Gelek komên sîber ên naskirî hene ku di dizîna fonên pargîdaniyên rûsî de pispor in. Me êrîşan dît ku qulên ewlehiyê bikar tînin ku destûrê didin gihîştina tora armancê. Dema ku ew gihîştinê, êrîşkar strukturên torê yên rêxistinê lêkolîn dikin û amûrên xwe ji bo dizîna drav bikar tînin. Mînaka klasîk a vê meylê komên hacker ên Buhtrap, Cobalt û Corkow e.
Koma RTM ya ku ev rapor li ser disekine beşek ji vê meylê ye. Ew malware-ya taybetî hatî sêwirandin ku li Delphi hatî nivîsandin bikar tîne, ku em ê di beşên jêrîn de bi hûrgulî lê binêrin. Yekem şopên van amûran di pergala telemetrî ya ESET de di dawiya sala 2015-an de hatin dîtin. Tîm li gorî hewcedariyê modulên cihêreng ên nû li pergalên vegirtî bar dike. Êrîş li dijî bikarhênerên pergalên bankingê yên dûr ên li Rûsya û hin welatên cîran têne armanc kirin.
1. Armanc
Kampanyaya RTM ji bikarhênerên pargîdanî re armanc e - ev ji pêvajoyên ku êrîşkar hewl didin ku di pergalek lihevhatî de tespît bikin diyar e. Balkêş li ser nermalava hesabkirinê ye ji bo xebata bi pergalên bankingê yên dûr.
Navnîşa pêvajoyên balkêş ên RTM dişibihe navnîşa têkildar a koma Buhtrap, lê kom xwedî vektorên enfeksiyonê yên cihê ne. Ger Buhtrap pir caran rûpelên sexte bikar anî, wê hingê RTM êrîşên dakêşanê yên ajotinê (êrîşên li ser gerok an pêkhateyên wê) û spammkirina bi e-nameyê bikar anî. Li gorî daneyên telemetrî, gef li Rûsya û çend welatên derdorê (Ukrayna, Kazakistan, Komara Çek, Almanya) tê kirin. Lêbelê, ji ber karanîna mekanîzmayên belavkirina girseyî, tespîtkirina malware li derveyî herêmên armanc ne ecêb e.
Hejmara giştî ya tespîtên malware bi nisbeten hindik e. Ji hêla din ve, kampanyaya RTM bernameyên tevlihev bikar tîne, ku nîşan dide ku êrîş pir têne armanc kirin.
Me gelek belgeyên xapînok ên ku ji hêla RTM ve têne bikar anîn vedîtin, di nav de peymanên neheyî, fatûre an belgeyên hesabê bacê. Cewhera kelûpelan, digel celebê nermalava ku ji hêla êrîşê ve hatî armanc kirin, nîşan dide ku êrîşkar bi riya beşa hesabkirinê "dikevin nav torên pargîdaniyên rûsî". Kom jî li gorî heman planê tevdigerin di salên 2014-2015 de
Di dema lêkolînê de, me karî bi gelek serverên C&C re têkilî daynin. Em ê di beşên jêrîn de navnîşa tevahî ya fermanan navnîş bikin, lê ji bo naha em dikarin bibêjin ku xerîdar daneyan ji keylogger rasterast diguhezîne servera êrîşkar, ku ji wir fermanên din têne wergirtin.
Lêbelê, rojên ku hûn tenê dikarin bi serverek ferman û kontrolê ve girêdin û hemî daneyên ku hûn jê re eleqedar bûn berhev bikin, çûn. Me pelên têketinê yên rastîn ji nû ve afirand da ku hin emrên têkildar ji serverê bistînin.
Yekem ji wan daxwazek ji botê ye ku pelê 1c_to_kl.txt veguhezîne - pelek veguheztinê ya bernameya 1C: Enterprise 8, ku xuyangiya wê ji hêla RTM ve bi çalak tê şopandin. 1C bi pergalên bankingê yên dûr re têkilî datîne û daneyên li ser dravdanên derketinê li pelek nivîsê bar dike. Dûv re, pel ji bo otomasyon û pêkanîna fermana dravdanê ji pergala bankingê ya dûr re tê şandin.
Di pelê de hûrguliyên dravdanê hene. Ger êrîşkar agahdariya der barê dravdanên derketinê de biguhezînin, dê veguheztin bi karanîna hûrguliyên derewîn ji hesabên êrîşkaran re were şandin.
