Ana sawetara klompok cyber sing dikenal khusus kanggo nyolong dana saka perusahaan Rusia. Kita wis ndeleng serangan nggunakake celah keamanan sing ngidini akses menyang jaringan target. Sawise entuk akses, panyerang nyinaoni struktur jaringan organisasi lan masang alat dhewe kanggo nyolong dana. Conto klasik saka tren iki yaiku klompok peretas Buhtrap, Cobalt lan Corkow.
Klompok RTM sing fokus ing laporan iki minangka bagean saka tren iki. Iki nggunakake malware sing dirancang khusus sing ditulis ing Delphi, sing bakal kita deleng kanthi luwih rinci ing bagean ing ngisor iki. Jejak pisanan saka piranti kasebut ing sistem telemetri ESET ditemokake ing pungkasan taun 2015. Tim kasebut ngemot macem-macem modul anyar menyang sistem sing kena infeksi yen dibutuhake. Serangan kasebut ditujokake kanggo pangguna sistem perbankan jarak jauh ing Rusia lan sawetara negara tanggane.
1. Sasaran
Kampanye RTM ditujokake kanggo pangguna perusahaan - iki jelas saka proses sing nyoba dideteksi penyerang ing sistem sing dikompromi. Fokus ing piranti lunak akuntansi kanggo nggarap sistem perbankan jarak jauh.
Dhaptar pangolahan sing menarik kanggo RTM meh padha karo dhaptar klompok Buhtrap sing cocog, nanging klompok kasebut duwe vektor infeksi sing beda. Yen Buhtrap luwih kerep nggunakake kaca palsu, banjur RTM nggunakake serangan drive-by download (serangan ing browser utawa komponen) lan spamming liwat email. Miturut data telemetri, ancaman kasebut ditujokake ing Rusia lan sawetara negara sing cedhak (Ukraina, Kazakhstan, Republik Ceko, Jerman). Nanging, amarga nggunakake mekanisme distribusi massal, deteksi malware ing njaba wilayah target ora nggumunake.
Jumlah total deteksi malware relatif cilik. Ing sisih liya, kampanye RTM nggunakake program sing rumit, sing nuduhake manawa serangan kasebut ditargetake.
Kita wis nemokake sawetara dokumen decoy sing digunakake dening RTM, kalebu kontrak sing ora ana, invoice utawa dokumen akuntansi pajak. Sifat lures, digabungake karo jinis piranti lunak sing ditargetake dening serangan kasebut, nuduhake yen panyerang "mlebu" jaringan perusahaan Rusia liwat departemen akuntansi. Kelompok kasebut tumindak miturut skema sing padha ing 2014-2015
Sajrone riset, kita bisa sesambungan karo sawetara server C&C. Kita bakal dhaptar dhaptar lengkap printah ing bagean ing ngisor iki, nanging saiki kita bisa ngomong yen klien nransfer data saka keylogger langsung menyang server sing nyerang, saka ngendi printah tambahan banjur ditampa.
Nanging, dina nalika sampeyan bisa nyambung menyang server printah lan kontrol lan ngumpulake kabeh data sing sampeyan kasengsem wis ilang. Kita nggawe file log sing realistis kanggo njaluk sawetara prentah sing cocog saka server.
Sing pisanan yaiku panjaluk menyang bot kanggo nransfer file 1c_to_kl.txt - file transportasi saka program 1C: Enterprise 8, sing katon aktif dipantau dening RTM. 1C sesambungan karo sistem perbankan remot kanthi ngunggah data babagan pembayaran metu menyang file teks. Sabanjure, file kasebut dikirim menyang sistem perbankan remot kanggo otomatisasi lan eksekusi pesenan pembayaran.
File kasebut ngemot rincian pembayaran. Yen panyerang ngganti informasi babagan pembayaran sing metu, transfer kasebut bakal dikirim nggunakake rincian palsu menyang akun panyerang.
