Ada beberapa kelompok dunia maya yang berspesialisasi dalam mencuri dana dari perusahaan-perusahaan Rusia. Kami telah melihat serangan menggunakan celah keamanan yang memungkinkan akses ke jaringan target. Begitu mereka mendapatkan akses, penyerang memeriksa struktur jaringan organisasi dan menggunakan alat mereka sendiri untuk mencuri dana. Contoh klasik dari tren ini adalah kelompok hacker Buhtrap, Cobalt dan Corkow.
Grup RTM yang menjadi fokus laporan ini adalah bagian dari tren ini. Ini menggunakan malware yang dirancang khusus yang ditulis dalam Delphi, yang akan kita lihat lebih detail di bagian berikut. Jejak pertama alat ini dalam sistem telemetri ESET ditemukan pada akhir tahun 2015. Tim memuat berbagai modul baru ke sistem yang terinfeksi sesuai kebutuhan. Serangan tersebut ditujukan pada pengguna sistem perbankan jarak jauh di Rusia dan beberapa negara tetangga.
1. Tujuan
Kampanye RTM ditujukan untuk pengguna korporat - hal ini terlihat jelas dari proses yang coba dideteksi oleh penyerang dalam sistem yang disusupi. Fokusnya adalah pada perangkat lunak akuntansi untuk bekerja dengan sistem perbankan jarak jauh.
Daftar proses yang menarik bagi RTM menyerupai daftar grup Buhtrap, tetapi grup tersebut memiliki vektor infeksi yang berbeda. Jika Buhtrap lebih sering menggunakan halaman palsu, maka RTM menggunakan serangan drive-by download (serangan terhadap browser atau komponennya) dan mengirim spam melalui email. Menurut data telemetri, ancaman tersebut ditujukan ke Rusia dan beberapa negara terdekat (Ukraina, Kazakhstan, Republik Ceko, Jerman). Namun, karena penggunaan mekanisme distribusi massal, deteksi malware di luar wilayah target bukanlah hal yang mengejutkan.
Jumlah total deteksi malware relatif kecil. Di sisi lain, kampanye RTM menggunakan program yang kompleks, yang menunjukkan bahwa serangan tersebut sangat tepat sasaran.
Kami telah menemukan beberapa dokumen umpan yang digunakan oleh RTM, termasuk kontrak, faktur, atau dokumen akuntansi pajak yang tidak ada. Sifat umpan, dikombinasikan dengan jenis perangkat lunak yang menjadi sasaran serangan, menunjukkan bahwa penyerang βmemasukiβ jaringan perusahaan Rusia melalui departemen akuntansi. Kelompok tersebut bertindak sesuai dengan skema yang sama pada tahun 2014-2015
Selama penelitian, kami dapat berinteraksi dengan beberapa server C&C. Kami akan mencantumkan daftar lengkap perintah di bagian berikut, tetapi untuk saat ini kami dapat mengatakan bahwa klien mentransfer data dari keylogger langsung ke server penyerang, yang kemudian menerima perintah tambahan.
Namun, hari-hari ketika Anda cukup terhubung ke server perintah dan kontrol dan mengumpulkan semua data yang Anda minati telah berlalu. Kami membuat ulang file log realistis untuk mendapatkan beberapa perintah yang relevan dari server.
Yang pertama adalah permintaan ke bot untuk mentransfer file 1c_to_kl.txt - file transport dari program 1C: Enterprise 8, yang kemunculannya dipantau secara aktif oleh RTM. 1C berinteraksi dengan sistem perbankan jarak jauh dengan mengunggah data pembayaran keluar ke file teks. Selanjutnya, file tersebut dikirim ke sistem perbankan jarak jauh untuk otomatisasi dan pelaksanaan perintah pembayaran.
File tersebut berisi rincian pembayaran. Jika penyerang mengubah informasi tentang pembayaran keluar, transfer tersebut akan dikirim menggunakan rincian palsu ke rekening penyerang.
