RTM ಸೈಬರ್ ಗುಂಪು ರಷ್ಯಾದ ಕಂಪನಿಗಳಿಂದ ಹಣವನ್ನು ಕದಿಯುವಲ್ಲಿ ಪರಿಣತಿ ಹೊಂದಿದೆ

ರಷ್ಯಾದ ಕಂಪನಿಗಳಿಂದ ಹಣವನ್ನು ಕದಿಯುವಲ್ಲಿ ಪರಿಣತಿ ಹೊಂದಿರುವ ಹಲವಾರು ಸೈಬರ್ ಗುಂಪುಗಳಿವೆ. ಗುರಿಯ ನೆಟ್‌ವರ್ಕ್‌ಗೆ ಪ್ರವೇಶವನ್ನು ಅನುಮತಿಸುವ ಭದ್ರತಾ ಲೋಪದೋಷಗಳನ್ನು ಬಳಸಿಕೊಂಡು ದಾಳಿಗಳನ್ನು ನಾವು ನೋಡಿದ್ದೇವೆ. ಒಮ್ಮೆ ಅವರು ಪ್ರವೇಶವನ್ನು ಪಡೆದರೆ, ದಾಳಿಕೋರರು ಸಂಸ್ಥೆಯ ನೆಟ್‌ವರ್ಕ್ ರಚನೆಯನ್ನು ಅಧ್ಯಯನ ಮಾಡುತ್ತಾರೆ ಮತ್ತು ಹಣವನ್ನು ಕದಿಯಲು ತಮ್ಮದೇ ಆದ ಸಾಧನಗಳನ್ನು ನಿಯೋಜಿಸುತ್ತಾರೆ. ಈ ಪ್ರವೃತ್ತಿಯ ಒಂದು ಶ್ರೇಷ್ಠ ಉದಾಹರಣೆಯೆಂದರೆ ಹ್ಯಾಕರ್ ಗುಂಪುಗಳು ಬುಹ್ಟ್ರಾಪ್, ಕೋಬಾಲ್ಟ್ ಮತ್ತು ಕಾರ್ಕೋವ್.

ಈ ವರದಿಯು ಕೇಂದ್ರೀಕರಿಸುವ RTM ಗುಂಪು ಈ ಪ್ರವೃತ್ತಿಯ ಭಾಗವಾಗಿದೆ. ಇದು ಡೆಲ್ಫಿಯಲ್ಲಿ ಬರೆಯಲಾದ ವಿಶೇಷವಾಗಿ ವಿನ್ಯಾಸಗೊಳಿಸಲಾದ ಮಾಲ್‌ವೇರ್ ಅನ್ನು ಬಳಸುತ್ತದೆ, ಇದನ್ನು ನಾವು ಮುಂದಿನ ವಿಭಾಗಗಳಲ್ಲಿ ಹೆಚ್ಚು ವಿವರವಾಗಿ ನೋಡುತ್ತೇವೆ. ESET ಟೆಲಿಮೆಟ್ರಿ ವ್ಯವಸ್ಥೆಯಲ್ಲಿ ಈ ಉಪಕರಣಗಳ ಮೊದಲ ಕುರುಹುಗಳನ್ನು 2015 ರ ಕೊನೆಯಲ್ಲಿ ಕಂಡುಹಿಡಿಯಲಾಯಿತು. ತಂಡವು ಅಗತ್ಯವಿರುವಂತೆ ಸೋಂಕಿತ ಸಿಸ್ಟಮ್‌ಗಳಿಗೆ ವಿವಿಧ ಹೊಸ ಮಾಡ್ಯೂಲ್‌ಗಳನ್ನು ಲೋಡ್ ಮಾಡುತ್ತದೆ. ದಾಳಿಗಳು ರಷ್ಯಾ ಮತ್ತು ಕೆಲವು ನೆರೆಯ ರಾಷ್ಟ್ರಗಳಲ್ಲಿನ ರಿಮೋಟ್ ಬ್ಯಾಂಕಿಂಗ್ ಸಿಸ್ಟಮ್‌ಗಳ ಬಳಕೆದಾರರನ್ನು ಗುರಿಯಾಗಿರಿಸಿಕೊಂಡಿವೆ.

1. ಉದ್ದೇಶಗಳು

RTM ಅಭಿಯಾನವು ಕಾರ್ಪೊರೇಟ್ ಬಳಕೆದಾರರನ್ನು ಗುರಿಯಾಗಿರಿಸಿಕೊಂಡಿದೆ - ಆಕ್ರಮಣಕಾರರು ರಾಜಿ ಮಾಡಿಕೊಂಡ ವ್ಯವಸ್ಥೆಯಲ್ಲಿ ಪತ್ತೆಹಚ್ಚಲು ಪ್ರಯತ್ನಿಸುವ ಪ್ರಕ್ರಿಯೆಗಳಿಂದ ಇದು ಸ್ಪಷ್ಟವಾಗಿದೆ. ರಿಮೋಟ್ ಬ್ಯಾಂಕಿಂಗ್ ವ್ಯವಸ್ಥೆಗಳೊಂದಿಗೆ ಕೆಲಸ ಮಾಡಲು ಅಕೌಂಟಿಂಗ್ ಸಾಫ್ಟ್‌ವೇರ್ ಮೇಲೆ ಗಮನ ಕೇಂದ್ರೀಕರಿಸಿದೆ.

RTM ಗೆ ಆಸಕ್ತಿಯ ಪ್ರಕ್ರಿಯೆಗಳ ಪಟ್ಟಿಯು ಬುಹ್ಟ್ರಾಪ್ ಗುಂಪಿನ ಅನುಗುಣವಾದ ಪಟ್ಟಿಯನ್ನು ಹೋಲುತ್ತದೆ, ಆದರೆ ಗುಂಪುಗಳು ವಿಭಿನ್ನ ಸೋಂಕು ವಾಹಕಗಳನ್ನು ಹೊಂದಿವೆ. Buhtrap ನಕಲಿ ಪುಟಗಳನ್ನು ಹೆಚ್ಚಾಗಿ ಬಳಸಿದರೆ, RTM ಡ್ರೈವ್-ಬೈ ಡೌನ್‌ಲೋಡ್ ದಾಳಿಗಳನ್ನು (ಬ್ರೌಸರ್ ಅಥವಾ ಅದರ ಘಟಕಗಳ ಮೇಲಿನ ದಾಳಿಗಳು) ಮತ್ತು ಇಮೇಲ್ ಮೂಲಕ ಸ್ಪ್ಯಾಮಿಂಗ್ ಅನ್ನು ಬಳಸುತ್ತದೆ. ಟೆಲಿಮೆಟ್ರಿ ಮಾಹಿತಿಯ ಪ್ರಕಾರ, ಬೆದರಿಕೆಯು ರಷ್ಯಾ ಮತ್ತು ಹಲವಾರು ಹತ್ತಿರದ ದೇಶಗಳಿಗೆ (ಉಕ್ರೇನ್, ಕಝಾಕಿಸ್ತಾನ್, ಜೆಕ್ ರಿಪಬ್ಲಿಕ್, ಜರ್ಮನಿ) ಗುರಿಯಾಗಿದೆ. ಆದಾಗ್ಯೂ, ಸಾಮೂಹಿಕ ವಿತರಣಾ ಕಾರ್ಯವಿಧಾನಗಳ ಬಳಕೆಯಿಂದಾಗಿ, ಗುರಿ ಪ್ರದೇಶಗಳ ಹೊರಗೆ ಮಾಲ್‌ವೇರ್ ಪತ್ತೆಹಚ್ಚುವಿಕೆ ಆಶ್ಚರ್ಯವೇನಿಲ್ಲ.

ಮಾಲ್‌ವೇರ್ ಪತ್ತೆಗಳ ಒಟ್ಟು ಸಂಖ್ಯೆ ತುಲನಾತ್ಮಕವಾಗಿ ಚಿಕ್ಕದಾಗಿದೆ. ಮತ್ತೊಂದೆಡೆ, RTM ಅಭಿಯಾನವು ಸಂಕೀರ್ಣ ಕಾರ್ಯಕ್ರಮಗಳನ್ನು ಬಳಸುತ್ತದೆ, ಇದು ದಾಳಿಗಳು ಹೆಚ್ಚು ಗುರಿಯಾಗಿರುವುದನ್ನು ಸೂಚಿಸುತ್ತದೆ.

ಅಸ್ತಿತ್ವದಲ್ಲಿಲ್ಲದ ಒಪ್ಪಂದಗಳು, ಇನ್‌ವಾಯ್ಸ್‌ಗಳು ಅಥವಾ ತೆರಿಗೆ ಲೆಕ್ಕಪತ್ರ ದಾಖಲೆಗಳನ್ನು ಒಳಗೊಂಡಂತೆ RTM ಬಳಸುವ ಹಲವಾರು ಡಿಕಾಯ್ ಡಾಕ್ಯುಮೆಂಟ್‌ಗಳನ್ನು ನಾವು ಪತ್ತೆಹಚ್ಚಿದ್ದೇವೆ. ದಾಳಿಯಿಂದ ಗುರಿಪಡಿಸಿದ ಸಾಫ್ಟ್‌ವೇರ್ ಪ್ರಕಾರದೊಂದಿಗೆ ಸಂಯೋಜಿಸಲ್ಪಟ್ಟ ಆಮಿಷಗಳ ಸ್ವರೂಪವು ದಾಳಿಕೋರರು ಲೆಕ್ಕಪರಿಶೋಧಕ ವಿಭಾಗದ ಮೂಲಕ ರಷ್ಯಾದ ಕಂಪನಿಗಳ ನೆಟ್‌ವರ್ಕ್‌ಗಳನ್ನು "ಪ್ರವೇಶಿಸುತ್ತಿದ್ದಾರೆ" ಎಂದು ಸೂಚಿಸುತ್ತದೆ. ಗುಂಪು ಅದೇ ಯೋಜನೆಯ ಪ್ರಕಾರ ಕಾರ್ಯನಿರ್ವಹಿಸಿತು ಬುಹ್ಟ್ರಾಪ್ 2014-2015 ರಲ್ಲಿ

ಸಂಶೋಧನೆಯ ಸಮಯದಲ್ಲಿ, ನಾವು ಹಲವಾರು C&C ಸರ್ವರ್‌ಗಳೊಂದಿಗೆ ಸಂವಹನ ನಡೆಸಲು ಸಾಧ್ಯವಾಯಿತು. ಕೆಳಗಿನ ವಿಭಾಗಗಳಲ್ಲಿ ನಾವು ಸಂಪೂರ್ಣ ಆಜ್ಞೆಗಳ ಪಟ್ಟಿಯನ್ನು ಪಟ್ಟಿ ಮಾಡುತ್ತೇವೆ, ಆದರೆ ಇದೀಗ ನಾವು ಕ್ಲೈಂಟ್ ಕೀಲಾಗರ್‌ನಿಂದ ಡೇಟಾವನ್ನು ನೇರವಾಗಿ ಆಕ್ರಮಣಕಾರಿ ಸರ್ವರ್‌ಗೆ ವರ್ಗಾಯಿಸುತ್ತದೆ ಎಂದು ಹೇಳಬಹುದು, ಇದರಿಂದ ಹೆಚ್ಚುವರಿ ಆಜ್ಞೆಗಳನ್ನು ಸ್ವೀಕರಿಸಲಾಗುತ್ತದೆ.

ಆದಾಗ್ಯೂ, ನೀವು ಕಮಾಂಡ್ ಮತ್ತು ಕಂಟ್ರೋಲ್ ಸರ್ವರ್‌ಗೆ ಸರಳವಾಗಿ ಸಂಪರ್ಕಿಸಬಹುದಾದ ದಿನಗಳು ಮತ್ತು ನೀವು ಆಸಕ್ತಿ ಹೊಂದಿರುವ ಎಲ್ಲಾ ಡೇಟಾವನ್ನು ಸಂಗ್ರಹಿಸಬಹುದು. ಸರ್ವರ್‌ನಿಂದ ಕೆಲವು ಸಂಬಂಧಿತ ಆಜ್ಞೆಗಳನ್ನು ಪಡೆಯಲು ನಾವು ವಾಸ್ತವಿಕ ಲಾಗ್ ಫೈಲ್‌ಗಳನ್ನು ಮರುಸೃಷ್ಟಿಸಿದ್ದೇವೆ.

ಅವುಗಳಲ್ಲಿ ಮೊದಲನೆಯದು 1c_to_kl.txt ಫೈಲ್ ಅನ್ನು ವರ್ಗಾಯಿಸಲು ಬೋಟ್‌ಗೆ ವಿನಂತಿಯಾಗಿದೆ - 1C: ಎಂಟರ್‌ಪ್ರೈಸ್ 8 ಪ್ರೋಗ್ರಾಂನ ಸಾರಿಗೆ ಫೈಲ್, ಅದರ ನೋಟವನ್ನು RTM ನಿಂದ ಸಕ್ರಿಯವಾಗಿ ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಲಾಗುತ್ತದೆ. ಪಠ್ಯ ಫೈಲ್‌ಗೆ ಹೊರಹೋಗುವ ಪಾವತಿಗಳ ಡೇಟಾವನ್ನು ಅಪ್‌ಲೋಡ್ ಮಾಡುವ ಮೂಲಕ ರಿಮೋಟ್ ಬ್ಯಾಂಕಿಂಗ್ ವ್ಯವಸ್ಥೆಗಳೊಂದಿಗೆ 1C ಸಂವಹನ ನಡೆಸುತ್ತದೆ. ಮುಂದೆ, ಯಾಂತ್ರೀಕೃತಗೊಂಡ ಮತ್ತು ಪಾವತಿ ಆದೇಶದ ಮರಣದಂಡನೆಗಾಗಿ ಫೈಲ್ ಅನ್ನು ರಿಮೋಟ್ ಬ್ಯಾಂಕಿಂಗ್ ಸಿಸ್ಟಮ್ಗೆ ಕಳುಹಿಸಲಾಗುತ್ತದೆ.

