Et gi verschidde bekannte Cybergruppen, déi spezialiséiert sinn fir Fongen vu russesche Firmen ze klauen. Mir hunn Attacke mat Sécherheetsschleifen gesinn, déi Zougang zum Netz vum Zil erlaben. Wann se Zougang kréien, studéieren Ugräifer d'Netzstruktur vun der Organisatioun an setzen hir eege Tools fir Fongen ze klauen. E klassescht Beispill vun dësem Trend sinn d'Hackergruppen Buhtrap, Cobalt a Corkow.
D'RTM Grupp op déi dëse Bericht fokusséiert ass Deel vun dësem Trend. Et benotzt speziell entworf Malware geschriwwen an Delphi, déi mir méi am Detail an de folgende Rubriken kucken. Déi éischt Spure vun dësen Tools am ESET Telemetriesystem goufen Enn 2015 entdeckt. D'Team lued verschidde nei Moduler op infizéiert Systemer wéi néideg. D'Attacke riichten u Benotzer vu Fernbankesystemer a Russland an e puer Nopeschlänner.
1. Ziler
D'RTM Kampagne riicht sech u Firmenbenotzer - dat ass evident aus de Prozesser déi Ugräifer probéieren an engem kompromittéierte System z'entdecken. De Fokus ass op Comptabilitéitssoftware fir mat Remote Banking Systemer ze schaffen.
D'Lëscht vun de Prozesser vun Interesse fir RTM gläicht déi entspriechend Lëscht vun der Buhtrap Grupp, awer d'Gruppen hunn verschidden Infektiounsvektoren. Wann Buhtrap méi dacks gefälschte Säiten benotzt, da benotzt RTM Drive-by Download Attacken (Attacke op de Browser oder seng Komponenten) a Spam per E-Mail. Laut Telemetrie-Daten ass d'Drohung u Russland a verschidde Länner an der Géigend (Ukrain, Kasachstan, Tschechesch Republik, Däitschland) riicht. Wéi och ëmmer, wéinst der Benotzung vu Masseverdeelungsmechanismen, ass d'Detektioun vu Malware ausserhalb vun den Zilregiounen net iwwerraschend.
D'total Zuel vu Malware Detektiounen ass relativ kleng. Op der anerer Säit benotzt d'RTM Kampagne komplex Programmer, wat beweist datt d'Attacke héich geziilt sinn.
Mir hunn e puer Decoy Dokumenter entdeckt, déi vun RTM benotzt ginn, dorënner net existent Kontrakter, Rechnungen oder Steierrechnungsdokumenter. D'Natur vun de Lëpsen, kombinéiert mat der Aart vu Software, déi vum Attack gezielt ass, weist datt d'Ugräifer d'Netzwierker vu russesche Firmen duerch d'Comptabilitéitsabteilung "aginn". De Grupp huet nom selwechte Schema gehandelt an 2014-2015
Wärend der Fuerschung konnte mir mat verschiddene C&C Server interagéieren. Mir wäerten déi komplett Lëscht vun de Kommandoen an de folgende Sektiounen oplëschten, awer fir de Moment kënne mir soen datt de Client Daten vum Keylogger direkt op den attackéierte Server transferéiert, aus deem zousätzlech Kommandoen dann kritt ginn.
Wéi och ëmmer, d'Deeg wou Dir einfach mat engem Kommando- a Kontrollserver konnektéiere konnt an all d'Donnéeën sammelen déi Dir interesséiert sidd, sinn fort. Mir hunn realistesch Logdateien nei erstallt fir e puer relevante Befehle vum Server ze kréien.
Déi éischt vun hinnen ass eng Ufro un de Bot fir d'Datei 1c_to_kl.txt ze transferéieren - eng Transportdatei vum 1C: Enterprise 8 Programm, d'Erscheinung vun deem aktiv vun RTM iwwerwaacht gëtt. 1C interagéiert mat Remote Bankesystemer andeems Dir Daten iwwer erausginn Bezuelungen op eng Textdatei eropluet. Als nächst gëtt d'Datei an de Fernbankesystem geschéckt fir d'Automatisatioun an d'Ausféierung vun der Bezuelbestellung.
De Fichier enthält Bezuelungsdetailer. Wann Ugräifer d'Informatioun iwwer erausginn Bezuelungen änneren, gëtt den Transfer mat falschen Detailer op d'Konten vun den Ugräifer geschéckt.
