Muaj ntau pawg neeg paub cyber uas tshwj xeeb hauv kev nyiag nyiaj los ntawm cov tuam txhab Lavxias. Peb tau pom cov kev tawm tsam uas siv cov kev ruaj ntseg uas tso cai rau kev nkag mus rau lub hom phiaj lub network. Thaum lawv nkag mus tau, cov neeg tawm tsam kawm lub koom haum cov qauv network thiab siv lawv tus kheej cov cuab yeej los nyiag nyiaj. Ib qho piv txwv classic ntawm cov qauv no yog cov hacker pawg Buhtrap, Cobalt thiab Corkow.
Pawg RTM uas tsab ntawv ceeb toom no tsom mus rau yog ib feem ntawm qhov sib txawv no. Nws siv tshwj xeeb tsim malware sau nyob rau hauv Delphi, uas peb yuav saib nyob rau hauv kom meej ntxiv nyob rau hauv cov nqe lus hauv qab no. Thawj qhov cim ntawm cov cuab yeej no hauv ESET telemetry system tau tshawb pom thaum kawg ntawm 2015. Pab neeg no thauj ntau yam tshiab modules mus rau cov kab mob raws li xav tau. Qhov kev tawm tsam yog tsom rau cov neeg siv ntawm cov tuam txhab lag luam nyob deb nroog hauv Russia thiab qee lub tebchaws nyob sib ze.
1. Lub hom phiaj
RTM phiaj los nqis tes yog tsom rau cov neeg siv khoom lag luam - qhov no yog qhov pom tseeb los ntawm cov txheej txheem uas cov neeg tawm tsam sim kuaj xyuas hauv qhov kev cuam tshuam. Lub hom phiaj yog rau accounting software rau kev ua hauj lwm nrog tej thaj chaw deb banking systems.
Daim ntawv teev cov txheej txheem kev txaus siab rau RTM zoo ib yam li cov npe sib raug ntawm pawg Buhtrap, tab sis cov pab pawg muaj cov kab mob sib txawv. Yog tias Buhtrap siv nplooj ntawv cuav ntau dua, ces RTM siv tsav-los ntawm kev tawm tsam (kev tawm tsam ntawm browser lossis nws cov khoom) thiab spamming los ntawm email. Raws li cov ntaub ntawv telemetry, qhov kev hem thawj yog tsom rau Russia thiab ntau lub tebchaws nyob ze (Ukraine, Kazakhstan, Czech koom pheej, Lub teb chaws Yelemees). Txawm li cas los xij, vim yog siv cov txheej txheem faib khoom loj, kev tshawb pom ntawm malware sab nraum lub hom phiaj cheeb tsam tsis xav tsis thoob.
Tag nrho cov naj npawb ntawm malware nrhiav tau tsawg heev. Ntawm qhov tod tes, RTM phiaj los nqis tes siv cov kev pab cuam nyuaj, uas qhia tau hais tias cov kev tawm tsam yog tsom rau siab heev.
Peb tau tshawb pom ntau cov ntaub ntawv dag siv los ntawm RTM, suav nrog cov ntawv cog lus tsis muaj nyob, cov ntawv xa nyiaj lossis cov ntaub ntawv sau se. Qhov xwm txheej ntawm lub lures, ua ke nrog hom software tsom los ntawm kev tawm tsam, qhia tias cov neeg tawm tsam tau "nkag mus" cov tes hauj lwm ntawm Lavxias teb sab tuam txhab los ntawm lub tuam txhab accounting. Cov pab pawg tau ua raws li tib lub tswv yim xyoo 2014-2015
Thaum lub sijhawm tshawb fawb, peb tuaj yeem cuam tshuam nrog ntau C&C servers. Peb yuav sau tag nrho cov npe ntawm cov lus txib hauv ntu hauv qab no, tab sis tam sim no peb tuaj yeem hais tias tus neeg siv khoom hloov cov ntaub ntawv los ntawm keylogger ncaj qha mus rau lub server tawm tsam, los ntawm cov lus txib ntxiv tau txais.
Txawm li cas los xij, cov hnub thaum koj tuaj yeem txuas mus rau ib qho kev hais kom ua thiab tswj cov neeg rau zaub mov thiab sau tag nrho cov ntaub ntawv koj xav tau ploj mus. Peb rov tsim cov ntaub ntawv pov thawj tiag kom tau txais qee cov lus txib los ntawm lub server.
Thawj ntawm lawv yog kev thov rau bot kom hloov cov ntaub ntawv 1c_to_kl.txt - thauj cov ntaub ntawv ntawm 1C: Enterprise 8 qhov kev pab cuam, cov tsos ntawm uas nquag saib xyuas los ntawm RTM. 1C cuam tshuam nrog cov tuam txhab nyiaj hauv tej thaj chaw deb los ntawm kev xa cov ntaub ntawv ntawm cov nyiaj them tawm mus rau cov ntawv nyeem. Tom ntej no, cov ntaub ntawv raug xa mus rau cov chaw taws teeb tswj kev lag luam rau automation thiab ua tiav ntawm kev txiav txim them nyiaj.