Nêzîkî mehekê piştî daxwaza van pelan ji servera ferman û kontrolê, me dît ku pêvekek nû, 1c_2_kl.dll, li ser pergala lihevhatî hate barkirin. Modula (DLL) hatiye dîzaynkirin ku bixweber pelê dakêşanê bi navgîniya pêvajoyên nermalava hesabkirinê analîz bike. Em ê di beşên jêrîn de bi berfirehî rave bikin.
Balkêş e, FinCERT ya Banka Rûsyayê di dawiya sala 2016-an de hişyariyek bultenê li ser sûcdarên sîber ku pelên barkirina 1c_to_kl.txt bikar tînin belav kir. Pêşdebirên ji 1C jî di derbarê vê pilanê de dizanin ku wan berê daxuyaniyek fermî dane û tedbîrên xwe navnîş kirine.
Modulên din jî ji servera fermanê, nemaze VNC (guhertoyên wê 32 û 64-bit) hatin barkirin. Ew dişibe modula VNC ya ku berê di êrîşên Dridex Trojan de hatî bikar anîn. Ev modul tê texmîn kirin ku ji dûr ve bi komputerek vegirtî ve were girêdan û lêkolînek hûrgulî ya pergalê bike. Dûv re, êrîşkar hewl didin ku li dora torê bigerin, şîfreyên bikarhêner derxînin, agahdarî berhev bikin û hebûna domdar a malware piştrast bikin.
2. Vektorên enfeksiyonê
Nîgara jêrîn vektorên enfeksiyonê yên ku di heyama lêkolînê ya kampanyayê de hatine tespît kirin nîşan dide. Kom cûrbecûr vektoran bikar tîne, lê bi giranî êrişên dakêşana ajotinê û spam-ê bikar tîne. Van amûran ji bo êrîşên armanckirî rehet in, ji ber ku di doza yekem de, êrîşkar dikarin malperên ku ji hêla mexdûrên potansiyel ve hatine ziyaret kirin hilbijêrin, û di ya duyemîn de, ew dikarin e-nameyê bi pêvekan rasterast ji xebatkarên pargîdaniya xwestinê re bişînin.
Malware bi gelek kanalan ve tê belav kirin, di nav de kîtên îstîsmarê yên RIG û Sundown an şandinên spam, girêdanên di navbera êrîşker û êrîşkarên sîber ên din ên ku van karûbaran pêşkêş dikin destnîşan dikin.
2.1. RTM û Buhtrap çawa bi hev ve girêdayî ne?
Kampanyaya RTM pir dişibe Buhtrap. Pirsa xwezayî ev e: ew çawa bi hev re têkildar in?
Di Îlona 2016-an de, me dît ku nimûneyek RTM ku bi karanîna barkirina Buhtrap ve hatî belavkirin. Wekî din, me du sertîfîkayên dîjîtal ên ku hem di Buhtrap û hem jî di RTM de têne bikar anîn dîtin.
Ya yekem, ku tê îddîakirin ku ji pargîdaniya DNISTER-M re hatî şandin, ji bo îmzekirina forma duyemîn a Delphi (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) û Buhtrap DLL (SHA-1BC1F2642) hate bikar anîn. F454D2).
Ya duyemîn, ku ji Bit-Tredj re hatî şandin, ji bo îmzekirina barkerên Buhtrap (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 û B74F71560E48488D2153AE2FAB51207 û her weha dakêşanên R0AE206FA2) hate bikar anîn.
Operatorên RTM sertîfîkayên ku di nav malbatên malware yên din de hevpar in bikar tînin, lê wan jî sertîfîkayek bêhempa heye. Li gorî telemetrîya ESET, ew ji Kit-SD re hate şandin û tenê ji bo îmzekirina hin malware RTM hate bikar anîn (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM heman barkerê wekî Buhtrap bikar tîne, hêmanên RTM ji binesaziya Buhtrap têne barkirin, ji ber vê yekê kom xwedan nîşanên torê yên wekhev in. Lêbelê, li gorî texmînên me, RTM û Buhtrap komên cûda ne, bi kêmanî ji ber ku RTM bi awayên cûda têne belav kirin (ne tenê dakêşkerek "biyanî" bikar tînin).
Tevî vê yekê, komên hacker prensîbên xebitandinê yên wekhev bikar tînin. Ew karsaziyên ku nermalava hesabkirinê bikar tînin armanc dikin, bi heman rengî agahdariya pergalê berhev dikin, li xwendevanên qerta zîrek digerin, û komek amûrên xerab ji bo sîxuriya mexdûran bicîh dikin.
3. Evolution
Di vê beşê de, em ê li guhertoyên cûda yên malware ku di dema lêkolînê de hatine dîtin binêrin.
