Það eru nokkrir þekktir nethópar sem sérhæfa sig í að stela fjármunum frá rússneskum fyrirtækjum. Við höfum séð árásir þar sem notaðar eru öryggisgatur sem leyfa aðgang að neti skotmarksins. Þegar þeir hafa fengið aðgang rannsaka árásarmenn netkerfi stofnunarinnar og beita eigin verkfærum til að stela fjármunum. Klassískt dæmi um þessa þróun eru tölvuþrjótahóparnir Buhtrap, Cobalt og Corkow.
RTM hópurinn sem þessi skýrsla fjallar um er hluti af þessari þróun. Það notar sérhannað spilliforrit skrifað í Delphi, sem við munum skoða nánar í eftirfarandi köflum. Fyrstu ummerki þessara verkfæra í ESET fjarmælingakerfinu fundust í lok árs 2015. Teymið hleður ýmsum nýjum einingar inn á sýkt kerfi eftir þörfum. Árásunum er beint að notendum fjarlægra bankakerfa í Rússlandi og sumum nágrannalöndum.
1. Markmið
RTM herferðin er beint að fyrirtækjanotendum - þetta er augljóst af ferlum sem árásarmenn reyna að greina í kerfi sem er í hættu. Áherslan er á bókhaldshugbúnað til að vinna með fjarbankakerfi.
Listinn yfir ferla sem RTM hefur áhuga á líkist samsvarandi lista Buhtrap hópsins, en hóparnir hafa mismunandi smitferja. Ef Buhtrap notaði oftar falsaðar síður, þá notaði RTM drif-by download árásir (árásir á vafra eða hluti hans) og ruslpóst með tölvupósti. Samkvæmt fjarmælingagögnum beinist ógnin að Rússlandi og nokkrum nálægum löndum (Úkraínu, Kasakstan, Tékklandi, Þýskalandi). Hins vegar, vegna notkunar fjöldadreifingaraðferða, kemur uppgötvun spilliforrita utan marksvæðanna ekki á óvart.
Heildarfjöldi uppgötvunar spilliforrita er tiltölulega lítill. Á hinn bóginn notar RTM herferðin flókin forrit, sem gefur til kynna að árásirnar séu mjög markvissar.
Við höfum uppgötvað nokkur tálbeituskjöl sem RTM notar, þar á meðal samninga sem ekki eru til, reikningar eða skattabókhaldsskjöl. Eðli tálbeita, ásamt tegund hugbúnaðar sem árásin beinist að, gefur til kynna að árásarmennirnir séu að „koma inn“ á net rússneskra fyrirtækja í gegnum bókhaldsdeildina. Hópurinn starfaði samkvæmt sama fyrirkomulagi á árunum 2014-2015
Meðan á rannsókninni stóð gátum við haft samskipti við nokkra C&C netþjóna. Við munum skrá allan listann yfir skipanir í eftirfarandi köflum, en í bili getum við sagt að viðskiptavinurinn flytji gögn frá keylogger beint á árásarþjóninn, þaðan sem viðbótarskipanir berast síðan.
Hins vegar eru þeir dagar þegar þú gætir einfaldlega tengst stjórn- og stjórnunarþjóni og safnað öllum þeim gögnum sem þú hafðir áhuga á, liðnir. Við endurgerðum raunhæfar annálaskrár til að fá viðeigandi skipanir frá þjóninum.
Fyrsta þeirra er beiðni til lánveitanda um að flytja skrána 1c_to_kl.txt - flutningsskrá 1C: Enterprise 8 forritsins, sem RTM hefur virkt eftirlit með útliti hennar. 1C hefur samskipti við fjarbankakerfi með því að hlaða upp gögnum um útgreiðslur í textaskrá. Því næst er skráin send í fjarbankakerfið til sjálfvirkni og framkvæmd greiðslufyrirmælis.
Skráin inniheldur greiðsluupplýsingar. Ef árásarmenn breyta upplýsingum um útgreiðslur verður millifærslan send með fölskum upplýsingum á reikninga árásarmannsins.
