🥇 RTM კიბერ ჯგუფი სპეციალიზირებულია რუსული კომპანიების თანხების მოპარვაში

არსებობს რამდენიმე ცნობილი კიბერ ჯგუფი, რომლებიც სპეციალიზირებულნი არიან რუსული კომპანიების თანხების მოპარვაში. ჩვენ ვნახეთ თავდასხმები უსაფრთხოების ხარვეზების გამოყენებით, რომლებიც სამიზნის ქსელში წვდომის საშუალებას იძლევა. მას შემდეგ, რაც ისინი წვდომას მოიპოვებენ, თავდამსხმელები სწავლობენ ორგანიზაციის ქსელის სტრუქტურას და გამოიყენებენ საკუთარ ინსტრუმენტებს სახსრების მოსაპარად. ამ ტენდენციის კლასიკური მაგალითია ჰაკერული ჯგუფები Buhtrap, Cobalt და Corkow.

RTM ჯგუფი, რომელზეც ეს ანგარიში ყურადღებას ამახვილებს, ამ ტენდენციის ნაწილია. ის იყენებს სპეციალურად შემუშავებულ მავნე პროგრამას, რომელიც დაწერილია Delphi-ში, რომელსაც უფრო დეტალურად განვიხილავთ შემდეგ განყოფილებებში. ამ ხელსაწყოების პირველი კვალი ESET ტელემეტრიულ სისტემაში 2015 წლის ბოლოს აღმოაჩინეს. გუნდი საჭიროების შემთხვევაში იტვირთავს სხვადასხვა ახალ მოდულებს ინფიცირებულ სისტემებზე. თავდასხმები მიზნად ისახავს დისტანციური საბანკო სისტემების მომხმარებლებს რუსეთში და ზოგიერთ მეზობელ ქვეყანაში.

1. მიზნები

RTM კამპანია მიზნად ისახავს კორპორატიულ მომხმარებლებს - ეს აშკარაა იმ პროცესებიდან, რომლებსაც თავდამსხმელები ცდილობენ აღმოაჩინონ კომპრომეტირებულ სისტემაში. აქცენტი კეთდება დისტანციურ საბანკო სისტემებთან მუშაობის სააღრიცხვო პროგრამაზე.

RTM-სთვის საინტერესო პროცესების სია წააგავს Buhtrap ჯგუფის შესაბამის ჩამონათვალს, მაგრამ ჯგუფებს აქვთ სხვადასხვა ინფექციის ვექტორები. თუ Buhtrap უფრო ხშირად იყენებდა ყალბ გვერდებს, მაშინ RTM იყენებდა Drive-by ჩამოტვირთვის თავდასხმებს (თავდასხმები ბრაუზერზე ან მის კომპონენტებზე) და სპამი ელექტრონული ფოსტით. ტელემეტრიის მონაცემებით, საფრთხე გამიზნულია რუსეთისა და რამდენიმე ახლომდებარე ქვეყნის (უკრაინა, ყაზახეთი, ჩეხეთი, გერმანია) წინააღმდეგ. თუმცა, მასობრივი განაწილების მექანიზმების გამოყენების გამო, სამიზნე რეგიონების გარეთ მავნე პროგრამის გამოვლენა გასაკვირი არ არის.

მავნე პროგრამების გამოვლენის საერთო რაოდენობა შედარებით მცირეა. მეორეს მხრივ, RTM კამპანია იყენებს კომპლექსურ პროგრამებს, რაც მიუთითებს, რომ თავდასხმები ძალიან მიზანმიმართულია.

ჩვენ აღმოვაჩინეთ RTM-ის მიერ გამოყენებული რამდენიმე დამამშვიდებელი დოკუმენტი, მათ შორის არარსებული კონტრაქტები, ინვოისები ან საგადასახადო აღრიცხვის დოკუმენტები. სატყუარების ბუნება, შერწყმული თავდასხმის მიზნობრივი პროგრამული უზრუნველყოფის ტიპთან ერთად, მიუთითებს იმაზე, რომ თავდამსხმელები "შედიან" რუსული კომპანიების ქსელებში ბუღალტრული აღრიცხვის განყოფილების მეშვეობით. ჯგუფი იგივე სქემით მოქმედებდა ბუჰტრაპი 2014-2015 წლებში

კვლევის დროს ჩვენ შევძელით ურთიერთქმედება რამდენიმე C&C სერვერთან. ჩვენ ჩამოვთვლით ბრძანებების სრულ ჩამონათვალს შემდეგ განყოფილებებში, მაგრამ ახლა შეგვიძლია ვთქვათ, რომ კლიენტი გადასცემს მონაცემებს keylogger-დან პირდაპირ თავდამსხმელ სერვერზე, საიდანაც შემდგომ მიიღება დამატებითი ბრძანებები.

თუმცა, ის დღეები, როდესაც თქვენ უბრალოდ შეგეძლოთ ბრძანებისა და კონტროლის სერვერთან დაკავშირება და თქვენთვის საინტერესო ყველა მონაცემის შეგროვება, წავიდა. ჩვენ ხელახლა შევქმენით რეალისტური ჟურნალის ფაილები სერვერისგან შესაბამისი ბრძანებების მისაღებად.

პირველი მათგანი არის ბოტისადმი თხოვნა, გადაიტანოს ფაილი 1c_to_kl.txt - 1C: Enterprise 8 პროგრამის სატრანსპორტო ფაილი, რომლის გამოჩენას აქტიურად აკონტროლებს RTM. 1C ურთიერთქმედებს დისტანციურ საბანკო სისტემებთან გამავალი გადახდების შესახებ მონაცემების ტექსტურ ფაილში ატვირთვით. შემდეგ, ფაილი იგზავნება დისტანციურ საბანკო სისტემაში ავტომატიზაციისა და გადახდის დავალების შესასრულებლად.

