Հայտնի են մի քանի կիբեր խմբեր, որոնք մասնագիտացած են ռուսական ընկերություններից միջոցներ գողանալու մեջ: Մենք տեսել ենք հարձակումներ՝ օգտագործելով անվտանգության բացերը, որոնք թույլ են տալիս մուտք գործել թիրախի ցանց: Երբ նրանք մուտք են ստանում, հարձակվողները ուսումնասիրում են կազմակերպության ցանցի կառուցվածքը և գործարկում իրենց սեփական գործիքները՝ միջոցներ գողանալու համար: Այս միտումի դասական օրինակ են հաքերային Buhtrap, Cobalt և Corkow խմբերը:
RTM խումբը, որի վրա կենտրոնանում է այս զեկույցը, այս միտումի մի մասն է: Այն օգտագործում է հատուկ մշակված չարամիտ ծրագրեր՝ գրված Delphi-ում, որոնց ավելի մանրամասն կանդրադառնանք հաջորդ բաժիններում։ Այս գործիքների առաջին հետքերը ESET հեռաչափության համակարգում հայտնաբերվել են 2015 թվականի վերջին։ Թիմը անհրաժեշտության դեպքում բեռնում է տարբեր նոր մոդուլներ վարակված համակարգերի վրա: Հարձակումները ուղղված են Ռուսաստանում և հարևան որոշ երկրներում հեռահար բանկային համակարգերից օգտվողների վրա:
1. Գոլեր
RTM արշավը ուղղված է կորպորատիվ օգտատերերին. դա ակնհայտ է այն գործընթացներից, որոնք հարձակվողները փորձում են հայտնաբերել վտանգված համակարգում: Ուշադրության կենտրոնում է հեռակա բանկային համակարգերի հետ աշխատելու հաշվապահական ծրագրերը:
RTM-ին հետաքրքրող գործընթացների ցանկը նման է Buhtrap խմբի համապատասխան ցանկին, սակայն խմբերն ունեն վարակի տարբեր վեկտորներ: Եթե Buhtrap-ն ավելի հաճախ օգտագործում էր կեղծ էջեր, ապա RTM-ն օգտագործում էր ներբեռնման միջոցով հարձակումներ (հարձակումներ բրաուզերի կամ դրա բաղադրիչների վրա) և էլփոստով սպամում: Հեռուստաչափության տվյալների համաձայն՝ սպառնալիքն ուղղված է Ռուսաստանին և մոտակա մի քանի երկրների (Ուկրաինա, Ղազախստան, Չեխիա, Գերմանիա): Այնուամենայնիվ, զանգվածային բաշխման մեխանիզմների կիրառման պատճառով թիրախային շրջաններից դուրս չարամիտ ծրագրերի հայտնաբերումը զարմանալի չէ։
Չարամիտ ծրագրերի հայտնաբերման ընդհանուր թիվը համեմատաբար փոքր է: Մյուս կողմից, RTM արշավը օգտագործում է բարդ ծրագրեր, ինչը ցույց է տալիս, որ հարձակումները խիստ թիրախավորված են:
Մենք հայտնաբերել ենք RTM-ի կողմից օգտագործվող մի քանի խաբուսիկ փաստաթղթեր, այդ թվում՝ գոյություն չունեցող պայմանագրեր, հաշիվ-ապրանքագրեր կամ հարկային հաշվառման փաստաթղթեր: Գայթակղությունների բնույթը՝ զուգորդված հարձակման թիրախում գտնվող ծրագրային ապահովման տեսակի հետ, ցույց է տալիս, որ հարձակվողները «մտնում» են ռուսական ընկերությունների ցանց հաշվապահական հաշվառման բաժնի միջոցով։ Խումբը գործել է նույն սխեմայով 2014-2015թթ
Հետազոտության ընթացքում մենք կարողացանք շփվել մի քանի C&C սերվերների հետ: Հրամանների ամբողջական ցանկը մենք կթվարկենք հաջորդ բաժիններում, բայց առայժմ կարող ենք ասել, որ հաճախորդը տվյալներ է փոխանցում keylogger-ից անմիջապես հարձակվող սերվերին, որից հետո լրացուցիչ հրամաններ են ստացվում:
Այնուամենայնիվ, այն օրերը, երբ դուք պարզապես կարող էիք միանալ հրամանի և կառավարման սերվերին և հավաքել ձեզ հետաքրքրող բոլոր տվյալները, անցել են: Մենք վերստեղծեցինք իրատեսական մատյան ֆայլեր՝ սերվերից համապատասխան հրամաններ ստանալու համար:
Դրանցից առաջինը բոտին ուղղված խնդրանքն է՝ փոխանցել 1c_to_kl.txt ֆայլը՝ 1C: Enterprise 8 ծրագրի տրանսպորտային ֆայլ, որի տեսքը ակտիվորեն վերահսկվում է RTM-ի կողմից: 1C-ը փոխազդում է հեռակա բանկային համակարգերի հետ՝ տեքստային ֆայլ ներբեռնելով ելքային վճարումների վերաբերյալ տվյալները: Այնուհետև ֆայլը ուղարկվում է հեռակառավարման բանկային համակարգ՝ ավտոմատացման և վճարման հանձնարարականի կատարման համար:
Ֆայլը պարունակում է վճարման մանրամասներ: Եթե հարձակվողները փոխեն ելքային վճարումների մասին տեղեկությունները, փոխանցումը կուղարկվի՝ օգտագործելով կեղծ տվյալները հարձակվողների հաշիվներին:
Այս ֆայլերը հրամանի և կառավարման սերվերից խնդրելուց մոտ մեկ ամիս անց մենք նկատեցինք, որ նոր փլագինը՝ 1c_2_kl.dll, բեռնվում է վտանգված համակարգում: Մոդուլը (DLL) նախատեսված է ներբեռնման ֆայլը ավտոմատ կերպով վերլուծելու համար՝ թափանցելով հաշվապահական ծրագրային գործընթացներ: Մենք այն մանրամասն կնկարագրենք հաջորդ բաժիններում:
Հետաքրքիր է, որ Ռուսաստանի Բանկի FinCERT-ը 2016 թվականի վերջին հրապարակել է տեղեկագիր՝ նախազգուշացնելով կիբերհանցագործների մասին՝ օգտագործելով 1c_to_kl.txt վերբեռնման ֆայլերը: Այս սխեմայի մասին գիտեն նաև 1C-ի մշակողները, նրանք արդեն պաշտոնական հայտարարություն են արել և նշել նախազգուշական միջոցները:
Հրամանատարի սերվերից բեռնվել են նաև այլ մոդուլներ, մասնավորապես VNC-ն (դրա 32 և 64 բիթանոց տարբերակները)։ Այն նման է VNC մոդուլին, որը նախկինում օգտագործվում էր Dridex Trojan-ի հարձակումներում: Այս մոդուլը ենթադրաբար օգտագործվում է վարակված համակարգչին հեռակա միանալու և համակարգի մանրամասն ուսումնասիրություն իրականացնելու համար։ Այնուհետև հարձակվողները փորձում են շրջել ցանցում՝ դուրս հանելով օգտատերերի գաղտնաբառերը, հավաքելով տեղեկատվություն և ապահովելով չարամիտ ծրագրերի մշտական առկայությունը։
2. Վարակիչները
Հետևյալ նկարը ցույց է տալիս քարոզարշավի ուսումնասիրության ընթացքում հայտնաբերված վարակակիրները: Խումբն օգտագործում է վեկտորների լայն շրջանակ, բայց հիմնականում ներբեռնման միջոցով հարձակումներ և սպամ: Այս գործիքները հարմար են նպատակային հարձակումների համար, քանի որ առաջին դեպքում հարձակվողները կարող են ընտրել պոտենցիալ զոհերի այցելած կայքերը, իսկ երկրորդում՝ կցորդներով նամակներ ուղարկել անմիջապես ընկերության ցանկալի աշխատակիցներին:
Չարամիտ ծրագիրը տարածվում է բազմաթիվ ուղիներով, ներառյալ RIG և Sundown շահագործման փաթեթները կամ սպամ նամակագրությունները, որոնք ցույց են տալիս կապերը հարձակվողների և այս ծառայություններն առաջարկող այլ կիբերհարձակողների միջև:
2.1. Ինչպե՞ս են կապված RTM-ն և Buhtrap-ը:
RTM արշավը շատ նման է Buhtrap-ին: Բնական հարցն այն է, թե ինչպե՞ս են դրանք կապված միմյանց հետ:
2016 թվականի սեպտեմբերին մենք նկատեցինք RTM նմուշի բաշխումը Buhtrap վերբեռնիչի միջոցով: Բացի այդ, մենք գտանք երկու թվային վկայագրեր, որոնք օգտագործվում էին ինչպես Buhtrap-ում, այնպես էլ RTM-ում:
Առաջինը, որը, իբր, թողարկվել է DNISTER-M ընկերությանը, օգտագործվել է թվայնորեն ստորագրելու երկրորդ Delphi ձևաթուղթը (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) և Buhtrap DLL (SHA-1: 1E2642BDC): 454F2D889):
Երկրորդը, որը թողարկվել է Bit-Tredj-ին, օգտագործվել է Buhtrap բեռնիչներ ստորագրելու համար (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 և B74F71560E48488D2153AE2FB51207, ինչպես նաև տեղադրել R0AE206FB2 բաղադրիչները և տեղադրել R.
