Postoji nekoliko poznatih cyber skupina koje su specijalizirane za krađu sredstava od ruskih tvrtki. Vidjeli smo napade koji koriste sigurnosne rupe koje dopuštaju pristup ciljnoj mreži. Nakon što dobiju pristup, napadači proučavaju mrežnu strukturu organizacije i koriste vlastite alate za krađu sredstava. Klasičan primjer ovog trenda su hakerske grupe Buhtrap, Cobalt i Corkow.
Grupa RTM na koju se fokusira ovo izvješće dio je ovog trenda. Koristi posebno dizajniran zlonamjerni softver napisan u Delphiju, koji ćemo detaljnije pogledati u sljedećim odjeljcima. Prvi tragovi ovih alata u ESET telemetrijskom sustavu otkriveni su krajem 2015. godine. Tim prema potrebi učitava razne nove module na zaražene sustave. Napadi su usmjereni na korisnike sustava daljinskog bankarstva u Rusiji i nekim susjednim zemljama.
1. Ciljevi
RTM kampanja je usmjerena na korporativne korisnike - to je očito iz procesa koje napadači pokušavaju otkriti u kompromitiranom sustavu. Fokus je na računovodstvenom softveru za rad sa sustavima daljinskog bankarstva.
Popis procesa od interesa za RTM nalikuje odgovarajućem popisu grupe Buhtrap, ali grupe imaju različite vektore infekcije. Ako je Buhtrap češće koristio lažne stranice, onda je RTM koristio drive-by download napade (napade na preglednik ili njegove komponente) i spam emailom. Prema telemetrijskim podacima, prijetnja je usmjerena prema Rusiji i nekoliko obližnjih zemalja (Ukrajina, Kazahstan, Češka, Njemačka). Međutim, zbog korištenja mehanizama masovne distribucije, otkrivanje zlonamjernog softvera izvan ciljanih regija ne iznenađuje.
Ukupan broj otkrivanja zlonamjernog softvera je relativno mali. S druge strane, RTM kampanja koristi složene programe, što ukazuje da su napadi visoko ciljani.
Otkrili smo nekoliko dokumenata mamaca koje koristi RTM, uključujući nepostojeće ugovore, fakture ili porezne računovodstvene dokumente. Priroda mamaca, u kombinaciji s vrstom softvera koji je cilj napada, ukazuje na to da napadači "ulaze" u mreže ruskih tvrtki preko računovodstvenog odjela. Grupa je djelovala po istoj shemi u 2014.-2015
Tijekom istraživanja uspjeli smo komunicirati s nekoliko C&C poslužitelja. Navest ćemo cijeli popis naredbi u sljedećim odjeljcima, ali za sada možemo reći da klijent prenosi podatke iz keyloggera izravno na napadački poslužitelj, od kojeg zatim prima dodatne naredbe.
Međutim, prošla su vremena kada ste se jednostavno mogli spojiti na poslužitelj za naredbe i kontrolu i prikupiti sve podatke koji su vas zanimali. Ponovno smo izradili realistične datoteke dnevnika kako bismo dobili neke relevantne naredbe s poslužitelja.
Prvi od njih je zahtjev botu za prijenos datoteke 1c_to_kl.txt - prijenosne datoteke programa 1C: Enterprise 8, čiji izgled aktivno prati RTM. 1C komunicira sa sustavima daljinskog bankarstva učitavanjem podataka o odlaznim uplatama u tekstualnu datoteku. Zatim se datoteka šalje u sustav daljinskog bankarstva radi automatizacije i izvršenja naloga za plaćanje.
Datoteka sadrži podatke o plaćanju. Ako napadači promijene podatke o odlaznim plaćanjima, prijenos će biti poslan s lažnim podacima na račune napadača.
Otprilike mjesec dana nakon zahtjeva za ovim datotekama od servera za naredbe i kontrolu, primijetili smo da se novi dodatak, 1c_2_kl.dll, učitava na ugroženi sustav. Modul (DLL) je dizajniran za automatsku analizu preuzete datoteke prodiranjem u procese računovodstvenog softvera. Detaljno ćemo ga opisati u sljedećim odjeljcima.
Zanimljivo je da je FinCERT Banke Rusije krajem 2016. izdao bilten s upozorenjem o kibernetičkim kriminalcima koji koriste datoteke za učitavanje 1c_to_kl.txt. Programeri iz 1C također znaju za ovu shemu; već su dali službenu izjavu i naveli mjere opreza.
