Ресейлік компаниялардың қаражатын ұрлауға маманданған бірнеше кибертоптар белгілі. Біз мақсатты желіге кіруге мүмкіндік беретін қауіпсіздік саңылауларын пайдаланатын шабуылдарды көрдік. Олар қол жеткізгеннен кейін, шабуылдаушылар ұйымның желі құрылымын зерттейді және қаражатты ұрлау үшін өздерінің құралдарын қолданады. Бұл трендтің классикалық мысалы - Buhtrap, Cobalt және Corkow хакерлер топтары.
Бұл есепте назар аударатын RTM тобы осы трендтің бөлігі болып табылады. Ол Delphi-де жазылған арнайы жасалған зиянды бағдарламаларды пайдаланады, біз оны келесі бөлімдерде толығырақ қарастырамыз. ESET телеметрия жүйесінде бұл құралдардың алғашқы іздері 2015 жылдың соңында табылды. Команда қажет болған жағдайда вирус жұққан жүйелерге әртүрлі жаңа модульдерді жүктейді. Шабуылдар Ресейдегі және кейбір көршілес елдердегі қашықтағы банк жүйелерін пайдаланушыларға бағытталған.
1. Міндеттері
RTM науқаны корпоративтік пайдаланушыларға бағытталған - бұл шабуылдаушылар бұзылған жүйеде анықтауға тырысатын процестерден анық көрінеді. Қашықтан банктік жүйелермен жұмыс істеуге арналған бухгалтерлік бағдарламалық қамтамасыз ету басты назарда.
RTM қызықтыратын процестер тізімі Buhtrap тобының сәйкес тізіміне ұқсайды, бірақ топтарда әртүрлі инфекция векторлары бар. Егер Buhtrap жалған беттерді жиі пайдаланса, RTM дискі арқылы жүктеп алу шабуылдарын (браузерге немесе оның құрамдастарына шабуылдар) және электрондық пошта арқылы спам жіберуді пайдаланды. Телеметриялық мәліметтерге сәйкес, қауіп Ресейге және жақын орналасқан бірнеше елдерге (Украина, Қазақстан, Чехия, Германия) бағытталған. Дегенмен, жаппай тарату тетіктерін қолданудың арқасында зиянды бағдарламаларды мақсатты аймақтардан тыс анықтау таңқаларлық емес.
Зиянды бағдарламаларды анықтаудың жалпы саны салыстырмалы түрде аз. Екінші жағынан, RTM науқаны күрделі бағдарламаларды пайдаланады, бұл шабуылдардың жоғары мақсатты екенін көрсетеді.
Біз RTM пайдаланатын бірнеше алдамшы құжаттарды, соның ішінде жоқ келісімшарттарды, шот-фактураларды немесе салықтық есеп құжаттарын таптық. Шабуылға бағытталған бағдарламалық жасақтаманың түрімен үйлесетін арбалардың сипаты шабуылдаушылар ресейлік компаниялардың желілеріне бухгалтерия арқылы «еніп жатқанын» көрсетеді. Топ сол схема бойынша әрекет етті 2014-2015 жж
Зерттеу барысында біз бірнеше C&C серверлерімен өзара әрекеттесе алдық. Біз пәрмендердің толық тізімін келесі бөлімдерде көрсетеміз, бірақ әзірге клиент деректерді клавиатурадан шабуылдаушы серверге тікелей тасымалдайды деп айта аламыз, одан кейін қосымша командалар алынады.
Дегенмен, сіз жай ғана командалық және басқару серверіне қосылып, сізді қызықтыратын барлық деректерді жинай алатын күндер өтті. Біз серверден кейбір сәйкес пәрмендерді алу үшін нақты журнал файлдарын қайта жасадық.
Олардың біріншісі - 1c_to_kl.txt файлын беру үшін ботқа сұрау - 1C: Enterprise 8 бағдарламасының транспорттық файлы, оның сыртқы түрі RTM белсенді түрде бақыланады. 1С шығыс төлемдер туралы деректерді мәтіндік файлға жүктеп салу арқылы қашықтағы банк жүйелерімен өзара әрекеттеседі. Содан кейін файл төлем тапсырмасын автоматтандыру және орындау үшін қашықтағы банк жүйесіне жіберіледі.
Файлда төлем мәліметтері бар. Егер шабуылдаушылар шығыс төлемдер туралы ақпаратты өзгертсе, аударым шабуылдаушылардың шоттарына жалған мәліметтер арқылы жіберіледі.
