Aia kekahi mau hui cyber i ʻike ʻia e loea i ka ʻaihue kālā mai nā hui Lūkini. Ua ʻike mākou i nā hoʻouka kaua me ka hoʻohana ʻana i nā loopholes palekana e hiki ai ke komo i ka pūnaewele o ka mea i manaʻo ʻia. Ke loaʻa iā lākou ke komo, e aʻo ka poʻe hoʻouka kaua i ka ʻōnaehana pūnaewele o ka hui a kau i kā lākou mau mea hana ponoʻī e ʻaihue kālā. ʻO kahi hiʻohiʻona maʻamau o kēia ʻano ka hui hacker Buhtrap, Cobalt a me Corkow.
ʻO ka pūʻulu RTM e nānā nei kēia hōʻike he ʻāpana o kēia ʻano. Hoʻohana ʻo ia i ka malware i hoʻolālā ʻia i kākau ʻia ma Delphi, a mākou e nānā i nā kikoʻī hou aku ma nā ʻāpana aʻe. Ua ʻike ʻia nā ʻōkuhi mua o kēia mau mea hana ma ka ʻōnaehana telemetry ESET ma ka hopena o 2015. Hoʻouka ka hui i nā modula hou i nā ʻōnaehana maʻi e like me ka mea e pono ai. Kuhi ʻia nā hoʻouka ʻana i nā mea hoʻohana o nā ʻōnaehana panakō mamao ma Rūsia a me kekahi mau ʻāina kokoke.
1. Pahuhopu
Kuhi ʻia ka hoʻolaha RTM i nā mea hoʻohana ʻoihana - ʻike ʻia kēia mai nā kaʻina hana a ka poʻe hoʻouka kaua e hoʻāʻo e ʻike i loko o kahi ʻōnaehana compromised. Aia ka manaʻo ma luna o ka polokalamu moʻohelu kālā no ka hana ʻana me nā ʻōnaehana panakō mamao.
ʻO ka papa inoa o nā kaʻina hana hoihoi i ka RTM e like me ka papa inoa o ka hui Buhtrap, akā loaʻa i nā hui nā mea maʻi maʻi like ʻole. Inā hoʻohana pinepine ʻo Buhtrap i nā ʻaoʻao hoʻopunipuni, a laila ua hoʻohana ʻo RTM i ka hoʻouka ʻana i ka drive-by download attacks (ka hoʻouka ʻana i ka polokalamu kele pūnaewele a i ʻole kona mau mea) a me ka spamming ma ka leka uila. Wahi a ka ʻikepili telemetry, pili ka hoʻoweliweli iā Rūsia a me kekahi mau ʻāina kokoke (Ukraine, Kazakhstan, Czech Republic, Kelemānia). Eia nō naʻe, ma muli o ka hoʻohana ʻana i nā mīkini hoʻohele lehulehu, ʻaʻole kahaha ka ʻike ʻana i ka malware ma waho o nā wahi i hoʻopaʻa ʻia.
He ʻuʻuku ka nui o nā ʻike malware. Ma ka ʻaoʻao ʻē aʻe, hoʻohana ka hoʻolaha RTM i nā papahana paʻakikī, e hōʻike ana i ka hoʻouka ʻia ʻana.
Ua ʻike mākou i kekahi mau palapala hoʻopunipuni i hoʻohana ʻia e RTM, me nā palapala ʻaelike ʻole, nā invoices a i ʻole nā palapala helu ʻauhau. ʻO keʻano o nā lures, i hui pūʻia me keʻano o ka polokalamu i manaʻoʻia e ka hoʻouka kaua, e hōʻike ana i ka "komo" o nā mea hoʻouka i nā pūnaewele o nā hui Lūkini ma o kaʻoihana helu. Ua hana ka hui e like me ka hana like i ka makahiki 2014-2015
I ka wā o ka noiʻi, hiki iā mākou ke launa pū me kekahi mau kikowaena C&C. E papa inoa mākou i ka papa inoa piha o nā kauoha ma nā ʻāpana aʻe, akā i kēia manawa hiki iā mākou ke ʻōlelo e hoʻoili ka mea kūʻai aku i ka ʻikepili mai ka keylogger pololei i ke kikowaena hoʻouka, kahi e loaʻa ai nā kauoha hou.
Eia naʻe, ua hala nā lā i hiki ai iā ʻoe ke hoʻopili i kahi kikowaena kauoha a me ka ʻohi ʻana i nā ʻikepili āpau āu i makemake ai. Ua hana hou mākou i nā faila log maoli no ka loaʻa ʻana o kekahi mau kauoha pili mai ke kikowaena.
ʻO ka mea mua o lākou he noi i ka bot e hoʻololi i ka faila 1c_to_kl.txt - kahi faila lawe o ka papahana 1C: Enterprise 8, ʻo ke ʻano o ia mea e nānā ikaika ʻia e RTM. Hoʻopili ʻo 1C me nā ʻōnaehana panakō mamao ma o ka hoʻouka ʻana i ka ʻikepili no nā uku i waho i kahi faila kikokikona. A laila, hoʻouna ʻia ka faila i ka ʻōnaehana panakō mamao no ka automation a me ka hoʻokō ʻana i ke kauoha uku.
Aia ka waihona i nā kikoʻī uku. Inā hoʻololi ka poʻe hoʻouka i ka ʻike e pili ana i nā uku i waho, e hoʻouna ʻia ka hoʻoili me ka hoʻohana ʻana i nā kikoʻī wahaheʻe i nā moʻokāki o ka poʻe hoʻouka.
