ក្រុមអ៊ីនធឺណិត RTM មានជំនាញក្នុងការលួចលុយពីក្រុមហ៊ុនរុស្ស៊ី

មានក្រុមអ៊ីនធឺណែតដែលគេស្គាល់ជាច្រើនដែលមានជំនាញក្នុងការលួចលុយពីក្រុមហ៊ុនរុស្ស៊ី។ យើងបានឃើញការវាយប្រហារដោយប្រើចន្លោះប្រហោងសុវត្ថិភាព ដែលអនុញ្ញាតឱ្យចូលទៅកាន់បណ្តាញរបស់គោលដៅ។ នៅពេលដែលពួកគេទទួលបានសិទ្ធិចូលប្រើប្រាស់ អ្នកវាយប្រហារសិក្សារចនាសម្ព័ន្ធបណ្តាញរបស់អង្គការ និងប្រើប្រាស់ឧបករណ៍ផ្ទាល់ខ្លួនរបស់ពួកគេដើម្បីលួចលុយ។ ឧទាហរណ៍បុរាណនៃនិន្នាការនេះគឺក្រុម Hacker Buhtrap, Cobalt និង Corkow ។

ក្រុម RTM ដែលរបាយការណ៍នេះផ្តោតលើគឺជាផ្នែកមួយនៃនិន្នាការនេះ។ វាប្រើមេរោគដែលបានរចនាឡើងជាពិសេសដែលសរសេរនៅក្នុង Delphi ដែលយើងនឹងពិនិត្យមើលលម្អិតបន្ថែមទៀតនៅក្នុងផ្នែកខាងក្រោម។ ដានដំបូងនៃឧបករណ៍ទាំងនេះនៅក្នុងប្រព័ន្ធតេឡេម៉ែត្រ ESET ត្រូវបានរកឃើញនៅចុងឆ្នាំ 2015 ។ ក្រុមនេះផ្ទុកម៉ូឌុលថ្មីជាច្រើននៅលើប្រព័ន្ធមេរោគតាមតម្រូវការ។ ការវាយប្រហារនេះគឺសំដៅទៅលើអ្នកប្រើប្រាស់ប្រព័ន្ធធនាគារពីចម្ងាយនៅក្នុងប្រទេសរុស្ស៊ី និងប្រទេសជិតខាងមួយចំនួន។

1. គោលបំណង

យុទ្ធនាការ RTM គឺសំដៅលើអ្នកប្រើប្រាស់សាជីវកម្ម - នេះគឺជាក់ស្តែងពីដំណើរការដែលអ្នកវាយប្រហារព្យាយាមរកឃើញនៅក្នុងប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។ ការផ្តោតសំខាន់គឺទៅលើកម្មវិធីគណនេយ្យសម្រាប់ធ្វើការជាមួយប្រព័ន្ធធនាគារពីចម្ងាយ។

បញ្ជីនៃដំណើរការដែលចាប់អារម្មណ៍ចំពោះ RTM ប្រហាក់ប្រហែលនឹងបញ្ជីដែលត្រូវគ្នានៃក្រុម Buhtrap ប៉ុន្តែក្រុមទាំងនោះមានវ៉ិចទ័រឆ្លងផ្សេងៗគ្នា។ ប្រសិនបើ Buhtrap បានប្រើទំព័រក្លែងក្លាយញឹកញាប់ជាងនោះ RTM បានប្រើការវាយប្រហារដោយដ្រាយដោយការទាញយក (ការវាយប្រហារលើកម្មវិធីរុករកតាមអ៊ីនធឺណិត ឬសមាសធាតុរបស់វា) និងការផ្ញើសារឥតបានការតាមអ៊ីមែល។ យោងតាមទិន្នន័យ telemetry ការគំរាមកំហែងនេះគឺសំដៅទៅលើប្រទេសរុស្ស៊ី និងប្រទេសជិតខាងមួយចំនួន (អ៊ុយក្រែន កាហ្សាក់ស្ថាន សាធារណរដ្ឋឆេក អាល្លឺម៉ង់)។ ទោះបីជាយ៉ាងណាក៏ដោយ ដោយសារតែការប្រើប្រាស់យន្តការចែកចាយដ៏ធំ ការរកឃើញមេរោគនៅខាងក្រៅតំបន់គោលដៅគឺមិនគួរឱ្យភ្ញាក់ផ្អើលនោះទេ។

ចំនួនសរុបនៃការរកឃើញមេរោគមានតិចតួចណាស់។ ម៉្យាងវិញទៀត យុទ្ធនាការ RTM ប្រើប្រាស់កម្មវិធីស្មុគស្មាញ ដែលបង្ហាញថា ការវាយប្រហារមានគោលដៅខ្ពស់។

យើងបានរកឃើញឯកសារបញ្ឆោតជាច្រើនដែលប្រើដោយ RTM រួមទាំងកិច្ចសន្យាដែលមិនមានស្រាប់ វិក្កយបត្រ ឬឯកសារគណនេយ្យពន្ធ។ លក្ខណៈនៃការទាក់ទាញ រួមជាមួយនឹងប្រភេទនៃកម្មវិធីដែលកំណត់គោលដៅដោយការវាយប្រហារ បង្ហាញថាអ្នកវាយប្រហារកំពុង "ចូលទៅក្នុង" បណ្តាញរបស់ក្រុមហ៊ុនរុស្ស៊ីតាមរយៈនាយកដ្ឋានគណនេយ្យ។ ក្រុមនេះបានធ្វើសកម្មភាពតាមគ្រោងការណ៍ដូចគ្នា។ Buhtrap ក្នុងឆ្នាំ ១៩១៩-១៩២០

ក្នុងអំឡុងពេលនៃការស្រាវជ្រាវ យើងអាចធ្វើអន្តរកម្មជាមួយម៉ាស៊ីនមេ C&C ជាច្រើន។ យើងនឹងរាយបញ្ជីពាក្យបញ្ជាពេញលេញនៅក្នុងផ្នែកខាងក្រោម ប៉ុន្តែសម្រាប់ពេលនេះ យើងអាចនិយាយបានថាម៉ាស៊ីនភ្ញៀវផ្ទេរទិន្នន័យពី keylogger ដោយផ្ទាល់ទៅកាន់ម៉ាស៊ីនមេវាយប្រហារ ដែលពាក្យបញ្ជាបន្ថែមត្រូវបានទទួល។

ទោះជាយ៉ាងណាក៏ដោយ ថ្ងៃដែលអ្នកគ្រាន់តែអាចភ្ជាប់ទៅ command និង control server ហើយប្រមូលទិន្នន័យទាំងអស់ដែលអ្នកចាប់អារម្មណ៍បានបាត់ទៅហើយ។ យើងបានបង្កើតឯកសារកំណត់ហេតុជាក់ស្តែងឡើងវិញ ដើម្បីទទួលបានពាក្យបញ្ជាពាក់ព័ន្ធមួយចំនួនពីម៉ាស៊ីនមេ។

ទីមួយនៃពួកគេគឺជាការស្នើសុំទៅកាន់ bot ដើម្បីផ្ទេរឯកសារ 1c_to_kl.txt - ឯកសារដឹកជញ្ជូននៃកម្មវិធី 1C: Enterprise 8 ដែលរូបរាងត្រូវបានត្រួតពិនិត្យយ៉ាងសកម្មដោយ RTM ។ 1C ធ្វើអន្តរកម្មជាមួយប្រព័ន្ធធនាគារពីចម្ងាយដោយការបង្ហោះទិន្នន័យលើការបង់ប្រាក់ចេញទៅកាន់ឯកសារអត្ថបទ។ បន្ទាប់មកឯកសារត្រូវបានបញ្ជូនទៅប្រព័ន្ធធនាគារពីចម្ងាយសម្រាប់ស្វ័យប្រវត្តិកម្ម និងការប្រតិបត្តិនៃការបញ្ជាទិញការទូទាត់។