ფაილი შეიცავს გადახდის დეტალებს. თუ თავდამსხმელები შეცვლიან ინფორმაციას გამავალი გადახდების შესახებ, გადარიცხვა გაიგზავნება ყალბი დეტალების გამოყენებით თავდამსხმელთა ანგარიშებზე.

ბრძანებისა და კონტროლის სერვერიდან ამ ფაილების მოთხოვნიდან დაახლოებით ერთი თვის შემდეგ, ჩვენ შევამჩნიეთ ახალი დანამატი, 1c_2_kl.dll, რომელიც ჩაიტვირთა კომპრომეტირებულ სისტემაში. მოდული (DLL) შექმნილია ჩამოტვირთვის ფაილის ავტომატურად გასაანალიზებლად სააღრიცხვო პროგრამული უზრუნველყოფის პროცესებში შეღწევის გზით. ჩვენ მას დეტალურად აღვწერთ შემდეგ განყოფილებებში.

საინტერესოა, რომ რუსეთის ბანკის FinCERT-მა 2016 წლის ბოლოს გამოსცა ბიულეტენის გაფრთხილება კიბერკრიმინალების შესახებ 1c_to_kl.txt ატვირთვის ფაილების გამოყენებით. დეველოპერებმა 1C-დან ასევე იციან ამ სქემის შესახებ; მათ უკვე გააკეთეს ოფიციალური განცხადება და ჩამოთვალეს სიფრთხილის ზომები.

სხვა მოდულები ასევე ჩაიტვირთა ბრძანების სერვერიდან, კერძოდ, VNC (მისი 32 და 64 ბიტიანი ვერსიები). ის წააგავს VNC მოდულს, რომელიც ადრე გამოიყენებოდა Dridex Trojan შეტევებში. ეს მოდული სავარაუდოდ გამოიყენება ინფიცირებულ კომპიუტერთან დისტანციურად დასაკავშირებლად და სისტემის დეტალური შესწავლისთვის. შემდეგი, თავდამსხმელები ცდილობენ გადაადგილდნენ ქსელში, ამოიღონ მომხმარებლის პაროლები, შეაგროვონ ინფორმაცია და უზრუნველყონ მავნე პროგრამების მუდმივი არსებობა.

2. ინფექციის ვექტორები

შემდეგი სურათი გვიჩვენებს ინფექციის ვექტორებს, რომლებიც გამოვლინდა კამპანიის კვლევის პერიოდში. ჯგუფი იყენებს ვექტორების ფართო სპექტრს, მაგრამ ძირითადად დრაივერის ჩამოტვირთვის შეტევებს და სპამს. ეს ხელსაწყოები მოსახერხებელია მიზანმიმართული შეტევებისთვის, რადგან პირველ შემთხვევაში, თავდამსხმელებს შეუძლიათ შეარჩიონ პოტენციური მსხვერპლის მიერ მონახულებული საიტები, ხოლო მეორეში მათ შეუძლიათ ელ.წერილი დანართებით პირდაპირ კომპანიის სასურველ თანამშრომლებს გაუგზავნონ.

მავნე პროგრამა ვრცელდება მრავალი არხით, მათ შორის RIG და Sundown ექსპლოიტის კომპლექტებით ან სპამის გაგზავნით, რაც მიუთითებს კავშირებზე თავდამსხმელებსა და სხვა კიბერთავდამსხმელებს შორის, რომლებიც ამ სერვისებს გვთავაზობენ.

2.1. როგორ არის დაკავშირებული RTM და Buhtrap?

RTM კამპანია ძალიან ჰგავს Buhtrap-ს. ბუნებრივი კითხვაა: როგორ უკავშირდებიან ისინი ერთმანეთს?

2016 წლის სექტემბერში ჩვენ დავაკვირდით RTM ნიმუშის განაწილებას Buhtrap ამტვირთველის გამოყენებით. გარდა ამისა, ჩვენ ვიპოვეთ ორი ციფრული სერთიფიკატი, რომელიც გამოიყენება როგორც Buhtrap-ში, ასევე RTM-ში.

პირველი, სავარაუდოდ, გაცემულია კომპანია DNISTER-M-ზე, გამოიყენებოდა მეორე Delphi ფორმის (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) და Buhtrap DLL (SHA-1: 1E2642BD) ციფრული ხელმოწერისთვის. 454F2D889).

მეორე, რომელიც გაცემულია Bit-Tredj-ზე, გამოიყენებოდა Buhtrap ჩამტვირთველების ხელმოწერისთვის (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 და B74F71560E48488D2153AE2FB51207, ასევე ჩამოტვირთვისთვის და R0AE206FB2 კომპონენტების ჩამოტვირთვისთვის დაXNUMX.

RTM ოპერატორები იყენებენ სერთიფიკატებს, რომლებიც საერთოა სხვა მავნე პროგრამების ოჯახებისთვის, მაგრამ მათ ასევე აქვთ უნიკალური სერტიფიკატი. ESET ტელემეტრიის მიხედვით, ის გაიცა Kit-SD-ზე და გამოიყენებოდა მხოლოდ ზოგიერთი RTM მავნე პროგრამის ხელმოწერისთვის (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).

RTM იყენებს იგივე ჩამტვირთველს, როგორც Buhtrap, RTM კომპონენტები იტვირთება Buhtrap ინფრასტრუქტურიდან, ამიტომ ჯგუფებს აქვთ მსგავსი ქსელის ინდიკატორები. თუმცა, ჩვენი შეფასებით, RTM და Buhtrap სხვადასხვა ჯგუფებია, ყოველ შემთხვევაში იმიტომ, რომ RTM ნაწილდება სხვადასხვა გზით (არა მხოლოდ „უცხო“ ჩამოტვირთვების გამოყენებით).

