Számos olyan kibercsoport ismert, amelyek orosz cégektől származó pénzek ellopására szakosodtak. Láttunk olyan támadásokat, amelyek olyan biztonsági réseket használnak, amelyek lehetővé teszik a célpont hálózatához való hozzáférést. Amint hozzáférnek, a támadók tanulmányozzák a szervezet hálózati struktúráját, és saját eszközeiket alkalmazzák a pénzek ellopására. Klasszikus példája ennek a trendnek a Buhtrap, Cobalt és Corkow hackercsoportok.
Az RTM-csoport, amelyre ez a jelentés összpontosít, ennek a tendenciának a része. Speciálisan tervezett, Delphiben írt kártevőket használ, amelyeket a következő részekben részletesebben is megvizsgálunk. Ezeknek az eszközöknek az első nyomait az ESET telemetriai rendszerében 2015 végén fedezték fel. A csapat szükség szerint különféle új modulokat tölt be a fertőzött rendszerekre. A támadások a távoli bankrendszerek oroszországi és néhány szomszédos ország felhasználóit célozzák.
1. Célkitűzések
Az RTM kampány a vállalati felhasználókat célozza meg – ez nyilvánvaló azokból a folyamatokból, amelyeket a támadók egy feltört rendszerben próbálnak észlelni. A hangsúly a távoli banki rendszerekkel való munkavégzéshez szükséges számviteli szoftvereken van.
Az RTM számára érdekes folyamatok listája hasonlít a Buhtrap csoport megfelelő listájára, de a csoportok különböző fertőzési vektorokkal rendelkeznek. Ha a Buhtrap gyakrabban használt hamis oldalakat, akkor az RTM drive-by download támadásokat (a böngésző vagy annak összetevői elleni támadásokat) és az e-mailben történő kéretlen leveleket. A telemetriai adatok szerint a fenyegetés Oroszországra és több közeli országra (Ukrajna, Kazahsztán, Csehország, Németország) irányul. A tömeges terjesztési mechanizmusok alkalmazása miatt azonban nem meglepő a rosszindulatú programok észlelése a célterületeken kívül.
A rosszindulatú programok észlelésének teljes száma viszonylag kicsi. Másrészt az RTM kampány összetett programokat használ, ami azt jelzi, hogy a támadások erősen célzottak.
Számos, az RTM által használt csali bizonylatot fedeztünk fel, köztük nem létező szerződéseket, számlákat vagy adószámviteli bizonylatokat. A csalik jellege és a támadás által megcélzott szoftver típusa azt jelzi, hogy a támadók a könyvelési osztályon keresztül „belépnek” orosz cégek hálózataiba. A csoport ugyanazon séma szerint járt el 2014-2015 között
A kutatás során több C&C szerverrel is kapcsolatba tudtunk lépni. A következő részekben felsoroljuk a parancsok teljes listáját, de egyelőre elmondhatjuk, hogy a kliens közvetlenül továbbítja az adatokat a keyloggerből a támadó szerverre, ahonnan aztán további parancsok érkeznek.
Azok az idők azonban, amikor egyszerűen csatlakozhattak egy parancs- és vezérlőkiszolgálóhoz, és összegyűjthettek minden érdeklő adatot, elmúltak. Valósághű naplófájlokat hoztunk létre újra, hogy néhány releváns parancsot megkapjunk a szervertől.
Az első egy kérés a bothoz, hogy vigye át az 1c_to_kl.txt fájlt - az 1C: Enterprise 8 program szállítási fájlját, amelynek megjelenését az RTM aktívan figyeli. Az 1C együttműködik a távoli banki rendszerekkel azáltal, hogy feltölti a kimenő fizetésekre vonatkozó adatokat egy szöveges fájlba. Ezután a fájl elküldésre kerül a távoli banki rendszerbe a fizetési megbízás automatizálása és végrehajtása céljából.
A fájl fizetési adatokat tartalmaz. Ha a támadók megváltoztatják a kimenő fizetésekkel kapcsolatos információkat, az átutalás hamis adatokkal kerül elküldésre a támadók fiókjaiba.