Cov ntaub ntawv muaj cov ntsiab lus them nyiaj. Yog tias cov neeg tawm tsam hloov cov ntaub ntawv hais txog kev them nyiaj tawm, kev hloov pauv yuav raug xa mus siv cov ntsiab lus tsis tseeb rau cov neeg tawm tsam cov nyiaj.
Txog ib hlis tom qab thov cov ntaub ntawv no los ntawm kev hais kom ua thiab tswj cov neeg rau zaub mov, peb pom lub plugin tshiab, 1c_2_kl.dll, raug thauj mus rau qhov kev cuam tshuam. Lub module (DLL) yog tsim los txiav txim siab cov ntaub ntawv rub tawm los ntawm kev nkag mus rau cov txheej txheem software accounting. Peb yuav piav qhia meej nyob rau hauv nqe lus hauv qab no.
Qhov zoo siab, FinCERT ntawm Lub Txhab Nyiaj Txiag ntawm Russia thaum kawg ntawm 2016 tau tshaj tawm cov ntawv ceeb toom txog cybercriminals siv 1c_to_kl.txt upload cov ntaub ntawv. Cov neeg tsim tawm los ntawm 1C kuj paub txog cov tswv yim no; lawv twb tau tshaj tawm cov lus tshaj tawm thiab teev cov kev ceev faj.
Lwm cov modules kuj tau thauj khoom los ntawm cov neeg rau zaub mov hais kom ua, tshwj xeeb yog VNC (nws 32 thiab 64-ntsis versions). Nws zoo li VNC module uas yav tas los siv hauv Dridex Trojan tawm tsam. Qhov no module yog supposedly siv rau remotely txuas mus rau ib tug kab mob computer thiab ua ib tug ntxaws kev kawm ntawm lub system. Tom ntej no, cov neeg tawm tsam sim tsiv mus nyob ib ncig ntawm lub network, tshem tawm cov neeg siv cov passwords, khaws cov ntaub ntawv thiab xyuas kom muaj qhov tsis tu ncua ntawm malware.
2. Cov kab mob kis kab mob
Cov duab hauv qab no qhia txog cov kab mob kis tau pom thaum lub sijhawm kawm ntawm kev sib tw. Cov pab pawg siv ntau yam vectors, tab sis feem ntau tsav-los ntawm kev rub tawm thiab spam. Cov cuab yeej no yooj yim rau cov phiaj xwm tawm tsam, txij li thawj kis, cov neeg tawm tsam tuaj yeem xaiv cov chaw tuaj xyuas los ntawm cov neeg raug tsim txom, thiab hauv qhov thib ob, lawv tuaj yeem xa email nrog cov ntawv txuas ncaj qha rau cov neeg ua haujlwm hauv tuam txhab xav tau.
Cov malware tau muab faib los ntawm ntau txoj hauv kev, suav nrog RIG thiab Sundown siv cov khoom siv lossis kev xa ntawv spam, qhia txog kev sib txuas ntawm cov neeg tawm tsam thiab lwm tus cyberattackers muab cov kev pabcuam no.
2.1. RTM thiab Buhtrap cuam tshuam li cas?
Kev sib tw RTM zoo ib yam li Buhtrap. Cov lus nug ntuj yog: lawv sib txheeb li cas?
Thaum lub Cuaj Hlis 2016, peb tau pom ib qho qauv RTM raug faib siv Buhtrap uploader. Tsis tas li ntawd, peb pom ob daim ntawv pov thawj digital siv hauv Buhtrap thiab RTM.
Thawj, raug liam tias raug xa mus rau lub tuam txhab DNISTER-M, tau siv los kos npe rau daim ntawv thib ob Delphi (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) thiab Buhtrap DLL (SHA-1: 1E2642CCD454D2A 889 ib.).
Qhov thib ob, muab rau Bit-Tredj, tau siv los kos npe rau Buhtrap loaders (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 thiab B74F71560E48488D2153AE2FB51207A0AC206E) thiab txuas ntxiv
Cov neeg ua haujlwm RTM siv daim ntawv pov thawj uas muaj rau lwm tsev neeg malware, tab sis lawv kuj muaj daim ntawv pov thawj tshwj xeeb. Raws li ESET telemetry, nws tau raug xa mus rau Kit-SD thiab tsuas yog siv los kos npe rau qee qhov RTM malware (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM siv tib lub loader li Buhtrap, RTM Cheebtsam yog loaded los ntawm Buhtrap infrastructure, yog li cov pab pawg muaj zoo xws li network ntsuas. Txawm li cas los xij, raws li peb qhov kev kwv yees, RTM thiab Buhtrap yog cov pab pawg sib txawv, yam tsawg kawg vim tias RTM tau muab faib ua ntau txoj hauv kev (tsis yog siv lub "tshuaj txawv teb chaws" downloader).
Txawm li cas los xij, pawg neeg nyiag nkas siv cov qauv kev ua haujlwm zoo sib xws. Lawv tsom mus rau cov lag luam uas siv nyiaj txiag software, zoo ib yam li sau cov ntaub ntawv hauv lub cev, tshawb nrhiav cov neeg nyeem daim npav ntse, thiab siv cov cuab yeej tsis zoo los soj ntsuam cov neeg raug tsim txom.