ამის მიუხედავად, ჰაკერული ჯგუფები იყენებენ მსგავს ოპერაციულ პრინციპებს. ისინი მიზნად ისახავს ბიზნესს სააღრიცხვო პროგრამული უზრუნველყოფის გამოყენებით, ანალოგიურად აგროვებენ სისტემის ინფორმაციას, ეძებენ სმარტ ბარათების წამკითხველებს და იყენებენ მავნე ინსტრუმენტების მასივს მსხვერპლთა თვალთვალისთვის.

3. ევოლუცია

ამ განყოფილებაში ჩვენ განვიხილავთ კვლევის დროს ნაპოვნი მავნე პროგრამის სხვადასხვა ვერსიებს.

3.1. ვერსიები

RTM ინახავს კონფიგურაციის მონაცემებს რეესტრის განყოფილებაში, ყველაზე საინტერესო ნაწილია ბოტნეტ-პრეფიქსი. ჩვენ მიერ შესწავლილ ნიმუშებში ჩვენ მიერ შესწავლილი ყველა მნიშვნელობის სია წარმოდგენილია ქვემოთ მოცემულ ცხრილში.

შესაძლებელია, რომ მნიშვნელობები შეიძლება გამოყენებულ იქნას მავნე პროგრამის ვერსიების ჩასაწერად. თუმცა, ჩვენ ვერ შევამჩნიეთ დიდი განსხვავება ვერსიებს შორის, როგორიცაა bit2 და bit3, 0.1.6.4 და 0.1.6.6. უფრო მეტიც, ერთ-ერთი პრეფიქსი არსებობდა თავიდანვე და განვითარდა ტიპიური C&C დომენიდან .bit დომენამდე, როგორც ქვემოთ იქნება ნაჩვენები.

3.2. განრიგი

ტელემეტრიის მონაცემების გამოყენებით შევქმენით ნიმუშების წარმოშობის გრაფიკი.

4. ტექნიკური ანალიზი

ამ განყოფილებაში ჩვენ აღვწერთ RTM საბანკო ტროას ძირითად ფუნქციებს, მათ შორის წინააღმდეგობის მექანიზმებს, RC4 ალგორითმის საკუთარ ვერსიას, ქსელის პროტოკოლს, ჯაშუშობის ფუნქციონირებას და სხვა ფუნქციებს. კერძოდ, ჩვენ ყურადღებას გავამახვილებთ SHA-1 ნიმუშებზე AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 და 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.

4.1. ინსტალაცია და შენახვა

4.1.1. განხორციელება

RTM ბირთვი არის DLL, ბიბლიოთეკა იტვირთება დისკზე .EXE გამოყენებით. შესრულებადი ფაილი ჩვეულებრივ შეფუთულია და შეიცავს DLL კოდს. გაშვების შემდეგ ის ამოიღებს DLL-ს და აწარმოებს მას შემდეგი ბრძანების გამოყენებით:

rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host

4.1.2. DLL

მთავარი DLL ყოველთვის იტვირთება დისკზე, როგორც winlogon.lnk %PROGRAMDATA%Winlogon საქაღალდეში. ფაილის ეს გაფართოება ჩვეულებრივ ასოცირდება მალსახმობთან, მაგრამ ფაილი რეალურად არის DLL დაწერილი Delphi-ში, რომელსაც დეველოპერის მიერ core.dll უწოდეს, როგორც ნაჩვენებია ქვემოთ მოცემულ სურათზე.

Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361

გაშვების შემდეგ ტროას ააქტიურებს წინააღმდეგობის მექანიზმს. ეს შეიძლება გაკეთდეს ორი განსხვავებული გზით, რაც დამოკიდებულია სისტემაში დაზარალებულის პრივილეგიებზე. თუ თქვენ გაქვთ ადმინისტრატორის უფლებები, ტროას ამატებს Windows Update ჩანაწერს HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun რეესტრში. Windows Update-ში შემავალი ბრძანებები იმუშავებს მომხმარებლის სესიის დასაწყისში.

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows განახლება [REG_SZ] = rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject ჰოსტი

ტროას ასევე ცდილობს დავალების დამატება Windows Task Scheduler-ში. ამოცანა დაიწყებს winlogon.lnk DLL-ს იგივე პარამეტრებით, როგორც ზემოთ. მომხმარებლის რეგულარული უფლებები ტროას საშუალებას აძლევს დაამატოს Windows Update ჩანაწერი იგივე მონაცემებით HKCUSoftwareMicrosoftWindowsCurrentVersionRun რეესტრში:

rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host

4.2. შეცვლილი RC4 ალგორითმი

ცნობილი ნაკლოვანებების მიუხედავად, RC4 ალგორითმი რეგულარულად გამოიყენება მავნე პროგრამის ავტორების მიერ. თუმცა, RTM-ის შემქმნელებმა ის ოდნავ შეცვალეს, ალბათ, რომ ვირუსის ანალიტიკოსების დავალება უფრო გართულდეს. RC4-ის შეცვლილი ვერსია ფართოდ გამოიყენება მავნე RTM ინსტრუმენტებში სტრიქონების, ქსელის მონაცემების, კონფიგურაციისა და მოდულების დასაშიფრად.

4.2.1. Განსხვავებები

ორიგინალური RC4 ალგორითმი მოიცავს ორ ეტაპს: s-ბლოკის ინიციალიზაცია (aka KSA - Key-Scheduling Algorithm) და ფსევდო შემთხვევითი თანმიმდევრობის გენერირება (PRGA - Pseudo-Random Generation Algorithm). პირველი ეტაპი მოიცავს s-box-ის ინიციალიზაციას გასაღების გამოყენებით, ხოლო მეორე ეტაპზე წყაროს ტექსტი მუშავდება s-box-ის გამოყენებით დაშიფვრისთვის.