Ostali moduli također su učitavani s naredbenog poslužitelja, posebno VNC (njegove 32 i 64-bitne verzije). Sliči VNC modulu koji se prije koristio u napadima Dridex Trojan. Ovaj modul se navodno koristi za daljinsko povezivanje sa zaraženim računalom i provođenje detaljne studije sustava. Zatim se napadači pokušavaju kretati mrežom, izvlačeći korisničke lozinke, prikupljajući informacije i osiguravajući stalnu prisutnost zlonamjernog softvera.
2. Vektori infekcije
Sljedeća slika prikazuje vektore infekcije otkrivene tijekom razdoblja istraživanja kampanje. Grupa koristi širok raspon vektora, ali uglavnom drive-by download napade i spam. Ovi su alati prikladni za ciljane napade, budući da u prvom slučaju napadači mogu odabrati stranice koje posjećuju potencijalne žrtve, a u drugom slučaju mogu poslati e-poštu s privicima izravno željenim zaposlenicima tvrtke.
Zlonamjerni softver se distribuira kroz više kanala, uključujući RIG i Sundown setove za iskorištavanje ili neželjenu poštu, što ukazuje na veze između napadača i drugih kibernetičkih napadača koji nude ove usluge.
2.1. Kako su RTM i Buhtrap povezani?
RTM kampanja vrlo je slična Buhtrapu. Prirodno pitanje je: kako su međusobno povezani?
U rujnu 2016. uočili smo distribuciju RTM uzorka pomoću Buhtrap uploadera. Osim toga, pronašli smo dva digitalna certifikata koji se koriste u Buhtrapu i RTM-u.
Prvi, navodno izdan tvrtki DNISTER-M, korišten je za digitalno potpisivanje drugog Delphi obrasca (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) i Buhtrap DLL-a (SHA-1: 1E2642B454A2C889B6D41116CCDBA83F6F2D4890 XNUMX).
Drugi, izdan Bit-Tredju, korišten je za potpisivanje Buhtrap loadera (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 i B74F71560E48488D2153AE2FB51207A0AC206E2B), kao i za preuzimanje i instaliranje RTM komponenti.
RTM operateri koriste certifikate koji su zajednički ostalim obiteljima zlonamjernog softvera, ali također imaju jedinstveni certifikat. Prema telemetriji ESET-a, izdan je Kit-SD-u i korišten je samo za potpisivanje nekog RTM zlonamjernog softvera (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM koristi isti učitavač kao Buhtrap, RTM komponente se učitavaju iz Buhtrap infrastrukture, tako da grupe imaju slične mrežne pokazatelje. Međutim, prema našim procjenama, RTM i Buhtrap su različite skupine, barem zato što se RTM distribuira na različite načine (ne samo korištenjem “stranog” downloadera).
Unatoč tome, hakerske skupine koriste slične principe djelovanja. Ciljaju na tvrtke koje koriste računovodstveni softver, na sličan način prikupljaju informacije o sustavu, traže čitače pametnih kartica i koriste niz zlonamjernih alata za špijuniranje žrtava.
3. Evolucija
U ovom ćemo odjeljku pogledati različite verzije zlonamjernog softvera pronađene tijekom studije.
3.1. Verziranje
RTM pohranjuje podatke o konfiguraciji u odjeljku registra, a najzanimljiviji dio je botnet prefiks. Popis svih vrijednosti koje smo vidjeli u uzorcima koje smo proučavali prikazan je u tablici u nastavku.
Moguće je da se vrijednosti mogu koristiti za snimanje verzija zlonamjernog softvera. Međutim, nismo primijetili veliku razliku između verzija kao što su bit2 i bit3, 0.1.6.4 i 0.1.6.6. Štoviše, jedan od prefiksa postoji od samog početka i razvio se od tipične C&C domene do .bit domene, kao što će biti prikazano u nastavku.
3.2. Raspored
Pomoću telemetrijskih podataka izradili smo graf pojavljivanja uzoraka.