3.1. Versioning
RTM daneyên mîhengê di beşa qeydê de hilîne, beşa herî balkêş botnet-prefix e. Navnîşek hemî nirxên ku me di nimûneyên ku me lêkolîn kir de di tabloya jêrîn de têne pêşkêş kirin.
Mimkun e ku nirx ji bo tomarkirina guhertoyên malware werin bikar anîn. Lêbelê, me di navbera guhertoyên wekî bit2 û bit3, 0.1.6.4 û 0.1.6.6 de pir cûdahî nedît. Wekî din, yek ji pêşgiran ji destpêkê ve heye û ji domanek C&C-ya tîpîk berbi domainek .bit veguherî ye, wekî ku dê li jêr were destnîşan kirin.
3.2. Pîlan
Bi karanîna daneyên telemetryê, me grafiyek bûyera nimûneyan çêkir.
4. Analîza teknîkî
Di vê beşê de, em ê fonksiyonên sereke yên Trojan banking RTM, di nav de mekanîzmayên berxwedanê, guhertoya wê ya algorîtmaya RC4, protokola torê, fonksiyona sîxuriyê û hin taybetmendiyên din diyar bikin. Bi taybetî, em ê li ser nimûneyên SHA-1 AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 û 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B bisekinin.
4.1. Sazkirin û hilanîn
4.1.1. Pêkanîna
Navika RTM DLL ye, pirtûkxane bi karanîna .EXE li ser dîskê tê barkirin. Pelê darvekirî bi gelemperî pakkirî ye û koda DLL-ê dihewîne. Piştî destpêkirinê, ew DLL-ê derdixe û bi karanîna fermana jêrîn dimeşîne:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. DLL
DLL-ya sereke her gav wekî winlogon.lnk di peldanka %PROGRAMDATA%Winlogon de li dîskê tê barkirin. Ev dirêjkirina pelê bi gelemperî bi kurtebirek ve girêdayî ye, lê pel bi rastî DLL-yek e ku li Delphi-yê hatî nivîsandin, wekî ku di wêneya jêrîn de tê xuyang kirin core.dll ji hêla pêşdebir ve hatî nivîsandin.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Piştî destpêkirinê, Trojan mekanîzmaya berxwedanê çalak dike. Ev dikare bi du awayên cûda were kirin, li gorî îmtiyazên mexdûr di pergalê de. Ger mafên we yên rêvebir hebin, Trojan navnîşek Nûvekirina Windows-ê li qeydiya HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun zêde dike. Fermanên ku di Nûvekirina Windows-ê de hene dê di destpêka rûniştina bikarhêner de bixebitin.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Nûvekirin [REG_SZ] = rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host
Trojan di heman demê de hewl dide ku peywirek li Bernameya Peywira Windows-ê zêde bike. Kar dê winlogon.lnk DLL-ê bi heman pîvanên li jor dest pê bike. Mafên bikarhêner ên birêkûpêk dihêle ku Trojan têketinek Nûvekirina Windows-ê bi heman daneyan re li qeydiya HKCUSoftwareMicrosoftWindowsCurrentVersionRun zêde bike:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Algorîtmaya RC4 hate guherandin
Tevî kêmasiyên xwe yên naskirî, algorîtmaya RC4 bi rêkûpêk ji hêla nivîskarên malware ve tê bikar anîn. Lêbelê, afirînerên RTM ew hinekî guhezandin, dibe ku peywira analîstên vîrusê dijwartir bikin. Guhertoyek guherbar a RC4 bi berfirehî di amûrên RTM yên xerab de tê bikar anîn da ku rêz, daneyên torê, veavakirin û modulan şîfre bike.
4.2.1. Cudahiyên
Algorîtmaya RC4 ya orîjînal du qonax dihewîne: destpêkirina s-block (aka KSA - Algorîtmaya Plansazkirina Key) û hilberîna rêzika pseudo-random (PRGA - Algorîtmaya Generasyona Pseudo-Random). Qonaxa yekem bi destpêkirina s-boxê bi karanîna mifteyê vedihewîne, û di qonaxa duyemîn de nivîsa çavkaniyê bi karanîna s-boxê ji bo şîfrekirinê tê hilanîn.
Nivîskarên RTM di navbera destpêkirina s-box û şîfrekirinê de gavek navîn lê zêde kirin. Mifteya pêvek guhêrbar e û di heman demê de wekî daneyên ku werin şîfrekirin û deşîfrekirin têne danîn. Fonksiyona ku vê gavê zêde pêk tîne di wêneya jêrîn de tê xuyang kirin.
