Tha grunn bhuidhnean saidhbear aithnichte a tha gu sònraichte a’ goid airgead bho chompanaidhean Ruiseanach. Tha sinn air ionnsaighean fhaicinn a’ cleachdadh beàrnan tèarainteachd a leigeas le ruigsinneachd air lìonra an targaid. Cho luath ‘s a gheibh iad cothrom, bidh luchd-ionnsaigh a’ sgrùdadh structar lìonra na buidhne agus a ’cleachdadh na h-innealan aca fhèin gus airgead a ghoid. Is e eisimpleir clasaigeach den ghluasad seo na buidhnean hacker Buhtrap, Cobalt agus Corkow.
Tha a’ bhuidheann RTM air a bheil an aithisg seo a’ cuimseachadh mar phàirt den ghluasad seo. Bidh e a’ cleachdadh malware a chaidh a dhealbhadh gu sònraichte a chaidh a sgrìobhadh ann an Delphi, air am bi sinn a’ coimhead nas mionaidiche anns na h-earrannan a leanas. Chaidh a’ chiad lorgan de na h-innealan sin ann an siostam telemetry ESET a lorg aig deireadh 2015. Bidh an sgioba a’ luchdachadh grunn mhodalan ùra air siostaman gabhaltach mar a dh’ fheumar. Tha na h-ionnsaighean ag amas air luchd-cleachdaidh siostaman bancaidh iomallach anns an Ruis agus cuid de dhùthchannan faisg air làimh.
1. Amasan
Tha an iomairt RTM ag amas air luchd-cleachdaidh corporra - tha seo follaiseach bho na pròiseasan a bhios luchd-ionnsaigh a’ feuchainn ri lorg ann an siostam co-rèiteachaidh. Tha am fòcas air bathar-bog cunntasachd airson a bhith ag obair le siostaman bancaidh iomallach.
Tha an liosta de phròiseasan inntinneach do RTM coltach ris an liosta fhreagarrach de bhuidheann Buhtrap, ach tha diofar vectaran gabhaltachd aig na buidhnean. Ma chleachd Buhtrap duilleagan meallta na bu trice, chleachd RTM ionnsaighean luchdachadh sìos dràibhidh (ionnsaighean air a’ bhrobhsair no na co-phàirtean aige) agus spamadh air post-d. A rèir dàta telemetry, tha am bagairt ag amas air an Ruis agus grunn dhùthchannan faisg air làimh (An Úcráin, Kazakhstan, Poblachd nan Seiceach, a’ Ghearmailt). Ach, mar thoradh air a bhith a’ cleachdadh uidheamachdan cuairteachaidh mòr, chan eil e na iongnadh lorg malware taobh a-muigh nan roinnean targaid.
Tha an àireamh iomlan de lorgaidhean malware an ìre mhath beag. Air an làimh eile, tha an iomairt RTM a 'cleachdadh phrògraman iom-fhillte, a tha a' comharrachadh gu bheil na h-ionnsaighean air an cuimseachadh gu mòr.
Tha sinn air grunn sgrìobhainnean decoy a lorg a chleachd RTM, a’ toirt a-steach cùmhnantan nach eil ann, fàirdealan no sgrìobhainnean cunntasachd chìsean. Tha nàdar nan lures, còmhla ris an t-seòrsa bathar-bog air a bheil an ionnsaigh ag amas, a’ nochdadh gu bheil an luchd-ionnsaigh “a’ dol a-steach ”gu lìonraidhean chompanaidhean Ruiseanach tron roinn chunntasan. Bha a' bhuidheann ag obair a rèir an aon sgeama ann an 2014-2015
Rè an rannsachaidh, bha e comasach dhuinn eadar-obrachadh le grunn luchd-frithealaidh C&C. Nì sinn liosta iomlan de na h-òrdughan anns na h-earrannan a leanas, ach airson a-nis is urrainn dhuinn a ràdh gu bheil an neach-dèiligidh a’ gluasad dàta bhon keylogger gu dìreach chun t-seirbheisiche ionnsaigh, às am faighear òrdughan a bharrachd an uairsin.
Ach, tha na làithean nuair a b’ urrainn dhut dìreach ceangal a dhèanamh ri frithealaiche àithne is smachd agus an dàta gu lèir anns an robh ùidh agad a chruinneachadh air falbh. Rinn sinn ath-chruthachadh air faidhlichean loga reusanta gus òrdughan iomchaidh fhaighinn bhon t-seirbheisiche.
Is e a ’chiad fhear dhiubh iarrtas don bot am faidhle a ghluasad 1c_to_kl.txt - faidhle còmhdhail den phrògram 1C: Enterprise 8, agus tha coltas ann gu bheil RTM a’ cumail sùil ghnìomhach air. Bidh 1C ag eadar-obrachadh le siostaman bancaidh iomallach le bhith a’ luchdachadh suas dàta mu phàighidhean a-mach gu faidhle teacsa. An ath rud, thèid am faidhle a chuir chun t-siostam bancaidh iomallach airson fèin-ghluasad agus coileanadh an òrdugh pàighidh.
Tha fiosrachadh pàighidh anns an fhaidhle. Ma dh’ atharraicheas luchd-ionnsaigh am fiosrachadh mu phàighidhean a-mach, thèid an gluasad a chuir a-steach le mion-fhiosrachadh meallta gu cunntasan an luchd-ionnsaigh.