Udakara sasi sawise njaluk file kasebut saka server printah lan kontrol, kita mirsani plugin anyar, 1c_2_kl.dll, dimuat menyang sistem sing dikompromi. Modul (DLL) dirancang kanggo nganalisa file download kanthi otomatis kanthi nembus proses piranti lunak akuntansi. Kita bakal njlèntrèhaké ing rinci ing bagean ngisor.
Apike, FinCERT saka Bank Rusia ing pungkasan taun 2016 ngetokake peringatan buletin babagan penjahat cyber nggunakake file unggahan 1c_to_kl.txt. Pangembang saka 1C uga ngerti babagan skema iki; dheweke wis nggawe pratelan resmi lan dhaptar pancegahan.
Modul liyane uga dimuat saka server perintah, utamane VNC (versi 32 lan 64-bit). Iku meh podho modul VNC sing sadurunge digunakake ing serangan Trojan Dridex. Modul iki mesthine digunakake kanggo nyambungake jarak adoh menyang komputer sing kena infeksi lan nganakake studi rinci babagan sistem kasebut. Sabanjure, panyerang nyoba ngubengi jaringan, ngekstrak sandhi pangguna, ngumpulake informasi lan njamin anane malware sing terus-terusan.
2. Vektor infeksi
Tokoh ing ngisor iki nuduhake vektor infeksi sing dideteksi sajrone periode sinau kampanye kasebut. Klompok kasebut nggunakake macem-macem vektor, nanging utamane serangan download lan spam kanthi drive. Piranti kasebut trep kanggo serangan sing ditargetake, amarga ing kasus sing sepisanan, panyerang bisa milih situs sing dibukak dening calon korban, lan sing kapindho, bisa ngirim email kanthi lampiran langsung menyang karyawan perusahaan sing dikarepake.
Malware disebarake liwat macem-macem saluran, kalebu kit eksploitasi RIG lan Sundown utawa mail spam, sing nuduhake sambungan antarane panyerang lan penyerang cyber liyane sing nawakake layanan kasebut.
2.1. Kepiye hubungane RTM lan Buhtrap?
Kampanye RTM meh padha karo Buhtrap. Pitakonan alami yaiku: kepiye hubungane karo siji liyane?
Ing September 2016, kita mirsani sampel RTM sing disebarake nggunakake uploader Buhtrap. Kajaba iku, kita nemokake rong sertifikat digital sing digunakake ing Buhtrap lan RTM.
Pisanan, miturut omongane uwong ditanggepi kanggo perusahaan DNISTER-M, digunakake kanggo mlebu digital ing wangun Delphi kaloro (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) lan Buhtrap DLL (SHA-1: 1E2642C454D2F889B6B41116F83B6B2B4890BXNUMXBXNUMXBXNUMXBXNUMXBXNUMXA XNUMX).
Kapindho, ditanggepi kanggo Bit-Tredj, digunakake kanggo mlebu loader Buhtrap (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 lan B74F71560E48488D2153AE2FB51207A0 lan komponen RTM lan nginstal.
Operator RTM nggunakake sertifikat sing umum kanggo kulawarga malware liyane, nanging uga duwe sertifikat unik. Miturut telemetri ESET, iki ditanggepi kanggo Kit-SD lan mung digunakake kanggo mlebu sawetara malware RTM (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM nggunakake loader sing padha karo Buhtrap, komponen RTM dimuat saka infrastruktur Buhtrap, saengga klompok kasebut duwe indikator jaringan sing padha. Nanging, miturut perkiraan kita, RTM lan Buhtrap minangka klompok sing beda-beda, paling ora amarga RTM disebarake kanthi cara sing beda-beda (ora mung nggunakake pangunduh "manca").
Sanajan mangkono, klompok peretas nggunakake prinsip operasi sing padha. Dheweke target bisnis nggunakake piranti lunak akuntansi, uga ngumpulake informasi sistem, nggoleki pembaca kertu pinter, lan nggunakake macem-macem alat sing jahat kanggo Spy korban.
