Tá go leor cibearghrúpaí aitheanta a dhéanann speisialtóireacht i gcistí a ghoid ó chuideachtaí na Rúise. Tá ionsaithe feicthe againn ag baint úsáide as bealaí éalaithe slándála a cheadaíonn rochtain ar líonra na sprice. Nuair a fhaigheann siad rochtain, déanann ionsaitheoirí staidéar ar struchtúr líonra na heagraíochta agus imscarann siad a n-uirlisí féin chun cistí a ghoid. Sampla clasaiceach den treocht seo is ea na grúpaí hacker Buhtrap, Cobalt agus Corkow.
Tá an grúpa RTM ar a ndíríonn an tuarascáil seo mar chuid den treocht seo. Úsáideann sé bogearraí mailíseacha saindeartha atá scríofa i Delphi, agus féachfaimid orthu go mion sna hailt seo a leanas. Thángthas ar na chéad rianta de na huirlisí seo i gcóras teiliméadrachta ESET ag deireadh 2015. Lódálann an fhoireann modúil nua éagsúla ar chórais ionfhabhtaithe de réir mar is gá. Tá na hionsaithe dírithe ar úsáideoirí cianchóras baincéireachta sa Rúis agus i roinnt tíortha comharsanachta.
1. Cuspóirí
Tá an feachtas RTM dírithe ar úsáideoirí corparáideacha - tá sé seo soiléir ó na próisis a dhéanann ionsaitheoirí iarracht a bhrath i gcóras comhréitigh. Dírítear ar bhogearraí cuntasaíochta chun oibriú le córais cianbhaincéireachta.
Tá liosta na bpróiseas is díol spéise do RTM cosúil leis an liosta comhfhreagrach de ghrúpa Buhtrap, ach tá veicteoirí ionfhabhtaithe éagsúla ag na grúpaí. Má d’úsáid Buhtrap leathanaigh bhréige níos minice, d’úsáid RTM ionsaithe íoslódála tiomáinte (ionsaithe ar an mbrabhsálaí nó a chomhpháirteanna) agus turscar trí ríomhphost. De réir sonraí teiliméadrachta, tá an bhagairt dírithe ar an Rúis agus ar roinnt tíortha in aice láimhe (Úcráin, an Chasacstáin, Poblacht na Seice, an Ghearmáin). Mar sin féin, mar gheall ar úsáid meicníochtaí dáilte mais, ní haon ionadh é malware a bhrath lasmuigh de na réigiúin sprice.
Tá líon iomlán na mbrath malware sách beag. Ar an láimh eile, úsáideann an feachtas RTM cláir chasta, rud a léiríonn go bhfuil na hionsaithe dírithe go mór.
Tá roinnt doiciméad maolaithe aimsithe againn a úsáideann RTM, lena n-áirítear conarthaí nach bhfuil ann, sonraisc nó doiciméid chuntasaíochta cánach. Léiríonn nádúr na lures, in éineacht leis an gcineál bogearraí a dhírigh an t-ionsaí orthu, go bhfuil na hionsaitheoirí ag “dul isteach” i líonraí cuideachtaí na Rúise tríd an roinn chuntasaíochta. Ghníomhaigh an grúpa de réir na scéime céanna i 2014-2015
Le linn an taighde, bhíomar in ann idirghníomhú le roinnt freastalaithe C&C. Déanfaimid liosta iomlán na n-orduithe sna hailt seo a leanas, ach faoi láthair is féidir linn a rá go n-aistríonn an cliant sonraí ón keylogger go díreach chuig an bhfreastalaí ionsaí, óna bhfaightear orduithe breise ansin.
Mar sin féin, tá na laethanta nuair a d'fhéadfaí tú a nascadh go simplí le freastalaí ordaithe agus rialaithe agus na sonraí go léir a raibh suim agat iontu a bhailiú imithe. D'athchruthaíomar logchomhaid réalaíocha chun roinnt orduithe ábhartha a fháil ón bhfreastalaí.
Is é an chéad cheann acu iarratas chuig an bot chun an comhad a aistriú 1c_to_kl.txt - comhad iompair den chlár 1C: Enterprise 8, a ndéantar monatóireacht ghníomhach ar an gcuma atá air ag RTM. Idirghníomhaíonn 1C le cianchórais bhaincéireachta trí shonraí ar íocaíochtaí amach a uaslódáil chuig téacschomhad. Ansin, seoltar an comhad chuig an gcianchóras baincéireachta le haghaidh uathoibriú agus forghníomhú an ordaithe íocaíochta.
Tá sonraí íocaíochta sa chomhad. Má athraíonn ionsaitheoirí an fhaisnéis faoi íocaíochtaí amach, seolfar an t-aistriú trí úsáid a bhaint as sonraí bréagacha chuig cuntais na n-ionsaitheoirí.
