Орусиялык компаниялардын каражаттарын уурдоо боюнча адистешкен бир нече белгилүү кибер топтор бар. Биз максаттуу тармакка кирүүгө мүмкүндүк берген коопсуздук боштуктарын колдонгон чабуулдарды көрдүк. Алар кирүү мүмкүнчүлүгүнө ээ болгондон кийин, чабуулчулар уюмдун тармак түзүмүн изилдеп, каражаттарды уурдоо үчүн өз куралдарын колдонушат. Бул тенденциянын классикалык мисалы - Buhtrap, Cobalt жана Corkow хакерлер топтору.
Бул отчетто багытталган RTM тобу бул тенденциянын бир бөлүгү. Бул Delphiде жазылган атайын иштелип чыккан зыяндуу программаларды колдонот, биз кийинки бөлүмдөрдө кененирээк карап чыгабыз. ESET телеметрия системасында бул куралдардын биринчи издери 2015-жылдын аягында табылган. Команда зарыл болгондо ар кандай жаңы модулдарды жуккан системаларга жүктөйт. Чабуулдар Орусиядагы жана айрым коңшу мамлекеттердеги алыскы банк тутумдарын колдонуучуларга багытталган.
1. Максаттар
RTM кампаниясы корпоративдик колдонуучуларга багытталган - бул чабуулчулар бузулган системада аныктоого аракет кылган процесстерден көрүнүп турат. Алыскы банк тутумдары менен иштөө үчүн бухгалтердик программалык камсыздоого басым жасалат.
RTM кызыктырган процесстердин тизмеси Buhtrap тобунун тиешелүү тизмесине окшош, бирок топтордо инфекциянын башка векторлору бар. Эгерде Buhtrap фейк баракчаларды көбүрөөк колдонсо, анда RTM диск аркылуу жүктөө чабуулдарын (браузерге же анын компоненттерине чабуулдар) жана электрондук почта аркылуу спам жөнөтүүнү колдонгон. Телеметрикалык маалыматтарга караганда, коркунуч Орусияга жана ага жакын жайгашкан бир нече өлкөлөргө (Украина, Казакстан, Чехия, Германия) багытталган. Бирок, массалык жайылтуу механизмдерин колдонуудан улам, максаттуу аймактардан тышкары зыяндуу программаларды табуу таң калыштуу эмес.
Кесепеттүү программаларды аныктоонун жалпы саны салыштырмалуу аз. Башка жагынан алып караганда, RTM кампаниясы татаал программаларды колдонот, бул чабуулдар абдан максаттуу экенин көрсөтүп турат.
Биз RTM колдонгон бир нече жасалма документтерди таптык, анын ичинде жок келишимдер, эсеп-фактуралар же салыктык эсепке алуу документтери. Кол салууга багытталган программалык камсыздоонун түрү менен айкалышкан азгырыктардын мүнөзү чабуулчулар бухгалтердик эсеп аркылуу россиялык компаниялардын тармактарына “кирип” жатканын көрсөтүп турат. Топ ошол эле схема боюнча иш жүргүзгөн 2014-2015-жылдары
Изилдөө учурунда биз бир нече C&C серверлери менен иштеше алдык. Биз буйруктардын толук тизмесин кийинки бөлүмдөрдө тизмектейбиз, бирок азырынча биз кардар клавиатурадан маалыматтарды түздөн-түз чабуулчу серверге өткөрүп берет, андан кийин кошумча буйруктар кабыл алынат деп айта алабыз.
Бирок, сиз жөн гана буйрук жана башкаруу серверине туташып, сизди кызыктырган бардык маалыматтарды чогулта алган күндөр артта калды. Серверден тиешелүү буйруктарды алуу үчүн реалдуу журнал файлдарын кайра түздүк.
Алардын биринчиси - ботко 1c_to_kl.txt файлын өткөрүп берүү өтүнүчү - 1C: Enterprise 8 программасынын транспорттук файлы, анын көрүнүшү RTM тарабынан активдүү көзөмөлдөнөт. 1С тексттик файлга чыгуучу төлөмдөр боюнча маалыматтарды жүктөө аркылуу алыскы банк тутумдары менен өз ара аракеттенет. Андан кийин, файл төлөм тапшырмасын автоматташтыруу жана аткаруу үчүн аралыктан банк тутумуна жөнөтүлөт.
Файлда төлөм маалыматы камтылган. Эгерде чабуулчулар чыга турган төлөмдөр тууралуу маалыматты өзгөртсө, которуу жалган реквизиттер аркылуу чабуулчулардын эсептерине жөнөтүлөт.