RTM օպերատորներն օգտագործում են վկայագրեր, որոնք սովորական են այլ չարամիտ ծրագրերի ընտանիքների համար, բայց նրանք նաև ունեն յուրահատուկ վկայագիր: Ըստ ESET հեռուստատեսության, այն տրվել է Kit-SD-ին և օգտագործվել միայն որոշ RTM չարամիտ ծրագրեր ստորագրելու համար (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6):
RTM-ն օգտագործում է նույն բեռնիչը, ինչ Buhtrap-ը, RTM բաղադրիչները բեռնվում են Buhtrap ենթակառուցվածքից, ուստի խմբերն ունեն նմանատիպ ցանցային ցուցիչներ։ Այնուամենայնիվ, ըստ մեր գնահատականների, RTM-ը և Buhtrap-ը տարբեր խմբեր են, համենայն դեպս այն պատճառով, որ RTM-ը բաշխվում է տարբեր ձևերով (ոչ միայն օգտագործելով «օտար» ներբեռնիչ):
Չնայած դրան, հաքերային խմբերն օգտագործում են նմանատիպ գործառնական սկզբունքներ։ Նրանք թիրախավորում են ձեռնարկություններին, որոնք օգտագործում են հաշվապահական ծրագրակազմ, նմանապես հավաքում են համակարգի տեղեկատվություն, որոնում են խելացի քարտերի ընթերցողներ և տեղակայում մի շարք վնասակար գործիքներ՝ զոհերին լրտեսելու համար:
3. Էվոլյուցիա
Այս բաժնում մենք կանդրադառնանք ուսումնասիրության ընթացքում հայտնաբերված չարամիտ ծրագրերի տարբեր տարբերակներին:
3.1. Տարբերակում
RTM-ը պահպանում է կոնֆիգուրացիայի տվյալները ռեեստրի բաժնում, ամենահետաքրքիր մասը բոտնետ-նախածանցն է: Մեր ուսումնասիրած նմուշներում մեր տեսած բոլոր արժեքների ցանկը ներկայացված է ստորև բերված աղյուսակում:
Հնարավոր է, որ արժեքները կարող են օգտագործվել չարամիտ տարբերակները գրանցելու համար: Այնուամենայնիվ, մենք մեծ տարբերություն չնկատեցինք այնպիսի տարբերակների միջև, ինչպիսիք են bit2 և bit3, 0.1.6.4 և 0.1.6.6: Ավելին, նախածանցներից մեկը եղել է ի սկզբանե և վերածվել է տիպիկ C&C տիրույթից մինչև .bit տիրույթ, ինչպես կցուցադրվի ստորև:
3.2. Ժամանակացույց
Օգտագործելով հեռաչափության տվյալները, մենք ստեղծեցինք նմուշների առաջացման գրաֆիկ:
4. Տեխնիկական վերլուծություն
Այս բաժնում մենք կնկարագրենք RTM բանկային Trojan-ի հիմնական գործառույթները, ներառյալ դիմադրության մեխանիզմները, RC4 ալգորիթմի սեփական տարբերակը, ցանցային արձանագրությունը, լրտեսության գործառույթը և որոշ այլ առանձնահատկություններ: Մասնավորապես, մենք կկենտրոնանանք SHA-1 նմուշների վրա AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 և 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B:
4.1. Տեղադրում և պահպանում
4.1.1. Իրականացում
RTM միջուկը DLL է, գրադարանը բեռնված է սկավառակի վրա՝ օգտագործելով .EXE: Գործարկվող ֆայլը սովորաբար փաթեթավորված է և պարունակում է DLL կոդ: Գործարկվելուց հետո այն հանում է DLL-ը և գործարկում այն՝ օգտագործելով հետևյալ հրամանը.
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. DLL
Հիմնական DLL-ը միշտ բեռնված է սկավառակի վրա որպես winlogon.lnk՝ %PROGRAMDATA%Winlogon պանակում: Այս ֆայլի ընդլայնումը սովորաբար կապված է դյուրանցման հետ, բայց ֆայլը իրականում Դելֆիում գրված DLL է, որը մշակողի կողմից անվանվել է core.dll, ինչպես ցույց է տրված ստորև նկարում:
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Գործարկվելուց հետո տրոյան ակտիվացնում է իր դիմադրության մեխանիզմը: Դա կարելի է անել երկու տարբեր եղանակներով՝ կախված համակարգում տուժողի արտոնություններից: Եթե դուք ունեք ադմինիստրատորի իրավունքներ, տրոյականը ավելացնում է Windows Update մուտքագրում HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun ռեեստրում: Windows Update-ում պարունակվող հրամանները կաշխատեն օգտատիրոջ աշխատաշրջանի սկզբում:
HKLMSSOFTWAREMicrosoftWindowsCurrentVersionRunWindows-ի թարմացում [REG_SZ] = rundll32.exe «%PROGRAMDATA%winlogon.lnk»,DllGetClassObject հոսթ
Trojan-ը նաև փորձում է առաջադրանք ավելացնել Windows Task Scheduler-ին: Առաջադրանքը կգործարկի winlogon.lnk DLL-ը նույն պարամետրերով, ինչ վերևում: Սովորական օգտագործողի իրավունքները տրոյականին թույլ են տալիս ավելացնել Windows Update-ի մուտքը նույն տվյալներով HKCUSoftwareMicrosoftWindowsCurrentVersionRun ռեեստրում.