Ma kahi o hoʻokahi mahina ma hope o ka noi ʻana i kēia mau faila mai ke kikowaena kauoha a me ka mālama ʻana, ʻike mākou i kahi plugin hou, 1c_2_kl.dll, e hoʻouka ʻia ana ma ka ʻōnaehana i hoʻopaʻa ʻia. Hoʻolālā ʻia ka module (DLL) e hoʻopaʻa maʻalahi i ka faila hoʻoiho ma o ke komo ʻana i nā kaʻina polokalamu moʻohelu kālā. E wehewehe kikoʻī mākou ma nā ʻāpana aʻe.
ʻO ka mea mahalo, ua hoʻopuka ʻo FinCERT o ka Bank of Russia i ka hopena o 2016 i kahi leka e pili ana i nā cybercriminals e hoʻohana ana i nā faila 1c_to_kl.txt. Ua ʻike pū nā mea hoʻomohala mai 1C e pili ana i kēia hoʻolālā; ua hana mua lākou i kahi ʻōlelo kūhelu a me ka papa inoa o ka mālama ʻana.
Ua hoʻouka ʻia nā modula ʻē aʻe mai ke kikowaena kauoha, ʻo ia hoʻi VNC (ʻo kāna mau mana 32 a me 64-bit). Ua like ia me ka module VNC i hoʻohana mua ʻia i nā hoʻouka kaua Dridex Trojan. Hoʻohana ʻia kēia module no ka hoʻopili mamao ʻana i kahi kamepiula i hoʻopili ʻia a hana i kahi noiʻi kikoʻī o ka ʻōnaehana. A laila, ho'āʻo ka poʻe hoʻouka kaua e neʻe a puni ka pūnaewele, e unuhi i nā ʻōlelo huna mea hoʻohana, e hōʻiliʻili i ka ʻike a me ka hōʻoia i ka noho mau ʻana o ka malware.
2. Vectors o ka ma'i
Hōʻike ke kiʻi ma lalo nei i nā vector maʻi i ʻike ʻia i ka wā aʻo o ka hoʻolaha. Hoʻohana ka hui i nā ʻano vectors ākea, akā ʻo ka nui o ka drive-by download attacks a me ka spam. He mea maʻalahi kēia mau mea hana no ka hoʻouka ʻana, no ka mea, ma ka hihia mua, hiki i nā mea hoʻouka ke koho i nā pūnaewele i kipa ʻia e nā mea pōʻino, a ma ka lua, hiki iā lākou ke hoʻouna i ka leka uila me nā mea pili i nā limahana ʻoihana makemake.
Hoʻokaʻawale ʻia ka malware ma o nā kahawai he nui, me ka RIG a me Sundown exploit kits a i ʻole nā leka spam, e hōʻike ana i nā pilina ma waena o nā mea hoʻouka a me nā cyberattackers e hāʻawi nei i kēia mau lawelawe.
2.1. Pehea ka pili o RTM a me Buhtrap?
Ua like loa ka hoʻolaha RTM me Buhtrap. ʻO ka nīnau kūlohelohe: pehea lākou e pili ai kekahi i kekahi?
I Kepakemapa 2016, ua ʻike mākou i kahi laʻana RTM e puʻunaue ʻia ana me ka hoʻohana ʻana i ka mea hoʻoili Buhtrap. Eia hou, ua loaʻa iā mākou ʻelua mau palapala kikohoʻe i hoʻohana ʻia ma Buhtrap a me RTM.
ʻO ka mea mua, i ʻōlelo ʻia i hāʻawi ʻia i ka hui DNISTER-M, ua hoʻohana ʻia no ka hoʻopaʻa inoa ʻana i ka lua Delphi palapala (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) a me ka Buhtrap DLL (SHA-1: 1E2642C454D2F889B6F41116B83A) 6).
ʻO ka lua, i hāʻawi ʻia iā Bit-Tredj, ua hoʻohana ʻia e hoʻopaʻa inoa i nā mea hoʻoili Buhtrap (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 a me B74F71560E48488D2153AE2FB51207A0 a me nā mea hoʻoiho RTM a me nā mea hoʻoiho.
Hoʻohana nā mea hoʻohana RTM i nā palapala hōʻoia maʻamau i nā ʻohana malware ʻē aʻe, akā loaʻa iā lākou kahi palapala kūʻokoʻa. Wahi a ESET telemetry, ua hoʻopuka ʻia iā Kit-SD a ua hoʻohana wale ʻia e kau inoa i kekahi mau polokalamu RTM (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
Hoʻohana ʻo RTM i ka loader like me Buhtrap, ua hoʻouka ʻia nā ʻāpana RTM mai ka ʻoihana Buhtrap, no laila ua loaʻa i nā hui nā hōʻailona pūnaewele like. Eia naʻe, e like me kā mākou mau manaʻo, ʻo RTM a me Buhtrap nā hui like ʻole, ma ka liʻiliʻi loa no ka māhele ʻia ʻana o RTM ma nā ʻano like ʻole (ʻaʻole wale i ka hoʻohana ʻana i kahi mea hoʻoiho "haole").