3. Evolusi
Ing bagean iki, kita bakal ndeleng macem-macem versi malware sing ditemokake sajrone sinau.
3.1. Versiing
RTM nyimpen data konfigurasi ing bagean registri, sing paling menarik yaiku botnet-prefix. Dhaptar kabeh nilai sing kita deleng ing conto sing kita sinau ditampilake ing tabel ing ngisor iki.
Bisa uga nilai kasebut bisa digunakake kanggo ngrekam versi malware. Nanging, kita ora sok dong mirsani beda antarane versi kayata bit2 lan bit3, 0.1.6.4 lan 0.1.6.6. Kajaba iku, salah sawijining prefiks wis ana wiwit wiwitan lan wis berkembang saka domain C&C sing khas dadi domain .bit, kaya sing bakal ditampilake ing ngisor iki.
3.2. Jadwal
Nggunakake data telemetri, kita nggawe grafik kedadeyan conto.
4. Analisis teknis
Ing bagean iki, kita bakal njlèntrèhaké fungsi utama Trojan banking RTM, kalebu mekanisme resistance, versi dhewe saka algoritma RC4, protokol jaringan, spying fungsi lan sawetara fitur liyane. Utamane, kita bakal fokus ing conto SHA-1 AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 lan 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. Instalasi lan nyimpen
4.1.1. Implementasine
Inti RTM minangka DLL, perpustakaan dimuat menyang disk nggunakake .EXE. File eksekusi biasane dikemas lan ngemot kode DLL. Sawise diluncurake, ekstrak DLL lan nganggo printah ing ngisor iki:
rundll32.exe β%PROGRAMDATA%Winlogonwinlogon.lnkβ,DllGetClassObject host4.1.2. DLL
DLL utama tansah dimuat menyang disk minangka winlogon.lnk ing folder% PROGRAMDATA% Winlogon. Ekstensi file iki biasane digandhengake karo trabasan, nanging file kasebut sejatine DLL sing ditulis ing Delphi, dijenengi core.dll dening pangembang, kaya sing ditampilake ing gambar ing ngisor iki.
ΠΡΠΈΠΌΠ΅Ρ Π½Π°Π·Π²Π°Π½ΠΈΡ DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Sawise diluncurake, Trojan ngaktifake mekanisme resistensi. Iki bisa ditindakake kanthi rong cara, gumantung saka hak istimewa korban ing sistem kasebut. Yen sampeyan duwe hak administrator, Trojan nambah entri Windows Update menyang registri HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun. Printah sing ana ing Windows Update bakal mbukak ing wiwitan sesi pangguna.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe β%PROGRAMDATA%winlogon.lnkβ,DllGetClassObject host
Trojan uga nyoba nambah tugas menyang Penjadwal Tugas Windows. Tugas bakal miwiti DLL winlogon.lnk karo paramèter sing padha ing ndhuwur. Hak pangguna biasa ngidini Trojan nambah entri Windows Update kanthi data sing padha menyang registri HKCUSoftwareMicrosoftWindowsCurrentVersionRun:
rundll32.exe β%PROGRAMDATA%winlogon.lnkβ,DllGetClassObject host4.2. Algoritma RC4 sing diowahi
Sanajan ana kekurangan sing dikenal, algoritma RC4 asring digunakake dening penulis malware. Nanging, pangripta RTM rada ngowahi, bisa uga nggawe tugas analis virus luwih angel. Versi RC4 sing diowahi akeh digunakake ing alat RTM sing mbebayani kanggo ndhelik senar, data jaringan, konfigurasi lan modul.
4.2.1. Bedane
Algoritma RC4 asli kalebu rong tahap: s-block initialization (aka KSA - Key-Scheduling Algorithm) lan pseudo-random sequence generation (PRGA - Pseudo-Random Generation Algorithm). Ing tataran kapisan melu initializing s-box nggunakake tombol, lan ing tataran kapindho teks sumber diproses nggunakake s-box kanggo enkripsi.