Thart ar mhí tar éis na comhaid seo a iarraidh ón bhfreastalaí ordaithe agus rialaithe, chonaiceamar breiseán nua, 1c_2_kl.dll, á lódáil ar an gcóras comhréitigh. Tá an modúl (DLL) deartha chun anailís a dhéanamh go huathoibríoch ar an gcomhad íoslódála trí dhul i ngleic leis na próisis bogearraí cuntasaíochta. Déanfaimid cur síos mion air sna hailt seo a leanas.
Suimiúil go leor, d'eisigh FinCERT de Bhanc na Rúise ag deireadh 2016 foláireamh feasachán faoi chibearchoireachta ag baint úsáide as comhaid uaslódáil 1c_to_kl.txt. Tá a fhios ag forbróirí ó 1C faoin scéim seo freisin;
Lódáladh modúil eile ón bhfreastalaí ordaithe, go háirithe VNC (a leaganacha 32 agus 64-giotán). Tá sé cosúil leis an modúl VNC a úsáideadh roimhe seo in ionsaithe Dridex Trojan. Ceaptar go n-úsáidtear an modúl seo chun nascadh go cianda le ríomhaire ionfhabhtaithe agus chun mionstaidéar a dhéanamh ar an gcóras. Ansin, déanann na hionsaitheoirí iarracht bogadh timpeall an líonra, ag baint pasfhocail úsáideora, ag bailiú faisnéise agus ag cinntiú láithreacht leanúnach malware.
2. Veicteoirí ionfhabhtaithe
Léiríonn an figiúr seo a leanas na veicteoirí ionfhabhtaithe a braitheadh le linn thréimhse staidéir an fheachtais. Úsáideann an grúpa raon leathan veicteoirí, ach go príomha ionsaithe íoslódála tiomáinte agus turscar. Tá na huirlisí seo áisiúil le haghaidh ionsaithe spriocdhírithe, ós rud é sa chéad chás, is féidir le hionsaitheoirí suíomhanna a dtugann íospartaigh ionchasacha cuairt orthu a roghnú, agus sa dara háit, is féidir leo ríomhphost le ceangaltáin a sheoladh go díreach chuig fostaithe na cuideachta atá ag teastáil.
Déantar an malware a dháileadh trí bhealaí iomadúla, lena n-áirítear feisteáin shaothrú RIG agus Sundown nó seoltaí ríomhphoist turscair, rud a léiríonn naisc idir na hionsaitheoirí agus na cibear-ionsaitheoirí eile a thairgeann na seirbhísí seo.
2.1. Cén bhaint atá ag RTM agus Buhtrap?
Tá an feachtas RTM an-chosúil le Buhtrap. Is í an cheist nádúrtha: conas atá siad gaolmhar lena chéile?
I mí Mheán Fómhair 2016, chonaiceamar sampla RTM á dháileadh ag baint úsáide as an t-uaslódálaí Buhtrap. Ina theannta sin, fuaireamar dhá dheimhniú digiteach a úsáidtear i Buhtrap agus RTM araon.
Baineadh úsáid as an gcéad cheann, a líomhnaítear a eisíodh chuig an gcuideachta DNISTER-M, chun an dara foirm Delphi a shíniú go digiteach (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) agus an Buhtrap DLL (SHA-1: 1E2642B454A2CD889CF).
Baineadh úsáid as an dara ceann, a eisíodh chuig Bit-Tredj, chun lódairí Buhtrap a shíniú (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 agus B74F71560E48488D2153AE2FB51207E0 agus B206F2EXNUMXDXNUMXAEXNUMXFBXNUMXEXNUMX mar chomhpháirteanna íoslódáil agus a shuiteáil BACXNUMX go maith.
Úsáideann oibreoirí RTM deimhnithe atá coitianta do theaghlaigh malware eile, ach tá deimhniú uathúil acu freisin. De réir teiliméadrachta ESET, eisíodh é chuig Kit-SD agus níor úsáideadh é ach chun roinnt malware RTM a shíniú (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
Úsáideann RTM an lódóir céanna le Buhtrap, tá comhpháirteanna RTM luchtaithe ó bhonneagar Buhtrap, agus mar sin tá táscairí líonra comhchosúla ag na grúpaí. Mar sin féin, de réir ár meastacháin, is grúpaí éagsúla iad RTM agus Buhtrap, ar a laghad toisc go ndéantar RTM a dháileadh ar bhealaí éagsúla (ní hamháin úsáid a bhaint as íoslódálaí “eachtrannach”).