4. Tehnička analiza
U ovom odjeljku opisat ćemo glavne funkcije RTM bankovnog Trojana, uključujući mehanizme otpornosti, vlastitu verziju RC4 algoritma, mrežni protokol, funkciju špijuniranja i neke druge značajke. Posebno ćemo se usredotočiti na SHA-1 uzorke AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 i 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. Instalacija i spremanje
4.1.1. Provedba
RTM jezgra je DLL, biblioteka se učitava na disk pomoću .EXE. Izvršna datoteka obično je zapakirana i sadrži DLL kod. Nakon pokretanja, izdvaja DLL i pokreće ga pomoću sljedeće naredbe:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. DLL
Glavni DLL uvijek se učitava na disk kao winlogon.lnk u mapi %PROGRAMDATA%Winlogon. Ovo proširenje datoteke obično je povezano s prečacem, ali datoteka je zapravo DLL napisan u Delphiju, koji je programer nazvao core.dll, kao što je prikazano na slici ispod.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Jednom lansiran, trojanac aktivira svoj otporni mehanizam. To se može učiniti na dva različita načina, ovisno o privilegijama žrtve u sustavu. Ako imate administratorska prava, trojanac dodaje unos Windows Update u registar HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun. Naredbe sadržane u Windows Updateu pokrenut će se na početku korisničke sesije.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host
Trojanac također pokušava dodati zadatak u Windows Task Scheduler. Zadatak će pokrenuti winlogon.lnk DLL s istim parametrima kao gore. Uobičajena korisnička prava dopuštaju trojancu da doda Windows Update unos s istim podacima u registar HKCUSoftwareMicrosoftWindowsCurrentVersionRun:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Modificirani RC4 algoritam
Unatoč poznatim nedostacima, autori zlonamjernog softvera redovito koriste algoritam RC4. Međutim, tvorci RTM-a su ga malo modificirali, vjerojatno kako bi otežali zadatak analitičarima virusa. Modificirana verzija RC4 naširoko se koristi u zlonamjernim RTM alatima za šifriranje nizova, mrežnih podataka, konfiguracije i modula.
4.2.1. Razlike
Izvorni RC4 algoritam uključuje dvije faze: inicijalizaciju s-bloka (aka KSA - Key-Scheduling Algorithm) i generiranje pseudo-slučajnog niza (PRGA - Pseudo-Random Generation Algorithm). Prva faza uključuje inicijalizaciju s-boxa pomoću ključa, au drugoj fazi izvorni tekst se obrađuje pomoću s-boxa za enkripciju.
Autori RTM-a dodali su međukorak između inicijalizacije s-boxa i enkripcije. Dodatni ključ je varijabilan i postavlja se u isto vrijeme kad i podaci koji se šifriraju i dekriptiraju. Funkcija koja izvodi ovaj dodatni korak prikazana je na donjoj slici.
4.2.2. Enkripcija niza
Na prvi pogled postoji nekoliko čitljivih redaka u glavnom DLL-u. Ostali su šifrirani pomoću gore opisanog algoritma, čija je struktura prikazana na sljedećoj slici. U analiziranim uzorcima pronašli smo više od 25 različitih RC4 ključeva za enkripciju niza. Ključ XOR različit je za svaki red. Vrijednost numeričkog polja koje razdvaja linije uvijek je 0xFFFFFFFF.
Na početku izvođenja, RTM dekriptira nizove u globalnu varijablu. Kada je potrebno pristupiti nizu, trojanac dinamički izračunava adresu dešifriranih nizova na temelju osnovne adrese i pomaka.
Nizovi sadrže zanimljive informacije o funkcijama zlonamjernog softvera. Neki primjeri nizova navedeni su u odjeljku 6.8.
4.3. Mreža
Način na koji RTM malware kontaktira C&C poslužitelj razlikuje se od verzije do verzije. Prve izmjene (listopad 2015. – travanj 2016.) koristile su tradicionalne nazive domena zajedno s RSS feedom na livejournal.com za ažuriranje popisa naredbi.
Od travnja 2016. vidjeli smo prelazak na .bit domene u telemetrijskim podacima. To potvrđuje i datum registracije domene – prva RTM domena fde05d0573da.bit registrirana je 13. ožujka 2016. godine.
Svi URL-ovi koje smo vidjeli tijekom praćenja kampanje imali su zajednički put: /r/z.php. To je prilično neobično i pomoći će identificirati RTM zahtjeve u mrežnim tokovima.