Бұл файлдарды командалық және басқару серверінен сұрағаннан кейін шамамен бір ай өткен соң, біз бұзылған жүйеге 1c_2_kl.dll жаңа плагин жүктелгенін байқадық. Модуль (DLL) бухгалтерлік бағдарламалық қамтамасыз ету процестеріне ену арқылы жүктеу файлын автоматты түрде талдауға арналған. Оны келесі тарауларда егжей-тегжейлі сипаттайтын боламыз.
Бір қызығы, Ресей Банкінің FinCERT 2016 жылдың соңында 1c_to_kl.txt жүктеу файлдарын пайдаланатын киберқылмыскерлер туралы ескерту бюллетенін шығарды. 1С әзірлеушілері де бұл схема туралы біледі, олар ресми мәлімдеме жасап, сақтық шараларын атап өтті.
Басқа модульдер де командалық серверден, атап айтқанда VNC (оның 32 және 64 биттік нұсқалары) жүктелген. Ол бұрын Dridex трояндық шабуылдарында қолданылған VNC модуліне ұқсайды. Бұл модуль вирус жұққан компьютерге қашықтан қосылу және жүйені егжей-тегжейлі зерттеу үшін пайдаланылады. Әрі қарай, шабуылдаушылар желіде қозғалуға, пайдаланушы құпия сөздерін шығаруға, ақпарат жинауға және зиянды бағдарламалардың тұрақты болуын қамтамасыз етуге тырысады.
2. Инфекцияның векторлары
Төмендегі суретте науқанның зерттеу кезеңінде анықталған инфекция векторлары көрсетілген. Топ векторлардың кең ауқымын пайдаланады, бірақ негізінен жүктеп алу шабуылдары мен спам. Бұл құралдар мақсатты шабуылдар үшін ыңғайлы, өйткені бірінші жағдайда шабуылдаушылар ықтимал құрбандар кіретін сайттарды таңдай алады, ал екіншісінде олар қосымшалары бар электрондық поштаны компанияның қажетті қызметкерлеріне тікелей жібере алады.
Зиянды бағдарлама бірнеше арналар арқылы таратылады, соның ішінде RIG және Sundown эксплуатациялық жинақтары немесе спам-хабарламалар осы қызметтерді ұсынатын шабуылдаушылар мен басқа кибершабуылдар арасындағы байланыстарды көрсетеді.
2.1. RTM мен Buhtrap қалай байланысты?
RTM науқаны Buhtrap-қа өте ұқсас. Табиғи сұрақ: олар бір-бірімен қалай байланысты?
2016 жылдың қыркүйегінде RTM үлгісінің Buhtrap жүктеп салушысы арқылы таратылып жатқанын байқадық. Сонымен қатар, біз Buhtrap және RTM екеуінде де пайдаланылған екі сандық сертификатты таптық.
Біріншісі, DNISTER-M компаниясына шығарылған деп болжанып, екінші Delphi пішініне (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) және Buhtrap DLL (SHA-1: 1E2642DC454B) цифрлық қолтаңба қою үшін пайдаланылды. D2).
Bit-Tredj-ге шығарылған екіншісі Buhtrap жүктегіштеріне қол қою үшін пайдаланылды (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 және B74F71560E48488D2153AE2FB51207E0), сондай-ақ R206FB2AEXNUMX орнату және жүктеп алу.
RTM операторлары басқа зиянды бағдарламалар тобына ортақ сертификаттарды пайдаланады, бірақ олардың бірегей сертификаты да бар. ESET телеметриясына сәйкес, ол Kit-SD жүйесіне шығарылған және кейбір RTM зиянды бағдарламаларына қол қою үшін ғана пайдаланылған (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM Buhtrap сияқты бірдей жүктегішті пайдаланады, RTM құрамдастары Buhtrap инфрақұрылымынан жүктеледі, сондықтан топтарда ұқсас желі көрсеткіштері болады. Дегенмен, біздің бағалауымыз бойынша, RTM және Buhtrap әртүрлі топтар болып табылады, кем дегенде, RTM әртүрлі тәсілдермен таратылады («шетелдік» жүктеуші арқылы ғана емес).