Körülbelül egy hónappal azután, hogy lekértük ezeket a fájlokat a parancs- és vezérlőkiszolgálótól, megfigyeltük, hogy egy új bővítmény, az 1c_2_kl.dll betöltődik a feltört rendszerbe. A modult (DLL) úgy tervezték, hogy automatikusan elemezze a letöltött fájlt, behatolva a könyvelési szoftver folyamataiba. A következő részekben részletesen ismertetjük.
Érdekes módon a Bank of Russia FinCERT-je 2016 végén figyelmeztetést adott ki az 1c_to_kl.txt feltöltési fájlokat használó kiberbűnözőkről. Az 1C fejlesztői is tudnak erről a konstrukcióról, már hivatalos nyilatkozatot tettek, és felsorolták az óvintézkedéseket.
Más modulok is betöltésre kerültek a parancskiszolgálóról, különösen a VNC (annak 32 és 64 bites verziója). A korábban Dridex trójai támadásoknál használt VNC-modulra hasonlít. Ezt a modult állítólag egy fertőzött számítógéphez való távoli csatlakozásra és a rendszer részletes tanulmányozására használják. Ezt követően a támadók megpróbálnak mozogni a hálózaton, felhasználói jelszavakat kinyerve, információkat gyűjtenek, és biztosítják a rosszindulatú programok folyamatos jelenlétét.
2. A fertőzés vektorai
Az alábbi ábra a kampány vizsgálati időszakában észlelt fertőzési vektorokat mutatja be. A csoport a vektorok széles skáláját alkalmazza, de főleg a drive-by letöltési támadásokat és a spamet. Ezek az eszközök kényelmesek célzott támadásokhoz, mivel az első esetben a támadók kiválaszthatják a potenciális áldozatok által meglátogatott webhelyeket, a második esetben pedig közvetlenül küldhetnek e-mailt mellékletekkel a kívánt vállalati alkalmazottaknak.
A rosszindulatú program több csatornán keresztül terjeszthető, beleértve a RIG és Sundown exploit kiteket vagy spam leveleket, jelezve a kapcsolatot a támadók és más, ezeket a szolgáltatásokat kínáló számítógépes támadók között.
2.1. Hogyan kapcsolódik az RTM és a Buhtrap?
Az RTM kampány nagyon hasonlít a Buhtraphez. A természetes kérdés: hogyan kapcsolódnak egymáshoz?
2016 szeptemberében megfigyeltük, hogy egy RTM-mintát terjesztenek a Buhtrap feltöltő segítségével. Ezenkívül két digitális tanúsítványt is találtunk, amelyeket a Buhtrap és az RTM egyaránt használ.
Az elsőt, amelyet állítólag a DNISTER-M cégnek állítottak ki, a második Delphi-űrlap (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) és a Buhtrap DLL (SHA-1: 1E2642B454F2DBA889B6B41116D83D6D2DL) digitális aláírására használták. 4890).
A második, a Bit-Tredj-nek kiadott Buhtrap betöltők (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 és B74F71560E48488D2153AE2FB51207A), valamint az RTM-betöltők, valamint az RTMAC0E, valamint a206B komponensek aláírására szolgált.
Az RTM-üzemeltetők olyan tanúsítványokat használnak, amelyek más rosszindulatú programcsaládokban is előfordulnak, de egyedi tanúsítvánnyal is rendelkeznek. Az ESET telemetria szerint a Kit-SD-nek adták ki, és csak néhány RTM-malware aláírására használták (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
Az RTM ugyanazt a betöltőt használja, mint a Buhtrap, az RTM komponensek a Buhtrap infrastruktúrából töltődnek be, így a csoportok hasonló hálózati mutatókkal rendelkeznek. Becsléseink szerint azonban az RTM és a Buhtrap különböző csoportok, legalábbis azért, mert az RTM-et különböző módon terjesztik (nem csak „idegen” letöltő segítségével).
Ennek ellenére a hackercsoportok hasonló működési elveket alkalmaznak. Vállalkozásokat céloznak meg könyvelő szoftvert használva, rendszerinformációkat gyűjtenek, intelligenskártya-olvasókat keresnek, és egy sor rosszindulatú eszközt telepítenek az áldozatok utáni kémkedésre.