4.2.2. Şîfrekirina string
Di nihêrîna pêşîn de, di DLL-ya sereke de çend rêzikên xwendinê hene. Yên mayî bi karanîna algorîtmaya ku li jor hatî destnîşan kirin têne şîfre kirin, ku strukturên wê di jimareya jêrîn de têne destnîşan kirin. Me di nimûneyên analîzkirî de zêdetirî 25 mifteyên RC4 yên cihêreng ji bo şîfrekirina rêzê dîtin. Mifteya XOR ji bo her rêzek cûda ye. Nirxa qada hejmarî ya ku rêzan ji hev vediqetîne her dem 0xFFFFFFFF ye.
Di destpêka darvekirinê de, RTM têlan di nav guhêrbarek gerdûnî de şîfre dike. Dema ku pêdivî ye ku meriv xwe bigihîne rêzek, Trojan bi dînamîk navnîşana rêzikên deşîfrekirî li ser bingeha navnîşana bingehîn û offset hesab dike.
Di rêzan de di derbarê fonksiyonên malware de agahdariya balkêş heye. Hin rêzikên nimûne di beşa 6.8 de têne peyda kirin.
4.3. Tora
Awayê ku RTM malware bi servera C&C re têkilî dike ji guhertoyek heya guhertoyê diguhere. Guhertinên yekem (Cotmeh 2015 - Avrêl 2016) navên domainê yên kevneşopî ligel xêzek RSS li ser livejournal.com bikar anîn da ku navnîşa fermanan nûve bikin.
Ji Nîsana 2016-an vir ve, me di daneya telemetrî de guheztinek berbi domên .bit dît. Ev ji hêla dîroka qeydkirina domainê ve hatî pejirandin - yekem domaina RTM fde05d0573da.bit di 13ê Adarê, 2016 de hate tomar kirin.
Hemî URL-yên ku me di dema şopandina kampanyayê de dîtin rêyek hevpar hebû: /r/z.php. Ew pir ne asayî ye û ew ê ji bo naskirina daxwazên RTM di herikandina torê de bibe alîkar.
4.3.1. Kanala ji bo ferman û kontrolê
Mînakên mîras vê kanalê bikar anîn da ku navnîşa serverên ferman û kontrolê nûve bikin. Mêvandarî li livejournal.com-ê ye, di dema nivîsandina raporê de ew li URL-ya hxxp://f72bba81c921(.)livejournal(.)com/ data/rss dimîne.
Livejournal pargîdaniyek rûsî-amerîkî ye ku platformek bloggeriyê peyda dike. Operatorên RTM blogek LJ-yê diafirînin ku tê de gotarek bi fermanên kodkirî diweşînin - li dîmenê binêrin.
Rêzên ferman û kontrolê bi karanîna algorîtmayek RC4 ya guhertî (Beş 4.2) têne kod kirin. Guhertoya heyî (November 2016) ya kanalê navnîşanên servera ferman û kontrolê yên jêrîn dihewîne:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. domainên .bit
Di nimûneyên herî dawî yên RTM de, nivîskar bi domên asta jorîn .bit TLD bi domên C&C ve girêdidin. Ew ne di navnîşa ICANN (Navê Domain û Pargîdaniya Înternetê) ya domên asta jorîn de ye. Di şûna wê de, ew pergala Namecoin bikar tîne, ku li ser teknolojiya Bitcoin hatî çêkirin. Nivîskarên malware pir caran .bit TLD ji bo domên xwe bikar naynin, her çend mînakek karanîna weha berê di guhertoyek botneta Necurs de hate dîtin.
Berevajî Bitcoin, bikarhênerên databasa Namecoin ya belavkirî xwedî kapasîteya hilanîna daneyê ne. Serîlêdana sereke ya vê taybetmendiyê domaina asta jorîn .bit e. Hûn dikarin domainên ku dê di databasek belavkirî de werin hilanîn tomar bikin. Navnîşanên têkildar ên di databasê de navnîşanên IP-yê yên ku ji hêla domainê ve hatine çareser kirin hene. Ev TLD "berxwedana sansorê" ye ji ber ku tenê qeydker dikare çareseriya domana .bit biguhezîne. Ev tê vê wateyê ku rawestandina domanek xirab bi karanîna vî rengî TLD-ê pir dijwartir e.