ឯកសារមានព័ត៌មានលម្អិតអំពីការទូទាត់។ ប្រសិនបើអ្នកវាយប្រហារផ្លាស់ប្តូរព័ត៌មានអំពីការបង់ប្រាក់ចេញ ការផ្ទេរនឹងត្រូវបានផ្ញើដោយប្រើព័ត៌មានលម្អិតមិនពិតទៅកាន់គណនីរបស់អ្នកវាយប្រហារ។

ប្រហែលមួយខែបន្ទាប់ពីការស្នើសុំឯកសារទាំងនេះពីម៉ាស៊ីនមេបញ្ជា និងគ្រប់គ្រង យើងបានសង្កេតឃើញកម្មវិធីជំនួយថ្មី 1c_2_kl.dll កំពុងត្រូវបានផ្ទុកនៅលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។ ម៉ូឌុល (DLL) ត្រូវបានរចនាឡើងដើម្បីវិភាគឯកសារទាញយកដោយស្វ័យប្រវត្តិដោយការជ្រៀតចូលដំណើរការកម្មវិធីគណនេយ្យ។ យើងនឹងពណ៌នាលម្អិតនៅក្នុងផ្នែកខាងក្រោម។

គួរឱ្យចាប់អារម្មណ៍ FinCERT នៃធនាគារនៃប្រទេសរុស្ស៊ីនៅចុងឆ្នាំ 2016 បានចេញព្រឹត្តិបត្រព្រមានអំពីឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតដោយប្រើឯកសារផ្ទុកឡើង 1c_to_kl.txt ។ អ្នកអភិវឌ្ឍន៍មកពី 1C ក៏ដឹងអំពីគ្រោងការណ៍នេះដែរ ពួកគេបានធ្វើសេចក្តីថ្លែងការណ៍ផ្លូវការរួចហើយ និងរាយបញ្ជីការប្រុងប្រយ័ត្ន។

ម៉ូឌុលផ្សេងទៀតក៏ត្រូវបានផ្ទុកពីម៉ាស៊ីនមេបញ្ជាផងដែរ ជាពិសេស VNC (កំណែ 32 និង 64 ប៊ីតរបស់វា)។ វាប្រហាក់ប្រហែលនឹងម៉ូឌុល VNC ដែលត្រូវបានប្រើពីមុននៅក្នុងការវាយប្រហាររបស់ Dridex Trojan ។ ម៉ូឌុលនេះត្រូវបានគេសន្មត់ថាប្រើដើម្បីភ្ជាប់ពីចម្ងាយទៅកុំព្យូទ័រដែលមានមេរោគ និងធ្វើការសិក្សាលម្អិតអំពីប្រព័ន្ធ។ បន្ទាប់មក អ្នកវាយប្រហារព្យាយាមផ្លាស់ទីជុំវិញបណ្តាញ ទាញយកពាក្យសម្ងាត់អ្នកប្រើប្រាស់ ប្រមូលព័ត៌មាន និងធានាឱ្យមានវត្តមានជានិច្ចនៃមេរោគ។

2. វ៉ិចទ័រនៃការឆ្លងមេរោគ

តួលេខខាងក្រោមបង្ហាញពីវ៉ិចទ័រឆ្លងដែលបានរកឃើញក្នុងអំឡុងពេលសិក្សានៃយុទ្ធនាការ។ ក្រុមនេះប្រើវ៉ិចទ័រជាច្រើន ប៉ុន្តែភាគច្រើនជំរុញដោយការវាយប្រហារដោយការទាញយក និងសារឥតបានការ។ ឧបករណ៍ទាំងនេះងាយស្រួលសម្រាប់ការវាយប្រហារតាមគោលដៅ ដោយហេតុថាក្នុងករណីទីមួយ អ្នកវាយប្រហារអាចជ្រើសរើសគេហទំព័រដែលបានចូលមើលដោយជនរងគ្រោះដែលមានសក្តានុពល ហើយទីពីរ ពួកគេអាចផ្ញើអ៊ីមែលជាមួយនឹងឯកសារភ្ជាប់ដោយផ្ទាល់ទៅកាន់បុគ្គលិកក្រុមហ៊ុនដែលចង់បាន។

មេរោគនេះត្រូវបានចែកចាយតាមរយៈបណ្តាញជាច្រើន រួមទាំងឧបករណ៍កេងប្រវ័ញ្ច RIG និង Sundown ឬការផ្ញើសារឥតបានការ ដែលបង្ហាញពីការតភ្ជាប់រវាងអ្នកវាយប្រហារ និងអ្នកវាយប្រហារតាមអ៊ីនធឺណិតផ្សេងទៀតដែលផ្តល់សេវាកម្មទាំងនេះ។

២.១. តើ RTM និង Buhtrap ទាក់ទងគ្នាយ៉ាងដូចម្តេច?

យុទ្ធនាការ RTM គឺស្រដៀងទៅនឹង Buhtrap ។ សំណួរធម្មជាតិគឺ៖ តើពួកគេទាក់ទងគ្នាយ៉ាងដូចម្តេច?

នៅខែកញ្ញា ឆ្នាំ 2016 យើងសង្កេតឃើញគំរូ RTM ត្រូវបានចែកចាយដោយប្រើកម្មវិធីអាប់ឡូត Buhtrap ។ លើសពីនេះ យើងបានរកឃើញវិញ្ញាបនបត្រឌីជីថលពីរដែលប្រើទាំង Buhtrap និង RTM។

ទីមួយដែលត្រូវបានចោទប្រកាន់ថាបានចេញឱ្យក្រុមហ៊ុន DNISTER-M ត្រូវបានប្រើដើម្បីចុះហត្ថលេខាលើទម្រង់ឌីជីថល Delphi ទីពីរ (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) និង Buhtrap DLL (SHA-1: 1E2642CC454A) ៨៩០)។

ទីពីរដែលបានចេញឱ្យ Bit-Tredj ត្រូវបានប្រើដើម្បីចុះហត្ថលេខាលើឧបករណ៍ផ្ទុក Buhtrap (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 និង B74F71560E48488D2153AE2FB51207A0AC206) ព្រមទាំងសមាសភាគនៃការទាញយកផងដែរ។

ប្រតិបត្តិករ RTM ប្រើវិញ្ញាបនបត្រដែលជារឿងធម្មតាសម្រាប់គ្រួសារមេរោគផ្សេងទៀត ប៉ុន្តែពួកគេក៏មានវិញ្ញាបនបត្រតែមួយគត់ផងដែរ។ យោងតាម ​​ESET telemetry វាត្រូវបានចេញឱ្យ Kit-SD ហើយត្រូវបានប្រើដើម្បីចុះហត្ថលេខាលើមេរោគ RTM មួយចំនួនប៉ុណ្ណោះ (SHA-1:42A4B04446A20993DDAE98B2BE6D5A797376D4B6)។

RTM ប្រើឧបករណ៍ផ្ទុកដូចគ្នានឹង Buhtrap សមាសធាតុ RTM ត្រូវបានផ្ទុកពីហេដ្ឋារចនាសម្ព័ន្ធ Buhtrap ដូច្នេះក្រុមមានសូចនាករបណ្តាញស្រដៀងគ្នា។ ទោះជាយ៉ាងណាក៏ដោយ យោងទៅតាមការប៉ាន់ស្មានរបស់យើង RTM និង Buhtrap គឺជាក្រុមផ្សេងគ្នា យ៉ាងហោចណាស់ដោយសារតែ RTM ត្រូវបានចែកចាយតាមវិធីផ្សេងៗគ្នា (មិនត្រឹមតែប្រើកម្មវិធីទាញយក "បរទេស" ប៉ុណ្ណោះទេ)។