Sekitar sebulan setelah meminta file ini dari server perintah dan kontrol, kami mengamati plugin baru, 1c_2_kl.dll, dimuat ke sistem yang disusupi. Modul (DLL) dirancang untuk menganalisis file unduhan secara otomatis dengan menembus proses perangkat lunak akuntansi. Kami akan menjelaskannya secara rinci di bagian berikut.
Menariknya, FinCERT Bank Rusia pada akhir tahun 2016 mengeluarkan buletin peringatan tentang penjahat dunia maya yang menggunakan file unggahan 1c_to_kl.txt. Pengembang dari 1C juga mengetahui skema ini, mereka telah membuat pernyataan resmi dan mencantumkan tindakan pencegahan.
Modul lain juga dimuat dari server perintah, khususnya VNC (versi 32 dan 64-bit). Ini menyerupai modul VNC yang sebelumnya digunakan dalam serangan Trojan Dridex. Modul ini seharusnya digunakan untuk terhubung dari jarak jauh ke komputer yang terinfeksi dan melakukan studi sistem secara mendetail. Selanjutnya, penyerang mencoba menjelajahi jaringan, mengekstraksi kata sandi pengguna, mengumpulkan informasi, dan memastikan keberadaan malware secara konstan.
2. Vektor penularan
Gambar berikut menunjukkan vektor infeksi yang terdeteksi selama masa studi kampanye. Grup ini menggunakan berbagai macam vektor, namun sebagian besar menggunakan serangan unduhan drive-by dan spam. Alat-alat ini cocok untuk serangan yang ditargetkan, karena dalam kasus pertama, penyerang dapat memilih situs yang dikunjungi oleh calon korban, dan yang kedua, mereka dapat mengirim email dengan lampiran langsung ke karyawan perusahaan yang diinginkan.
Malware ini didistribusikan melalui berbagai saluran, termasuk perangkat eksploitasi RIG dan Sundown atau surat spam, yang menunjukkan adanya hubungan antara penyerang dan penyerang siber lain yang menawarkan layanan ini.
2.1. Bagaimana hubungan RTM dan Buhtrap?
Kampanye RTM sangat mirip dengan Buhtrap. Pertanyaan wajarnya adalah: bagaimana mereka berhubungan satu sama lain?
Pada bulan September 2016, kami mengamati sampel RTM didistribusikan menggunakan pengunggah Buhtrap. Selain itu, kami menemukan dua sertifikat digital yang digunakan di Buhtrap dan RTM.
Yang pertama, diduga dikeluarkan untuk perusahaan DNISTER-M, digunakan untuk secara digital menandatangani formulir Delphi kedua (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11B1 1).
Yang kedua, dikeluarkan untuk Bit-Tredj, digunakan untuk menandatangani pemuat Buhtrap (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 dan B74F71560E48488D2153AE2FB51207A0AC206E2B), serta mengunduh dan menginstal komponen RTM.
Operator RTM menggunakan sertifikat yang sama dengan keluarga malware lainnya, namun mereka juga memiliki sertifikat unik. Menurut telemetri ESET, itu dikeluarkan untuk Kit-SD dan hanya digunakan untuk menandatangani beberapa malware RTM (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM menggunakan loader yang sama dengan Buhtrap, komponen RTM dimuat dari infrastruktur Buhtrap, sehingga grup tersebut memiliki indikator jaringan yang serupa. Namun menurut perkiraan kami, RTM dan Buhtrap adalah kelompok yang berbeda, setidaknya karena RTM didistribusikan dengan cara yang berbeda (tidak hanya menggunakan pengunduh βasingβ).
Meskipun demikian, kelompok peretas menggunakan prinsip operasi serupa. Mereka menargetkan bisnis yang menggunakan perangkat lunak akuntansi, mengumpulkan informasi sistem, mencari pembaca kartu pintar, dan menyebarkan serangkaian alat jahat untuk memata-matai korban.