Mu mhìos às deidh dhuinn na faidhlichean seo iarraidh bhon t-seirbheisiche àithne is smachd, chunnaic sinn plugan ùr, 1c_2_kl.dll, ga luchdachadh air an t-siostam a tha fo chunnart. Tha am modal (DLL) air a dhealbhadh gus am faidhle luchdachadh sìos a sgrùdadh gu fèin-ghluasadach le bhith a’ dol a-steach do phròiseasan bathar-bog cunntasachd. Bheir sinn cunntas mionaideach air anns na h-earrannan a leanas.
Gu inntinneach, chuir FinCERT bho Bhanca na Ruis aig deireadh 2016 a-mach rabhadh iris mu dheidhinn eucoirich saidhbear a ’cleachdadh faidhlichean luchdachadh suas 1c_to_kl.txt. Tha fios aig luchd-leasachaidh bho 1C mun sgeama seo cuideachd; tha iad air aithris oifigeil a dhèanamh mu thràth agus air rabhadh a chlàradh.
Chaidh modalan eile a luchdachadh cuideachd bhon t-seirbheisiche àithne, gu sònraichte VNC (na dreachan 32 agus 64-bit). Tha e coltach ris a’ mhodal VNC a chaidh a chleachdadh roimhe seo ann an ionnsaighean Dridex Trojan. Thathas ag ràdh gu bheil am modal seo air a chleachdadh gus ceangal air astar ri coimpiutair le galair agus sgrùdadh mionaideach a dhèanamh air an t-siostam. An uairsin, bidh an luchd-ionnsaigh a ’feuchainn ri gluasad timcheall an lìonra, a’ toirt a-mach faclan-faire luchd-cleachdaidh, a ’tional fiosrachadh agus a’ dèanamh cinnteach gu bheil malware an làthair gu cunbhalach.
2. Vectors gabhaltachd
Tha am figear a leanas a’ sealltainn na vectaran gabhaltach a chaidh a lorg rè ùine sgrùdaidh na h-iomairt. Bidh a’ bhuidheann a’ cleachdadh raon farsaing de vectaran, ach gu sònraichte ionnsaighean luchdachadh sìos dràibhidh agus spam. Tha na h-innealan sin goireasach airson ionnsaighean cuimsichte, oir anns a ’chiad chùis, faodaidh luchd-ionnsaigh làraich a thaghadh air an do thadhail luchd-fulaing, agus san dàrna fear, faodaidh iad post-d le ceanglachan a chuir gu dìreach chun luchd-obrach companaidh a tha iad ag iarraidh.
Tha an malware air a chuairteachadh tro ioma-sheanalan, a’ toirt a-steach RIG agus Sundown a’ gabhail brath air innealan no puist spama, a’ nochdadh ceanglaichean eadar an luchd-ionnsaigh agus luchd-ionnsaigh saidhbear eile a tha a’ tabhann nan seirbheisean sin.
2.1. Ciamar a tha RTM agus Buhtrap co-cheangailte?
Tha an iomairt RTM glè choltach ri Buhtrap. Is e a’ cheist nàdarra: ciamar a tha iad càirdeach dha chèile?
San t-Sultain 2016, chunnaic sinn sampall RTM ga sgaoileadh a’ cleachdadh an luchdachadh suas Buhtrap. A bharrachd air an sin, lorg sinn dà theisteanas didseatach air an cleachdadh an dà chuid ann am Buhtrap agus RTM.
Chaidh a 'chiad fhear, a chaidh a thoirt don chompanaidh Dnnister-M, a chleachdadh gus ainm a chuir air an dàrna foirm delphi (1c025C718C31NB43F1DF87F13D94).
Chaidh an dàrna fear, a chaidh a thoirt a-mach gu Bit-Tredj, a chleachdadh gus soidhnigeadh luchdan Buhtrap (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 agus B74F71560E48488D2153AE2FB51207A0A206 agus B2FXNUMXEXNUMXDXNUMXAEXNUMXFBXNUMXEXNUMXAXNUMX agus stàlaichear cho-phàirtean RAB).
Bidh gnìomhaichean RTM a 'cleachdadh teisteanasan a tha cumanta do theaghlaichean malware eile, ach tha teisteanas sònraichte aca cuideachd. A rèir ESET telemetry, chaidh a chuir a-mach gu Kit-SD agus cha deach a chleachdadh ach airson cuid de malware RTM a shoidhnigeadh (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
Bidh RTM a’ cleachdadh an aon luchdan ri Buhtrap, tha co-phàirtean RTM air an luchdachadh bho bhun-structar Buhtrap, agus mar sin tha comharran lìonra co-chosmhail aig na buidhnean. Ach, a rèir ar tuairmsean, tha RTM agus Buhtrap nam buidhnean eadar-dhealaichte, co-dhiù air sgàth gu bheil RTM air a chuairteachadh ann an diofar dhòighean (chan ann a-mhàin a’ cleachdadh luchdachadh sìos “cèin”).