ទោះបីជាយ៉ាងនេះក៏ដោយ ក្រុមហេគឃ័រប្រើប្រាស់គោលការណ៍ប្រតិបត្តិការស្រដៀងគ្នា។ ពួកគេកំណត់គោលដៅអាជីវកម្មដោយប្រើប្រាស់កម្មវិធីគណនេយ្យ ស្រដៀងគ្នានឹងការប្រមូលព័ត៌មានប្រព័ន្ធ ស្វែងរកកម្មវិធីអានកាតឆ្លាតវៃ និងដាក់ពង្រាយឧបករណ៍ព្យាបាទដើម្បីឈ្លបយកការណ៍លើជនរងគ្រោះ។

3. ការវិវត្តន៍

នៅក្នុងផ្នែកនេះ យើងនឹងពិនិត្យមើលកំណែផ្សេងគ្នានៃមេរោគដែលបានរកឃើញក្នុងអំឡុងពេលសិក្សា។

៣.១. កំណែ

RTM រក្សាទុកទិន្នន័យកំណត់រចនាសម្ព័ន្ធនៅក្នុងផ្នែកចុះបញ្ជីដែលជាផ្នែកគួរឱ្យចាប់អារម្មណ៍បំផុតគឺបុព្វបទ botnet ។ បញ្ជីនៃតម្លៃទាំងអស់ដែលយើងបានឃើញនៅក្នុងគំរូដែលយើងបានសិក្សាត្រូវបានបង្ហាញនៅក្នុងតារាងខាងក្រោម។

វាអាចទៅរួចដែលតម្លៃអាចត្រូវបានប្រើដើម្បីកត់ត្រាកំណែមេរោគ។ ទោះយ៉ាងណាក៏ដោយ យើងមិនបានកត់សំគាល់ភាពខុសគ្នាច្រើនរវាងកំណែដូចជា bit2 និង bit3, 0.1.6.4 និង 0.1.6.6 ទេ។ លើសពីនេះទៅទៀត បុព្វបទមួយក្នុងចំណោមបុព្វបទមានតាំងពីដើមមក ហើយបានវិវត្តន៍ពីដែន C&C ធម្មតាទៅជាដែន .bit ដូចដែលនឹងត្រូវបានបង្ហាញខាងក្រោម។

៣.២. កាលវិភាគ

ដោយប្រើទិន្នន័យ telemetry យើងបានបង្កើតក្រាហ្វនៃការកើតឡើងនៃគំរូ។

4. ការវិភាគបច្ចេកទេស

នៅក្នុងផ្នែកនេះ យើងនឹងរៀបរាប់អំពីមុខងារចម្បងរបស់ RTM banking Trojan រួមទាំងយន្តការធន់ទ្រាំ កំណែផ្ទាល់ខ្លួនរបស់វានៃ RC4 algorithm ពិធីការបណ្តាញ មុខងារចារកម្ម និងលក្ខណៈពិសេសមួយចំនួនទៀត។ ជាពិសេស យើងនឹងផ្តោតលើគំរូ SHA-1 AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 និង 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B។

៤.១. ការដំឡើងនិងការសន្សំ

៤.១.១. ការអនុវត្ត

ស្នូល RTM គឺជា DLL បណ្ណាល័យត្រូវបានផ្ទុកនៅលើថាសដោយប្រើ .EXE ។ ឯកសារដែលអាចប្រតិបត្តិបានជាធម្មតាត្រូវបានខ្ចប់ និងមានលេខកូដ DLL ។ នៅពេលបើកដំណើរការវាទាញយក DLL ហើយដំណើរការវាដោយប្រើពាក្យបញ្ជាដូចខាងក្រោម:

rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host

៤.១.២. DLL

DLL ចម្បងតែងតែត្រូវបានផ្ទុកទៅថាសជា winlogon.lnk នៅក្នុងថត %PROGRAMDATA% Winlogon ។ ផ្នែកបន្ថែមឯកសារនេះជាធម្មតាត្រូវបានភ្ជាប់ជាមួយផ្លូវកាត់ ប៉ុន្តែឯកសារនេះពិតជា DLL ដែលត្រូវបានសរសេរនៅក្នុង Delphi ដែលមានឈ្មោះថា core.dll ដោយអ្នកអភិវឌ្ឍន៍ ដូចបង្ហាញក្នុងរូបភាពខាងក្រោម។

Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361

នៅពេលដែលបានបើកដំណើរការ Trojan ធ្វើឱ្យយន្តការតស៊ូរបស់វា។ នេះអាចត្រូវបានធ្វើនៅក្នុងវិធីពីរផ្សេងគ្នាអាស្រ័យលើសិទ្ធិរបស់ជនរងគ្រោះនៅក្នុងប្រព័ន្ធ។ ប្រសិនបើអ្នកមានសិទ្ធិអ្នកគ្រប់គ្រង Trojan បន្ថែមធាតុ Windows Update ទៅបញ្ជីឈ្មោះ HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun ។ ពាក្យបញ្ជាដែលមាននៅក្នុង Windows Update នឹងដំណើរការនៅពេលចាប់ផ្តើមវគ្គរបស់អ្នកប្រើប្រាស់។

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host

Trojan ក៏ព្យាយាមបន្ថែមភារកិច្ចទៅ Windows Task Scheduler ផងដែរ។ ភារកិច្ចនឹងបើកដំណើរការ winlogon.lnk DLL ដែលមានប៉ារ៉ាម៉ែត្រដូចគ្នាដូចខាងលើ។ សិទ្ធិអ្នកប្រើប្រាស់ធម្មតាអនុញ្ញាតឱ្យ Trojan បន្ថែមធាតុ Windows Update ជាមួយនឹងទិន្នន័យដូចគ្នាទៅបញ្ជីឈ្មោះ HKCUSoftwareMicrosoftWindowsCurrentVersionRun៖

rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host

៤.២. ក្បួនដោះស្រាយ RC4.2 ដែលបានកែប្រែ

ទោះបីជាមានការខ្វះខាតដែលគេស្គាល់ក៏ដោយ ក៏ក្បួនដោះស្រាយ RC4 ត្រូវបានប្រើជាទៀងទាត់ដោយអ្នកនិពន្ធមេរោគ។ ទោះជាយ៉ាងណាក៏ដោយអ្នកបង្កើត RTM បានកែប្រែវាបន្តិច ប្រហែលជាធ្វើឱ្យកិច្ចការរបស់អ្នកវិភាគមេរោគកាន់តែពិបាក។ កំណែដែលបានកែប្រែនៃ RC4 ត្រូវបានគេប្រើយ៉ាងទូលំទូលាយនៅក្នុងឧបករណ៍ RTM ដែលមានគំនិតអាក្រក់ដើម្បីអ៊ិនគ្រីបខ្សែអក្សរ ទិន្នន័យបណ្តាញ ការកំណត់រចនាសម្ព័ន្ធ និងម៉ូឌុល។

៤.២.១. ភាពខុសគ្នា

ក្បួនដោះស្រាយ RC4 ដើមមានពីរដំណាក់កាល៖ ការចាប់ផ្តើមប្លុក s (aka KSA - Key-Scheduling Algorithm) និងការបង្កើតលំដាប់ចៃដន្យ (PRGA - Pseudo-Random Generation Algorithm) ។ ដំណាក់កាលទីមួយពាក់ព័ន្ធនឹងការចាប់ផ្តើមប្រអប់ s-box ដោយប្រើសោ ហើយនៅដំណាក់កាលទីពីរ អត្ថបទប្រភពត្រូវបានដំណើរការដោយប្រើ s-box សម្រាប់ការអ៊ិនគ្រីប។

អ្នកនិពន្ធ RTM បានបន្ថែមជំហានកម្រិតមធ្យមរវាងការចាប់ផ្តើម s-box និងការអ៊ិនគ្រីប។ សោបន្ថែមគឺអថេរ ហើយត្រូវបានកំណត់ក្នុងពេលតែមួយជាមួយនឹងទិន្នន័យដែលត្រូវអ៊ិនគ្រីប និងឌិគ្រីប។ មុខងារដែលអនុវត្តជំហានបន្ថែមនេះត្រូវបានបង្ហាញក្នុងរូបភាពខាងក្រោម។