3. Evolusi
Di bagian ini, kita akan melihat berbagai versi malware yang ditemukan selama penelitian.
3.1. Pembuatan versi
RTM menyimpan data konfigurasi di bagian registri, bagian yang paling menarik adalah awalan botnet. Daftar semua nilai yang kami lihat dalam sampel yang kami pelajari disajikan pada tabel di bawah ini.
Ada kemungkinan bahwa nilai tersebut dapat digunakan untuk mencatat versi malware. Namun, kami tidak melihat banyak perbedaan antara versi seperti bit2 dan bit3, 0.1.6.4 dan 0.1.6.6. Selain itu, salah satu awalan telah ada sejak awal dan telah berevolusi dari domain C&C biasa menjadi domain .bit, seperti yang akan ditunjukkan di bawah.
3.2. Jadwal
Dengan menggunakan data telemetri, kami membuat grafik kemunculan sampel.
4. Analisis teknikal
Pada bagian ini, kami akan menjelaskan fungsi utama Trojan perbankan RTM, termasuk mekanisme resistensi, algoritma RC4 versinya sendiri, protokol jaringan, fungsi mata-mata, dan beberapa fitur lainnya. Secara khusus, kami akan fokus pada sampel SHA-1 AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 dan 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. Instalasi dan penghematan
4.1.1. Penerapan
Inti RTM adalah DLL, perpustakaan dimuat ke disk menggunakan .EXE. File yang dapat dieksekusi biasanya dikemas dan berisi kode DLL. Setelah diluncurkan, ia mengekstrak DLL dan menjalankannya menggunakan perintah berikut:
rundll32.exe β%PROGRAMDATA%Winlogonwinlogon.lnkβ,DllGetClassObject host4.1.2.DLL
DLL utama selalu dimuat ke disk sebagai winlogon.lnk di folder %PROGRAMDATA%Winlogon. Ekstensi file ini biasanya dikaitkan dengan pintasan, tetapi file tersebut sebenarnya adalah DLL yang ditulis dalam Delphi, diberi nama core.dll oleh pengembangnya, seperti yang ditunjukkan pada gambar di bawah.
ΠΡΠΈΠΌΠ΅Ρ Π½Π°Π·Π²Π°Π½ΠΈΡ DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Setelah diluncurkan, Trojan mengaktifkan mekanisme perlawanannya. Hal ini dapat dilakukan dengan dua cara berbeda, bergantung pada hak istimewa korban dalam sistem. Jika Anda memiliki hak administrator, Trojan menambahkan entri Pembaruan Windows ke registri HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun. Perintah yang terdapat dalam Pembaruan Windows akan dijalankan pada awal sesi pengguna.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe β%PROGRAMDATA%winlogon.lnkβ, host DllGetClassObject
Trojan juga mencoba menambahkan tugas ke Penjadwal Tugas Windows. Tugas tersebut akan meluncurkan winlogon.lnk DLL dengan parameter yang sama seperti di atas. Hak pengguna reguler memungkinkan Trojan untuk menambahkan entri Pembaruan Windows dengan data yang sama ke registri HKCUSoftwareMicrosoftWindowsCurrentVersionRun:
rundll32.exe β%PROGRAMDATA%winlogon.lnkβ,DllGetClassObject host4.2. Algoritma RC4 yang dimodifikasi
Meskipun terdapat kekurangan yang diketahui, algoritma RC4 sering digunakan oleh pembuat malware. Namun, pembuat RTM memodifikasinya sedikit, mungkin untuk mempersulit tugas analis virus. Versi RC4 yang dimodifikasi banyak digunakan dalam alat RTM berbahaya untuk mengenkripsi string, data jaringan, konfigurasi, dan modul.
4.2.1. Perbedaan
Algoritme RC4 asli mencakup dua tahap: inisialisasi blok-s (alias KSA - Algoritma Penjadwalan Kunci) dan pembuatan urutan pseudo-acak (PRGA - Algoritma Pembangkitan Pseudo-Acak). Tahap pertama melibatkan inisialisasi s-box menggunakan kunci, dan tahap kedua teks sumber diproses menggunakan s-box untuk enkripsi.