Осыған қарамастан, хакерлер топтары ұқсас жұмыс принциптерін пайдаланады. Олар бухгалтерлік бағдарламалық құралды пайдаланатын, жүйе ақпаратын жинайтын, смарт-карталарды оқу құрылғыларын іздейтін және құрбандарға тыңшылық жасау үшін бірқатар зиянды құралдарды қолданатын бизнеске бағытталған.
3. Эволюция
Бұл бөлімде біз зерттеу барысында табылған зиянды бағдарламалардың әртүрлі нұсқаларын қарастырамыз.
3.1. Нұсқа жасау
RTM конфигурация деректерін тізілім бөлімінде сақтайды, ең қызықты бөлігі ботнет-префиксі болып табылады. Біз зерттеген үлгілерде көрген барлық мәндердің тізімі төмендегі кестеде берілген.
Мәндер зиянды бағдарлама нұсқаларын жазу үшін пайдаланылуы мүмкін. Дегенмен, бит2 және бит3, 0.1.6.4 және 0.1.6.6 сияқты нұсқалар арасында үлкен айырмашылықты байқамадық. Сонымен қатар, префикстердің бірі басынан бері бар және төменде көрсетілгендей әдеттегі C&C доменінен .bit доменіне дейін дамыды.
3.2. Кесте
Телеметриялық мәліметтерді пайдалана отырып, біз үлгілердің пайда болуының графигін құрдық.
4. Техникалық талдау
Бұл бөлімде біз RTM банктік троянының негізгі функцияларын, соның ішінде қарсылық механизмдерін, RC4 алгоритмінің өзіндік нұсқасын, желілік протоколды, шпиондық функцияларды және кейбір басқа мүмкіндіктерді сипаттайтын боламыз. Атап айтқанда, біз AA1FA0CE4584768E9D16D67C8E529233FF99BBF1 және 0BC48EC113BA8B20B8CD80D5DA4A92051D19B SHA-1032 үлгілеріне тоқталамыз.
4.1. Орнату және сақтау
4.1.1. Іске асыру
RTM өзегі DLL болып табылады, кітапхана дискіге .EXE арқылы жүктеледі. Орындалатын файл әдетте пакеттелген және DLL кодын қамтиды. Іске қосылғаннан кейін ол DLL файлын шығарады және оны келесі пәрмен арқылы іске қосады:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. DLL
Негізгі DLL әрқашан %PROGRAMDATA%Winlogon қалтасында winlogon.lnk ретінде дискіге жүктеледі. Бұл файл кеңейтімі әдетте таңбашамен байланысты, бірақ файл шын мәнінде Delphi-де жазылған, төмендегі суретте көрсетілгендей әзірлеуші core.dll деп атаған DLL болып табылады.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Іске қосылғаннан кейін троян өзінің қарсылық механизмін іске қосады. Бұл жәбірленушінің жүйедегі артықшылықтарына байланысты екі түрлі жолмен жасалуы мүмкін. Әкімші құқықтарыңыз болса, троян Windows Update жазбасын HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun тізіліміне қосады. Windows Update ішіндегі пәрмендер пайдаланушы сеансының басында іске қосылады.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject хосты
Троян сонымен қатар Windows Task Scheduler жүйесіне тапсырма қосуға тырысады. Тапсырма жоғарыда көрсетілген параметрлермен бірдей winlogon.lnk DLL файлын іске қосады. Тұрақты пайдаланушы құқықтары троянға HKCUSoftwareMicrosoftWindowsCurrentVersionRun тізіліміне бірдей деректермен Windows Update жазбасын қосуға мүмкіндік береді:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Өзгертілген RC4 алгоритмі
Белгілі кемшіліктеріне қарамастан, RC4 алгоритмін зиянды бағдарлама авторлары үнемі пайдаланады. Дегенмен, RTM жасаушылар вирус талдаушыларының жұмысын қиындату үшін оны аздап өзгертті. RC4 өзгертілген нұсқасы жолдарды, желі деректерін, конфигурация мен модульдерді шифрлау үшін зиянды RTM құралдарында кеңінен қолданылады.
4.2.1. Айырмашылықтар
Түпнұсқа RC4 алгоритмі екі кезеңді қамтиды: s-блокты инициализациялау (aka KSA - Key-Scheduling Algorithm) және псевдокездейсоқ тізбекті генерациялау (PRGA - Pseudo-Random Generation Algorithm). Бірінші кезең кілтті пайдаланып s-боксты инициализациялауды қамтиды, ал екінші кезеңде бастапқы мәтін шифрлау үшін s-box көмегімен өңделеді.