Буйрук жана башкаруу серверинен бул файлдарды талап кылгандан бир ай өткөндөн кийин, биз жаңы плагин 1c_2_kl.dll бузулган системага жүктөлүп жатканын байкадык. Модуль (DLL) бухгалтердик программалык процесстерге кирип, жүктөө файлын автоматтык түрдө талдоо үчүн иштелип чыккан. Аны кийинки бөлүмдөрдө кеңири баяндайбыз.
Кызыгы, Россия Банкынын FinCERT 2016-жылдын аягында 1c_to_kl.txt жүктөө файлдарын колдонгон киберкылмышкерлер жөнүндө эскертүү бюллетенин чыгарган. 1C иштеп чыгуучулары да бул схема жөнүндө билишет, алар буга чейин расмий билдирүү жасап, сактык чараларын санашкан.
Башка модулдар да буйрук серверинен жүктөлгөн, атап айтканда VNC (анын 32 жана 64-бит версиялары). Бул мурда Dridex троян чабуулдарында колдонулган VNC модулуна окшош. Бул модуль жуккан компьютерге алыстан туташуу жана системаны деталдуу изилдөө үчүн колдонулат деп болжолдонууда. Андан кийин, чабуулчулар тармакты айланып өтүүгө, колдонуучунун сырсөздөрүн чыгарууга, маалымат чогултууга жана кесепеттүү программанын туруктуу болушун камсыз кылууга аракет кылышат.
2. Инфекциянын векторлору
Төмөнкү сүрөттө өнөктүктүн изилдөө мезгилинде аныкталган инфекциянын векторлору көрсөтүлгөн. Топ векторлордун кеңири спектрин колдонот, бирок негизинен жүктөө чабуулдары жана спам. Бул инструменттер максаттуу чабуулдар үчүн ыңгайлуу, анткени биринчи учурда чабуулчулар потенциалдуу жабырлануучулар кирген сайттарды тандай алышат, ал эми экинчисинде тиркемелери бар электрондук каттарды түздөн-түз каалаган компания кызматкерлерине жөнөтө алышат.
Кесепеттүү программа бир нече каналдар, анын ичинде RIG жана Sundown эксплуатациялоо комплекттери же спам жөнөтүүлөрү аркылуу таркатылып, чабуулчулар менен бул кызматтарды сунуштаган башка киберчабуулчулардын ортосундагы байланышты көрсөтүп турат.
2.1. RTM жана Buhtrap кандай байланышта?
RTM кампаниясы Buhtrapга абдан окшош. Табигый суроо туулат: алар бири-бири менен кандай байланышта?
2016-жылдын сентябрында RTM үлгүсү Buhtrap жүктөөчүсү аркылуу таратылып жатканын байкадык. Мындан тышкары, биз Buhtrap жана RTM да колдонулган эки санариптик сертификаттарды таптык.
Биринчиси, DNISTER-M компаниясына берилген, экинчи Delphi формасына (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) жана Buhtrap DLL (SHA-1: 1E2642ACC454F2B) санариптик кол коюу үчүн колдонулган. 889).
Bit-Tredjге чыгарылган экинчиси, Buhtrap жүктөгүчтөрүнө кол коюу үчүн колдонулган (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 жана B74F71560E48488D2153AE2FB51207E0), ошондой эле R206AE2 компоненттерин жүктөп алуу жана орнотуу.
RTM операторлору башка кесепеттүү программалардын үй-бүлөлөрү үчүн жалпы болгон сертификаттарды колдонушат, бирок алардын уникалдуу сертификаты да бар. ESET телеметриясына ылайык, ал Kit-SDге чыгарылган жана кээ бир RTM зыяндуу программаларына кол коюу үчүн гана колдонулган (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM Buhtrap сыяктуу эле жүктөгүчтү колдонот, RTM компоненттери Buhtrap инфраструктурасынан жүктөлөт, андыктан топтор окшош тармак көрсөткүчтөрүнө ээ. Бирок, биздин эсептөөлөр боюнча, RTM жана Buhtrap ар кандай топтор, жок эле дегенде, RTM ар кандай жолдор менен бөлүштүрүлөт, анткени (бир гана "чет элдик" жүктөөчү колдонуу менен эмес).
Буга карабастан, хакердик топтор окшош иштөө принциптерин колдонушат. Алар бухгалтердик программалык камсыздоону колдонуп, системанын маалыматын чогултуп, смарт-карталарды окугучтарды издеп, жабырлануучуларды чалгындоо үчүн бир катар зыяндуу куралдарды колдонууга багытталган.