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Փոփոխված RC4 ալգորիթմ
Չնայած իր հայտնի թերություններին, RC4 ալգորիթմը պարբերաբար օգտագործվում է չարամիտ ծրագրերի հեղինակների կողմից: Այնուամենայնիվ, RTM-ի ստեղծողները մի փոքր փոփոխեցին այն, հավանաբար վիրուսների վերլուծաբանների գործն ավելի բարդացնելու համար: RC4-ի փոփոխված տարբերակը լայնորեն օգտագործվում է վնասակար RTM գործիքներում՝ տողերի, ցանցի տվյալների, կոնֆիգուրացիայի և մոդուլների գաղտնագրման համար:
4.2.1. Տարբերություններ
Բնօրինակ RC4 ալգորիթմը ներառում է երկու փուլ՝ s-block սկզբնավորում (aka KSA - Key-Scheduling Algorithm) և կեղծ պատահական հաջորդականության ստեղծում (PRGA - Pseudo-Random Generation Algorithm): Առաջին փուլը ներառում է s-box-ի սկզբնավորումը՝ օգտագործելով ստեղնը, իսկ երկրորդ փուլում սկզբնական տեքստը մշակվում է՝ օգտագործելով s-box՝ գաղտնագրման համար:
RTM-ի հեղինակներն ավելացրել են միջանկյալ քայլ s-box սկզբնավորման և կոդավորման միջև: Լրացուցիչ բանալին փոփոխական է և սահմանվում է գաղտնագրման և վերծանման ենթակա տվյալների հետ միաժամանակ: Գործառույթը, որն իրականացնում է այս լրացուցիչ քայլը, ներկայացված է ստորև նկարում:
4.2.2. Լարի գաղտնագրում
Առաջին հայացքից հիմնական DLL-ում կան մի քանի ընթեռնելի տողեր: Մնացածը կոդավորված են վերը նկարագրված ալգորիթմի միջոցով, որի կառուցվածքը ներկայացված է հետևյալ նկարում։ Վերլուծված նմուշներում մենք գտանք ավելի քան 25 տարբեր RC4 բանալիներ՝ լարային գաղտնագրման համար: XOR ստեղնը տարբեր է յուրաքանչյուր տողի համար: Տողերը բաժանող թվային դաշտի արժեքը միշտ 0xFFFFFFFF է:
Կատարման սկզբում RTM-ը վերծանում է տողերը գլոբալ փոփոխականի մեջ։ Երբ անհրաժեշտ է մուտք գործել տող, տրոյականը դինամիկ կերպով հաշվարկում է վերծանված տողերի հասցեն՝ հիմնվելով բազային հասցեի և օֆսեթի վրա:
Տողերը հետաքրքիր տեղեկություններ են պարունակում չարամիտ ծրագրի գործառույթների մասին։ Որոշ տողերի օրինակ տրված են Բաժին 6.8-ում:
4.3: Անց
Այն, թե ինչպես է RTM վնասակար ծրագիրը կապվում C&C սերվերի հետ, տարբեր է տարբերակից տարբերակ: Առաջին փոփոխությունները (2015 թվականի հոկտեմբեր – 2016 թվականի ապրիլ) օգտագործեցին ավանդական տիրույթի անունները, ինչպես նաև RSS հոսքը livejournal.com-ում՝ հրամանների ցանկը թարմացնելու համար:
2016թ.-ի ապրիլից մենք տեսել ենք հեռաչափության տվյալների անցում դեպի .bit տիրույթներ: Սա հաստատվում է տիրույթի գրանցման ամսաթվով. առաջին RTM տիրույթը fde05d0573da.bit գրանցվել է 13 թվականի մարտի 2016-ին:
Բոլոր URL-ները, որոնք մենք տեսանք քարոզարշավի մոնիտորինգի ժամանակ, ունեին ընդհանուր ճանապարհ՝ /r/z.php: Դա բավականին անսովոր է և կօգնի բացահայտել RTM հարցումները ցանցային հոսքերում:
4.3.1. Հրամանների և կառավարման ալիք
Ժառանգական օրինակներն օգտագործել են այս ալիքը՝ հրամանների և կառավարման սերվերների իրենց ցուցակը թարմացնելու համար: Հոսթինգը գտնվում է livejournal.com-ում, զեկույցը գրելու պահին այն մնացել է hxxp://f72bba81c921(.)livejournal(.)com/ data/rss հասցեում:
Livejournal-ը ռուս-ամերիկյան ընկերություն է, որը տրամադրում է բլոգերների հարթակ: RTM օպերատորները ստեղծում են LJ բլոգ, որտեղ տեղադրում են հոդված կոդավորված հրամաններով. տես սքրինշոթը:
Հրամանի և կառավարման տողերը կոդավորված են՝ օգտագործելով փոփոխված RC4 ալգորիթմ (Բաժին 4.2): Ալիքի ընթացիկ տարբերակը (նոյեմբեր 2016) պարունակում է հետևյալ հրամանների և կառավարման սերվերի հասցեները.
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. .bit տիրույթներ
RTM-ի ամենավերջին նմուշներում հեղինակները միանում են C&C տիրույթներին՝ օգտագործելով .bit TLD վերին մակարդակի տիրույթը: Այն ICANN-ի (Դոմենի անվանում և ինտերնետ կորպորացիա) վերին մակարդակի տիրույթների ցանկում չկա: Փոխարենը, այն օգտագործում է Namecoin համակարգը, որը կառուցված է Bitcoin տեխնոլոգիայի վրա: Չարամիտ ծրագրերի հեղինակները հաճախ չեն օգտագործում .bit TLD-ն իրենց տիրույթների համար, չնայած նման օգտագործման օրինակ նախկինում նկատվել է Necurs բոտնետի տարբերակում:
Ի տարբերություն Bitcoin-ի, Namecoin-ի բաշխված տվյալների բազայի օգտատերերն ունեն տվյալներ խնայելու հնարավորություն: Այս հատկության հիմնական կիրառումը .bit վերին մակարդակի տիրույթն է: Դուք կարող եք գրանցել տիրույթներ, որոնք կպահվեն բաշխված տվյալների բազայում: Տվյալների բազայի համապատասխան գրառումները պարունակում են տիրույթի կողմից լուծված IP հասցեներ: Այս TLD-ը «գրաքննության դիմացկուն է», քանի որ միայն գրանցողը կարող է փոխել .bit տիրույթի լուծումը: Սա նշանակում է, որ շատ ավելի դժվար է դադարեցնել չարամիտ տիրույթը, օգտագործելով այս տեսակի TLD:
RTM Trojan-ը չի ներառում ծրագրակազմը, որն անհրաժեշտ է բաշխված Namecoin տվյալների բազան կարդալու համար: Այն օգտագործում է կենտրոնական DNS սերվերներ, ինչպիսիք են dns.dot-bit.org կամ OpenNic սերվերները .bit տիրույթները լուծելու համար: Հետեւաբար, այն ունի նույն ամրությունը, ինչ DNS սերվերները: Մենք նկատեցինք, որ որոշ թիմային տիրույթներ այլևս չեն հայտնաբերվել բլոգի գրառման մեջ հիշատակվելուց հետո:
Հաքերների համար .bit TLD-ի մեկ այլ առավելությունն ինքնարժեքն է: Դոմեն գրանցելու համար օպերատորները պետք է վճարեն ընդամենը 0,01 NK, որը համապատասխանում է $0,00185 (5թ. դեկտեմբերի 2016-ի դրությամբ)։ Համեմատության համար, domain.com-ն արժե առնվազն $10:
4.3.3. Արձանագրություն
Հրամանների և կառավարման սերվերի հետ հաղորդակցվելու համար RTM-ն օգտագործում է HTTP POST հարցումներ՝ հատուկ արձանագրության միջոցով ձևաչափված տվյալների հետ: Ուղու արժեքը միշտ /r/z.php է; Mozilla/5.0 օգտվողի գործակալ (համատեղելի; MSIE 9.0; Windows NT 6.1; Trident/5.0): Սերվերին ուղղված հարցումներում տվյալները ձևակերպվում են հետևյալ կերպ, որտեղ օֆսեթ արժեքներն արտահայտվում են բայթերով.