A dh’ aindeoin sin, bidh buidhnean hacker a’ cleachdadh prionnsapalan obrachaidh co-chosmhail. Bidh iad ag amas air gnìomhachasan a’ cleachdadh bathar-bog cunntasachd, mar an ceudna a’ tional fiosrachadh mun t-siostam, a’ lorg leughadairean cairt snasail, agus a’ cleachdadh grunn innealan droch-rùnach gus brath a ghabhail air luchd-fulaing.
3. Eabhlaid
Anns an earrainn seo, seallaidh sinn ris na diofar dhreachan de malware a chaidh a lorg tron sgrùdadh.
3.1. Tionndadh
Bidh RTM a’ stòradh dàta rèiteachaidh ann an roinn clàraidh, is e am pàirt as inntinniche ro-leasachan botnet. Tha liosta de na luachan uile a chunnaic sinn anns na sampallan a rinn sinn sgrùdadh air a thaisbeanadh sa chlàr gu h-ìosal.
Tha e comasach gun gabhadh na luachan a chleachdadh airson dreachan malware a chlàradh. Ach, cha do mhothaich sinn mòran eadar-dhealachaidh eadar dreachan leithid bit2 agus bit3, 0.1.6.4 agus 0.1.6.6. A bharrachd air an sin, tha aon de na ro-leasachain air a bhith timcheall bhon toiseach agus tha e air a thighinn air adhart bho raon àbhaisteach C&C gu àrainn .bit, mar a chithear gu h-ìosal.
3.2. Clàr-ama
A’ cleachdadh dàta telemetry, chruthaich sinn graf de na thachair sampallan.
4. Teicnigeach mion-sgrùdadh
Anns an earrainn seo, bheir sinn cunntas air prìomh dhleastanasan an Trojan bancaidh RTM, a ’toirt a-steach innealan dìon, an dreach aige fhèin den algairim RC4, protocol lìonra, gnìomhachd brathaidh agus cuid de fheartan eile. Gu sònraichte, cuiridh sinn fòcas air sampallan SHA-1 AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 agus 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. Stàladh agus sàbhaladh
4.1.1. Buileachadh
'S e DLL a th' anns a' chridhe RTM, tha an leabharlann air a luchdachadh air diosc a' cleachdadh .EXE. Mar as trice bidh am faidhle so-ghnìomhaichte air a phacaigeadh agus tha còd DLL ann. Nuair a thèid a chuir air bhog, bidh e a’ toirt a-mach an DLL agus ga ruith leis an àithne a leanas:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. DLL
Tha am prìomh DLL an-còmhnaidh air a luchdachadh gu diosg mar winlogon.lnk sa phasgan %PROGRAMDATA%Winlogon. Mar as trice bidh an leudachadh faidhle seo co-cheangailte ri ath-ghoirid, ach tha am faidhle gu dearbh na DLL sgrìobhte ann an Delphi, air ainmeachadh core.dll leis an leasaiche, mar a chithear san dealbh gu h-ìosal.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Aon uair ‘s gu bheil e air a chuir air bhog, bidh an Trojan a’ gnìomhachadh an uidheamachd dìon aige. Faodar seo a dhèanamh ann an dà dhòigh eadar-dhealaichte, a rèir sochairean an neach-fulaing san t-siostam. Ma tha còraichean rianaire agad, cuiridh an Trojan inntrigeadh Windows Update ris a’ chlàr HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun. Ruithidh na h-òrdughan ann an Windows Update aig toiseach seisean an neach-cleachdaidh.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe “%PROGRAMDATA%winlogon.lnk”, òstair DllGetClassObject
Bidh an Trojan cuideachd a’ feuchainn ri gnìomh a chuir ri Clàr Gnìomha Windows. Cuiridh an gnìomh an winlogon.lnk DLL air bhog leis na h-aon pharaimearan agus gu h-àrd. Leigidh còraichean cleachdaiche cunbhalach leis an Trojan inntrigeadh Windows Update leis an aon dàta a chur ris a’ chlàr HKCUSoftwareMicrosoftWindowsCurrentVersionRun:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Algorithm RC4 atharraichte
A dh 'aindeoin na h-uireasbhaidhean aithnichte, tha an algorithm RC4 air a chleachdadh gu cunbhalach le ùghdaran malware. Ach, dh’ atharraich luchd-cruthachaidh RTM e beagan, is dòcha gus obair luchd-anailis bhìoras a dhèanamh nas duilghe. Tha dreach atharraichte de RC4 air a chleachdadh gu farsaing ann an innealan droch-rùnach RTM gus sreangan, dàta lìonra, rèiteachadh agus modalan a chrioptachadh.
4.2.1. Eadar-dhealachaidhean
Tha an algairim RC4 tùsail a’ toirt a-steach dà ìre: tùsachadh s-bloc (aka KSA - Key-Scheduling Algorithm) agus gineadh sreath meallta air thuaiream (PRGA - Algorithm Ginealach Pseudo-Random). Tha a’ chiad ìre a’ toirt a-steach tòiseachadh air a’ bhogsa s leis an iuchair, agus san dàrna ìre tha an teacsa tùsail air a ghiullachd a’ cleachdadh a’ bhogsa-s airson crioptachadh.
Chuir na h-ùghdaran RTM ceum eadar-mheadhanach eadar tòiseachadh s-box agus crioptachadh. Tha an iuchair a bharrachd caochlaideach agus air a shuidheachadh aig an aon àm ris an dàta a thèid a chrioptachadh agus a dhì-chrioptachadh. Tha an gnìomh a choileanas an ceum a bharrachd seo ri fhaicinn anns an fhigear gu h-ìosal.