Penulis RTM nambahake langkah penengah antarane initialization s-box lan enkripsi. Tombol tambahan iku variabel lan disetel bebarengan karo data sing bakal dienkripsi lan didekripsi. Fungsi sing nindakake langkah tambahan iki ditampilake ing gambar ing ngisor iki.
4.2.2. Enkripsi string
Sepisanan, ana sawetara baris sing bisa diwaca ing DLL utama. Liyane dienkripsi nggunakake algoritma sing diterangake ing ndhuwur, struktur sing ditampilake ing gambar ing ngisor iki. Kita nemokake luwih saka 25 tombol RC4 sing beda kanggo enkripsi senar ing conto sing dianalisis. Tombol XOR beda kanggo saben baris. Nilai garis pamisah kolom numerik tansah 0xFFFFFFFF.
Ing wiwitan eksekusi, RTM decrypts strings menyang variabel global. Yen perlu kanggo ngakses senar, Trojan mbosenke ngetung alamat strings decrypted adhedhasar alamat dhasar lan nutup kerugian.
Senar kasebut ngemot informasi menarik babagan fungsi malware. Sawetara conto strings kasedhiya ing Bagean 6.8.
4.3. Jaringan
Cara malware RTM ngontak server C&C beda-beda saka versi menyang versi. Modifikasi pisanan (Oktober 2015 - April 2016) nggunakake jeneng domain tradisional bebarengan karo feed RSS ing livejournal.com kanggo nganyari dhaptar printah.
Wiwit April 2016, kita wis ndeleng owah-owahan menyang domain .bit ing data telemetri. Iki dikonfirmasi kanthi tanggal registrasi domain - domain RTM pisanan fde05d0573da.bit didaftar tanggal 13 Maret 2016.
Kabeh URL sing kita deleng nalika ngawasi kampanye nduweni jalur umum: /r/z.php. Iku cukup ora biasa lan bakal mbantu ngenali panjaluk RTM ing aliran jaringan.
4.3.1. Saluran kanggo printah lan kontrol
Conto warisan nggunakake saluran iki kanggo nganyari dhaptar server perintah lan kontrol. Hosting dumunung ing livejournal.com, nalika nulis laporan kasebut tetep ana ing URL hxxp://f72bba81c921(.)livejournal(.)com/ data/rss.
Livejournal minangka perusahaan Rusia-Amerika sing nyedhiyakake platform blogging. Operator RTM nggawe blog LJ sing ngirim artikel kanthi perintah kode - deleng gambar.
Garis printah lan kontrol dienkode nggunakake algoritma RC4 sing diowahi (Bagian 4.2). Versi saiki (November 2016) saluran kasebut ngemot alamat server lan kontrol ing ngisor iki:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. domain .bit
Ing conto RTM paling anyar, penulis nyambung menyang domain C&C nggunakake domain tingkat paling dhuwur .bit TLD. Ora ana ing dhaptar ICANN (Domain Name and Internet Corporation) saka domain tingkat paling dhuwur. Nanging, nggunakake sistem Namecoin, sing dibangun ing ndhuwur teknologi Bitcoin. Penulis malware ora kerep nggunakake .bit TLD kanggo domain, sanajan conto panggunaan kasebut sadurunge wis diamati ing versi botnet Necurs.
Ora kaya Bitcoin, pangguna saka database Namecoin sing disebarake nduweni kemampuan kanggo nyimpen data. Aplikasi utama fitur iki yaiku domain tingkat paling dhuwur .bit. Sampeyan bisa ndhaptar domain sing bakal disimpen ing basis data sing disebarake. Entri sing cocog ing basis data ngemot alamat IP sing ditanggulangi dening domain kasebut. TLD iki "tahan sensor" amarga mung pendaftar sing bisa ngganti resolusi domain .bit. Iki tegese luwih angel kanggo mungkasi domain angkoro nggunakake jinis TLD iki.