RTM авторлары s-box инициализациясы мен шифрлау арасындағы аралық қадамды қосты. Қосымша кілт айнымалы болып табылады және шифрланатын және шифрын шешетін деректермен бір уақытта орнатылады. Бұл қосымша қадамды орындайтын функция төмендегі суретте көрсетілген.
4.2.2. Жолды шифрлау
Бір қарағанда, негізгі DLL-де бірнеше оқылатын жолдар бар. Қалғандары жоғарыда сипатталған алгоритм арқылы шифрланады, оның құрылымы келесі суретте көрсетілген. Біз талданған үлгілерде жолды шифрлауға арналған 25-тен астам әртүрлі RC4 кілттерін таптық. XOR пернесі әр жол үшін әртүрлі. Жолдарды бөлетін сандық өрістің мәні әрқашан 0xFFFFFFFF болып табылады.
Орындаудың басында RTM жолдарды жаһандық айнымалыға ашады. Жолға қол жеткізу қажет болғанда, троян негізгі мекенжай мен ығысу негізінде шифры шешілген жолдардың мекенжайын динамикалық түрде есептейді.
Жолдарда зиянды бағдарламаның функциялары туралы қызықты ақпарат бар. Кейбір мысал жолдар 6.8 бөлімінде берілген.
4.3. Желілік
RTM зиянды бағдарламасының C&C серверімен байланысу тәсілі нұсқадан нұсқаға қарай өзгереді. Бірінші модификациялар (2015 жылдың қазаны – 2016 жылдың сәуірі) пәрмендер тізімін жаңарту үшін livejournal.com сайтындағы RSS арнасымен бірге дәстүрлі домен атауларын пайдаланды.
2016 жылдың сәуір айынан бастап біз телеметрия деректерінде .bit домендеріне ауысуды байқадық. Бұл доменді тіркеу күнімен расталады - бірінші RTM домені fde05d0573da.bit 13 жылдың 2016 наурызында тіркелді.
Науқанды бақылау кезінде көрген барлық URL мекенжайларының ортақ жолы болды: /r/z.php. Бұл өте ерекше және ол желі ағындарында RTM сұрауларын анықтауға көмектеседі.
4.3.1. Командалар мен басқаруға арналған арна
Бұрынғы мысалдар бұл арнаны пәрмен және басқару серверлерінің тізімін жаңарту үшін пайдаланды. Хостинг livejournal.com сайтында орналасқан, есеп жазу кезінде ол hxxp://f72bba81c921(.)livejournal(.)com/data/rss URL мекенжайында қалды.
Livejournal – блог платформасын ұсынатын ресейлік-американдық компания. RTM операторлары кодталған пәрмендері бар мақаланы жариялайтын LJ блогын жасайды - скриншотты қараңыз.
Командалық және басқару жолдары өзгертілген RC4 алгоритмі арқылы кодталған (4.2-бөлім). Арнаның ағымдағы нұсқасында (2016 жылғы қараша) келесі командалық және басқару серверінің мекенжайлары бар:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. .bit домендері
Ең соңғы RTM үлгілерінде авторлар .bit TLD жоғары деңгейлі доменін пайдаланып C&C домендеріне қосылады. Ол ICANN (Домендік атау және интернет корпорациясы) жоғары деңгейлі домендердің тізімінде жоқ. Оның орнына ол Bitcoin технологиясының үстіне құрылған Namecoin жүйесін пайдаланады. Зиянды бағдарлама авторлары .bit TLD домендерін жиі пайдаланбайды, дегенмен мұндай пайдалану үлгісі бұрын Necurs ботнетінің нұсқасында байқалған.
Биткоиннан айырмашылығы, таратылған Namecoin дерекқорын пайдаланушылар деректерді сақтау мүмкіндігіне ие. Бұл мүмкіндіктің негізгі қолданбасы .bit жоғарғы деңгейлі домен болып табылады. Бөлінген дерекқорда сақталатын домендерді тіркеуге болады. Дерекқордағы сәйкес жазбаларда домен шешетін IP мекенжайлары бар. Бұл TLD «цензураға төзімді», себебі тек тіркеуші .bit доменінің ажыратымдылығын өзгерте алады. Бұл TLD түрін пайдаланып зиянды доменді тоқтату әлдеқайда қиын дегенді білдіреді.
