Gen plizyè gwoup cyber li te ye ki espesyalize nan vòlè lajan nan men konpayi Ris. Nou te wè atak itilize brèch sekirite ki pèmèt aksè nan rezo sib la. Yon fwa yo jwenn aksè, atakè yo etidye estrikti rezo òganizasyon an epi deplwaye pwòp zouti yo pou vòlè lajan. Yon egzanp klasik nan tandans sa a se gwoup pirate Buhtrap, Cobalt ak Corkow.
Gwoup RTM ke rapò sa a konsantre sou se yon pati nan tandans sa a. Li itilize malveyan ki fèt espesyalman ekri nan Delphi, ke nou pral gade an plis detay nan seksyon sa yo. Premye tras zouti sa yo nan sistèm telemetri ESET la te dekouvri nan fen 2015. Ekip la chaje plizyè nouvo modil sou sistèm ki enfekte jan sa nesesè. Atak yo vize a itilizatè sistèm bankè aleka nan Larisi ak kèk peyi vwazen.
1. Objektif
Kanpay RTM a vize pou itilizatè antrepriz - sa a se evidan nan pwosesis atakè yo eseye detekte nan yon sistèm konpwomèt. Konsantre a se sou lojisyèl kontablite pou travay ak sistèm bankè aleka.
Lis pwosesis ki enterese RTM sanble ak lis korespondan gwoup Buhtrap, men gwoup yo gen diferan vektè enfeksyon. Si Buhtrap te itilize fo paj pi souvan, Lè sa a, RTM te itilize atak download drive-by (atak sou navigatè a oswa konpozan li yo) ak spamming pa imel. Dapre done telemetrik, menas la vize a Larisi ak plizyè peyi ki tou pre (Ikrèn, Kazakhstan, Repiblik Tchekoslovaki, Almay). Sepandan, akòz itilizasyon mekanis distribisyon mas, deteksyon malveyan deyò rejyon sib yo pa etone.
Kantite total deteksyon malveyan se relativman piti. Nan lòt men an, kanpay RTM la sèvi ak pwogram konplèks, ki endike ke atak yo trè vize.
Nou te dekouvri plizyè dokiman RTM itilize, tankou kontra ki pa egziste, fakti oswa dokiman kontablite taks. Nati a nan lasisiy yo, konbine avèk kalite lojisyèl ki vize pa atak la, endike ke atakè yo ap "antre" nan rezo konpayi Ris yo atravè depatman kontablite a. Gwoup la te aji dapre menm konplo a nan 2014-2015
Pandan rechèch la, nou te kapab kominike avèk plizyè C&C sèvè. Nou pral lis lis la konplè nan kòmandman nan seksyon sa yo, men pou kounye a nou ka di ke kliyan an transfere done ki sòti nan kelodje a dirèkteman nan sèvè a atake, ki soti nan ki kòmandman adisyonèl yo Lè sa a, yo resevwa.
Sepandan, jou ou te kapab tou senpleman konekte ak yon sèvè kòmand ak kontwòl epi kolekte tout done ou te enterese nan yo ale. Nou rkree dosye log reyalis pou jwenn kèk kòmandman ki enpòtan nan sèvè a.
Premye a nan yo se yon demann nan bot la transfere fichye a 1c_to_kl.txt - yon dosye transpò nan pwogram nan 1C: Enterprise 8, aparans nan ki se aktivman kontwole pa RTM. 1C kominike avèk sistèm bankè aleka yo lè li telechaje done sou peman sortan yo nan yon dosye tèks. Apre sa, yo voye dosye a nan sistèm bankè aleka pou automatisation ak ekzekisyon lòd peman an.
Fichye a gen detay peman. Si atakè yo chanje enfòmasyon sou peman an, yo pral voye transfè a ak fo detay sou kont atakè yo.