RTM Trojan nermalava ku ji bo xwendina databasa Namecoin-a belavkirî hewce dike bi cih nake. Ew pêşkêşkerên DNS yên navendî yên wekî dns.dot-bit.org an pêşkêşkerên OpenNic bikar tîne da ku domên .bit çareser bike. Ji ber vê yekê, ew xwedan heman domdariya serverên DNS ye. Me dît ku hin domên tîmê piştî ku di postek blogê de hatin behs kirin êdî nehatin tespît kirin.
Avantaja din a .bit TLD ji bo hackeran lêçûn e. Ji bo qeydkirina domainek, operator hewce ne ku tenê 0,01 NK bidin, ku bi 0,00185 $ re têkildar e (ji 5ê Kanûna Pêşîn, 2016). Ji bo berhevdanê, domain.com herî kêm 10 $ lêçû.
4.3.3. Protokol
Ji bo danûstendina bi servera ferman û kontrolê re, RTM daxwazên HTTP POST bi daneya ku bi karanîna protokolek xwerû hatî format kirin bikar tîne. Nirxa rê her dem /r/z.php ye; Nûnerê bikarhênerê Mozilla / 5.0 (lihevhatî; MSIE 9.0; Windows NT 6.1; Trident / 5.0). Di daxwaznameyên serverê de, daneyan bi vî rengî têne form kirin, ku li wir nirxên guheztinê bi byte têne diyar kirin:
Bytes 0 heta 6 ne kodkirî ne; bytes ku ji 6-an dest pê dikin bi karanîna algorîtmayek RC4-a guhertî têne kod kirin. Struktura pakêta bersivê ya C&C hêsantir e. Bytes ji 4 heta mezinahiya pakêtê têne kod kirin.
Navnîşa nirxên byte yên çalakiya gengaz di tabloya jêrîn de tê pêşkêş kirin:
Malware her gav CRC32 ya daneya deşîfre dihesibîne û wê bi ya ku di pakêtê de heye berhev dike. Ger ew ji hev cuda bin, Trojan pakêtê davêje.
Daneyên zêde dibe ku hêmanên cihêreng hebin, di nav de pelek PE, pelek ku di pergala pelê de were lêgerîn, an URL-yên fermanên nû.
4.3.4. Panel
Me dît ku RTM panelek li ser serverên C&C bikar tîne. Wêneya jêrîn:
4.4. Nîşana taybetmendiyê
RTM Trojanek bankingê ya tîpîk e. Ne ecêb e ku operator agahdarî li ser pergala mexdûr dixwazin. Ji aliyekî ve, bot agahdariya gelemperî di derbarê OS-ê de berhev dike. Ji hêla din ve, ew fêr dibe ka pergala lihevhatî taybetmendiyên ku bi pergalên bankingê yên dûr ên rûsî ve girêdayî ne hene.
4.4.1. Agahiyên giştî
Dema ku malware piştî rebootkirinê were saz kirin an dest pê kirin, raporek ji servera ferman û kontrolê re tê şandin ku agahdariya gelemperî di nav de hene:
- Qada demê;
- zimanê pergala standard;
- pêbaweriyên bikarhêner ên destûrdar;
- asta yekbûna pêvajoyê;
- Navê bikarhêner;
- navê kompîturê;
- Guhertoya OS;
- modulên din ên sazkirî;
- bernameya antivirus sazkirî;
- lîsteya xwendevanên karta zîrek.
4.4.2 Pergala bankingê ya dûr
Armancek Trojan a tîpîk pergalek bankingê ya dûr e, û RTM ne îstîsna ye. Yek ji modulên bernameyê bi navê TBdo ye, ku peywirên cihêreng pêk tîne, di nav de şopandina dîskan û dîroka gerokê.
Bi şopandina dîskê, Trojan kontrol dike ka nermalava bankê li ser makîneyê hatî saz kirin an na. Navnîşa tevahî ya bernameyên armanc di tabloya jêrîn de ye. Piştî ku pelek balkêş dît, bername agahdarî ji servera fermanê re dişîne. Kiryarên din bi mantiqa ku ji hêla algorîtmayên navenda fermanê (C&C) ve hatî destnîşan kirin ve girêdayî ye.
RTM di dîroka geroka we û tabloyên vekirî de jî li qalibên URL-ê digere. Wekî din, bername karanîna fonksiyonên FindNextUrlCacheEntryA û FindFirstUrlCacheEntryA dikole, û her têketinê jî kontrol dike ku URL-ê bi yek ji qalibên jêrîn re têkildar bike:
Bi dîtina tabloyên vekirî, Trojan bi navgîniya Mekanîzmaya Danûstandina Daneyên Dînamîkî (DDE) bi Internet Explorer an Firefox re têkilî daynin da ku kontrol bikin ka tablo bi şêwazê re têkildar e.