4.3.1. Kanal za naredbe i kontrolu
Naslijeđeni primjeri koristili su ovaj kanal za ažuriranje popisa poslužitelja za naredbe i kontrolu. Hosting se nalazi na livejournal.com, u trenutku pisanja izvješća ostao je na URL-u hxxp://f72bba81c921(.)livejournal(.)com/data/rss.
Livejournal je rusko-američka tvrtka koja pruža platformu za bloganje. RTM operateri stvaraju LJ blog na kojem objavljuju članak s kodiranim naredbama - pogledajte snimak zaslona.
Naredbeni i kontrolni redovi kodirani su pomoću modificiranog RC4 algoritma (odjeljak 4.2). Trenutna verzija (studeni 2016.) kanala sadrži sljedeće adrese poslužitelja za naredbe i kontrolu:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. .bit domene
U najnovijim RTM uzorcima, autori se povezuju s C&C domenama pomoću .bit TLD domene najviše razine. Nije na popisu domena najviše razine ICANN-a (Domain Name and Internet Corporation). Umjesto toga, koristi sustav Namecoin koji je izgrađen na vrhu Bitcoin tehnologije. Autori zlonamjernog softvera ne koriste često .bit TLD za svoje domene, iako je primjer takve upotrebe ranije primijećen u verziji Necurs botneta.
Za razliku od Bitcoina, korisnici distribuirane baze podataka Namecoin imaju mogućnost spremanja podataka. Glavna primjena ove značajke je .bit domena najviše razine. Možete registrirati domene koje će biti pohranjene u distribuiranoj bazi podataka. Odgovarajući unosi u bazi podataka sadrže IP adrese koje je domena razriješila. Ovaj TLD je "otporan na cenzuru" jer samo podnositelj registracije može promijeniti rezoluciju .bit domene. To znači da je mnogo teže zaustaviti zlonamjernu domenu pomoću ove vrste TLD-a.
Trojanac RTM ne ugrađuje softver potreban za čitanje distribuirane baze podataka Namecoin. Za rješavanje .bit domena koristi središnje DNS poslužitelje kao što su dns.dot-bit.org ili OpenNic poslužitelji. Stoga ima istu trajnost kao i DNS poslužitelji. Primijetili smo da neke timske domene više nisu otkrivene nakon što su spomenute u postu na blogu.
Još jedna prednost .bit TLD-a za hakere je cijena. Za registraciju domene operateri trebaju platiti samo 0,01 NK, što odgovara 0,00185 dolara (od 5. prosinca 2016.). Za usporedbu, domain.com košta najmanje 10 USD.
4.3.3. Protokol
Za komunikaciju s poslužiteljem za naredbe i kontrolu, RTM koristi HTTP POST zahtjeve s podacima formatiranim korištenjem prilagođenog protokola. Vrijednost staze je uvijek /r/z.php; Mozilla/5.0 korisnički agent (kompatibilan; MSIE 9.0; Windows NT 6.1; Trident/5.0). U zahtjevima prema poslužitelju, podaci su formatirani na sljedeći način, gdje su vrijednosti pomaka izražene u bajtovima:
Bajtovi 0 do 6 nisu kodirani; bajtovi počevši od 6 su kodirani korištenjem modificiranog RC4 algoritma. Struktura C&C paketa odgovora je jednostavnija. Bajtovi su kodirani od 4 do veličine paketa.
Popis mogućih vrijednosti akcijskih bajtova prikazan je u tablici u nastavku:
Zlonamjerni softver uvijek izračunava CRC32 dekriptiranih podataka i uspoređuje ih s onim što je prisutno u paketu. Ako se razlikuju, trojanac ispušta paket.
Dodatni podaci mogu sadržavati različite objekte, uključujući PE datoteku, datoteku koju treba pretraživati u datotečnom sustavu ili nove URL-ove naredbi.
4.3.4. Ploča
Primijetili smo da RTM koristi panel na C&C poslužiteljima. Snimak zaslona u nastavku:
4.4. Karakterističan znak
RTM je tipičan bankarski trojanac. Nije iznenađenje da operateri žele informacije o sustavu žrtve. S jedne strane, bot prikuplja opće informacije o OS-u. S druge strane, otkriva sadrži li kompromitirani sustav atribute povezane s ruskim sustavima daljinskog bankarstva.