3. Evolúció
Ebben a részben megvizsgáljuk a tanulmány során talált rosszindulatú programok különböző verzióit.
3.1. Verziószámítás
Az RTM a konfigurációs adatokat egy regisztrációs részben tárolja, a legérdekesebb rész a botnet-előtag. Az általunk vizsgált mintákban látott összes érték listája az alábbi táblázatban található.
Lehetséges, hogy az értékek rosszindulatú programverziók rögzítésére használhatók. Azonban nem vettünk észre sok különbséget az olyan verziók között, mint a bit2 és bit3, 0.1.6.4 és 0.1.6.6. Ezenkívül az egyik előtag a kezdetek óta létezik, és egy tipikus C&C tartományból .bit tartományba fejlődött, amint az alább látható.
3.2. Menetrend
A telemetriai adatok felhasználásával elkészítettük a minták előfordulásának grafikonját.
4. Technikai elemzés
Ebben a részben ismertetjük az RTM banki trójai főbb funkcióit, beleértve az ellenállási mechanizmusokat, az RC4 algoritmus saját verzióját, a hálózati protokollt, a kémkedési funkciókat és néhány egyéb funkciót. Különösen az AA1FA0CE4584768E9D16D67C8E529233FF99BBF1 és a 0BC48EC113BA8B20B8CD80D5DA4A92051D19B SHA-1032 mintákra összpontosítunk.
4.1. Telepítés és mentés
4.1.1. Végrehajtás
Az RTM mag egy DLL, a könyvtár .EXE használatával töltődik a lemezre. A végrehajtható fájl általában csomagolt, és DLL kódot tartalmaz. Az indítás után kibontja a DLL-t, és a következő paranccsal futtatja:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. DLL
A fő DLL mindig winlogon.lnk néven töltődik be a lemezre a %PROGRAMDATA%Winlogon mappában. Ez a fájlkiterjesztés általában egy parancsikonhoz kapcsolódik, de a fájl valójában egy Delphiben írt DLL, amelyet a fejlesztő core.dll-nek nevez el, amint az az alábbi képen látható.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Amint elindul, a trójai aktiválja az ellenállási mechanizmusát. Ezt kétféleképpen lehet megtenni, attól függően, hogy az áldozat milyen jogosultságokkal rendelkezik a rendszerben. Ha rendelkezik rendszergazdai jogokkal, a trójai egy Windows Update bejegyzést ad a HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun beállításjegyzékhez. A Windows Update-ben található parancsok a felhasználói munkamenet elején futnak le.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject gazdagép
A trójai megpróbál egy feladatot hozzáadni a Windows Feladatütemezőhöz. A feladat elindítja a winlogon.lnk DLL-t a fenti paraméterekkel. A rendszeres felhasználói jogok lehetővé teszik a trójai számára, hogy hozzáadjon egy Windows Update bejegyzést ugyanazokkal az adatokkal a HKCUSoftwareMicrosoftWindowsCurrentVersionRun beállításjegyzékhez:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Módosított RC4 algoritmus
Ismert hiányosságai ellenére az RC4 algoritmust rendszeresen használják a rosszindulatú programok szerzői. Az RTM készítői azonban némileg módosítottak rajta, valószínűleg azért, hogy megnehezítsék a víruselemzők dolgát. Az RC4 módosított változatát széles körben használják rosszindulatú RTM-eszközökben karakterláncok, hálózati adatok, konfigurációk és modulok titkosítására.
4.2.1. Különbségek
Az eredeti RC4 algoritmus két szakaszból áll: s-blokk inicializálást (más néven KSA - Key-Scheduling Algorithm) és pszeudo-véletlen sorrend generálást (PRGA - Pseudo-Random Generation Algorithm). Az első szakasz az s-box inicializálását foglalja magában a kulccsal, a második szakaszban pedig a forrásszöveg feldolgozása az s-box segítségével történik a titkosításhoz.