3. Evolution
Hauv seem no, peb yuav saib qhov sib txawv ntawm cov malware pom thaum kawm.
3.1. Versioning
RTM khaws cov ntaub ntawv teeb tsa hauv ntu sau npe, qhov nthuav tshaj plaws yog botnet-prefix. Ib daim ntawv teev tag nrho cov txiaj ntsig peb tau pom hauv cov qauv peb tau kawm yog nthuav tawm hauv cov lus hauv qab no.
Nws yog qhov ua tau tias qhov tseem ceeb tuaj yeem siv los sau cov malware versions. Txawm li cas los xij, peb tsis tau pom ntau qhov sib txawv ntawm cov qauv xws li bit2 thiab bit3, 0.1.6.4 thiab 0.1.6.6. Ntxiv mus, ib qho ntawm cov ntawv sau ua ntej tau nyob ib puag ncig txij li thaum pib thiab tau hloov zuj zus los ntawm C&C domain ib txwm mus rau .bit domain, raws li qhia hauv qab no.
3.2. Teem caij
Siv cov ntaub ntawv telemetry, peb tsim ib daim duab ntawm qhov tshwm sim ntawm cov qauv.
4. Kev tsom xam
Hauv seem no, peb yuav piav qhia txog lub luag haujlwm tseem ceeb ntawm RTM banking Trojan, suav nrog cov txheej txheem tiv thaiv, nws tus kheej version ntawm RC4 algorithm, network raws tu qauv, spying functionality thiab lwm yam nta. Tshwj xeeb, peb yuav tsom mus rau SHA-1 cov qauv AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 thiab 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. Installation thiab txuag
4.1.1. Kev nqis tes ua
RTM core yog DLL, lub tsev qiv ntawv tau thauj mus rau disk siv .EXE. Cov ntaub ntawv executable feem ntau yog ntim thiab muaj DLL code. Thaum pib, nws rho tawm DLL thiab khiav nws siv cov lus txib hauv qab no:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. DLL
Lub ntsiab DLL yog ib txwm thauj mus rau disk li winlogon.lnk hauv %PROGRAMDATA% Winlogon nplaub tshev. Cov ntaub ntawv txuas ntxiv no feem ntau cuam tshuam nrog shortcut, tab sis cov ntaub ntawv yog qhov tseeb DLL sau hauv Delphi, npe hu ua core.dll los ntawm tus tsim tawm, raws li pom hauv daim duab hauv qab no.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Thaum pib, Trojan qhib nws txoj kev tawm tsam. Qhov no tuaj yeem ua tau nyob rau hauv ob txoj kev sib txawv, nyob ntawm tus neeg raug tsim txom cov cai hauv lub cev. Yog tias koj muaj cai tswj hwm, Trojan ntxiv qhov Windows Update nkag mus rau HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun npe. Cov lus txib muaj nyob rau hauv Windows Update yuav khiav thaum pib ntawm tus neeg siv kev sib kho.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject party
Lub Trojan tseem sim ntxiv ib txoj haujlwm rau Windows Task Scheduler. Txoj haujlwm yuav tso tawm winlogon.lnk DLL nrog tib qhov tsis zoo li saum toj no. Cov neeg siv tsis tu ncua txoj cai tso cai rau Trojan ntxiv qhov Windows Update nkag nrog tib cov ntaub ntawv mus rau HKCUSoftwareMicrosoftWindowsCurrentVersionRun npe:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Hloov kho RC4 algorithm
Txawm hais tias nws paub qhov tsis txaus, RC4 algorithm yog siv tsis tu ncua los ntawm cov kws sau ntawv malware. Txawm li cas los xij, tus tsim ntawm RTM tau hloov kho nws me ntsis, tej zaum yuav ua rau txoj haujlwm ntawm cov kws tshuaj ntsuam kab mob nyuaj dua. Ib qho kev hloov kho ntawm RC4 yog dav siv hauv cov cuab yeej phem RTM los encrypt cov hlua, cov ntaub ntawv network, teeb tsa thiab cov qauv.
4.2.1. Qhov txawv
Tus thawj RC4 algorithm suav nrog ob theem: s-block pib (aka KSA - Qhov Tseem Ceeb-Scheduling Algorithm) thiab pseudo-random sequence tiam (PRGA - Pseudo-Random Generation Algorithm). Thawj theem yuav pib pib lub s-box siv tus yuam sij, thiab nyob rau theem thib ob cov ntawv sau tau ua tiav siv s-box rau kev encryption.
Cov kws sau ntawv RTM tau ntxiv cov kauj ruam nruab nrab ntawm s-box pib thiab encryption. Tus yuam sij ntxiv yog qhov sib txawv thiab tau teeb tsa tib lub sijhawm raws li cov ntaub ntawv yuav tsum tau encrypted thiab decrypted. Cov haujlwm uas ua cov kauj ruam ntxiv no yog qhia hauv daim duab hauv qab no.