៤.២.២. ការអ៊ិនគ្រីបខ្សែអក្សរ

នៅ glance ដំបូង, មានបន្ទាត់ដែលអាចអានបានជាច្រើននៅក្នុង DLL ចម្បង។ នៅសល់ត្រូវបានអ៊ិនគ្រីបដោយប្រើក្បួនដោះស្រាយដែលបានពិពណ៌នាខាងលើ រចនាសម្ព័ន្ធដែលត្រូវបានបង្ហាញក្នុងរូបភាពខាងក្រោម។ យើងបានរកឃើញកូនសោ RC25 ច្រើនជាង 4 ផ្សេងគ្នាសម្រាប់ការអ៊ិនគ្រីបខ្សែអក្សរនៅក្នុងគំរូដែលបានវិភាគ។ គ្រាប់ចុច XOR គឺខុសគ្នាសម្រាប់ជួរនីមួយៗ។ តម្លៃនៃបន្ទាត់បំបែកនៃវាលលេខគឺតែងតែ 0xFFFFFFFF ។

នៅពេលចាប់ផ្តើមនៃការប្រតិបត្តិ RTM ឌិគ្រីបខ្សែអក្សរទៅជាអថេរសកល។ នៅពេលចាំបាច់ដើម្បីចូលប្រើខ្សែអក្សរ Trojan គណនាអាសយដ្ឋាននៃខ្សែអក្សរដែលបានឌិគ្រីបដោយថាមវន្តដោយផ្អែកលើអាសយដ្ឋានមូលដ្ឋាន និងអុហ្វសិត។

ខ្សែអក្សរមានព័ត៌មានគួរឱ្យចាប់អារម្មណ៍អំពីមុខងាររបស់មេរោគ។ ខ្សែអក្សរឧទាហរណ៍មួយចំនួនត្រូវបានផ្តល់ជូននៅក្នុងផ្នែក 6.8 ។

4.3. បណ្តាញ

វិធីដែលមេរោគ RTM ទាក់ទងទៅម៉ាស៊ីនមេ C&C ប្រែប្រួលពីកំណែមួយទៅកំណែមួយ។ ការកែប្រែដំបូង (ខែតុលា 2015 ដល់ខែមេសា 2016) បានប្រើឈ្មោះដែនប្រពៃណី រួមជាមួយនឹងព័ត៌មាន RSS នៅលើ livejournal.com ដើម្បីធ្វើបច្ចុប្បន្នភាពបញ្ជីពាក្យបញ្ជា។

ចាប់តាំងពីខែមេសា ឆ្នាំ 2016 យើងបានឃើញការផ្លាស់ប្តូរទៅដែន .bit នៅក្នុងទិន្នន័យ telemetry ។ នេះត្រូវបានបញ្ជាក់ដោយកាលបរិច្ឆេទចុះឈ្មោះដែន - ដែន RTM ដំបូង fde05d0573da.bit ត្រូវបានចុះឈ្មោះនៅថ្ងៃទី 13 ខែមីនា ឆ្នាំ 2016 ។

URLs ទាំងអស់ដែលយើងបានឃើញនៅពេលត្រួតពិនិត្យយុទ្ធនាការមានផ្លូវទូទៅមួយ: /r/z.php ។ វាពិតជាមិនធម្មតា ហើយវានឹងជួយកំណត់អត្តសញ្ញាណសំណើ RTM នៅក្នុងលំហូរបណ្តាញ។

៤.៣.១. ឆានែលសម្រាប់បញ្ជានិងការគ្រប់គ្រង

ឧទាហរណ៍ចាស់ៗបានប្រើឆានែលនេះដើម្បីធ្វើបច្ចុប្បន្នភាពបញ្ជីនៃពាក្យបញ្ជា និងម៉ាស៊ីនមេគ្រប់គ្រងរបស់ពួកគេ។ ការបង្ហោះមានទីតាំងនៅ livejournal.com នៅពេលសរសេររបាយការណ៍ វានៅតែស្ថិតនៅ URL hxxp://f72bba81c921..livejournal..com/ data/rss ។

Livejournal គឺជាក្រុមហ៊ុនអាមេរិកដើមកំណើតរុស្ស៊ី ដែលផ្តល់វេទិកាសរសេរប្លុក។ ប្រតិបត្តិករ RTM បង្កើតប្លក់ LJ ដែលពួកគេប្រកាសអត្ថបទជាមួយពាក្យបញ្ជាដែលបានសរសេរកូដ - មើលរូបថតអេក្រង់។

បន្ទាត់ពាក្យបញ្ជា និងបញ្ជាត្រូវបានអ៊ិនកូដដោយប្រើក្បួនដោះស្រាយ RC4 ដែលបានកែប្រែ (ផ្នែក 4.2) ។ កំណែបច្ចុប្បន្ន (ខែ វិច្ឆិកា ឆ្នាំ 2016) នៃឆានែលមានពាក្យបញ្ជា និងគ្រប់គ្រងអាសយដ្ឋានម៉ាស៊ីនមេខាងក្រោម៖

• hxxp://cainmoon.)net/r/z.php
• hxxp://rtm..dev/0-3/z.php
• hxxp://vpntap.)top/r/z.php

៤.៣.២. ដែន .bit

នៅក្នុងគំរូ RTM ថ្មីៗបំផុត អ្នកនិពន្ធភ្ជាប់ទៅដែន C&C ដោយប្រើដែនកម្រិតកំពូល .bit TLD ។ វាមិនមាននៅក្នុង ICANN (ឈ្មោះដែន និងសាជីវកម្មអ៊ិនធឺណិត) បញ្ជីនៃដែនកម្រិតកំពូលនោះទេ។ ផ្ទុយទៅវិញ វាប្រើប្រព័ន្ធ Namecoin ដែលត្រូវបានបង្កើតឡើងនៅលើកំពូលនៃបច្ចេកវិទ្យា Bitcoin ។ ជារឿយៗអ្នកនិពន្ធមេរោគមិនប្រើ .bit TLD សម្រាប់ដែនរបស់ពួកគេទេ ទោះបីជាឧទាហរណ៍នៃការប្រើប្រាស់បែបនេះត្រូវបានគេសង្កេតឃើញពីមុននៅក្នុងកំណែនៃ Necurs botnet ក៏ដោយ។

មិនដូច Bitcoin អ្នកប្រើប្រាស់នៃមូលដ្ឋានទិន្នន័យ Namecoin ដែលបានចែកចាយមានសមត្ថភាពក្នុងការរក្សាទុកទិន្នន័យ។ កម្មវិធីសំខាន់នៃលក្ខណៈពិសេសនេះគឺ .bit ដែនកម្រិតកំពូល។ អ្នកអាចចុះឈ្មោះដែនដែលនឹងត្រូវបានរក្សាទុកក្នុងមូលដ្ឋានទិន្នន័យដែលបានចែកចាយ។ ធាតុដែលត្រូវគ្នានៅក្នុងមូលដ្ឋានទិន្នន័យមានអាសយដ្ឋាន IP ដែលដោះស្រាយដោយដែន។ TLD នេះគឺ "ធន់នឹងការចាប់ពិរុទ្ធ" ពីព្រោះមានតែអ្នកចុះឈ្មោះប៉ុណ្ណោះដែលអាចផ្លាស់ប្តូរគុណភាពបង្ហាញនៃដែន .bit ។ នេះមានន័យថាវាពិបាកជាងក្នុងការបញ្ឈប់ដែនព្យាបាទដោយប្រើប្រភេទ TLD នេះ។