ʻOiai kēia, hoʻohana nā hui hacker i nā loina hana like. Hoʻolālā lākou i nā ʻoihana e hoʻohana ana i ka polokalamu moʻohelu kālā, e like me ka ʻohi ʻana i ka ʻike ʻōnaehana, e ʻimi ana i nā mea heluhelu kāleka akamai, a me ka hoʻohana ʻana i kahi ʻano mea hana ʻino e kiu i ka poʻe i hōʻeha ʻia.
3. Evolution
Ma kēia ʻāpana, e nānā mākou i nā ʻano like ʻole o ka malware i loaʻa i ka wā o ke aʻo ʻana.
3.1. Hoʻololi ʻana
Mālama ʻo RTM i ka ʻikepili hoʻonohonoho ma kahi ʻāpana hoʻopaʻa inoa, ʻo ka mea hoihoi loa he botnet-prefix. Hōʻike ʻia kahi papa inoa o nā waiwai āpau a mākou i ʻike ai i nā laʻana a mākou i aʻo ai ma ka papa ma lalo nei.
Hiki ke hoʻohana ʻia nā waiwai e hoʻopaʻa i nā mana malware. Akā naʻe, ʻaʻole mākou i ʻike i ka ʻokoʻa nui ma waena o nā mana e like me bit2 a me bit3, 0.1.6.4 a me 0.1.6.6. Eia kekahi, ua puni kekahi o nā prefixes mai ka hoʻomaka ʻana a ua ulu aʻe mai kahi kikowaena C&C maʻamau i kahi kikowaena .bit, e like me ka hōʻike ʻana ma lalo nei.
3.2. Papa kuhikuhi
Ke hoʻohana nei i ka ʻikepili telemetry, ua hana mākou i kahi pakuhi o ka hanana ʻana o nā laʻana.
4. Kaʻike loea
Ma kēia ʻāpana, e wehewehe mākou i nā hana nui o ka RTM banking Trojan, me nā ʻano hana kū'ē, kāna ʻano ponoʻī o ka RC4 algorithm, ka protocol network, ka hana kiu a me kekahi mau hiʻohiʻona. ʻO ka mea nui, e kālele mākou i nā laʻana SHA-1 AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 a me 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. Hoʻokomo a mālama
4.1.1. Hoʻokō
ʻO ka RTM core he DLL, hoʻouka ʻia ka waihona ma ka disk me ka hoʻohana ʻana i ka .EXE. Hoʻopili pinepine ʻia ka faila hoʻokō a loaʻa i ka code DLL. I ka wā i hoʻokuʻu ʻia ai, lawe ia i ka DLL a holo me ka hoʻohana ʻana i kēia kauoha:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. DLL
Hoʻouka mau ʻia ka DLL nui i ka disk e like me winlogon.lnk ma ka waihona %PROGRAMDATA%Winlogon. Hoʻopili pinepine ʻia kēia faila me kahi pōkole, akā ʻo ka faila he DLL maoli i kākau ʻia ma Delphi, i kapa ʻia ʻo core.dll e ka mea hoʻomohala, e like me ka mea i hōʻike ʻia ma ke kiʻi ma lalo nei.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
I ka wā i hoʻokuʻu ʻia, hoʻāla ka Trojan i kāna ʻano hana kū'ē. Hiki ke hana i kēia ma nā ʻano ʻelua, e pili ana i nā pono o ka mea i hoʻopilikia ʻia ma ka ʻōnaehana. Inā loaʻa iā ʻoe nā kuleana luna, hoʻohui ka Trojan i kahi komo Windows Update i ka HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun registry. E holo ana nā kauoha i loko o Windows Update i ka hoʻomaka ʻana o ke kau o ka mea hoʻohana.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe "%PROGRAMDATA%winlogon.lnk",DllGetClassObject host
Ke ho'āʻo nei ka Trojan e hoʻohui i kahi hana i ka Windows Task Scheduler. E hoʻomaka ka hana i ka winlogon.lnk DLL me nā ʻāpana like i luna. ʻAe nā kuleana hoʻohana maʻamau i ka Trojan e hoʻohui i kahi komo Windows Update me ka ʻikepili like i ka HKCUSoftwareMicrosoftWindowsCurrentVersionRun registry:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Hoʻololi RC4 algorithm
ʻOiai kona mau hemahema i ʻike ʻia, hoʻohana mau ʻia ka RC4 algorithm e nā mea kākau malware. Eia nō naʻe, ua hoʻololi iki nā mea hana o RTM, i mea e paʻakikī ai ka hana a nā mea loiloi virus. Hoʻohana nui ʻia kahi mana i hoʻololi ʻia o RC4 i nā mea hana hewa RTM e hoʻopili ai i nā kaula, ʻikepili pūnaewele, hoʻonohonoho a me nā modula.
4.2.1. Nā ʻokoʻa
Loaʻa i ka algorithm RC4 kumu ʻelua mau pae: s-block initialization (aka KSA - Key-Scheduling Algorithm) a me pseudo-random sequence generation (PRGA - Pseudo-Random Generation Algorithm). ʻO ka pae mua e pili ana i ka hoʻomaka ʻana i ka pahu s me ke kī, a ma ka pae ʻelua e hana ʻia ke kikokikona kumu me ka pahu s no ka hoʻopili ʻana.
Ua hoʻohui nā mea kākau RTM i kahi pae waena ma waena o ka hoʻomaka ʻana o ka pahu s-box a me ka hoʻopili. Hoʻololi ʻia ke kī hou a hoʻonohonoho ʻia i ka manawa like me ka ʻikepili e hoʻopili ʻia a decrypted. Hōʻike ʻia ka hana e hana i kēia ʻanuʻu hou ma ka kiʻi ma lalo nei.