Penulis RTM menambahkan langkah perantara antara inisialisasi dan enkripsi s-box. Kunci tambahan bersifat variabel dan disetel bersamaan dengan data yang akan dienkripsi dan didekripsi. Fungsi yang melakukan langkah tambahan ini ditunjukkan pada gambar di bawah.
4.2.2. Enkripsi string
Sekilas, ada beberapa baris yang terbaca di DLL utama. Sisanya dienkripsi menggunakan algoritma yang dijelaskan di atas, strukturnya ditunjukkan pada gambar berikut. Kami menemukan lebih dari 25 kunci RC4 berbeda untuk enkripsi string dalam sampel yang dianalisis. Kunci XOR berbeda untuk setiap baris. Nilai bidang numerik yang memisahkan garis selalu 0xFFFFFFFF.
Pada awal eksekusi, RTM mendekripsi string menjadi variabel global. Bila diperlukan untuk mengakses suatu string, Trojan secara dinamis menghitung alamat string yang didekripsi berdasarkan alamat dasar dan offset.
String tersebut berisi informasi menarik tentang fungsi malware. Beberapa contoh string disediakan di Bagian 6.8.
4.3. Jaringan
Cara malware RTM menghubungi server C&C bervariasi dari versi ke versi. Modifikasi pertama (Oktober 2015 β April 2016) menggunakan nama domain tradisional bersama dengan RSS feed di livejournal.com untuk memperbarui daftar perintah.
Sejak April 2016, kami telah melihat peralihan ke domain .bit dalam data telemetri. Hal ini dikonfirmasi dengan tanggal pendaftaran domain - domain RTM pertama fde05d0573da.bit didaftarkan pada 13 Maret 2016.
Semua URL yang kami lihat saat memantau kampanye memiliki jalur yang sama: /r/z.php. Ini sangat tidak biasa dan ini akan membantu mengidentifikasi permintaan RTM dalam aliran jaringan.
4.3.1. Saluran untuk perintah dan kontrol
Contoh lama menggunakan saluran ini untuk memperbarui daftar server perintah dan kontrolnya. Hosting terletak di livejournal.com, pada saat penulisan laporan tetap di URL hxxp://f72bba81c921(.)livejournal(.)com/data/rss.
Livejournal adalah perusahaan Rusia-Amerika yang menyediakan platform blogging. Operator RTM membuat blog LJ tempat mereka memposting artikel dengan perintah berkode - lihat tangkapan layar.
Baris perintah dan kontrol dikodekan menggunakan algoritma RC4 yang dimodifikasi (Bagian 4.2). Versi saluran saat ini (November 2016) berisi alamat server perintah dan kontrol berikut:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. domain .bit
Dalam sampel RTM terbaru, penulis terhubung ke domain C&C menggunakan domain tingkat atas TLD .bit. Itu tidak ada dalam daftar domain tingkat atas ICANN (Nama Domain dan Perusahaan Internet). Sebaliknya, ia menggunakan sistem Namecoin, yang dibangun di atas teknologi Bitcoin. Pembuat malware tidak sering menggunakan TLD .bit untuk domain mereka, meskipun contoh penggunaan tersebut sebelumnya telah diamati pada versi botnet Necurs.
Tidak seperti Bitcoin, pengguna database Namecoin yang terdistribusi memiliki kemampuan untuk menyimpan data. Penerapan utama fitur ini adalah domain tingkat atas .bit. Anda dapat mendaftarkan domain yang akan disimpan dalam database terdistribusi. Entri yang sesuai dalam database berisi alamat IP yang diselesaikan oleh domain. TLD ini βtahan sensorβ karena hanya pendaftar yang dapat mengubah resolusi domain .bit. Artinya, jauh lebih sulit menghentikan domain jahat menggunakan TLD jenis ini.