RTM Trojan មិនបង្កប់កម្មវិធីដែលចាំបាច់ដើម្បីអានមូលដ្ឋានទិន្នន័យ Namecoin ដែលបានចែកចាយនោះទេ។ វាប្រើម៉ាស៊ីនមេ DNS កណ្តាលដូចជា dns.dot-bit.org ឬម៉ាស៊ីនមេ OpenNic ដើម្បីដោះស្រាយដែន .bit ។ ដូច្នេះវាមានភាពធន់ដូចគ្នាទៅនឹងម៉ាស៊ីនមេ DNS ។ យើងសង្កេតឃើញថា ដែនក្រុមមួយចំនួនមិនត្រូវបានរកឃើញទៀតទេ បន្ទាប់ពីត្រូវបានលើកឡើងនៅក្នុងការបង្ហោះប្លុក។

អត្ថប្រយោជន៍មួយទៀតនៃ .bit TLD សម្រាប់ពួក Hacker គឺការចំណាយ។ ដើម្បីចុះឈ្មោះដែន ប្រតិបត្តិករត្រូវបង់ប្រាក់ត្រឹមតែ 0,01 NK ដែលត្រូវនឹង $0,00185 (គិតត្រឹមថ្ងៃទី 5 ខែធ្នូ ឆ្នាំ 2016)។ សម្រាប់ការប្រៀបធៀប domain.com មានតម្លៃយ៉ាងហោចណាស់ 10 ដុល្លារ។

៤.៣.៣. ពិធីការ

ដើម្បីទាក់ទងជាមួយពាក្យបញ្ជា និងម៉ាស៊ីនមេគ្រប់គ្រង RTM ប្រើសំណើ HTTP POST ជាមួយនឹងទិន្នន័យដែលបានធ្វើទ្រង់ទ្រាយដោយប្រើពិធីការផ្ទាល់ខ្លួន។ តម្លៃផ្លូវគឺតែងតែ /r/z.php; ភ្នាក់ងារអ្នកប្រើប្រាស់ Mozilla/5.0 (ត្រូវគ្នា; MSIE 9.0; Windows NT 6.1; Trident/5.0) ។ នៅក្នុងសំណើទៅកាន់ម៉ាស៊ីនមេ ទិន្នន័យត្រូវបានធ្វើទ្រង់ទ្រាយដូចខាងក្រោម ដែលតម្លៃអុហ្វសិតត្រូវបានបង្ហាញជាបៃ៖

បៃ 0 ទៅ 6 មិនត្រូវបានអ៊ិនកូដ; បៃដែលចាប់ផ្តើមពី 6 ត្រូវបានអ៊ិនកូដដោយប្រើក្បួនដោះស្រាយ RC4 ដែលបានកែប្រែ។ រចនាសម្ព័ន្ធនៃកញ្ចប់ឆ្លើយតប C&C គឺសាមញ្ញជាង។ បៃត្រូវបានអ៊ិនកូដពី 4 ទៅទំហំកញ្ចប់។

បញ្ជីនៃតម្លៃបៃសកម្មភាពដែលអាចធ្វើបានត្រូវបានបង្ហាញក្នុងតារាងខាងក្រោម៖

មេរោគតែងតែគណនា CRC32 នៃទិន្នន័យដែលបានឌិគ្រីប ហើយប្រៀបធៀបវាជាមួយនឹងអ្វីដែលមាននៅក្នុងកញ្ចប់ព័ត៌មាន។ ប្រសិនបើពួកវាខុសគ្នា Trojan ទម្លាក់កញ្ចប់ព័ត៌មាន។
ទិន្នន័យបន្ថែមអាចមានវត្ថុផ្សេងៗ រួមទាំងឯកសារ PE ឯកសារដែលត្រូវស្វែងរកក្នុងប្រព័ន្ធឯកសារ ឬ URL ពាក្យបញ្ជាថ្មី។

៤.៣.៤. បន្ទះ

យើងកត់សំគាល់ថា RTM ប្រើបន្ទះនៅលើម៉ាស៊ីនមេ C&C ។ រូបថតអេក្រង់ខាងក្រោម៖

៤.៤. សញ្ញាលក្ខណៈ

RTM គឺជា Trojan ធនាគារធម្មតា។ វាមិនមែនជារឿងចម្លែកទេដែលប្រតិបត្តិករចង់បានព័ត៌មានអំពីប្រព័ន្ធរបស់ជនរងគ្រោះ។ នៅលើដៃមួយ bot ប្រមូលព័ត៌មានទូទៅអំពី OS ។ ម្យ៉ាងវិញទៀត វារកឃើញថាតើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួលមានគុណលក្ខណៈដែលទាក់ទងនឹងប្រព័ន្ធធនាគារពីចម្ងាយរបស់រុស្ស៊ីឬអត់។

4.4.1. ព័ត៌មានទូទៅ

នៅពេលដែលមេរោគត្រូវបានដំឡើង ឬបើកដំណើរការបន្ទាប់ពីការចាប់ផ្ដើមឡើងវិញ របាយការណ៍មួយត្រូវបានផ្ញើទៅកាន់ពាក្យបញ្ជា និងម៉ាស៊ីនមេគ្រប់គ្រងដែលមានព័ត៌មានទូទៅរួមមាន:

• ល្វែងម៉ោង;
• ភាសាប្រព័ន្ធលំនាំដើម;
• លិខិតសម្គាល់អ្នកប្រើប្រាស់ដែលបានអនុញ្ញាត;
• កម្រិតសុចរិតភាពនៃដំណើរការ;
• ឈ្មោះ​អ្នកប្រើប្រាស់;
• ឈ្មោះកុំព្យូទ័រ;
• កំណែប្រព័ន្ធប្រតិបត្តិការ;
• ម៉ូឌុលដែលបានដំឡើងបន្ថែម;
• កម្មវិធីកំចាត់មេរោគដែលបានដំឡើង;
• បញ្ជីអ្នកអានកាតឆ្លាតវៃ។

4.4.2 ប្រព័ន្ធធនាគារពីចម្ងាយ

គោលដៅ Trojan ធម្មតាគឺជាប្រព័ន្ធធនាគារពីចម្ងាយ ហើយ RTM គឺមិនមានករណីលើកលែងនោះទេ។ ម៉ូឌុលមួយនៃកម្មវិធីត្រូវបានគេហៅថា TBdo ដែលបំពេញការងារផ្សេងៗ រួមទាំងការស្កេនថាស និងប្រវត្តិរុករក។

តាមរយៈការស្កេនថាស Trojan ពិនិត្យមើលថាតើកម្មវិធីធនាគារត្រូវបានដំឡើងនៅលើម៉ាស៊ីនដែរឬទេ។ បញ្ជីពេញលេញនៃកម្មវិធីគោលដៅគឺនៅក្នុងតារាងខាងក្រោម។ ដោយបានរកឃើញឯកសារដែលចាប់អារម្មណ៍ កម្មវិធីបញ្ជូនព័ត៌មានទៅកាន់ម៉ាស៊ីនមេបញ្ជា។ សកម្មភាពបន្ទាប់អាស្រ័យលើតក្កវិជ្ជាដែលបានបញ្ជាក់ដោយក្បួនដោះស្រាយមជ្ឈមណ្ឌលបញ្ជា (C&C) ។

RTM ក៏រកមើលគំរូ URL នៅក្នុងប្រវត្តិកម្មវិធីរុករករបស់អ្នក និងផ្ទាំងបើក។ លើសពីនេះទៀត កម្មវិធីពិនិត្យមើលការប្រើប្រាស់មុខងារ FindNextUrlCacheEntryA និង FindFirstUrlCacheEntryA ហើយក៏ពិនិត្យមើលធាតុនីមួយៗដើម្បីផ្គូផ្គង URL ទៅនឹងគំរូមួយក្នុងចំណោមគំរូខាងក្រោម៖

ដោយបានរកឃើញផ្ទាំងបើក Trojan ទាក់ទង Internet Explorer ឬ Firefox តាមរយៈយន្តការ Dynamic Data Exchange (DDE) ដើម្បីពិនិត្យមើលថាតើផ្ទាំងត្រូវគ្នានឹងលំនាំដែរឬទេ។