RTM ავტორებმა დაამატეს შუალედური ნაბიჯი s-box ინიციალიზაციასა და დაშიფვრას შორის. დამატებითი გასაღები ცვლადია და დაყენებულია დაშიფრული და გასაშიფრავი მონაცემების პარალელურად. ფუნქცია, რომელიც ასრულებს ამ დამატებით ნაბიჯს, ნაჩვენებია ქვემოთ მოცემულ ფიგურაში.

4.2.2. სიმებიანი დაშიფვრა

ერთი შეხედვით, მთავარ DLL-ში რამდენიმე წასაკითხი ხაზია. დანარჩენი დაშიფრულია ზემოთ აღწერილი ალგორითმის გამოყენებით, რომლის სტრუქტურა ნაჩვენებია შემდეგ სურათზე. ჩვენ აღმოვაჩინეთ 25-ზე მეტი სხვადასხვა RC4 გასაღები სიმებიანი დაშიფვრისთვის გაანალიზებულ ნიმუშებში. XOR ღილაკი განსხვავებულია თითოეული რიგისთვის. ხაზების გამყოფი რიცხვითი ველის მნიშვნელობა ყოველთვის არის 0xFFFFFFFF.

შესრულების დასაწყისში, RTM შიფრავს სტრიქონებს გლობალურ ცვლადად. სტრიქონზე წვდომის აუცილებლობის შემთხვევაში, ტროას დინამიურად ითვლის გაშიფრული სტრიქონების მისამართს საბაზისო მისამართისა და ოფსეტის საფუძველზე.

სტრიქონები შეიცავს საინტერესო ინფორმაციას მავნე პროგრამის ფუნქციების შესახებ. სტრიქონების რამდენიმე მაგალითი მოცემულია 6.8 ნაწილში.

4.3. ქსელი

RTM მავნე პროგრამული უზრუნველყოფის კონტაქტი C&C სერვერთან განსხვავდება ვერსიიდან ვერსიამდე. პირველმა მოდიფიკაციამ (2015 წლის ოქტომბერი - 2016 წლის აპრილი) გამოიყენა ტრადიციული დომენური სახელები, RSS feed-თან ერთად livejournal.com-ზე ბრძანებების სიის განახლებისთვის.

2016 წლის აპრილიდან ტელემეტრიის მონაცემებში ჩვენ ვხედავთ გადასვლას .bit დომენებზე. ამას ადასტურებს დომენის რეგისტრაციის თარიღი - პირველი RTM დომენი fde05d0573da.bit დარეგისტრირდა 13 წლის 2016 მარტს.

ყველა URL-ს, რომელიც ვნახეთ კამპანიის მონიტორინგის დროს, ჰქონდა საერთო გზა: /r/z.php. ეს საკმაოდ უჩვეულოა და ხელს შეუწყობს RTM მოთხოვნების იდენტიფიცირებას ქსელის ნაკადებში.

4.3.1. არხი ბრძანებებისა და კონტროლისთვის

ძველი მაგალითები გამოიყენეს ეს არხი ბრძანებისა და კონტროლის სერვერების სიის გასაახლებლად. ჰოსტინგი განთავსებულია livejournal.com-ზე, მოხსენების დაწერის დროს ის დარჩა URL-ზე hxxp://f72bba81c921(.)livejournal(.)com/ data/rss.

Livejournal არის რუსულ-ამერიკული კომპანია, რომელიც უზრუნველყოფს ბლოგის პლატფორმას. RTM ოპერატორები ქმნიან LJ ბლოგს, რომელშიც აქვეყნებენ სტატიას კოდირებული ბრძანებებით - იხილეთ ეკრანის სურათი.

ბრძანებისა და მართვის ხაზები დაშიფრულია შეცვლილი RC4 ალგორითმის გამოყენებით (ნაწილი 4.2). არხის მიმდინარე ვერსია (2016 წლის ნოემბერი) შეიცავს შემდეგ ბრძანებისა და კონტროლის სერვერის მისამართებს:

hxxp://cainmoon(.)net/r/z.php
hxxp://rtm(.)dev/0-3/z.php
hxxp://vpntap(.)top/r/z.php

4.3.2. .bit დომენები

RTM-ის უახლეს ნიმუშებში ავტორები უკავშირდებიან C&C დომენებს .bit TLD ზედა დონის დომენის გამოყენებით. ის არ არის ICANN (დომენის სახელი და ინტერნეტ კორპორაცია) ზედა დონის დომენების სიაში. ამის ნაცვლად, ის იყენებს Namecoin სისტემას, რომელიც აგებულია ბიტკოინის ტექნოლოგიაზე. მავნე პროგრამების ავტორები ხშირად არ იყენებენ .bit TLD-ს თავიანთი დომენებისთვის, თუმცა ასეთი გამოყენების მაგალითი ადრე დაფიქსირდა Necurs ბოტნეტის ვერსიაში.

ბიტკოინისგან განსხვავებით, Namecoin-ის განაწილებული მონაცემთა ბაზის მომხმარებლებს აქვთ მონაცემთა დაზოგვის შესაძლებლობა. ამ ფუნქციის მთავარი გამოყენება არის .bit ზედა დონის დომენი. შეგიძლიათ დაარეგისტრიროთ დომენები, რომლებიც შეინახება განაწილებულ მონაცემთა ბაზაში. მონაცემთა ბაზაში შესაბამისი ჩანაწერები შეიცავს დომენის მიერ გადაწყვეტილ IP მისამართებს. ეს TLD არის „ცენზურისადმი მდგრადი“, რადგან მხოლოდ რეგისტრატორს შეუძლია შეცვალოს .bit დომენის გარჩევადობა. ეს ნიშნავს, რომ გაცილებით რთულია მავნე დომენის შეჩერება ამ ტიპის TLD-ის გამოყენებით.

