8622BE6B2F75A364A275995C3411626C4E9c1C2c1C562C1C69C6F) 58FBA88753B 7BE0D3B4EXNUMXCFAB).
Om de VNC-module te laden, jout de C&C-tsjinner in kommando út dy't ferbinings freget mei de VNC-tsjinner op in spesifyk IP-adres op poarte 44443. De plugin foar it opheljen fan blêdergegevens útfiert TBrowserDataCollector, dy't IE-blêdzjeskiednis lêze kin. Dan stjoert it de folsleine list mei besochte URL's nei de C&C kommando-tsjinner.
De lêste ûntdutsen module hjit 1c_2_kl. It kin ynteraksje mei it 1C Enterprise softwarepakket. De module omfiemet twa dielen: it haaddiel - DLL en twa aginten (32 en 64 bit), dat sil wurde ynjeksje yn elk proses, registrearje in bining oan WH_CBT. Nei't yntrodusearre is yn it 1C-proses, ferbynt de module de CreateFile- en WriteFile-funksjes. Wannear't de CreateFile bound funksje wurdt neamd, bewarret de module it triempaad 1c_to_kl.txt yn it ûnthâld. Nei it ûnderskeppen fan de WriteFile-oprop, ropt it de WriteFile-funksje op en stjoert it triempaad 1c_to_kl.txt nei de haad DLL-module, troch it it makke Windows WM_COPYDATA-berjocht troch te jaan.
De wichtichste DLL-module iepenet en parseart it bestân om betellingsopdrachten te bepalen. It herkent it bedrach en it transaksjenûmer yn it bestân. Dizze ynformaasje wurdt stjoerd nei de kommando-tsjinner. Wy leauwe dat dizze module op it stuit yn ûntwikkeling is, om't it in debug-berjocht befettet en 1c_to_kl.txt net automatysk kin wizigje.
4.8.2. Privilege eskalaasje
RTM kin besykje privileezjes te eskalearjen troch falske flaterberjochten te werjaan. De malware simulearret in registerkontrôle (sjoch foto hjirûnder) of brûkt in echte registerbewurker-ikoan. Tink derom dat de staveringsfout wachtsje - whait. Nei in pear sekonden fan skennen, it programma toant in falske flater berjocht.
In falsk berjocht sil de gemiddelde brûker maklik ferrifelje, nettsjinsteande grammatikale flaters. As de brûker klikt op ien fan de twa keppelings, RTM sil besykje te eskalearjen syn privileezjes yn it systeem.
Nei it selektearjen fan ien fan twa herstelopsjes, lanseart de Trojan de DLL mei de runas-opsje yn 'e ShellExecute-funksje mei beheardersrjochten. De brûker sil in echte Windows-prompt sjen (sjoch ôfbylding hjirûnder) foar hichte. As de brûker de nedige tagongsrjochten jout, sil de Trojan útfiere mei administratorrjochten.
Ofhinklik fan 'e standerttaal ynstalleare op it systeem, toant de Trojan flaterberjochten yn Russysk of Ingelsk.
4.8.3. Sertifikaat
RTM kin sertifikaten tafoegje oan 'e Windows Store en de betrouberens fan' e tafoeging befêstigje troch automatysk op 'e knop "ja" te klikken yn it dialoochfinster csrss.exe. Dit gedrach is net nij, bygelyks de bank Trojan Retefe befêstiget selsstannich de ynstallaasje fan in nij sertifikaat.
4.8.4. Reverse ferbining
De RTM-auteurs makken ek de Backconnect TCP-tunnel. Wy hawwe de funksje noch net yn gebrûk sjoen, mar it is ûntworpen om ynfekteare PC's op ôfstân te kontrolearjen.
4.8.5. Host triembehear
De C&C-tsjinner kin in kommando nei de Trojan stjoere om it Windows-hostbestân te wizigjen. It hostbestân wurdt brûkt om oanpaste DNS-resolúsjes te meitsjen.
4.8.6. Sykje en stjoer in bestân
De tsjinner kin freegje om in bestân te sykjen en te downloaden op it ynfekteare systeem. Bygelyks, tidens it ûndersyk krigen wy in fersyk foar it bestân 1c_to_kl.txt. Lykas earder beskreaun, wurdt dit bestân generearre troch it 1C: Enterprise 8 boekhâldingsysteem.
4.8.7. Update
Uteinlik kinne RTM-auteurs de software bywurkje troch in nije DLL yn te tsjinjen om de aktuele ferzje te ferfangen.
5. Fermelding
Ut ûndersyk fan RTM docht bliken dat it Russyske banksysteem noch cyberoanfallers oanlûkt. Groepen lykas Buhtrap, Corkow en Carbanak stelle mei súkses jild fan finansjele ynstellingen en har kliïnten yn Ruslân. RTM is in nije spiler yn dizze yndustry.
Malicious RTM-ark binne yn gebrûk sûnt op syn minst ein 2015, neffens ESET telemetry. It programma hat in folslein oanbod fan spying mooglikheden, ynklusyf it lêzen fan smart cards, ûnderskepping fan toetsoanslagen en tafersjoch op banking transaksjes, likegoed as it sykjen nei 1C: Enterprise 8 ferfier triemmen.
It brûken fan in desintralisearre, net-sensurearre .bit-top-level-domein soarget foar in heulendere ynfrastruktuer.
Boarne: www.habr.com