0-ից 6 բայթերը կոդավորված չեն. 6-ից սկսած բայթերը կոդավորված են փոփոխված RC4 ալգորիթմի միջոցով: C&C պատասխան փաթեթի կառուցվածքն ավելի պարզ է: Բայթերը կոդավորված են 4-ից մինչև փաթեթի չափ:
Գործողության բայթերի հնարավոր արժեքների ցանկը ներկայացված է ստորև բերված աղյուսակում.
Չարամիտ ծրագիրը միշտ հաշվարկում է գաղտնազերծված տվյալների CRC32-ը և համեմատում այն փաթեթում առկաի հետ: Եթե դրանք տարբերվում են, տրոյականը թողնում է փաթեթը:
Լրացուցիչ տվյալները կարող են պարունակել տարբեր օբյեկտներ, ներառյալ PE ֆայլ, ֆայլային համակարգում փնտրվող ֆայլ կամ նոր հրամանի URL-ներ:
4.3.4. Վահանակ
Մենք նկատեցինք, որ RTM-ն օգտագործում է վահանակ C&C սերվերների վրա: Սքրինշոթը ստորև՝
4.4. Բնութագրական նշան
RTM-ը տիպիկ բանկային տրոյան է: Զարմանալի չէ, որ օպերատորները ցանկանում են տեղեկություններ տուժողի համակարգի մասին: Մի կողմից, բոտը հավաքում է ընդհանուր տեղեկություններ ՕՀ-ի մասին։ Մյուս կողմից, պարզում է, թե արդյոք վտանգված համակարգը պարունակում է ատրիբուտներ՝ կապված ռուսական հեռահար բանկային համակարգերի հետ։
4.4.1. Ընդհանուր տեղեկություններ
Երբ չարամիտ ծրագիրը տեղադրվում կամ գործարկվում է վերաբեռնումից հետո, հաշվետվություն է ուղարկվում հրամանի և կառավարման սերվերին, որը պարունակում է ընդհանուր տեղեկություններ, ներառյալ.
- Ժամային գոտի;
- լռելյայն համակարգի լեզու;
- լիազորված օգտվողի հավատարմագրերը;
- գործընթացի ամբողջականության մակարդակ;
- Օգտագործողի անունը;
- համակարգչի անվանումը;
- OS տարբերակ;
- լրացուցիչ տեղադրված մոդուլներ;
- տեղադրված հակավիրուսային ծրագիր;
- խելացի քարտերի ընթերցողների ցուցակ:
4.4.2 Հեռավար բանկային համակարգ
Տիպիկ տրոյական թիրախը հեռավոր բանկային համակարգն է, և RTM-ը բացառություն չէ: Ծրագրի մոդուլներից մեկը կոչվում է TBdo, որը կատարում է տարբեր առաջադրանքներ, այդ թվում՝ սկավառակների սկանավորում և զննարկման պատմություն։
Սկավառակը սկանավորելով՝ տրոյականը ստուգում է՝ արդյոք բանկային ծրագրակազմը տեղադրված է մեքենայի վրա: Թիրախային ծրագրերի ամբողջական ցանկը ներկայացված է ստորև բերված աղյուսակում: Հետաքրքիր ֆայլ հայտնաբերելուց հետո ծրագիրը տեղեկատվություն է ուղարկում հրամանի սերվերին: Հաջորդ գործողությունները կախված են հրամանատարական կենտրոնի (C&C) ալգորիթմների կողմից նշված տրամաբանությունից:
RTM-ը նաև փնտրում է URL-ի նախշեր ձեր բրաուզերի պատմության և բաց ներդիրներում: Բացի այդ, ծրագիրը ուսումնասիրում է FindNextUrlCacheEntryA և FindFirstUrlCacheEntryA գործառույթների օգտագործումը, ինչպես նաև ստուգում է յուրաքանչյուր մուտք՝ URL-ը հետևյալ օրինաչափություններից մեկին համապատասխանելու համար.