Az RTM szerzői egy köztes lépést adtak az s-box inicializálás és a titkosítás közé. A kiegészítő kulcs változó, és a titkosítandó és visszafejtendő adatokkal egy időben kerül beállításra. A további lépést végrehajtó funkció az alábbi ábrán látható.
4.2.2. Karakterlánc titkosítás
Első pillantásra számos olvasható sor található a fő DLL-ben. A többit a fent leírt algoritmussal titkosítjuk, melynek felépítését a következő ábra mutatja. Az elemzett mintákban több mint 25 különböző RC4 kulcsot találtunk karakterlánc-titkosításhoz. Az XOR billentyű minden sorban eltérő. A numerikus mezőket elválasztó vonalak értéke mindig 0xFFFFFFFF.
A végrehajtás elején az RTM globális változóvá fejti vissza a karakterláncokat. Amikor egy karakterlánc eléréséhez szükséges, a trójai dinamikusan kiszámítja a visszafejtett karakterláncok címét az alapcím és az eltolás alapján.
A karakterláncok érdekes információkat tartalmaznak a kártevő funkcióiról. Néhány példakarakterlánc található a 6.8. szakaszban.
4.3. Hálózat
Verziónként változik, hogy az RTM malware hogyan lép kapcsolatba a C&C szerverrel. Az első módosítások (2015. október – 2016. április) hagyományos domain neveket használtak a livejournal.com RSS hírfolyamával együtt a parancsok listájának frissítéséhez.
2016 áprilisa óta a telemetriai adatokban a .bit tartományok felé való elmozdulás tapasztalható. Ezt a domain regisztrációs dátuma is megerősíti – az első RTM domain fde05d0573da.bit 13. március 2016-án került bejegyzésre.
Az összes URL-nek, amelyet a kampány megfigyelése közben láttunk, közös volt az elérési út: /r/z.php. Ez meglehetősen szokatlan, és segít azonosítani az RTM-kéréseket a hálózati folyamatokban.
4.3.1. Csatorna parancsokhoz és vezérléshez
A régebbi példák ezt a csatornát használták a parancs- és vezérlőkiszolgálók listájának frissítésére. A tárhely a livejournal.com címen található, a jelentés írásakor a hxxp://f72bba81c921(.)livejournal(.)com/data/rss URL-en maradt.
A Livejournal egy orosz-amerikai cég, amely blogolási platformot biztosít. Az RTM-operátorok létrehoznak egy LJ-blogot, amelyben cikkeket tesznek közzé kódolt parancsokkal – lásd a képernyőképet.
A parancs- és vezérlősorok egy módosított RC4 algoritmussal vannak kódolva (4.2. szakasz). A csatorna jelenlegi verziója (2016. november) a következő parancs- és vezérlőszerver-címeket tartalmazza:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. .bit tartományok
A legújabb RTM mintákban a szerzők a C&C tartományokhoz csatlakoznak a .bit TLD legfelső szintű tartomány használatával. Nem szerepel az ICANN (Domain Name and Internet Corporation) legfelső szintű domainek listáján. Ehelyett a Namecoin rendszert használja, amely a Bitcoin technológiájára épül. A rosszindulatú programok szerzői nem gyakran használják a .bit TLD-t tartományaikhoz, bár korábban a Necurs botnet egyik verziójában is volt példa erre.
A Bitcointól eltérően az elosztott Namecoin adatbázis felhasználóinak lehetőségük van adatmentésre. Ennek a funkciónak a fő alkalmazása a .bit felső szintű tartomány. Regisztrálhat olyan domaineket, amelyek egy elosztott adatbázisban lesznek tárolva. Az adatbázis megfelelő bejegyzései a tartomány által feloldott IP-címeket tartalmazzák. Ez a TLD „cenzúraálló”, mivel csak a regisztráló módosíthatja a .bit tartomány felbontását. Ez azt jelenti, hogy sokkal nehezebb megállítani egy rosszindulatú domaint az ilyen típusú TLD használatával.