Apeprè yon mwa apre yo fin mande fichye sa yo nan sèvè kòmand ak kontwòl, nou te obsève yon nouvo plugin, 1c_2_kl.dll, ke yo te chaje sou sistèm konpwomèt la. Modil la (DLL) fèt pou analize otomatikman fichye telechaje a pa antre nan pwosesis lojisyèl kontablite yo. Nou pral dekri li an detay nan seksyon sa yo.
Enteresan, FinCERT nan Bank Larisi nan fen ane 2016 te pibliye yon bilten avètisman sou sibè kriminèl lè l sèvi avèk dosye 1c_to_kl.txt. Devlopè ki soti nan 1C konnen tou sou konplo sa a yo te deja fè yon deklarasyon ofisyèl ak prekosyon ki nan lis.
Lòt modil yo te chaje tou nan sèvè lòd la, an patikilye VNC (vèsyon 32 ak 64-bit li yo). Li sanble ak modil VNC ki te deja itilize nan atak Dridex Trojan. Modil sa a sipozeman itilize pou konekte adistans ak yon òdinatè ki enfekte epi fè yon etid detaye sou sistèm nan. Apre sa, atakè yo eseye deplase atravè rezo a, ekstrè modpas itilizatè yo, kolekte enfòmasyon ak asire prezans nan konstan nan malveyan.
2. Vektè enfeksyon
Figi sa a montre vektè enfeksyon yo detekte pandan peryòd etid kanpay la. Gwoup la sèvi ak yon pakèt vektè, men sitou drive-by download atak ak spam. Zouti sa yo se pratik pou atak vize, depi nan premye ka a, atakè yo ka chwazi sit ki te vizite pa viktim potansyèl yo, ak nan dezyèm lan, yo ka voye imèl ak atachman dirèkteman bay anplwaye konpayi yo vle.
Malveyan yo distribye atravè plizyè chanèl, tankou RIG ak Sundown eksplwatasyon twous oswa spam poste, ki endike koneksyon ant atakè yo ak lòt siberatakatè ki ofri sèvis sa yo.
2.1. Ki jan RTM ak Buhtrap gen rapò?
Kanpay RTM a sanble anpil ak Buhtrap. Kesyon natirèl la se: ki jan yo gen rapò youn ak lòt?
Nan mwa septanm 2016, nou te obsève yon echantiyon RTM yo te distribye lè l sèvi avèk uploader Buhtrap la. Anplis de sa, nou te jwenn de sètifika dijital yo itilize nan tou de Buhtrap ak RTM.
Premye a, swadizan bay konpayi an DNISTER-M, te itilize pou siyen dijitalman dezyèm fòm Delphi a (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) ak Buhtrap DLL (SHA-1: 1E2642B454B2F889A6: 41116).
Dezyèm lan, ki te bay Bit-Tredj, te itilize pou siyen Buhtrap loaders (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 ak B74F71560E48488D2153AE2FB51207A0FB206A2BXNUMX), osi byen ke konpozan RTMXNUMXEXNUMXFBXNUMXAXNUMXBXNUMX.
Operatè RTM yo sèvi ak sètifika ki komen nan lòt fanmi malveyan, men yo gen tou yon sètifika inik. Dapre ESET telemetry, li te bay Kit-SD epi yo te itilize sèlman pou siyen kèk malveyan RTM (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM itilize loader a menm ak Buhtrap, konpozan RTM yo chaje nan enfrastrikti Buhtrap, kidonk gwoup yo gen endikatè rezo menm jan an. Sepandan, dapre estimasyon nou yo, RTM ak Buhtrap se gwoup diferan, omwen paske RTM distribye nan diferan fason (pa sèlman lè l sèvi avèk yon downloader "etranje").
Malgre sa, gwoup pirate itilize prensip fonksyònman menm jan an. Yo vize biznis yo lè l sèvi avèk lojisyèl kontablite, menm jan an kolekte enfòmasyon sistèm, chèche lektè kat entelijan, ak deplwaye yon seri zouti move pou espyone viktim yo.
3. Evolisyon
Nan seksyon sa a, nou pral gade diferan vèsyon malveyan yo te jwenn pandan etid la.