4.2.2. Txoj hlua encryption
Thaum xub thawj siab ib muag, muaj ob peb kab nyeem tau nyob rau hauv lub ntsiab DLL. Tus so yog encrypted siv cov algorithm uas tau piav saum toj no, cov qauv uas tau qhia hauv daim duab hauv qab no. Peb pom ntau dua 25 qhov sib txawv RC4 yuam sij rau txoj hlua encryption hauv cov qauv tshuaj ntsuam. Tus yuam sij XOR txawv rau txhua kab. Tus nqi ntawm cov lej sib cais kab yog ib txwm 0xFFFFFFFF.
Thaum pib ntawm kev ua tiav, RTM decrypts cov hlua rau hauv lub ntiaj teb sib txawv. Thaum tsim nyog nkag mus rau ib txoj hlua, Trojan dynamically xam qhov chaw nyob ntawm cov hlua decrypted raws li qhov chaw nyob hauv paus thiab offset.
Cov hlua muaj cov ntaub ntawv nthuav dav txog malware lub luag haujlwm. Qee cov kab piv txwv tau muab rau hauv Tshooj 6.8.
4.3. Network
Txoj kev RTM malware hu rau C&C neeg rau zaub mov txawv ntawm version mus rau version. Thawj qhov kev hloov kho (Lub Kaum Hli 2015 - Plaub Hlis 2016) siv cov npe sau ib txwm siv nrog rau RSS pub ntawm livejournal.com los hloov kho cov npe ntawm cov lus txib.
Txij li lub Plaub Hlis 2016, peb tau pom qhov hloov pauv mus rau .bit domains hauv cov ntaub ntawv xov tooj. Qhov no tau lees paub los ntawm hnub sau npe sau npe - thawj RTM sau fde05d0573da.bit tau sau npe rau lub Peb Hlis 13, 2016.
Tag nrho cov URLs peb pom thaum saib xyuas cov phiaj xwm muaj ib txoj hauv kev: /r/z.php. Nws yog qhov txawv heev thiab nws yuav pab txheeb xyuas qhov kev thov RTM hauv kev sib txuas hauv network.
4.3.1. Channel rau commands thiab tswj
Cov qauv qub qub tau siv cov channel no los hloov kho lawv cov npe ntawm cov lus txib thiab tswj cov servers. Hosting nyob ntawm livejournal.com, thaum lub sijhawm sau tsab ntawv ceeb toom nws tseem nyob ntawm qhov URL hxxp://f72bba81c921.)livejournal.
Livejournal yog ib lub tuam txhab Lavxias-Asmeskas uas muab lub vev xaib blogging. RTM cov tswv lag luam tsim LJ blog uas lawv tshaj tawm ib tsab xov xwm nrog cov lus txib - saib screenshot.
Cov kab hais kom ua thiab kev tswj hwm yog encoded siv qhov hloov kho RC4 algorithm (Section 4.2). Tam sim no version (Kaum Ib Hlis 2016) ntawm channel muaj cov lus txib hauv qab no thiab tswj chaw nyob server:
- hxxp://cainmoon.)net/r/z.php
- hxxp://rtm.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. .bit domains
Hauv cov qauv RTM tsis ntev los no, cov kws sau ntawv txuas mus rau C&C domains siv .bit TLD sau npe saum toj kawg nkaus. Nws tsis yog nyob rau hauv ICANN (Domain Name thiab Internet Corporation) cov npe ntawm cov npe saum toj kawg nkaus. Hloov chaw, nws siv lub Namecoin system, uas yog tsim nyob rau sab saum toj ntawm Bitcoin technology. Malware sau ntawv tsis feem ntau siv .bit TLD rau lawv cov thawj, txawm hais tias ib qho piv txwv ntawm qhov kev siv no yav tas los tau pom nyob rau hauv ib tug version ntawm Necurs botnet.
Tsis zoo li Bitcoin, cov neeg siv ntawm qhov faib Namecoin database muaj peev xwm txuag tau cov ntaub ntawv. Daim ntawv thov tseem ceeb ntawm qhov tshwj xeeb no yog .bit sab saum toj-theem sau. Koj tuaj yeem sau npe sau npe uas yuav muab khaws cia rau hauv cov ntaub ntawv faib tawm. Cov nkag nkag hauv cov ntaub ntawv muaj cov chaw nyob IP daws los ntawm tus sau. Qhov TLD no yog "censorship-resistant" vim tias tsuas yog tus neeg sau npe tuaj yeem hloov qhov kev daws teeb meem ntawm .bit domain. Qhov no txhais tau hais tias nws nyuaj npaum li cas los txwv tsis pub tus neeg siab phem siv hom TLD no.
RTM Trojan tsis embed software tsim nyog los nyeem cov ntaub ntawv faib Namecoin. Nws siv central DNS servers xws li dns.dot-bit.org lossis OpenNic servers los daws .bit domains. Yog li ntawd, nws muaj tib lub sijhawm ntev li DNS servers. Peb tau pom tias qee pawg thawj coj tsis raug kuaj pom lawm tom qab tau hais hauv blog ncej.
Lwm qhov zoo dua ntawm .bit TLD rau hackers yog tus nqi. Txhawm rau sau npe rau npe, cov neeg ua haujlwm yuav tsum them 0,01 NK nkaus xwb, uas sib raug rau $ 0,00185 (raws li lub Kaum Ob Hlis 5, 2016). Rau kev sib piv, domain.com tus nqi tsawg kawg yog $ 10.