3. Эволюция
Бул бөлүмдө биз изилдөө учурунда табылган зыяндуу программалардын ар кандай версияларын карап чыгабыз.
3.1. Версиялоо
RTM конфигурация маалыматтарын реестр бөлүмүндө сактайт, эң кызыктуу бөлүгү ботнет-префикс. Биз изилдеген үлгүлөрдөн көргөн бардык баалуулуктардын тизмеси төмөнкү таблицада келтирилген.
Бул баалуулуктар зыяндуу программанын версияларын жазуу үчүн колдонулушу мүмкүн. Бирок, биз бит2 жана бит3, 0.1.6.4 жана 0.1.6.6 сыяктуу версиялардын ортосунда көп айырмачылыкты байкаган жокпуз. Анын үстүнө, префикстердин бири башынан бери бар жана төмөндө көрсөтүлгөндөй, типтүү C&C доменинен .bit доменине чейин өзгөргөн.
3.2. График
Телеметриялык маалыматтарды колдонуу менен биз үлгүлөрдүн пайда болушунун графигин түздүк.
4. Техникалык анализ
Бул бөлүмдө биз RTM банктык троянынын негизги функцияларын, анын ичинде каршылык механизмдерин, RC4 алгоритминин өзүнүн версиясын, тармактык протоколду, шпиондук функцияларды жана башка кээ бир өзгөчөлүктөрүн сүрөттөп беребиз. Атап айтканда, биз AA1FA0CE4584768E9D16D67C8E529233FF99BBF1 жана 0BC48EC113BA8B20B8CD80D5DA4A92051D19B SHA-1032 үлгүлөрүнө токтолобуз.
4.1. Орнотуу жана сактоо
4.1.1. Ишке ашыруу
RTM өзөгү DLL болуп саналат, китепкана .EXE аркылуу дискке жүктөлөт. Аткарылуучу файл адатта пакеттелген жана DLL кодун камтыйт. Ишке киргизилгенден кийин, ал DLLди чыгарып, төмөнкү буйрукту колдонуп иштетет:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. DLL
Негизги DLL ар дайым %PROGRAMDATA%Winlogon папкасында winlogon.lnk катары дискке жүктөлөт. Бул файл кеңейтүүсү адатта жарлык менен байланышкан, бирок файл чындыгында Delphiде жазылган, төмөндөгү сүрөттө көрсөтүлгөндөй, иштеп чыгуучу тарабынан core.dll деп аталган DLL.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Троян ишке киргенден кийин анын каршылык механизмин иштетет. Бул системада жабырлануучунун артыкчылыктарына жараша эки башка жол менен жасалышы мүмкүн. Эгерде сизде администратордук укуктар болсо, троян HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun реестрине Windows Update жазуусун кошот. Windows Update камтылган буйруктар колдонуучунун сессиясынын башында иштейт.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject хост
Троян ошондой эле Windows Task Scheduler программасына тапшырма кошууга аракет кылат. Тапшырма жогорудагыдай эле параметрлер менен winlogon.lnk DLLди ишке киргизет. Кадимки колдонуучу укуктары троянга HKCUSoftwareMicrosoftWindowsCurrentVersionRun реестрине бирдей маалыматтар менен Windows Update жазуусун кошууга мүмкүндүк берет:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Өзгөртүлгөн RC4 алгоритми
Белгилүү кемчиликтерине карабастан, RC4 алгоритми зыяндуу программанын авторлору тарабынан үзгүлтүксүз колдонулат. Бирок, RTMнин жаратуучулары вирус аналитиктеринин ишин кыйындатуу үчүн аны бир аз өзгөртүшкөн. RC4 модификацияланган версиясы саптарды, тармактык маалыматтарды, конфигурацияларды жана модулдарды шифрлөө үчүн зыяндуу RTM куралдарында кеңири колдонулат.
4.2.1. Айырмачылыктар
Оригиналдуу RC4 алгоритми эки этапты камтыйт: s-блокту инициализациялоо (aka KSA - Key-Scheduling Algorithm) жана псевдо-кокус ырааттуулукту түзүү (PRGA - Pseudo-Random Generation Algorithm). Биринчи этап ачкычтын жардамы менен s-кутун инициализациялоону камтыйт, ал эми экинчи этапта баштапкы текст шифрлөө үчүн s-кутусунун жардамы менен иштетилет.