4.4.1. Opće informacije
Kada se zlonamjerni softver instalira ili pokrene nakon ponovnog pokretanja, izvješće se šalje poslužitelju za naredbe i kontrolu koje sadrži opće informacije uključujući:
- Vremenska zona;
- zadani jezik sustava;
- vjerodajnice ovlaštenog korisnika;
- razina integriteta procesa;
- Korisničko ime;
- naziv računala;
- verzija OS-a;
- dodatni instalirani moduli;
- instaliran antivirusni program;
- popis čitača pametnih kartica.
4.4.2 Sustav daljinskog bankarstva
Tipična trojanska meta je sustav daljinskog bankarstva, a RTM nije iznimka. Jedan od modula programa zove se TBdo, koji obavlja različite zadatke, uključujući skeniranje diskova i povijest pregledavanja.
Skeniranjem diska trojanac provjerava je li na stroju instaliran bankarski softver. Potpuni popis ciljanih programa nalazi se u tablici u nastavku. Nakon što je otkrio datoteku od interesa, program šalje informacije poslužitelju naredbi. Sljedeće radnje ovise o logici koju određuju algoritmi zapovjednog centra (C&C).
RTM također traži uzorke URL-ova u povijesti preglednika i otvorenim karticama. Osim toga, program ispituje korištenje funkcija FindNextUrlCacheEntryA i FindFirstUrlCacheEntryA, a također provjerava svaki unos kako bi odgovarao URL-u jednom od sljedećih uzoraka:
Nakon što otkrije otvorene kartice, trojanac kontaktira Internet Explorer ili Firefox putem mehanizma dinamičke razmjene podataka (DDE) kako bi provjerio odgovara li kartica uzorku.
Provjera vaše povijesti pregledavanja i otvorenih kartica izvodi se u WHILE petlji (petlji s preduvjetom) s pauzom od 1 sekunde između provjera. Ostali podaci koji se prate u stvarnom vremenu bit će razmotreni u odjeljku 4.5.
Ako je uzorak pronađen, program to prijavljuje poslužitelju naredbi koristeći popis nizova iz sljedeće tablice:
4.5 Praćenje
Dok je trojanac pokrenut, informacije o karakterističnim značajkama zaraženog sustava (uključujući informacije o prisutnosti bankarskog softvera) šalju se naredbeno-kontrolnom poslužitelju. Fingerprinting se događa kada RTM prvi put pokrene sustav za nadzor odmah nakon početnog skeniranja OS-a.
4.5.1. Daljinsko bankarstvo
TBdo modul također je odgovoran za praćenje procesa vezanih uz bankarstvo. Koristi dinamičku razmjenu podataka za provjeru kartica u preglednicima Firefox i Internet Explorer tijekom početnog skeniranja. Drugi modul TShell koristi se za nadzor prozora s naredbama (Internet Explorer ili File Explorer).
Modul koristi COM sučelja IShellWindows, iWebBrowser, DWebBrowserEvents2 i IConnectionPointContainer za nadzor prozora. Kada korisnik prijeđe na novu web stranicu, zlonamjerni softver to bilježi. Zatim uspoređuje URL stranice s gornjim uzorcima. Nakon što otkrije podudarnost, trojanac snima šest uzastopnih snimki zaslona u intervalu od 5 sekundi i šalje ih C&S naredbenom poslužitelju. Program također provjerava neke nazive prozora koji se odnose na bankarski softver - cijeli popis je ispod:
4.5.2. Pametna kartica
RTM vam omogućuje praćenje čitača pametnih kartica spojenih na zaražena računala. Ovi se uređaji koriste u nekim zemljama za usklađivanje naloga za plaćanje. Ako je ova vrsta uređaja spojena na računalo, to bi trojancu moglo značiti da se stroj koristi za bankovne transakcije.
Za razliku od drugih bankarskih trojanaca, RTM ne može komunicirati s takvim pametnim karticama. Možda je ova funkcionalnost uključena u dodatni modul koji još nismo vidjeli.
4.5.3. Keylogger
Važan dio nadzora zaraženog računala je hvatanje tipki. Čini se da programerima RTM-a ne nedostaju nikakve informacije, budući da prate ne samo obične tipke, već i virtualnu tipkovnicu i međuspremnik.
Da biste to učinili, upotrijebite funkciju SetWindowsHookExA. Napadači bilježe pritisnute tipke ili tipke koje odgovaraju virtualnoj tipkovnici, zajedno s nazivom i datumom programa. Međuspremnik se zatim šalje poslužitelju C&C naredbi.