ಫೈಲ್ ಪಾವತಿ ವಿವರಗಳನ್ನು ಒಳಗೊಂಡಿದೆ. ದಾಳಿಕೋರರು ಹೊರಹೋಗುವ ಪಾವತಿಗಳ ಮಾಹಿತಿಯನ್ನು ಬದಲಾಯಿಸಿದರೆ, ದಾಳಿಕೋರರ ಖಾತೆಗಳಿಗೆ ಸುಳ್ಳು ವಿವರಗಳನ್ನು ಬಳಸಿಕೊಂಡು ವರ್ಗಾವಣೆಯನ್ನು ಕಳುಹಿಸಲಾಗುತ್ತದೆ.

ಕಮಾಂಡ್ ಮತ್ತು ಕಂಟ್ರೋಲ್ ಸರ್ವರ್‌ನಿಂದ ಈ ಫೈಲ್‌ಗಳನ್ನು ವಿನಂತಿಸಿದ ಸುಮಾರು ಒಂದು ತಿಂಗಳ ನಂತರ, ನಾವು ಹೊಸ ಪ್ಲಗಿನ್, 1c_2_kl.dll ಅನ್ನು ರಾಜಿ ಸಿಸ್ಟಮ್‌ಗೆ ಲೋಡ್ ಮಾಡುವುದನ್ನು ಗಮನಿಸಿದ್ದೇವೆ. ಮಾಡ್ಯೂಲ್ (DLL) ಅನ್ನು ಅಕೌಂಟಿಂಗ್ ಸಾಫ್ಟ್‌ವೇರ್ ಪ್ರಕ್ರಿಯೆಗಳನ್ನು ಭೇದಿಸುವ ಮೂಲಕ ಡೌನ್‌ಲೋಡ್ ಫೈಲ್ ಅನ್ನು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ವಿಶ್ಲೇಷಿಸಲು ವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿದೆ. ನಾವು ಅದನ್ನು ಮುಂದಿನ ವಿಭಾಗಗಳಲ್ಲಿ ವಿವರವಾಗಿ ವಿವರಿಸುತ್ತೇವೆ.

ಕುತೂಹಲಕಾರಿಯಾಗಿ, 2016 ರ ಕೊನೆಯಲ್ಲಿ ಬ್ಯಾಂಕ್ ಆಫ್ ರಷ್ಯಾದ FinCERT 1c_to_kl.txt ಅಪ್‌ಲೋಡ್ ಫೈಲ್‌ಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಸೈಬರ್ ಅಪರಾಧಿಗಳ ಬಗ್ಗೆ ಬುಲೆಟಿನ್ ಎಚ್ಚರಿಕೆಯನ್ನು ನೀಡಿತು. 1C ಯಿಂದ ಡೆವಲಪರ್‌ಗಳು ಸಹ ಈ ಯೋಜನೆಯ ಬಗ್ಗೆ ತಿಳಿದಿದ್ದಾರೆ, ಅವರು ಈಗಾಗಲೇ ಅಧಿಕೃತ ಹೇಳಿಕೆಯನ್ನು ನೀಡಿದ್ದಾರೆ ಮತ್ತು ಮುನ್ನೆಚ್ಚರಿಕೆಗಳನ್ನು ಪಟ್ಟಿ ಮಾಡಿದ್ದಾರೆ.

ಇತರ ಮಾಡ್ಯೂಲ್‌ಗಳನ್ನು ಕಮಾಂಡ್ ಸರ್ವರ್‌ನಿಂದ ಲೋಡ್ ಮಾಡಲಾಗಿದೆ, ನಿರ್ದಿಷ್ಟವಾಗಿ VNC (ಅದರ 32 ಮತ್ತು 64-ಬಿಟ್ ಆವೃತ್ತಿಗಳು). ಇದು ಹಿಂದೆ ಡ್ರಿಡೆಕ್ಸ್ ಟ್ರೋಜನ್ ದಾಳಿಯಲ್ಲಿ ಬಳಸಲಾಗಿದ್ದ VNC ಮಾಡ್ಯೂಲ್ ಅನ್ನು ಹೋಲುತ್ತದೆ. ಈ ಮಾಡ್ಯೂಲ್ ಅನ್ನು ಸೋಂಕಿತ ಕಂಪ್ಯೂಟರ್‌ಗೆ ದೂರದಿಂದಲೇ ಸಂಪರ್ಕಿಸಲು ಮತ್ತು ಸಿಸ್ಟಮ್‌ನ ವಿವರವಾದ ಅಧ್ಯಯನವನ್ನು ನಡೆಸಲು ಬಳಸಲಾಗುತ್ತದೆ. ಮುಂದೆ, ದಾಳಿಕೋರರು ನೆಟ್‌ವರ್ಕ್ ಸುತ್ತಲೂ ಚಲಿಸಲು ಪ್ರಯತ್ನಿಸುತ್ತಾರೆ, ಬಳಕೆದಾರರ ಪಾಸ್‌ವರ್ಡ್‌ಗಳನ್ನು ಹೊರತೆಗೆಯುತ್ತಾರೆ, ಮಾಹಿತಿಯನ್ನು ಸಂಗ್ರಹಿಸುತ್ತಾರೆ ಮತ್ತು ಮಾಲ್‌ವೇರ್‌ನ ನಿರಂತರ ಉಪಸ್ಥಿತಿಯನ್ನು ಖಾತ್ರಿಪಡಿಸಿಕೊಳ್ಳುತ್ತಾರೆ.

2. ಸೋಂಕಿನ ವಾಹಕಗಳು

ಅಭಿಯಾನದ ಅಧ್ಯಯನದ ಅವಧಿಯಲ್ಲಿ ಪತ್ತೆಯಾದ ಸೋಂಕು ವಾಹಕಗಳನ್ನು ಕೆಳಗಿನ ಅಂಕಿ ತೋರಿಸುತ್ತದೆ. ಗುಂಪು ವ್ಯಾಪಕವಾದ ವೆಕ್ಟರ್‌ಗಳನ್ನು ಬಳಸುತ್ತದೆ, ಆದರೆ ಮುಖ್ಯವಾಗಿ ಡ್ರೈವ್-ಬೈ ಡೌನ್‌ಲೋಡ್ ದಾಳಿಗಳು ಮತ್ತು ಸ್ಪ್ಯಾಮ್. ಉದ್ದೇಶಿತ ದಾಳಿಗಳಿಗೆ ಈ ಉಪಕರಣಗಳು ಅನುಕೂಲಕರವಾಗಿವೆ, ಏಕೆಂದರೆ ಮೊದಲ ಪ್ರಕರಣದಲ್ಲಿ, ಆಕ್ರಮಣಕಾರರು ಸಂಭಾವ್ಯ ಬಲಿಪಶುಗಳು ಭೇಟಿ ನೀಡಿದ ಸೈಟ್‌ಗಳನ್ನು ಆಯ್ಕೆ ಮಾಡಬಹುದು ಮತ್ತು ಎರಡನೆಯದರಲ್ಲಿ, ಅವರು ಬಯಸಿದ ಕಂಪನಿಯ ಉದ್ಯೋಗಿಗಳಿಗೆ ನೇರವಾಗಿ ಲಗತ್ತುಗಳೊಂದಿಗೆ ಇಮೇಲ್ ಕಳುಹಿಸಬಹುದು.

ಮಾಲ್‌ವೇರ್ ಅನ್ನು RIG ಮತ್ತು ಸನ್‌ಡೌನ್ ಎಕ್ಸ್‌ಪ್ಲೋಯಿಟ್ ಕಿಟ್‌ಗಳು ಅಥವಾ ಸ್ಪ್ಯಾಮ್ ಮೇಲಿಂಗ್‌ಗಳು ಸೇರಿದಂತೆ ಬಹು ಚಾನೆಲ್‌ಗಳ ಮೂಲಕ ವಿತರಿಸಲಾಗುತ್ತದೆ, ದಾಳಿಕೋರರು ಮತ್ತು ಈ ಸೇವೆಗಳನ್ನು ನೀಡುವ ಇತರ ಸೈಬರ್‌ಟಾಕರ್‌ಗಳ ನಡುವಿನ ಸಂಪರ್ಕವನ್ನು ಸೂಚಿಸುತ್ತದೆ.

2.1. RTM ಮತ್ತು Buhtrap ಹೇಗೆ ಸಂಬಂಧಿಸಿವೆ?

RTM ಅಭಿಯಾನವು ಬುಹ್ಟ್ರಾಪ್ ಅನ್ನು ಹೋಲುತ್ತದೆ. ಸ್ವಾಭಾವಿಕ ಪ್ರಶ್ನೆಯೆಂದರೆ: ಅವು ಪರಸ್ಪರ ಹೇಗೆ ಸಂಬಂಧಿಸಿವೆ?

ಸೆಪ್ಟೆಂಬರ್ 2016 ರಲ್ಲಿ, Buhtrap ಅಪ್ಲೋಡರ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು RTM ಮಾದರಿಯನ್ನು ವಿತರಿಸುವುದನ್ನು ನಾವು ಗಮನಿಸಿದ್ದೇವೆ. ಹೆಚ್ಚುವರಿಯಾಗಿ, Buhtrap ಮತ್ತು RTM ಎರಡರಲ್ಲೂ ಬಳಸಲಾದ ಎರಡು ಡಿಜಿಟಲ್ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ನಾವು ಕಂಡುಕೊಂಡಿದ್ದೇವೆ.

DNISTER-M ಕಂಪನಿಗೆ ನೀಡಲಾದ ಮೊದಲನೆಯದು, ಎರಡನೇ ಡೆಲ್ಫಿ ಫಾರ್ಮ್ (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) ಮತ್ತು Buhtrap DLL (SHA-1: 1E2642) D454).

Bit-Tredj ಗೆ ನೀಡಲಾದ ಎರಡನೆಯದನ್ನು, Buhtrap ಲೋಡರ್‌ಗಳಿಗೆ ಸಹಿ ಮಾಡಲು ಬಳಸಲಾಗಿದೆ (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 ಮತ್ತು B74F71560E48488D2153AE2FAB51207 ಕಾಂಪೊನೆಂಟ್‌ನಂತೆ ಡೌನ್‌ಲೋಡ್ ಮಾಡಿ

RTM ಆಪರೇಟರ್‌ಗಳು ಇತರ ಮಾಲ್‌ವೇರ್ ಕುಟುಂಬಗಳಿಗೆ ಸಾಮಾನ್ಯವಾಗಿರುವ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಬಳಸುತ್ತಾರೆ, ಆದರೆ ಅವರು ವಿಶಿಷ್ಟ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಸಹ ಹೊಂದಿದ್ದಾರೆ. ESET ಟೆಲಿಮೆಟ್ರಿ ಪ್ರಕಾರ, ಇದನ್ನು Kit-SD ಗೆ ನೀಡಲಾಗಿದೆ ಮತ್ತು ಕೆಲವು RTM ಮಾಲ್‌ವೇರ್‌ಗೆ ಸಹಿ ಮಾಡಲು ಮಾತ್ರ ಬಳಸಲಾಗಿದೆ (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).

RTM Buhtrap ನಂತೆಯೇ ಅದೇ ಲೋಡರ್ ಅನ್ನು ಬಳಸುತ್ತದೆ, RTM ಘಟಕಗಳನ್ನು Buhtrap ಮೂಲಸೌಕರ್ಯದಿಂದ ಲೋಡ್ ಮಾಡಲಾಗುತ್ತದೆ, ಆದ್ದರಿಂದ ಗುಂಪುಗಳು ಒಂದೇ ರೀತಿಯ ನೆಟ್ವರ್ಕ್ ಸೂಚಕಗಳನ್ನು ಹೊಂದಿವೆ. ಆದಾಗ್ಯೂ, ನಮ್ಮ ಅಂದಾಜಿನ ಪ್ರಕಾರ, RTM ಮತ್ತು Buhtrap ವಿಭಿನ್ನ ಗುಂಪುಗಳಾಗಿವೆ, ಏಕೆಂದರೆ RTM ಅನ್ನು ವಿಭಿನ್ನ ರೀತಿಯಲ್ಲಿ ವಿತರಿಸಲಾಗುತ್ತದೆ ("ವಿದೇಶಿ" ಡೌನ್‌ಲೋಡರ್ ಅನ್ನು ಮಾತ್ರ ಬಳಸದೆ).

ಇದರ ಹೊರತಾಗಿಯೂ, ಹ್ಯಾಕರ್ ಗುಂಪುಗಳು ಒಂದೇ ರೀತಿಯ ಕಾರ್ಯಾಚರಣೆಯ ತತ್ವಗಳನ್ನು ಬಳಸುತ್ತವೆ. ಅವರು ಲೆಕ್ಕಪರಿಶೋಧಕ ಸಾಫ್ಟ್‌ವೇರ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ವ್ಯವಹಾರಗಳನ್ನು ಗುರಿಯಾಗಿಸುತ್ತಾರೆ, ಅದೇ ರೀತಿ ಸಿಸ್ಟಮ್ ಮಾಹಿತಿಯನ್ನು ಸಂಗ್ರಹಿಸುತ್ತಾರೆ, ಸ್ಮಾರ್ಟ್ ಕಾರ್ಡ್ ರೀಡರ್‌ಗಳಿಗಾಗಿ ಹುಡುಕುತ್ತಾರೆ ಮತ್ತು ಬಲಿಪಶುಗಳ ಮೇಲೆ ಕಣ್ಣಿಡಲು ದುರುದ್ದೇಶಪೂರಿತ ಸಾಧನಗಳ ಶ್ರೇಣಿಯನ್ನು ನಿಯೋಜಿಸುತ್ತಾರೆ.