RTM Trojan არ ათავსებს პროგრამულ უზრუნველყოფას, რომელიც აუცილებელია განაწილებული Namecoin მონაცემთა ბაზის წასაკითხად. ის იყენებს ცენტრალურ DNS სერვერებს, როგორიცაა dns.dot-bit.org ან OpenNic სერვერები .bit დომენების გადასაჭრელად. აქედან გამომდინარე, მას აქვს იგივე გამძლეობა, როგორც DNS სერვერები. ჩვენ დავინახეთ, რომ ზოგიერთი გუნდის დომენი აღარ იქნა აღმოჩენილი ბლოგპოსტში მოხსენიების შემდეგ.

ჰაკერებისთვის .bit TLD-ის კიდევ ერთი უპირატესობა არის ღირებულება. დომენის დასარეგისტრირებლად ოპერატორებმა უნდა გადაიხადონ მხოლოდ 0,01 NK, რაც შეესაბამება $0,00185 (5 წლის 2016 დეკემბრის მდგომარეობით). შედარებისთვის, domain.com ღირს მინიმუმ $10.

4.3.3. Ოქმი

ბრძანებისა და კონტროლის სერვერთან კომუნიკაციისთვის, RTM იყენებს HTTP POST მოთხოვნებს, რომლებიც ფორმატირებულია მორგებული პროტოკოლის გამოყენებით. ბილიკის მნიშვნელობა ყოველთვის არის /r/z.php; Mozilla/5.0 მომხმარებლის აგენტი (თავსებადი; MSIE 9.0; Windows NT 6.1; Trident/5.0). სერვერზე მოთხოვნისას მონაცემები ფორმატირდება შემდეგნაირად, სადაც ოფსეტური მნიშვნელობები გამოიხატება ბაიტებში:

ბაიტი 0-დან 6-მდე არ არის კოდირებული; 6-დან დაწყებული ბაიტი დაშიფრულია შეცვლილი RC4 ალგორითმის გამოყენებით. C&C საპასუხო პაკეტის სტრუქტურა უფრო მარტივია. ბაიტები დაშიფრულია 4-დან პაკეტის ზომამდე.

შესაძლო მოქმედების ბაიტის მნიშვნელობების სია წარმოდგენილია ქვემოთ მოცემულ ცხრილში:

მავნე პროგრამა ყოველთვის ითვლის გაშიფრული მონაცემების CRC32-ს და ადარებს მას პაკეტში არსებულს. თუ ისინი განსხვავდებიან, ტროას ტოვებს პაკეტს.
დამატებითი მონაცემები შეიძლება შეიცავდეს სხვადასხვა ობიექტს, მათ შორის PE ფაილს, ფაილს ფაილურ სისტემაში მოსაძებნად ან ახალ ბრძანების URL-ებს.

4.3.4. პანელი

ჩვენ შევამჩნიეთ, რომ RTM იყენებს პანელს C&C სერვერებზე. სკრინშოტი ქვემოთ:

4.4. დამახასიათებელი ნიშანი

RTM არის ტიპიური საბანკო ტროას. გასაკვირი არ არის, რომ ოპერატორებს სურთ ინფორმაცია მსხვერპლის სისტემის შესახებ. ერთის მხრივ, ბოტი აგროვებს ზოგად ინფორმაციას OS-ის შესახებ. მეორეს მხრივ, ის აღმოაჩენს, შეიცავს თუ არა კომპრომეტირებული სისტემა რუსულ დისტანციურ საბანკო სისტემებთან დაკავშირებულ ატრიბუტებს.

4.4.1. ზოგადი ინფორმაცია

როდესაც მავნე პროგრამა დაინსტალირებულია ან გაშვებულია გადატვირთვის შემდეგ, ანგარიში იგზავნება ბრძანებისა და კონტროლის სერვერზე, რომელიც შეიცავს ზოგად ინფორმაციას, მათ შორის:

Დროის სარტყელი;
ნაგულისხმევი სისტემის ენა;
ავტორიზებული მომხმარებლის სერთიფიკატები;
პროცესის მთლიანობის დონე;
მომხმარებლის სახელი;
კომპიუტერის სახელი;
OS ვერსია;
დამატებითი დაყენებული მოდულები;
დაინსტალირებული ანტივირუსული პროგრამა;
სმარტ ბარათების წამკითხველების სია.

4.4.2 დისტანციური საბანკო სისტემა

ტიპიური ტროას სამიზნე არის დისტანციური საბანკო სისტემა და RTM არ არის გამონაკლისი. პროგრამის ერთ-ერთ მოდულს ჰქვია TBdo, რომელიც ასრულებს სხვადასხვა დავალებებს, მათ შორის დისკების სკანირებას და დათვალიერების ისტორიას.

დისკის სკანირებით, ტროასი ამოწმებს, დაინსტალირებულია თუ არა საბანკო პროგრამული უზრუნველყოფა მანქანაზე. მიზნობრივი პროგრამების სრული სია მოცემულია ქვემოთ მოცემულ ცხრილში. საინტერესო ფაილის აღმოჩენის შემდეგ, პროგრამა აგზავნის ინფორმაციას ბრძანების სერვერზე. შემდეგი მოქმედებები დამოკიდებულია ბრძანების ცენტრის (C&C) ალგორითმებით მითითებულ ლოგიკაზე.