Funkcija SetClipboardViewer koristi se za presretanje međuspremnika. Hakeri bilježe sadržaj međuspremnika kada su podaci tekst. Ime i datum također se bilježe prije slanja međuspremnika na poslužitelj.
4.5.4. Snimke zaslona
Još jedna RTM funkcija je presretanje snimke zaslona. Značajka se primjenjuje kada modul za nadzor prozora otkrije zanimljivu stranicu ili bankarski softver. Snimke zaslona se snimaju korištenjem biblioteke grafičkih slika i prenose na naredbeni poslužitelj.
4.6. Deinstalacija
C&C poslužitelj može zaustaviti pokretanje zlonamjernog softvera i očistiti vaše računalo. Naredba vam omogućuje brisanje datoteka i unosa registra stvorenih dok je RTM pokrenut. DLL se zatim koristi za uklanjanje zlonamjernog softvera i datoteke winlogon, nakon čega naredba gasi računalo. Kao što je prikazano na slici ispod, DLL uklanjaju programeri pomoću erase.dll.
Poslužitelj može trojancu poslati destruktivnu naredbu za deinstalaciju i zaključavanje. U tom slučaju, ako imate administratorska prava, RTM će izbrisati MBR boot sektor na tvrdom disku. Ako to ne uspije, trojanac će pokušati prebaciti MBR boot sektor u nasumični sektor - tada računalo neće moći pokrenuti OS nakon gašenja. To može dovesti do potpune ponovne instalacije OS-a, što znači uništavanje dokaza.
Bez administratorskih povlastica, zlonamjerni softver piše .EXE kodiran u temeljni RTM DLL. Izvršna datoteka izvršava kod potreban za gašenje računala i registrira modul u ključ registra HKCUCurrentVersionRun. Svaki put kada korisnik započne sesiju, računalo se odmah gasi.
4.7. Konfiguracijska datoteka
Prema zadanim postavkama, RTM nema gotovo nikakvu konfiguracijsku datoteku, ali naredbeni i kontrolni poslužitelj može poslati konfiguracijske vrijednosti koje će biti pohranjene u registru i korištene od strane programa. Popis konfiguracijskih ključeva prikazan je u tablici ispod:
Konfiguracija je pohranjena u ključu registra Software[pseudo-slučajni niz]. Svaka vrijednost odgovara jednom od redaka prikazanih u prethodnoj tablici. Vrijednosti i podaci su kodirani pomoću RC4 algoritma u RTM.
Podaci imaju istu strukturu kao mreža ili nizovi. Ključ XOR od četiri bajta dodaje se na početku kodiranih podataka. Za konfiguracijske vrijednosti ključ XOR je drugačiji i ovisi o veličini vrijednosti. Može se izračunati na sljedeći način:
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)
4.8. Ostale značajke
Zatim, pogledajmo ostale funkcije koje RTM podržava.
4.8.1. Dodatni moduli
Trojanac uključuje dodatne module, koji su DLL datoteke. Moduli poslani s C&C naredbenog poslužitelja mogu se izvršiti kao vanjski programi, odraziti u RAM-u i pokrenuti u novim nitima. Za pohranu, moduli se spremaju u .dtt datoteke i kodiraju pomoću RC4 algoritma s istim ključem koji se koristi za mrežnu komunikaciju.
Do sada smo uočili instalaciju VNC modula (8966319882494077C21F66A8354E2CBCA0370464), modula za ekstrakciju podataka preglednika (03DE8622BE6B2F75A364A275995C3411626C4D9F) i 1c_2_kl modula (B1EE562E1 F69EFC6FBA58 B88753BE7D0B3E4CFAB).
Za učitavanje VNC modula, C&C poslužitelj izdaje naredbu kojom se zahtijeva povezivanje s VNC poslužiteljem na određenoj IP adresi na portu 44443. Dodatak za dohvaćanje podataka preglednika izvršava TBrowserDataCollector, koji može čitati povijest pregledavanja IE. Zatim šalje potpuni popis posjećenih URL-ova poslužitelju C&C naredbi.