Um það bil mánuði eftir að hafa beðið um þessar skrár frá stjórn- og stjórnunarþjóninum, sáum við að ný viðbót, 1c_2_kl.dll, var hlaðin inn á kerfið sem er í hættu. Einingin (DLL) er hönnuð til að greina niðurhalsskrána sjálfkrafa með því að komast í gegnum bókhaldshugbúnaðarferlana. Við munum lýsa því í smáatriðum í eftirfarandi köflum.
Athyglisvert er að FinCERT frá Rússlandsbanka í lok árs 2016 gaf út viðvörun um netglæpamenn sem notuðu 1c_to_kl.txt upphleðsluskrár. Hönnuðir frá 1C vita líka um þetta kerfi; þeir hafa þegar gefið opinbera yfirlýsingu og skráð varúðarráðstafanir.
Aðrar einingar voru einnig hlaðnar frá stjórnunarþjóninum, einkum VNC (32 og 64 bita útgáfur þess). Það líkist VNC einingunni sem áður var notað í Dridex Trojan árásum. Þessi eining er talin notuð til að fjartengjast sýktri tölvu og framkvæma ítarlega rannsókn á kerfinu. Næst reyna árásarmennirnir að fara um netið, draga út lykilorð notenda, safna upplýsingum og tryggja stöðuga viðveru spilliforrita.
2. Sýkingarvektorar
Eftirfarandi mynd sýnir smitferjana sem greindust á rannsóknartímabili herferðarinnar. Hópurinn notar mikið úrval af vektorum, en aðallega keyrslu niðurhalsárásum og ruslpósti. Þessi verkfæri eru þægileg fyrir markvissar árásir, þar sem í fyrra tilvikinu geta árásarmenn valið síður sem hugsanleg fórnarlömb hafa heimsótt og í öðru tilvikinu geta þeir sent tölvupóst með viðhengjum beint til viðkomandi starfsmanna fyrirtækisins.
Spilliforritinu er dreift í gegnum margar rásir, þar á meðal RIG og Sundown nýtingarsett eða ruslpóst, sem gefur til kynna tengsl milli árásarmannanna og annarra netárása sem bjóða upp á þessa þjónustu.
2.1. Hvernig tengjast RTM og Buhtrap?
RTM herferðin er mjög svipuð Buhtrap. Eðlilega spurningin er: hvernig tengjast þau hvort öðru?
Í september 2016 sáum við RTM sýnishorni sem var dreift með Buhtrap upphleðsluforritinu. Að auki fundum við tvö stafræn vottorð notuð í bæði Buhtrap og RTM.
Hið fyrra, að sögn gefið út til fyrirtækisins DNISTER-M, var notað til að undirrita annað Delphi eyðublaðið stafrænt (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) og Buhtrap DLL (SHA-1: 1E2642B454FCC2D889C6FCC41116D 83).
Sá síðari, gefinn út til Bit-Tredj, var notaður til að undirrita Buhtrap hleðslutæki (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 og B74F71560E48488D2153AE2FB51207A0), setja upp og niðurhala RTM íhluti og einnig niðurhala206.
RTM rekstraraðilar nota vottorð sem eru sameiginleg öðrum malware fjölskyldum, en þeir hafa líka einstakt vottorð. Samkvæmt ESET fjarmælingu var það gefið út á Kit-SD og var aðeins notað til að undirrita RTM spilliforrit (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM notar sama hleðslutæki og Buhtrap, RTM íhlutir eru hlaðnir frá Buhtrap innviði, þannig að hóparnir hafa svipaða netvísa. Hins vegar, samkvæmt mati okkar, eru RTM og Buhtrap ólíkir hópar, að minnsta kosti vegna þess að RTM er dreift á mismunandi vegu (ekki aðeins með því að nota „erlendan“ niðurhalara).
Þrátt fyrir þetta nota tölvuþrjótahópar svipaðar rekstrarreglur. Þeir miða á fyrirtæki sem nota bókhaldshugbúnað, safna á sama hátt kerfisupplýsingum, leita að snjallkortalesendum og beita fjölda illgjarnra tækja til að njósna um fórnarlömb.