4.2.2. Hoʻopaʻa kaula
I ka nānā mua ʻana, aia kekahi mau laina hiki ke heluhelu ʻia i ka DLL nui. Hoʻopili ʻia ke koena me ka hoʻohana ʻana i ka algorithm i hōʻike ʻia ma luna, ke ʻano o ia mea i hōʻike ʻia ma ke kiʻi aʻe. Loaʻa iā mākou ma mua o 25 mau kī RC4 ʻokoʻa no ka hoʻopili ʻana i ke kaula i nā laʻana i kālailai ʻia. He ʻokoʻa ke kī XOR no kēlā me kēia lālani. ʻO 0xFFFFFFFF mau ka waiwai o ka laina hoʻokaʻawale kahua helu.
I ka hoʻomaka ʻana o ka hoʻokō ʻana, hoʻokaʻawale ʻo RTM i nā kaula i loko o kahi loli honua. I ka wā e pono ai ke komo i kahi kaula, hoʻohālikelike ka Trojan i ka helu wahi o nā kaula decrypted e pili ana i ka helu kumu a me ka offset.
Aia i loko o nā kaula ka ʻike hoihoi e pili ana i nā hana o ka polokalamu malware. Hāʻawi ʻia kekahi mau string laʻana ma ka Pauku 6.8.
4.3. Pūnaewele
ʻOkoʻa ke ala e hoʻopili ai ʻo RTM malware i ke kikowaena C&C mai kēlā me kēia mana. ʻO nā hoʻololi mua (ʻOkakopa 2015 - ʻApelila 2016) i hoʻohana i nā inoa kikowaena kuʻuna me kahi hānai RSS ma livejournal.com e hoʻonui i ka papa inoa o nā kauoha.
Mai ʻApelila 2016, ua ʻike mākou i ka hoʻololi ʻana i nā kikowaena .bit i ka ʻikepili telemetry. Hoʻopaʻa ʻia kēia e ka lā hoʻopaʻa inoa - ua hoʻopaʻa inoa ʻia ka domain RTM mua fde05d0573da.bit ma Malaki 13, 2016.
ʻO nā URL āpau a mākou i ʻike ai i ka nānā ʻana i ka hoʻolaha he ala maʻamau: /r/z.php. He mea maʻamau a kōkua ia e ʻike i nā noi RTM i nā kahe o ka pūnaewele.
4.3.1. Kanal no nā kauoha a me ka mana
Ua hoʻohana nā hiʻohiʻona hoʻoilina i kēia kahawai e hōʻano hou i kā lākou papa inoa o nā kikowaena kauoha a me ka mana. Aia ka mea hoʻokipa ma livejournal.com, i ka manawa e kākau ai i ka hōʻike ua waiho ʻia ma ka URL hxxp://f72bba81c921(.)livejournal(.)com/ data/rss.
ʻO Livejournal kahi hui Lūkini-ʻAmelika e hāʻawi ana i kahi kahua blogging. Hoʻokumu nā mea hoʻohana RTM i kahi blog LJ kahi e kau ai lākou i kahi ʻatikala me nā kauoha i hoʻopaʻa ʻia - e ʻike i ke kiʻi.
Hoʻopili ʻia nā laina kauoha me ka hoʻohana ʻana i kahi algorithm RC4 i hoʻololi ʻia (Pauku 4.2). ʻO ka mana o kēia manawa (Nowemapa 2016) o ke kahawai i loaʻa nā ʻōlelo kauoha a me nā ʻōlelo kikowaena kikowaena:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. .bit domain
Ma nā laʻana RTM hou loa, hoʻopili nā mea kākau i nā kāhuna C&C me ka hoʻohana ʻana i ka .bit TLD pae kiʻekiʻe. ʻAʻole ia ma ka papa inoa ICANN (Domain Name and Internet Corporation) o nā kāʻei kapu kiʻekiʻe. Akā, hoʻohana ia i ka ʻōnaehana Namecoin, i kūkulu ʻia ma luna o ka ʻenehana Bitcoin. ʻAʻole hoʻohana pinepine nā mea kākau Malware i ka .bit TLD no kā lākou mau kikowaena, ʻoiai ua ʻike mua ʻia kahi hiʻohiʻona o ia hoʻohana ʻana i kahi mana o ka botnet Necurs.
ʻAʻole like me Bitcoin, hiki i nā mea hoʻohana o ka waihona Namecoin i hāʻawi ʻia ke mālama i ka ʻikepili. ʻO ka noi nui o kēia hiʻohiʻona ʻo ia ka .bit kiʻekiʻe kiʻekiʻe. Hiki iā ʻoe ke hoʻopaʻa inoa i nā kāʻei kapu e mālama ʻia i loko o kahi waihona waihona. Loaʻa nā helu helu IP i hoʻoholo ʻia e ka domain i nā mea komo i loko o ka waihona. ʻO kēia TLD "kū'ē i ka censorship" no ka mea hiki i ka mea kākau inoa ke hoʻololi i ka hoʻonā o ka .bit domain. ʻO ia ke ʻano he ʻoi aku ka paʻakikī o ka hoʻopau ʻana i kahi kikowaena hewa me ka hoʻohana ʻana i kēia ʻano TLD.