RTM авторлору s-box инициализациясы менен шифрлөөнүн ортосундагы аралык кадамды кошушкан. Кошумча ачкыч өзгөрмө болуп саналат жана шифрлөө жана шифрлөө үчүн берилиштер менен бир убакта коюлат. Бул кошумча кадамды аткарган функция төмөндөгү сүрөттө көрсөтүлгөн.
4.2.2. Стринг шифрлөө
Бир караганда, негизги DLLде бир нече окула турган саптар бар. Калгандары жогоруда сүрөттөлгөн алгоритмдин жардамы менен шифрленген, анын структурасы төмөнкү сүрөттө көрсөтүлгөн. Биз талданган үлгүлөрдөн саптарды шифрлөө үчүн 25тен ашык ар кандай RC4 ачкычтарын таптык. XOR ачкычы ар бир сап үчүн ар кандай. Сандык талааны бөлүп турган сызыктардын мааниси ар дайым 0xFFFFFFFF.
Аткаруу башталганда, RTM саптарды глобалдык өзгөрмөгө чечмелейт. Троян сапка жетүү үчүн зарыл болгондо, негизги дарекке жана офсеттин негизинде шифрленген саптардын дарегин динамикалык түрдө эсептейт.
Саптар кесепеттүү программанын функциялары жөнүндө кызыктуу маалыматтарды камтыйт. Кээ бир мисал саптары 6.8 бөлүмүндө берилген.
4.3. Network
RTM зыяндуу программасынын C&C сервери менен байланышуу жолу версиядан версияга чейин өзгөрүп турат. Биринчи өзгөртүүлөр (2015-жылдын октябры – 2016-жылдын апрели) командалардын тизмесин жаңыртуу үчүн livejournal.com сайтында RSS каналы менен бирге салттуу домендик аталыштарды колдонушкан.
2016-жылдын апрелинен тартып биз телеметрия маалыматтарында .bit домендерине өтүүнү көрдүк. Бул доменди каттоо датасы менен тастыкталат - биринчи RTM домени fde05d0573da.bit 13-жылдын 2016-мартында катталган.
Кампанияга мониторинг жүргүзүүдө биз көргөн бардык URL даректеринин жалпы жолу бар болчу: /r/z.php. Бул адаттан тыш көрүнүш жана бул тармак агымдарында RTM суроо-талаптарын аныктоого жардам берет.
4.3.1. Буйруктар жана башкаруу үчүн канал
Мурдагы мисалдар бул каналды буйрук жана башкаруу серверлеринин тизмесин жаңыртуу үчүн колдонушкан. Хостинг livejournal.com дарегинде жайгашкан, отчетту жазуу учурунда ал URL hxxp://f72bba81c921(.)livejournal(.)com/data/rss дарегинде калган.
Livejournal блог платформасын камсыз кылган орус-америкалык компания. RTM операторлору LJ блогун түзүшөт, анда алар коддолгон буйруктар менен макала жайгаштырышат - скриншотту караңыз.
Буйрук жана башкаруу саптары өзгөртүлгөн RC4 алгоритмин колдонуу менен коддолгон (4.2-бөлүм). Каналдын учурдагы версиясы (ноябрь 2016) төмөнкү буйрук жана башкаруу серверинин даректерин камтыйт:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. .bit домендери
Эң акыркы RTM үлгүлөрүндө авторлор .bit TLD жогорку деңгээлдеги доменин колдонуп C&C домендерине туташат. Ал жогорку деңгээлдеги домендердин ICANN (Домен аты жана Интернет корпорациясы) тизмесинде эмес. Анын ордуна, ал Bitcoin технологиясы үстүнө курулган Namecoin системасын колдонот. Кесепеттүү программанын авторлору .bit TLDди өз домендери үчүн көп колдонушпайт, бирок мындай колдонуунун мисалы Necurs ботнетинин версиясында мурда байкалган.
Биткойндон айырмаланып, бөлүштүрүлгөн Namecoin базасынын колдонуучулары маалыматтарды сактоо мүмкүнчүлүгүнө ээ. Бул функциянын негизги колдонмосу .bit жогорку деңгээлдеги домен. Сиз бөлүштүрүлгөн маалымат базасында сактала турган домендерди каттай аласыз. Базадагы тиешелүү жазуулар домен тарабынан чечилген IP даректерди камтыйт. Бул TLD "цензурага чыдамдуу", анткени .bit доменинин резолюциясын каттоочу гана өзгөртө алат. Бул TLD бул түрүн колдонуу менен зыяндуу доменди токтотуу алда канча кыйын экенин билдирет.