3. Þróun
Í þessum hluta munum við skoða mismunandi útgáfur af spilliforritum sem fundust meðan á rannsókninni stóð.
3.1. Útgáfa
RTM geymir stillingargögn í skráningarhluta, áhugaverðasti hlutinn er botnet-forskeyti. Listi yfir öll gildin sem við sáum í sýnunum sem við rannsökuðum er sýndur í töflunni hér að neðan.
Það er mögulegt að hægt sé að nota gildin til að taka upp útgáfur af malware. Hins vegar tókum við ekki eftir miklum mun á útgáfum eins og bit2 og bit3, 0.1.6.4 og 0.1.6.6. Þar að auki hefur eitt af forskeytum verið til frá upphafi og hefur þróast úr dæmigerðu C&C léni í .bit lén, eins og sýnt verður hér að neðan.
3.2. Dagskrá
Með því að nota fjarmælingagögn bjuggum við til línurit um tilvik sýna.
4. Tæknileg greining
Í þessum hluta munum við lýsa helstu aðgerðum RTM banka Trójuversins, þar á meðal viðnámsaðferðum, eigin útgáfu af RC4 reikniritinu, netsamskiptareglum, njósnavirkni og nokkrum öðrum eiginleikum. Sérstaklega munum við einbeita okkur að SHA-1 sýnum AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 og 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. Uppsetning og vistun
4.1.1. Framkvæmd
RTM kjarninn er DLL, bókasafnið er hlaðið inn á diskinn með því að nota .EXE. The executable skrá er venjulega pakkað og inniheldur DLL kóða. Þegar það er ræst, dregur það út DLL og keyrir það með eftirfarandi skipun:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. DLL
Aðal-DLL er alltaf hlaðið inn á disk sem winlogon.lnk í %PROGRAMDATA%Winlogon möppunni. Þessi skráarending er venjulega tengd við flýtileið, en skráin er í raun DLL skrifuð í Delphi, nefnd core.dll af forritaranum, eins og sýnt er á myndinni hér að neðan.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Þegar tróverjinn er hleypt af stokkunum virkjar viðnámsbúnaðurinn. Þetta er hægt að gera á tvo mismunandi vegu, allt eftir forréttindum fórnarlambsins í kerfinu. Ef þú hefur stjórnandaréttindi, bætir Tróverjinn Windows Update færslu við HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun skrána. Skipanirnar sem eru í Windows Update munu keyra í upphafi setu notandans.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject gestgjafi
Tróverjinn reynir einnig að bæta verkefni við Windows Task Scheduler. Verkefnið mun ræsa winlogon.lnk DLL með sömu breytum og hér að ofan. Venjulegur notendaréttur gerir tróverjanum kleift að bæta Windows Update færslu með sömu gögnum við HKCUSoftwareMicrosoftWindowsCurrentVersionRun skrána:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Breytt RC4 reiknirit
Þrátt fyrir þekkta galla er RC4 reikniritið reglulega notað af höfundum spilliforrita. Hins vegar breyttu höfundar RTM því örlítið, líklega til að gera verkefni vírusfræðinga erfiðara. Breytt útgáfa af RC4 er mikið notuð í illgjarn RTM verkfæri til að dulkóða strengi, netgögn, stillingar og einingar.
4.2.1. Mismunur
Upprunalega RC4 reikniritið inniheldur tvö stig: s-blokk frumstillingu (aka KSA - Key-Scheduling Algorithm) og gervi-handahófskennd röð raðar (PRGA - Pseudo-Random Generation Algorithm). Fyrsta stigið felur í sér að frumstilla s-boxið með því að nota lykilinn og í öðru þrepi er frumtextinn unninn með því að nota s-boxið fyrir dulkóðun.
RTM höfundarnir bættu við millistigi á milli s-box frumstillingar og dulkóðunar. Viðbótarlykillinn er breytilegur og er stilltur á sama tíma og gögnin sem á að dulkóða og afkóða. Aðgerðin sem framkvæmir þetta viðbótarskref er sýnd á myndinni hér að neðan.