In ainneoin seo, úsáideann grúpaí hacker prionsabail oibriúcháin den chineál céanna. Díríonn siad ar ghnólachtaí a úsáideann bogearraí cuntasaíochta, ag bailiú faisnéise córais ar an mbealach céanna, ag cuardach léitheoirí cártaí cliste, agus ag úsáid raon uirlisí mailíseacha chun spiaireacht a dhéanamh ar íospartaigh.
3. Éabhlóid
San alt seo, féachfaimid ar na leaganacha éagsúla de malware a fuarthas le linn an staidéir.
3.1. Leagan
Stórálann RTM sonraí cumraíochta i rannán clárlainne, agus is é an réimír botnet an chuid is suimiúla. Tá liosta de na luachanna go léir a chonaic muid sna samplaí a ndearna muid staidéar orthu curtha i láthair sa tábla thíos.
Is féidir go bhféadfaí na luachanna a úsáid chun leaganacha malware a thaifeadadh. Mar sin féin, níor thugamar faoi deara mórán difríochta idir leaganacha cosúil le bit2 agus bit3, 0.1.6.4 agus 0.1.6.6. Ina theannta sin, tá ceann de na réimíreanna thart ón tús agus d'athraigh sé ó ghnáthfhearann C&C go fearann .bit, mar a thaispeánfar thíos.
3.2. Sceideal
Agus sonraí teiliméadrachta á n-úsáid againn, chruthaigh muid graf ar tharla samplaí.
4. Anailís theicniúil
San alt seo, déanfaimid cur síos ar phríomhfheidhmeanna an Trojan baincéireachta RTM, lena n-áirítear meicníochtaí friotaíochta, a leagan féin den algartam RC4, prótacal líonra, feidhmiúlacht spying agus roinnt gnéithe eile. Go háirithe, díreoimid ar shamplaí SHA-1 AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 agus 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. Suiteáil agus sábháil
4.1.1. Cur i bhfeidhm
DLL is ea an croí RTM, luchtaítear an leabharlann ar diosca le .EXE. De ghnáth bíonn an comhad inrite pacáistithe agus tá cód dll ann. Nuair a sheoltar é, bainfidh sé an DLL agus ritheann sé leis an ordú seo a leanas:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. DLL
Lódáiltear an príomh-DLL ar diosca i gcónaí mar winlogon.lnk san fhillteán %PROGRAMDATA%Winlogon. Is gnách go mbíonn baint ag an iarmhír comhaid seo le haicearra, ach i ndáiríre is DLL é atá scríofa i Delphi, ainmnithe core.dll ag an bhforbróir, mar a thaispeántar san íomhá thíos.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Nuair a sheoltar é, gníomhaíonn an Trojan a meicníocht friotaíochta. Is féidir é seo a dhéanamh ar dhá bhealach éagsúla, ag brath ar phribhléidí an íospartaigh sa chóras. Má tá cearta riarthóra agat, cuireann an Trojan iontráil Windows Update leis an gclár HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun. Rithfidh na horduithe atá i Windows Update ag tús sheisiún an úsáideora.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe “% PROGRAMDATA%winlogon.lnk”, óstach DllGetClassObject
Déanann an Trojan iarracht tasc a chur leis an Sceidealóir Tasc Windows freisin. Seolfaidh an tasc an dll winlogon.lnk leis na paraiméadair chéanna atá thuas. Ligeann cearta úsáideora rialta don Trojan iontráil Windows Update leis na sonraí céanna a chur leis an gclárlann HKCUSoftwareMicrosoftWindowsCurrentVersionRun:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Algartam RC4 modhnaithe
In ainneoin a chuid easnaimh aitheanta, úsáideann údair malware an algartam RC4 go rialta. Mar sin féin, d'athraigh cruthaitheoirí RTM é beagán, is dócha go mbeadh tasc na n-anailísithe víreas níos deacra. Úsáidtear leagan modhnaithe de RC4 go forleathan in uirlisí mailíseach RTM chun teaghráin, sonraí líonra, cumraíocht agus modúil a chriptiú.
4.2.1. Difríochtaí
Áirítear leis an algartam RC4 bunaidh dhá chéim: s-bloc initialization (aka KSA - Algartam Eochair-Sceidealaithe) agus giniúint seicheamh pseudo-randamach (PRGA - Algartam Giniúint Pseudo-Randamach). Is éard atá i gceist leis an gcéad chéim ná an s-bhosca a thosú ag baint úsáide as an eochair, agus sa dara céim próiseáiltear an téacs foinse ag baint úsáide as an mbosca s le haghaidh criptithe.
Chuir na húdair RTM céim idirmheánach idir thúsú s-bosca agus criptiú. Tá an eochair bhreise inathraithe agus socraítear í ag an am céanna leis na sonraí atá le criptiú agus le díchriptiú. Taispeántar an fheidhm a chomhlíonann an chéim bhreise seo san fhigiúr thíos.