ʻAʻole hoʻokomo ka RTM Trojan i ka polokalamu pono e heluhelu i ka waihona Namecoin i puʻunaue ʻia. Hoʻohana ia i nā kikowaena DNS kikowaena e like me dns.dot-bit.org a i ʻole nā kikowaena OpenNic e hoʻoholo i nā kikowaena .bit. No laila, ua like kona lōʻihi me nā kikowaena DNS. Ua ʻike mākou ʻaʻole ʻike hou ʻia kekahi mau kāʻei kua hui ma hope o ka ʻōlelo ʻia ʻana ma kahi pou blog.
ʻO kekahi pono o ka .bit TLD no ka poʻe hackers he kumukūʻai. No ka hoʻopaʻa inoa ʻana i kahi kikowaena, pono nā mea hoʻohana e uku i ka 0,01 NK wale nō, e like me $0,00185 (e like me Dekemaba 5, 2016). No ka hoʻohālikelike, kūʻai ʻo domain.com ma kahi o $10.
4.3.3. Kūkākūkā
No ke kamaʻilio ʻana me ke kikowaena kauoha a me ka mana, hoʻohana ʻo RTM i nā noi HTTP POST me ka ʻikepili i hoʻopili ʻia me ka hoʻohana ʻana i kahi protocol maʻamau. ʻO ka waiwai ala he mau /r/z.php; Mea hoʻohana Mozilla/5.0 (kūpono; MSIE 9.0; Windows NT 6.1; Trident/5.0). I nā noi i ke kikowaena, ua hoʻohālikelike ʻia ka ʻikepili e like me kēia, kahi i hōʻike ʻia ai nā waiwai offset i nā bytes:
ʻAʻole hoʻopaʻa ʻia nā Bytes 0 a 6; Hoʻopili ʻia nā bytes e hoʻomaka ana mai ka 6 me ka RC4 algorithm i hoʻololi ʻia. ʻOi aku ka maʻalahi o ke ʻano o ka ʻeke pane C&C. Hoʻopili ʻia nā Bytes mai ka 4 a i ka nui o ka ʻeke.
Hōʻike ʻia ka papa inoa o nā waiwai byte hana i ka papa ma lalo nei:
E helu mau ana ka malware i ka CRC32 o ka ʻikepili decrypted a hoʻohālikelike me ka mea i loaʻa i loko o ka ʻeke. Inā ʻokoʻa lākou, hāʻule ka Trojan i ka ʻeke.
Loaʻa i nā ʻikepili hou nā mea like ʻole, me kahi faila PE, kahi faila e ʻimi ʻia ma ka ʻōnaehana faila, a i ʻole nā URL kauoha hou.
4.3.4. Panel
Ua ʻike mākou ua hoʻohana ʻo RTM i kahi panel ma nā kikowaena C&C. Kiʻi ma lalo:
4.4. Hōʻailona hiʻona
ʻO RTM kahi Trojan panakō maʻamau. ʻAʻole ia he mea kupanaha no ka makemake o nā mea hoʻohana i ka ʻike e pili ana i ka ʻōnaehana o ka mea i pepehi ʻia. Ma kekahi ʻaoʻao, ʻohi ka bot i ka ʻike maʻamau e pili ana i ka OS. Ma ka ʻaoʻao ʻē aʻe, ʻike ia inā loaʻa i ka ʻōnaehana hoʻohālikelike nā ʻano pili i nā ʻōnaehana panakō mamao Rūsia.
4.4.1. ʻIke nui
Ke hoʻokomo ʻia a hoʻokuʻu ʻia paha ka malware ma hope o ka hoʻomaka hou ʻana, e hoʻouna ʻia kahi hōʻike i ke kikowaena kauoha a me ka mana e loaʻa ana ka ʻike maʻamau e like me:
- Wahi manawa;
- ʻōlelo ʻōnaehana paʻamau;
- palapala hōʻoia mea hoʻohana;
- pae pono o ka hana;
- inoa hoʻohana;
- inoa kamepiula;
- mana OS;
- nā modula hou i hoʻokomo ʻia;
- polokalamu antivirus i hoʻokomo ʻia;
- papa inoa o nā mea heluhelu kāleka akamai.
4.4.2 Pūnaehana panakō mamao
ʻO kahi pahuhopu Trojan maʻamau he ʻōnaehana panakō mamao, a ʻaʻohe ʻokoʻa ʻo RTM. ʻO kekahi o nā modula o ka papahana i kapa ʻia ʻo TBdo, e hana ana i nā hana like ʻole, me ka nānā ʻana i nā disks a me ka nānā ʻana i ka mōʻaukala.
Ma ka nānā ʻana i ka diski, nānā ka Trojan inā hoʻokomo ʻia ka polokalamu panakō ma ka mīkini. Aia ka papa inoa piha o nā papahana i koho ʻia ma ka papa ma lalo nei. I ka ʻike ʻana i kahi faila hoihoi, hoʻouna ka papahana i ka ʻike i ke kikowaena kauoha. ʻO nā hana aʻe e pili ana i ka loiloi i kuhikuhi ʻia e ke kikowaena kauoha (C&C) algorithms.
Nānā pū ʻo RTM i nā hiʻohiʻona URL ma kāu mōʻaukala polokalamu kele pūnaewele a me nā ʻaoʻao wehe. Eia kekahi, nānā ka papahana i ka hoʻohana ʻana i nā hana FindNextUrlCacheEntryA a me FindFirstUrlCacheEntryA, a nānā pū i kēlā me kēia komo e hoʻohālikelike i ka URL i kekahi o kēia mau hiʻohiʻona:
I ka ʻike ʻana i nā ʻaoʻao hāmama, hoʻopili ka Trojan iā Internet Explorer a i ʻole Firefox ma o ka Dynamic Data Exchange (DDE) mechanical e nānā inā pili ka pā i ke kumu.