4.2.2. Strengja dulkóðun
Við fyrstu sýn eru nokkrar læsilegar línur í aðal DLL. Afgangurinn er dulkóðaður með reikniritinu sem lýst er hér að ofan, uppbygging þess er sýnd á eftirfarandi mynd. Við fundum meira en 25 mismunandi RC4 lykla fyrir dulkóðun strengja í greindu sýnunum. XOR lykillinn er mismunandi fyrir hverja röð. Gildi talnasviða aðskilnaðarlínanna er alltaf 0xFFFFFFFF.
Í upphafi framkvæmdar afkóðar RTM strengina í alþjóðlega breytu. Þegar nauðsyn krefur til að fá aðgang að streng, reiknar Tróverjinn á virkan hátt heimilisfang afkóðuðu strenganna byggt á grunnvistfangi og mótvægi.
Strengir innihalda áhugaverðar upplýsingar um virkni spilliforritsins. Nokkur dæmi um strengi er að finna í kafla 6.8.
4.3. Net
Hvernig RTM spilliforrit hefur samband við C&C netþjóninn er mismunandi eftir útgáfum. Fyrstu breytingarnar (október 2015 – apríl 2016) notuðu hefðbundin lén ásamt RSS straumi á livejournal.com til að uppfæra lista yfir skipanir.
Síðan í apríl 2016 höfum við séð breytingu yfir í .bit lén í fjarmælingagögnum. Þetta er staðfest af skráningardegi léns - fyrsta RTM lénið fde05d0573da.bit var skráð 13. mars 2016.
Allar vefslóðirnar sem við sáum þegar við vöktum herferðina höfðu sameiginlega leið: /r/z.php. Það er frekar óvenjulegt og það mun hjálpa til við að bera kennsl á RTM beiðnir í netflæði.
4.3.1. Rás fyrir skipanir og stjórn
Eldri dæmi notuðu þessa rás til að uppfæra lista yfir stjórn- og stjórnunarþjóna. Hýsing er staðsett á livejournal.com, þegar skýrslan var skrifuð var hún áfram á slóðinni hxxp://f72bba81c921(.)livejournal(.)com/data/rss.
Livejournal er rússnesk-amerískt fyrirtæki sem býður upp á bloggvettvang. RTM rekstraraðilar búa til LJ blogg þar sem þeir birta grein með kóðaðar skipanir - sjá skjámynd.
Stjórn- og stjórnunarlínur eru kóðaðar með breyttu RC4 reikniriti (kafli 4.2). Núverandi útgáfa (nóvember 2016) af rásinni inniheldur eftirfarandi stjórnunar- og stjórnunarnetföng:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. .bit lén
Í nýjustu RTM sýnunum tengjast höfundar C&C lénum með því að nota .bit TLD efstu lénið. Það er ekki á lista ICANN (Domain Name and Internet Corporation) yfir efstu lén. Þess í stað notar það Namecoin kerfið, sem er byggt ofan á Bitcoin tækni. Malware höfundar nota ekki oft .bit TLD fyrir lén sín, þó dæmi um slíka notkun hafi áður sést í útgáfu af Necurs botnetinu.
Ólíkt Bitcoin hafa notendur dreifða Namecoin gagnagrunnsins getu til að vista gögn. Aðalnotkun þessa eiginleika er .bit efstu lénið. Þú getur skráð lén sem verða geymd í dreifðum gagnagrunni. Samsvarandi færslur í gagnagrunninum innihalda IP tölur sem lénið leysir úr. Þetta TLD er „ritskoðunarþolið“ vegna þess að aðeins skráningaraðili getur breytt upplausn .bit lénsins. Þetta þýðir að það er miklu erfiðara að stöðva illgjarn lén með því að nota þessa tegund af TLD.
RTM Trojan fellir ekki inn hugbúnaðinn sem nauðsynlegur er til að lesa dreifða Namecoin gagnagrunninn. Það notar miðlæga DNS netþjóna eins og dns.dot-bit.org eða OpenNic netþjóna til að leysa úr .bit lénum. Þess vegna hefur það sömu endingu og DNS netþjónar. Við tókum eftir því að sum liðslén fundust ekki lengur eftir að hafa verið nefnd í bloggfærslu.