RTM Trojan бөлүштүрүлгөн Namecoin маалымат базасын окуу үчүн зарыл болгон программалык камсыздоону камтыбайт. Ал .bit домендерин чечүү үчүн dns.dot-bit.org же OpenNic серверлери сыяктуу борбордук DNS серверлерин колдонот. Ошондуктан, ал DNS серверлери сыяктуу эле туруктуулукка ээ. Биз кээ бир команда домендери блог постунда айтылгандан кийин дагы аныкталбай калганын байкадык.
Хакерлер үчүн .bit TLD дагы бир артыкчылыгы - бул. Доменди каттоо үчүн операторлор болгону 0,01 NK төлөшү керек, бул 0,00185 долларга туура келет (5-жылдын 2016-декабрына карата). Салыштыруу үчүн, domain.com кеминде $10 турат.
4.3.3. Протокол
Буйрук жана башкаруу сервери менен байланышуу үчүн, RTM ыңгайлаштырылган протоколду колдонуу менен форматталган маалыматтар менен HTTP POST сурамдарын колдонот. Жолдун мааниси ар дайым /r/z.php; Mozilla/5.0 колдонуучу агенти (шайкеш; MSIE 9.0; Windows NT 6.1; Trident/5.0). Серверге суроо-талаптарда маалыматтар төмөнкүдөй форматталат, мында офсеттик маанилер байт менен көрсөтүлөт:
0дөн 6га чейинки байт коддолгон эмес; 6дан башталган байт модификацияланган RC4 алгоритмин колдонуу менен коддолгон. C&C жооп пакетинин түзүлүшү жөнөкөй. Байттар 4төн пакеттин өлчөмүнө чейин коддолгон.
Мүмкүн болгон аракет байт маанилеринин тизмеси төмөнкү таблицада келтирилген:
Кесепеттүү программа ар дайым шифрленген маалыматтардын CRC32син эсептеп, аны пакетте бар нерселер менен салыштырат. Эгерде алар айырмаланса, троян пакетти таштайт.
Кошумча маалыматтар ар кандай объекттерди, анын ичинде PE файлын, файл тутумунда изделе турган файлды же жаңы буйрук URL даректерин камтышы мүмкүн.
4.3.4. Панел
Биз RTM C&C серверлеринде панелди колдонорун байкадык. Скриншот төмөндө:
4.4. Мүнөздүү белгиси
RTM типтүү банктык троян болуп саналат. Операторлор жабырлануучунун системасы тууралуу маалымат алууну каалаары таң калыштуу эмес. Бир жагынан бот ОС жөнүндө жалпы маалыматты чогултат. Башка жагынан алганда, бузулган система Орусиянын алыскы банк системалары менен байланышкан атрибуттарды камтыган же жок экенин аныктайт.
4.4.1. Жалпы маалымат
Кесепеттүү программа орнотулганда же кайра жүктөөдөн кийин ишке киргизилгенде, командалык жана башкаруу серверине отчет жөнөтүлөт, анын ичинде:
- Убакыт зонасы;
- демейки система тили;
- ыйгарым укуктуу колдонуучунун эсептик маалыматтары;
- процесстин бүтүндүгү деңгээли;
- Колдонуучунун аты;
- компьютердин аты;
- OS версиясы;
- кошумча орнотулган модулдар;
- орнотулган антивирус программасы;
- смарт-картаны окуучулардын тизмеси.
4.4.2 Алыскы банктык система
Кадимки Троян максаттуу алыскы банк системасы болуп саналат, жана RTM өзгөчө эмес. Программанын модулдарынын бири TBdo деп аталат, ал ар кандай тапшырмаларды аткарат, анын ичинде дисктерди сканерлөө жана серептөө таржымалы.
Дискти сканерлөө менен троян банктык программалык камсыздоонун машинада орнотулгандыгын текшерет. Максаттуу программалардын толук тизмеси төмөнкү таблицада. Кызыккан файлды тапкандан кийин, программа командалык серверге маалыматты жөнөтөт. Кийинки аракеттер командалык борбордун (C&C) алгоритмдеринде көрсөтүлгөн логикага жараша болот.
RTM ошондой эле браузериңиздин таржымалынан жана ачык өтмөктөрдөн URL үлгүлөрүн издейт. Мындан тышкары, программа FindNextUrlCacheEntryA жана FindFirstUrlCacheEntryA функцияларын колдонууну карап чыгат, ошондой эле ар бир жазууну URL дарегин төмөнкү үлгүлөрдүн бирине дал келүүсүн текшерет:
Ачык өтмөктөрдү таап, троян Интернет Explorer же Firefox менен Динамикалык маалымат алмашуу (DDE) механизми аркылуу өтмөктүн үлгүгө дал келгенин текшерүү үчүн байланышат.