Trojan RTM tidak menyematkan perangkat lunak yang diperlukan untuk membaca database Namecoin yang didistribusikan. Ia menggunakan server DNS pusat seperti dns.dot-bit.org atau server OpenNic untuk menyelesaikan domain .bit. Oleh karena itu, ia memiliki daya tahan yang sama dengan server DNS. Kami mengamati bahwa beberapa domain tim tidak lagi terdeteksi setelah disebutkan dalam postingan blog.
Keuntungan lain dari TLD .bit bagi peretas adalah biaya. Untuk mendaftarkan domain, operator hanya perlu membayar 0,01 NK, yang setara dengan $0,00185 (per 5 Desember 2016). Sebagai perbandingan, domain.com berharga setidaknya $10.
4.3.3. Protokol
Untuk berkomunikasi dengan server perintah dan kontrol, RTM menggunakan permintaan HTTP POST dengan data yang diformat menggunakan protokol khusus. Nilai jalur selalu /r/z.php; Agen pengguna Mozilla/5.0 (kompatibel; MSIE 9.0; Windows NT 6.1; Trident/5.0). Dalam permintaan ke server, data diformat sebagai berikut, di mana nilai offset dinyatakan dalam byte:
Byte 0 hingga 6 tidak dikodekan; byte mulai dari 6 dikodekan menggunakan algoritma RC4 yang dimodifikasi. Struktur paket respons C&C lebih sederhana. Byte dikodekan dari 4 hingga ukuran paket.
Daftar kemungkinan nilai byte tindakan disajikan pada tabel di bawah ini:
Malware selalu menghitung CRC32 dari data yang didekripsi dan membandingkannya dengan apa yang ada dalam paket. Jika berbeda, Trojan akan membuang paketnya.
Data tambahan mungkin berisi berbagai objek, termasuk file PE, file yang akan dicari di sistem file, atau URL perintah baru.
4.3.4. Panel
Kami memperhatikan bahwa RTM menggunakan panel di server C&C. Tangkapan layar di bawah ini:
4.4. Tanda karakteristik
RTM adalah Trojan perbankan yang khas. Tidak mengherankan jika operator menginginkan informasi tentang sistem korban. Di satu sisi, bot mengumpulkan informasi umum tentang OS. Di sisi lain, ia mengetahui apakah sistem yang disusupi berisi atribut yang terkait dengan sistem perbankan jarak jauh Rusia.
4.4.1. Informasi umum
Ketika malware diinstal atau diluncurkan setelah reboot, laporan dikirim ke server perintah dan kontrol yang berisi informasi umum termasuk:
- Zona waktu;
- bahasa sistem default;
- kredensial pengguna resmi;
- tingkat integritas proses;
- Nama belakang;
- nama komputer;
- versi OS;
- modul terpasang tambahan;
- program antivirus yang diinstal;
- daftar pembaca kartu pintar.
4.4.2 Sistem perbankan jarak jauh
Target khas Trojan adalah sistem perbankan jarak jauh, dan RTM tidak terkecuali. Salah satu modul program ini disebut TBdo, yang melakukan berbagai tugas, termasuk memindai disk dan riwayat penelusuran.
Dengan memindai disk, Trojan memeriksa apakah perangkat lunak perbankan diinstal pada mesin. Daftar lengkap program sasaran dapat dilihat pada tabel di bawah ini. Setelah mendeteksi file yang diinginkan, program mengirimkan informasi ke server perintah. Tindakan selanjutnya bergantung pada logika yang ditentukan oleh algoritma pusat perintah (C&C).
RTM juga mencari pola URL di riwayat browser Anda dan tab yang terbuka. Selain itu, program ini memeriksa penggunaan fungsi FindNextUrlCacheEntryA dan FindFirstUrlCacheEntryA, dan juga memeriksa setiap entri untuk mencocokkan URL dengan salah satu pola berikut:
Setelah mendeteksi tab yang terbuka, Trojan menghubungi Internet Explorer atau Firefox melalui mekanisme Dynamic Data Exchange (DDE) untuk memeriksa apakah tab tersebut cocok dengan polanya.