3. ವಿಕಾಸ

ಈ ವಿಭಾಗದಲ್ಲಿ, ಅಧ್ಯಯನದ ಸಮಯದಲ್ಲಿ ಕಂಡುಬಂದ ಮಾಲ್‌ವೇರ್‌ನ ವಿವಿಧ ಆವೃತ್ತಿಗಳನ್ನು ನಾವು ನೋಡುತ್ತೇವೆ.

3.1. ಆವೃತ್ತಿ

RTM ಸಂರಚನಾ ಡೇಟಾವನ್ನು ನೋಂದಾವಣೆ ವಿಭಾಗದಲ್ಲಿ ಸಂಗ್ರಹಿಸುತ್ತದೆ, ಅತ್ಯಂತ ಆಸಕ್ತಿದಾಯಕ ಭಾಗವೆಂದರೆ ಬಾಟ್ನೆಟ್-ಪೂರ್ವಪ್ರತ್ಯಯ. ನಾವು ಅಧ್ಯಯನ ಮಾಡಿದ ಮಾದರಿಗಳಲ್ಲಿ ನಾವು ನೋಡಿದ ಎಲ್ಲಾ ಮೌಲ್ಯಗಳ ಪಟ್ಟಿಯನ್ನು ಕೆಳಗಿನ ಕೋಷ್ಟಕದಲ್ಲಿ ಪ್ರಸ್ತುತಪಡಿಸಲಾಗಿದೆ.

ಮಾಲ್ವೇರ್ ಆವೃತ್ತಿಗಳನ್ನು ರೆಕಾರ್ಡ್ ಮಾಡಲು ಮೌಲ್ಯಗಳನ್ನು ಬಳಸಬಹುದಾದ ಸಾಧ್ಯತೆಯಿದೆ. ಆದಾಗ್ಯೂ, ನಾವು bit2 ಮತ್ತು bit3, 0.1.6.4 ಮತ್ತು 0.1.6.6 ನಂತಹ ಆವೃತ್ತಿಗಳ ನಡುವೆ ಹೆಚ್ಚಿನ ವ್ಯತ್ಯಾಸವನ್ನು ಗಮನಿಸಲಿಲ್ಲ. ಇದಲ್ಲದೆ, ಒಂದು ಪೂರ್ವಪ್ರತ್ಯಯವು ಪ್ರಾರಂಭದಿಂದಲೂ ಇದೆ ಮತ್ತು ಕೆಳಗೆ ತೋರಿಸಿರುವಂತೆ ವಿಶಿಷ್ಟವಾದ C&C ಡೊಮೇನ್‌ನಿಂದ .bit ಡೊಮೇನ್‌ಗೆ ವಿಕಸನಗೊಂಡಿದೆ.

3.2. ವೇಳಾಪಟ್ಟಿ

ಟೆಲಿಮೆಟ್ರಿ ಡೇಟಾವನ್ನು ಬಳಸಿಕೊಂಡು, ನಾವು ಮಾದರಿಗಳ ಸಂಭವಿಸುವಿಕೆಯ ಗ್ರಾಫ್ ಅನ್ನು ರಚಿಸಿದ್ದೇವೆ.

4. ತಾಂತ್ರಿಕ ವಿಶ್ಲೇಷಣೆ

ಈ ವಿಭಾಗದಲ್ಲಿ, ನಾವು RTM ಬ್ಯಾಂಕಿಂಗ್ ಟ್ರೋಜನ್‌ನ ಮುಖ್ಯ ಕಾರ್ಯಗಳನ್ನು ವಿವರಿಸುತ್ತೇವೆ, ಇದರಲ್ಲಿ ಪ್ರತಿರೋಧ ಕಾರ್ಯವಿಧಾನಗಳು, ಅದರ ಸ್ವಂತ ಆವೃತ್ತಿ RC4 ಅಲ್ಗಾರಿದಮ್, ನೆಟ್‌ವರ್ಕ್ ಪ್ರೋಟೋಕಾಲ್, ಬೇಹುಗಾರಿಕೆ ಕಾರ್ಯ ಮತ್ತು ಇತರ ಕೆಲವು ವೈಶಿಷ್ಟ್ಯಗಳು ಸೇರಿವೆ. ನಿರ್ದಿಷ್ಟವಾಗಿ, ನಾವು SHA-1 ಮಾದರಿಗಳನ್ನು AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 ಮತ್ತು 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B ಮೇಲೆ ಕೇಂದ್ರೀಕರಿಸುತ್ತೇವೆ.

4.1. ಸ್ಥಾಪನೆ ಮತ್ತು ಉಳಿತಾಯ

4.1.1. ಅನುಷ್ಠಾನ

RTM ಕೋರ್ DLL ಆಗಿದೆ, ಲೈಬ್ರರಿಯನ್ನು .EXE ಬಳಸಿಕೊಂಡು ಡಿಸ್ಕ್‌ಗೆ ಲೋಡ್ ಮಾಡಲಾಗುತ್ತದೆ. ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ ಅನ್ನು ಸಾಮಾನ್ಯವಾಗಿ ಪ್ಯಾಕ್ ಮಾಡಲಾಗುತ್ತದೆ ಮತ್ತು DLL ಕೋಡ್ ಅನ್ನು ಹೊಂದಿರುತ್ತದೆ. ಪ್ರಾರಂಭಿಸಿದ ನಂತರ, ಅದು DLL ಅನ್ನು ಹೊರತೆಗೆಯುತ್ತದೆ ಮತ್ತು ಕೆಳಗಿನ ಆಜ್ಞೆಯನ್ನು ಬಳಸಿಕೊಂಡು ಅದನ್ನು ರನ್ ಮಾಡುತ್ತದೆ:

rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host

4.1.2. DLL

ಮುಖ್ಯ DLL ಯಾವಾಗಲೂ %PROGRAMDATA%Winlogon ಫೋಲ್ಡರ್‌ನಲ್ಲಿ winlogon.lnk ಆಗಿ ಡಿಸ್ಕ್‌ಗೆ ಲೋಡ್ ಆಗುತ್ತದೆ. ಈ ಫೈಲ್ ವಿಸ್ತರಣೆಯು ಸಾಮಾನ್ಯವಾಗಿ ಶಾರ್ಟ್‌ಕಟ್‌ನೊಂದಿಗೆ ಸಂಯೋಜಿಸಲ್ಪಟ್ಟಿದೆ, ಆದರೆ ಫೈಲ್ ವಾಸ್ತವವಾಗಿ ಡೆಲ್ಫಿಯಲ್ಲಿ ಬರೆಯಲಾದ DLL ಆಗಿದೆ, ಡೆವಲಪರ್‌ನಿಂದ core.dll ಎಂದು ಹೆಸರಿಸಲಾಗಿದೆ, ಕೆಳಗಿನ ಚಿತ್ರದಲ್ಲಿ ತೋರಿಸಿರುವಂತೆ.

Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361

ಒಮ್ಮೆ ಉಡಾವಣೆಗೊಂಡ ನಂತರ, ಟ್ರೋಜನ್ ಅದರ ಪ್ರತಿರೋಧ ಕಾರ್ಯವಿಧಾನವನ್ನು ಸಕ್ರಿಯಗೊಳಿಸುತ್ತದೆ. ವ್ಯವಸ್ಥೆಯಲ್ಲಿ ಬಲಿಪಶುವಿನ ಸವಲತ್ತುಗಳನ್ನು ಅವಲಂಬಿಸಿ ಇದನ್ನು ಎರಡು ವಿಭಿನ್ನ ರೀತಿಯಲ್ಲಿ ಮಾಡಬಹುದು. ನೀವು ನಿರ್ವಾಹಕ ಹಕ್ಕುಗಳನ್ನು ಹೊಂದಿದ್ದರೆ, HKLMSOFTWAREMmicrosoftWindowsCurrentVersionRun ರಿಜಿಸ್ಟ್ರಿಗೆ ಟ್ರೋಜನ್ ವಿಂಡೋಸ್ ನವೀಕರಣ ಪ್ರವೇಶವನ್ನು ಸೇರಿಸುತ್ತದೆ. ವಿಂಡೋಸ್ ಅಪ್‌ಡೇಟ್‌ನಲ್ಲಿರುವ ಆಜ್ಞೆಗಳು ಬಳಕೆದಾರರ ಅಧಿವೇಶನದ ಪ್ರಾರಂಭದಲ್ಲಿ ರನ್ ಆಗುತ್ತವೆ.

HKLMSOFTWAREMmicrosoftWindowsCurrentVersionRunWindows ನವೀಕರಣ [REG_SZ] = rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject ಹೋಸ್ಟ್

ಟ್ರೋಜನ್ ವಿಂಡೋಸ್ ಟಾಸ್ಕ್ ಶೆಡ್ಯೂಲರ್‌ಗೆ ಕಾರ್ಯವನ್ನು ಸೇರಿಸಲು ಪ್ರಯತ್ನಿಸುತ್ತದೆ. ಕಾರ್ಯವು ಮೇಲಿನ ಅದೇ ನಿಯತಾಂಕಗಳೊಂದಿಗೆ winlogon.lnk DLL ಅನ್ನು ಪ್ರಾರಂಭಿಸುತ್ತದೆ. ನಿಯಮಿತ ಬಳಕೆದಾರ ಹಕ್ಕುಗಳು HKCUSoftwareMicrosoftWindowsCurrentVersionRun ರಿಜಿಸ್ಟ್ರಿಗೆ ಅದೇ ಡೇಟಾದೊಂದಿಗೆ ವಿಂಡೋಸ್ ಅಪ್‌ಡೇಟ್ ನಮೂದನ್ನು ಸೇರಿಸಲು ಟ್ರೋಜನ್ ಅನ್ನು ಅನುಮತಿಸುತ್ತದೆ:

rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host

4.2. ಮಾರ್ಪಡಿಸಿದ RC4 ಅಲ್ಗಾರಿದಮ್

ತಿಳಿದಿರುವ ನ್ಯೂನತೆಗಳ ಹೊರತಾಗಿಯೂ, RC4 ಅಲ್ಗಾರಿದಮ್ ಅನ್ನು ಮಾಲ್ವೇರ್ ಲೇಖಕರು ನಿಯಮಿತವಾಗಿ ಬಳಸುತ್ತಾರೆ. ಆದಾಗ್ಯೂ, RTM ರಚನೆಕಾರರು ಅದನ್ನು ಸ್ವಲ್ಪಮಟ್ಟಿಗೆ ಮಾರ್ಪಡಿಸಿದ್ದಾರೆ, ಬಹುಶಃ ವೈರಸ್ ವಿಶ್ಲೇಷಕರ ಕಾರ್ಯವನ್ನು ಹೆಚ್ಚು ಕಷ್ಟಕರವಾಗಿಸುತ್ತದೆ. ತಂತಿಗಳು, ನೆಟ್‌ವರ್ಕ್ ಡೇಟಾ, ಕಾನ್ಫಿಗರೇಶನ್ ಮತ್ತು ಮಾಡ್ಯೂಲ್‌ಗಳನ್ನು ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಲು ದುರುದ್ದೇಶಪೂರಿತ RTM ಸಾಧನಗಳಲ್ಲಿ RC4 ನ ಮಾರ್ಪಡಿಸಿದ ಆವೃತ್ತಿಯನ್ನು ವ್ಯಾಪಕವಾಗಿ ಬಳಸಲಾಗುತ್ತದೆ.

4.2.1. ವ್ಯತ್ಯಾಸಗಳು

ಮೂಲ RC4 ಅಲ್ಗಾರಿದಮ್ ಎರಡು ಹಂತಗಳನ್ನು ಒಳಗೊಂಡಿದೆ: s-ಬ್ಲಾಕ್ ಇನಿಶಿಯಲೈಸೇಶನ್ (ಅಕಾ KSA - ಕೀ-ಶೆಡ್ಯೂಲಿಂಗ್ ಅಲ್ಗಾರಿದಮ್) ಮತ್ತು ಹುಸಿ-ಯಾದೃಚ್ಛಿಕ ಅನುಕ್ರಮ ಉತ್ಪಾದನೆ (PRGA - ಸ್ಯೂಡೋ-ರ್ಯಾಂಡಮ್ ಜನರೇಷನ್ ಅಲ್ಗಾರಿದಮ್). ಮೊದಲ ಹಂತವು ಕೀಲಿಯನ್ನು ಬಳಸಿಕೊಂಡು s-ಬಾಕ್ಸ್ ಅನ್ನು ಪ್ರಾರಂಭಿಸುವುದನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ ಮತ್ತು ಎರಡನೇ ಹಂತದಲ್ಲಿ ಗೂಢಲಿಪೀಕರಣಕ್ಕಾಗಿ s-ಬಾಕ್ಸ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ಮೂಲ ಪಠ್ಯವನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸಲಾಗುತ್ತದೆ.

RTM ಲೇಖಕರು s-ಬಾಕ್ಸ್ ಆರಂಭ ಮತ್ತು ಎನ್‌ಕ್ರಿಪ್ಶನ್ ನಡುವೆ ಮಧ್ಯಂತರ ಹಂತವನ್ನು ಸೇರಿಸಿದ್ದಾರೆ. ಹೆಚ್ಚುವರಿ ಕೀಲಿಯು ವೇರಿಯಬಲ್ ಆಗಿದೆ ಮತ್ತು ಡೇಟಾವನ್ನು ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಲು ಮತ್ತು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಲು ಅದೇ ಸಮಯದಲ್ಲಿ ಹೊಂದಿಸಲಾಗಿದೆ. ಈ ಹೆಚ್ಚುವರಿ ಹಂತವನ್ನು ನಿರ್ವಹಿಸುವ ಕಾರ್ಯವನ್ನು ಕೆಳಗಿನ ಚಿತ್ರದಲ್ಲಿ ತೋರಿಸಲಾಗಿದೆ.