4.2.2. Criptiú teaghrán
Ar an gcéad amharc, tá roinnt línte inléite sa phríomh-DLL. Tá an chuid eile criptithe ag baint úsáide as an algartam a thuairiscítear thuas, a bhfuil a struchtúr léirithe san fhigiúr seo a leanas. Fuaireamar níos mó ná 25 eochracha RC4 éagsúla le haghaidh criptithe teaghrán sna samplaí anailísithe. Tá an eochair XOR difriúil do gach ró. Is é luach na línte deighilte réimse uimhriúla ná 0xFFFFFFFF i gcónaí.
Ag tús an fhorghníomhaithe, díchriptíonn RTM na teaghráin ina athróg dhomhanda. Nuair is gá chun teaghrán a rochtain, ríomhann an Trojan seoladh na teaghráin díchriptithe go dinimiciúil bunaithe ar an seoladh bonn agus an fhritháireamh.
Tá faisnéis suimiúil sna teaghráin faoi fheidhmeanna an malware. Soláthraítear roinnt teaghráin shamplacha i Roinn 6.8.
4.3. Líonra
Athraíonn an bealach a dhéanann malware RTM teagmháil leis an bhfreastalaí C&C ó leagan go leagan. Bhain na chéad mhodhnuithe (Deireadh Fómhair 2015 - Aibreán 2016) úsáid as ainmneacha fearainn traidisiúnta mar aon le fotha RSS ar livejournal.com chun liosta na n-orduithe a nuashonrú.
Ó Aibreán 2016, tá athrú feicthe againn go fearainn .bit i sonraí teiliméadrachta. Deimhnítear é seo le dáta clárúcháin an fhearainn - cláraíodh an chéad fearann RTM fde05d0573da.bit an 13 Márta 2016.
Bhí cosán coitianta ag na URLanna go léir a chonaic muid agus muid ag déanamh monatóireachta ar an bhfeachtas: /r/z.php. Tá sé neamhghnách go leor agus cabhróidh sé le hiarratais RTM i sreafaí líonra a aithint.
4.3.1. Cainéal le haghaidh orduithe agus rialú
D’úsáid samplaí oidhreachta an cainéal seo chun a liosta freastalaithe ordaithe agus rialaithe a nuashonrú. Tá an óstáil suite ag livejournal.com, tráth scríofa na tuarascála d'fhan sé ag an URL hxxp://f72bba81c921(.)livejournal(.)com/ data/rss.
Is cuideachta Rúisis-Mheiriceánach é Livejournal a sholáthraíonn ardán blagála. Cruthaíonn oibreoirí RTM blag LJ ina bpostálann siad alt le horduithe códaithe - féach screenshot.
Ionchódaítear línte ceannais agus rialaithe trí úsáid a bhaint as algartam modhnaithe RC4 (Cuid 4.2). Tá na seoltaí freastalaí ordaithe agus rialaithe seo a leanas sa leagan reatha (Samhain 2016) den chainéal:
- hxxp://cainmhain(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpnap(.)top/r/z.php
4.3.2. fearainn .bit
Sna samplaí RTM is déanaí, nascann údair le fearainn C&C ag baint úsáide as an bhfearann uasleibhéil .bit TLD. Níl sé ar liosta ICANN (Ainm Fearainn agus Corparáid Idirlín) d’fhearainn barrleibhéil. Ina áit sin, úsáideann sé an córas Namecoin, atá tógtha ar bharr na teicneolaíochta Bitcoin. Ní minic a úsáideann údair malware an .bit TLD dá bhfearainn, cé gur breathnaíodh sampla d'úsáid den sórt sin i leagan den Necurs botnet.
Murab ionann agus Bitcoin, tá an cumas ag úsáideoirí bhunachar sonraí dáilte Namecoin sonraí a shábháil. Is é príomh-iarratas an ghné seo an fearann barrleibhéil .bit. Is féidir leat fearainn a stórálfar i mbunachar sonraí dáilte a chlárú. Sna hiontrálacha comhfhreagracha sa bhunachar sonraí tá seoltaí IP arna réiteach ag an bhfearann. Tá an TLD seo “resistant do chinsireacht” mar ní féidir ach leis an gcláraí taifeach an fhearainn .bit a athrú. Ciallaíonn sé seo go bhfuil sé i bhfad níos deacra fearann mailíseach a stopadh ag baint úsáide as an gcineál seo TLD.
Ní neadaíonn an Trojan RTM na bogearraí atá riachtanach chun bunachar sonraí dáilte Namecoin a léamh. Úsáideann sé freastalaithe DNS lárnacha ar nós dns.dot-bit.org nó freastalaithe OpenNic chun fearainn .bit a réiteach. Dá bhrí sin, tá an marthanacht chéanna aige le freastalaithe DNS. Thugamar faoi deara nach bhfuarthas roinnt fearainn foirne a thuilleadh tar éis iad a bheith luaite i blogphost.