3.1. Versioning
RTM estoke done konfigirasyon nan yon seksyon rejis, pati ki pi enteresan an se botne-prefiks. Yon lis tout valè nou te wè nan echantiyon nou etidye yo prezante nan tablo ki anba a.
Li posib ke valè yo ta ka itilize pou anrejistre vèsyon malveyan yo. Sepandan, nou pa t remake anpil diferans ant vèsyon tankou bit2 ak bit3, 0.1.6.4 ak 0.1.6.6. Anplis, youn nan prefiks yo te alantou depi kòmansman an e li te evolye soti nan yon domèn tipik C&C nan yon domèn .bit, jan yo pral montre anba a.
3.2. Orè
Sèvi ak done telemetrik, nou te kreye yon graf nan ensidan an nan echantiyon.
4. analiz teknik
Nan seksyon sa a, nou pral dekri fonksyon prensipal yo nan Trojan bankè RTM, ki gen ladan mekanis rezistans, pwòp vèsyon li yo nan algorithm RC4, pwotokòl rezo a, fonksyon espyonaj ak kèk lòt karakteristik. An patikilye, nou pral konsantre sou echantiyon SHA-1 AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 ak 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. Enstalasyon ak ekonomize
4.1.1. Aplikasyon
Nwayo RTM a se yon DLL, bibliyotèk la chaje sou disk lè l sèvi avèk .EXE. Fichye ègzekutabl la anjeneral pake epi li gen kòd DLL. Yon fwa te lanse, li ekstrè DLL a epi kouri li lè l sèvi avèk lòd sa a:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. DLL
DLL prensipal la toujou chaje sou disk kòm winlogon.lnk nan katab %PROGRAMDATA%Winlogon. Anjeneral, ekstansyon fichye sa a asosye ak yon chemen kout, men fichye a se aktyèlman yon DLL ekri nan Delphi, ke pwomotè a rele core.dll, jan yo montre nan imaj ki anba a.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Yon fwa te lanse, Trojan a aktive mekanis rezistans li yo. Sa ka fèt nan de fason diferan, selon privilèj viktim nan nan sistèm nan. Si ou gen dwa administratè, Trojan a ajoute yon antre Windows Update nan rejis HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun. Kòmandman ki nan Windows Update ap kouri nan kòmansman sesyon itilizatè a.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Mizajou [REG_SZ] = rundll32.exe "%PROGRAMDATA%winlogon.lnk",DllGetClassObject host
Trojan a tou ap eseye ajoute yon travay nan Windows Task Scheduler. Travay la pral lanse winlogon.lnk DLL la ak paramèt yo menm jan pi wo a. Dwa itilizatè regilye pèmèt Trojan a ajoute yon antre Windows Update ak menm done yo nan rejis HKCUSoftwareMicrosoftWindowsCurrentVersionRun:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Modifye RC4 algorithm
Malgre enpèfeksyon li te ye, algorithm RC4 la regilyèman itilize pa otè malveyan. Sepandan, kreyatè yo nan RTM modifye li yon ti kras, pwobableman fè travay la nan analis viris pi difisil. Yon vèsyon modifye nan RC4 se lajman ki itilize nan zouti move RTM ankripte fisèl, done rezo, konfigirasyon ak modil.
4.2.1. Diferans
Algorithm RC4 orijinal la gen ladan de etap: inisyalizasyon s-blòk (aka KSA - Key-Scheduling Algorithm) ak jenerasyon pseudo-o aza sekans (PRGA - Pseudo-Random Generation Algorithm). Premye etap la enplike inisyalize s-box la lè l sèvi avèk kle a, epi nan dezyèm etap la se tèks sous la trete lè l sèvi avèk s-box la pou chifreman.
Otè RTM yo te ajoute yon etap entèmedyè ant inisyalizasyon s-box ak chifreman. Kle adisyonèl la varyab epi li mete an menm tan ak done yo dwe chiffres ak dechifre. Fonksyon ki fè etap adisyonèl sa a montre nan figi ki anba a.