4.2.2. Crioptachadh sreang
Aig a’ chiad sealladh, tha grunn loidhnichean a ghabhas leughadh anns a’ phrìomh DLL. Tha an còrr air a chrioptachadh a’ cleachdadh an algairim a tha air a mhìneachadh gu h-àrd, agus tha an structar air a shealltainn anns an fhigear a leanas. Lorg sinn barrachd air 25 iuchraichean RC4 eadar-dhealaichte airson crioptachadh sreang anns na sampallan sgrùdaichte. Tha an iuchair XOR eadar-dhealaichte airson gach sreath. Is e luach nan loidhnichean dealachaidh raon àireamhach an-còmhnaidh 0xFFFFFFFF.
Aig toiseach cur gu bàs, bidh RTM a’ dì-chrioptachadh nan sreangan gu caochladair cruinne. Nuair a bhios feum air gus faighinn gu sreang, bidh an Trojan gu dinamach a’ tomhas seòladh nan sreangan dì-chrioptaichte stèidhichte air an t-seòladh bunaiteach agus an cuir dheth.
Tha fiosrachadh inntinneach anns na sreathan mu ghnìomhan an malware. Tha cuid de shreathan eisimpleir air an toirt seachad ann an Earrann 6.8.
4.3. Lìonra
Tha an dòigh anns a bheil malware RTM a’ conaltradh ris an t-seirbheisiche C&C ag atharrachadh bho dhreach gu dreach. Chleachd na ciad atharrachaidhean (Dàmhair 2015 - Giblean 2016) ainmean fearainn traidiseanta còmhla ri biadhadh RSS air livejournal.com gus liosta nan òrduighean ùrachadh.
Bhon Ghiblean 2016, tha sinn air gluasad gu raointean .bit fhaicinn ann an dàta telemetry. Tha seo air a dhearbhadh le ceann-latha clàraidh an àrainn - chaidh a’ chiad àrainn RTM fde05d0573da.bit a chlàradh air 13 Màrt 2016.
Bha slighe chumanta aig a h-uile URL a chunnaic sinn fhad 'sa bha sinn a' cumail sùil air an iomairt: /r/z.php. Tha e gu math neo-àbhaisteach agus cuidichidh e le bhith ag aithneachadh iarrtasan RTM ann an sruthan lìonra.
4.3.1. Sianal airson òrdughan agus smachd
Chleachd eisimpleirean dìleab an sianal seo gus an liosta de luchd-frithealaidh àithne is smachd ùrachadh. Tha aoigheachd suidhichte aig livejournal.com, aig àm sgrìobhaidh na h-aithisg bha e fhathast aig an URL hxxp://f72bba81c921(.)livejournal(.)com/ data/rss.
Tha Livejournal na chompanaidh Ruiseanach-Ameireaganach a bheir seachad àrd-ùrlar blogadh. Bidh gnìomhaichean RTM a’ cruthachadh blog LJ anns am bi iad a’ postadh artaigil le òrdughan còdaichte - faic dealbh-sgrìn.
Tha loidhnichean àithne is smachd air an còdachadh a’ cleachdadh algorithm RC4 atharraichte (Earrann 4.2). Anns an dreach làithreach (Samhain 2016) den t-sianal tha na seòlaidhean frithealaiche àithne is smachd a leanas:
- hxxp://cainmon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp: //vpntap(.)top/r/z.php
4.3.2. .bit àrainn
Anns na sampallan RTM as ùire, bidh ùghdaran a’ ceangal ri raointean C&C a’ cleachdadh an àrainn àrd-ìre .bit TLD. Chan eil e air liosta ICANN (Ainm Fearainn agus Corporra Eadar-lìn) de raointean àrd-ìre. An àite sin, bidh e a 'cleachdadh siostam Namecoin, a tha air a thogail air mullach teicneòlas Bitcoin. Chan ann tric a bhios ùghdaran Malware a’ cleachdadh an .bit TLD airson na raointean aca, ged a chaidh eisimpleir de chleachdadh mar sin fhaicinn roimhe seo ann an dreach den Necurs botnet.
Eu-coltach ri Bitcoin, tha comas aig luchd-cleachdaidh stòr-dàta sgaoilte Namecoin dàta a shàbhaladh. Is e prìomh iarrtas na feart seo an àrainn mullach-ìre .bit. Faodaidh tu raointean a chlàradh a thèid a stòradh ann an stòr-dàta sgaoilte. Anns na h-inntrigidhean co-fhreagarrach san stòr-dàta tha seòlaidhean IP air am fuasgladh leis an àrainn. Tha an TLD seo “an aghaidh caisgireachd” oir chan fhaod ach an neach-clàraidh rùn an àrainn .bit atharrachadh. Tha seo a’ ciallachadh gu bheil e tòrr nas duilghe stad a chuir air àrainn droch-rùnach a’ cleachdadh an seòrsa TLD seo.