4.3.3. raws tu qauv
Txhawm rau sib txuas lus nrog cov lus txib thiab tswj cov neeg rau zaub mov, RTM siv HTTP POST thov nrog cov ntaub ntawv formatted siv cov txheej txheem kev cai. Txoj kev tus nqi yog ib txwm /r/z.php; Mozilla/5.0 tus neeg siv tus neeg sawv cev (tshaj; MSIE 9.0; Windows NT 6.1; Trident/5.0). Hauv kev thov rau tus neeg rau zaub mov, cov ntaub ntawv yog formatted raws li hauv qab no, qhov twg tus nqi offset tau qhia hauv bytes:
Bytes 0 txog 6 tsis tau encoded; bytes pib ntawm 6 yog encoded siv ib tug hloov kho RC4 algorithm. Cov qauv ntawm C&C cov ntawv teb yog yooj yim dua. Bytes yog encoded los ntawm 4 mus rau pob ntawv loj.
Cov npe ntawm qhov ua tau los ntawm qhov txiaj ntsig tau nthuav tawm hauv cov lus hauv qab no:
Tus malware ib txwm suav CRC32 ntawm cov ntaub ntawv decrypted thiab muab piv nrog cov khoom tam sim no hauv pob ntawv. Yog tias lawv txawv, Trojan poob lub pob ntawv.
Cov ntaub ntawv ntxiv tuaj yeem muaj ntau yam khoom, suav nrog cov ntaub ntawv PE, cov ntaub ntawv yuav tsum tau tshawb xyuas hauv cov ntaub ntawv kaw lus, lossis cov lus txib tshiab URLs.
4.3.4. Vaj huam sib luag
Peb pom tias RTM siv lub vaj huam sib luag ntawm C&C servers. Screenshot hauv qab no:
4.4. Yam ntxwv kos npe
RTM yog ib lub tuam txhab nyiaj txiag Trojan. Nws tsis yog qhov xav tsis thoob tias cov neeg ua haujlwm xav tau cov ntaub ntawv hais txog tus neeg raug tsim txom lub cev. Ntawm ib sab, bot khaws cov ntaub ntawv dav dav txog OS. Ntawm qhov tod tes, nws pom seb puas muaj kev cuam tshuam nrog cov khoom muaj feem cuam tshuam nrog Lavxias teb sab tuam txhab nyiaj hauv thaj chaw deb.
4.4.1. Cov ntaub ntawv dav dav
Thaum malware raug teeb tsa lossis tso tawm tom qab rov pib dua, ib daim ntawv tshaj tawm raug xa mus rau cov lus txib thiab tswj cov neeg rau zaub mov uas muaj cov ntaub ntawv dav dav suav nrog:
- Lub sij hawm;
- default system lus;
- tso cai rau cov neeg siv ntawv pov thawj;
- theem kev ncaj ncees;
- Tus neeg siv lub npe;
- lub npe computer;
- OS version;
- ntxiv modules;
- ntsia antivirus program;
- daim ntawv teev cov neeg nyeem daim npav ntse.
4.4.2 Chaw taws teeb tswj kev lag luam
Ib lub hom phiaj Trojan yog ib lub tuam txhab lag luam nyob deb nroog, thiab RTM tsis muaj qhov tshwj xeeb. Ib qho ntawm qhov kev zov me nyuam cov qauv hu ua TBdo, uas ua haujlwm ntau yam, suav nrog kev luam theej duab thiab tshawb xyuas keeb kwm.
Los ntawm kev luam theej duab disk, Trojan xyuas seb lub txhab nyiaj software puas tau nruab rau ntawm lub tshuab. Cov npe tag nrho ntawm cov phiaj xwm phiaj xwm yog nyob rau hauv cov lus hauv qab no. Thaum kuaj pom cov ntaub ntawv txaus siab, qhov kev pab cuam xa cov ntaub ntawv mus rau tus neeg rau zaub mov hais kom ua. Cov kev ua tom ntej no nyob ntawm cov logic tau teev tseg los ntawm qhov chaw hais kom ua (C&C) algorithms.
RTM kuj tseem saib rau cov qauv URL hauv koj qhov browser keeb kwm thiab qhib tabs. Tsis tas li ntawd, qhov kev zov me nyuam tshuaj xyuas kev siv FindNextUrlCacheEntryA thiab FindFirstUrlCacheEntryA ua haujlwm, thiab tseem xyuas txhua qhov nkag kom phim qhov URL rau ib qho ntawm cov qauv hauv qab no:
Tau kuaj pom cov tab qhib, Trojan tiv tauj Internet Explorer lossis Firefox los ntawm Dynamic Data Exchange (DDE) mechanism los xyuas seb lub tab puas phim tus qauv.
Tshawb xyuas koj qhov kev tshawb nrhiav keeb kwm thiab qhib tab yog ua nyob rau hauv ib lub voj voog WHILE (lub voj voog nrog qhov xwm txheej ua ntej) nrog rau 1 thib ob so ntawm cov tshev. Lwm cov ntaub ntawv uas tau saib xyuas hauv lub sijhawm tiag tiag yuav tau tham hauv ntu 4.5.