Ongeféier e Mount nodeems Dir dës Dateie vum Kommando- a Kontrollserver gefrot huet, hu mir en neie Plugin observéiert, 1c_2_kl.dll, op de kompromittéierte System gelueden. De Modul (DLL) ass entwéckelt fir automatesch d'Downloaddatei ze analyséieren andeems d'Comptabilitéitssoftware Prozesser penetréieren. Mir wäerten et am Detail an de folgende Rubriken beschreiwen.
Interessanterweis huet FinCERT vun der Bank vu Russland Enn 2016 e Bulletin Warnung iwwer Cyberkrimineller erausginn, déi 1c_to_kl.txt eropluede Dateien benotzen. Entwéckler vun 1C wëssen och iwwer dëst Schema; si hu schonn eng offiziell Erklärung gemaach an opgezielt Virsiichtsmoossnamen.
Aner Moduler goufen och vum Kommando Server gelueden, besonnesch VNC (seng 32 an 64-Bit Versiounen). Et gläicht dem VNC Modul dee virdru bei Dridex Trojan Attacken benotzt gouf. Dëse Modul gëtt vermeintlech benotzt fir op afstand mat engem infizéierte Computer ze verbannen an eng detailléiert Etude vum System ze maachen. Als nächst probéieren d'Ugräifer ronderëm d'Netz ze réckelen, Benotzer Passwierder extrahéieren, Informatioun sammelen an déi konstant Präsenz vu Malware garantéieren.
2. Vecteure vun Infektioun
Déi folgend Figur weist d'Infektiounsvektoren, déi während der Studieperiod vun der Campagne festgestallt goufen. D'Grupp benotzt eng breet Palette vu Vektoren, awer haaptsächlech Drive-by Download-Attacke a Spam. Dës Tools si praktesch fir geziilt Attacken, well am éischte Fall kënnen Ugräifer Siten auswielen, déi vu potenziellen Affer besicht ginn, an am zweete kënnen se E-Mail mat Uschlëss direkt un déi gewënschten Firma Mataarbechter schécken.
D'Malware gëtt iwwer verschidde Kanäl verdeelt, dorënner RIG a Sundown Exploit Kits oder Spam Mailings, wat d'Verbindungen tëscht den Ugräifer an aner Cyberattacker ugeet, déi dës Servicer ubidden.
2.1. Wéi sinn RTM a Buhtrap verbonnen?
D'RTM Kampagne ass ganz ähnlech wéi Buhtrap. Déi natierlech Fro ass: Wéi si se matenee verbonnen?
Am September 2016 hu mir eng RTM Probe observéiert déi mam Buhtrap Uploader verdeelt gëtt. Zousätzlech hu mir zwee digital Zertifikater fonnt, déi a béid Buhtrap an RTM benotzt ginn.
Déi éischt, angeblech un d'Firma DNISTER-M erausginn, gouf benotzt fir déi zweet Delphi Form digital z'ënnerschreiwen (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) an de Buhtrap DLL (SHA-1: 1E2642B454FBA2C889C6C41116D 83).
Déi zweet, erausginn ze Bit-Tredj, gouf benotzt Buhtrap loaders z'ënnerschreiwen (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 an B74F71560E48488D2153AE2FB51207A0), wéi och RTM Komponenten installéieren an erofzelueden.
RTM Opérateuren benotzen Certificaten déi fir aner Malware Famillen gemeinsam sinn, mä si hunn och eng eenzegaarteg Zertifikat. Laut ESET Telemetrie gouf et op Kit-SD erausginn a gouf nëmme benotzt fir e puer RTM Malware z'ënnerschreiwen (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM benotzt dee selwechte Loader wéi Buhtrap, RTM Komponenten ginn aus der Buhtrap Infrastruktur gelueden, sou datt d'Gruppen ähnlech Netzwierkindikatoren hunn. Wéi och ëmmer, no eisen Schätzungen, sinn RTM a Buhtrap verschidde Gruppen, op d'mannst well RTM op verschidde Manéiere verdeelt gëtt (net nëmmen mat engem "auslännesche" Downloader).
Trotz dësem benotzen Hackergruppen ähnlech Operatiounsprinzipien. Si zielen Geschäfter déi Comptabilitéitssoftware benotzen, ähnlech Systeminformatioun sammelen, no Smart Card Lieser sichen, an eng ganz Rëtsch béiswëlleg Tools ofsetzen fir Affer ze spionéieren.