Chan eil an RTM Trojan a’ toirt a-steach am bathar-bog a tha riatanach gus an stòr-dàta ainmichte Namecoin a leughadh. Bidh e a’ cleachdadh frithealaichean DNS sa mheadhan leithid dns.dot-bit.org no frithealaichean OpenNic gus raointean .bit fhuasgladh. Mar sin, tha an aon sheasmhachd aige ri frithealaichean DNS. Chunnaic sinn nach deach cuid de raointean sgioba a lorg tuilleadh às deidh dhaibh a bhith air an ainmeachadh ann am post blog.
Is e buannachd eile den .bit TLD airson hackers cosgais. Gus àrainn a chlàradh, feumaidh gnìomhaichean dìreach 0,01 NK a phàigheadh, a tha co-ionann ri $0,00185 (mar 5 Dùbhlachd, 2016). Airson coimeas a dhèanamh, tha domain.com a’ cosg $10 co-dhiù.
4.3.3. Pròtacal
Gus conaltradh leis an t-seirbheisiche àithne is smachd, bidh RTM a’ cleachdadh iarrtasan HTTP POST le dàta air a chruth a’ cleachdadh protocol àbhaisteach. Tha luach na slighe an-còmhnaidh /r/z.php; Neach-cleachdaidh Mozilla/5.0 (co-chòrdail; MSIE 9.0; Windows NT 6.1; Trident/5.0). Ann an iarrtasan chun an fhrithealaiche, tha an dàta air a chruth mar a leanas, far a bheil na luachan air an cur an cèill ann am bytes:
Chan eil Bytes 0 gu 6 air an còdachadh; Tha bytes a’ tòiseachadh bho 6 air an còdachadh a’ cleachdadh algorithm RC4 atharraichte. Tha structar pacaid freagairt C&C nas sìmplidhe. Tha bytes air an còdachadh bho 4 gu meud pacaid.
Tha an liosta de luachan gnìomh byte a dh’ fhaodadh a bhith air a thaisbeanadh sa chlàr gu h-ìosal:
Bidh an malware an-còmhnaidh a’ tomhas CRC32 den dàta dì-chrioptaichte agus ga choimeas ris na tha an làthair sa phacaid. Ma tha iad eadar-dhealaichte, bidh an Trojan a 'leigeil sìos a' phacaid.
Faodaidh grunn nithean a bhith anns an dàta a bharrachd, a’ gabhail a-steach faidhle PE, faidhle a thèid a sgrùdadh san t-siostam faidhle, no URLan àithne ùr.
4.3.4. Pannal
Mhothaich sinn gu bheil RTM a’ cleachdadh pannal air frithealaichean C&C. Glacadh-sgrìn gu h-ìosal:
4.4. Soidhne caractar
Tha RTM na Trojan bancaidh àbhaisteach. Chan eil e na iongnadh gu bheil luchd-obrachaidh ag iarraidh fiosrachadh mu shiostam an neach-fulaing. Air an aon làimh, bidh am bot a 'tional fiosrachadh coitcheann mun OS. Air an làimh eile, bidh e a’ faighinn a-mach a bheil buadhan co-cheangailte ri siostaman bancaidh iomallach na Ruis anns an t-siostam a tha fo chunnart.
4.4.1. Fiosrachadh coitcheann
Nuair a thèid malware a chuir a-steach no a chuir air bhog às deidh ath-thòiseachadh, thèid aithisg a chuir chun t-seirbheisiche àithne is smachd anns a bheil fiosrachadh coitcheann a’ toirt a-steach:
- Sòn ùine;
- cànan bunaiteach an t-siostaim;
- teisteanasan luchd-cleachdaidh ùghdarraichte;
- ìre iomlanachd a 'phròiseas;
- Ainm-cleachdaidh;
- ainm coimpiutair;
- Tionndadh OS;
- modalan a bharrachd air an stàladh;
- stàlaich prògram antivirus;
- liosta de luchd-leughaidh cairt smart.
4.4.2 Siostam bancaidh iomallach
Tha targaid àbhaisteach Trojan na shiostam bancaidh iomallach, agus tha RTM mar eisgeachd. Canar TBdo ri aon de mhodalan a’ phrògraim, a bhios a’ coileanadh diofar ghnìomhan, a’ gabhail a-steach sganadh diosgan agus eachdraidh brabhsaidh.
Le bhith a’ sganadh an diosc, bidh an Trojan a’ sgrùdadh a bheil bathar-bog bancaidh air a chuir a-steach air an inneal. Tha liosta iomlan nam prògraman targaid sa chlàr gu h-ìosal. Às deidh dha faidhle inntinneach a lorg, bidh am prògram a’ cur fiosrachadh chun t-seirbheisiche àithne. Tha na h-ath ghnìomhan an urra ris an reusanachadh a tha air a shònrachadh le algorithms an ionaid àithne (C&C).
Bidh RTM cuideachd a’ coimhead airson pàtrain URL ann an eachdraidh do bhrobhsair agus tabaichean fosgailte. A bharrachd air an sin, bidh am prògram a’ sgrùdadh cleachdadh nan gnìomhan FindNextUrlCacheEntryA agus FindFirstUrlCacheEntryA, agus cuideachd a’ sgrùdadh gach inntrig gus an URL a mhaidseadh ri aon de na pàtranan a leanas:
Às deidh dha tabaichean fosgailte a lorg, cuiridh an Trojan fios gu Internet Explorer no Firefox tron inneal Dynamic Data Exchange (DDE) gus faighinn a-mach a bheil an taba a’ freagairt ris a’ phàtran.