ការពិនិត្យមើលប្រវត្តិរុករករបស់អ្នក និងផ្ទាំងដែលបើកត្រូវបានអនុវត្តនៅក្នុងរង្វិលជុំ WHILE (រង្វិលជុំដែលមានលក្ខខណ្ឌជាមុន) ជាមួយនឹងការសម្រាក 1 វិនាទីរវាងការត្រួតពិនិត្យ។ ទិន្នន័យផ្សេងទៀតដែលត្រូវបានត្រួតពិនិត្យក្នុងពេលវេលាជាក់ស្តែងនឹងត្រូវបានពិភាក្សានៅក្នុងផ្នែក 4.5 ។

ប្រសិនបើលំនាំត្រូវបានរកឃើញ កម្មវិធីរាយការណ៍វាទៅម៉ាស៊ីនមេដោយប្រើបញ្ជីខ្សែអក្សរពីតារាងខាងក្រោម៖

4.5 ការត្រួតពិនិត្យ

ខណៈពេលដែល Trojan កំពុងដំណើរការ ព័ត៌មានអំពីលក្ខណៈលក្ខណៈនៃប្រព័ន្ធមេរោគ (រួមទាំងព័ត៌មានអំពីវត្តមានរបស់កម្មវិធីធនាគារ) ត្រូវបានផ្ញើទៅកាន់ម៉ាស៊ីនមេ និងបញ្ជា។ ស្នាមម្រាមដៃកើតឡើងនៅពេលដែល RTM ដំណើរការប្រព័ន្ធត្រួតពិនិត្យដំបូងភ្លាមៗបន្ទាប់ពីការស្កេនប្រព័ន្ធប្រតិបត្តិការដំបូង។

៤.៥.១. ធនាគារពីចម្ងាយ

ម៉ូឌុល TBdo ក៏ទទួលខុសត្រូវក្នុងការត្រួតពិនិត្យដំណើរការដែលទាក់ទងនឹងធនាគារផងដែរ។ វាប្រើការផ្លាស់ប្តូរទិន្នន័យថាមវន្តដើម្បីពិនិត្យមើលផ្ទាំងនៅក្នុង Firefox និង Internet Explorer កំឡុងពេលស្កេនដំបូង។ ម៉ូឌុល TShell មួយផ្សេងទៀតត្រូវបានប្រើដើម្បីត្រួតពិនិត្យបង្អួចពាក្យបញ្ជា (Internet Explorer ឬ File Explorer) ។

ម៉ូឌុលប្រើចំណុចប្រទាក់ COM IShellWindows, iWebBrowser, DWebBrowserEvents2 និង IConnectionPointContainer ដើម្បីត្រួតពិនិត្យបង្អួច។ នៅពេលដែលអ្នកប្រើប្រាស់រុករកទៅកាន់ទំព័របណ្តាញថ្មី មេរោគនឹងកត់សម្គាល់រឿងនេះ។ បន្ទាប់មកវាប្រៀបធៀប URL ទំព័រជាមួយនឹងលំនាំខាងលើ។ ដោយបានរកឃើញការផ្គូផ្គង Trojan ថតអេក្រង់ចំនួនប្រាំមួយជាប់គ្នាជាមួយនឹងចន្លោះពេល 5 វិនាទី ហើយបញ្ជូនវាទៅម៉ាស៊ីនមេបញ្ជា C&S ។ កម្មវិធីនេះក៏ពិនិត្យមើលឈ្មោះបង្អួចមួយចំនួនដែលទាក់ទងនឹងកម្មវិធីធនាគារផងដែរ - បញ្ជីពេញលេញមានដូចខាងក្រោម៖

៤.៥.២. កាត​ឆ្លាតវៃ

RTM អនុញ្ញាតឱ្យអ្នកត្រួតពិនិត្យកម្មវិធីអានកាតឆ្លាតវៃដែលភ្ជាប់ទៅកុំព្យូទ័រដែលមានមេរោគ។ ឧបករណ៍ទាំងនេះត្រូវបានប្រើប្រាស់នៅក្នុងប្រទេសមួយចំនួនដើម្បីផ្សះផ្សាការបញ្ជាទិញការទូទាត់។ ប្រសិនបើឧបករណ៍ប្រភេទនេះភ្ជាប់ជាមួយកុំព្យូទ័រ វាអាចបង្ហាញទៅកាន់ Trojan ថាម៉ាស៊ីនកំពុងត្រូវបានប្រើប្រាស់សម្រាប់ប្រតិបត្តិការធនាគារ។

មិនដូច Trojan ធនាគារផ្សេងទៀត RTM មិនអាចធ្វើអន្តរកម្មជាមួយកាតឆ្លាតវៃបែបនេះបានទេ។ ប្រហែលជាមុខងារនេះត្រូវបានរួមបញ្ចូលនៅក្នុងម៉ូឌុលបន្ថែមដែលយើងមិនបានឃើញនៅឡើយ។

៤.៥.៣. កូនសោ

ផ្នែកសំខាន់មួយនៃការត្រួតពិនិត្យកុំព្យូទ័រដែលមានមេរោគគឺការចាប់យកការចុចគ្រាប់ចុច។ វាហាក់បីដូចជាអ្នកអភិវឌ្ឍន៍ RTM មិនបាត់ព័ត៌មានណាមួយឡើយ ដោយសារពួកគេត្រួតពិនិត្យមិនត្រឹមតែគ្រាប់ចុចធម្មតាប៉ុណ្ណោះទេ ប៉ុន្តែក៏មានក្តារចុចនិម្មិត និងក្ដារតម្បៀតខ្ទាស់ផងដែរ។

ដើម្បីធ្វើដូចនេះសូមប្រើមុខងារ SetWindowsHookExA ។ អ្នកវាយប្រហារកត់ត្រាគ្រាប់ចុចដែលបានចុច ឬគ្រាប់ចុចដែលត្រូវគ្នានឹងក្តារចុចនិម្មិត រួមជាមួយនឹងឈ្មោះ និងកាលបរិច្ឆេទនៃកម្មវិធី។ បន្ទាប់មកសតិបណ្ដោះអាសន្នត្រូវបានបញ្ជូនទៅម៉ាស៊ីនមេបញ្ជា C&C ។

មុខងារ SetClipboardViewer ត្រូវបានប្រើដើម្បីស្កាត់ក្ដារតម្បៀតខ្ទាស់។ ពួក Hacker កត់ត្រាមាតិកានៃក្តារតម្បៀតខ្ទាស់ នៅពេលដែលទិន្នន័យជាអត្ថបទ។ ឈ្មោះ និងកាលបរិច្ឆេទក៏ត្រូវបានកត់ត្រាផងដែរ មុនពេលសតិបណ្ដោះអាសន្នត្រូវបានផ្ញើទៅកាន់ម៉ាស៊ីនមេ។

៤.៥.៤. រូបថតអេក្រង់

មុខងារ RTM មួយទៀតគឺការស្ទាក់ចាប់រូបថតអេក្រង់។ មុខងារនេះត្រូវបានអនុវត្តនៅពេលដែលម៉ូឌុលត្រួតពិនិត្យបង្អួចរកឃើញគេហទំព័រ ឬកម្មវិធីធនាគារដែលចាប់អារម្មណ៍។ រូបថតអេក្រង់ត្រូវបានថតដោយប្រើបណ្ណាល័យរូបភាពក្រាហ្វិក ហើយផ្ទេរទៅម៉ាស៊ីនមេបញ្ជា។