Az RTM trójai nem ágyazza be az elosztott Namecoin adatbázis olvasásához szükséges szoftvert. Központi DNS-kiszolgálókat, például dns.dot-bit.org vagy OpenNic szervereket használ a .bit tartományok feloldására. Ezért ugyanolyan tartóssággal rendelkezik, mint a DNS-kiszolgálók. Megfigyeltük, hogy egyes csapatdomaineket már nem észleltünk, miután megemlítették őket egy blogbejegyzésben.
A .bit TLD másik előnye a hackerek számára a költség. Egy domain regisztrálásához az üzemeltetőknek mindössze 0,01 NK-t kell fizetniük, ami 0,00185 dollárnak felel meg (5. december 2016-én). Összehasonlításképpen a domain.com legalább 10 dollárba kerül.
4.3.3. Jegyzőkönyv
A parancs- és vezérlőkiszolgálóval való kommunikációhoz az RTM HTTP POST kéréseket használ egyéni protokollal formázott adatokkal. Az elérési út mindig /r/z.php; Mozilla/5.0 felhasználói ügynök (kompatibilis; MSIE 9.0; Windows NT 6.1; Trident/5.0). A szerverhez intézett kérésekben az adatok a következőképpen vannak formázva, ahol az eltolási értékek bájtokban vannak kifejezve:
A 0–6 bájtok nincsenek kódolva; A 6-tól kezdődő bájtokat módosított RC4 algoritmussal kódolják. A C&C válaszcsomag felépítése egyszerűbb. A bájtok 4-től csomagméretig vannak kódolva.
A lehetséges műveleti bájtértékek listája az alábbi táblázatban látható:
A kártevő mindig kiszámítja a visszafejtett adatok CRC32 értékét, és összehasonlítja azt a csomagban lévővel. Ha eltérnek, a trójai eldobja a csomagot.
A további adatok különféle objektumokat tartalmazhatnak, beleértve a PE fájlt, a fájlrendszerben keresendő fájlt vagy új parancs URL-címeket.
4.3.4. Panel
Észrevettük, hogy az RTM panelt használ a C&C szervereken. Képernyőkép lent:
4.4. Jellegzetes jel
Az RTM egy tipikus banki trójai. Nem meglepő, hogy a szolgáltatók információkat akarnak kapni az áldozat rendszeréről. Egyrészt a bot általános információkat gyűjt az operációs rendszerről. Másrészt kideríti, hogy a feltört rendszer tartalmaz-e orosz távoli bankrendszerekhez kapcsolódó attribútumokat.
4.4.1. Általános információk
Amikor egy rosszindulatú programot telepítenek vagy indítanak újraindítás után, a rendszer egy jelentést küld a parancs- és vezérlőszervernek, amely általános információkat tartalmaz, beleértve:
- Időzóna;
- alapértelmezett rendszernyelv;
- jogosult felhasználói hitelesítő adatok;
- folyamat integritásának szintje;
- Felhasználónév;
- számítógép név;
- OS verzió;
- további telepített modulok;
- telepített víruskereső program;
- chipkártya-olvasók listája.
4.4.2 Távoli banki rendszer
Egy tipikus trójai célpont egy távoli bankrendszer, és az RTM sem kivétel. A program egyik modulja a TBdo, amely különféle feladatokat hajt végre, beleértve a lemezek ellenőrzését és a böngészési előzményeket.
A lemez átvizsgálásával a trójai ellenőrzi, hogy a banki szoftver telepítve van-e a gépre. A célprogramok teljes listája az alábbi táblázatban található. Miután észlelt egy érdekes fájlt, a program információkat küld a parancskiszolgálónak. A következő műveletek a parancsközponti (C&C) algoritmusok által meghatározott logikától függenek.
Az RTM URL-mintákat is keres a böngészési előzményekben és a megnyitott lapokon. Ezenkívül a program megvizsgálja a FindNextUrlCacheEntryA és FindFirstUrlCacheEntryA függvények használatát, és minden egyes bejegyzést ellenőriz, hogy az URL megfeleljen a következő minták egyikének:
A megnyitott lapok észlelése után a trójai felveszi a kapcsolatot az Internet Explorerrel vagy a Firefox-szal a Dynamic Data Exchange (DDE) mechanizmuson keresztül, hogy ellenőrizze, hogy a lap megfelel-e a mintának.