Bithear a’ cumail sùil air an eachdraidh brobhsaidh agad agus na tabaichean fosgailte ann an lùb WHILE (lùb le ro-chùmhnant) le briseadh 1 diog eadar sgrùdaidhean. Thèid beachdachadh air dàta eile air a bheilear a’ cumail sùil ann an àm fìor ann an earrann 4.5.
Ma lorgar pàtran, bidh am prògram ag aithris seo don fhrithealaiche àithne a’ cleachdadh liosta de shreathan bhon chlàr a leanas:
4.5 Sgrùdadh
Fhad ‘s a tha an Trojan a’ ruith, thèid fiosrachadh mu fheartan sònraichte an t-siostam gabhaltach (a ’toirt a-steach fiosrachadh mu làthaireachd bathar-bog bancaidh) a chuir chun t-seirbheisiche àithne is smachd. Bidh lorgan-meòir a’ tachairt nuair a ruitheas RTM an siostam sgrùdaidh an-toiseach dìreach às deidh a’ chiad scan OS.
4.5.1. Banca aig astar
Tha uallach air a’ mhodal TBdo cuideachd airson sùil a chumail air pròiseasan co-cheangailte ri bancaireachd. Bidh e a’ cleachdadh iomlaid dàta fiùghantach gus sùil a thoirt air tabaichean ann am Firefox agus Internet Explorer rè a’ chiad scan. Tha modal TShell eile air a chleachdadh gus sùil a chumail air uinneagan àithne (Internet Explorer no File Explorer).
Bidh am modal a’ cleachdadh eadar-aghaidh COM IShellWindows, iWebBrowser, DWebBrowserEvents2 agus IConnectionPointContainer gus sùil a chumail air uinneagan. Nuair a bhios neach-cleachdaidh a’ seòladh gu duilleag-lìn ùr, bidh an malware a’ toirt fa-near dha seo. Bidh e an uairsin a’ dèanamh coimeas eadar URL na duilleige leis na pàtrain gu h-àrd. Às deidh dha maids a lorg, bidh an Trojan a’ toirt sia seallaidhean-sgrìn às deidh a chèile le eadar-ama de 5 diogan agus gan cur gu frithealaiche àithne C&S. Bidh am prògram cuideachd a’ sgrùdadh cuid de dh’ ainmean uinneig co-cheangailte ri bathar-bog bancaidh - tha an liosta slàn gu h-ìosal:
4.5.2. Cairt glic
Leigidh RTM leat sùil a chumail air leughadairean cairt smart ceangailte ri coimpiutairean le galair. Tha na h-innealan sin air an cleachdadh ann an cuid de dhùthchannan gus òrdughan pàighidh a rèiteachadh. Ma tha an seòrsa inneal seo ceangailte ri coimpiutair, dh’ fhaodadh e innse dha Trojan gu bheil an inneal ga chleachdadh airson gnothaichean bancaidh.
Eu-coltach ri Trojans bancaidh eile, chan urrainn dha RTM eadar-obrachadh le leithid de chairtean snasail. Is dòcha gu bheil an gnìomh seo air a ghabhail a-steach ann am modal a bharrachd nach fhaca sinn fhathast.
4.5.3. Keylogger
Is e pàirt chudromach de bhith a’ cumail sùil air PC le galair a bhith a’ glacadh prìomh bhuillean. Tha e coltach nach eil an luchd-leasachaidh RTM a’ call fiosrachadh sam bith, leis gu bheil iad a’ cumail sùil chan ann a-mhàin air iuchraichean cunbhalach, ach cuideachd air a’ mheur-chlàr brìgheil agus am bòrd-gearraidh.
Gus seo a dhèanamh, cleachd an gnìomh SetWindowsHookExA. Bidh luchd-ionnsaigh a’ clàradh na h-iuchraichean air am brùthadh no na h-iuchraichean a tha co-chosmhail ris a’ mheur-chlàr brìgheil, còmhla ri ainm is ceann-latha a’ phrògraim. Thèid am bufair an uairsin a chuir chun t-seirbheisiche àithne C&C.
Tha an gnìomh SetClipboardViewer air a chleachdadh gus casg a chuir air a’ bhòrd bhidio. Bidh hackers a’ clàradh susbaint a’ bhòrd bhidio nuair a tha an dàta na theacsa. Tha an t-ainm agus an ceann-latha cuideachd air an clàradh mus tèid am bufair a chuir chun t-seirbheisiche.
4.5.4. Glacaidhean-sgrìn
Is e gnìomh RTM eile eadar-ghabhail sgrion. Tha am feart air a chuir an sàs nuair a lorgas am modal sgrùdaidh uinneig làrach no bathar-bog bancaidh inntinneach. Thèid seallaidhean-sgrìn a thogail a’ cleachdadh leabharlann de dhealbhan grafaigeach agus an gluasad chun t-seirbheisiche àithne.