៤.៦. ការលុបការដំឡើង

ម៉ាស៊ីនមេ C&C អាចបញ្ឈប់មេរោគពីការដំណើរការ និងសម្អាតកុំព្យូទ័ររបស់អ្នក។ ពាក្យ​បញ្ជា​អនុញ្ញាត​ឱ្យ​អ្នក​ជម្រះ​ឯកសារ និង​ធាតុ​បញ្ជី​ឈ្មោះ​ដែល​បាន​បង្កើត​ខណៈ​ពេល RTM កំពុង​ដំណើរការ។ បន្ទាប់មក DLL ត្រូវបានប្រើដើម្បីលុបមេរោគ និងឯកសារ winlogon បន្ទាប់មកពាក្យបញ្ជាបិទកុំព្យូទ័រ។ ដូចដែលបានបង្ហាញក្នុងរូបភាពខាងក្រោម DLL ត្រូវបានយកចេញដោយអ្នកអភិវឌ្ឍន៍ដោយប្រើ erase.dll ។

ម៉ាស៊ីនមេអាចផ្ញើ Trojan នូវពាក្យបញ្ជា uninstall-lock ដែលអាចបំផ្លាញបាន។ ក្នុងករណីនេះ ប្រសិនបើអ្នកមានសិទ្ធិជាអ្នកគ្រប់គ្រង RTM នឹងលុបផ្នែកចាប់ផ្ដើម MBR នៅលើថាសរឹង។ ប្រសិនបើវាបរាជ័យ Trojan នឹងព្យាយាមផ្លាស់ប្តូរផ្នែកចាប់ផ្ដើម MBR ទៅជាផ្នែកចៃដន្យ - បន្ទាប់មកកុំព្យូទ័រនឹងមិនអាចចាប់ផ្ដើមប្រព័ន្ធប្រតិបត្តិការបានបន្ទាប់ពីការបិទ។ នេះអាចនាំឱ្យមានការដំឡើងឡើងវិញពេញលេញនៃ OS ដែលមានន័យថាការបំផ្លាញភស្តុតាង។

បើគ្មានសិទ្ធិជាអ្នកគ្រប់គ្រងទេ មេរោគនឹងសរសេរកូដ .EXE ទៅក្នុង RTM DLL មូលដ្ឋាន។ កម្មវិធីដែលអាចប្រតិបត្តិបានដំណើរការកូដដែលត្រូវការដើម្បីបិទកុំព្យូទ័រ និងចុះឈ្មោះម៉ូឌុលនៅក្នុងសោចុះបញ្ជី HKCUCurrentVersionRun ។ រាល់ពេលដែលអ្នកប្រើប្រាស់ចាប់ផ្តើមវគ្គ កុំព្យូទ័រនឹងបិទភ្លាមៗ។

៤.៧. ឯកសារកំណត់រចនាសម្ព័ន្ធ

តាមលំនាំដើម RTM ស្ទើរតែគ្មានឯកសារកំណត់រចនាសម្ព័ន្ធ ប៉ុន្តែពាក្យបញ្ជា និងម៉ាស៊ីនមេបញ្ជាអាចផ្ញើតម្លៃកំណត់រចនាសម្ព័ន្ធដែលនឹងត្រូវបានរក្សាទុកក្នុងបញ្ជីឈ្មោះ និងប្រើប្រាស់ដោយកម្មវិធី។ បញ្ជីនៃគ្រាប់ចុចកំណត់រចនាសម្ព័ន្ធត្រូវបានបង្ហាញក្នុងតារាងខាងក្រោម៖

ការកំណត់រចនាសម្ព័ន្ធត្រូវបានរក្សាទុកនៅក្នុងសោចុះបញ្ជីកម្មវិធី [ខ្សែអក្សរចៃដន្យ] ។ តម្លៃនីមួយៗត្រូវគ្នាទៅនឹងជួរដេកមួយដែលបង្ហាញក្នុងតារាងមុន។ តម្លៃ និងទិន្នន័យត្រូវបានអ៊ិនកូដដោយប្រើក្បួនដោះស្រាយ RC4 ក្នុង RTM ។

ទិន្នន័យមានរចនាសម្ព័ន្ធដូចគ្នានឹងបណ្តាញ ឬខ្សែអក្សរ។ គ្រាប់ចុច XOR បួនបៃត្រូវបានបន្ថែមនៅដើមទិន្នន័យដែលបានអ៊ិនកូដ។ សម្រាប់តម្លៃកំណត់រចនាសម្ព័ន្ធ សោ XOR គឺខុសគ្នា និងអាស្រ័យលើទំហំនៃតម្លៃ។ វាអាចត្រូវបានគណនាដូចខាងក្រោមៈ

xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << ៨)

4.8. លក្ខណៈពិសេសផ្សេងទៀត។

បន្ទាប់ មកមើលមុខងារផ្សេងទៀតដែល RTM គាំទ្រ។

៤.៨.១. ម៉ូឌុលបន្ថែម

Trojan រួមបញ្ចូលម៉ូឌុលបន្ថែមដែលជាឯកសារ DLL ។ ម៉ូឌុលដែលបានផ្ញើពីម៉ាស៊ីនមេពាក្យបញ្ជា C&C អាចត្រូវបានប្រតិបត្តិជាកម្មវិធីខាងក្រៅ ឆ្លុះបញ្ចាំងនៅក្នុង RAM និងបើកដំណើរការនៅក្នុងខ្សែស្រឡាយថ្មី។ សម្រាប់ការផ្ទុក ម៉ូឌុលត្រូវបានរក្សាទុកក្នុងឯកសារ .dtt និងបានអ៊ិនកូដដោយប្រើក្បួនដោះស្រាយ RC4 ជាមួយនឹងសោដូចគ្នាដែលប្រើសម្រាប់ការទំនាក់ទំនងបណ្តាញ។

រហូតមកដល់ពេលនេះ យើងបានសង្កេតឃើញការដំឡើងម៉ូឌុល VNC (8966319882494077C21F66A8354E2CBCA0370464) ម៉ូឌុលទាញយកទិន្នន័យកម្មវិធីរុករកតាមអ៊ីនធឺណិត (03DE8622BE6B2F75A364A275995C3411626C4EF_9E) និងម៉ូឌុល FC1FBA2 B1BE562D1B69E6CFAB) ។

ដើម្បីផ្ទុកម៉ូឌុល VNC ម៉ាស៊ីនមេ C&C ចេញពាក្យបញ្ជាដែលស្នើសុំការតភ្ជាប់ទៅម៉ាស៊ីនមេ VNC នៅអាសយដ្ឋាន IP ជាក់លាក់មួយនៅលើច្រក 44443 ។ កម្មវិធីជំនួយទាញយកទិន្នន័យរបស់កម្មវិធីរុករកតាមអ៊ីនធឺណិតដំណើរការ TBrowserDataCollector ដែលអាចអានប្រវត្តិរុករក IE ។ បន្ទាប់មកវាផ្ញើបញ្ជីពេញលេញនៃ URLs ដែលបានចូលមើលទៅកាន់ម៉ាស៊ីនមេបញ្ជា C&C ។

ម៉ូឌុលចុងក្រោយដែលបានរកឃើញត្រូវបានគេហៅថា 1c_2_kl ។ វាអាចធ្វើអន្តរកម្មជាមួយកញ្ចប់កម្មវិធី 1C Enterprise ។ ម៉ូឌុលរួមបញ្ចូលពីរផ្នែក៖ ផ្នែកសំខាន់ - DLL និងភ្នាក់ងារពីរ (32 និង 64 ប៊ីត) ដែលនឹងត្រូវបានចាក់ចូលទៅក្នុងដំណើរការនីមួយៗ ដោយចុះឈ្មោះការចងភ្ជាប់ជាមួយ WH_CBT ។ ដោយត្រូវបានបញ្ចូលទៅក្នុងដំណើរការ 1C ម៉ូឌុលភ្ជាប់មុខងារ CreateFile និង WriteFile ។ នៅពេលណាដែលមុខងារបង្កើតឯកសារចងត្រូវបានហៅ ម៉ូឌុលរក្សាទុកផ្លូវឯកសារ 1c_to_kl.txt ក្នុងអង្គចងចាំ។ បន្ទាប់ពីស្ទាក់ចាប់ការហៅ WriteFile វាហៅមុខងារ WriteFile ហើយផ្ញើផ្លូវឯកសារ 1c_to_kl.txt ទៅកាន់ម៉ូឌុល DLL ចម្បង ដោយឆ្លងកាត់សារដែលបង្កើតដោយ Windows WM_COPYDATA ។