A böngészési előzmények és a megnyitott lapok ellenőrzése egy WHILE ciklusban (előfeltételes ciklus) történik, 1 másodperces szünettel az ellenőrzések között. A valós időben figyelt egyéb adatokról a 4.5. szakaszban lesz szó.
Ha talál egy mintát, a program ezt jelenti a parancskiszolgálónak a következő táblázatból származó karakterláncok segítségével:
4.5 Monitoring
Amíg a trójai fut, a fertőzött rendszer jellemzőiről szóló információk (beleértve a banki szoftverek jelenlétére vonatkozó információkat is) elküldésre kerülnek a parancs- és vezérlőszervernek. Ujjlenyomat akkor történik, amikor az RTM először futtatja a megfigyelő rendszert közvetlenül az operációs rendszer kezdeti vizsgálata után.
4.5.1. Távoli banki ügyintézés
A TBdo modul feladata a banki tevékenységgel kapcsolatos folyamatok nyomon követése is. Dinamikus adatcserét használ a Firefox és az Internet Explorer lapjainak ellenőrzésére a kezdeti vizsgálat során. Egy másik TShell modul a parancsablakok figyelésére szolgál (Internet Explorer vagy File Explorer).
A modul az IShellWindows, iWebBrowser, DWebBrowserEvents2 és IConnectionPointContainer COM interfészt használja az ablakok figyelésére. Amikor a felhasználó egy új weboldalra navigál, a rosszindulatú program ezt észreveszi. Ezután összehasonlítja az oldal URL-jét a fenti mintákkal. Az egyezés észlelése után a trójai hat egymást követő képernyőképet készít 5 másodperces időközönként, és elküldi a C&S parancsszervernek. A program ellenőriz néhány banki szoftverhez kapcsolódó ablaknevet is – a teljes lista alább található:
4.5.2. Intelligens kártya
Az RTM lehetővé teszi a fertőzött számítógépekhez csatlakoztatott intelligenskártya-olvasók figyelését. Ezeket az eszközöket egyes országokban fizetési megbízások egyeztetésére használják. Ha egy ilyen típusú eszközt számítógéphez csatlakoztatnak, az azt jelezheti egy trójai számára, hogy a gépet banki tranzakciókra használják.
Más banki trójaiaktól eltérően az RTM nem tud együttműködni ilyen intelligens kártyákkal. Talán ez a funkció egy további modulban található, amelyet még nem láttunk.
4.5.3. Billentyűzetfigyelő
A fertőzött számítógép megfigyelésének fontos része a billentyűleütések rögzítése. Úgy tűnik, az RTM fejlesztői nem hagynak ki semmilyen információt, hiszen nem csak a normál billentyűket figyelik, hanem a virtuális billentyűzetet és vágólapot is.
Ehhez használja a SetWindowsHookExA függvényt. A támadók naplózzák a lenyomott vagy a virtuális billentyűzetnek megfelelő billentyűket, a program nevével és dátumával együtt. A puffer ezután elküldésre kerül a C&C parancskiszolgálónak.
A SetClipboardViewer funkció a vágólap elfogására szolgál. A hackerek naplózzák a vágólap tartalmát, ha az adat szöveg. A név és a dátum is naplózásra kerül, mielőtt a puffert elküldi a szervernek.
4.5.4. Képernyőképek
Egy másik RTM funkció a képernyőkép elfogása. Ez a funkció akkor kerül alkalmazásra, ha az ablakfigyelő modul érdeklődésre számot tartó webhelyet vagy banki szoftvert észlel. A képernyőképek grafikus képek könyvtárával készülnek, és átkerülnek a parancskiszolgálóra.
4.6. Eltávolítás
A C&C szerver leállíthatja a rosszindulatú program futtatását, és megtisztíthatja a számítógépet. A parancs lehetővé teszi az RTM futása közben létrehozott fájlok és beállításjegyzék-bejegyzések törlését. A DLL ezután a rosszindulatú program és a winlogon fájl eltávolítására szolgál, majd a parancs leállítja a számítógépet. Ahogy az alábbi képen látható, a DLL-t a fejlesztők az erase.dll segítségével távolítják el.