Trojan RTM ora nampilake piranti lunak sing dibutuhake kanggo maca database Namecoin sing disebarake. Iki nggunakake server DNS tengah kayata dns.dot-bit.org utawa server OpenNic kanggo ngatasi domain .bit. Mulane, nduweni daya tahan sing padha karo server DNS. Kita mirsani manawa sawetara domain tim ora dideteksi maneh sawise kasebut ing postingan blog.
Kauntungan liyane saka .bit TLD kanggo peretas yaiku biaya. Kanggo ndhaptar domain, operator mung kudu mbayar 0,01 NK, sing cocog karo $ 0,00185 (saka 5 Desember 2016). Kanggo mbandhingake, domain.com regane paling ora $10.
4.3.3. Protokol
Kanggo komunikasi karo server perintah lan kontrol, RTM nggunakake panjalukan HTTP POST kanthi data sing diformat nggunakake protokol khusus. Nilai path tansah /r/z.php; Agen panganggo Mozilla/5.0 (kompatibel; MSIE 9.0; Windows NT 6.1; Trident/5.0). Ing panjalukan menyang server, data diformat kaya ing ngisor iki, ing ngendi nilai offset ditulis ing bita:
Byte 0 nganti 6 ora dikode; bita wiwit 6 dienkode nggunakake algoritma RC4 dipunΓ©wahi. Struktur paket respon C&C luwih prasaja. Byte dienkode saka 4 nganti ukuran paket.
Dhaptar nilai byte tumindak sing bisa ditampilake ing tabel ing ngisor iki:
Malware tansah ngetung CRC32 data dekripsi lan mbandhingake karo apa sing ana ing paket kasebut. Yen padha beda, Trojan nyelehake paket kasebut.
Data tambahan bisa ngemot macem-macem obyek, kalebu file PE, file sing bakal digoleki ing sistem file, utawa URL perintah anyar.
4.3.4. Panel
Kita weruh yen RTM nggunakake panel ing server C&C. Screenshot ing ngisor iki:
4.4. Tandha ciri
RTM minangka Trojan perbankan khas. Ora kaget yen operator pengin informasi babagan sistem korban. Ing tangan siji, bot ngumpulake informasi umum babagan OS. Ing sisih liya, nemokake manawa sistem sing dikompromi ngemot atribut sing ana gandhengane karo sistem perbankan jarak jauh Rusia.
4.4.1. Informasi umum
Nalika malware diinstal utawa diluncurake sawise urip maneh, laporan dikirim menyang server printah lan kontrol sing ngemot informasi umum kalebu:
- Zona wektu;
- basa sistem standar;
- kredensial pangguna sah;
- tingkat integritas proses;
- Jeneng panganggo;
- jeneng komputer;
- versi OS;
- modul diinstal tambahan;
- program antivirus sing diinstal;
- dhaftar maca kertu pinter.
4.4.2 Sistem remote banking
Target Trojan sing khas yaiku sistem perbankan remot, lan RTM ora ana sing istimΓ©wa. Salah sawijining modul program kasebut diarani TBdo, sing nindakake macem-macem tugas, kalebu mindhai disk lan riwayat browsing.
Kanthi mindhai disk, Trojan mriksa apa piranti lunak perbankan wis diinstal ing mesin kasebut. Dhaptar lengkap program target ana ing tabel ing ngisor iki. Sawise ndeteksi file kapentingan, program ngirim informasi menyang server printah. Tumindak sabanjure gumantung ing logika sing ditemtokake dening algoritma pusat perintah (C&C).
RTM uga nggoleki pola URL ing riwayat browser lan tab mbukak. Kajaba iku, program kasebut mriksa panggunaan fungsi FindNextUrlCacheEntryA lan FindFirstUrlCacheEntryA, lan uga mriksa saben entri supaya cocog karo URL menyang salah sawijining pola ing ngisor iki:
Sawise ndeteksi tab sing mbukak, Trojan ngontak Internet Explorer utawa Firefox liwat mekanisme Dynamic Data Exchange (DDE) kanggo mriksa manawa tab kasebut cocog karo pola kasebut.