Hana ʻia ka nānā ʻana i kāu mōʻaukala mākaʻikaʻi a me nā ʻaoʻao hāmama ma kahi loop WHILE (kahi loop me kahi precondition) me kahi hoʻomaha 1 kekona ma waena o nā loiloi. E kūkākūkā ʻia nā ʻikepili ʻē aʻe i nānā ʻia i ka manawa maoli ma ka pauku 4.5.
Inā loaʻa kahi kumu, hōʻike ka papahana i kēia i ke kikowaena kauoha me ka hoʻohana ʻana i kahi papa inoa o nā kaula mai ka papa aʻe:
4.5 Nānā
ʻOiai e holo ana ka Trojan, hoʻouna ʻia ka ʻike e pili ana i nā hiʻohiʻona hiʻohiʻona o ka ʻōnaehana maʻi (me ka ʻike e pili ana i ka loaʻa ʻana o nā polokalamu panakō) i hoʻouna ʻia i ke kikowaena kauoha a mālama. Hana ʻia ka paʻi manamana lima i ka wā e holo mua ai ʻo RTM i ka ʻōnaehana nānā ma hope koke o ka scan OS mua.
4.5.1. Pākē mamao
ʻO ka module TBdo kekahi kuleana no ka nānā ʻana i nā kaʻina hana pili kālā. Hoʻohana ia i ka hoʻololi ʻikepili ikaika e nānā i nā pā ma Firefox a me Internet Explorer i ka wā o ka scan mua. Hoʻohana ʻia kekahi module TShell e nānā i ke kauoha windows (Internet Explorer a i ʻole File Explorer).
Hoʻohana ka module i nā pilina COM IShellWindows, iWebBrowser, DWebBrowserEvents2 a me IConnectionPointContainer e nānā i nā puka makani. Ke hoʻokele ka mea hoʻohana i kahi ʻaoʻao pūnaewele hou, ʻike ka malware i kēia. Hoʻohālikelike ia i ka URL o ka ʻaoʻao me nā hiʻohiʻona i luna. Ma hope o ka ʻike ʻana i kahi pāʻani, lawe ka Trojan i ʻeono mau kiʻi ʻoniʻoni me ka manawa o 5 kekona a hoʻouna iā lākou i ke kikowaena kauoha C&S. Nānā pū ka polokalamu i kekahi mau inoa puka makani e pili ana i ka polokalamu panakō - aia ma lalo ka papa inoa piha.
4.5.2. Kāleka akamai
Hāʻawi ʻo RTM iā ʻoe e nānā i nā mea heluhelu kāleka akamai i pili i nā kamepiula maʻi. Hoʻohana ʻia kēia mau mea hana ma kekahi mau ʻāina e hoʻoponopono i nā kauoha uku. Inā pili kēia ʻano mea i kahi kamepiula, hiki iā ia ke hōʻike i kahi Trojan e hoʻohana ʻia ana ka mīkini no nā kālepa panakō.
ʻAʻole like me nā Trojans ʻē aʻe, ʻaʻole hiki iā RTM ke launa pū me nā kāleka akamai. Aia paha kēia hana i loko o kahi module hou aʻe a mākou i ʻike ʻole ai.
4.5.3. Keylogger
ʻO kahi ʻāpana koʻikoʻi o ka nānā ʻana i kahi PC maʻi ʻia ka hopu ʻana i nā kī kī. Me he mea lā ʻaʻole nalo nā mea hoʻomohala RTM i kekahi ʻike, no ka mea, nānā lākou ʻaʻole i nā kī maʻamau wale nō, akā ʻo ka keyboard virtual a me ka clipboard.
No ka hana ʻana i kēia, e hoʻohana i ka hana SetWindowsHookExA. Hoʻopaʻa ka poʻe hoʻouka i nā kī i paʻi ʻia a i ʻole nā kī e pili ana i ka papa keyboard virtual, me ka inoa a me ka lā o ka papahana. A laila hoʻouna ʻia ka buffer i ke kikowaena kauoha C&C.
Hoʻohana ʻia ka hana SetClipboardViewer e hoʻopaʻa i ka clipboard. Hoʻopaʻa nā mea hackers i nā mea o ka clipboard inā he kikokikona ka ʻikepili. Hoʻopaʻa ʻia ka inoa a me ka lā ma mua o ka hoʻouna ʻia ʻana o ka buffer i ke kikowaena.
4.5.4. Kiʻi paʻi kiʻi
ʻO kekahi hana ʻē aʻe ʻo RTM ka interception screenshot. Hoʻohana ʻia ka hiʻohiʻona i ka wā e ʻike ai ka module kiaʻi pukaaniani i kahi pūnaewele a i ʻole nā polokalamu waihona kālā hoihoi. Lawe ʻia nā kiʻi paʻi me ka hoʻohana ʻana i kahi waihona o nā kiʻi kiʻi a hoʻoili ʻia i ke kikowaena kauoha.