Posljednji otkriveni modul zove se 1c_2_kl. Može komunicirati s programskim paketom 1C Enterprise. Modul uključuje dva dijela: glavni dio - DLL i dva agenta (32 i 64 bita), koji će biti umetnuti u svaki proces, registrirajući vezanje na WH_CBT. Nakon što je uveden u proces 1C, modul povezuje funkcije CreateFile i WriteFile. Kad god se pozove vezana funkcija CreateFile, modul sprema put datoteke 1c_to_kl.txt u memoriju. Nakon presretanja poziva WriteFile, poziva funkciju WriteFile i šalje stazu datoteke 1c_to_kl.txt glavnom DLL modulu, prosljeđujući mu izrađenu Windows WM_COPYDATA poruku.
Glavni DLL modul otvara i analizira datoteku za utvrđivanje naloga za plaćanje. Prepoznaje iznos i broj transakcije sadržan u datoteci. Ove informacije šalju se poslužitelju naredbi. Vjerujemo da je ovaj modul trenutno u razvoju jer sadrži poruku o otklanjanju pogrešaka i ne može automatski mijenjati 1c_to_kl.txt.
4.8.2. Eskalacija privilegija
RTM može pokušati eskalirati privilegije prikazivanjem lažnih poruka o pogrešci. Zlonamjerni softver simulira provjeru registra (pogledajte sliku ispod) ili koristi pravu ikonu uređivača registra. Obratite pažnju na pravopisnu pogrešku čekaj – čekaj. Nakon nekoliko sekundi skeniranja, program prikazuje lažnu poruku o pogrešci.
Lažna poruka lako će prevariti prosječnog korisnika, unatoč gramatičkim pogreškama. Ako korisnik klikne na jednu od dvije poveznice, RTM će pokušati eskalirati svoje privilegije u sustavu.
Nakon odabira jedne od dvije opcije oporavka, trojanac pokreće DLL pomoću opcije runas u funkciji ShellExecute s administratorskim ovlastima. Korisnik će vidjeti pravi Windows upit (pogledajte sliku ispod) za podizanje. Ako korisnik da potrebna dopuštenja, trojanac će se pokrenuti s administratorskim ovlastima.
Ovisno o zadanom jeziku instaliranom na sustavu, trojanac prikazuje poruke o pogrešci na ruskom ili engleskom jeziku.
4.8.3. Potvrda
RTM može dodati certifikate u Windows Store i potvrditi pouzdanost dodavanja automatskim klikom na gumb "da" u dijaloškom okviru csrss.exe. Ovakvo ponašanje nije novo; primjerice, bankarski trojanac Retefe također samostalno potvrđuje instalaciju novog certifikata.
4.8.4. Obrnuti spoj
Autori RTM-a također su kreirali Backconnect TCP tunel. Još nismo vidjeli ovu značajku u upotrebi, ali je dizajnirana za daljinski nadzor zaraženih računala.
4.8.5. Upravljanje datotekama domaćina
C&C poslužitelj može poslati naredbu trojancu da izmijeni Windows host datoteku. Host datoteka koristi se za stvaranje prilagođenih DNS rezolucija.
4.8.6. Pronađite i pošaljite datoteku
Poslužitelj može zatražiti pretraživanje i preuzimanje datoteke na zaraženom sustavu. Na primjer, tijekom istraživanja dobili smo zahtjev za datoteku 1c_to_kl.txt. Kao što je prethodno opisano, ovu datoteku generira računovodstveni sustav 1C: Enterprise 8.
4.8.7. Ažurirajte
Konačno, autori RTM-a mogu ažurirati softver podnošenjem novog DLL-a koji će zamijeniti trenutnu verziju.
5. zaključak
RTM-ovo istraživanje pokazuje da ruski bankarski sustav još uvijek privlači cyber napadače. Grupe kao što su Buhtrap, Corkow i Carbanak uspješno kradu novac od financijskih institucija i njihovih klijenata u Rusiji. RTM je novi igrač u ovoj industriji.
Zlonamjerni RTM alati u upotrebi su barem od kraja 2015., prema ESET-ovoj telemetriji. Program ima cijeli niz mogućnosti špijuniranja, uključujući čitanje pametnih kartica, presretanje pritisaka na tipke i praćenje bankovnih transakcija, kao i traženje 1C: Enterprise 8 prijenosnih datoteka.
Korištenje decentralizirane, necenzurirane .bit domene najviše razine osigurava vrlo otpornu infrastrukturu.
Izvor: www.habr.com