Buntáiste eile a bhaineann leis an .bit TLD do hackers ná costas. Chun fearann a chlárú, ní gá d’oibreoirí ach 0,01 NK a íoc, arb ionann é agus $0,00185 (amhail an 5 Nollaig, 2016). Chun comparáid a dhéanamh, cosnaíonn domain.com $10 ar a laghad.
4.3.3. Prótacal
Chun cumarsáid a dhéanamh leis an bhfreastalaí ordaithe agus rialaithe, úsáideann RTM iarratais POST HTTP le sonraí formáidithe ag baint úsáide as prótacal saincheaptha. Is é an luach cosáin i gcónaí /r/z.php; Gníomhaire úsáideora Mozilla/5.0 (comhoiriúnach; MSIE 9.0; Windows NT 6.1; Trident/5.0). In iarratais chuig an bhfreastalaí, formáidítear na sonraí mar seo a leanas, áit a gcuirtear na luachanna fritháirimh in iúl i mbearta:
Níl bearta 0 go 6 ionchódaithe; déantar bearta ag tosú ó 6 a ionchódú ag baint úsáide as algartam RC4 modhnaithe. Tá struchtúr an phaicéid freagartha C&C níos simplí. Tá bearta ionchódaithe ó 4 go méid paicéad.
Tá liosta na luachanna beart beart féideartha curtha i láthair sa tábla thíos:
Ríomhann an malware CRC32 na sonraí díchriptithe i gcónaí agus cuireann sé i gcomparáid leis an méid atá sa phaicéad. Má bhíonn siad difriúil, titeann an Traí an paicéad.
Féadfaidh rudaí éagsúla a bheith sna sonraí breise, lena n-áirítear comhad PE, comhad atá le cuardach sa chóras comhaid, nó URLanna ordaithe nua.
4.3.4. Painéal
Thugamar faoi deara go n-úsáideann RTM painéal ar fhreastalaithe C&C. gabháil scáileáin thíos:
4.4. Comhartha saintréith
Is Traí baincéireachta tipiciúil é RTM. Ní haon iontas é go bhfuil oibreoirí ag iarraidh faisnéis faoi chóras an íospartaigh. Ar thaobh amháin, bailíonn an bot faisnéis ghinearálta faoin OS. Ar an láimh eile, faigheann sé amach an bhfuil tréithe a bhaineann le córais cianbhaincéireachta na Rúise sa chóras comhréitigh.
4.4.1. Eolas ginearálta
Nuair a shuiteáiltear nó nuair a sheoltar malware tar éis atosaigh, seoltar tuairisc chuig an bhfreastalaí ordaithe agus rialaithe ina bhfuil faisnéis ghinearálta lena n-áirítear:
- Crios Ama;
- teanga réamhshocraithe an chórais;
- dintiúir úsáideoirí údaraithe;
- leibhéal sláine próisis;
- Ainm Úsáideora;
- ainm ríomhaire;
- Leagan OS;
- modúil bhreise suiteáilte;
- clár antivirus suiteáilte;
- liosta de na léitheoirí cárta cliste.
4.4.2 Cianchóras baincéireachta
Is córas cianbhaincéireachta é sprioc tipiciúil Trojan, agus ní haon eisceacht é RTM. Tugtar TBdo ar cheann de mhodúil an chláir, a dhéanann tascanna éagsúla, lena n-áirítear dioscaí a scanadh agus stair brabhsála.
Tríd an diosca a scanadh, seiceálann an Trojan cibé an bhfuil bogearraí baincéireachta suiteáilte ar an meaisín. Tá liosta iomlán na spriocchláir sa tábla thíos. Tar éis comhad spéise a bhrath, cuireann an clár faisnéis chuig an bhfreastalaí ordaithe. Braitheann na chéad ghníomhartha eile ar an loighic atá sonraithe ag halgartaim an ionaid ordaithe (C&C).
Féachann RTM freisin le haghaidh patrúin URL i stair do bhrabhsálaí agus cluaisíní oscailte. Ina theannta sin, scrúdaíonn an clár úsáid na bhfeidhmeanna FindNextUrlCacheEntryA agus FindFirstUrlCacheEntryA, agus seiceálann sé freisin gach iontráil chun an URL a mheaitseáil le ceann amháin de na patrúin seo a leanas:
Tar éis cluaisíní oscailte a bhrath, téann an Trojan i dteagmháil le Internet Explorer nó Firefox tríd an meicníocht Malartú Sonraí Dinimiciúla (DDE) le seiceáil an bhfuil an cluaisín ag teacht leis an bpatrún.