Серептөө таржымалыңызды жана ачык өтмөктөрдү текшерүү WHILE циклинде (алдын ала шарты бар цикл) текшерүүлөрдүн ортосунда 1 секунд тыныгуу менен аткарылат. Реалдуу убакыт режиминде көзөмөлдөнүүчү башка маалыматтар 4.5 бөлүмүндө талкууланат.
Эгерде үлгү табылса, программа муну төмөнкү таблицадагы саптардын тизмесин колдонуу менен буйрук серверине билдирет:
4.5 Мониторинг
Троян иштеп жатканда, жуккан системанын мүнөздүү өзгөчөлүктөрү жөнүндө маалымат (анын ичинде банктык программалык камсыздоонун бар экендиги жөнүндө маалымат) командалык жана башкаруу серверине жөнөтүлөт. Манжа изи RTM биринчи жолу OS сканерлөөдөн кийин дароо мониторинг системасын иштеткенде пайда болот.
4.5.1. Алыскы банкинг
TBdo модулу банктык процесстерге мониторинг жүргүзүү үчүн да жооптуу. Ал алгачкы сканерлөө учурунда Firefox жана Internet Explorer өтмөктөрүн текшерүү үчүн динамикалык маалымат алмашууну колдонот. Башка TShell модулу буйрук терезелерин көзөмөлдөө үчүн колдонулат (Internet Explorer же File Explorer).
Модуль терезелерди көзөмөлдөө үчүн IShellWindows, iWebBrowser, DWebBrowserEvents2 жана IConnectionPointContainer COM интерфейстерин колдонот. Колдонуучу жаңы веб-баракчага киргенде, зыяндуу программа муну белгилейт. Андан кийин ал барактын URL дарегин жогорудагы үлгүлөр менен салыштырат. Дал келүүнү тапкандан кийин, троян 5 секунд аралыгы менен алты скриншотту алат жана аларды C&S командалык серверине жөнөтөт. Программа ошондой эле банктык программалык камсыздоо менен байланышкан кээ бир терезе аттарын текшерет - толук тизмеси төмөндө:
4.5.2. Акылдуу карта
RTM вирус жуккан компьютерлерге туташтырылган смарт-карталарды окугучтарды көзөмөлдөөгө мүмкүндүк берет. Бул аппараттар кээ бир өлкөлөрдө төлөм тапшырмаларын макулдашуу үчүн колдонулат. Эгерде бул типтеги түзүлүш компьютерге туташтырылса, ал троянга машина банктык транзакциялар үчүн колдонулуп жатканын көрсөтүшү мүмкүн.
Башка банктык трояндардан айырмаланып, RTM мындай смарт карталар менен иштеше албайт. Балким, бул функция биз көрө элек кошумча модулда камтылган.
4.5.3. Keylogger
Вирус жуккан компьютерге мониторинг жүргүзүүнүн маанилүү бөлүгү баскычтарды басып алуу болуп саналат. RTM иштеп чыгуучулары эч кандай маалыматты жоготпойт окшойт, анткени алар кадимки баскычтарды гана эмес, виртуалдык баскычтопту жана алмашуу буферин да көзөмөлдөшөт.
Бул үчүн, SetWindowsHookExA функциясын колдонуңуз. Чабуулчулар басылган баскычтарды же виртуалдык клавиатурага тиешелүү баскычтарды программанын аталышы жана датасы менен журналга киргизишет. Андан кийин буфер C&C командалык серверине жөнөтүлөт.
SetClipboardViewer функциясы алмашуу буферин кармоо үчүн колдонулат. Маалыматтар текст болгондо хакерлер алмашуу буферинин мазмунун журналга киргизишет. Аты жана датасы буфер серверге жөнөтүлгөнгө чейин жазылат.
4.5.4. Скриншоттор
Дагы бир RTM функциясы скриншотту кармап калуу болуп саналат. Өзгөчөлүк терезенин мониторинг модулу кызыккан сайтты же банктык программаны аныктаганда колдонулат. Скриншоттор графикалык сүрөттөр китепканасынын жардамы менен тартылып, командалык серверге өткөрүлүп берилет.