Annar kostur við .bit TLD fyrir tölvuþrjóta er kostnaður. Til að skrá lén þurfa rekstraraðilar aðeins að borga 0,01 NK, sem samsvarar $0,00185 (frá og með 5. desember 2016). Til samanburðar kostar domain.com að minnsta kosti $10.
4.3.3. Bókun
Til að eiga samskipti við stjórn- og stjórnunarþjóninn notar RTM HTTP POST beiðnir með gögnum sem eru sniðin með sérsniðinni samskiptareglu. Slóð gildið er alltaf /r/z.php; Mozilla/5.0 notendaumboðsmaður (samhæft; MSIE 9.0; Windows NT 6.1; Trident/5.0). Í beiðnum til netþjónsins eru gögnin sniðin sem hér segir, þar sem offset gildin eru gefin upp í bætum:
Bæti 0 til 6 eru ekki kóðuð; bæti sem byrja á 6 eru kóðuð með breyttri RC4 reiknirit. Uppbygging C&C svarpakkans er einfaldari. Bæti eru kóðuð frá 4 til pakkastærðar.
Listi yfir möguleg aðgerðabætagildi er sýndur í töflunni hér að neðan:
Spilliforritið reiknar alltaf CRC32 af afkóðuðu gögnunum og ber það saman við það sem er til staðar í pakkanum. Ef þeir eru ólíkir sleppir Tróverjinn pakkanum.
Viðbótargögnin geta innihaldið ýmsa hluti, þar á meðal PE-skrá, skrá til að leita í skráarkerfinu eða nýjar skipanaslóðir.
4.3.4. Panel
Við tókum eftir því að RTM notar spjaldið á C&C netþjónum. Skjáskot hér að neðan:
4.4. Einkennandi merki
RTM er dæmigerður banka Tróverji. Það kemur ekki á óvart að rekstraraðilar vilji upplýsingar um kerfi fórnarlambsins. Annars vegar safnar vélmenni almennum upplýsingum um stýrikerfið. Á hinn bóginn kemst hún að því hvort kerfið sem er í hættu inniheldur eiginleika sem tengjast rússneskum fjarbankakerfum.
4.4.1. Almennar upplýsingar
Þegar spilliforrit er sett upp eða ræst eftir endurræsingu er tilkynning send til stjórn- og stjórnunarþjónsins sem inniheldur almennar upplýsingar þar á meðal:
- Tímabelti;
- sjálfgefið kerfismál;
- viðurkenndar notendaskilríki;
- ferli heiðarleika stig;
- Notandanafn;
- nafn tölvu;
- OS útgáfa;
- viðbótar uppsettar einingar;
- uppsett vírusvarnarforrit;
- lista yfir snjallkortalesara.
4.4.2 Fjarbankakerfi
Dæmigert trójumarkmið er fjarstýrt bankakerfi og RTM er engin undantekning. Ein af einingum forritsins heitir TBdo, sem sinnir ýmsum verkefnum, þar á meðal að skanna diska og vafraferil.
Með því að skanna diskinn athugar Tróverjinn hvort bankahugbúnaður sé settur upp á vélinni. Allur listi yfir markforrit er í töflunni hér að neðan. Eftir að hafa fundið áhugaverða skrá sendir forritið upplýsingar til skipanaþjónsins. Næstu aðgerðir eru háðar rökfræðinni sem tilgreind er af stjórnstöðinni (C&C) reikniritunum.
RTM leitar einnig að vefslóðamynstri í vafraferli þínum og opnum flipa. Að auki skoðar forritið notkun aðgerðanna FindNextUrlCacheEntryA og FindFirstUrlCacheEntryA og athugar einnig hverja færslu til að passa við slóðina við eitt af eftirfarandi mynstrum:
Eftir að hafa fundið opna flipa, hefur Tróverji samband við Internet Explorer eða Firefox í gegnum Dynamic Data Exchange (DDE) vélbúnaðinn til að athuga hvort flipinn passi við mynstrið.