Yog tias pom tus qauv, qhov kev zov me nyuam tshaj tawm qhov no rau tus neeg rau zaub mov hais kom siv cov npe ntawm cov hlua los ntawm cov lus hauv qab no:
4.5 Kev saib xyuas
Thaum lub Trojan tab tom khiav, cov ntaub ntawv hais txog cov yam ntxwv ntawm cov kab mob uas muaj kab mob (nrog rau cov ntaub ntawv hais txog kev muaj peev txheej hauv tuam txhab nyiaj software) raug xa mus rau cov lus txib thiab kev tswj hwm server. Fingerprinting tshwm sim thaum RTM thawj zaug ua haujlwm saib xyuas tam sim tom qab pib OS scan.
4.5.1. Tej thaj chaw deb banking
TBdo module kuj yog lub luag haujlwm rau kev saib xyuas cov txheej txheem ntsig txog tuam txhab nyiaj. Nws siv cov ntaub ntawv hloov pauv hloov pauv los tshawb xyuas tab hauv Firefox thiab Internet Explorer thaum pib luam theej duab. Lwm TShell module yog siv los saib xyuas qhov rais hais kom ua (Internet Explorer lossis File Explorer).
Lub module siv COM interfaces IShellWindows, iWebBrowser, DWebBrowserEvents2 thiab IConnectionPointContainer los saib xyuas qhov rais. Thaum tus neeg siv nkag mus rau nplooj ntawv web tshiab, tus malware sau qhov no. Nws mam li muab piv rau nplooj ntawv URL nrog cov qauv saum toj no. Tom qab kuaj pom qhov sib tw, Trojan siv rau 5 lub screenshots sib law liag nrog lub sijhawm ntawm XNUMX vib nas this thiab xa lawv mus rau C & S hais kom ua server. Qhov kev zov me nyuam kuj tshawb xyuas qee lub npe lub qhov rais ntsig txog kev lag luam software - tag nrho cov npe hauv qab no:
4.5.2 ib. Daim npav ntse
RTM tso cai rau koj los saib xyuas daim npav ntse nyeem txuas nrog cov khoos phis tawj muaj kab mob. Cov khoom siv no tau siv nyob rau hauv qee lub tebchaws los sib cog lus kom them nyiaj. Yog tias cov cuab yeej no txuas nrog lub khoos phis tawj, nws tuaj yeem qhia rau Trojan tias lub tshuab tau siv rau kev lag luam nyiaj txiag.
Tsis zoo li lwm cov tuam txhab lag luam Trojans, RTM tsis tuaj yeem cuam tshuam nrog cov npav ntse. Tej zaum qhov kev ua haujlwm no suav nrog hauv ib qho ntxiv uas peb tsis tau pom dua.
4.5.3. Keylogger
Ib feem tseem ceeb ntawm kev saib xyuas lub PC muaj kab mob yog ntes cov keystrokes. Nws zoo nkaus li tias cov neeg tsim khoom RTM tsis ploj tag nrho cov ntaub ntawv, vim lawv saib xyuas tsis yog cov yuam sij tsis tu ncua, tab sis kuj tseem muaj cov keyboard virtual thiab cov ntawv teev cia.
Txhawm rau ua qhov no, siv SetWindowsHookExA muaj nuj nqi. Cov neeg tawm tsam nkag mus rau cov yuam sij nias lossis cov yuam sij cuam tshuam nrog cov keyboard virtual, nrog rau lub npe thiab hnub tim ntawm qhov program. Qhov tsis yog ces xa mus rau C&C hais kom ua server.
SetClipboardViewer muaj nuj nqi yog siv los cuam tshuam cov ntawv teev cia. Hackers sau cov ntsiab lus ntawm cov ntawv teev cia thaum cov ntaub ntawv yog ntawv. Lub npe thiab hnub tseem raug kaw ua ntej qhov tsis raug xa mus rau lub server.
4.5.4 ib. Cov duab thaij duab
Lwm txoj haujlwm RTM yog kev cuam tshuam screenshot. Qhov tshwj xeeb yog siv thaum lub qhov rais saib xyuas module pom ib qhov chaw lossis kev lag luam software ntawm kev txaus siab. Cov duab thaij duab raug coj los siv lub tsev qiv ntawv ntawm cov duab nraaj thiab xa mus rau cov neeg rau zaub mov hais kom ua.
4.6. Uninstallation
C&C server tuaj yeem tiv thaiv cov malware los ntawm kev khiav thiab ntxuav koj lub computer. Cov lus txib tso cai rau koj tshem tawm cov ntaub ntawv thiab cov ntawv sau npe tsim thaum RTM tab tom khiav. Lub DLL yog siv los tshem tawm cov malware thiab cov ntaub ntawv winlogon, tom qab ntawd cov lus txib kaw lub computer. Raws li pom hauv daim duab hauv qab no, DLL raug tshem tawm los ntawm cov neeg tsim khoom siv erase.dll.