4.6. Wehe ʻia
Hiki i ke kikowaena C&C ke ho'ōki i ka holo ʻana a hoʻomaʻemaʻe i kāu kamepiula. Hāʻawi ke kauoha iā ʻoe e hoʻomaʻemaʻe i nā faila a me nā mea kākau inoa i hana ʻia i ka wā e holo ana ʻo RTM. Hoʻohana ʻia ka DLL e wehe i ka malware a me ka faile winlogon, a laila pani ke kauoha i ke kamepiula. E like me ka mea i hōʻike ʻia ma ke kiʻi ma lalo nei, ua wehe ʻia ka DLL e nā mea hoʻomohala e hoʻohana ana i ka erase.dll.
Hiki i ke kikowaena ke hoʻouna i ka Trojan i kahi kauoha uninstall-lock. I kēia hihia, inā loaʻa iā ʻoe nā kuleana luna, e holoi ʻo RTM i ka ʻāpana boot MBR ma ka paʻakikī. Inā hāʻule kēia, e hoʻāʻo ka Trojan e hoʻololi i ka ʻāpana boot MBR i kahi ʻāpana ʻokoʻa - a laila ʻaʻole hiki i ke kamepiula ke hoʻomaka i ka OS ma hope o ka pani ʻana. Hiki i kēia ke alakaʻi i kahi hoʻonohonoho hou o ka OS, ʻo ia ka mea e luku ai i nā hōʻike.
Me ka loaʻa ʻole o nā kuleana luna hoʻomalu, kākau ka malware i kahi .EXE i hoʻopaʻa ʻia ma ka RTM DLL. Hoʻokō ka mea hoʻokō i ke code e pono ai e pani i ke kamepiula a hoʻopaʻa inoa i ka module ma ke kī hoʻopaʻa inoa HKCUCurrentVersionRun. I kēlā me kēia manawa e hoʻomaka ai ka mea hoʻohana i kahi kau, e pani koke ke kamepiula.
4.7. ʻO ka faila hoʻonohonoho
Ma ka maʻamau, ʻaʻohe o RTM i ka faila hoʻonohonoho, akā hiki i ke kauoha a me ka server mana ke hoʻouna i nā waiwai hoʻonohonoho e mālama ʻia i loko o ka papa inoa a hoʻohana ʻia e ka papahana. Hōʻike ʻia ka papa inoa o nā kī hoʻonohonoho ma ka papa ma lalo.
Mālama ʻia ka hoʻonohonoho ʻana ma ke kī hoʻopaʻa inoa Software [Pseudo-random string]. Pili kēlā me kēia waiwai i kekahi o nā lālani i hōʻike ʻia ma ka papa mua. Hoʻopili ʻia nā waiwai a me nā ʻikepili me ka RC4 algorithm ma RTM.
ʻO ka ʻikepili ke ʻano like me kahi pūnaewele a i ʻole nā kaula. Hoʻohui ʻia kahi kī XOR ʻehā-byte i ka hoʻomaka ʻana o ka ʻikepili i hoʻopili ʻia. No nā koina hoʻonohonoho, ʻokoʻa ke kī XOR a pili i ka nui o ka waiwai. Hiki ke helu ʻia penei:
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)
4.8. Nā hiʻohiʻona ʻē aʻe
A laila, e nānā kākou i nā hana ʻē aʻe i kākoʻo ʻia e RTM.
4.8.1. Nā modula hou
Aia ka Trojan i nā modula hou, ʻo ia nā faila DLL. Hiki ke hoʻokō ʻia nā modula i hoʻouna ʻia mai ke kikowaena kauoha C&C ma ke ʻano he papahana waho, hōʻike ʻia i ka RAM a hoʻokuʻu ʻia i nā pae hou. No ka mālama ʻana, mālama ʻia nā modules i nā faila .dtt a hoʻopaʻa ʻia me ka RC4 algorithm me ke kī like i hoʻohana ʻia no nā kamaʻilio pūnaewele.
I kēia manawa ua ʻike mākou i ka hoʻokomo ʻana o ka module VNC (8966319882494077C21F66A8354E2CBCA0370464), ka module extraction data browser (03DE8622BE6B2F75A364A275995C3411626C4D9F1C2D1F562C1D69F6C58D88753F7C0D3B) FC4FBAXNUMX BXNUMXBEXNUMXDXNUMXBXNUMXEXNUMXCFAB).
No ka hoʻouka ʻana i ka module VNC, hoʻopuka ke kikowaena C&C i kahi kauoha e noi ana i nā pilina i ke kikowaena VNC ma kahi helu IP kikoʻī ma ke awa 44443. Hoʻokō ka plugin huli ʻikepili pūnaewele iā TBrowserDataCollector, hiki ke heluhelu i ka mōʻaukala mākaʻikaʻi IE. A laila e hoʻouna i ka papa inoa piha o nā URL i kipa ʻia i ke kikowaena kauoha C&C.
ʻO ka module hope loa i ʻike ʻia ʻo 1c_2_kl. Hiki iā ia ke launa pū me ka pūʻolo polokalamu 1C Enterprise. Aia i loko o ka module nā ʻāpana ʻelua: ʻo ka hapa nui - DLL a me ʻelua mau mea hana (32 a me 64 bit), e hoʻokomo ʻia i loko o kēlā me kēia kaʻina hana, e hoʻopaʻa inoa i kahi paʻa iā WH_CBT. Ma hope o ka hoʻokomo ʻia ʻana i ke kaʻina hana 1C, hoʻopaʻa ka module i nā hana CreateFile a me WriteFile. Ke kāhea ʻia ka hana paʻa CreateFile, mālama ka module i ke ala waihona 1c_to_kl.txt ma ka hoʻomanaʻo. Ma hope o ke kāpae ʻana i ke kelepona WriteFile, kāhea ʻo ia i ka hana WriteFile a hoʻouna i ke ala faila 1c_to_kl.txt i ka module DLL nui, e hāʻawi iā ia i ka memo Windows WM_COPYDATA i hana ʻia.