Memeriksa riwayat penelusuran dan tab yang terbuka dilakukan dalam putaran WHILE (perulangan dengan prasyarat) dengan jeda 1 detik di antara pemeriksaan. Data lain yang dipantau secara real time akan dibahas pada bagian 4.5.
Jika suatu pola ditemukan, program melaporkannya ke server perintah menggunakan daftar string dari tabel berikut:
4.5 Pemantauan
Saat Trojan sedang berjalan, informasi tentang ciri-ciri sistem yang terinfeksi (termasuk informasi tentang keberadaan perangkat lunak perbankan) dikirim ke server perintah dan kontrol. Sidik jari terjadi ketika RTM pertama kali menjalankan sistem pemantauan segera setelah pemindaian OS awal.
4.5.1. Perbankan jarak jauh
Modul TBdo juga bertanggung jawab untuk memantau proses terkait perbankan. Ia menggunakan pertukaran data dinamis untuk memeriksa tab di Firefox dan Internet Explorer selama pemindaian awal. Modul TShell lain digunakan untuk memonitor jendela perintah (Internet Explorer atau File Explorer).
Modul ini menggunakan antarmuka COM IShellWindows, iWebBrowser, DWebBrowserEvents2 dan IConnectionPointContainer untuk memantau windows. Saat pengguna menavigasi ke halaman web baru, malware mencatat hal ini. Kemudian membandingkan URL halaman dengan pola di atas. Setelah mendeteksi kecocokan, Trojan mengambil enam tangkapan layar berturut-turut dengan selang waktu 5 detik dan mengirimkannya ke server perintah C&S. Program ini juga memeriksa beberapa nama jendela yang terkait dengan perangkat lunak perbankan - daftar lengkapnya ada di bawah:
4.5.2. Kartu pintar
RTM memungkinkan Anda memantau pembaca kartu pintar yang terhubung ke komputer yang terinfeksi. Perangkat ini digunakan di beberapa negara untuk merekonsiliasi perintah pembayaran. Jika perangkat jenis ini dipasang ke komputer, hal ini dapat mengindikasikan kepada Trojan bahwa mesin tersebut digunakan untuk transaksi perbankan.
Tidak seperti Trojan perbankan lainnya, RTM tidak dapat berinteraksi dengan kartu pintar tersebut. Mungkin fungsi ini disertakan dalam modul tambahan yang belum kita lihat.
4.5.3. pencatat kunci
Bagian penting dari pemantauan PC yang terinfeksi adalah menangkap penekanan tombol. Tampaknya pengembang RTM tidak melewatkan informasi apa pun, karena mereka tidak hanya memantau tombol biasa, tetapi juga keyboard virtual dan clipboard.
Untuk melakukan ini, gunakan fungsi SetWindowsHookExA. Penyerang mencatat tombol yang ditekan atau tombol yang terkait dengan keyboard virtual, beserta nama dan tanggal program. Buffer kemudian dikirim ke server perintah C&C.
Fungsi SetClipboardViewer digunakan untuk mencegat clipboard. Peretas mencatat konten clipboard saat datanya berupa teks. Nama dan tanggal juga dicatat sebelum buffer dikirim ke server.
4.5.4. Tangkapan layar
Fungsi RTM lainnya adalah intersepsi tangkapan layar. Fitur ini diterapkan ketika modul pemantauan jendela mendeteksi situs atau perangkat lunak perbankan yang diminati. Tangkapan layar diambil menggunakan perpustakaan gambar grafik dan ditransfer ke server perintah.
4.6. Penghapusan instalasi
Server C&C dapat menghentikan malware berjalan dan membersihkan komputer Anda. Perintah ini memungkinkan Anda untuk menghapus file dan entri registri yang dibuat saat RTM sedang berjalan. DLL kemudian digunakan untuk menghapus malware dan file winlogon, setelah itu perintah mematikan komputer. Seperti yang ditunjukkan pada gambar di bawah, DLL dihapus oleh pengembang menggunakan erase.dll.