Athugun á vafraferil þinn og opna flipa fer fram í WHILE lykkju (lykkju með forsendu) með 1 sekúndu hléi á milli athugana. Fjallað verður um önnur gögn sem fylgst er með í rauntíma í kafla 4.5.
Ef mynstur finnst, tilkynnir forritið þetta til skipanaþjónsins með því að nota lista yfir strengi úr eftirfarandi töflu:
4.5 Vöktun
Á meðan Trójuverjinn er í gangi eru upplýsingar um einkennandi eiginleika sýkta kerfisins (þar á meðal upplýsingar um tilvist bankahugbúnaðar) sendar til stjórn- og stjórnunarþjónsins. Fingrafaratöku á sér stað þegar RTM keyrir eftirlitskerfið fyrst strax eftir fyrstu stýrikerfisskönnun.
4.5.1. Fjarbankastarfsemi
TBdo einingin ber einnig ábyrgð á að fylgjast með bankatengdum ferlum. Það notar kraftmikla gagnaskipti til að athuga flipa í Firefox og Internet Explorer við fyrstu skönnun. Önnur TShell eining er notuð til að fylgjast með stjórnunargluggum (Internet Explorer eða File Explorer).
Einingin notar COM tengi IShellWindows, iWebBrowser, DWebBrowserEvents2 og IConnectionPointContainer til að fylgjast með gluggum. Þegar notandi fer á nýja vefsíðu tekur spilliforritið eftir þessu. Það ber síðan vefslóð síðunnar saman við ofangreind mynstur. Eftir að hafa fundið samsvörun tekur Trójumaðurinn sex skjámyndir í röð með 5 sekúndna millibili og sendir þær á C&S stjórnaþjóninn. Forritið athugar einnig nokkur glugganöfn sem tengjast bankahugbúnaði - listinn í heild sinni er hér að neðan:
4.5.2. Snjallkort
RTM gerir þér kleift að fylgjast með snjallkortalesurum sem tengjast sýktum tölvum. Þessi tæki eru notuð í sumum löndum til að samræma greiðslufyrirmæli. Ef tæki af þessu tagi er tengt við tölvu gæti það bent tróverja að vélin sé notuð í bankaviðskiptum.
Ólíkt öðrum banka Tróverji getur RTM ekki haft samskipti við slík snjallkort. Kannski er þessi virkni innifalin í viðbótareiningu sem við höfum ekki séð ennþá.
4.5.3. Keylogger
Mikilvægur hluti af eftirliti með sýktri tölvu er að fanga áslátt. Það virðist sem RTM verktaki vantar ekki neinar upplýsingar, þar sem þeir fylgjast ekki aðeins með venjulegum lyklum, heldur einnig sýndarlyklaborðinu og klemmuspjaldinu.
Til að gera þetta skaltu nota SetWindowsHookExA aðgerðina. Árásarmenn skrá takkana sem ýtt er á eða lyklana sem samsvara sýndarlyklaborðinu, ásamt nafni og dagsetningu forritsins. Stuðpúðinn er síðan sendur á C&C skipanaþjóninn.
SetClipboardViewer aðgerðin er notuð til að stöðva klemmuspjaldið. Tölvusnápur skráir innihald klemmuspjaldsins þegar gögnin eru texti. Nafnið og dagsetningin eru einnig skráð áður en biðminni er sendur á netþjóninn.
4.5.4. Skjáskot
Önnur RTM aðgerð er hlerun á skjámyndum. Eiginleikinn er notaður þegar gluggavöktunareiningin finnur síðu eða bankahugbúnað sem vekur áhuga. Skjámyndir eru teknar með því að nota safn af grafískum myndum og fluttar á stjórnunarþjóninn.
4.6. Fjarlæging
C&C þjónninn getur komið í veg fyrir að spilliforritið gangi og hreinsað tölvuna þína. Skipunin gerir þér kleift að hreinsa skrár og skrásetningarfærslur sem eru búnar til á meðan RTM er í gangi. DLL er síðan notað til að fjarlægja spilliforritið og winlogon skrána, eftir það slekkur skipunin á tölvunni. Eins og sést á myndinni hér að neðan er DLL-skráin fjarlægð af forriturum sem nota erase.dll.