RTM троян таратылған Namecoin дерекқорын оқуға қажетті бағдарламалық құралды ендірмейді. Ол .bit домендерін шешу үшін dns.dot-bit.org немесе OpenNic серверлері сияқты орталық DNS серверлерін пайдаланады. Сондықтан ол DNS серверлері сияқты ұзақ мерзімділікке ие. Кейбір топ домендері блог жазбасында айтылғаннан кейін бұдан былай анықталмағанын байқадық.
Хакерлерге арналған .bit TLD-тің тағы бір артықшылығы - бұл құны. Доменді тіркеу үшін операторлар тек 0,01 NK төлеуі керек, бұл $0,00185 (5 жылдың 2016 желтоқсанындағы жағдай бойынша) сәйкес келеді. Салыстыру үшін, domain.com кем дегенде $10 тұрады.
4.3.3. Протокол
Командалық және басқару серверімен байланысу үшін RTM теңшелетін протоколды пайдаланып пішімделген деректері бар HTTP POST сұрауларын пайдаланады. Жол мәні әрқашан /r/z.php; Mozilla/5.0 пайдаланушы агенті (үйлесімді; MSIE 9.0; Windows NT 6.1; Trident/5.0). Серверге сұраныстарда деректер келесідей пішімделеді, мұнда ығысу мәндері байтпен көрсетіледі:
0-ден 6-ға дейінгі байт кодталмаған; 6-дан басталатын байттар өзгертілген RC4 алгоритмі арқылы кодталады. C&C жауап пакетінің құрылымы қарапайымырақ. Байттар 4-тен пакет өлшеміне дейін кодталған.
Әрекет байт мәндерінің тізімі төмендегі кестеде берілген:
Зиянды бағдарлама әрқашан шифры шешілген деректердің CRC32 мәнін есептеп, оны пакетте бармен салыстырады. Егер олар әртүрлі болса, троян пакетті тастайды.
Қосымша деректерде әртүрлі нысандар, соның ішінде PE файлы, файлдық жүйеде ізделетін файл немесе жаңа пәрмен URL мекенжайлары болуы мүмкін.
4.3.4. Панель
Біз RTM C&C серверлерінде панельді қолданатынын байқадық. Төмендегі скриншот:
4.4. Сипаттама белгісі
RTM – әдеттегі банктік троян. Операторлардың жәбірленушінің жүйесі туралы ақпарат алғысы келетіні таңқаларлық емес. Бір жағынан, бот ОЖ туралы жалпы ақпаратты жинайды. Екінші жағынан, ол бұзылған жүйеде ресейлік қашықтағы банк жүйелерімен байланысты атрибуттардың бар-жоғын анықтайды.
4.4.1. Жалпы ақпарат
Қайта жүктеуден кейін зиянды бағдарлама орнатылған немесе іске қосылған кезде есеп командалық және басқару серверіне жіберіледі, оның ішінде жалпы ақпаратты қамтиды:
- сағаттық белдеу;
- әдепкі жүйе тілі;
- рұқсат етілген пайдаланушы тіркелгі деректері;
- процестің тұтастығы деңгейі;
- Қолданушының аты;
- компьютер атауы;
- ОЖ нұсқасы;
- қосымша орнатылған модульдер;
- орнатылған антивирустық бағдарлама;
- смарт-карталарды оқу құралдарының тізімі.
4.4.2 Қашықтан банк жүйесі
Әдеттегі трояндық мақсат қашықтағы банк жүйесі болып табылады және RTM де ерекшелік емес. Бағдарламаның модульдерінің бірі TBdo деп аталады, ол әртүрлі тапсырмаларды орындайды, соның ішінде дискілерді сканерлеу және шолу журналы.
Дискіні сканерлеу арқылы троян компьютерде банктік бағдарламалық құрал орнатылғанын тексереді. Мақсатты бағдарламалардың толық тізімі төмендегі кестеде берілген. Қызықтыратын файлды анықтағаннан кейін бағдарлама ақпаратты командалық серверге жібереді. Келесі әрекеттер командалық орталық (C&C) алгоритмдерімен көрсетілген логикаға байланысты.