Kontrolkirina dîroka geroka we û tabloyên vekirî di çerxek WHILE (dorek bi şertek pêşwext) de bi navberek 1 çirkeyê di navbera kontrolan de tê kirin. Daneyên din ên ku di dema rast de têne şopandin dê di beşa 4.5 de bêne nîqaş kirin.
Ger nimûneyek were dîtin, bername vê yekê ji servera fermanê re bi karanîna navnîşek rêzikên ji tabloya jêrîn rapor dike:
4.5 Şopandin
Dema ku Trojan dimeşe, agahdariya li ser taybetmendiyên karakterîstîkî yên pergala vegirtî (di nav de agahdariya li ser hebûna nermalava bankingê jî) ji servera ferman û kontrolê re tê şandin. Şopa tiliyê gava ku RTM yekem car pergala çavdêriyê tavilê piştî şopandina destpêkê ya OS-ê dimeşîne pêk tê.
4.5.1. Banking ji dûr ve
Modula TBdo di heman demê de ji çavdêriya pêvajoyên girêdayî bankingê jî berpirsiyar e. Ew danûstendina daneya dînamîkî bikar tîne da ku di dema lêgerîna destpêkê de tabloyên Firefox û Internet Explorer-ê kontrol bike. Modulek din a TShell ji bo şopandina paceyên fermanê (Internet Explorer an File Explorer) tê bikar anîn.
Modul ji bo şopandina pencereyan navgînên COM-ê IShellWindows, iWebBrowser, DWebBrowserEvents2 û IConnectionPointContainer bikar tîne. Dema ku bikarhênerek berbi rûpelek malperek nû ve diçe, malware vê yekê destnîşan dike. Dûv re ew URL-ya rûpelê bi qalibên jorîn re berhev dike. Bi dîtina hevberdanê, Trojan şeş dîmenên li pey hev bi navberek 5 çirkeyan digire û wan dişîne servera fermana C&S. Bername di heman demê de hin navên pencereyê yên girêdayî nermalava bankingê jî kontrol dike - navnîşa tevahî li jêr e:
4.5.2. karta Smart
RTM dihêle hûn xwendevanên qerta zîrek ên ku bi komputerên vegirtî ve girêdayî ne bişopînin. Van amûran li hin welatan ji bo lihevanîna fermanên dravdanê têne bikar anîn. Ger ev celeb amûrek bi komputerê ve were girêdan, ew dikare ji Trojanek re destnîşan bike ku makîne ji bo danûstandinên bankingê tê bikar anîn.
Berevajî Trojanên bankingê yên din, RTM nikare bi kartên wusa jîr re têkilî daynin. Dibe ku ev fonksiyon di modulek zêde ya ku me hîn nedîtiye de tê de heye.
4.5.3. Keylogger
Beşek girîng a şopandina PC-ya vegirtî girtina bişkojan e. Wusa dixuye ku pêşdebirên RTM tu agahdarî winda nakin, ji ber ku ew ne tenê bişkojkên birêkûpêk, lê di heman demê de klavyeya virtual û clipboard jî çavdêrî dikin.
Ji bo vê yekê, fonksiyona SetWindowsHookExA bikar bînin. Êrîşker bişkojkên pêçandî an jî bişkojkên ku bi klavyeya virtual re têkildar in, digel nav û dîroka bernameyê tomar dikin. Dûv re tampon ji servera fermana C&C re tê şandin.
Fonksiyona SetClipboardViewer ji bo navberkirina clipboard tê bikar anîn. Dema ku dane metn in, hacker naveroka pabloyê tomar dikin. Berî ku tampon ji serverê re were şandin nav û tarîx jî têne tomar kirin.
4.5.4. Screenshots
Fonksiyonek din a RTM-ê girtina dîmenê ye. Taybetmendî gava ku modula çavdêriya pencereyê malperek an nermalava bankê ya berjewendiyê nas dike, tê sepandin. Wêneyên dîmenan bi karanîna pirtûkxaneyek wêneyên grafîkî têne kişandin û ji servera fermanê re têne veguheztin.
4.6. Rakirin
Pêşkêşkara C&C dikare ji xebitandina malware rawestîne û komputera we paqij bike. Ferman dihêle hûn pelan û navnîşên qeydê yên ku dema ku RTM dimeşîne paqij bikin. DLL paşê ji bo rakirina malware û pelê winlogon tê bikar anîn, piştî ku ferman komputerê qut dike. Wekî ku di wêneya jêrîn de tê xuyang kirin, DLL ji hêla pêşdebiran ve bi karanîna erase.dll ve tê rakirin.