Déanfar seiceáil ar do stair brabhsála agus cluaisíní oscailte i lúb WHILE (lúb le réamhchoinníoll) agus sos 1 soicind idir na seiceálacha. Déanfar sonraí eile a ndéantar monatóireacht orthu i bhfíor-am a phlé i rannán 4.5.
Má aimsítear patrún, tuairiscíonn an clár é seo don fhreastalaí ordaithe ag baint úsáide as liosta teaghráin ón tábla seo a leanas:
4.5 Monatóireacht
Agus an Trojan ar siúl, seoltar faisnéis faoi shainghnéithe an chórais ionfhabhtaithe (lena n-áirítear faisnéis faoi láithreacht bogearraí baincéireachta) chuig an bhfreastalaí ordaithe agus rialaithe. Tarlaíonn méarloirg nuair a ritheann RTM an córas monatóireachta ar dtús díreach tar éis scanadh tosaigh an OS.
4.5.1. Baincéireacht iargúlta
Tá modúl TBdo freagrach freisin as monatóireacht a dhéanamh ar phróisis bhaincéireachta. Úsáideann sé malartú sonraí dinimiciúil chun cluaisíní a sheiceáil i Firefox agus Internet Explorer le linn an scanadh tosaigh. Úsáidtear modúl TShell eile chun monatóireacht a dhéanamh ar fhuinneoga ordaithe (Internet Explorer nó File Explorer).
Úsáideann an modúl comhéadain COM IShellWindows, iWebBrowser, DWebBrowserEvents2 agus IConnectionPointContainer chun monatóireacht a dhéanamh ar fhuinneoga. Nuair a dhéanann úsáideoir nascleanúint chuig leathanach gréasáin nua, tugann an malware faoi deara é seo. Déanann sé comparáid idir URL an leathanaigh leis na patrúin thuas. Tar éis dó cluiche a bhrath, tógann an Trojan sé scáileán scáileáin as a chéile le eatramh de 5 soicind agus seolann chuig an bhfreastalaí ordaithe C&S iad. Seiceálann an clár freisin roinnt ainmneacha fuinneoige a bhaineann le bogearraí baincéireachta - tá an liosta iomlán thíos:
4.5.2. Cárta cliste
Ligeann RTM duit monatóireacht a dhéanamh ar léitheoirí cárta cliste atá ceangailte le ríomhairí ionfhabhtaithe. Úsáidtear na gléasanna seo i roinnt tíortha chun orduithe íocaíochta a réiteach. Má tá an cineál seo feiste ceangailte le ríomhaire, d'fhéadfadh sé a chur in iúl do Trojan go bhfuil an meaisín á úsáid le haghaidh idirbhearta baincéireachta.
Murab ionann agus Trojans baincéireachta eile, ní féidir le RTM idirghníomhú le cártaí cliste den sórt sin. B'fhéidir go bhfuil an fheidhmiúlacht seo san áireamh i modúl breise nach bhfuil feicthe againn go fóill.
4.5.3. Keylogger
Cuid thábhachtach de mhonatóireacht ríomhaire ionfhabhtaithe is ea eochairbhuillí a ghabháil. Dealraíonn sé nach bhfuil aon fhaisnéis in easnamh ar fhorbróirí RTM, ós rud é go ndéanann siad monatóireacht ní hamháin ar eochracha rialta, ach freisin ar an méarchlár fíorúil agus an gearrthaisce.
Chun seo a dhéanamh, úsáid an fheidhm SetWindowsHookExA. Logálann ionsaitheoirí na heochracha brúite nó na heochracha a fhreagraíonn don méarchlár fíorúil, mar aon le hainm agus dáta an chláir. Seoltar an maolán chuig an bhfreastalaí ordaithe C&C ansin.
Úsáidtear an fheidhm SetClipboardViewer chun an gearrthaisce a thascradh. Logálann hackers inneachar an ghearrthaisce nuair is téacs iad na sonraí. Déantar an t-ainm agus an dáta a logáil freisin sula seoltar an maolán chuig an bhfreastalaí.
4.5.4. Seatanna scáileáin
Feidhm RTM eile is ea tascradh scáileáin. Cuirtear an ghné i bhfeidhm nuair a bhraitheann an modúl monatóireachta fuinneoige suíomh nó bogearraí baincéireachta inspéise. Glactar scáileáin scáileáin trí úsáid a bhaint as leabharlann íomhánna grafacha agus aistrítear chuig an bhfreastalaí ordaithe iad.
4.6. Díshuiteáil
Is féidir leis an bhfreastalaí C&C stop a chur leis an malware ó do ríomhaire a rith agus a ghlanadh. Ligeann an t-ordú duit comhaid agus iontrálacha clárlainne a cruthaíodh fad is atá RTM ar siúl a ghlanadh. Úsáidtear an DLL ansin chun an malware agus an comhad winlogon a bhaint, agus ina dhiaidh sin stopann an t-ordú an ríomhaire síos. Mar a thaispeántar san íomhá thíos, baintear an DLL ag forbróirí ag baint úsáide as erase.dll.