RTM ასევე ეძებს URL შაბლონებს თქვენი ბრაუზერის ისტორიაში და ღია ჩანართებში. გარდა ამისა, პროგრამა იკვლევს FindNextUrlCacheEntryA და FindFirstUrlCacheEntryA ფუნქციების გამოყენებას და ასევე ამოწმებს თითოეულ ჩანაწერს URL-ის შესატყვისად ერთ-ერთ შემდეგ შაბლონთან:

ღია ჩანართების აღმოჩენის შემდეგ, ტროას დაუკავშირდა Internet Explorer-ს ან Firefox-ს მონაცემთა დინამიური გაცვლის (DDE) მექანიზმის მეშვეობით, რათა შეამოწმოს შეესაბამება თუ არა ჩანართი ნიმუში.

თქვენი დათვალიერების ისტორიისა და ღია ჩანართების შემოწმება ხორციელდება WHILE ციკლში (ციკლი წინაპირობით) 1 წამის შესვენებით შემოწმებებს შორის. სხვა მონაცემები, რომლებიც მონიტორინგდება რეალურ დროში, განხილული იქნება 4.5 ნაწილში.

თუ ნიმუში ნაპოვნია, პროგრამა ამას აცნობებს ბრძანების სერვერს შემდეგი ცხრილიდან სტრიქონების სიის გამოყენებით:

4.5 მონიტორინგი

სანამ ტროას მუშაობს, ინფორმაცია ინფიცირებული სისტემის დამახასიათებელი მახასიათებლების შესახებ (მათ შორის ინფორმაცია საბანკო პროგრამული უზრუნველყოფის არსებობის შესახებ) იგზავნება ბრძანებისა და კონტროლის სერვერზე. თითის ანაბეჭდი ხდება მაშინ, როდესაც RTM პირველად აწარმოებს მონიტორინგის სისტემას ოპერაციული სისტემის საწყისი სკანირებისთანავე.

4.5.1. დისტანციური ბანკინგი

TBdo მოდული ასევე პასუხისმგებელია ბანკთან დაკავშირებული პროცესების მონიტორინგზე. ის იყენებს მონაცემთა დინამიურ გაცვლას Firefox-სა და Internet Explorer-ში ჩანართების შესამოწმებლად თავდაპირველი სკანირების დროს. სხვა TShell მოდული გამოიყენება ბრძანების ფანჯრების მონიტორინგისთვის (Internet Explorer ან File Explorer).

მოდული იყენებს COM ინტერფეისებს ISShellWindows, iWebBrowser, DWebBrowserEvents2 და IConnectionPointContainer ფანჯრების მონიტორინგისთვის. როდესაც მომხმარებელი გადადის ახალ ვებ გვერდზე, მავნე პროგრამა ამას აღნიშნავს. შემდეგ ის ადარებს გვერდის URL-ს ზემოთ მოცემულ შაბლონებს. მატჩის აღმოჩენის შემდეგ, ტროასი იღებს ზედიზედ ექვს სქრინშოტს 5 წამის ინტერვალით და აგზავნის მათ C&S ბრძანების სერვერზე. პროგრამა ასევე ამოწმებს საბანკო პროგრამასთან დაკავშირებულ რამდენიმე ფანჯრის სახელს - სრული სია ქვემოთ მოცემულია:

4.5.2. სმარტ ბარათი

RTM გაძლევთ საშუალებას აკონტროლოთ ჭკვიანი ბარათების წამკითხველები, რომლებიც დაკავშირებულია ინფიცირებულ კომპიუტერებთან. ეს მოწყობილობები გამოიყენება ზოგიერთ ქვეყანაში გადახდის დავალების შესაჯერებლად. თუ ამ ტიპის მოწყობილობა კომპიუტერზეა მიმაგრებული, ეს შეიძლება მიუთითებდეს ტროიანზე, რომ მანქანა გამოიყენება საბანკო ოპერაციებისთვის.

სხვა საბანკო ტროიანებისგან განსხვავებით, RTM არ შეუძლია ურთიერთქმედება ასეთ სმარტ ბარათებთან. შესაძლოა, ეს ფუნქცია შედის დამატებით მოდულში, რომელიც ჯერ არ გვინახავს.

4.5.3. Keylogger

ინფიცირებული კომპიუტერის მონიტორინგის მნიშვნელოვანი ნაწილია კლავიშების დაჭერა. როგორც ჩანს, RTM დეველოპერებს არ აკლიათ ინფორმაცია, რადგან ისინი აკონტროლებენ არა მხოლოდ ჩვეულებრივ კლავიშებს, არამედ ვირტუალურ კლავიატურას და ბუფერს.

ამისათვის გამოიყენეთ SetWindowsHookExA ფუნქცია. თავდამსხმელები იწერენ დაჭერილ კლავიშებს ან ვირტუალურ კლავიატურას შესაბამის კლავიშებს, პროგრამის სახელსა და თარიღს. შემდეგ ბუფერი იგზავნება C&C ბრძანების სერვერზე.

SetClipboardViewer ფუნქცია გამოიყენება ბუფერში ჩასაჭრელად. ჰაკერები აღრიცხავენ ბუფერში არსებულ შიგთავსს, როდესაც მონაცემები ტექსტია. სახელი და თარიღი ასევე დარეგისტრირებულია ბუფერის სერვერზე გაგზავნამდე.

4.5.4. ეკრანის ანაბეჭდები

კიდევ ერთი RTM ფუნქცია არის ეკრანის გადაღება. ფუნქცია გამოიყენება, როდესაც ფანჯრის მონიტორინგის მოდული აღმოაჩენს საინტერესო საიტს ან საბანკო პროგრამას. სკრინშოტი გადაღებულია გრაფიკული სურათების ბიბლიოთეკის გამოყენებით და გადადის ბრძანების სერვერზე.