4.2.2. ಸ್ಟ್ರಿಂಗ್ ಎನ್‌ಕ್ರಿಪ್ಶನ್

ಮೊದಲ ನೋಟದಲ್ಲಿ, ಮುಖ್ಯ DLL ನಲ್ಲಿ ಹಲವಾರು ಓದಬಹುದಾದ ಸಾಲುಗಳಿವೆ. ಉಳಿದವುಗಳನ್ನು ಮೇಲೆ ವಿವರಿಸಿದ ಅಲ್ಗಾರಿದಮ್ ಬಳಸಿ ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾಗಿದೆ, ಅದರ ರಚನೆಯನ್ನು ಕೆಳಗಿನ ಚಿತ್ರದಲ್ಲಿ ತೋರಿಸಲಾಗಿದೆ. ವಿಶ್ಲೇಷಿಸಿದ ಮಾದರಿಗಳಲ್ಲಿ ಸ್ಟ್ರಿಂಗ್ ಎನ್‌ಕ್ರಿಪ್ಶನ್‌ಗಾಗಿ ನಾವು 25 ಕ್ಕೂ ಹೆಚ್ಚು ವಿಭಿನ್ನ RC4 ಕೀಗಳನ್ನು ಕಂಡುಕೊಂಡಿದ್ದೇವೆ. ಪ್ರತಿ ಸಾಲಿಗೆ XOR ಕೀ ವಿಭಿನ್ನವಾಗಿರುತ್ತದೆ. ಸಂಖ್ಯಾ ಕ್ಷೇತ್ರವನ್ನು ಬೇರ್ಪಡಿಸುವ ರೇಖೆಗಳ ಮೌಲ್ಯವು ಯಾವಾಗಲೂ 0xFFFFFFFF ಆಗಿರುತ್ತದೆ.

ಮರಣದಂಡನೆಯ ಪ್ರಾರಂಭದಲ್ಲಿ, RTM ತಂತಿಗಳನ್ನು ಜಾಗತಿಕ ವೇರಿಯಬಲ್ ಆಗಿ ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡುತ್ತದೆ. ಸ್ಟ್ರಿಂಗ್ ಅನ್ನು ಪ್ರವೇಶಿಸಲು ಅಗತ್ಯವಾದಾಗ, ಟ್ರೋಜನ್ ಮೂಲ ವಿಳಾಸ ಮತ್ತು ಆಫ್‌ಸೆಟ್ ಅನ್ನು ಆಧರಿಸಿ ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಸ್ಟ್ರಿಂಗ್‌ಗಳ ವಿಳಾಸವನ್ನು ಕ್ರಿಯಾತ್ಮಕವಾಗಿ ಲೆಕ್ಕಾಚಾರ ಮಾಡುತ್ತದೆ.

ಸ್ಟ್ರಿಂಗ್‌ಗಳು ಮಾಲ್‌ವೇರ್‌ನ ಕಾರ್ಯಗಳ ಬಗ್ಗೆ ಆಸಕ್ತಿದಾಯಕ ಮಾಹಿತಿಯನ್ನು ಒಳಗೊಂಡಿರುತ್ತವೆ. ಕೆಲವು ಉದಾಹರಣೆ ಸ್ಟ್ರಿಂಗ್‌ಗಳನ್ನು ವಿಭಾಗ 6.8 ರಲ್ಲಿ ಒದಗಿಸಲಾಗಿದೆ.

4.3. ನೆಟ್ವರ್ಕ್

RTM ಮಾಲ್ವೇರ್ C&C ಸರ್ವರ್ ಅನ್ನು ಸಂಪರ್ಕಿಸುವ ವಿಧಾನವು ಆವೃತ್ತಿಯಿಂದ ಆವೃತ್ತಿಗೆ ಬದಲಾಗುತ್ತದೆ. ಮೊದಲ ಮಾರ್ಪಾಡುಗಳು (ಅಕ್ಟೋಬರ್ 2015 - ಏಪ್ರಿಲ್ 2016) ಆದೇಶಗಳ ಪಟ್ಟಿಯನ್ನು ನವೀಕರಿಸಲು livejournal.com ನಲ್ಲಿ RSS ಫೀಡ್ ಜೊತೆಗೆ ಸಾಂಪ್ರದಾಯಿಕ ಡೊಮೇನ್ ಹೆಸರುಗಳನ್ನು ಬಳಸಲಾಗಿದೆ.

ಏಪ್ರಿಲ್ 2016 ರಿಂದ, ನಾವು ಟೆಲಿಮೆಟ್ರಿ ಡೇಟಾದಲ್ಲಿ .bit ಡೊಮೇನ್‌ಗಳಿಗೆ ಶಿಫ್ಟ್ ಆಗಿರುವುದನ್ನು ನೋಡಿದ್ದೇವೆ. ಇದು ಡೊಮೇನ್ ನೋಂದಣಿ ದಿನಾಂಕದಿಂದ ದೃಢೀಕರಿಸಲ್ಪಟ್ಟಿದೆ - ಮೊದಲ RTM ಡೊಮೇನ್ fde05d0573da.bit ಅನ್ನು ಮಾರ್ಚ್ 13, 2016 ರಂದು ನೋಂದಾಯಿಸಲಾಗಿದೆ.

ಕಾರ್ಯಾಚರಣೆಯನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡುವಾಗ ನಾವು ನೋಡಿದ ಎಲ್ಲಾ URL ಗಳು ಸಾಮಾನ್ಯ ಮಾರ್ಗವನ್ನು ಹೊಂದಿವೆ: /r/z.php. ಇದು ಸಾಕಷ್ಟು ಅಸಾಮಾನ್ಯವಾಗಿದೆ ಮತ್ತು ಇದು ನೆಟ್ವರ್ಕ್ ಹರಿವುಗಳಲ್ಲಿ RTM ವಿನಂತಿಗಳನ್ನು ಗುರುತಿಸಲು ಸಹಾಯ ಮಾಡುತ್ತದೆ.

4.3.1. ಆಜ್ಞೆಗಳು ಮತ್ತು ನಿಯಂತ್ರಣಕ್ಕಾಗಿ ಚಾನಲ್

ಲೆಗಸಿ ಉದಾಹರಣೆಗಳು ತಮ್ಮ ಕಮಾಂಡ್ ಮತ್ತು ಕಂಟ್ರೋಲ್ ಸರ್ವರ್‌ಗಳ ಪಟ್ಟಿಯನ್ನು ನವೀಕರಿಸಲು ಈ ಚಾನಲ್ ಅನ್ನು ಬಳಸಿದವು. ಹೋಸ್ಟಿಂಗ್ livejournal.com ನಲ್ಲಿದೆ, ವರದಿಯನ್ನು ಬರೆಯುವ ಸಮಯದಲ್ಲಿ ಅದು URL hxxp://f72bba81c921(.)livejournal(.)com/ data/rss ನಲ್ಲಿ ಉಳಿಯಿತು.

ಲೈವ್ ಜರ್ನಲ್ ಬ್ಲಾಗಿಂಗ್ ಪ್ಲಾಟ್‌ಫಾರ್ಮ್ ಅನ್ನು ಒದಗಿಸುವ ರಷ್ಯನ್-ಅಮೇರಿಕನ್ ಕಂಪನಿಯಾಗಿದೆ. RTM ನಿರ್ವಾಹಕರು LJ ಬ್ಲಾಗ್ ಅನ್ನು ರಚಿಸುತ್ತಾರೆ, ಅದರಲ್ಲಿ ಅವರು ಕೋಡೆಡ್ ಆಜ್ಞೆಗಳೊಂದಿಗೆ ಲೇಖನವನ್ನು ಪೋಸ್ಟ್ ಮಾಡುತ್ತಾರೆ - ಸ್ಕ್ರೀನ್‌ಶಾಟ್ ನೋಡಿ.

ಮಾರ್ಪಡಿಸಿದ RC4 ಅಲ್ಗಾರಿದಮ್ (ವಿಭಾಗ 4.2) ಬಳಸಿಕೊಂಡು ಆದೇಶ ಮತ್ತು ನಿಯಂತ್ರಣ ರೇಖೆಗಳನ್ನು ಎನ್ಕೋಡ್ ಮಾಡಲಾಗುತ್ತದೆ. ಚಾನೆಲ್‌ನ ಪ್ರಸ್ತುತ ಆವೃತ್ತಿಯು (ನವೆಂಬರ್ 2016) ಕೆಳಗಿನ ಆಜ್ಞೆ ಮತ್ತು ನಿಯಂತ್ರಣ ಸರ್ವರ್ ವಿಳಾಸಗಳನ್ನು ಒಳಗೊಂಡಿದೆ:

• hxxp://cainmoon(.)net/r/z.php
• hxxp://rtm(.)dev/0-3/z.php
• hxxp://vpntap(.)top/r/z.php

4.3.2. .ಬಿಟ್ ಡೊಮೇನ್‌ಗಳು

ಇತ್ತೀಚಿನ RTM ಮಾದರಿಗಳಲ್ಲಿ, ಲೇಖಕರು .bit TLD ಉನ್ನತ ಮಟ್ಟದ ಡೊಮೇನ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು C&C ಡೊಮೇನ್‌ಗಳಿಗೆ ಸಂಪರ್ಕಿಸುತ್ತಾರೆ. ಇದು ಉನ್ನತ ಮಟ್ಟದ ಡೊಮೇನ್‌ಗಳ ICANN (ಡೊಮೇನ್ ಹೆಸರು ಮತ್ತು ಇಂಟರ್ನೆಟ್ ಕಾರ್ಪೊರೇಷನ್) ಪಟ್ಟಿಯಲ್ಲಿಲ್ಲ. ಬದಲಿಗೆ, ಇದು ಬಿಟ್‌ಕಾಯಿನ್ ತಂತ್ರಜ್ಞಾನದ ಮೇಲೆ ನಿರ್ಮಿಸಲಾದ ನೇಮ್‌ಕಾಯಿನ್ ವ್ಯವಸ್ಥೆಯನ್ನು ಬಳಸುತ್ತದೆ. ಮಾಲ್‌ವೇರ್ ಲೇಖಕರು ತಮ್ಮ ಡೊಮೇನ್‌ಗಳಿಗಾಗಿ .bit TLD ಅನ್ನು ಹೆಚ್ಚಾಗಿ ಬಳಸುವುದಿಲ್ಲ, ಆದಾಗ್ಯೂ ಅಂತಹ ಬಳಕೆಯ ಉದಾಹರಣೆಯನ್ನು ಹಿಂದೆ Necurs botnet ನ ಆವೃತ್ತಿಯಲ್ಲಿ ಗಮನಿಸಲಾಗಿದೆ.

ಬಿಟ್‌ಕಾಯಿನ್‌ಗಿಂತ ಭಿನ್ನವಾಗಿ, ವಿತರಿಸಿದ ನೇಮ್‌ಕಾಯಿನ್ ಡೇಟಾಬೇಸ್‌ನ ಬಳಕೆದಾರರು ಡೇಟಾವನ್ನು ಉಳಿಸುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಹೊಂದಿದ್ದಾರೆ. ಈ ವೈಶಿಷ್ಟ್ಯದ ಮುಖ್ಯ ಅಪ್ಲಿಕೇಶನ್ .bit ಉನ್ನತ ಮಟ್ಟದ ಡೊಮೇನ್ ಆಗಿದೆ. ವಿತರಿಸಿದ ಡೇಟಾಬೇಸ್‌ನಲ್ಲಿ ಸಂಗ್ರಹಿಸಲಾಗುವ ಡೊಮೇನ್‌ಗಳನ್ನು ನೀವು ನೋಂದಾಯಿಸಬಹುದು. ಡೇಟಾಬೇಸ್‌ನಲ್ಲಿನ ಅನುಗುಣವಾದ ನಮೂದುಗಳು ಡೊಮೇನ್‌ನಿಂದ ಪರಿಹರಿಸಲ್ಪಟ್ಟ IP ವಿಳಾಸಗಳನ್ನು ಒಳಗೊಂಡಿರುತ್ತವೆ. ಈ TLD "ಸೆನ್ಸಾರ್ಶಿಪ್-ನಿರೋಧಕ" ಏಕೆಂದರೆ ನೋಂದಣಿದಾರರು ಮಾತ್ರ .bit ಡೊಮೇನ್‌ನ ರೆಸಲ್ಯೂಶನ್ ಅನ್ನು ಬದಲಾಯಿಸಬಹುದು. ಈ ರೀತಿಯ TLD ಅನ್ನು ಬಳಸಿಕೊಂಡು ದುರುದ್ದೇಶಪೂರಿತ ಡೊಮೇನ್ ಅನ್ನು ನಿಲ್ಲಿಸುವುದು ಹೆಚ್ಚು ಕಷ್ಟಕರವಾಗಿದೆ ಎಂದರ್ಥ.