RTM сонымен қатар браузер журналы мен ашық қойындылардағы URL үлгілерін іздейді. Бұған қоса, бағдарлама FindNextUrlCacheEntryA және FindFirstUrlCacheEntryA функцияларын пайдалануды зерттейді, сондай-ақ URL мекенжайын келесі үлгілердің біріне сәйкестендіру үшін әрбір жазбаны тексереді:
Ашық қойындыларды анықтаған троян қойындының үлгіге сәйкес келетінін тексеру үшін динамикалық деректер алмасу (DDE) механизмі арқылы Internet Explorer немесе Firefox браузерімен байланысады.
Шолу журналын және ашық қойындыларды тексеру WHILE циклінде (алғы шарты бар цикл) тексерулер арасында 1 секунд үзіліспен орындалады. Нақты уақытта бақыланатын басқа деректер 4.5 бөлімінде талқыланады.
Егер үлгі табылса, бағдарлама бұл туралы келесі кестедегі жолдар тізімін пайдаланып пәрмен серверіне хабарлайды:
4.5 Мониторинг
Троян жұмыс істеп тұрған кезде, жұқтырған жүйенің сипаттамалық ерекшеліктері туралы ақпарат (соның ішінде банктік бағдарламалық қамтамасыз етудің болуы туралы ақпарат) командалық және басқару серверіне жіберіледі. Саусақ ізі RTM операциялық жүйені бастапқы сканерлеуден кейін бірден бақылау жүйесін бірінші рет іске қосқанда орын алады.
4.5.1. Қашықтан банкинг
TBdo модулі сонымен қатар банк қызметіне қатысты процестерді бақылауға жауап береді. Ол бастапқы сканерлеу кезінде Firefox және Internet Explorer қойындыларын тексеру үшін динамикалық деректер алмасуды пайдаланады. Басқа TShell модулі пәрмен терезелерін (Internet Explorer немесе File Explorer) бақылау үшін пайдаланылады.
Модуль терезелерді бақылау үшін IShellWindows, iWebBrowser, DWebBrowserEvents2 және IConnectionPointContainer COM интерфейстерін пайдаланады. Пайдаланушы жаңа веб-бетке өткенде, зиянды бағдарлама мұны атап өтеді. Содан кейін ол беттің URL мекенжайын жоғарыдағы үлгілермен салыстырады. Сәйкестікті анықтағаннан кейін троян 5 секундтық аралықпен алты дәйекті скриншот алады және оларды C&S командалық серверіне жібереді. Бағдарлама сонымен қатар банктік бағдарламалық құралға қатысты кейбір терезе атауларын тексереді - толық тізім төменде:
4.5.2. Смарт карта
RTM вирус жұққан компьютерлерге қосылған смарт-карта оқу құралдарын бақылауға мүмкіндік береді. Бұл құрылғылар кейбір елдерде төлем тапсырмаларын салыстыру үшін қолданылады. Құрылғының бұл түрі компьютерге қосылған болса, ол троянға машинаның банктік транзакциялар үшін пайдаланылып жатқанын көрсетуі мүмкін.
Басқа банктік трояндардан айырмашылығы, RTM мұндай смарт карталармен әрекеттесе алмайды. Мүмкін бұл функция біз әлі көрмеген қосымша модульге енгізілген.
4.5.3. Keylogger
Вирус жұққан компьютерді бақылаудың маңызды бөлігі пернелерді басу болып табылады. RTM әзірлеушілері ешқандай ақпаратты жоғалтпайтын сияқты, өйткені олар қарапайым пернелерді ғана емес, виртуалды пернетақта мен алмасу буферін де бақылайды.
Ол үшін SetWindowsHookExA функциясын пайдаланыңыз. Шабуыл жасаушылар басылған пернелерді немесе виртуалды пернетақтаға сәйкес пернелерді бағдарламаның аты мен күнімен бірге тіркейді. Содан кейін буфер C&C пәрмен серверіне жіберіледі.
SetClipboardViewer функциясы алмасу буферін ұстау үшін пайдаланылады. Деректер мәтін болған кезде хакерлер алмасу буферінің мазмұнын тіркейді. Аты мен күні буфер серверге жіберілмес бұрын журналға жазылады.
4.5.4. Скриншоттар
Тағы бір RTM функциясы скриншотты ұстап алу болып табылады. Мүмкіндік терезені бақылау модулі қызықтыратын сайтты немесе банктік бағдарламалық құралды анықтаған кезде қолданылады. Скриншоттар графикалық кескіндер кітапханасының көмегімен түсіріліп, командалық серверге жіберіледі.