Priksa riwayat telusuran lan tab mbukak ditindakake ing loop WHILE (loop kanthi prasyarat) kanthi jeda 1 detik ing antarane mriksa. Data liyane sing dipantau ing wektu nyata bakal dibahas ing bagean 4.5.
Yen pola ditemokake, program kasebut nglaporake menyang server perintah nggunakake dhaptar string saka tabel ing ngisor iki:
4.5 Ngawasi
Nalika Trojan mlaku, informasi babagan fitur karakteristik sistem sing kena infeksi (kalebu informasi babagan ananΓ© piranti lunak perbankan) dikirim menyang server printah lan kontrol. Fingerprinting occurs nalika RTM pisanan mbukak sistem ngawasi sanalika sawise scan OS dhisikan.
4.5.1. Remote banking
Modul TBdo uga tanggung jawab kanggo ngawasi proses sing gegandhengan karo perbankan. Nggunakake ijol-ijolan data dinamis kanggo mriksa tab ing Firefox lan Internet Explorer sajrone pindai awal. Modul TShell liyane digunakake kanggo ngawasi printah windows (Internet Explorer utawa File Explorer).
Modul kasebut nggunakake antarmuka COM IShellWindows, iWebBrowser, DWebBrowserEvents2 lan IConnectionPointContainer kanggo ngawasi windows. Nalika pangguna navigasi menyang kaca web anyar, malware nyathet iki. Banjur mbandhingake URL kaca karo pola ing ndhuwur. Sawise ndeteksi pertandhingan, Trojan njupuk enem gambar berturut-turut kanthi interval 5 detik lan dikirim menyang server perintah C&S. Program kasebut uga mriksa sawetara jeneng jendhela sing ana gandhengane karo piranti lunak perbankan - dhaptar lengkap ing ngisor iki:
4.5.2. kertu pinter
RTM ngidini sampeyan ngawasi maca kertu pinter sing disambungake menyang komputer sing kena infeksi. Piranti kasebut digunakake ing sawetara negara kanggo nyelarasake pesenan pembayaran. Yen jinis piranti iki ditempelake ing komputer, bisa nuduhake Trojan sing mesin digunakake kanggo transaksi banking.
Ora kaya Trojan perbankan liyane, RTM ora bisa sesambungan karo kertu pinter kasebut. Mungkin fungsi iki kalebu ing modul tambahan sing durung katon.
4.5.3. Keylogger
Bagean penting kanggo ngawasi PC sing kena infeksi yaiku njupuk keystrokes. Iku misale jek sing pangembang RTM ora ilang informasi, amarga padha ngawasi ora mung tombol biasa, nanging uga keyboard virtual lan clipboard.
Kanggo nindakake iki, gunakake fungsi SetWindowsHookExA. Penyerang log tombol sing ditekan utawa tombol sing cocog karo keyboard virtual, bebarengan karo jeneng lan tanggal program. Buffer banjur dikirim menyang server printah C&C.
Fungsi SetClipboardViewer digunakake kanggo nyegat clipboard. Peretas nyathet isi clipboard nalika data kasebut minangka teks. Jeneng lan tanggal uga dicathet sadurunge buffer dikirim menyang server.
4.5.4. Potret layar
Fungsi RTM liyane yaiku intersepsi gambar. Fitur iki Applied nalika modul ngawasi jendhela ndeteksi situs utawa piranti lunak banking kapentingan. Gambar dijupuk nggunakake perpustakaan gambar grafis lan ditransfer menyang server printah.