Բաց ներդիրները հայտնաբերելով՝ տրոյականը կապվում է Internet Explorer-ի կամ Firefox-ի հետ Դինամիկ տվյալների փոխանակման (DDE) մեխանիզմի միջոցով՝ ստուգելու, թե արդյոք ներդիրը համապատասխանում է օրինաչափությանը:
Ձեր զննարկման պատմության և բաց ներդիրների ստուգումն իրականացվում է WHILE օղակով (նախապայմանով հանգույց)՝ ստուգումների միջև 1 վայրկյան ընդմիջումով: Այլ տվյալներ, որոնք վերահսկվում են իրական ժամանակում, կքննարկվեն 4.5 բաժնում:
Եթե օրինաչափություն հայտնաբերվի, ծրագիրը հաղորդում է հրամանի սերվերին՝ օգտագործելով տողերի ցանկը հետևյալ աղյուսակից.
4.5 Մոնիտորինգ
Մինչ Trojan-ը աշխատում է, վարակված համակարգի բնորոշ հատկանիշների մասին տեղեկատվությունը (ներառյալ բանկային ծրագրերի առկայության մասին տեղեկատվությունը) ուղարկվում է հրամանի և կառավարման սերվեր: Մատնահետքը տեղի է ունենում, երբ RTM-ն առաջին անգամ գործարկում է մոնիտորինգի համակարգը ՕՀ-ի սկզբնական սկանավորումից անմիջապես հետո:
4.5.1. Հեռավոր բանկային գործ
TBdo մոդուլը պատասխանատու է նաև բանկային գործունեության հետ կապված գործընթացների մոնիտորինգի համար: Այն օգտագործում է տվյալների դինամիկ փոխանակում Firefox-ի և Internet Explorer-ի ներդիրները սկզբնական սկանավորման ժամանակ ստուգելու համար: Մեկ այլ TShell մոդուլ օգտագործվում է հրամանի պատուհանները վերահսկելու համար (Internet Explorer կամ File Explorer):
Մոդուլն օգտագործում է COM ինտերֆեյսները՝ IShellWindows, iWebBrowser, DWebBrowserEvents2 և IConnectionPointContainer՝ պատուհանները վերահսկելու համար: Երբ օգտվողը նավարկվում է դեպի նոր վեբ էջ, չարամիտ ծրագիրը նշում է դա: Այնուհետև այն համեմատում է էջի URL-ը վերը նշված օրինաչափությունների հետ: Համընկնումը հայտնաբերելուց հետո տրոյան 5 վայրկյան ընդմիջումով վեց հաջորդական սքրինշոթ է վերցնում և դրանք ուղարկում C&S հրամանի սերվերին: Ծրագիրը նաև ստուգում է բանկային ծրագրերի հետ կապված պատուհանների անունները. ամբողջական ցանկը ներկայացված է ստորև.
4.5.2. Սմարթ քարտ
RTM-ը թույլ է տալիս վերահսկել վարակված համակարգիչներին միացված խելացի քարտերի ընթերցողները: Այս սարքերը որոշ երկրներում օգտագործվում են վճարման հանձնարարականները համադրելու համար: Եթե այս տեսակի սարքը միացված է համակարգչին, դա կարող է ցույց տալ տրոյականին, որ սարքն օգտագործվում է բանկային գործարքների համար:
Ի տարբերություն այլ բանկային տրոյականների, RTM-ը չի կարող համագործակցել նման խելացի քարտերի հետ: Թերևս այս ֆունկցիոնալությունը ներառված է լրացուցիչ մոդուլում, որը մենք դեռ չենք տեսել:
4.5.3. Keylogger
Վարակված ԱՀ-ի մոնիտորինգի կարևոր մասն է ստեղնաշարի ձայնագրումը: Թվում է, թե RTM մշակողները ոչ մի տեղեկություն չեն կորցնում, քանի որ նրանք վերահսկում են ոչ միայն սովորական ստեղները, այլև վիրտուալ ստեղնաշարը և clipboard-ը։
Դա անելու համար օգտագործեք SetWindowsHookExA ֆունկցիան: Հարձակվողները գրանցում են սեղմված ստեղները կամ վիրտուալ ստեղնաշարին համապատասխան ստեղները՝ ծրագրի անվան և ամսաթվի հետ միասին: Այնուհետև բուֆերն ուղարկվում է C&C հրամանի սերվեր:
SetClipboardViewer ֆունկցիան օգտագործվում է սեղմատախտակը կտրելու համար: Հաքերները գրանցում են clipboard-ի բովանդակությունը, երբ տվյալները տեքստ են: Անունը և ամսաթիվը նույնպես գրանցվում են նախքան բուֆերը սերվեր ուղարկելը:
4.5.4. Սքրինշոթներ
Մեկ այլ RTM գործառույթը սքրինշոթի գաղտնալսումն է: Հատկանիշը կիրառվում է, երբ պատուհանի մոնիտորինգի մոդուլը հայտնաբերում է հետաքրքրություն ներկայացնող կայք կամ բանկային ծրագրակազմ: Սքրինշոթներն արվում են գրաֆիկական պատկերների գրադարանի միջոցով և փոխանցվում հրամանի սերվեր:
4.6. Ապատեղադրում