4.2.2. Kòd chifreman
Nan premye gade, gen plizyè liy lizib nan DLL prensipal la. Rès yo ankripte lè l sèvi avèk algorithm ki dekri pi wo a, estrikti ki montre nan figi sa a. Nou te jwenn plis pase 25 kle RC4 diferan pou chifreman fisèl nan echantiyon analize yo. Kle XOR la diferan pou chak ranje. Valè jaden nimerik ki separe liy yo toujou 0xFFFFFFFF.
Nan kòmansman an nan ekzekisyon, RTM dechifre fisèl yo nan yon varyab mondyal. Lè sa nesesè pou jwenn aksè nan yon fisèl, Trojan a dinamik kalkile adrès la nan fisèl yo dechifre ki baze sou adrès la baz ak konpanse.
Fisèl yo genyen enfòmasyon enteresan sou fonksyon malveyan an. Gen kèk egzanp fisèl yo bay nan Seksyon 6.8.
4.3. Rezo
Fason malveyan RTM kontakte sèvè C&C a varye de vèsyon an vèsyon. Premye modifikasyon yo (Oktòb 2015 - Avril 2016) te itilize non domèn tradisyonèl ansanm ak yon RSS sou livejournal.com pou mete ajou lis kòmandman yo.
Depi avril 2016, nou te wè yon chanjman nan domèn .bit nan done telemetrik. Sa a konfime pa dat anrejistreman domèn - premye domèn RTM fde05d0573da.bit te anrejistre sou 13 mas 2016.
Tout URL yo nou te wè pandan y ap kontwole kanpay la te gen yon chemen komen: /r/z.php. Li byen etranj epi li pral ede idantifye demann RTM nan koule rezo a.
4.3.1. Chèn pou kòmandman ak kontwòl
Egzanp eritaj yo te itilize chanèl sa a pou mete ajou lis sèvè kòmand ak kontwòl yo. Hosting sitiye nan livejournal.com, nan moman an nan ekri rapò a li te rete nan URL la hxxp://f72bba81c921(.)livejournal(.)com/data/rss.
Livejournal se yon konpayi Ris-Ameriken ki bay yon platfòm blog. Operatè RTM kreye yon blog LJ kote yo poste yon atik ak kòmandman kode - gade ekran.
Liy kòmand ak kontwòl yo kode lè l sèvi avèk yon algorithm modifye RC4 (Seksyon 4.2). Vèsyon aktyèl la (Novanm 2016) nan kanal la gen adrès sa yo lòd ak kontwòl sèvè:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. .bit domèn
Nan echantiyon RTM ki pi resan yo, otè yo konekte ak domèn C&C lè l sèvi avèk domèn siperyè .bit TLD. Li pa nan lis domèn wo nivo ICANN (Domain Name and Internet Corporation). Olye de sa, li sèvi ak sistèm nan Namecoin, ki bati sou tèt teknoloji Bitcoin. Otè malveyan pa souvan itilize .bit TLD pou domèn yo, byenke yon egzanp itilizasyon sa yo te deja obsève nan yon vèsyon botne Necurs la.
Kontrèman ak Bitcoin, itilizatè yo nan baz done Namecoin distribye gen kapasite pou konsève pou done yo. Aplikasyon prensipal la nan karakteristik sa a se domèn nan tèt-nivo .bit. Ou ka anrejistre domèn ki pral estoke nan yon baz done distribye. Antre korespondan yo nan baz done a gen adrès IP rezoud pa domèn nan. TLD sa a se "sansi-rezistan" paske se sèlman moun ki anrejistre a ka chanje rezolisyon an nan domèn nan .bit. Sa vle di ke li pi difisil pou sispann yon domèn move lè l sèvi avèk kalite TLD sa a.