Miðlarinn getur sent Tróverji eyðileggjandi uninstall-lock skipun. Í þessu tilviki, ef þú ert með stjórnandaréttindi, mun RTM eyða MBR ræsingargeiranum á harða disknum. Ef þetta mistekst mun Tróverjinn reyna að færa MBR ræsingargeirann yfir í handahófskenndan geira - þá mun tölvan ekki geta ræst stýrikerfið eftir lokun. Þetta getur leitt til algjörrar enduruppsetningar á stýrikerfinu, sem þýðir eyðingu sönnunargagna.
Án stjórnandaréttinda skrifar spilliforritið .EXE sem er umritað í undirliggjandi RTM DLL. The executable keyrir kóðann sem þarf til að slökkva á tölvunni og skráir eininguna í HKCUCurrentVersionRun skráningarlykilinn. Í hvert skipti sem notandinn byrjar lotu slekkur tölvan strax á sér.
4.7. Stillingarskráin
Sjálfgefið er að RTM hefur nánast enga stillingarskrá, en stjórn- og stjórnunarþjónninn getur sent stillingargildi sem verða geymd í skránni og notuð af forritinu. Listi yfir stillingarlykla er sýndur í töflunni hér að neðan:
Stillingin er geymd í hugbúnaðarlyklinum [gervi-handahófi strengur]. Hvert gildi samsvarar einni af línunum sem sýndar eru í töflunni á undan. Gildi og gögn eru kóðuð með RC4 reikniritinu í RTM.
Gögnin hafa sömu uppbyggingu og net eða strengir. Fjögurra bæta XOR lykli er bætt við í upphafi kóðuðu gagna. Fyrir stillingargildi er XOR-lykillinn annar og fer eftir stærð gildisins. Það má reikna út sem hér segir:
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)
4.8. Aðrar aðgerðir
Næst skulum við skoða aðrar aðgerðir sem RTM styður.
4.8.1. Viðbótareiningar
Trójuverjinn inniheldur viðbótareiningar, sem eru DLL skrár. Hægt er að keyra einingar sem sendar eru frá C&C skipanaþjóninum sem utanaðkomandi forrit, endurspeglast í vinnsluminni og ræst í nýjum þráðum. Til geymslu eru einingar vistaðar í .dtt skrám og kóðaðar með RC4 reikniritinu með sama lykli og notaður er fyrir netsamskipti.
Hingað til höfum við fylgst með uppsetningu á VNC einingunni (8966319882494077C21F66A8354E2CBCA0370464), gagnaútdráttareiningunni í vafranum (03DE8622BE6B2F75A364A275995C3411626C4D einingin 9C1D 2C1D 562cF) og 1EF69F C6FBA58 B88753BE7D0B3E4CFAB).
Til að hlaða VNC-einingunni gefur C&C-þjónninn út skipun sem biður um tengingar við VNC-þjóninn á tilteknu IP-tölu á höfn 44443. Viðbótin fyrir gagnaöflun vafra keyrir TBrowserDataCollector, sem getur lesið IE vafraferil. Síðan sendir það allan listann yfir heimsóttar vefslóðir til C&C skipanaþjónsins.
Síðasta einingin sem uppgötvaðist heitir 1c_2_kl. Það getur haft samskipti við 1C Enterprise hugbúnaðarpakkann. Einingin inniheldur tvo hluta: aðalhlutinn - DLL og tveir umboðsmenn (32 og 64 bita), sem verður sprautað inn í hvert ferli og skráir bindingu við WH_CBT. Eftir að hafa verið kynnt í 1C ferlinu, bindur einingin CreateFile og WriteFile aðgerðirnar. Alltaf þegar kallað er á CreateFile bound fallið geymir einingin skráarslóðina 1c_to_kl.txt í minni. Eftir að hafa stöðvað WriteFile símtalið kallar það WriteFile aðgerðina og sendir skráarslóðina 1c_to_kl.txt í aðal DLL eininguna og sendir henni smíðað Windows WM_COPYDATA skilaboðin.