ವಿತರಿಸಲಾದ ನೇಮ್‌ಕಾಯಿನ್ ಡೇಟಾಬೇಸ್ ಅನ್ನು ಓದಲು ಅಗತ್ಯವಾದ ಸಾಫ್ಟ್‌ವೇರ್ ಅನ್ನು RTM ಟ್ರೋಜನ್ ಎಂಬೆಡ್ ಮಾಡುವುದಿಲ್ಲ. ಇದು .bit ಡೊಮೇನ್‌ಗಳನ್ನು ಪರಿಹರಿಸಲು dns.dot-bit.org ಅಥವಾ OpenNic ಸರ್ವರ್‌ಗಳಂತಹ ಕೇಂದ್ರೀಯ DNS ಸರ್ವರ್‌ಗಳನ್ನು ಬಳಸುತ್ತದೆ. ಆದ್ದರಿಂದ, ಇದು DNS ಸರ್ವರ್‌ಗಳಂತೆಯೇ ಅದೇ ಬಾಳಿಕೆ ಹೊಂದಿದೆ. ಬ್ಲಾಗ್ ಪೋಸ್ಟ್‌ನಲ್ಲಿ ಪ್ರಸ್ತಾಪಿಸಿದ ನಂತರ ಕೆಲವು ತಂಡದ ಡೊಮೇನ್‌ಗಳು ಇನ್ನು ಮುಂದೆ ಪತ್ತೆಯಾಗಿಲ್ಲ ಎಂದು ನಾವು ಗಮನಿಸಿದ್ದೇವೆ.

ಹ್ಯಾಕರ್‌ಗಳಿಗಾಗಿ .bit TLD ಯ ಮತ್ತೊಂದು ಪ್ರಯೋಜನವೆಂದರೆ ವೆಚ್ಚ. ಡೊಮೇನ್ ಅನ್ನು ನೋಂದಾಯಿಸಲು, ಆಪರೇಟರ್‌ಗಳು ಕೇವಲ 0,01 NK ಅನ್ನು ಪಾವತಿಸಬೇಕಾಗುತ್ತದೆ, ಇದು $0,00185 ಗೆ ಅನುರೂಪವಾಗಿದೆ (ಡಿಸೆಂಬರ್ 5, 2016 ರಂತೆ). ಹೋಲಿಕೆಗಾಗಿ, domain.com ಕನಿಷ್ಠ $10 ವೆಚ್ಚವಾಗುತ್ತದೆ.

4.3.3. ಶಿಷ್ಟಾಚಾರ

ಕಮಾಂಡ್ ಮತ್ತು ಕಂಟ್ರೋಲ್ ಸರ್ವರ್‌ನೊಂದಿಗೆ ಸಂವಹನ ನಡೆಸಲು, RTM ಕಸ್ಟಮ್ ಪ್ರೋಟೋಕಾಲ್ ಬಳಸಿ ಫಾರ್ಮ್ಯಾಟ್ ಮಾಡಲಾದ ಡೇಟಾದೊಂದಿಗೆ HTTP POST ವಿನಂತಿಗಳನ್ನು ಬಳಸುತ್ತದೆ. ಮಾರ್ಗ ಮೌಲ್ಯವು ಯಾವಾಗಲೂ /r/z.php ಆಗಿರುತ್ತದೆ; Mozilla/5.0 ಬಳಕೆದಾರ ಏಜೆಂಟ್ (ಹೊಂದಾಣಿಕೆ; MSIE 9.0; Windows NT 6.1; Trident/5.0). ಸರ್ವರ್‌ಗೆ ವಿನಂತಿಗಳಲ್ಲಿ, ಡೇಟಾವನ್ನು ಈ ಕೆಳಗಿನಂತೆ ಫಾರ್ಮ್ಯಾಟ್ ಮಾಡಲಾಗಿದೆ, ಅಲ್ಲಿ ಆಫ್‌ಸೆಟ್ ಮೌಲ್ಯಗಳನ್ನು ಬೈಟ್‌ಗಳಲ್ಲಿ ವ್ಯಕ್ತಪಡಿಸಲಾಗುತ್ತದೆ:

0 ರಿಂದ 6 ಬೈಟ್‌ಗಳನ್ನು ಎನ್‌ಕೋಡ್ ಮಾಡಲಾಗಿಲ್ಲ; 6 ರಿಂದ ಪ್ರಾರಂಭವಾಗುವ ಬೈಟ್‌ಗಳನ್ನು ಮಾರ್ಪಡಿಸಿದ RC4 ಅಲ್ಗಾರಿದಮ್ ಬಳಸಿ ಎನ್‌ಕೋಡ್ ಮಾಡಲಾಗುತ್ತದೆ. C&C ಪ್ರತಿಕ್ರಿಯೆ ಪ್ಯಾಕೆಟ್‌ನ ರಚನೆಯು ಸರಳವಾಗಿದೆ. ಬೈಟ್‌ಗಳನ್ನು 4 ರಿಂದ ಪ್ಯಾಕೆಟ್ ಗಾತ್ರಕ್ಕೆ ಎನ್‌ಕೋಡ್ ಮಾಡಲಾಗಿದೆ.

ಸಂಭವನೀಯ ಕ್ರಿಯೆಯ ಬೈಟ್ ಮೌಲ್ಯಗಳ ಪಟ್ಟಿಯನ್ನು ಕೆಳಗಿನ ಕೋಷ್ಟಕದಲ್ಲಿ ಪ್ರಸ್ತುತಪಡಿಸಲಾಗಿದೆ:

ಮಾಲ್‌ವೇರ್ ಯಾವಾಗಲೂ ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಲಾದ ಡೇಟಾದ CRC32 ಅನ್ನು ಲೆಕ್ಕಾಚಾರ ಮಾಡುತ್ತದೆ ಮತ್ತು ಅದನ್ನು ಪ್ಯಾಕೆಟ್‌ನಲ್ಲಿ ಇರುವುದರೊಂದಿಗೆ ಹೋಲಿಸುತ್ತದೆ. ಅವು ಭಿನ್ನವಾಗಿದ್ದರೆ, ಟ್ರೋಜನ್ ಪ್ಯಾಕೆಟ್ ಅನ್ನು ಬೀಳಿಸುತ್ತದೆ.
ಹೆಚ್ಚುವರಿ ಡೇಟಾವು PE ಫೈಲ್, ಫೈಲ್ ಸಿಸ್ಟಮ್‌ನಲ್ಲಿ ಹುಡುಕಬೇಕಾದ ಫೈಲ್ ಅಥವಾ ಹೊಸ ಕಮಾಂಡ್ URL ಗಳನ್ನು ಒಳಗೊಂಡಂತೆ ವಿವಿಧ ವಸ್ತುಗಳನ್ನು ಒಳಗೊಂಡಿರಬಹುದು.

4.3.4. ಫಲಕ

C&C ಸರ್ವರ್‌ಗಳಲ್ಲಿ RTM ಪ್ಯಾನೆಲ್ ಅನ್ನು ಬಳಸುವುದನ್ನು ನಾವು ಗಮನಿಸಿದ್ದೇವೆ. ಕೆಳಗಿನ ಸ್ಕ್ರೀನ್‌ಶಾಟ್:

4.4 ವಿಶಿಷ್ಟ ಚಿಹ್ನೆ

RTM ಒಂದು ವಿಶಿಷ್ಟ ಬ್ಯಾಂಕಿಂಗ್ ಟ್ರೋಜನ್ ಆಗಿದೆ. ಆಪರೇಟರ್‌ಗಳು ಬಲಿಪಶುವಿನ ವ್ಯವಸ್ಥೆಯ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಬಯಸುವುದರಲ್ಲಿ ಆಶ್ಚರ್ಯವೇನಿಲ್ಲ. ಒಂದೆಡೆ, ಬೋಟ್ ಓಎಸ್ ಬಗ್ಗೆ ಸಾಮಾನ್ಯ ಮಾಹಿತಿಯನ್ನು ಸಂಗ್ರಹಿಸುತ್ತದೆ. ಮತ್ತೊಂದೆಡೆ, ರಾಜಿ ಮಾಡಿಕೊಂಡ ವ್ಯವಸ್ಥೆಯು ರಷ್ಯಾದ ರಿಮೋಟ್ ಬ್ಯಾಂಕಿಂಗ್ ವ್ಯವಸ್ಥೆಗಳಿಗೆ ಸಂಬಂಧಿಸಿದ ಗುಣಲಕ್ಷಣಗಳನ್ನು ಹೊಂದಿದೆಯೇ ಎಂದು ಕಂಡುಹಿಡಿಯುತ್ತದೆ.

4.4.1. ಸಾಮಾನ್ಯ ಮಾಹಿತಿ

ರೀಬೂಟ್ ಮಾಡಿದ ನಂತರ ಮಾಲ್‌ವೇರ್ ಅನ್ನು ಸ್ಥಾಪಿಸಿದಾಗ ಅಥವಾ ಪ್ರಾರಂಭಿಸಿದಾಗ, ಸಾಮಾನ್ಯ ಮಾಹಿತಿಯನ್ನು ಒಳಗೊಂಡಿರುವ ಕಮಾಂಡ್ ಮತ್ತು ಕಂಟ್ರೋಲ್ ಸರ್ವರ್‌ಗೆ ವರದಿಯನ್ನು ಕಳುಹಿಸಲಾಗುತ್ತದೆ:

• ಸಮಯ ವಲಯ;
• ಡೀಫಾಲ್ಟ್ ಸಿಸ್ಟಮ್ ಭಾಷೆ;
• ಅಧಿಕೃತ ಬಳಕೆದಾರ ರುಜುವಾತುಗಳು;
• ಪ್ರಕ್ರಿಯೆಯ ಸಮಗ್ರತೆಯ ಮಟ್ಟ;
• ಬಳಕೆದಾರ ಹೆಸರು;
• ಕಂಪ್ಯೂಟರ್ ಹೆಸರು;
• OS ಆವೃತ್ತಿ;
• ಹೆಚ್ಚುವರಿ ಸ್ಥಾಪಿಸಲಾದ ಮಾಡ್ಯೂಲ್ಗಳು;
• ಸ್ಥಾಪಿಸಲಾದ ಆಂಟಿವೈರಸ್ ಪ್ರೋಗ್ರಾಂ;
• ಸ್ಮಾರ್ಟ್ ಕಾರ್ಡ್ ಓದುಗರ ಪಟ್ಟಿ.

4.4.2 ರಿಮೋಟ್ ಬ್ಯಾಂಕಿಂಗ್ ವ್ಯವಸ್ಥೆ

ವಿಶಿಷ್ಟವಾದ ಟ್ರೋಜನ್ ಗುರಿಯು ದೂರಸ್ಥ ಬ್ಯಾಂಕಿಂಗ್ ವ್ಯವಸ್ಥೆಯಾಗಿದೆ ಮತ್ತು RTM ಇದಕ್ಕೆ ಹೊರತಾಗಿಲ್ಲ. ಪ್ರೋಗ್ರಾಂನ ಮಾಡ್ಯೂಲ್‌ಗಳಲ್ಲಿ ಒಂದನ್ನು TBdo ಎಂದು ಕರೆಯಲಾಗುತ್ತದೆ, ಇದು ಸ್ಕ್ಯಾನಿಂಗ್ ಡಿಸ್ಕ್ ಮತ್ತು ಬ್ರೌಸಿಂಗ್ ಇತಿಹಾಸ ಸೇರಿದಂತೆ ವಿವಿಧ ಕಾರ್ಯಗಳನ್ನು ನಿರ್ವಹಿಸುತ್ತದೆ.

ಡಿಸ್ಕ್ ಅನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡುವ ಮೂಲಕ, ಟ್ರೋಜನ್ ಯಂತ್ರದಲ್ಲಿ ಬ್ಯಾಂಕಿಂಗ್ ಸಾಫ್ಟ್‌ವೇರ್ ಅನ್ನು ಸ್ಥಾಪಿಸಲಾಗಿದೆಯೇ ಎಂದು ಪರಿಶೀಲಿಸುತ್ತದೆ. ಗುರಿ ಕಾರ್ಯಕ್ರಮಗಳ ಸಂಪೂರ್ಣ ಪಟ್ಟಿ ಕೆಳಗಿನ ಕೋಷ್ಟಕದಲ್ಲಿದೆ. ಆಸಕ್ತಿಯ ಫೈಲ್ ಅನ್ನು ಪತ್ತೆಹಚ್ಚಿದ ನಂತರ, ಪ್ರೋಗ್ರಾಂ ಕಮಾಂಡ್ ಸರ್ವರ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಕಳುಹಿಸುತ್ತದೆ. ಮುಂದಿನ ಕ್ರಮಗಳು ಕಮಾಂಡ್ ಸೆಂಟರ್ (C&C) ಅಲ್ಗಾರಿದಮ್‌ಗಳಿಂದ ನಿರ್ದಿಷ್ಟಪಡಿಸಿದ ತರ್ಕವನ್ನು ಅವಲಂಬಿಸಿರುತ್ತದೆ.

RTM ನಿಮ್ಮ ಬ್ರೌಸರ್ ಇತಿಹಾಸ ಮತ್ತು ತೆರೆದ ಟ್ಯಾಬ್‌ಗಳಲ್ಲಿ URL ಮಾದರಿಗಳನ್ನು ಸಹ ಹುಡುಕುತ್ತದೆ. ಹೆಚ್ಚುವರಿಯಾಗಿ, ಪ್ರೋಗ್ರಾಂ FindNextUrlCacheEntryA ಮತ್ತು FindFirstUrlCacheEntryA ಕಾರ್ಯಗಳ ಬಳಕೆಯನ್ನು ಪರಿಶೀಲಿಸುತ್ತದೆ ಮತ್ತು ಕೆಳಗಿನ ಮಾದರಿಗಳಲ್ಲಿ ಒಂದಕ್ಕೆ URL ಅನ್ನು ಹೊಂದಿಸಲು ಪ್ರತಿ ನಮೂದನ್ನು ಪರಿಶೀಲಿಸುತ್ತದೆ:

ತೆರೆದ ಟ್ಯಾಬ್‌ಗಳನ್ನು ಪತ್ತೆಹಚ್ಚಿದ ನಂತರ, ಟ್ರೋಜನ್ ಡೈನಾಮಿಕ್ ಡೇಟಾ ಎಕ್ಸ್‌ಚೇಂಜ್ (ಡಿಡಿಇ) ಕಾರ್ಯವಿಧಾನದ ಮೂಲಕ ಇಂಟರ್ನೆಟ್ ಎಕ್ಸ್‌ಪ್ಲೋರರ್ ಅಥವಾ ಫೈರ್‌ಫಾಕ್ಸ್ ಅನ್ನು ಸಂಪರ್ಕಿಸುತ್ತದೆ, ಟ್ಯಾಬ್ ಮಾದರಿಗೆ ಹೊಂದಿಕೆಯಾಗುತ್ತದೆಯೇ ಎಂದು ಪರಿಶೀಲಿಸುತ್ತದೆ.