Trojan RTM a pa entegre lojisyèl ki nesesè pou li baz done Namecoin distribiye a. Li itilize serveurs DNS santral tankou dns.dot-bit.org oswa OpenNic pou rezoud domèn .bit. Se poutèt sa, li gen menm rezistans ak sèvè dns. Nou te obsève ke kèk domèn ekip yo pa te detekte ankò apre yo te mansyone nan yon pòs blog.
Yon lòt avantaj nan .bit TLD pou entru se pri. Pou anrejistre yon domèn, operatè yo bezwen peye sèlman 0,01 NK, ki koresponn ak $0,00185 (apati 5 desanm 2016). Pou konparezon, domain.com koute omwen $10.
4.3.3. Pwotokòl
Pou kominike ak sèvè kòmand ak kontwòl, RTM itilize demann HTTP POST ak done fòma lè l sèvi avèk yon pwotokòl koutim. Valè chemen an se toujou /r/z.php; Ajan itilizatè Mozilla/5.0 (konpatib; MSIE 9.0; Windows NT 6.1; Trident/5.0). Nan demann nan sèvè a, done yo fòma jan sa a, kote valè konpanse yo eksprime an byte:
Bytes 0 a 6 yo pa kode; byte kòmanse nan 6 yo kode lè l sèvi avèk yon algorithm RC4 modifye. Estrikti pake repons C&C la pi senp. Byte yo kode soti nan 4 nan gwosè pake.
Lis valè posib byte aksyon yo prezante nan tablo ki anba a:
Malveyan an toujou kalkile CRC32 nan done yo dechifre epi konpare li ak sa ki prezan nan pake a. Si yo diferan, Trojan a lage pake a.
Done adisyonèl yo ka genyen plizyè objè, tankou yon fichye PE, yon fichye pou chèche nan sistèm fichye a, oswa nouvo URL lòd.
4.3.4. Panel
Nou remake ke RTM itilize yon panèl sou C&C sèvè. Ekran anba a:
4.4. Siy karakteristik
RTM se yon Trojan bankè tipik. Li pa etone ke operatè yo vle enfòmasyon sou sistèm viktim nan. Sou yon bò, bot la kolekte enfòmasyon jeneral sou eksplwatasyon an. Nan lòt men an, li jwenn si wi ou non sistèm nan konpwomèt gen atribi ki asosye ak Ris sistèm bankè aleka.
4.4.1. enfòmasyon jeneral
Lè malveyan enstale oswa lanse apre yon rdemare, yo voye yon rapò sou sèvè lòd ak kontwòl ki gen enfòmasyon jeneral ki gen ladan:
- Timezone;
- lang sistèm default;
- kalifikasyon itilizatè otorize;
- nivo entegrite pwosesis;
- Non itilizatè;
- non òdinatè;
- OS vèsyon;
- modil adisyonèl enstale;
- enstale pwogram antivirus;
- lis lektè kat entelijan.
4.4.2 Sistèm bankè adistans
Yon sib Trojan tipik se yon sistèm bankè aleka, ak RTM pa gen okenn eksepsyon. Youn nan modil pwogram nan yo rele TBdo, ki fè plizyè travay, tankou analize disk ak istwa Navigasyon.
Lè w tcheke disk la, Trojan a tcheke si lojisyèl bankè enstale sou machin nan. Lis konplè pwogram sib yo nan tablo ki anba a. Èske w gen detekte yon dosye ki enterese, pwogram nan voye enfòmasyon nan sèvè a lòd. Pwochen aksyon yo depann de lojik algoritm sant kòmand (C&C) espesifye.
RTM gade tou modèl URL nan istwa navigatè w la ak onglè louvri. Anplis de sa, pwogram nan egzamine itilizasyon fonksyon FindNextUrlCacheEntryA ak FindFirstUrlCacheEntryA, epi tou tcheke chak antre pou matche URL la ak youn nan modèl sa yo:
Lè Trojan la detekte onglè ki louvri, Trojan kontakte Internet Explorer oswa Firefox atravè mekanis Dynamic Data Exchange (DDE) pou tcheke si tab la matche ak modèl la.