Tus neeg rau zaub mov tuaj yeem xa Trojan kev puas tsuaj tshem tawm-xauv cov lus txib. Hauv qhov no, yog tias koj muaj cai tswj hwm, RTM yuav rho tawm MBR khau raj sector ntawm lub hard drive. Yog tias qhov no ua tsis tiav, Trojan yuav sim hloov MBR khau raj sector mus rau qhov chaw tsis sib xws - ces lub khoos phis tawj yuav tsis tuaj yeem khau raj OS tom qab kaw. Qhov no tuaj yeem ua rau rov ua tiav ntawm OS, uas txhais tau tias kev puas tsuaj ntawm cov pov thawj.
Yog tsis muaj cai tswj hwm, tus malware sau ib qho .EXE encoded hauv RTM DLL hauv qab. Lub executable executes cov cai xav tau los kaw lub computer thiab sau npe module nyob rau hauv lub HKCUCurrentVersionRun registry key. Txhua zaus tus neeg siv pib qhov kev sib tham, lub computer tam sim ntawd kaw.
4.7. Cov ntaub ntawv configuration
Los ntawm lub neej ntawd, RTM yuav luag tsis muaj cov ntaub ntawv teeb tsa, tab sis cov lus txib thiab kev tswj hwm tus neeg rau zaub mov tuaj yeem xa cov nqi teeb tsa uas yuav muab khaws cia rau hauv cov npe thiab siv los ntawm qhov program. Cov npe ntawm cov yuam sij configuration yog nthuav tawm hauv cov lus hauv qab no:
Cov kev teeb tsa tau muab khaws cia rau hauv Software [Pseudo-random hlua] sau npe yuam sij. Txhua tus nqi sib raug rau ib qho ntawm cov kab uas tau nthuav tawm hauv cov lus dhau los. Cov nqi thiab cov ntaub ntawv raug encoded siv RC4 algorithm hauv RTM.
Cov ntaub ntawv muaj cov qauv zoo ib yam li lub network lossis cov hlua. Ib tus yuam sij plaub-byte XOR tau ntxiv thaum pib ntawm cov ntaub ntawv encoded. Rau kev teeb tsa tus nqi, tus yuam sij XOR txawv thiab nyob ntawm qhov loj ntawm tus nqi. Nws tuaj yeem suav tau raws li hauv qab no:
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)
4.8. Lwm cov haujlwm
Tom ntej no, cia saib lwm cov haujlwm uas RTM txhawb nqa.
4.8.1 ib. Ntxiv modules
Lub Trojan suav nrog cov modules ntxiv, uas yog DLL cov ntaub ntawv. Modules xa los ntawm C&C cov neeg rau zaub mov tuaj yeem raug tua raws li cov kev pabcuam sab nraud, xav txog hauv RAM thiab tso tawm hauv cov xov tshiab. Rau kev cia, modules tau txais kev cawmdim hauv .dtt cov ntaub ntawv thiab encoded siv RC4 algorithm nrog tib tus yuam sij siv rau kev sib txuas lus hauv network.
Txog tam sim no peb tau pom qhov kev teeb tsa ntawm VNC module (8966319882494077C21F66A8354E2CBCA0370464), qhov browser cov ntaub ntawv rho tawm module (03DE8622BE6B2F75A364A275995C3411626B4C9E1_2E1E562_1E69E6E58E88753E7C0E3E4CXNUMXEXNUMXEXNUMXEXNUMXCXNUMXEXNUMXEXNUMXEXNUMXCXNUMXEXNUMXEXNUMXEXNUMXCXNUMXEXNUMXEXNUMXEXNUMXCXNUMXEXNUMXEXNUMXEXNUMXCXNUMXEXNUMXEXNUMXEXNUMXCXNUMXEXNUMXEXNUMXEXNUMXCXNUMXEXNUMX FCXNUMXFBAXNUMX BXNUMXBEXNUMXDXNUMXBXNUMXEXNUMXCFAB).
Txhawm rau thauj khoom VNC module, C&C neeg rau zaub mov teeb tsa cov lus txib thov kev sib txuas rau VNC server ntawm qhov chaw IP tshwj xeeb ntawm chaw nres nkoj 44443. Cov ntaub ntawv browser rub tawm plugin ua rau TBrowserDataCollector, uas tuaj yeem nyeem IE browsing keeb kwm. Tom qab ntawd nws xa tag nrho cov npe ntawm URLs mus xyuas rau C&C hais kom ua server.
Qhov kawg module nrhiav tau yog hu ua 1c_2_kl. Nws tuaj yeem cuam tshuam nrog 1C Enterprise software pob. Lub module suav nrog ob ntu: qhov tseem ceeb - DLL thiab ob tus neeg sawv cev (32 thiab 64 ntsis), uas yuav raug txhaj rau hauv txhua tus txheej txheem, sau npe kev khi rau WH_CBT. Tom qab nkag mus rau hauv 1C txheej txheem, lub module khi lub CreateFile thiab WriteFile zog. Thaum twg lub CreateFile bound muaj nuj nqi hu ua, lub module khaws cov ntaub ntawv txoj kev 1c_to_kl.txt nyob rau hauv lub cim xeeb. Tom qab cuam tshuam rau WriteFile hu, nws hu rau WriteFile muaj nuj nqi thiab xa cov ntaub ntawv txoj hauv kev 1c_to_kl.txt mus rau lub ntsiab DLL module, dhau nws lub crafted Windows WM_COPYDATA lus.