4.6. Орнотуу
C&C сервери зыяндуу программанын иштешин токтотуп, компьютериңизди тазалай алат. Бул буйрук RTM иштеп жатканда түзүлгөн файлдарды жана реестр жазууларын тазалоого мүмкүндүк берет. Андан кийин DLL зыяндуу программаны жана winlogon файлын жок кылуу үчүн колдонулат, андан кийин команда компьютерди өчүрөт. Төмөнкү сүрөттө көрсөтүлгөндөй, DLL erase.dll аркылуу иштеп чыгуучулар тарабынан алынып салынат.
Сервер троянга кыйратуучу Uninstall-lock буйругун жөнөтө алат. Бул учурда, сизде администратордук укуктар болсо, RTM катуу дисктеги MBR жүктөө секторун жок кылат. Эгер бул ишке ашпай калса, троян MBR жүктөө секторун кокус секторго которууга аракет кылат - анда компьютер өчүрүлгөндөн кийин ОСти жүктөй албайт. Бул ОСтун толук кайра орнотулушуна алып келиши мүмкүн, бул далилдерди жок кылууну билдирет.
Администратор артыкчылыктары жок, кесепеттүү программа негизги RTM DLLде коддолгон .EXE жазат. Аткаруучу компьютерди өчүрүү үчүн керектүү кодду аткарат жана модулду HKCUCurrentVersionRun реестр ачкычына каттайт. Колдонуучу сессияны баштаган сайын компьютер дароо өчүп калат.
4.7. Конфигурация файлы
Демейки боюнча, RTM конфигурация файлы дээрлик жок, бирок буйрук жана башкаруу сервери реестрде сакталып, программа тарабынан колдонула турган конфигурация маанилерин жөнөтө алат. Конфигурация ачкычтарынын тизмеси төмөнкү таблицада келтирилген:
Конфигурация Software[Pseudo-random string] реестр ачкычында сакталат. Ар бир маани мурунку таблицада берилген саптардын бирине туура келет. Маанилер жана маалыматтар RTMде RC4 алгоритмин колдонуу менен коддолгон.
Берилиштер тармак же саптар менен бирдей түзүлүшкө ээ. Коддолгон маалыматтардын башында төрт байт XOR ачкычы кошулат. Конфигурация маанилери үчүн XOR ачкычы ар түрдүү жана маанинин өлчөмүнө жараша болот. Аны төмөнкүчө эсептөөгө болот:
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)
4.8. Башка функциялар
Андан кийин, RTM колдогон башка функцияларды карап көрөлү.
4.8.1. Кошумча модулдар
Троян DLL файлдары болгон кошумча модулдарды камтыйт. C&C командалык серверинен жөнөтүлгөн модулдар тышкы программалар катары аткарылып, оперативдүү эс тутумда чагылдырылып, жаңы жиптерде ишке киргизилиши мүмкүн. Сактоо үчүн модулдар .dtt файлдарында сакталат жана RC4 алгоритмин колдонуп, тармактык байланыштар үчүн колдонулган ачкыч менен коддолот.
Буга чейин биз VNC модулунун (8966319882494077C21F66A8354E2CBCA0370464), серепчиден берилиштерди чыгаруу модулунун (03DE8622BE6B2F75A364A275995C3411626C4F9C1C2) орнотулушун байкадык 1EFC562FBA1B 69BE6D58B88753E7CFAB).
VNC модулун жүктөө үчүн, C&C сервери VNC серверине 44443 порттун белгилүү бир IP дареги боюнча туташууну суранган буйрук чыгарат. Браузердин берилиштерин издөө плагини IE серептөө тарыхын окуй алган TBrowserDataCollector программасын аткарат. Андан кийин ал C&C командалык серверине барган URL даректеринин толук тизмесин жөнөтөт.
Акыркы ачылган модул 1c_2_kl деп аталат. Ал 1С Enterprise программалык пакети менен иштеше алат. Модуль эки бөлүктөн турат: негизги бөлүк - DLL жана эки агент (32 жана 64 бит), алар ар бир процесске киргизилет, WH_CBT менен байланышты каттайт. 1С процессине киргизилгенден кийин, модул CreateFile жана WriteFile функцияларын бириктирет. CreateFile bound функциясы чакырылганда, модул эстутумда 1c_to_kl.txt файл жолун сактайт. WriteFile чалуусуна тоскоол болгондон кийин, ал WriteFile функциясын чакырат жана 1c_to_kl.txt файл жолун негизги DLL модулуна жөнөтүп, ага даярдалган Windows WM_COPYDATA билдирүүсүн берет.