Server dapat mengirim Trojan perintah uninstall-lock yang merusak. Dalam hal ini, jika Anda memiliki hak administrator, RTM akan menghapus sektor boot MBR pada hard drive. Jika gagal, Trojan akan mencoba menggeser sektor boot MBR ke sektor acak - maka komputer tidak akan dapat mem-boot OS setelah dimatikan. Hal ini dapat menyebabkan instalasi ulang OS secara menyeluruh, yang berarti hilangnya bukti.
Tanpa hak administrator, malware menulis .EXE yang dikodekan dalam DLL RTM yang mendasarinya. Eksekusi mengeksekusi kode yang diperlukan untuk mematikan komputer dan mendaftarkan modul di kunci registri HKCUCurrentVersionRun. Setiap kali pengguna memulai sesi, komputer langsung mati.
4.7. File konfigurasi
Secara default, RTM hampir tidak memiliki file konfigurasi, tetapi server perintah dan kontrol dapat mengirimkan nilai konfigurasi yang akan disimpan dalam registri dan digunakan oleh program. Daftar kunci konfigurasi disajikan pada tabel di bawah ini:
Konfigurasi disimpan dalam kunci registri Perangkat Lunak [String acak semu]. Setiap nilai sesuai dengan salah satu baris yang disajikan pada tabel sebelumnya. Nilai dan data dikodekan menggunakan algoritma RC4 di RTM.
Data memiliki struktur yang sama dengan jaringan atau string. Kunci XOR empat byte ditambahkan di awal data yang dikodekan. Untuk nilai konfigurasi, kunci XOR berbeda dan bergantung pada ukuran nilainya. Itu dapat dihitung sebagai berikut:
xor_key = (len(nilai_konfigurasi) << 24) | (len(nilai_konfigurasi) << 16)
| len(nilai_konfigurasi)| (len(nilai_konfigurasi) << 8)
4.8. Fungsi lainnya
Selanjutnya, mari kita lihat fungsi lain yang didukung RTM.
4.8.1. Modul tambahan
Trojan menyertakan modul tambahan, yaitu file DLL. Modul yang dikirim dari server perintah C&C dapat dijalankan sebagai program eksternal, tercermin dalam RAM dan diluncurkan di thread baru. Untuk penyimpanan, modul disimpan dalam file .dtt dan dikodekan menggunakan algoritma RC4 dengan kunci yang sama yang digunakan untuk komunikasi jaringan.
Sejauh ini kita telah mengamati instalasi modul VNC (8966319882494077C21F66A8354E2CBCA0370464), modul ekstraksi data browser (03DE8622BE6B2F75A364A275995C3411626C4D9F) dan modul 1c_2_kl (B1EE562E1F69EF C6FBA58 B88753BE7D0B3E4CFAB).
Untuk memuat modul VNC, server C&C mengeluarkan perintah yang meminta koneksi ke server VNC pada alamat IP tertentu pada port 44443. Plugin pengambilan data browser menjalankan TBrowserDataCollector, yang dapat membaca riwayat penelusuran IE. Kemudian mengirimkan daftar lengkap URL yang dikunjungi ke server perintah C&C.
Modul terakhir yang ditemukan disebut 1c_2_kl. Itu dapat berinteraksi dengan paket perangkat lunak 1C Enterprise. Modul ini mencakup dua bagian: bagian utama - DLL dan dua agen (32 dan 64 bit), yang akan disuntikkan ke setiap proses, mendaftarkan pengikatan ke WH_CBT. Setelah diperkenalkan ke dalam proses 1C, modul mengikat fungsi CreateFile dan WriteFile. Setiap kali fungsi terikat CreateFile dipanggil, modul menyimpan jalur file 1c_to_kl.txt di memori. Setelah mencegat panggilan WriteFile, ia memanggil fungsi WriteFile dan mengirimkan jalur file 1c_to_kl.txt ke modul DLL utama, meneruskannya pesan Windows WM_COPYDATA yang dibuat.