Aðal DLL einingin opnar og flokkar skrána til að ákvarða greiðslufyrirmæli. Það þekkir upphæðina og færslunúmerið sem er að finna í skránni. Þessar upplýsingar eru sendar til stjórnunarþjónsins. Við teljum að þessi eining sé í þróun vegna þess að hún inniheldur villuskilaboð og getur ekki sjálfkrafa breytt 1c_to_kl.txt.
4.8.2. Forréttindi stigmögnun
RTM gæti reynt að auka réttindi með því að birta rangar villuskilaboð. Spilliforritið líkir eftir skrásetningarathugun (sjá mynd hér að neðan) eða notar raunverulegt skrásetningartákn. Vinsamlegast athugaðu stafsetningarvilluna bið - whaiit. Eftir nokkrar sekúndur af skönnun birtir forritið rangar villuboð.
Rang skilaboð munu auðveldlega blekkja meðalnotandann, þrátt fyrir málfræðivillur. Ef notandinn smellir á annan af hlekkjunum tveimur mun RTM reyna að auka réttindi sín í kerfinu.
Eftir að hafa valið einn af tveimur endurheimtarvalkostum, ræsir Tróverjinn DLL með því að nota runas valkostinn í ShellExecute aðgerðinni með stjórnandaréttindi. Notandinn mun sjá alvöru Windows hvetja (sjá mynd hér að neðan) fyrir hækkun. Ef notandinn gefur nauðsynlegar heimildir mun Trójuverjinn keyra með stjórnandaréttindi.
Það fer eftir sjálfgefna tungumálinu sem er uppsett á kerfinu, Trójuverjinn sýnir villuboð á rússnesku eða ensku.
4.8.3. Vottorð
RTM getur bætt vottorðum við Windows Store og staðfest áreiðanleika viðbótarinnar með því að smella sjálfkrafa á „já“ hnappinn í csrss.exe valmyndinni. Þessi hegðun er ekki ný; til dæmis staðfestir banka Trojan Retefe sjálfstætt uppsetningu nýs vottorðs.
4.8.4. Öfug tenging
RTM höfundarnir bjuggu einnig til Backconnect TCP göngin. Við höfum ekki séð eiginleikann í notkun ennþá, en hann er hannaður til að fjarfylgja sýktum tölvum.
4.8.5. Hýsingarskrárstjórnun
C&C þjónninn getur sent skipun til Tróverjans til að breyta Windows hýsingarskránni. Hýsingarskráin er notuð til að búa til sérsniðnar DNS-upplausnir.
4.8.6. Finndu og sendu skrá
Miðlarinn gæti beðið um að leita og hlaða niður skrá á sýkta kerfinu. Við rannsóknina fengum við til dæmis beiðni um skrána 1c_to_kl.txt. Eins og áður hefur verið lýst er þessi skrá búin til af 1C: Enterprise 8 bókhaldskerfinu.
4.8.7. Uppfærsla
Að lokum geta RTM höfundar uppfært hugbúnaðinn með því að senda inn nýja DLL í stað núverandi útgáfu.
5. Niðurstaða
Rannsóknir RTM sýna að rússneska bankakerfið laðar enn að sér netárásarmenn. Hópar eins og Buhtrap, Corkow og Carbanak stela með góðum árangri peningum frá fjármálastofnunum og viðskiptavinum þeirra í Rússlandi. RTM er nýr leikmaður í þessum iðnaði.
Illgjarn RTM verkfæri hafa verið í notkun síðan að minnsta kosti seint á árinu 2015, samkvæmt ESET fjarmælingum. Forritið hefur alhliða njósnagetu, þar á meðal að lesa snjallkort, stöðva áslátt og fylgjast með bankaviðskiptum, auk þess að leita að 1C: Enterprise 8 flutningsskrám.
Notkun dreifðs, óritskoðaðs .bit efstu léns tryggir mjög seigur innviði.
Heimild: www.habr.com