4.6. დეინსტალაცია

C&C სერვერს შეუძლია შეაჩეროს მავნე პროგრამის გაშვება და გაასუფთავოს თქვენი კომპიუტერი. ბრძანება საშუალებას გაძლევთ გაასუფთავოთ ფაილები და რეესტრის ჩანაწერები, რომლებიც შექმნილია RTM მუშაობის დროს. DLL შემდეგ გამოიყენება მავნე პროგრამისა და winlogon ფაილის მოსაშორებლად, რის შემდეგაც ბრძანება თიშავს კომპიუტერს. როგორც ქვემოთ მოცემულ სურათზეა ნაჩვენები, DLL ამოღებულია დეველოპერების მიერ erase.dll-ის გამოყენებით.

სერვერს შეუძლია ტროას დესტრუქციული დეინსტალაციის დაბლოკვის ბრძანება გაუგზავნოს. ამ შემთხვევაში, თუ თქვენ გაქვთ ადმინისტრატორის უფლებები, RTM წაშლის MBR ჩატვირთვის სექტორს მყარ დისკზე. თუ ეს ვერ მოხერხდა, ტროას შეეცდება გადაიტანოს MBR ჩატვირთვის სექტორი შემთხვევით სექტორში - მაშინ კომპიუტერი ვერ შეძლებს OS-ის ჩატვირთვას გამორთვის შემდეგ. ამან შეიძლება გამოიწვიოს OS-ის სრული ხელახალი ინსტალაცია, რაც ნიშნავს მტკიცებულებების განადგურებას.

ადმინისტრატორის პრივილეგიების გარეშე, მავნე პროგრამა წერს .EXE კოდირებულ RTM DLL-ში. შესრულებადი ახორციელებს კომპიუტერის გამორთვისთვის საჭირო კოდს და არეგისტრირებს მოდულს HKCUCurrentVersionRun რეესტრის გასაღებში. ყოველ ჯერზე, როდესაც მომხმარებელი იწყებს სესიას, კომპიუტერი მაშინვე ითიშება.

4.7. კონფიგურაციის ფაილი

ნაგულისხმევად, RTM-ს თითქმის არ აქვს კონფიგურაციის ფაილი, მაგრამ ბრძანებისა და კონტროლის სერვერს შეუძლია გაგზავნოს კონფიგურაციის მნიშვნელობები, რომლებიც შეინახება რეესტრში და გამოიყენებს პროგრამას. კონფიგურაციის გასაღებების სია წარმოდგენილია ქვემოთ მოცემულ ცხრილში:

კონფიგურაცია ინახება Software[Pseudo-random string] რეესტრის გასაღებში. თითოეული მნიშვნელობა შეესაბამება წინა ცხრილში წარმოდგენილ ერთ-ერთ მწკრივს. მნიშვნელობები და მონაცემები დაშიფრულია RTM-ში RC4 ალგორითმის გამოყენებით.

მონაცემებს აქვს იგივე სტრუქტურა, რაც ქსელს ან სტრიქონებს. კოდირებული მონაცემების დასაწყისში ემატება ოთხი ბაიტიანი XOR კლავიში. კონფიგურაციის მნიშვნელობებისთვის, XOR ღილაკი განსხვავებულია და დამოკიდებულია მნიშვნელობის ზომაზე. ის შეიძლება გამოითვალოს შემდეგნაირად:

xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)

4.8. სხვა ფუნქციები

შემდეგი, მოდით შევხედოთ სხვა ფუნქციებს, რომლებსაც RTM მხარს უჭერს.

4.8.1. დამატებითი მოდულები

ტროას შეიცავს დამატებითი მოდულები, რომლებიც არის DLL ფაილები. C&C ბრძანების სერვერიდან გაგზავნილი მოდულები შეიძლება შესრულდეს როგორც გარე პროგრამები, აისახოს RAM-ში და გაიხსნას ახალ ძაფებში. შენახვისთვის, მოდულები ინახება .dtt ფაილებში და დაშიფრულია RC4 ალგორითმის გამოყენებით იმავე გასაღებით, რომელიც გამოიყენება ქსელური კომუნიკაციებისთვის.

აქამდე ჩვენ დავაკვირდით VNC მოდულის (8966319882494077C21F66A8354E2CBCA0370464), ბრაუზერის მონაცემების ამოღების მოდულის (03DE8622BE6B2F75A364A275995C3411626F4C9) დაყენებას (1C2F1A562E1CBCA69) EFC6FBA58 B88753BE7D0B3E4CFAB).

VNC მოდულის ჩასატვირთად, C&C სერვერი გასცემს ბრძანებას VNC სერვერთან კავშირების მოთხოვნით 44443 პორტის კონკრეტულ IP მისამართზე. ბრაუზერის მონაცემთა მოძიების დანამატი ახორციელებს TBrowserDataCollector-ს, რომელსაც შეუძლია წაიკითხოს IE დათვალიერების ისტორია. შემდეგ ის აგზავნის მონახულებული URL-ების სრულ სიას C&C ბრძანების სერვერზე.

ბოლო აღმოჩენილ მოდულს ჰქვია 1c_2_kl. მას შეუძლია ურთიერთქმედება 1C Enterprise პროგრამულ პაკეტთან. მოდული მოიცავს ორ ნაწილს: ძირითად ნაწილს - DLL და ორ აგენტს (32 და 64 ბიტიანი), რომლებიც ჩაეშვება თითოეულ პროცესში და დარეგისტრირდება სავალდებულო WH_CBT. 1C პროცესში დანერგვის შემდეგ, მოდული აკავშირებს CreateFile და WriteFile ფუნქციებს. როდესაც CreateFile bound ფუნქცია გამოიძახება, მოდული ინახავს ფაილის გზას 1c_to_kl.txt მეხსიერებაში. WriteFile ზარის ჩაჭრის შემდეგ, ის იძახებს WriteFile ფუნქციას და აგზავნის ფაილის გზას 1c_to_kl.txt მთავარ DLL მოდულში, გადასცემს მას Windows WM_COPYDATA შეტყობინებას.