Tcheke istwa navigasyon ou ak onglet louvri yo fèt nan yon bouk WHILE (yon bouk ki gen yon kondisyon anvan) ak yon repo 1 segonn ant chèk yo. Lòt done ki kontwole an tan reyèl pral diskite nan seksyon 4.5.
Si yo jwenn yon modèl, pwogram nan rapòte sa a bay sèvè lòd la lè l sèvi avèk yon lis fisèl nan tablo sa a:
4.5 Siveyans
Pandan Trojan a ap kouri, enfòmasyon sou karakteristik karakteristik sistèm ki enfekte a (ki gen ladan enfòmasyon sou prezans lojisyèl bankè) yo voye bay sèvè lòd ak kontwòl. Anprent dwèt rive lè RTM premye kouri sistèm siveyans la imedyatman apre premye eskanè OS la.
4.5.1. Banking adistans
Modil TBdo a responsab tou pou kontwole pwosesis ki gen rapò ak bank yo. Li itilize echanj done dinamik pou tcheke onglè nan Firefox ak Internet Explorer pandan premye eskanè a. Yo itilize yon lòt modil TShell pou kontwole fenèt kòmand (Internet Explorer oswa File Explorer).
Modil la sèvi ak COM interfaces IShellWindows, iWebBrowser, DWebBrowserEvents2 ak IConnectionPointContainer pou kontwole fenèt yo. Lè yon itilizatè navige nan yon nouvo paj entènèt, malveyan an note sa. Lè sa a, li konpare URL paj la ak modèl ki anwo yo. Èske w gen detekte yon match, Trojan a pran sis Ekran youn apre lòt ak yon entèval nan 5 segonn epi voye yo nan sèvè a lòd C&S. Pwogram nan tcheke tou kèk non fenèt ki gen rapò ak lojisyèl bankè - lis konplè a anba a:
4.5.2. Kat entelijan
RTM pèmèt ou kontwole lektè kat entelijan ki konekte ak òdinatè ki enfekte. Aparèy sa yo itilize nan kèk peyi pou rekonsilye lòd peman. Si se kalite aparèy sa a tache ak yon òdinatè, li ta ka endike nan yon Trojan ke machin nan yo te itilize pou tranzaksyon bankè.
Kontrèman ak lòt trwayen bankè yo, RTM pa ka kominike avèk kat entelijan sa yo. Petèt fonksyonalite sa a enkli nan yon modil adisyonèl ke nou poko wè.
4.5.3. Kelodje
Yon pati enpòtan nan kontwole yon PC ki enfekte se kaptire frap. Li sanble ke devlopè RTM yo pa manke okenn enfòmasyon, paske yo kontwole pa sèlman kle regilye yo, men tou, klavye vityèl la ak clipboard.
Pou fè sa, sèvi ak fonksyon SetWindowsHookExA. Atakè yo konekte kle yo peze oswa kle ki koresponn ak klavye vityèl la, ansanm ak non ak dat pwogram nan. Lè sa a, tanpon an voye nan sèvè a lòd C&C.
Yo itilize fonksyon SetClipboardViewer pou entèsepte clipboard la. Hackers konekte sa ki nan clipboard la lè done yo se tèks. Non ak dat yo tou konekte anvan yo voye tanpon nan sèvè a.
4.5.4. Ekran
Yon lòt fonksyon RTM se entèsepsyon ekran. Karakteristik la aplike lè modil siveyans fenèt la detekte yon sit oswa lojisyèl bankè ki enterese. Ekran yo pran lè l sèvi avèk yon bibliyotèk imaj grafik epi yo transfere nan sèvè a lòd.
4.6. Dezenstalasyon
Sèvè C&C a ka anpeche malveyan yo kouri epi netwaye òdinatè w lan. Kòmandman an pèmèt ou netwaye dosye ak antre rejis ki te kreye pandan RTM ap kouri. Lè sa a, DLL la itilize yo retire malveyan an ak dosye a winlogon, apre sa kòmandman an fèmen òdinatè a. Jan yo montre nan imaj ki anba a, devlopè yo retire DLL la lè l sèvi avèk erase.dll.