4.6. Dì-stàladh
Faodaidh am frithealaiche C&C stad a chuir air malware bho bhith a’ ruith agus a’ glanadh do choimpiutair. Leigidh an àithne leat faidhlichean agus inntrigidhean clàraidh a chaidh a chruthachadh fhad ‘s a tha RTM a’ ruith a ghlanadh. Tha an DLL an uairsin air a chleachdadh gus an malware agus am faidhle winlogon a thoirt air falbh, agus às deidh sin bidh an àithne a’ dùnadh sìos a ’choimpiutair. Mar a chithear san dealbh gu h-ìosal, thèid an DLL a thoirt air falbh le luchd-leasachaidh a’ cleachdadh erase.dll.
Faodaidh an frithealaiche òrdugh sgriosail dì-stàlaidh-glas a chuir chun Trojan. Anns a 'chùis seo, ma tha còraichean rianachd agad, sguabaidh RTM às an roinn bròg MBR air a' chlàr cruaidh. Ma dh’ fhailicheas seo, feuchaidh an Trojan ris an roinn bròg MBR a ghluasad gu roinn air thuaiream - an uairsin cha bhith e comasach don choimpiutair an OS a thòiseachadh às deidh dùnadh. Faodaidh seo leantainn gu ath-shuidheachadh iomlan den OS, a tha a’ ciallachadh sgrios fianais.
Às aonais sochairean rianadair, bidh an malware a 'sgrìobhadh .EXE air a chòdachadh anns an DLL RTM bunaiteach. Bidh an gnìomh a’ cur an gnìomh a’ chòd a dh’ fheumar gus an coimpiutair a dhùnadh agus a’ clàradh a’ mhodal ann an iuchair clàraidh HKCUCurrentVersionRun. Gach uair a thòisicheas an neach-cleachdaidh seisean, bidh an coimpiutair a 'dùnadh sìos sa bhad.
4.7. Am faidhle rèiteachaidh
Gu gnàthach, cha mhòr nach eil faidhle rèiteachaidh aig RTM, ach faodaidh an frithealaiche àithne is smachd luachan rèiteachaidh a chuir a thèid a stòradh sa chlàr agus a chleachdadh leis a’ phrògram. Tha liosta nan iuchraichean rèiteachaidh air a thaisbeanadh sa chlàr gu h-ìosal:
Tha an rèiteachadh air a stòradh san iuchair chlàraidh Bathar-bog [Pseudo-random string]. Tha gach luach a’ freagairt ri aon de na sreathan a chithear sa chlàr roimhe. Tha luachan agus dàta air an còdachadh a’ cleachdadh an algairim RC4 ann an RTM.
Tha an aon structar aig an dàta ri lìonra no sreangan. Thèid iuchair XOR ceithir-byte a chur ris aig toiseach an dàta a chaidh a chòdachadh. Airson luachan rèiteachaidh, tha an iuchair XOR eadar-dhealaichte agus an urra ri meud an luach. Faodar a thomhas mar a leanas:
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value) | (len(config_value) << 8)
4.8. Feartan eile
An uairsin, leig dhuinn sùil a thoirt air gnìomhan eile a tha RTM a ’toirt taic.
4.8.1. Modalan a bharrachd
Tha an Trojan a 'toirt a-steach modalan a bharrachd, a tha nam faidhlichean DLL. Faodar modalan a chuirear bhon t-seirbheisiche àithne C&C a chuir gu bàs mar phrògraman taobh a-muigh, air an nochdadh ann an RAM agus air an cur air bhog ann an snàithleanan ùra. Airson stòradh, tha modalan air an sàbhaladh ann am faidhlichean .dtt agus air an còdachadh le bhith a 'cleachdadh an algairim RC4 leis an aon iuchair a thathar a' cleachdadh airson conaltradh lìonra.
Gu ruige seo tha sinn air sùil a thoirt air stàladh a’ mhodal VNC (8966319882494077C21F66A8354E2CBCA0370464), modal às-tharraing dàta a’ bhrobhsair (03DE8622BE6B2F75A364A275995C3411626C4cF_modal) FC9FBA1 B2BE1D562B1E69CFAB).
Gus am modal VNC a luchdachadh, bidh am frithealaiche C&C a’ cur a-mach àithne ag iarraidh ceanglaichean ris an t-seirbheisiche VNC aig seòladh IP sònraichte air port 44443. Bidh plugan trusadh dàta a’ bhrobhsair a’ cur an gnìomh TBrowserDataCollector, as urrainn eachdraidh brabhsaidh IE a leughadh. An uairsin bidh e a’ cur an liosta iomlan de URLan air an deach tadhal gu frithealaiche àithne C&C.
Canar 1c_2_kl ris a’ mhodal mu dheireadh a chaidh a lorg. Faodaidh e eadar-obrachadh le pasgan bathar-bog 1C Enterprise. Tha dà phàirt anns a ’mhodal: am prìomh phàirt - DLL agus dà àidseant (32 agus 64 bit), a thèid a chuir a-steach do gach pròiseas, a’ clàradh ceangaltach gu WH_CBT. An dèidh a bhith air a thoirt a-steach don phròiseas 1C, bidh am modal a’ ceangal nan gnìomhan CreateFile agus WriteFile. Nuair a theirear ris a’ ghnìomh ceangailte CreateFile, bidh am modal a’ stòradh slighe an fhaidhle 1c_to_kl.txt mar chuimhne. Às deidh dha casg a chuir air a ’ghairm WriteFile, bidh e a’ gairm gnìomh WriteFile agus a ’cur slighe an fhaidhle 1c_to_kl.txt chun phrìomh mhodal DLL, a’ dol seachad air an teachdaireachd ciùird Windows WM_COPYDATA.