4.6. Mbusak instalan
Server C&C bisa nyegah malware supaya ora bisa mlaku lan ngresiki komputer. Printah kasebut ngidini sampeyan mbusak file lan entri pendaptaran sing digawe nalika RTM lagi mlaku. DLL banjur digunakake kanggo mbusak malware lan file winlogon, sawise printah kasebut mateni komputer. Minangka ditampilake ing gambar ing ngisor iki, DLL dibusak dening pangembang nggunakake erase.dll.
Server bisa ngirim Trojan perintah uninstall-lock sing ngrusak. Ing kasus iki, yen sampeyan duwe hak administrator, RTM bakal mbusak sektor boot MBR ing hard drive. Yen gagal, Trojan bakal nyoba nggeser sektor boot MBR menyang sektor acak - banjur komputer ora bisa boot OS sawise mati. Iki bisa nyebabake instal ulang OS lengkap, sing tegese ngrusak bukti.
Tanpa hak istimewa administrator, malware kasebut nulis .EXE sing dienkode ing RTM DLL. Eksekusi nglakokake kode sing dibutuhake kanggo mateni komputer lan ndhaptar modul kasebut ing kunci registri HKCUCurrentVersionRun. Saben pangguna miwiti sesi, komputer langsung mati.
4.7. File konfigurasi
Kanthi gawan, RTM meh ora duwe file konfigurasi, nanging server printah lan kontrol bisa ngirim nilai konfigurasi sing bakal disimpen ing registri lan digunakake dening program. Dhaptar tombol konfigurasi ditampilake ing tabel ing ngisor iki:
Konfigurasi kasebut disimpen ing kunci registri Software[Pseudo-random string]. Saben nilai cocog karo salah sawijining baris sing ditampilake ing tabel sadurunge. Nilai lan data dienkode nggunakake algoritma RC4 ing RTM.
Data kasebut nduweni struktur sing padha karo jaringan utawa senar. Tombol XOR papat bait ditambahake ing wiwitan data sing dienkode. Kanggo nilai konfigurasi, tombol XOR beda lan gumantung saka ukuran nilai. Bisa diitung kaya ing ngisor iki:
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)
4.8. Fitur liyane
Sabanjure, ayo goleki fungsi liyane sing didhukung RTM.
4.8.1. Modul tambahan
Trojan kalebu modul tambahan, yaiku file DLL. Modul sing dikirim saka server perintah C&C bisa dieksekusi minangka program eksternal, dibayangke ing RAM lan diluncurake ing benang anyar. Kanggo panyimpenan, modul disimpen ing file .dtt lan dienkode nggunakake algoritma RC4 karo tombol padha digunakake kanggo komunikasi jaringan.
Nganti saiki kita wis mirsani instalasi modul VNC (8966319882494077C21F66A8354E2CBCA0370464), modul ekstraksi data browser (03DE8622BE6B2F75A364A275995C3411626C4C9C1C2D1E) lan modul _562kl1C69C6D58E_88753B7E FC0FBA3 B4BEXNUMXDXNUMXBXNUMXEXNUMXCFAB).
Kanggo mbukak modul VNC, server C & C ngetokake printah sing njaluk sambungan menyang server VNC ing alamat IP tartamtu ing port 44443. Plugin pengangkatan data browser nglakokake TBrowserDataCollector, sing bisa maca riwayat browsing IE. Banjur ngirim dhaptar lengkap URL sing dibukak menyang server perintah C&C.
Modul pungkasan sing ditemokake diarani 1c_2_kl. Bisa sesambungan karo paket piranti lunak 1C Enterprise. Modul kalebu rong bagΓ©an: bagean utama - DLL lan loro agen (32 lan 64 dicokot), kang bakal nyuntikaken menyang saben proses, ndhaftar naleni kanggo WH_CBT. Sawise dikenalake ing proses 1C, modul kasebut njiret fungsi CreateFile lan WriteFile. Kapan fungsi kaiket CreateFile diarani, nyimpen modul file path 1c_to_kl.txt ing memori. Sawise nyegat telpon WriteFile, nelpon fungsi WriteFile lan ngirim file path 1c_to_kl.txt kanggo modul DLL utama, maringaken pesen Windows WM_COPYDATA digawe.