Wehe ka module DLL nui a paʻi i ka faila e hoʻoholo i nā kauoha uku. Hoʻomaopopo ia i ka nui a me ka helu kālepa i loko o ka faila. Hoʻouna ʻia kēia ʻike i ke kikowaena kauoha. Manaʻo mākou e hoʻomohala ʻia kēia module no ka mea aia kahi memo debug a ʻaʻole hiki ke hoʻololi ʻokoʻa i ka 1c_to_kl.txt.
4.8.2. Hoʻonui i ka pono
Hiki i ka RTM ke ho'āʻo e hoʻonui i nā pono ma ka hōʻike ʻana i nā memo kuhi hewa. Hoʻohālikelike ka polokalamu kino i kahi nānā hoʻopaʻa inoa (e nānā i ke kiʻi ma lalo) a i ʻole hoʻohana i kahi kiʻi hoʻoponopono hoʻopaʻa inoa maoli. E ʻoluʻolu e hoʻomaopopo i ke kali kuhi hewa - whait. Ma hope o kekahi mau kekona o ka nānā ʻana, hōʻike ka polokalamu i kahi memo kuhi hewa.
E hoʻopunipuni maʻalahi ka leka hoʻopunipuni i ka mea hoʻohana maʻamau, ʻoiai nā hewa grammatical. Inā kaomi ka mea hoʻohana i kekahi o nā loulou ʻelua, e hoʻāʻo ʻo RTM e hoʻonui i kāna mau pono i ka ʻōnaehana.
Ma hope o ke koho ʻana i hoʻokahi o nā koho hoʻihoʻi ʻelua, hoʻomaka ka Trojan i ka DLL me ka hoʻohana ʻana i ke koho runas ma ka hana ShellExecute me nā kuleana luna. E ʻike ka mea hoʻohana i kahi wikiwiki Windows maoli (e ʻike i ke kiʻi ma lalo) no ke kiʻekiʻe. Inā hāʻawi ka mea hoʻohana i nā ʻae kūpono, e holo ka Trojan me nā kuleana luna.
Ma muli o ka ʻōlelo paʻamau i hoʻokomo ʻia ma ka ʻōnaehana, hōʻike ka Trojan i nā memo hewa ma ka Lūkini a i ʻole ka ʻōlelo Pelekania.
4.8.3. Palapala
Hiki iā RTM ke hoʻohui i nā palapala hōʻoia i ka hale kūʻai Windows a hōʻoia i ka hilinaʻi o ka hoʻohui ʻana ma ke kaomi ʻana i ke pihi "yes" i ka pahu kamaʻilio csrss.exe. ʻAʻole hou kēia ʻano; no ka laʻana, hōʻoia kūʻokoʻa ʻo Trojan Retefe i ka hoʻokomo ʻana i kahi palapala hou.
4.8.4. Hoʻopili hoʻohuli
Ua hana pū nā mea kākau RTM i ka pūnana Backconnect TCP. ʻAʻole mākou i ʻike i ka hiʻohiʻona i hoʻohana ʻia, akā ua hoʻolālā ʻia e nānā mamao aku i nā PC maʻi.
4.8.5. Hoʻokele waihona hoʻokipa
Hiki i ke kikowaena C&C ke hoʻouna i kahi kauoha i ka Trojan e hoʻololi i ka faila host Windows. Hoʻohana ʻia ka faila host e hana i nā hoʻoholo DNS maʻamau.
4.8.6. E huli a hoʻouna i kahi faila
Hiki i ke kikowaena ke noi e ʻimi a hoʻoiho i kahi faila ma ka ʻōnaehana maʻi. No ka laʻana, i ka wā o ka noiʻi ua loaʻa iā mākou kahi noi no ka faila 1c_to_kl.txt. E like me ka mea i hōʻike mua ʻia, ua hana ʻia kēia faila e ka ʻōnaehana helu helu 1C: Enterprise 8.
4.8.7. Hōʻano hou
ʻO ka hope, hiki i nā mea kākau RTM ke hoʻohou i ka polokalamu ma ka waiho ʻana i kahi DLL hou e pani i ka mana o kēia manawa.
5. Panina
Hōʻike ka noiʻi a RTM e ʻimi mau ana ka ʻōnaehana panakō Lūkini i nā mea hoʻouka kaua cyber. ʻO nā hui e like me Buhtrap, Corkow a me Carbanak ua ʻaihue maikaʻi i ke kālā mai nā hui kālā a me kā lākou mea kūʻai aku ma Rusia. He mea pāʻani hou ʻo RTM ma kēia ʻoihana.
Ua hoʻohana ʻia nā mea hana ʻino RTM mai ka liʻiliʻi loa o 2015, e like me ka telemetry ESET. Loaʻa i ka papahana nā mana mākaʻikaʻi piha, me ka heluhelu ʻana i nā kāleka akamai, ke kāohi ʻana i nā kī kī a me ka nānā ʻana i nā kālepa panakō, a me ka ʻimi ʻana i nā faila transport 1C: Enterprise 8.
ʻO ka hoʻohana ʻana i ka decentralized, uncensored.
Source: www.habr.com