Bidh am prìomh mhodal DLL a’ fosgladh agus a’ parsadh an fhaidhle gus òrdughan pàighidh a dhearbhadh. Tha e ag aithneachadh an t-suim agus an àireamh malairt anns an fhaidhle. Thèid am fiosrachadh seo a chur chun an fhrithealaiche àithne. Tha sinn den bheachd gu bheil am modal seo ga leasachadh an-dràsta a chionn 's gu bheil teachdaireachd deasbaid ann agus chan urrainn dha 1c_to_kl.txt atharrachadh gu fèin-obrachail.
4.8.2. Àrdachadh sochair
Faodaidh RTM feuchainn ri sochairean àrdachadh le bhith a’ taisbeanadh teachdaireachdan mearachd meallta. Bidh an malware a’ dèanamh atharrais air sgrùdadh clàraidh (faic an dealbh gu h-ìosal) no a’ cleachdadh fìor ìomhaigh deasaiche clàraidh. Thoir an aire don fheitheamh ceàrr - whait. Às deidh beagan dhiog de sganadh, bidh am prògram a’ taisbeanadh teachdaireachd mearachd meallta.
Bidh teachdaireachd meallta gu furasta a’ mealladh an neach-cleachdaidh cuibheasach, a dh’ aindeoin mearachdan gràmair. Ma bhriogas an neach-cleachdaidh air aon den dà cheangal, feuchaidh RTM ris na sochairean aige san t-siostam àrdachadh.
Às deidh dhut aon de dhà roghainn ath-bheothachaidh a thaghadh, bidh an Trojan a ’cur air bhog an DLL a’ cleachdadh an roghainn runas ann an gnìomh ShellExecute le sochairean rianadair. Chì an neach-cleachdaidh fìor luath Windows (faic an dealbh gu h-ìosal) airson àrdachadh. Ma bheir an neach-cleachdaidh na ceadan riatanach, ruithidh an Trojan le sochairean rianadair.
A rèir a 'chànain bunaiteach a tha air a stàladh air an t-siostam, tha an Trojan a' taisbeanadh teachdaireachdan mearachd ann an Ruisis no Beurla.
4.8.3. Teisteanas
Faodaidh RTM teisteanasan a chuir ri Bùth Windows agus dearbhadh earbsachd an cur-ris le bhith a’ briogadh gu fèin-ghluasadach air a’ phutan “tha” sa bhogsa deasbaid csrss.exe. Chan eil an giùlan seo ùr; mar eisimpleir, bidh am bancaireachd Trojan Retefe cuideachd a’ dearbhadh gu neo-eisimeileach gun deach teisteanas ùr a chuir a-steach.
4.8.4. Ceangal air ais
Chruthaich na h-ùghdaran RTM an tunail Backconnect TCP cuideachd. Chan fhaca sinn am feart ga chleachdadh fhathast, ach tha e air a dhealbhadh gus sùil a chumail air astar PCan le galair.
4.8.5. Stiùireadh faidhle aoigheachd
Faodaidh an frithealaiche C&C àithne a chuir chun Trojan gus am faidhle aoigheachd Windows atharrachadh. Tha am faidhle aoigheachd air a chleachdadh gus rùintean DNS àbhaisteach a chruthachadh.
4.8.6. Lorg agus cuir faidhle
Faodaidh am frithealaiche iarraidh air faidhle a lorg agus a luchdachadh sìos air an t-siostam gabhaltach. Mar eisimpleir, rè an rannsachaidh fhuair sinn iarrtas airson am faidhle 1c_to_kl.txt. Mar a chaidh a mhìneachadh roimhe, tha am faidhle seo air a chruthachadh le siostam cunntasachd 1C: Enterprise 8.
4.8.7. Ùrachadh
Mu dheireadh, faodaidh ùghdaran RTM am bathar-bog ùrachadh le bhith a’ cur a-steach DLL ùr an àite an dreach làithreach.
5. Co-dhùnadh
Tha rannsachadh RTM a 'sealltainn gu bheil siostam bancaidh na Ruis fhathast a' tàladh luchd-ionnsaigh saidhbear. Bha buidhnean leithid Buhtrap, Corkow agus Carbanak gu soirbheachail a’ goid airgead bho ionadan ionmhais agus an luchd-dèiligidh anns an Ruis. Tha RTM na chluicheadair ùr sa ghnìomhachas seo.
Thathas air a bhith a’ cleachdadh innealan droch-rùnach RTM bho co-dhiù deireadh 2015, a rèir telemetry ESET. Tha làn raon de chomasan brathaidh aig a’ phrògram, a’ gabhail a-steach a bhith a’ leughadh chairtean snasail, a’ gabhail grèim air iuchraichean agus a’ cumail sùil air gnothaichean bancaidh, a bharrachd air a bhith a’ lorg faidhlichean còmhdhail 1C: Enterprise 8.
Tha cleachdadh àrainn àrd-ìre .bit dì-mheadhanaichte, uncensored a’ dèanamh cinnteach gu bheil bun-structar fìor sheasmhach.
Source: www.habr.com