A szerver destruktív uninstall-lock parancsot küldhet a trójainak. Ebben az esetben, ha rendelkezik rendszergazdai jogokkal, az RTM törli az MBR rendszerindító szektort a merevlemezről. Ha ez nem sikerül, a trójai megpróbálja áthelyezni az MBR rendszerindító szektort egy véletlenszerű szektorba - ekkor a számítógép nem tudja elindítani az operációs rendszert a leállítás után. Ez az operációs rendszer teljes újratelepítéséhez vezethet, ami a bizonyítékok megsemmisítését jelenti.
Rendszergazdai jogosultságok nélkül a kártevő az alapul szolgáló RTM DLL-be kódolt .EXE fájlt ír. A végrehajtható fájl végrehajtja a számítógép leállításához szükséges kódot, és regisztrálja a modult a HKCUCurrentVersionRun rendszerleíró kulcsban. Minden alkalommal, amikor a felhasználó elindít egy munkamenetet, a számítógép azonnal leáll.
4.7. A konfigurációs fájl
Alapértelmezés szerint az RTM-nek szinte nincs konfigurációs fájlja, de a parancs- és vezérlőszerver képes elküldeni a beállításjegyzékben tárolt és a program által használt konfigurációs értékeket. A konfigurációs kulcsok listája az alábbi táblázatban látható:
A konfiguráció a Software[Pseudo-random string] beállításkulcsban tárolódik. Minden érték megfelel az előző táblázatban szereplő sorok valamelyikének. Az értékek és adatok az RTM RC4 algoritmusával vannak kódolva.
Az adatok szerkezete megegyezik a hálózattal vagy karakterláncokkal. A kódolt adatok elejére egy négybájtos XOR kulcs kerül. A konfigurációs értékeknél az XOR kulcs eltérő, és az érték méretétől függ. A következőképpen számolható:
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)
4.8. Egyéb jellemzők
Ezután nézzük meg az RTM által támogatott egyéb funkciókat.
4.8.1. További modulok
A trójai további modulokat tartalmaz, amelyek DLL-fájlok. A C&C parancskiszolgálóról küldött modulok külső programként futtathatók, megjelenhetnek a RAM-ban, és új szálakban indíthatók el. Tárolás céljából a modulokat .dtt fájlokba menti a rendszer, és az RC4 algoritmussal kódolja ugyanazzal a kulccsal, mint a hálózati kommunikációhoz.
Eddig megfigyeltük a VNC modul (8966319882494077C21F66A8354E2CBCA0370464), a böngésző adatkinyerési modul (03DE8622BE6B2F75A364A275995C3411626C4C9F1A2E1CBCA562) telepítését 1EFC69FBA6 B58BE88753D7B0E3CFAB).
A VNC-modul betöltéséhez a C&C-kiszolgáló egy parancsot ad ki, amely kapcsolatot kér a VNC-kiszolgálóval egy adott IP-címen a 44443-as porton. A böngésző adatlekérő beépülő modulja végrehajtja a TBrowserDataCollector programot, amely képes olvasni az IE böngészési előzményeit. Ezután elküldi a meglátogatott URL-ek teljes listáját a C&C parancskiszolgálónak.
Az utoljára felfedezett modul neve 1c_2_kl. Együttműködhet az 1C Enterprise szoftvercsomaggal. A modul két részből áll: a fő részből - DLL-ből és két ügynökből (32 és 64 bites), amelyeket minden egyes folyamatba beinjektálnak, regisztrálva a WH_CBT-hez való kötődést. Miután bekerült az 1C folyamatba, a modul összekapcsolja a CreateFile és a WriteFile függvényeket. A CreateFile kötött függvény meghívásakor a modul az 1c_to_kl.txt fájl elérési utat tárolja a memóriában. A WriteFile hívás elfogása után meghívja a WriteFile függvényt, és elküldi az 1c_to_kl.txt fájl elérési útját a fő DLL-modulnak, átadva neki a kialakított Windows WM_COPYDATA üzenetet.