Pêşkêşkar dikare ji Trojan re fermanek rakirina-lockê ya wêranker bişîne. Di vê rewşê de, ger mafên we yên rêvebir hebin, RTM dê sektora bootê ya MBR-ê li ser dîska hişk jê bibe. Ger ev têk neçe, Trojan dê hewl bide ku sektora bootê ya MBR veguherîne sektorek bêserûber - wê hingê komputer dê nikaribe OS-ê piştî qutkirinê boot bike. Ev dikare bibe sedema ji nû ve sazkirina OS-ê, ku tê wateya hilweşandina delîlan.
Bêyî îmtiyazên rêvebir, malware .EXE-ya ku di RTM DLL-ya bingehîn de hatî kodkirin dinivîse. Karker koda ku ji bo girtina komputerê hewce dike dimeşîne û modulê di mifteya qeydê ya HKCUCurrentVersionRun de tomar dike. Her gava ku bikarhêner danişînek dest pê dike, komputer tavilê diqede.
4.7. Pelê veavakirinê
Bi xwerû, RTM hema hema pelê mîhengê tune ye, lê servera ferman û kontrolê dikare nirxên mîhengê yên ku dê di qeydê de werin hilanîn û ji hêla bernameyê ve têne bikar anîn bişîne. Navnîşa bişkojkên veavakirinê di tabloya jêrîn de tê pêşkêş kirin:
Veavakirin di mifteya qeydê ya Nermalavê[Rêza Pseudo-random] de tê hilanîn. Her nirx bi yek ji rêzên ku di tabloya berê de hatine pêşkêş kirin re têkildar e. Nirx û dane bi karanîna algorîtmaya RC4 di RTM de têne kod kirin.
Daneyên xwedan heman avahiyek wekî torê an rêzikan e. Mifteyek XOR-a çar-byte di destpêka daneya kodkirî de tê zêdekirin. Ji bo nirxên veavakirinê, mifteya XOR cûda ye û bi mezinahiya nirxê ve girêdayî ye. Ew dikare wekî jêrîn were hesibandin:
key_xor = (len(config_nirx) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)
4.8. Karên din
Piştre, em li fonksiyonên din ên ku RTM piştgirî dike binêrin.
4.8.1. modules Additional
Trojan modulên din jî vedihewîne, ku pelên DLL ne. Modulên ku ji servera fermana C&C têne şandin dikarin wekî bernameyên derveyî werin darve kirin, di RAM-ê de têne xuyang kirin û di mijarên nû de têne destpêkirin. Ji bo hilanînê, modul di pelên .dtt de têne tomar kirin û bi karanîna algorîtmaya RC4 bi heman mifteya ku ji bo ragihandina torê tê bikar anîn têne kod kirin.
Heya nuha me sazkirina modulê VNC (8966319882494077C21F66A8354E2CBCA0370464), modula derxistina daneya gerokê (03DE8622BE6B2F75A364A275995C3411626C4) û 9E1E2E1E562E1E69E6E58E88753C7 dîtiye FC0FBA3B 4BEXNUMXDXNUMXBXNUMXEXNUMXCFAB).
Ji bo barkirina modula VNC-ê, servera C&C fermanek derdixe ku daxwaza girêdanên bi servera VNC-ê re li navnîşanek IP-ya taybetî ya porta 44443 dike. Pêveka vegerandina daneya gerokê TBrowserDataCollector-ê dimeşîne, ku dikare dîroka geroka IE-ê bixwîne. Dûv re ew navnîşa tevahî ya URL-yên serdankirî ji servera fermana C&C re dişîne.
Modula paşîn a ku hatî vedîtin jê re 1c_2_kl tê gotin. Ew dikare bi pakêta nermalava 1C Enterprise re têkilî daynin. Module du beşan pêk tîne: beşa sereke - DLL û du ajan (32 û 64 bit), ku dê di her pêvajoyê de werin derzî kirin, girêdanek bi WH_CBT re tomar bikin. Piştî ku di pêvajoya 1C de hate destnîşankirin, modul fonksiyonên CreateFile û WriteFile girêdide. Dema ku fonksiyona girêdana CreateFile tê gotin, modul riya pelê 1c_to_kl.txt di bîrê de hilîne. Piştî ku banga WriteFile tê girtin, ew gazî fonksiyona WriteFile dike û riya pelê 1c_to_kl.txt ji modula sereke ya DLL re dişîne, û peyama WM_COPYDATA ya çêkirî ya Windows-ê jê re derbas dike.