4.6. Жою
C&C сервері зиянды бағдарламаның іске қосылуын тоқтатып, компьютеріңізді тазалай алады. Пәрмен RTM іске қосылған кезде жасалған файлдар мен тізілім жазбаларын тазалауға мүмкіндік береді. Содан кейін DLL зиянды бағдарламаны және winlogon файлын жою үшін пайдаланылады, содан кейін пәрмен компьютерді өшіреді. Төмендегі суретте көрсетілгендей, DLL файлын erase.dll арқылы әзірлеушілер жояды.
Сервер троянға жойғыш жою-құлыптау пәрменін жібере алады. Бұл жағдайда әкімші құқықтарыңыз болса, RTM қатты дискідегі MBR жүктеу секторын жояды. Егер бұл сәтсіз болса, троян MBR жүктеу секторын кездейсоқ секторға ауыстыруға тырысады - содан кейін компьютер өшірілгеннен кейін ОЖ-ны жүктей алмайды. Бұл ОЖ-ны толығымен қайта орнатуға әкелуі мүмкін, бұл дәлелдемелердің жойылуын білдіреді.
Әкімші артықшылықтарынсыз зиянды бағдарлама негізгі RTM DLL файлында кодталған .EXE жазады. Орындалатын файл компьютерді өшіру үшін қажетті кодты орындайды және модульді HKCUCurrentVersionRun тізбе кілтінде тіркейді. Пайдаланушы сеансты бастаған сайын компьютер дереу өшеді.
4.7. Конфигурация файлы
Әдепкі бойынша, RTM конфигурация файлы дерлік жоқ, бірақ командалық және басқару сервері тізілімде сақталатын және бағдарламамен пайдаланылатын конфигурация мәндерін жібере алады. Конфигурациялау кілттерінің тізімі төмендегі кестеде берілген:
Конфигурация Software[Pseudo-random string] тізілім кілтінде сақталады. Әрбір мән алдыңғы кестеде берілген жолдардың біріне сәйкес келеді. Мәндер мен деректер RTM жүйесінде RC4 алгоритмі арқылы кодталады.
Деректер желі немесе жолдар сияқты құрылымға ие. Төрт байт XOR кілті кодталған деректердің басында қосылады. Конфигурация мәндері үшін XOR пернесі әртүрлі және мән өлшеміне байланысты. Оны келесідей есептеуге болады:
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)
4.8. Басқа мүмкіндіктер
Әрі қарай, RTM қолдайтын басқа функцияларды қарастырайық.
4.8.1. Қосымша модульдер
Троян қосымша модульдерді қамтиды, олар DLL файлдары болып табылады. C&C командалық серверінен жіберілген модульдер сыртқы бағдарламалар ретінде орындалуы мүмкін, жедел жадта көрсетіледі және жаңа ағындарда іске қосылады. Сақтау үшін модульдер .dtt файлдарында сақталады және желілік байланыстар үшін пайдаланылатын бірдей кілтпен RC4 алгоритмі арқылы кодталады.
Осы уақытқа дейін біз VNC модулінің (8966319882494077C21F66A8354E2CBCA0370464), шолғыштың деректерін алу модулінің (03DE8622BE6B2F75A364A275995C3411626C4C9C1C2) және модуль_1C562F1A69E6CBCA58 орнатылуын байқадық. 88753EFC7FBA0 B3BE4DXNUMXBXNUMXEXNUMXCFAB).
VNC модулін жүктеу үшін C&C сервері 44443 портындағы белгілі бір IP мекенжайы бойынша VNC серверіне қосылуды сұрайтын пәрмен береді. Браузер деректерін іздеу плагині IE шолу тарихын оқи алатын TBrowserDataCollector қызметін орындайды. Содан кейін ол C&C пәрмен серверіне кірген URL мекенжайларының толық тізімін жібереді.
Соңғы ашылған модуль 1c_2_kl деп аталады. Ол 1С Enterprise бағдарламалық пакетімен өзара әрекеттесе алады. Модуль екі бөліктен тұрады: негізгі бөлік - DLL және екі агент (32 және 64 бит), олар әрбір процеске WH_CBT байланыстыруды тіркейтін енгізілетін болады. 1С процесіне енгізілгеннен кейін модуль CreateFile және WriteFile функцияларын байланыстырады. CreateFile байланысты функциясы шақырылған сайын, модуль жадта 1c_to_kl.txt файл жолын сақтайды. WriteFile шақыруын ұстағаннан кейін ол WriteFile функциясын шақырады және 1c_to_kl.txt файл жолын негізгі DLL модуліне жібереді, оған жасалған Windows WM_COPYDATA хабарламасын жібереді.