C&C սերվերը կարող է դադարեցնել չարամիտ ծրագրի գործարկումը և մաքրել ձեր համակարգիչը: Հրամանը թույլ է տալիս մաքրել ֆայլերը և ռեեստրի գրառումները, որոնք ստեղծված են RTM-ի աշխատանքի ընթացքում: DLL-ն այնուհետև օգտագործվում է չարամիտ ծրագիրը և winlogon ֆայլը հեռացնելու համար, որից հետո հրամանն անջատում է համակարգիչը: Ինչպես ցույց է տրված ստորև նկարում, DLL-ը հեռացվում է մշակողների կողմից՝ օգտագործելով erase.dll:
Սերվերը կարող է Trojan-ին ուղարկել ապակառուցողական ապատեղակայման-կողպման հրաման: Այս դեպքում, եթե դուք ունեք ադմինիստրատորի իրավունքներ, RTM-ը կջնջի կոշտ սկավառակի MBR բեռնման հատվածը: Եթե դա չհաջողվի, տրոյականը կփորձի MBR բեռնման հատվածը տեղափոխել պատահական հատված, այնուհետև համակարգիչը չի կարողանա բեռնել ՕՀ-ն անջատումից հետո: Սա կարող է հանգեցնել ՕՀ-ի ամբողջական վերատեղադրման, ինչը նշանակում է ապացույցների ոչնչացում:
Առանց ադմինիստրատորի արտոնությունների, չարամիտ ծրագիրը գրում է .EXE, որը կոդավորված է հիմքում ընկած RTM DLL-ում: Գործարկիչը կատարում է համակարգիչը անջատելու համար անհրաժեշտ կոդը և գրանցում մոդուլը HKCUCurrentVersionRun ռեեստրի բանալիում: Ամեն անգամ, երբ օգտվողը սկսում է նիստը, համակարգիչը անմիջապես անջատվում է:
4.7. Կազմաձևման ֆայլը
Լռելյայնորեն, RTM-ը գրեթե չունի կազմաձևման ֆայլ, բայց հրամանի և կառավարման սերվերը կարող է ուղարկել կազմաձևման արժեքներ, որոնք կպահվեն ռեեստրում և կօգտագործվեն ծրագրի կողմից: Կազմաձևման ստեղների ցանկը ներկայացված է ստորև բերված աղյուսակում.
Կազմաձևը պահվում է Software[Pseudo-random string] ռեեստրի բանալիում: Յուրաքանչյուր արժեք համապատասխանում է նախորդ աղյուսակում ներկայացված տողերից մեկին: Արժեքները և տվյալները կոդավորված են RTM-ում RC4 ալգորիթմի միջոցով:
Տվյալներն ունեն նույն կառուցվածքը, ինչ ցանցը կամ տողերը: Կոդավորված տվյալների սկզբում ավելացվում է չորս բայթանոց XOR բանալի: Կազմաձևման արժեքների համար XOR ստեղնը տարբեր է և կախված է արժեքի չափից: Այն կարող է հաշվարկվել հետևյալ կերպ.
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)
4.8. Այլ առանձնահատկություններ
Հաջորդը, եկեք տեսնենք այլ գործառույթներ, որոնք աջակցում է RTM-ին:
4.8.1. Լրացուցիչ մոդուլներ
Trojan-ը ներառում է լրացուցիչ մոդուլներ, որոնք DLL ֆայլեր են: C&C հրամանի սերվերից ուղարկված մոդուլները կարող են գործարկվել որպես արտաքին ծրագրեր, արտացոլվել RAM-ում և գործարկվել նոր թելերում: Պահպանման համար մոդուլները պահվում են .dtt ֆայլերում և կոդավորված՝ օգտագործելով RC4 ալգորիթմը նույն բանալիով, որն օգտագործվում է ցանցային հաղորդակցության համար:
Մինչ այժմ մենք դիտարկել ենք VNC մոդուլի (8966319882494077C21F66A8354E2CBCA0370464) տեղադրումը, բրաուզերի տվյալների արդյունահանման մոդուլը (03DE8622BE6B2F75A364A275995C3411626F4C9D և 1DE2BE1B562F1A69A6C58F88753C7D) EFC0FBA3 B4BEXNUMXDXNUMXBXNUMXEXNUMXCFAB):
VNC մոդուլը բեռնելու համար C&C սերվերը հրաման է տալիս VNC սերվերի հետ կապեր պահանջելով 44443 նավահանգստի հատուկ IP հասցեով: Բրաուզերի տվյալների որոնման պլագինը գործարկում է TBrowserDataCollector-ը, որը կարող է կարդալ IE զննարկման պատմությունը: Այնուհետև այն ուղարկում է այցելած URL-ների ամբողջական ցանկը C&C հրամանի սերվերին:
Հայտնաբերված վերջին մոդուլը կոչվում է 1c_2_kl: Այն կարող է փոխազդել 1C Enterprise ծրագրային փաթեթի հետ: Մոդուլը ներառում է երկու մաս՝ հիմնական մասը՝ DLL և երկու գործակալ (32 և 64 բիթ), որոնք ներարկվելու են յուրաքանչյուր պրոցեսում՝ գրանցելով կապ WH_CBT-ի համար։ Ներդրվելով 1C գործընթացում, մոդուլը կապում է CreateFile և WriteFile գործառույթները: Ամեն անգամ, երբ կանչվում է CreateFile bound ֆունկցիան, մոդուլը պահում է 1c_to_kl.txt ֆայլի ուղին հիշողության մեջ: WriteFile զանգը ընդհատելուց հետո այն կանչում է WriteFile ֆունկցիան և ուղարկում ֆայլի ուղին 1c_to_kl.txt դեպի հիմնական DLL մոդուլ՝ փոխանցելով այն Windows-ի մշակված WM_COPYDATA հաղորդագրությունը:
Հիմնական DLL մոդուլը բացում և վերլուծում է ֆայլը՝ վճարման հանձնարարականները որոշելու համար: Այն ճանաչում է ֆայլում պարունակվող գումարը և գործարքի համարը: Այս տեղեկատվությունը ուղարկվում է հրամանի սերվերին: Մենք կարծում ենք, որ այս մոդուլը ներկայումս մշակման փուլում է, քանի որ այն պարունակում է վրիպազերծման հաղորդագրություն և չի կարող ավտոմատ կերպով փոփոխել 1c_to_kl.txt-ը:
4.8.2. Արտոնությունների սրացում
RTM-ը կարող է փորձել մեծացնել արտոնությունները՝ ցուցադրելով սխալ սխալ հաղորդագրություններ: Չարամիտ ծրագիրը նմանակում է ռեեստրի ստուգումը (տես ստորև նկարը) կամ օգտագործում է ռեեստրի իրական խմբագրի պատկերակը: Խնդրում ենք նկատի ունենալ, որ տառասխալը սպասել – ինչ: Մի քանի վայրկյան սկանավորումից հետո ծրագիրը ցուցադրում է սխալ սխալ հաղորդագրություն:
Կեղծ հաղորդագրությունը հեշտությամբ կխաբի սովորական օգտագործողին, չնայած քերականական սխալներին: Եթե օգտատերը սեղմում է երկու հղումներից մեկի վրա, RTM-ը կփորձի մեծացնել իր արտոնությունները համակարգում:
Վերականգնման երկու տարբերակներից մեկը ընտրելուց հետո տրոյականը գործարկում է DLL-ը, օգտագործելով Runas տարբերակը ShellExecute ֆունկցիայի մեջ՝ ադմինիստրատորի արտոնություններով: Օգտագործողը կտեսնի իրական Windows-ի հուշում (տես ստորև նկարը) բարձրացման համար: Եթե օգտատերը տալիս է անհրաժեշտ թույլտվությունները, տրոյականը կաշխատի ադմինիստրատորի արտոնություններով:
Կախված համակարգում տեղադրված լռելյայն լեզվից, Trojan-ը ցուցադրում է սխալի հաղորդագրություններ ռուսերեն կամ անգլերեն լեզուներով:
4.8.3. Ատեստատ
RTM-ը կարող է վկայագրեր ավելացնել Windows Store-ին և հաստատել հավելման հուսալիությունը՝ csrss.exe երկխոսության վանդակում ավտոմատ սեղմելով «այո» կոճակը: Այս վարքագիծը նոր չէ, օրինակ, բանկային Trojan Retefe-ն նույնպես ինքնուրույն հաստատում է նոր վկայագրի տեղադրումը:
4.8.4. Հակադարձ կապ
RTM-ի հեղինակները նաև ստեղծել են Backconnect TCP թունելը: Մենք դեռ չենք տեսել այս գործառույթն օգտագործելու մեջ, բայց այն նախատեսված է վարակված ԱՀ-ների հեռակա վերահսկման համար:
4.8.5. Հյուրընկալող ֆայլերի կառավարում
C&C սերվերը կարող է հրաման ուղարկել Trojan-ին Windows հոսթ ֆայլը փոփոխելու համար: Հյուրընկալող ֆայլը օգտագործվում է հատուկ DNS լուծումներ ստեղծելու համար:
4.8.6. Գտեք և ուղարկեք ֆայլ
Սերվերը կարող է խնդրել որոնել և ներբեռնել ֆայլ վարակված համակարգում: Օրինակ՝ հետազոտության ընթացքում մենք ստացանք 1c_to_kl.txt ֆայլի հարցում։ Ինչպես նախկինում նկարագրվեց, այս ֆայլը ստեղծվում է 1C: Enterprise 8 հաշվապահական համակարգի կողմից:
4.8.7. Թարմացնել
Վերջապես, RTM հեղինակները կարող են թարմացնել ծրագրաշարը՝ ներկայացնելով նոր DLL՝ ներկայիս տարբերակը փոխարինելու համար:
5. Եզրակացություն
RTM-ի հետազոտությունները ցույց են տալիս, որ ռուսական բանկային համակարգը դեռ գրավում է կիբերհարձակվողներին։ Խմբերը, ինչպիսիք են Buhtrap-ը, Corkow-ը և Carbanak-ը, հաջողությամբ փող են գողանում Ռուսաստանում ֆինանսական հաստատություններից և նրանց հաճախորդներից: RTM-ը նոր խաղացող է այս ոլորտում:
Վնասակար RTM գործիքներն օգտագործվում են առնվազն 2015 թվականի վերջից՝ ըստ ESET հեռաչափության: Ծրագիրն ունի լրտեսական հնարավորությունների ամբողջ շարք, ներառյալ՝ խելացի քարտեր կարդալը, ստեղնաշարի սեղմումները և բանկային գործարքների մոնիտորինգը, ինչպես նաև 1C: Enterprise 8 տրանսպորտային ֆայլերի որոնումը:
Ապակենտրոնացված, չգրաքննված .bit վերին մակարդակի տիրույթի օգտագործումը ապահովում է բարձր ճկուն ենթակառուցվածք:
Source: www.habr.com