ನಿಮ್ಮ ಬ್ರೌಸಿಂಗ್ ಇತಿಹಾಸ ಮತ್ತು ತೆರೆದ ಟ್ಯಾಬ್‌ಗಳನ್ನು ಪರಿಶೀಲಿಸುವುದನ್ನು WHILE ಲೂಪ್‌ನಲ್ಲಿ (ಪೂರ್ವಭಾವಿ ಷರತ್ತಿನೊಂದಿಗೆ ಲೂಪ್) ತಪಾಸಣೆಗಳ ನಡುವೆ 1 ಸೆಕೆಂಡ್ ವಿರಾಮದೊಂದಿಗೆ ನಿರ್ವಹಿಸಲಾಗುತ್ತದೆ. ನೈಜ ಸಮಯದಲ್ಲಿ ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಲಾದ ಇತರ ಡೇಟಾವನ್ನು ವಿಭಾಗ 4.5 ರಲ್ಲಿ ಚರ್ಚಿಸಲಾಗುವುದು.

ಒಂದು ನಮೂನೆ ಕಂಡುಬಂದರೆ, ಪ್ರೋಗ್ರಾಂ ಈ ಕೆಳಗಿನ ಕೋಷ್ಟಕದಿಂದ ಸ್ಟ್ರಿಂಗ್‌ಗಳ ಪಟ್ಟಿಯನ್ನು ಬಳಸಿಕೊಂಡು ಕಮಾಂಡ್ ಸರ್ವರ್‌ಗೆ ವರದಿ ಮಾಡುತ್ತದೆ:

4.5 ಮಾನಿಟರಿಂಗ್

ಟ್ರೋಜನ್ ಚಾಲನೆಯಲ್ಲಿರುವಾಗ, ಸೋಂಕಿತ ಸಿಸ್ಟಮ್‌ನ ವಿಶಿಷ್ಟ ಲಕ್ಷಣಗಳ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು (ಬ್ಯಾಂಕಿಂಗ್ ಸಾಫ್ಟ್‌ವೇರ್ ಇರುವಿಕೆಯ ಮಾಹಿತಿಯನ್ನು ಒಳಗೊಂಡಂತೆ) ಕಮಾಂಡ್ ಮತ್ತು ಕಂಟ್ರೋಲ್ ಸರ್ವರ್‌ಗೆ ಕಳುಹಿಸಲಾಗುತ್ತದೆ. ಆರಂಭಿಕ ಓಎಸ್ ಸ್ಕ್ಯಾನ್ ಮಾಡಿದ ತಕ್ಷಣ ಮಾನಿಟರಿಂಗ್ ಸಿಸ್ಟಮ್ ಅನ್ನು RTM ರನ್ ಮಾಡಿದಾಗ ಫಿಂಗರ್‌ಪ್ರಿಂಟಿಂಗ್ ಸಂಭವಿಸುತ್ತದೆ.

4.5.1. ರಿಮೋಟ್ ಬ್ಯಾಂಕಿಂಗ್

TBdo ಮಾಡ್ಯೂಲ್ ಬ್ಯಾಂಕಿಂಗ್-ಸಂಬಂಧಿತ ಪ್ರಕ್ರಿಯೆಗಳನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಲು ಸಹ ಕಾರಣವಾಗಿದೆ. ಆರಂಭಿಕ ಸ್ಕ್ಯಾನ್ ಸಮಯದಲ್ಲಿ ಫೈರ್‌ಫಾಕ್ಸ್ ಮತ್ತು ಇಂಟರ್ನೆಟ್ ಎಕ್ಸ್‌ಪ್ಲೋರರ್‌ನಲ್ಲಿ ಟ್ಯಾಬ್‌ಗಳನ್ನು ಪರಿಶೀಲಿಸಲು ಇದು ಡೈನಾಮಿಕ್ ಡೇಟಾ ವಿನಿಮಯವನ್ನು ಬಳಸುತ್ತದೆ. ಮತ್ತೊಂದು TShell ಮಾಡ್ಯೂಲ್ ಅನ್ನು ಕಮಾಂಡ್ ವಿಂಡೋಗಳನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಲು ಬಳಸಲಾಗುತ್ತದೆ (ಇಂಟರ್ನೆಟ್ ಎಕ್ಸ್ಪ್ಲೋರರ್ ಅಥವಾ ಫೈಲ್ ಎಕ್ಸ್ಪ್ಲೋರರ್).

ಮಾಡ್ಯೂಲ್ ವಿಂಡೋಸ್ ಅನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಲು COM ಇಂಟರ್ಫೇಸ್‌ಗಳಾದ IShellWindows, iWebBrowser, DWebBrowserEvents2 ಮತ್ತು IConnectionPointContainer ಅನ್ನು ಬಳಸುತ್ತದೆ. ಬಳಕೆದಾರರು ಹೊಸ ವೆಬ್ ಪುಟಕ್ಕೆ ನ್ಯಾವಿಗೇಟ್ ಮಾಡಿದಾಗ, ಮಾಲ್‌ವೇರ್ ಇದನ್ನು ಗಮನಿಸುತ್ತದೆ. ಇದು ನಂತರ ಪುಟದ URL ಅನ್ನು ಮೇಲಿನ ಮಾದರಿಗಳೊಂದಿಗೆ ಹೋಲಿಸುತ್ತದೆ. ಹೊಂದಾಣಿಕೆಯನ್ನು ಪತ್ತೆಹಚ್ಚಿದ ನಂತರ, ಟ್ರೋಜನ್ 5 ಸೆಕೆಂಡುಗಳ ಮಧ್ಯಂತರದೊಂದಿಗೆ ಸತತ ಆರು ಸ್ಕ್ರೀನ್‌ಶಾಟ್‌ಗಳನ್ನು ತೆಗೆದುಕೊಳ್ಳುತ್ತದೆ ಮತ್ತು ಅವುಗಳನ್ನು C&S ಕಮಾಂಡ್ ಸರ್ವರ್‌ಗೆ ಕಳುಹಿಸುತ್ತದೆ. ಪ್ರೋಗ್ರಾಂ ಬ್ಯಾಂಕಿಂಗ್ ಸಾಫ್ಟ್‌ವೇರ್‌ಗೆ ಸಂಬಂಧಿಸಿದ ಕೆಲವು ವಿಂಡೋ ಹೆಸರುಗಳನ್ನು ಸಹ ಪರಿಶೀಲಿಸುತ್ತದೆ - ಸಂಪೂರ್ಣ ಪಟ್ಟಿ ಕೆಳಗಿದೆ:

4.5.2. ಸ್ಮಾರ್ಟ್ ಕಾರ್ಡ್

ಸೋಂಕಿತ ಕಂಪ್ಯೂಟರ್‌ಗಳಿಗೆ ಸಂಪರ್ಕಗೊಂಡಿರುವ ಸ್ಮಾರ್ಟ್ ಕಾರ್ಡ್ ರೀಡರ್‌ಗಳನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಲು RTM ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. ಪಾವತಿ ಆದೇಶಗಳನ್ನು ಸಮನ್ವಯಗೊಳಿಸಲು ಈ ಸಾಧನಗಳನ್ನು ಕೆಲವು ದೇಶಗಳಲ್ಲಿ ಬಳಸಲಾಗುತ್ತದೆ. ಈ ರೀತಿಯ ಸಾಧನವನ್ನು ಕಂಪ್ಯೂಟರ್‌ಗೆ ಲಗತ್ತಿಸಿದರೆ, ಬ್ಯಾಂಕಿಂಗ್ ವ್ಯವಹಾರಗಳಿಗೆ ಯಂತ್ರವನ್ನು ಬಳಸಲಾಗುತ್ತಿದೆ ಎಂದು ಟ್ರೋಜನ್‌ಗೆ ಸೂಚಿಸಬಹುದು.

ಇತರ ಬ್ಯಾಂಕಿಂಗ್ ಟ್ರೋಜನ್‌ಗಳಂತೆ, RTM ಅಂತಹ ಸ್ಮಾರ್ಟ್ ಕಾರ್ಡ್‌ಗಳೊಂದಿಗೆ ಸಂವಹನ ನಡೆಸಲು ಸಾಧ್ಯವಿಲ್ಲ. ಬಹುಶಃ ಈ ಕಾರ್ಯವನ್ನು ನಾವು ಇನ್ನೂ ನೋಡದ ಹೆಚ್ಚುವರಿ ಮಾಡ್ಯೂಲ್‌ನಲ್ಲಿ ಸೇರಿಸಲಾಗಿದೆ.

4.5.3. ಕೀಲಿ ಭೇದಕ

ಸೋಂಕಿತ ಪಿಸಿಯನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡುವ ಪ್ರಮುಖ ಭಾಗವೆಂದರೆ ಕೀಸ್ಟ್ರೋಕ್‌ಗಳನ್ನು ಸೆರೆಹಿಡಿಯುವುದು. RTM ಡೆವಲಪರ್‌ಗಳು ಯಾವುದೇ ಮಾಹಿತಿಯನ್ನು ಕಳೆದುಕೊಂಡಿಲ್ಲ ಎಂದು ತೋರುತ್ತದೆ, ಏಕೆಂದರೆ ಅವರು ಸಾಮಾನ್ಯ ಕೀಗಳನ್ನು ಮಾತ್ರವಲ್ಲದೆ ವರ್ಚುವಲ್ ಕೀಬೋರ್ಡ್ ಮತ್ತು ಕ್ಲಿಪ್‌ಬೋರ್ಡ್ ಅನ್ನು ಸಹ ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡುತ್ತಾರೆ.

ಇದನ್ನು ಮಾಡಲು, SetWindowsHookExA ಕಾರ್ಯವನ್ನು ಬಳಸಿ. ದಾಳಿಕೋರರು ಒತ್ತಿದ ಕೀಗಳನ್ನು ಅಥವಾ ವರ್ಚುವಲ್ ಕೀಬೋರ್ಡ್‌ಗೆ ಅನುಗುಣವಾದ ಕೀಗಳನ್ನು ಪ್ರೋಗ್ರಾಂನ ಹೆಸರು ಮತ್ತು ದಿನಾಂಕದೊಂದಿಗೆ ಲಾಗ್ ಮಾಡುತ್ತಾರೆ. ನಂತರ ಬಫರ್ ಅನ್ನು C&C ಕಮಾಂಡ್ ಸರ್ವರ್‌ಗೆ ಕಳುಹಿಸಲಾಗುತ್ತದೆ.

ಕ್ಲಿಪ್‌ಬೋರ್ಡ್ ಅನ್ನು ಪ್ರತಿಬಂಧಿಸಲು SetClipboardViewer ಕಾರ್ಯವನ್ನು ಬಳಸಲಾಗುತ್ತದೆ. ಡೇಟಾ ಪಠ್ಯವಾಗಿರುವಾಗ ಹ್ಯಾಕರ್‌ಗಳು ಕ್ಲಿಪ್‌ಬೋರ್ಡ್‌ನ ವಿಷಯಗಳನ್ನು ಲಾಗ್ ಮಾಡುತ್ತಾರೆ. ಬಫರ್ ಅನ್ನು ಸರ್ವರ್‌ಗೆ ಕಳುಹಿಸುವ ಮೊದಲು ಹೆಸರು ಮತ್ತು ದಿನಾಂಕವನ್ನು ಸಹ ಲಾಗ್ ಮಾಡಲಾಗುತ್ತದೆ.

4.5.4. ಸ್ಕ್ರೀನ್‌ಶಾಟ್‌ಗಳು

ಮತ್ತೊಂದು RTM ಕಾರ್ಯವು ಸ್ಕ್ರೀನ್‌ಶಾಟ್ ಪ್ರತಿಬಂಧಕವಾಗಿದೆ. ವಿಂಡೋ ಮಾನಿಟರಿಂಗ್ ಮಾಡ್ಯೂಲ್ ಆಸಕ್ತಿಯ ಸೈಟ್ ಅಥವಾ ಬ್ಯಾಂಕಿಂಗ್ ಸಾಫ್ಟ್‌ವೇರ್ ಅನ್ನು ಪತ್ತೆ ಮಾಡಿದಾಗ ವೈಶಿಷ್ಟ್ಯವನ್ನು ಅನ್ವಯಿಸಲಾಗುತ್ತದೆ. ಗ್ರಾಫಿಕ್ ಚಿತ್ರಗಳ ಲೈಬ್ರರಿಯನ್ನು ಬಳಸಿಕೊಂಡು ಸ್ಕ್ರೀನ್‌ಶಾಟ್‌ಗಳನ್ನು ತೆಗೆದುಕೊಳ್ಳಲಾಗುತ್ತದೆ ಮತ್ತು ಕಮಾಂಡ್ ಸರ್ವರ್‌ಗೆ ವರ್ಗಾಯಿಸಲಾಗುತ್ತದೆ.