A fő DLL-modul megnyitja és elemzi a fájlt a fizetési megbízások meghatározásához. Felismeri a fájlban található összeget és tranzakciószámot. Ezt az információt a rendszer elküldi a parancskiszolgálónak. Úgy gondoljuk, hogy ez a modul jelenleg fejlesztés alatt áll, mert hibakeresési üzenetet tartalmaz, és nem tudja automatikusan módosítani az 1c_to_kl.txt fájlt.
4.8.2. A privilégiumok eszkalációja
Az RTM megpróbálhatja kiterjeszteni a jogosultságokat hamis hibaüzenetek megjelenítésével. A rosszindulatú program egy beállításjegyzék-ellenőrzést szimulál (lásd az alábbi képet), vagy valódi beállításjegyzék-szerkesztő ikont használ. Kérjük, vegye figyelembe a hibás elírást, várjon – izé. Néhány másodperces vizsgálat után a program hamis hibaüzenetet jelenít meg.
A hamis üzenet a nyelvtani hibák ellenére könnyen megtéveszti az átlagfelhasználót. Ha a felhasználó a két hivatkozás egyikére kattint, az RTM megpróbálja kiterjeszteni jogosultságait a rendszerben.
A két helyreállítási lehetőség valamelyikének kiválasztása után a trójai elindítja a DLL-t a ShellExecute függvény runas opciójával rendszergazdai jogosultságokkal. A felhasználó valódi Windows-promptot fog látni (lásd az alábbi képet) a magasságra. Ha a felhasználó megadja a szükséges engedélyeket, a trójai rendszergazdai jogosultságokkal fog futni.
A rendszerre telepített alapértelmezett nyelvtől függően a trójai orosz vagy angol nyelvű hibaüzeneteket jelenít meg.
4.8.3. Bizonyítvány
Az RTM hozzáadhat tanúsítványokat a Windows Store-hoz, és megerősítheti a hozzáadás megbízhatóságát a csrss.exe párbeszédpanel „igen” gombjára való automatikus kattintással. Ez a viselkedés nem újkeletű, például a banki trójai Retefe is önállóan megerősíti az új tanúsítvány telepítését.
4.8.4. Fordított csatlakozás
Az RTM szerzői létrehozták a Backconnect TCP alagutat is. A funkciót még nem láttuk használatban, de a fertőzött PC-k távoli megfigyelésére tervezték.
4.8.5. Gazdafájl kezelése
A C&C szerver parancsot küldhet a trójainak a Windows gazdagépfájl módosítására. A gazdagép fájl egyéni DNS-felbontások létrehozására szolgál.
4.8.6. Keressen és küldjön egy fájlt
A szerver kérheti, hogy keressen és töltsön le egy fájlt a fertőzött rendszeren. Például a kutatás során kaptunk egy kérést az 1c_to_kl.txt fájlra. A korábban leírtak szerint ezt a fájlt az 1C: Enterprise 8 számviteli rendszer hozza létre.
4.8.7. Frissítés
Végül az RTM szerzők frissíthetik a szoftvert egy új DLL elküldésével a jelenlegi verzió helyére.
5. következtetés
Az RTM kutatása szerint az orosz bankrendszer továbbra is vonzza a kibertámadásokat. Az olyan csoportok, mint a Buhtrap, a Corkow és a Carbanak, sikeresen lopnak pénzt pénzintézetektől és ügyfeleiktől Oroszországban. Az RTM új szereplő ebben az iparágban.
Az ESET telemetria szerint legalább 2015 vége óta használnak rosszindulatú RTM-eszközöket. A program a kémkedési lehetőségek teljes skálájával rendelkezik, beleértve az intelligens kártyák olvasását, a billentyűleütések elfogását és a banki tranzakciók figyelését, valamint az 1C: Enterprise 8 szállítási fájlok keresését.
A decentralizált, cenzúrázatlan .bit felső szintű tartomány használata rendkívül rugalmas infrastruktúrát biztosít.
Forrás: will.com