Modul DLL utama membuka dan mem-parsing file untuk menentukan perintah pembayaran. Ini mengenali jumlah dan nomor transaksi yang terdapat dalam file. Informasi ini dikirim ke server perintah. Kami yakin modul ini sedang dalam pengembangan karena berisi pesan debug dan tidak dapat mengubah 1c_to_kl.txt secara otomatis.
4.8.2. Peningkatan hak istimewa
RTM mungkin mencoba meningkatkan hak istimewa dengan menampilkan pesan kesalahan palsu. Malware mensimulasikan pemeriksaan registri (lihat gambar di bawah) atau menggunakan ikon editor registri sebenarnya. Harap perhatikan kesalahan ejaan tunggu β apa. Setelah beberapa detik pemindaian, program menampilkan pesan kesalahan palsu.
Pesan palsu akan dengan mudah menipu rata-rata pengguna, meskipun ada kesalahan tata bahasa. Jika pengguna mengklik salah satu dari dua tautan tersebut, RTM akan mencoba meningkatkan hak istimewanya di sistem.
Setelah memilih salah satu dari dua opsi pemulihan, Trojan meluncurkan DLL menggunakan opsi runas di fungsi ShellExecute dengan hak administrator. Pengguna akan melihat prompt Windows yang sebenarnya (lihat gambar di bawah) untuk ketinggian. Jika pengguna memberikan izin yang diperlukan, Trojan akan berjalan dengan hak administrator.
Tergantung pada bahasa default yang diinstal pada sistem, Trojan menampilkan pesan kesalahan dalam bahasa Rusia atau Inggris.
4.8.3. Sertifikat
RTM dapat menambahkan sertifikat ke Windows Store dan mengonfirmasi keandalan penambahan dengan secara otomatis mengklik tombol βyaβ di kotak dialog csrss.exe. Perilaku ini bukanlah hal baru; misalnya, Trojan perbankan Retefe juga secara independen mengonfirmasi pemasangan sertifikat baru.
4.8.4. Koneksi terbalik
Penulis RTM juga membuat terowongan Backconnect TCP. Kami belum melihat fitur ini digunakan, namun fitur ini dirancang untuk memonitor PC yang terinfeksi dari jarak jauh.
4.8.5. Manajemen file tuan rumah
Server C&C dapat mengirimkan perintah ke Trojan untuk mengubah file host Windows. File host digunakan untuk membuat resolusi DNS khusus.
4.8.6. Temukan dan kirim file
Server mungkin meminta untuk mencari dan mengunduh file pada sistem yang terinfeksi. Misalnya, selama penelitian kami menerima permintaan untuk file 1c_to_kl.txt. Seperti yang dijelaskan sebelumnya, file ini dihasilkan oleh sistem akuntansi 1C:Enterprise 8.
4.8.7. Perbarui
Terakhir, pembuat RTM dapat memperbarui perangkat lunak dengan mengirimkan DLL baru untuk menggantikan versi saat ini.
5. Kesimpulan
Penelitian RTM menunjukkan bahwa sistem perbankan Rusia masih menarik para penyerang dunia maya. Kelompok seperti Buhtrap, Corkow dan Carbanak berhasil mencuri uang dari lembaga keuangan dan kliennya di Rusia. RTM adalah pemain baru di industri ini.
Alat RTM berbahaya telah digunakan setidaknya sejak akhir tahun 2015, menurut telemetri ESET. Program ini memiliki kemampuan spionase yang lengkap, termasuk membaca kartu pintar, mencegat penekanan tombol dan memantau transaksi perbankan, serta mencari file transport 1C: Enterprise 8.
Penggunaan domain tingkat atas .bit yang terdesentralisasi dan tanpa sensor memastikan infrastruktur yang sangat tangguh.
Sumber: www.habr.com