4.6. ಅಸ್ಥಾಪನೆ

C&C ಸರ್ವರ್ ಮಾಲ್‌ವೇರ್ ಅನ್ನು ಚಾಲನೆ ಮಾಡುವುದನ್ನು ನಿಲ್ಲಿಸಬಹುದು ಮತ್ತು ನಿಮ್ಮ ಕಂಪ್ಯೂಟರ್ ಅನ್ನು ಸ್ವಚ್ಛಗೊಳಿಸಬಹುದು. ಆರ್‌ಟಿಎಂ ಚಾಲನೆಯಲ್ಲಿರುವಾಗ ರಚಿಸಲಾದ ಫೈಲ್‌ಗಳು ಮತ್ತು ರಿಜಿಸ್ಟ್ರಿ ನಮೂದುಗಳನ್ನು ತೆರವುಗೊಳಿಸಲು ಆಜ್ಞೆಯು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. DLL ಅನ್ನು ನಂತರ ಮಾಲ್‌ವೇರ್ ಮತ್ತು ವಿನ್‌ಲಾಗನ್ ಫೈಲ್ ಅನ್ನು ತೆಗೆದುಹಾಕಲು ಬಳಸಲಾಗುತ್ತದೆ, ಅದರ ನಂತರ ಆಜ್ಞೆಯು ಕಂಪ್ಯೂಟರ್ ಅನ್ನು ಸ್ಥಗಿತಗೊಳಿಸುತ್ತದೆ. ಕೆಳಗಿನ ಚಿತ್ರದಲ್ಲಿ ತೋರಿಸಿರುವಂತೆ, erase.dll ಅನ್ನು ಬಳಸಿಕೊಂಡು ಡೆವಲಪರ್‌ಗಳಿಂದ DLL ಅನ್ನು ತೆಗೆದುಹಾಕಲಾಗುತ್ತದೆ.

ಸರ್ವರ್ ಟ್ರೋಜನ್‌ಗೆ ವಿನಾಶಕಾರಿ ಅನ್‌ಇನ್‌ಸ್ಟಾಲ್-ಲಾಕ್ ಆಜ್ಞೆಯನ್ನು ಕಳುಹಿಸಬಹುದು. ಈ ಸಂದರ್ಭದಲ್ಲಿ, ನೀವು ನಿರ್ವಾಹಕರ ಹಕ್ಕುಗಳನ್ನು ಹೊಂದಿದ್ದರೆ, RTM ಹಾರ್ಡ್ ಡ್ರೈವಿನಲ್ಲಿ MBR ಬೂಟ್ ಸೆಕ್ಟರ್ ಅನ್ನು ಅಳಿಸುತ್ತದೆ. ಇದು ವಿಫಲವಾದಲ್ಲಿ, ಟ್ರೋಜನ್ MBR ಬೂಟ್ ಸೆಕ್ಟರ್ ಅನ್ನು ಯಾದೃಚ್ಛಿಕ ವಲಯಕ್ಕೆ ಬದಲಾಯಿಸಲು ಪ್ರಯತ್ನಿಸುತ್ತದೆ - ನಂತರ ಕಂಪ್ಯೂಟರ್ ಸ್ಥಗಿತಗೊಳಿಸಿದ ನಂತರ OS ಅನ್ನು ಬೂಟ್ ಮಾಡಲು ಸಾಧ್ಯವಾಗುವುದಿಲ್ಲ. ಇದು OS ನ ಸಂಪೂರ್ಣ ಮರುಸ್ಥಾಪನೆಗೆ ಕಾರಣವಾಗಬಹುದು, ಅಂದರೆ ಪುರಾವೆಗಳ ನಾಶ.

ನಿರ್ವಾಹಕ ಸವಲತ್ತುಗಳಿಲ್ಲದೆ, ಮಾಲ್‌ವೇರ್ ಆಧಾರವಾಗಿರುವ RTM DLL ನಲ್ಲಿ ಎನ್‌ಕೋಡ್ ಮಾಡಲಾದ .EXE ಅನ್ನು ಬರೆಯುತ್ತದೆ. ಎಕ್ಸಿಕ್ಯೂಟಬಲ್ ಕಂಪ್ಯೂಟರ್ ಅನ್ನು ಸ್ಥಗಿತಗೊಳಿಸಲು ಅಗತ್ಯವಿರುವ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುತ್ತದೆ ಮತ್ತು ಮಾಡ್ಯೂಲ್ ಅನ್ನು HKCUCurrentVersionRun ರಿಜಿಸ್ಟ್ರಿ ಕೀಲಿಯಲ್ಲಿ ನೋಂದಾಯಿಸುತ್ತದೆ. ಬಳಕೆದಾರರು ಪ್ರತಿ ಬಾರಿ ಅಧಿವೇಶನವನ್ನು ಪ್ರಾರಂಭಿಸಿದಾಗ, ಕಂಪ್ಯೂಟರ್ ತಕ್ಷಣವೇ ಸ್ಥಗಿತಗೊಳ್ಳುತ್ತದೆ.

4.7. ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್

ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ, RTM ಬಹುತೇಕ ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್ ಅನ್ನು ಹೊಂದಿಲ್ಲ, ಆದರೆ ಕಮಾಂಡ್ ಮತ್ತು ಕಂಟ್ರೋಲ್ ಸರ್ವರ್ ಕಾನ್ಫಿಗರೇಶನ್ ಮೌಲ್ಯಗಳನ್ನು ಕಳುಹಿಸಬಹುದು, ಅದನ್ನು ನೋಂದಾವಣೆಯಲ್ಲಿ ಸಂಗ್ರಹಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ಪ್ರೋಗ್ರಾಂನಿಂದ ಬಳಸಲಾಗುತ್ತದೆ. ಕಾನ್ಫಿಗರೇಶನ್ ಕೀಗಳ ಪಟ್ಟಿಯನ್ನು ಕೆಳಗಿನ ಕೋಷ್ಟಕದಲ್ಲಿ ಪ್ರಸ್ತುತಪಡಿಸಲಾಗಿದೆ:

ಸಂರಚನೆಯನ್ನು ಸಾಫ್ಟ್‌ವೇರ್[ಹುಸಿ-ಯಾದೃಚ್ಛಿಕ ಸ್ಟ್ರಿಂಗ್] ರಿಜಿಸ್ಟ್ರಿ ಕೀಲಿಯಲ್ಲಿ ಸಂಗ್ರಹಿಸಲಾಗಿದೆ. ಪ್ರತಿಯೊಂದು ಮೌಲ್ಯವು ಹಿಂದಿನ ಕೋಷ್ಟಕದಲ್ಲಿ ಪ್ರಸ್ತುತಪಡಿಸಲಾದ ಸಾಲುಗಳಲ್ಲಿ ಒಂದಕ್ಕೆ ಅನುರೂಪವಾಗಿದೆ. RTM ನಲ್ಲಿ RC4 ಅಲ್ಗಾರಿದಮ್ ಬಳಸಿ ಮೌಲ್ಯಗಳು ಮತ್ತು ಡೇಟಾವನ್ನು ಎನ್ಕೋಡ್ ಮಾಡಲಾಗಿದೆ.

ಡೇಟಾವು ನೆಟ್‌ವರ್ಕ್ ಅಥವಾ ಸ್ಟ್ರಿಂಗ್‌ಗಳಂತೆಯೇ ಅದೇ ರಚನೆಯನ್ನು ಹೊಂದಿದೆ. ಎನ್ಕೋಡ್ ಮಾಡಲಾದ ಡೇಟಾದ ಆರಂಭದಲ್ಲಿ ನಾಲ್ಕು-ಬೈಟ್ XOR ಕೀಲಿಯನ್ನು ಸೇರಿಸಲಾಗುತ್ತದೆ. ಕಾನ್ಫಿಗರೇಶನ್ ಮೌಲ್ಯಗಳಿಗೆ, XOR ಕೀ ವಿಭಿನ್ನವಾಗಿದೆ ಮತ್ತು ಮೌಲ್ಯದ ಗಾತ್ರವನ್ನು ಅವಲಂಬಿಸಿರುತ್ತದೆ. ಇದನ್ನು ಈ ಕೆಳಗಿನಂತೆ ಲೆಕ್ಕ ಹಾಕಬಹುದು:

xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)

4.8. ಇತರ ವೈಶಿಷ್ಟ್ಯಗಳು

ಮುಂದೆ, RTM ಬೆಂಬಲಿಸುವ ಇತರ ಕಾರ್ಯಗಳನ್ನು ನೋಡೋಣ.

4.8.1. ಹೆಚ್ಚುವರಿ ಮಾಡ್ಯೂಲ್ಗಳು

ಟ್ರೋಜನ್ ಹೆಚ್ಚುವರಿ ಮಾಡ್ಯೂಲ್‌ಗಳನ್ನು ಒಳಗೊಂಡಿದೆ, ಅವುಗಳು DLL ಫೈಲ್‌ಗಳಾಗಿವೆ. C&C ಕಮಾಂಡ್ ಸರ್ವರ್‌ನಿಂದ ಕಳುಹಿಸಲಾದ ಮಾಡ್ಯೂಲ್‌ಗಳನ್ನು ಬಾಹ್ಯ ಪ್ರೋಗ್ರಾಂಗಳಾಗಿ ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದು, RAM ನಲ್ಲಿ ಪ್ರತಿಫಲಿಸುತ್ತದೆ ಮತ್ತು ಹೊಸ ಥ್ರೆಡ್‌ಗಳಲ್ಲಿ ಪ್ರಾರಂಭಿಸಬಹುದು. ಶೇಖರಣೆಗಾಗಿ, ಮಾಡ್ಯೂಲ್‌ಗಳನ್ನು .dtt ಫೈಲ್‌ಗಳಲ್ಲಿ ಉಳಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ನೆಟ್‌ವರ್ಕ್ ಸಂವಹನಗಳಿಗೆ ಬಳಸುವ ಅದೇ ಕೀಲಿಯೊಂದಿಗೆ RC4 ಅಲ್ಗಾರಿದಮ್ ಬಳಸಿ ಎನ್‌ಕೋಡ್ ಮಾಡಲಾಗುತ್ತದೆ.

ಇಲ್ಲಿಯವರೆಗೆ ನಾವು VNC ಮಾಡ್ಯೂಲ್ (8966319882494077C21F66A8354E2CBCA0370464), ಬ್ರೌಸರ್ ಡೇಟಾ ಹೊರತೆಗೆಯುವಿಕೆ ಮಾಡ್ಯೂಲ್ (03DE8622BE6B2F75A364A275995C3411626C4) ನ ಸ್ಥಾಪನೆಯನ್ನು ಗಮನಿಸಿದ್ದೇವೆ 9E1F2EFC1FBA562B 1BE69D6B58E88753CFAB).

VNC ಮಾಡ್ಯೂಲ್ ಅನ್ನು ಲೋಡ್ ಮಾಡಲು, C&C ಸರ್ವರ್ ಪೋರ್ಟ್ 44443 ನಲ್ಲಿ ನಿರ್ದಿಷ್ಟ IP ವಿಳಾಸದಲ್ಲಿ VNC ಸರ್ವರ್‌ಗೆ ಸಂಪರ್ಕಗಳನ್ನು ವಿನಂತಿಸುವ ಆದೇಶವನ್ನು ನೀಡುತ್ತದೆ. ಬ್ರೌಸರ್ ಡೇಟಾ ಮರುಪಡೆಯುವಿಕೆ ಪ್ಲಗಿನ್ TBrowserDataCollector ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುತ್ತದೆ, ಇದು IE ಬ್ರೌಸಿಂಗ್ ಇತಿಹಾಸವನ್ನು ಓದಬಹುದು. ನಂತರ ಇದು ಭೇಟಿ ನೀಡಿದ URL ಗಳ ಸಂಪೂರ್ಣ ಪಟ್ಟಿಯನ್ನು C&C ಕಮಾಂಡ್ ಸರ್ವರ್‌ಗೆ ಕಳುಹಿಸುತ್ತದೆ.

ಪತ್ತೆಯಾದ ಕೊನೆಯ ಮಾಡ್ಯೂಲ್ ಅನ್ನು 1c_2_kl ಎಂದು ಕರೆಯಲಾಗುತ್ತದೆ. ಇದು 1C ಎಂಟರ್‌ಪ್ರೈಸ್ ಸಾಫ್ಟ್‌ವೇರ್ ಪ್ಯಾಕೇಜ್‌ನೊಂದಿಗೆ ಸಂವಹನ ನಡೆಸಬಹುದು. ಮಾಡ್ಯೂಲ್ ಎರಡು ಭಾಗಗಳನ್ನು ಒಳಗೊಂಡಿದೆ: ಮುಖ್ಯ ಭಾಗ - DLL ಮತ್ತು ಎರಡು ಏಜೆಂಟ್‌ಗಳು (32 ಮತ್ತು 64 ಬಿಟ್), ಇದನ್ನು ಪ್ರತಿ ಪ್ರಕ್ರಿಯೆಗೆ ಚುಚ್ಚಲಾಗುತ್ತದೆ, WH_CBT ಗೆ ಬಂಧಿಸುವಿಕೆಯನ್ನು ನೋಂದಾಯಿಸುತ್ತದೆ. 1C ಪ್ರಕ್ರಿಯೆಗೆ ಪರಿಚಯಿಸಿದ ನಂತರ, ಮಾಡ್ಯೂಲ್ CreateFile ಮತ್ತು WriteFile ಕಾರ್ಯಗಳನ್ನು ಬಂಧಿಸುತ್ತದೆ. ಕ್ರಿಯೇಟ್‌ಫೈಲ್ ಬೌಂಡ್ ಕಾರ್ಯವನ್ನು ಕರೆಯುವಾಗ, ಮಾಡ್ಯೂಲ್ 1c_to_kl.txt ಫೈಲ್ ಪಾತ್ ಅನ್ನು ಮೆಮೊರಿಯಲ್ಲಿ ಸಂಗ್ರಹಿಸುತ್ತದೆ. WriteFile ಕರೆಯನ್ನು ಪ್ರತಿಬಂಧಿಸಿದ ನಂತರ, ಅದು WriteFile ಕಾರ್ಯವನ್ನು ಕರೆಯುತ್ತದೆ ಮತ್ತು 1c_to_kl.txt ಫೈಲ್ ಮಾರ್ಗವನ್ನು ಮುಖ್ಯ DLL ಮಾಡ್ಯೂಲ್‌ಗೆ ಕಳುಹಿಸುತ್ತದೆ, ಇದು ರಚಿಸಲಾದ Windows WM_COPYDATA ಸಂದೇಶವನ್ನು ರವಾನಿಸುತ್ತದೆ.