ម៉ូឌុល DLL ចម្បងបើក និងញែកឯកសារដើម្បីកំណត់ការបញ្ជាទិញការទូទាត់។ វាទទួលស្គាល់ចំនួន និងលេខប្រតិបត្តិការដែលមាននៅក្នុងឯកសារ។ ព័ត៌មាននេះត្រូវបានផ្ញើទៅម៉ាស៊ីនមេបញ្ជា។ យើងជឿថាបច្ចុប្បន្នម៉ូឌុលនេះកំពុងស្ថិតក្រោមការអភិវឌ្ឍន៍ ដោយសារវាមានសារបំបាត់កំហុស ហើយមិនអាចកែប្រែ 1c_to_kl.txt ដោយស្វ័យប្រវត្តិបានទេ។

៤.៨.២. ការកើនឡើងឯកសិទ្ធិ

RTM អាចព្យាយាមបង្កើនសិទ្ធិដោយបង្ហាញសារកំហុសមិនពិត។ មេរោគនេះក្លែងធ្វើការត្រួតពិនិត្យបញ្ជីឈ្មោះ (សូមមើលរូបភាពខាងក្រោម) ឬប្រើរូបតំណាងកម្មវិធីនិពន្ធចុះបញ្ជីពិតប្រាកដ។ សូមកត់សម្គាល់ការរង់ចាំអក្ខរាវិរុទ្ធខុស - whait ។ បន្ទាប់ពីស្កេនពីរបីវិនាទី កម្មវិធីបង្ហាញសារកំហុសមិនពិត។

សារមិនពិតនឹងងាយស្រួលបញ្ឆោតអ្នកប្រើប្រាស់ជាមធ្យម ទោះបីជាមានកំហុសវេយ្យាករណ៍ក៏ដោយ។ ប្រសិនបើអ្នកប្រើចុចលើតំណមួយក្នុងចំណោមតំណភ្ជាប់ទាំងពីរនោះ RTM នឹងព្យាយាមបង្កើនសិទ្ធិរបស់ខ្លួននៅក្នុងប្រព័ន្ធ។

បន្ទាប់ពីជ្រើសរើសជម្រើសសង្គ្រោះមួយក្នុងចំណោមជម្រើសពីរ Trojan បើកដំណើរការ DLL ដោយប្រើជម្រើស runas នៅក្នុងមុខងារ ShellExecute ជាមួយនឹងសិទ្ធិជាអ្នកគ្រប់គ្រង។ អ្នកប្រើប្រាស់នឹងឃើញប្រអប់បញ្ចូលវីនដូពិតប្រាកដ (សូមមើលរូបភាពខាងក្រោម) សម្រាប់ការកើនឡើង។ ប្រសិនបើអ្នកប្រើផ្តល់ការអនុញ្ញាតចាំបាច់ Trojan នឹងដំណើរការជាមួយនឹងសិទ្ធិជាអ្នកគ្រប់គ្រង។

អាស្រ័យលើភាសាលំនាំដើមដែលបានដំឡើងនៅលើប្រព័ន្ធ Trojan បង្ហាញសារកំហុសជាភាសារុស្សី ឬភាសាអង់គ្លេស។

៤.៨.៣. វិញ្ញាបនបត្រ

RTM អាចបន្ថែមវិញ្ញាបនបត្រទៅ Windows Store និងបញ្ជាក់ពីភាពជឿជាក់នៃការបន្ថែមដោយចុចប៊ូតុង "បាទ" ដោយស្វ័យប្រវត្តិនៅក្នុងប្រអប់ csrss.exe ។ ឥរិយាបថនេះមិនមែនជារឿងថ្មីទេ ឧទាហរណ៍ ធនាគារ Trojan Retefe ក៏បញ្ជាក់ពីការដំឡើងវិញ្ញាបនបត្រថ្មីដោយឯករាជ្យផងដែរ។

៤.៨.៤. ការតភ្ជាប់បញ្ច្រាស

អ្នកនិពន្ធ RTM ក៏បានបង្កើតផ្លូវរូងក្រោមដី Backconnect TCP ផងដែរ។ យើងមិនទាន់ឃើញមុខងារនេះកំពុងប្រើប្រាស់នៅឡើយទេ ប៉ុន្តែវាត្រូវបានរចនាឡើងដើម្បីត្រួតពិនិត្យកុំព្យូទ័រដែលមានមេរោគពីចម្ងាយ។

៤.៨.៥. ការគ្រប់គ្រងឯកសារម៉ាស៊ីន

ម៉ាស៊ីនមេ C&C អាចផ្ញើពាក្យបញ្ជាទៅ Trojan ដើម្បីកែប្រែឯកសារម៉ាស៊ីនវីនដូ។ ឯកសារម៉ាស៊ីនត្រូវបានប្រើដើម្បីបង្កើតដំណោះស្រាយ DNS ផ្ទាល់ខ្លួន។

៤.៨.៦. ស្វែងរកនិងផ្ញើឯកសារ

ម៉ាស៊ីនមេអាចស្នើសុំឱ្យស្វែងរក និងទាញយកឯកសារនៅលើប្រព័ន្ធមេរោគ។ ជាឧទាហរណ៍ ក្នុងអំឡុងពេលស្រាវជ្រាវ យើងបានទទួលសំណើសម្រាប់ឯកសារ 1c_to_kl.txt ។ ដូចដែលបានពិពណ៌នាពីមុន ឯកសារនេះត្រូវបានបង្កើតដោយប្រព័ន្ធគណនេយ្យ 1C: Enterprise 8។

4.8.7. ធ្វើឱ្យទាន់សម័យ

ជាចុងក្រោយ អ្នកនិពន្ធ RTM អាចធ្វើបច្ចុប្បន្នភាពកម្មវិធីដោយបញ្ជូន DLL ថ្មីដើម្បីជំនួសកំណែបច្ចុប្បន្ន។

5 ។ សេចក្តីសន្និដ្ឋាន

ការស្រាវជ្រាវរបស់ RTM បង្ហាញថាប្រព័ន្ធធនាគាររុស្ស៊ីនៅតែទាក់ទាញអ្នកវាយប្រហារតាមអ៊ីនធឺណិត។ ក្រុមដូចជា Buhtrap, Corkow និង Carbanak ដោយជោគជ័យបានលួចលុយពីស្ថាប័នហិរញ្ញវត្ថុ និងអតិថិជនរបស់ពួកគេនៅក្នុងប្រទេសរុស្ស៊ី។ RTM គឺជាអ្នកលេងថ្មីនៅក្នុងឧស្សាហកម្មនេះ។

ឧបករណ៍ RTM ព្យាបាទត្រូវបានប្រើប្រាស់តាំងពីចុងឆ្នាំ 2015 មកម្ល៉េះ នេះបើយោងតាម ​​​​ESET telemetry ។ កម្មវិធីនេះមានសមត្ថភាពចារកម្មយ៉ាងពេញលេញ រួមទាំងការអានកាតឆ្លាតវៃ ការស្ទាក់ចាប់គ្រាប់ចុច និងការត្រួតពិនិត្យប្រតិបត្តិការធនាគារ ក៏ដូចជាការស្វែងរកឯកសារដឹកជញ្ជូន 1C: Enterprise 8។

ការប្រើប្រាស់ដែនកម្រិតកំពូល .bit ដែលមិនត្រួតពិនិត្យវិមជ្ឈការ និងមិនបានត្រួតពិនិត្យធានាបាននូវហេដ្ឋារចនាសម្ព័ន្ធដែលមានភាពធន់ខ្ពស់។

ប្រភព: www.habr.com