Sèvè a ka voye Trojan a yon lòd destriktif dezenstalasyon-lock. Nan ka sa a, si ou gen dwa administratè, RTM pral efase sektè bòt MBR sou kondwi a difisil. Si sa a pa travay, Trojan a pral eseye deplase sektè bòt MBR a nan yon sektè o aza - Lè sa a, òdinatè a pa pral kapab bòt eksplwatasyon an apre fèmen. Sa a ka mennen nan yon re-enstalasyon konplè nan eksplwatasyon an, ki vle di destriksyon nan prèv.
San privilèj administratè, malveyan an ekri yon .EXE kode nan DLL RTM ki kache. Ègzèkutabl la egzekite kòd ki nesesè pou fèmen òdinatè a epi anrejistre modil la nan kle rejis HKCUCurrentVersionRun la. Chak fwa itilizatè a kòmanse yon sesyon, òdinatè a fèmen imedyatman.
4.7. Fichye konfigirasyon an
Pa default, RTM gen prèske pa gen okenn dosye konfigirasyon, men sèvè a lòd ak kontwòl ka voye valè konfigirasyon ki pral estoke nan rejis la epi itilize pa pwogram nan. Lis kle konfigirasyon yo prezante nan tablo ki anba a:
Konfigirasyon an estoke nan kle rejis lojisyèl [pseudo-random string]. Chak valè koresponn ak youn nan ranje yo prezante nan tablo anvan an. Valè ak done yo kode lè l sèvi avèk algorithm RC4 nan RTM.
Done yo gen menm estrikti ak yon rezo oswa fisèl. Yon kle XOR kat-octet te ajoute nan kòmansman done kode yo. Pou valè konfigirasyon, kle XOR la diferan epi li depann de gwosè valè a. Li ka kalkile jan sa a:
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(valè_config)| (len(config_value) << 8)
4.8. Lòt fonksyon
Apre sa, ann gade lòt fonksyon ke RTM sipòte.
4.8.1. Modil adisyonèl
Trojan a gen ladan modil adisyonèl, ki se dosye DLL. Modil yo voye soti nan sèvè a lòd C&C ka egzekite kòm pwogram ekstèn, reflete nan RAM ak lanse nan fil nouvo. Pou depo, modil yo sove nan fichye .dtt epi yo kode lè l sèvi avèk algorithm RC4 ak menm kle yo itilize pou kominikasyon rezo a.
Jiskaprezan nou te obsève enstalasyon modil VNC a (8966319882494077C21F66A8354E2CBCA0370464), modil ekstraksyon done navigatè a (03DE8622BE6B2F75A364A275995C3411626C4D9E1E_2) ak modil la C1FBA562B 1BE69D6B58E88753CFAB).
Pou chaje modil VNC a, sèvè C&C la bay yon kòmandman pou mande koneksyon ak sèvè VNC a nan yon adrès IP espesifik sou pò 44443. Plugin pou jwenn done navigatè a egzekite TBrowserDataCollector, ki ka li istwa navigasyon IE. Lè sa a, li voye lis konplè URL yo vizite nan sèvè a lòd C&C.
Dènye modil dekouvri yo rele 1c_2_kl. Li ka kominike avèk pake lojisyèl 1C Enterprise la. Modil la gen ladan de pati: pati prensipal la - DLL ak de ajan (32 ak 64 bit), ki pral sou fòm piki nan chak pwosesis, enskri yon obligatwa nan WH_CBT. Lè yo te prezante nan pwosesis 1C la, modil la mare fonksyon CreateFile ak WriteFile. Chak fwa yo rele fonksyon CreateFile bound, modil la estoke chemen dosye 1c_to_kl.txt nan memwa. Apre yo fin entèsepte apèl WriteFile a, li rele fonksyon WriteFile a epi li voye chemen fichye a 1c_to_kl.txt nan modil DLL prensipal la, li pase mesaj WM_COPYDATA Windows fabrike.