Modul DLL utama mbukak lan ngurai file kanggo nemtokake pesenan pembayaran. Iki ngenali jumlah lan nomer transaksi sing ana ing file kasebut. Informasi iki dikirim menyang server printah. Kita pracaya modul iki saiki ing pembangunan amarga ngemot pesen debug lan ora bisa kanthi otomatis ngowahi 1c_to_kl.txt.
4.8.2. Eskalasi hak istimewa
RTM bisa uga nyoba nambah hak istimewa kanthi nampilake pesen kesalahan palsu. Malware simulasi mriksa registri (ndeleng gambar ing ngisor iki) utawa nggunakake lambang editor pendaptaran nyata. Wigati salah ejaan ngenteni - whait. Sawise sawetara detik mindhai, program nampilake pesen kesalahan palsu.
Pesen palsu bakal gampang ngapusi pangguna rata-rata, sanajan ana kesalahan gramatikal. Yen pangguna ngeklik salah siji saka rong pranala, RTM bakal nyoba nggedhekake hak istimewa ing sistem kasebut.
Sawise milih salah siji saka rong opsi Recovery, Trojan mbukak DLL nggunakake pilihan runas ing fungsi ShellExecute karo hak istimewa administrator. Pangguna bakal weruh pituduh Windows nyata (ndeleng gambar ing ngisor iki) kanggo elevasi. Yen pangguna menehi ijin sing dibutuhake, Trojan bakal mbukak kanthi hak istimewa administrator.
Gumantung ing basa standar sing diinstal ing sistem, Trojan nampilake pesen kesalahan ing basa Rusia utawa Inggris.
4.8.3. Sertifikat
RTM bisa nambah sertifikat menyang Windows Store lan konfirmasi linuwih saka tambahan kanthi otomatis ngeklik tombol "ya" ing csrss.exe kothak dialog. Prilaku iki dudu anyar, contone, Trojan Retefe perbankan uga kanthi mandiri ngonfirmasi instalasi sertifikat anyar.
4.8.4. Sambungan mbalikke
Penulis RTM uga nggawe trowongan Backconnect TCP. Kita durung weruh fitur sing digunakake, nanging dirancang kanggo ngawasi PC sing kena infeksi saka adoh.
4.8.5. Manajemen file host
Server C&C bisa ngirim prentah menyang Trojan kanggo ngowahi file host Windows. File host digunakake kanggo nggawe resolusi DNS khusus.
4.8.6. Temokake lan ngirim file
Server bisa njaluk nggoleki lan ngundhuh file ing sistem sing kena infeksi. Contone, sajrone riset, kita nampa panjaluk file 1c_to_kl.txt. Kaya sing wis diterangake sadurunge, file iki digawe dening sistem akuntansi 1C: Enterprise 8.
4.8.7. Nganyari
Pungkasan, penulis RTM bisa nganyari piranti lunak kanthi ngirim DLL anyar kanggo ngganti versi saiki.
5. Kesimpulan
Riset RTM nuduhake yen sistem perbankan Rusia isih narik kawigaten para penyerang cyber. Klompok kayata Buhtrap, Corkow lan Carbanak kasil nyolong dhuwit saka institusi finansial lan klien ing Rusia. RTM minangka pemain anyar ing industri iki.
Piranti RTM ala wis digunakake wiwit paling ora pungkasan 2015, miturut telemetri ESET. Program kasebut nduweni macem-macem kemampuan spying, kalebu maca kertu pinter, nyegat keystrokes lan ngawasi transaksi perbankan, uga nggoleki file transportasi 1C: Enterprise 8.
Panganggone domain tingkat paling dhuwur .bit sing didesentralisasi lan ora disensor njamin infrastruktur sing tahan banting.
Source: www.habr.com