Is féidir leis an bhfreastalaí ordú millteach díshuiteála-glas a sheoladh chuig an Trojan. Sa chás seo, má tá cearta riarthóra agat, scriosfaidh RTM an earnáil tosaithe MBR ar an tiomántán crua. Má theipeann ar seo, déanfaidh an Trojan iarracht an earnáil tosaithe MBR a aistriú go hearnáil randamach - ansin ní bheidh an ríomhaire in ann an OS a thosú tar éis múchadh. D'fhéadfadh athshuiteáil iomlán an OS a bheith mar thoradh air seo, rud a chiallaíonn go scriosfar fianaise.
Gan pribhléidí riarthóra, scríobhann an malware .EXE atá ionchódaithe sa DLL RTM bhunúsach. Feidhmíonn an inrite an cód a theastaíonn chun an ríomhaire a mhúchadh agus cláraíonn sé an modúl in eochair chláraithe HKCUCurrentVersionRun. Gach uair a thosaíonn an t-úsáideoir seisiún, stopann an ríomhaire láithreach.
4.7. An comhad cumraíochta
De réir réamhshocraithe, níl beagnach aon chomhad cumraíochta ag RTM, ach is féidir leis an bhfreastalaí ordaithe agus rialaithe luachanna cumraíochta a sheoladh a stórálfar sa chlár agus a úsáidfidh an clár. Tá liosta na n-eochracha cumraíochta léirithe sa tábla thíos:
Stóráiltear an chumraíocht san eochair chláraithe Software[Pseudo-random string]. Freagraíonn gach luach do cheann de na sraitheanna a chuirtear i láthair sa tábla roimhe seo. Déantar luachanna agus sonraí a ionchódú ag baint úsáide as an algartam RC4 in RTM.
Tá an struchtúr céanna ag na sonraí le líonra nó teaghráin. Cuirtear eochair XOR ceithre bheart leis ag tús na sonraí ionchódaithe. Maidir le luachanna cumraíochta, tá an eochair XOR difriúil agus braitheann sé ar mhéid an luacha. Is féidir é a ríomh mar seo a leanas:
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)
4.8. Feidhmeanna eile
Ansin, déanaimis féachaint ar fheidhmeanna eile a thacaíonn RTM leo.
4.8.1. Modúil bhreise
Áirítear leis an Trojan modúil bhreise, ar comhaid dll iad. Is féidir modúil a sheoltar ón bhfreastalaí ordaithe C&C a fhorghníomhú mar chláir sheachtracha, léirithe i RAM agus seolta i snáitheanna nua. Le haghaidh stórála, déantar modúil a shábháil i gcomhaid .dtt agus ionchódaithe ag baint úsáide as an algartam RC4 leis an eochair chéanna a úsáidtear le haghaidh cumarsáide líonra.
Go dtí seo tá suiteáil an mhodúil VNC tugtha faoi deara againn (8966319882494077C21F66A8354E2CCA0370464), modúl eastósctha sonraí an bhrabhsálaí (03DE8622BE6B2F75A364A275995C3411626C4D9F_1C2C1D562F_1 69FBA6B 58BE88753D7B0E3CFAB).
Chun an modúl VNC a luchtú, eisíonn an freastalaí C&C ordú ag iarraidh naisc leis an bhfreastalaí VNC ag seoladh IP ar leith ar phort 44443. Feidhmíonn breiseán aisghabhála sonraí an bhrabhsálaí TbrowserDataCollector, ar féidir leis stair brabhsála IE a léamh. Ansin cuireann sé liosta iomlán na URLanna ar tugadh cuairt orthu chuig an bhfreastalaí ordaithe C&C.
Tugtar 1c_2_kl ar an modúl deireanach a aimsíodh. Is féidir leis idirghníomhú leis an bpacáiste bogearraí 1C Enterprise. Tá dhá chuid sa mhodúl: an phríomhchuid - DLL agus dhá ghníomhairí (32 agus 64 giotán), a instealladh isteach i ngach próiseas, ag clárú ceangailteach chuig WH_CBT. Tar éis é a thabhairt isteach sa phróiseas 1C, ceanglaíonn an modúl na feidhmeanna CreateFile agus WriteFile. Aon uair a thugtar an fheidhm faoi cheangal CreateFile, stórálann an modúl conair an chomhaid 1c_to_kl.txt i gcuimhne. Tar éis an glao WriteFile a idircheapadh, glaonn sé an fheidhm WriteFile agus cuireann sé an cosán comhaid 1c_to_kl.txt chuig an bpríomh-mhodúl DLL, ag tabhairt an teachtaireacht crafted Windows WM_COPYDATA dó.