Lub ntsiab DLL module qhib thiab txheeb xyuas cov ntaub ntawv los txiav txim qhov kev txiav txim them nyiaj. Nws paub txog tus nqi thiab tus lej pauv uas muaj nyob hauv cov ntaub ntawv. Cov ntaub ntawv no raug xa mus rau lub server hais kom ua. Peb ntseeg tias cov qauv no tam sim no tab tom txhim kho vim nws muaj cov lus qhia debug thiab tsis tuaj yeem hloov kho 1c_to_kl.txt.
4.8.2 ib. Muaj cai nce ntxiv
RTM tej zaum yuav sim nce cov cai los ntawm kev nthuav tawm cov lus tsis raug. Tus malware simulates ib daim ntawv teev npe (saib daim duab hauv qab no) lossis siv lub cim sau npe tiag tiag. Thov nco ntsoov tus sau yuam kev tos - whait. Tom qab ob peb vib nas this ntawm scanning, qhov kev pab cuam qhia ib tug cuav lus yuam kev.
Cov lus tsis tseeb yuav yooj yim dag rau cov neeg siv nruab nrab, txawm tias tsis raug grammatical. Yog tias tus neeg siv nyem rau ntawm ib qho ntawm ob qhov txuas, RTM yuav sim ua kom nws cov cai hauv qhov system.
Tom qab xaiv ib qho ntawm ob txoj kev xaiv rov qab, Trojan pib DLL siv qhov kev xaiv runas hauv ShellExecute muaj nuj nqi nrog cov cai tswj hwm. Tus neeg siv yuav pom lub Windows tiag tiag (saib daim duab hauv qab no) kom nce siab. Yog tias tus neeg siv muab qhov tsim nyog tso cai, Trojan yuav khiav nrog cov cai tswj hwm.
Nyob ntawm seb hom lus uas tau teeb tsa hauv lub system, Trojan qhia cov lus yuam kev hauv Lavxias lossis Askiv.
4.8.3 ib. Daim ntawv pov thawj
RTM tuaj yeem ntxiv daim ntawv pov thawj rau Windows Store thiab lees paub qhov kev ntseeg tau ntawm qhov sib ntxiv los ntawm kev nias lub pob "yog" hauv csrss.exe dialog box. Qhov kev coj cwj pwm no tsis yog tshiab; piv txwv li, lub tuam txhab nyiaj txiag Trojan Retefe kuj lees paub qhov kev teeb tsa ntawm daim ntawv pov thawj tshiab.
4.8.4 ib. Rov qab kev sib txuas
RTM cov kws sau ntawv kuj tau tsim Backconnect TCP qhov. Peb tseem tsis tau pom qhov tshwj xeeb hauv kev siv, tab sis nws yog tsim los saib xyuas cov kab mob PCs.
4.8.5 ib. Kev tswj hwm cov ntaub ntawv
C&C server tuaj yeem xa cov lus txib mus rau Trojan los hloov kho Windows host file. Cov ntaub ntawv tswv tsev yog siv los tsim kev cai DNS daws teeb meem.
4.8.6 ib. Nrhiav thiab xa ib daim ntawv
Tus neeg rau zaub mov tuaj yeem thov tshawb nrhiav thiab rub tawm cov ntaub ntawv ntawm tus kab mob. Piv txwv li, thaum lub sijhawm tshawb fawb peb tau txais kev thov rau cov ntaub ntawv 1c_to_kl.txt. Raws li yav tas los tau piav, cov ntaub ntawv no yog tsim los ntawm 1C: Enterprise 8 accounting system.
4.8.7. Hloov tshiab
Thaum kawg, RTM cov kws sau ntawv tuaj yeem hloov kho cov software los ntawm kev xa DLL tshiab los hloov cov qauv tam sim no.
5. Xaus
RTM txoj kev tshawb fawb qhia tau hais tias Lavxias teb sab banking system tseem nyiam cyber attackers. Cov pab pawg xws li Buhtrap, Corkow thiab Carbanak ntse nyiag nyiaj los ntawm cov tuam txhab nyiaj txiag thiab lawv cov neeg siv khoom hauv Russia. RTM yog tus neeg ua si tshiab hauv kev lag luam no.
Cov cuab yeej phem RTM tau siv txij li thaum kawg ntawm xyoo 2015, raws li ESET telemetry. Qhov kev zov me nyuam muaj ntau yam kev soj ntsuam muaj peev xwm, suav nrog kev nyeem daim npav ntse, cuam tshuam cov keystrokes thiab saib xyuas kev lag luam hauv tuam txhab nyiaj, nrog rau kev tshawb nrhiav 1C: Enterprise 8 thauj cov ntaub ntawv.
Kev siv lub decentralized, uncensored .bit sab saum toj-theem sau kom ntseeg tau zoo heev resilient infrastructure.
Tau qhov twg los: www.hab.com