Modula sereke ya DLL pelê vedike û pars dike da ku fermanên dravdanê destnîşan bike. Ew hejmar û hejmara danûstendinê ya ku di pelê de heye nas dike. Ev agahî ji servera fermanê re tê şandin. Em bawer dikin ku ev modul niha di bin pêşkeftinê de ye ji ber ku ew peyamek debugê dihewîne û nikare bixweber 1c_to_kl.txt biguhezîne.
4.8.2. Zêdebûna îmtiyazê
RTM dikare bi nîşandana peyamên xeletiya derewîn hewl bide ku îmtiyazan zêde bike. Malware kontrolek qeydê simule dike (li wêneya jêrîn binêre) an îkonek edîtorê qeydê ya rastîn bikar tîne. Ji kerema xwe li benda rastnivîsê bisekinin - whait. Piştî çend saniyeyên şopandinê, bername peyamek xeletiyek derewîn nîşan dide.
Peyamek derewîn dê bi hêsanî bikarhênerê navîn bixapîne, tevî xeletiyên rêzimanî. Ger bikarhêner li ser yek ji du girêdanan bitikîne, RTM dê hewl bide ku îmtiyazên xwe di pergalê de zêde bike.
Piştî ku yek ji du vebijarkên başbûnê hilbijêrin, Trojan DLL-ê bi karanîna vebijarka runas-ê ya di fonksiyona ShellExecute de bi îmtiyazên rêveberê ve dest pê dike. Bikarhêner dê ji bo bilindbûnê bilezek Windows-ê ya rastîn (wêneya jêrîn binêre) bibîne. Ger bikarhêner destûrên pêwîst bide, Trojan dê bi mafên rêveberiyê bixebite.
Li gorî zimanê xwerû ku li ser pergalê hatî saz kirin, Trojan peyamên xeletiyê bi rûsî an îngilîzî nîşan dide.
4.8.3. Şehade
RTM dikare sertîfîkayan li Windows Store-ê zêde bike û pêbaweriya lêzêdekirinê bi tikandina bixweber bişkoja "erê" ya di qutiya diyalogê ya csrss.exe de piştrast bike. Ev tevger ne nû ye, ji bo nimûne, Trojan Retefe jî serbixwe sazkirina sertîfîkayek nû piştrast dike.
4.8.4. Girêdana berevajî
Nivîskarên RTM di heman demê de tunela Backconnect TCP jî afirandin. Me hîna taybetmendiya ku tê bikar anîn nedîtiye, lê ew ji bo şopandina PC-yên vegirtî ji dûr ve hatî çêkirin.
4.8.5. Rêveberiya pelê mêvandar
Pêşkêşkara C&C dikare fermanek ji Trojan re bişîne da ku pelê mêvandarê Windows-ê biguhezîne. Pelê mêvandar ji bo afirandina çareseriyên DNS yên xwerû tê bikar anîn.
4.8.6. Pelê bibînin û bişînin
Dibe ku server daxwaz bike ku pelek li ser pergala vegirtî bigere û dakêşîne. Mînakî, di dema lêkolînê de me daxwaznameyek ji bo pelê 1c_to_kl.txt wergirt. Wekî ku berê hatî diyar kirin, ev pel ji hêla pergala hesabê 1C: Enterprise 8 ve hatî çêkirin.
4.8.7. Nûvekirin
Di dawiyê de, nivîskarên RTM dikarin nermalavê nûve bikin bi şandina DLL-ya nû ku li şûna guhertoya heyî veguherîne.
5. Encam
Lêkolîna RTM nîşan dide ku pergala bankingê ya Rûsyayê hîn jî êrişkerên sîber dikişîne. Komên wekî Buhtrap, Corkow û Carbanak bi serkeftî drav ji saziyên darayî û xerîdarên wan ên li Rûsyayê didizin. RTM di vê pîşesaziyê de lîstikvanek nû ye.
Li gorî telemetrîya ESET, Amûrên RTM yên xerab bi kêmî ve ji dawiya 2015-an vir ve têne bikar anîn. Bername xwedan kapasîteyên sîxuriyê yên bêkêmasî ye, di nav de xwendina qertên jîr, girtina bişkojkan û şopandina danûstendinên bankingê, û her weha lêgerîna pelên veguhastinê 1C: Enterprise 8.
Bikaranîna domanek .bit ya nenavendî, bêsansûr, binesaziya pir berxwedêr misoger dike.
Source: www.habr.com