მთავარი DLL მოდული იხსნება და აანალიზებს ფაილს გადახდის დავალების დასადგენად. ის ცნობს ფაილში მოცემულ თანხას და ტრანზაქციის ნომერს. ეს ინფორმაცია იგზავნება ბრძანების სერვერზე. ჩვენ გვჯერა, რომ ეს მოდული ამჟამად დამუშავების პროცესშია, რადგან ის შეიცავს გამართვის შეტყობინებას და არ შეუძლია ავტომატურად შეცვალოს 1c_to_kl.txt.

4.8.2. პრივილეგიების ესკალაცია

RTM შეიძლება შეეცადოს გაზარდოს პრივილეგიები ცრუ შეცდომის შეტყობინებების ჩვენებით. მავნე პროგრამა ახდენს რეესტრის შემოწმების სიმულაციას (იხილეთ სურათი ქვემოთ) ან იყენებს რეესტრის რედაქტორის რეალურ ხატულას. გთხოვთ, გაითვალისწინოთ მართლწერის შეცდომა დაელოდეთ – რა. სკანირების რამდენიმე წამის შემდეგ, პროგრამა აჩვენებს ცრუ შეცდომის შეტყობინებას.

ყალბი შეტყობინება ადვილად მოატყუებს საშუალო მომხმარებელს, მიუხედავად გრამატიკული შეცდომებისა. თუ მომხმარებელი დააწკაპუნებს ორიდან ერთ-ერთ ბმულზე, RTM შეეცდება გაზარდოს თავისი პრივილეგიები სისტემაში.

აღდგენის ორი ვარიანტიდან ერთის არჩევის შემდეგ, ტროას აწარმოებს DLL-ს Runas ოფციის გამოყენებით ShellExecute ფუნქციაში ადმინისტრატორის პრივილეგიებით. მომხმარებელი დაინახავს Windows-ის ნამდვილ მოთხოვნას (იხ. სურათი ქვემოთ) სიმაღლეზე. თუ მომხმარებელი მისცემს საჭირო ნებართვებს, ტროას იმუშავებს ადმინისტრატორის პრივილეგიებით.

სისტემაზე დაყენებული ნაგულისხმევი ენიდან გამომდინარე, ტროასი აჩვენებს შეცდომის შეტყობინებებს რუსულ ან ინგლისურ ენებზე.

4.8.3. Სერტიფიკატი

RTM-ს შეუძლია Windows Store-ში სერთიფიკატების დამატება და დამატების სანდოობის დადასტურება csrss.exe დიალოგურ ფანჯარაში ღილაკზე „დიახ“ ავტომატურად დაწკაპუნებით. ეს ქცევა ახალი არ არის; მაგალითად, საბანკო Trojan Retefe ასევე დამოუკიდებლად ადასტურებს ახალი სერტიფიკატის დაყენებას.

4.8.4. საპირისპირო კავშირი

RTM ავტორებმა ასევე შექმნეს Backconnect TCP გვირაბი. ჩვენ ჯერ არ გვინახავს ფუნქცია გამოყენებული, მაგრამ ის შექმნილია ინფიცირებული კომპიუტერების დისტანციური მონიტორინგისთვის.

4.8.5. ჰოსტის ფაილების მართვა

C&C სერვერს შეუძლია გამოაგზავნოს ბრძანება ტროიანს Windows ჰოსტის ფაილის შესაცვლელად. მასპინძელი ფაილი გამოიყენება პერსონალური DNS რეზოლუციების შესაქმნელად.

4.8.6. იპოვეთ და გაგზავნეთ ფაილი

სერვერს შეუძლია მოითხოვოს ფაილის მოძიება და ჩამოტვირთვა ინფიცირებულ სისტემაში. მაგალითად, კვლევის დროს მივიღეთ მოთხოვნა ფაილზე 1c_to_kl.txt. როგორც ადრე იყო აღწერილი, ეს ფაილი გენერირებულია 1C: Enterprise 8 სააღრიცხვო სისტემით.

4.8.7. განახლება

დაბოლოს, RTM ავტორებს შეუძლიათ განაახლონ პროგრამული უზრუნველყოფა ახალი DLL-ის წარდგენით მიმდინარე ვერსიის შესაცვლელად.

5. დასკვნა

RTM-ის კვლევა აჩვენებს, რომ რუსული საბანკო სისტემა კვლავ იზიდავს კიბერ თავდამსხმელებს. ჯგუფები, როგორიცაა Buhtrap, Corkow და Carbanak წარმატებით იპარავენ ფულს ფინანსური ინსტიტუტებისგან და მათი კლიენტებისგან რუსეთში. RTM არის ახალი მოთამაშე ამ ინდუსტრიაში.

მავნე RTM ინსტრუმენტები გამოიყენება სულ მცირე 2015 წლის ბოლოდან, ESET ტელემეტრიის მიხედვით. პროგრამას აქვს ჯაშუშობის შესაძლებლობების სრული სპექტრი, მათ შორის ჭკვიანი ბარათების კითხვა, კლავიშების დაჭერა და საბანკო ტრანზაქციების მონიტორინგი, ასევე 1C: Enterprise 8 სატრანსპორტო ფაილების ძიება.

დეცენტრალიზებული, ცენზურის გარეშე .bit ზედა დონის დომენის გამოყენება უზრუნველყოფს უაღრესად გამძლე ინფრასტრუქტურას.

წყარო: www.habr.com

RTM კიბერ ჯგუფი სპეციალიზირებულია რუსული კომპანიების თანხების მოპარვაში

ახალი კომენტარის დამატება პასუხის გასაუქმებლად

ახალი კომენტარის დამატება