Modil prensipal DLL la louvri epi analize fichye a pou detèmine lòd peman. Li rekonèt kantite lajan ak nimewo tranzaksyon ki nan dosye a. Yo voye enfòmasyon sa a bay sèvè kòmand la. Nou kwè modil sa a ap devlope kounye a paske li gen yon mesaj debug epi li pa ka modifye otomatikman 1c_to_kl.txt.
4.8.2. Eskalad privilèj
RTM ka eseye ogmante privilèj lè li montre fo mesaj erè. Malveyan an simule yon chèk rejis (gade foto ki anba a) oswa itilize yon ikòn editè rejis reyèl. Tanpri sonje move òtograf wait - wait. Apre kèk segonn nan optik, pwogram nan montre yon mesaj erè fo.
Yon fo mesaj pral fasil twonpe itilizatè an mwayèn, malgre erè gramatikal. Si itilizatè a klike sou youn nan de lyen yo, RTM ap eseye ogmante privilèj li yo nan sistèm nan.
Apre w fin chwazi youn nan de opsyon rekiperasyon, Trojan la lanse DLL la lè l sèvi avèk opsyon runas nan fonksyon ShellExecute ak privilèj administratè. Itilizatè a pral wè yon èd memwa Windows reyèl (gade imaj ki anba a) pou elevasyon. Si itilizatè a bay otorizasyon ki nesesè yo, Trojan a pral kouri ak privilèj administratè.
Tou depan de lang nan default enstale sou sistèm nan, Trojan a montre mesaj erè nan Ris oswa angle.
4.8.3. Sètifika
RTM ka ajoute sètifika nan magazen Windows epi konfime fyab nan adisyon a lè li otomatikman klike sou bouton "wi" nan bwat dyalòg csrss.exe. Konpòtman sa a pa nouvo pou egzanp, Trojan bankè Retefe tou poukont konfime enstalasyon an nan yon nouvo sètifika.
4.8.4. Ranvèse koneksyon
Otè RTM yo te kreye tinèl TCP Backconnect la tou. Nou poko wè karakteristik nan itilize ankò, men li fèt pou kontwole PC ki enfekte yo.
4.8.5. Jesyon dosye lame
Sèvè C&C a ka voye yon lòd bay Trojan pou modifye dosye Windows lame a. Fichye lame a itilize pou kreye rezolisyon DNS koutim.
4.8.6. Jwenn epi voye yon dosye
Sèvè a ka mande pou chèche ak telechaje yon dosye sou sistèm ki enfekte a. Pa egzanp, pandan rechèch la nou te resevwa yon demann pou dosye 1c_to_kl.txt. Jan sa te dekri deja, dosye sa a se 1C: sistèm kontablite Enterprise 8 ki te pwodwi.
4.8.7. Mizajou
Finalman, otè RTM yo ka mete ajou lojisyèl an lè yo soumèt yon nouvo DLL pou ranplase vèsyon aktyèl la.
5. Konklizyon
Rechèch RTM a montre ke sistèm bankè Ris la toujou atire atakè cyber. Gwoup tankou Buhtrap, Corkow ak Carbanak avèk siksè vòlè lajan nan men enstitisyon finansye yo ak kliyan yo nan Larisi. RTM se yon nouvo jwè nan endistri sa a.
Zouti RTM move yo te itilize depi omwen fen 2015, dapre ESET telemetry. Pwogram nan gen yon pakèt kapasite espyonaj, ki gen ladan li kat entelijan, entèsepte frap ak siveyans tranzaksyon bankè yo, osi byen ke rechèch pou 1C: Enterprise 8 fichye transpò.
Itilizasyon yon domèn desantralize, san sansi .bit nivo siperyè asire enfrastrikti trè fleksib.
Sous: www.habr.com