Негізгі DLL модулі төлем тапсырмаларын анықтау үшін файлды ашады және талдайды. Ол файлдағы сома мен транзакция нөмірін таниды. Бұл ақпарат пәрмен серверіне жіберіледі. Бұл модуль қазір әзірлену үстінде деп есептейміз, себебі ол жөндеу туралы хабарды қамтиды және 1c_to_kl.txt файлын автоматты түрде өзгерте алмайды.
4.8.2. Артықшылықты арттыру
RTM жалған қате туралы хабарларды көрсету арқылы артықшылықтарды арттыруға әрекет етуі мүмкін. Зиянды бағдарлама тізілімді тексеруді имитациялайды (төмендегі суретті қараңыз) немесе нақты тізілім редакторының белгішесін пайдаланады. Күту – whait емлесі қатесіне назар аударыңыз. Сканерлеудің бірнеше секундынан кейін бағдарлама қате қате туралы хабарды көрсетеді.
Жалған хабарлама грамматикалық қателерге қарамастан қарапайым пайдаланушыны оңай алдайды. Егер пайдаланушы екі сілтеменің біреуін басса, RTM жүйеде өзінің артықшылықтарын арттыруға әрекет жасайды.
Екі қалпына келтіру опциясының бірін таңдағаннан кейін троян әкімші артықшылықтары бар ShellExecute функциясындағы runas опциясын пайдаланып DLL файлын іске қосады. Пайдаланушы биіктік үшін нақты Windows шақыруын (төмендегі суретті қараңыз) көреді. Пайдаланушы қажетті рұқсаттарды берсе, троян әкімші артықшылықтарымен жұмыс істейді.
Жүйеде орнатылған әдепкі тілге байланысты троян қате туралы хабарларды орыс немесе ағылшын тілдерінде көрсетеді.
4.8.3. Сертификат
RTM Windows дүкеніне сертификаттарды қосып, csrss.exe тілқатысу терезесіндегі «иә» түймесін автоматты түрде басу арқылы қосудың сенімділігін растай алады. Бұл әрекет жаңа емес, мысалы, банктік трояндық Retefe жаңа сертификатты орнатуды дербес растайды.
4.8.4. Кері байланыс
RTM авторлары Backconnect TCP туннелін де жасады. Қолданыстағы мүмкіндікті әлі көрген жоқпыз, бірақ ол вирус жұққан компьютерлерді қашықтан бақылауға арналған.
4.8.5. Хост файлдарын басқару
C&C сервері троянға Windows хост файлын өзгерту пәрменін жібере алады. Хост файлы реттелетін DNS рұқсаттарын жасау үшін пайдаланылады.
4.8.6. Файлды тауып, жіберіңіз
Сервер вирус жұққан жүйеде файлды іздеуді және жүктеп алуды сұрауы мүмкін. Мысалы, зерттеу барысында біз 1c_to_kl.txt файлына сұраныс алдық. Бұрын сипатталғандай, бұл файлды 1С: Enterprise 8 есеп жүйесі жасайды.
4.8.7. Жаңарту
Соңында, RTM авторлары ағымдағы нұсқаны ауыстыру үшін жаңа DLL жіберу арқылы бағдарламалық құралды жаңарта алады.
5. Қорытынды
RTM зерттеулері ресейлік банк жүйесі әлі де кибершабуылдарды тартатынын көрсетеді. Buhtrap, Corkow және Carbanak сияқты топтар Ресейдегі қаржы институттары мен олардың клиенттерінен ақшаны сәтті ұрлайды. RTM - бұл саладағы жаңа ойыншы.
ESET телеметриясына сәйкес зиянды RTM құралдары кем дегенде 2015 жылдың соңынан бері қолданылуда. Бағдарламада смарт-карталарды оқу, пернелерді басу және банктік транзакцияларды бақылау, сондай-ақ 1С: Enterprise 8 тасымалдау файлдарын іздеуді қоса, тыңшылық мүмкіндіктерінің толық спектрі бар.
Орталықтандырылмаған, цензурасы жоқ .bit жоғары деңгейлі доменді пайдалану жоғары икемді инфрақұрылымды қамтамасыз етеді.
Ақпарат көзі: www.habr.com