ಪಾವತಿ ಆದೇಶಗಳನ್ನು ನಿರ್ಧರಿಸಲು ಮುಖ್ಯ DLL ಮಾಡ್ಯೂಲ್ ಫೈಲ್ ಅನ್ನು ತೆರೆಯುತ್ತದೆ ಮತ್ತು ಪಾರ್ಸ್ ಮಾಡುತ್ತದೆ. ಇದು ಫೈಲ್‌ನಲ್ಲಿರುವ ಮೊತ್ತ ಮತ್ತು ವಹಿವಾಟಿನ ಸಂಖ್ಯೆಯನ್ನು ಗುರುತಿಸುತ್ತದೆ. ಈ ಮಾಹಿತಿಯನ್ನು ಕಮಾಂಡ್ ಸರ್ವರ್‌ಗೆ ಕಳುಹಿಸಲಾಗುತ್ತದೆ. ಈ ಮಾಡ್ಯೂಲ್ ಪ್ರಸ್ತುತ ಅಭಿವೃದ್ಧಿಯಲ್ಲಿದೆ ಎಂದು ನಾವು ನಂಬುತ್ತೇವೆ ಏಕೆಂದರೆ ಇದು ಡೀಬಗ್ ಸಂದೇಶವನ್ನು ಹೊಂದಿದೆ ಮತ್ತು 1c_to_kl.txt ಅನ್ನು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಮಾರ್ಪಡಿಸಲು ಸಾಧ್ಯವಿಲ್ಲ.

4.8.2. ಸವಲತ್ತು ಹೆಚ್ಚಳ

RTM ಸುಳ್ಳು ದೋಷ ಸಂದೇಶಗಳನ್ನು ಪ್ರದರ್ಶಿಸುವ ಮೂಲಕ ಸವಲತ್ತುಗಳನ್ನು ಹೆಚ್ಚಿಸಲು ಪ್ರಯತ್ನಿಸಬಹುದು. ಮಾಲ್‌ವೇರ್ ರಿಜಿಸ್ಟ್ರಿ ಚೆಕ್ ಅನ್ನು ಅನುಕರಿಸುತ್ತದೆ (ಕೆಳಗಿನ ಚಿತ್ರವನ್ನು ನೋಡಿ) ಅಥವಾ ನೈಜ ರಿಜಿಸ್ಟ್ರಿ ಎಡಿಟರ್ ಐಕಾನ್ ಅನ್ನು ಬಳಸುತ್ತದೆ. ತಪ್ಪಾದ ಕಾಗುಣಿತವನ್ನು ದಯವಿಟ್ಟು ಗಮನಿಸಿ - ಏನು. ಕೆಲವು ಸೆಕೆಂಡುಗಳ ಸ್ಕ್ಯಾನಿಂಗ್ ನಂತರ, ಪ್ರೋಗ್ರಾಂ ತಪ್ಪು ದೋಷ ಸಂದೇಶವನ್ನು ಪ್ರದರ್ಶಿಸುತ್ತದೆ.

ವ್ಯಾಕರಣ ದೋಷಗಳ ಹೊರತಾಗಿಯೂ ಸುಳ್ಳು ಸಂದೇಶವು ಸರಾಸರಿ ಬಳಕೆದಾರರನ್ನು ಸುಲಭವಾಗಿ ಮೋಸಗೊಳಿಸುತ್ತದೆ. ಬಳಕೆದಾರರು ಎರಡು ಲಿಂಕ್‌ಗಳಲ್ಲಿ ಒಂದನ್ನು ಕ್ಲಿಕ್ ಮಾಡಿದರೆ, RTM ಸಿಸ್ಟಮ್‌ನಲ್ಲಿ ಅದರ ಸವಲತ್ತುಗಳನ್ನು ಹೆಚ್ಚಿಸಲು ಪ್ರಯತ್ನಿಸುತ್ತದೆ.

ಎರಡು ಮರುಪ್ರಾಪ್ತಿ ಆಯ್ಕೆಗಳಲ್ಲಿ ಒಂದನ್ನು ಆಯ್ಕೆ ಮಾಡಿದ ನಂತರ, ಟ್ರೋಜನ್ ನಿರ್ವಾಹಕ ಸವಲತ್ತುಗಳೊಂದಿಗೆ ShellExecute ಕಾರ್ಯದಲ್ಲಿ ರುನಾಸ್ ಆಯ್ಕೆಯನ್ನು ಬಳಸಿಕೊಂಡು DLL ಅನ್ನು ಪ್ರಾರಂಭಿಸುತ್ತದೆ. ಬಳಕೆದಾರರು ಎತ್ತರಕ್ಕಾಗಿ ನಿಜವಾದ ವಿಂಡೋಸ್ ಪ್ರಾಂಪ್ಟ್ ಅನ್ನು ನೋಡುತ್ತಾರೆ (ಕೆಳಗಿನ ಚಿತ್ರವನ್ನು ನೋಡಿ). ಬಳಕೆದಾರರು ಅಗತ್ಯ ಅನುಮತಿಗಳನ್ನು ನೀಡಿದರೆ, ಟ್ರೋಜನ್ ನಿರ್ವಾಹಕರ ಸವಲತ್ತುಗಳೊಂದಿಗೆ ರನ್ ಆಗುತ್ತದೆ.

ಸಿಸ್ಟಮ್‌ನಲ್ಲಿ ಸ್ಥಾಪಿಸಲಾದ ಡೀಫಾಲ್ಟ್ ಭಾಷೆಯನ್ನು ಅವಲಂಬಿಸಿ, ಟ್ರೋಜನ್ ದೋಷ ಸಂದೇಶಗಳನ್ನು ರಷ್ಯನ್ ಅಥವಾ ಇಂಗ್ಲಿಷ್‌ನಲ್ಲಿ ಪ್ರದರ್ಶಿಸುತ್ತದೆ.

4.8.3. ಪ್ರಮಾಣಪತ್ರ

RTM ವಿಂಡೋಸ್ ಸ್ಟೋರ್‌ಗೆ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಸೇರಿಸಬಹುದು ಮತ್ತು csrss.exe ಸಂವಾದ ಪೆಟ್ಟಿಗೆಯಲ್ಲಿರುವ "ಹೌದು" ಬಟನ್ ಅನ್ನು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಕ್ಲಿಕ್ ಮಾಡುವ ಮೂಲಕ ಸೇರ್ಪಡೆಯ ವಿಶ್ವಾಸಾರ್ಹತೆಯನ್ನು ದೃಢೀಕರಿಸಬಹುದು. ಈ ನಡವಳಿಕೆಯು ಹೊಸದಲ್ಲ, ಉದಾಹರಣೆಗೆ, ಬ್ಯಾಂಕಿಂಗ್ ಟ್ರೋಜನ್ ರೆಟೆಫ್ ಸ್ವತಂತ್ರವಾಗಿ ಹೊಸ ಪ್ರಮಾಣಪತ್ರದ ಸ್ಥಾಪನೆಯನ್ನು ಖಚಿತಪಡಿಸುತ್ತದೆ.

4.8.4. ರಿವರ್ಸ್ ಸಂಪರ್ಕ

RTM ಲೇಖಕರು ಬ್ಯಾಕ್‌ಕನೆಕ್ಟ್ TCP ಸುರಂಗವನ್ನು ಸಹ ರಚಿಸಿದ್ದಾರೆ. ನಾವು ಇನ್ನೂ ಬಳಕೆಯಲ್ಲಿರುವ ವೈಶಿಷ್ಟ್ಯವನ್ನು ನೋಡಿಲ್ಲ, ಆದರೆ ಸೋಂಕಿತ PC ಗಳನ್ನು ದೂರದಿಂದಲೇ ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಲು ಇದನ್ನು ವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿದೆ.

4.8.5. ಹೋಸ್ಟ್ ಫೈಲ್ ನಿರ್ವಹಣೆ

C&C ಸರ್ವರ್ ವಿಂಡೋಸ್ ಹೋಸ್ಟ್ ಫೈಲ್ ಅನ್ನು ಮಾರ್ಪಡಿಸಲು ಟ್ರೋಜನ್‌ಗೆ ಆಜ್ಞೆಯನ್ನು ಕಳುಹಿಸಬಹುದು. ಕಸ್ಟಮ್ DNS ರೆಸಲ್ಯೂಶನ್‌ಗಳನ್ನು ರಚಿಸಲು ಹೋಸ್ಟ್ ಫೈಲ್ ಅನ್ನು ಬಳಸಲಾಗುತ್ತದೆ.

4.8.6. ಫೈಲ್ ಅನ್ನು ಹುಡುಕಿ ಮತ್ತು ಕಳುಹಿಸಿ

ಸೋಂಕಿತ ಸಿಸ್ಟಮ್‌ನಲ್ಲಿ ಫೈಲ್ ಅನ್ನು ಹುಡುಕಲು ಮತ್ತು ಡೌನ್‌ಲೋಡ್ ಮಾಡಲು ಸರ್ವರ್ ವಿನಂತಿಸಬಹುದು. ಉದಾಹರಣೆಗೆ, ಸಂಶೋಧನೆಯ ಸಮಯದಲ್ಲಿ ನಾವು 1c_to_kl.txt ಫೈಲ್‌ಗಾಗಿ ವಿನಂತಿಯನ್ನು ಸ್ವೀಕರಿಸಿದ್ದೇವೆ. ಹಿಂದೆ ವಿವರಿಸಿದಂತೆ, ಈ ಫೈಲ್ ಅನ್ನು 1C: ಎಂಟರ್‌ಪ್ರೈಸ್ 8 ಲೆಕ್ಕಪತ್ರ ವ್ಯವಸ್ಥೆಯಿಂದ ರಚಿಸಲಾಗಿದೆ.

4.8.7. ನವೀಕರಿಸಿ

ಅಂತಿಮವಾಗಿ, ಪ್ರಸ್ತುತ ಆವೃತ್ತಿಯನ್ನು ಬದಲಿಸಲು ಹೊಸ DLL ಅನ್ನು ಸಲ್ಲಿಸುವ ಮೂಲಕ RTM ಲೇಖಕರು ಸಾಫ್ಟ್‌ವೇರ್ ಅನ್ನು ನವೀಕರಿಸಬಹುದು.

5. ತೀರ್ಮಾನ

RTM ನ ಸಂಶೋಧನೆಯು ರಷ್ಯಾದ ಬ್ಯಾಂಕಿಂಗ್ ವ್ಯವಸ್ಥೆಯು ಇನ್ನೂ ಸೈಬರ್ ದಾಳಿಕೋರರನ್ನು ಆಕರ್ಷಿಸುತ್ತದೆ ಎಂದು ತೋರಿಸುತ್ತದೆ. Buhtrap, Corkow ಮತ್ತು Carbanak ನಂತಹ ಗುಂಪುಗಳು ರಷ್ಯಾದಲ್ಲಿ ಹಣಕಾಸು ಸಂಸ್ಥೆಗಳು ಮತ್ತು ಅವರ ಗ್ರಾಹಕರಿಂದ ಹಣವನ್ನು ಯಶಸ್ವಿಯಾಗಿ ಕದಿಯುತ್ತವೆ. RTM ಈ ಉದ್ಯಮದಲ್ಲಿ ಹೊಸ ಆಟಗಾರ.

ESET ಟೆಲಿಮೆಟ್ರಿ ಪ್ರಕಾರ, ದುರುದ್ದೇಶಪೂರಿತ RTM ಉಪಕರಣಗಳು ಕನಿಷ್ಠ 2015 ರ ಅಂತ್ಯದಿಂದಲೂ ಬಳಕೆಯಲ್ಲಿವೆ. ಪ್ರೋಗ್ರಾಂ ಸ್ಮಾರ್ಟ್ ಕಾರ್ಡ್‌ಗಳನ್ನು ಓದುವುದು, ಕೀಸ್ಟ್ರೋಕ್‌ಗಳನ್ನು ಪ್ರತಿಬಂಧಿಸುವುದು ಮತ್ತು ಬ್ಯಾಂಕಿಂಗ್ ವಹಿವಾಟುಗಳನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡುವುದು, ಹಾಗೆಯೇ 1C: ಎಂಟರ್‌ಪ್ರೈಸ್ 8 ಸಾರಿಗೆ ಫೈಲ್‌ಗಳನ್ನು ಹುಡುಕುವುದು ಸೇರಿದಂತೆ ಪೂರ್ಣ ಶ್ರೇಣಿಯ ಬೇಹುಗಾರಿಕೆ ಸಾಮರ್ಥ್ಯಗಳನ್ನು ಹೊಂದಿದೆ.

ವಿಕೇಂದ್ರೀಕೃತ, ಸೆನ್ಸಾರ್ ಮಾಡದ .bit ಉನ್ನತ ಮಟ್ಟದ ಡೊಮೇನ್‌ನ ಬಳಕೆಯು ಹೆಚ್ಚು ಸ್ಥಿತಿಸ್ಥಾಪಕ ಮೂಲಸೌಕರ್ಯವನ್ನು ಖಾತ್ರಿಗೊಳಿಸುತ್ತದೆ.

ಮೂಲ: www.habr.com