Негизги DLL модулу төлөм тапшырмаларын аныктоо үчүн файлды ачат жана талдайт. Ал файлда камтылган сумманы жана транзакциянын номерин тааныйт. Бул маалымат командалык серверге жөнөтүлөт. Бул модул учурда иштеп чыгууда деп ойлойбуз, анткени ал мүчүлүштүктөрдү оңдоо билдирүүсүн камтыйт жана 1c_to_kl.txt файлын автоматтык түрдө өзгөртө албайт.
4.8.2. Артыкчылыкты жогорулатуу
RTM жалган ката билдирүүлөрүн көрсөтүү менен артыкчылыктарды көтөрүүгө аракет кылышы мүмкүн. Кесепеттүү программа реестрди текшерүүнү симуляциялайт (төмөндөгү сүрөттү караңыз) же реестр редакторунун чыныгы сөлөкөтүн колдонот. Сураныч, ката күтүүгө көңүл буруңуз - whait. Скандоодон бир нече секунд өткөндөн кийин, программа жалган ката билдирүүсүн көрсөтөт.
Жалган билдирүү грамматикалык каталарга карабастан, жөнөкөй колдонуучуну оңой эле алдайт. Эгерде колдонуучу эки шилтеменин бирин чыкылдатса, RTM системадагы өзүнүн артыкчылыктарын жогорулатууга аракет кылат.
Калыбына келтирүүнүн эки вариантынын бирин тандагандан кийин, троян администратор артыкчылыктары менен ShellExecute функциясындагы runas опциясын колдонуп DLLди ишке киргизет. Колдонуучу бийиктикти көрсөтүү үчүн чыныгы Windows чакырыгын көрөт (төмөндөгү сүрөттү караңыз). Колдонуучу керектүү уруксаттарды берсе, троян администратор артыкчылыктары менен иштейт.
Системада орнотулган демейки тилге жараша, троян ката билдирүүлөрүн орус же англис тилдеринде көрсөтөт.
4.8.3. Сертификат
RTM Windows Дүкөнүнө сертификаттарды кошо алат жана csrss.exe диалог кутучасындагы "ооба" баскычын автоматтык түрдө басуу менен толуктоонун ишенимдүүлүгүн ырастай алат. Бул жүрүм-жаңы эмес, мисалы, банктык Trojan Retefe да өз алдынча жаңы күбөлүк орнотуу ырастайт;
4.8.4. Тескери байланыш
RTM авторлору Backconnect TCP туннелин да түзүшкөн. Биз азырынча колдонулуп жаткан функцияны көрө элекпиз, бирок ал вирус жуккан компьютерлерди алыстан көзөмөлдөө үчүн иштелип чыккан.
4.8.5. Хост файлын башкаруу
C&C сервери троянга Windows хост файлын өзгөртүү үчүн буйрук жөнөтө алат. Хост файлы ыңгайлаштырылган DNS токтомдорун түзүү үчүн колдонулат.
4.8.6. Файлды таап, жөнөтүңүз
Сервер вирус жуккан системадагы файлды издөөнү жана жүктөп алууну суранышы мүмкүн. Мисалы, изилдөө учурунда биз 1c_to_kl.txt файлына суроо-талап алдык. Мурда сүрөттөлгөндөй, бул файл 1С: Enterprise 8 эсепке алуу системасы тарабынан түзүлгөн.
4.8.7. Жаңыртуу
Акыр-аягы, RTM авторлору учурдагы версияны алмаштыруу үчүн жаңы DLL тапшыруу менен программаны жаңырта алышат.
5. жыйынтыктоо
RTM изилдөөсү көрсөткөндөй, Орусиянын банк системасы дагы эле кибер чабуулчуларды өзүнө тартып турат. Buhtrap, Corkow жана Carbanak сыяктуу топтор Орусиядагы каржы институттарынан жана алардын кардарларынан акчаны ийгиликтүү уурдашат. RTM бул тармакта жаңы оюнчу болуп саналат.
ESET телеметриясына ылайык, зыяндуу RTM куралдары жок дегенде 2015-жылдын аягынан бери колдонулуп келет. Программа шпиондук мүмкүнчүлүктөрдүн толук спектрин камтыйт, анын ичинде смарт-карталарды окуу, баскычтарды басуу жана банктык транзакцияларды көзөмөлдөө, ошондой эле 1С: Enterprise 8 транспорттук файлдарын издөө.
Децентралдаштырылган, цензурасы жок .bit жогорку деңгээлдеги доменди колдонуу жогорку ийкемдүү инфраструктураны камсыз кылат.
Source: www.habr.com