Osclaíonn agus parsálann an príomh-mhodúl DLL an comhad chun orduithe íocaíochta a chinneadh. Aithníonn sé an méid agus an uimhir idirbhirt atá sa chomhad. Seoltar an fhaisnéis seo chuig an bhfreastalaí ordaithe. Creidimid go bhfuil an modúl seo á fhorbairt faoi láthair toisc go bhfuil teachtaireacht dífhabhtaithe ann agus ní féidir 1c_to_kl.txt a mhionathrú go huathoibríoch.
4.8.2. Ardú pribhléid
Féadfaidh RTM iarracht a dhéanamh pribhléidí a ardú trí theachtaireachtaí earráide bréagacha a thaispeáint. Samhlaíonn an malware seiceáil clárlainne (féach an pictiúr thíos) nó úsáideann sé fíor-dheilbhín eagarthóir clárlainne. Tabhair faoi deara le do thoil an fanacht mílitrithe - whait. Tar éis cúpla soicind de scanadh, taispeánann an clár teachtaireacht earráide bréagach.
Meabhlóidh teachtaireacht bhréagach an t-úsáideoir meánach go héasca, in ainneoin earráidí gramadaí. Má chliceálann an t-úsáideoir ar cheann amháin den dá nasc, déanfaidh RTM iarracht a chuid pribhléidí sa chóras a mhéadú.
Tar éis ceann amháin de dhá rogha aisghabhála a roghnú, seolann an Trojan an DLL ag baint úsáide as an rogha runas i bhfeidhm ShellExecute le pribhléidí riarthóra. Feicfidh an t-úsáideoir leid fíor Windows (féach an íomhá thíos) le haghaidh ingearchló. Má thugann an t-úsáideoir na ceadanna riachtanacha, rithfidh an Trojan le pribhléidí riarthóra.
Ag brath ar an teanga réamhshocraithe atá suiteáilte ar an gcóras, taispeánann an Trojan teachtaireachtaí earráide i Rúisis nó i mBéarla.
4.8.3. Teastas
Is féidir le RTM deimhnithe a chur leis an Windows Store agus iontaofacht an bhreisithe a dhearbhú trí chliceáil go huathoibríoch ar an gcnaipe “tá” sa bhosca dialóige csrss.exe. Níl an iompar seo nua; mar shampla, deimhníonn an baincéireachta Trojan Retefe go neamhspleách suiteáil teastas nua.
4.8.4. Ceangal droim ar ais
Chruthaigh na húdair RTM an tollán Backconnect TCP freisin. Níl an ghné in úsáid feicthe againn go fóill, ach tá sé deartha chun monatóireacht a dhéanamh go cianda ar ríomhairí pearsanta ionfhabhtaithe.
4.8.5. Bainistíocht comhad óstach
Is féidir leis an bhfreastalaí C&C ordú a sheoladh chuig an Trojan chun an comhad óstaigh Windows a mhodhnú. Úsáidtear an comhad óstach chun rúin DNS saincheaptha a chruthú.
4.8.6. Aimsigh agus seol comhad
Féadfaidh an freastalaí iarraidh ar chomhad a chuardach agus a íoslódáil ar an gcóras ionfhabhtaithe. Mar shampla, le linn an taighde fuaireamar iarratas ar an gcomhad 1c_to_kl.txt. Mar a cuireadh síos cheana, gineann córas cuntasaíochta 1C: Enterprise 8 an comhad seo.
4.8.7. Nuashonrú
Ar deireadh, is féidir le húdair RTM na bogearraí a nuashonrú trí DLL nua a chur isteach chun an leagan reatha a athsholáthar.
5. Conclúid
Léiríonn taighde RTM go bhfuil córas baincéireachta na Rúise fós ag mealladh cibear-ionsaitheoirí. D’éirigh le grúpaí ar nós Buhtrap, Corkow agus Carbanak airgead a ghoid ó institiúidí airgeadais agus óna gcliaint sa Rúis. Is imreoir nua é RTM sa tionscal seo.
Tá uirlisí mailíseacha RTM in úsáid ó dheireadh 2015 ar a laghad, de réir teiliméadrachta ESET. Tá raon iomlán cumais spying ag an gclár, lena n-áirítear cártaí cliste a léamh, eochairbhuillí a idircheapadh agus monatóireacht a dhéanamh ar idirbhearta baincéireachta, chomh maith le cuardach a dhéanamh ar chomhaid iompair 1C: Enterprise 8.
Cinntíonn úsáid fearainn ardleibhéil díláraithe, gan chinsireacht .bit infrastruchtúr an-athléimneach.
Foinse: will.com