3. Evolutioun
An dëser Sektioun wäerte mir déi verschidde Versioune vu Malware kucken, déi während der Studie fonnt goufen.
3.1. Versionéierung
RTM späichert Konfiguratiounsdaten an enger Registry Sektioun, den interessantsten Deel ass Botnet-Präfix. Eng Lëscht vun all de Wäerter, déi mir an de Proben gesinn hunn, déi mir studéiert hunn, gëtt an der Tabell hei ënnen presentéiert.
Et ass méiglech datt d'Wäerter benotzt kënne fir Malware Versiounen opzehuelen. Mir hunn awer net vill Ënnerscheeder tëscht Versioune wéi bit2 a bit3, 0.1.6.4 an 0.1.6.6 gemierkt. Desweideren, ee vun de Präfixe schonn zanter dem Ufank ronderëm an huet sech aus engem typesch C & C Domän zu engem .bit Domän, wéi wäert ënnendrënner gewisen.
3.2. Zäitplang
Mat Hëllef vun Telemetrie Daten hu mir eng Grafik vun der Optriede vu Proben erstallt.
4. Technesch Analyse
An dëser Rubrik wäerte mir d'Haaptfunktioune vum RTM Banking Trojaner beschreiwen, dorënner Resistenzmechanismen, seng eege Versioun vum RC4 Algorithmus, Netzwierkprotokoll, Spiounsfunktionalitéit an e puer aner Funktiounen. Besonnesch wäerte mir op SHA-1 Echantillon konzentréieren AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 an 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. Installatioun a spueren
4.1.1. Ëmsetzung
Den RTM Kär ass eng DLL, d'Bibliothéik gëtt op Disk gelueden mat .EXE. Déi ausführbar Datei ass normalerweis verpackt an enthält DLL Code. Eemol lancéiert, extrahéiert d'DLL a leeft se mat dem folgenden Kommando aus:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. DLL
D'Haapt DLL gëtt ëmmer op Disk gelueden als winlogon.lnk am %PROGRAMDATA%Winlogon Dossier. Dës Dateierweiterung ass normalerweis mat enger Ofkiirzung assoziéiert, awer d'Datei ass tatsächlech eng DLL geschriwwen an Delphi, genannt core.dll vum Entwéckler, wéi am Bild hei ënnendrënner.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Eemol lancéiert, aktivéiert den Trojaner säi Resistenzmechanismus. Dëst kann op zwou verschidde Manéiere gemaach ginn, jee no de Privilegien vum Affer am System. Wann Dir Administratorrechter hutt, füügt den Trojaner e Windows Update-Entrée an den HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun Registry. D'Befehle, déi am Windows Update enthale sinn, lafen am Ufank vun der Sessioun vum Benotzer.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe "%PROGRAMDATA%winlogon.lnk",DllGetClassObject Host
Den Trojaner probéiert och eng Task op den Windows Task Scheduler ze addéieren. D'Aufgab lancéiert d'winlogon.lnk DLL mat de selwechte Parameteren wéi uewen. Regelméisseg Benotzerrechter erlaben den Trojaner e Windows Update-Entrée mat de selwechten Donnéeën an d'HKCUSoftwareMicrosoftWindowsCurrentVersionRun Registry ze addéieren:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Geännert RC4 Algorithmus
Trotz senge bekannte Mängel gëtt den RC4 Algorithmus regelméisseg vu Malware Autoren benotzt. Wéi och ëmmer, d'Creatoren vun RTM hunn et liicht geännert, wahrscheinlech fir d'Aufgab vu Virusanalytiker méi schwéier ze maachen. Eng modifizéiert Versioun vum RC4 gëtt wäit a béiswëlleg RTM Tools benotzt fir Strings, Netzwierkdaten, Konfiguratioun a Moduler ze verschlësselen.
4.2.1. Differenzen
Den ursprénglechen RC4 Algorithmus enthält zwou Etappen: s-Block Initialiséierung (alias KSA - Key-Scheduling Algorithmus) a pseudo-zoufälleg Sequenz Generatioun (PRGA - Pseudo-Random Generation Algorithmus). Déi éischt Stuf ëmfaasst d'Initialiséierung vun der s-Box mam Schlëssel, an an der zweeter Stuf gëtt de Quelltext mat der s-Box fir Verschlësselung veraarbecht.
D'RTM Autoren hunn en Zwësche Schrëtt tëscht s-Box Initialiséierung a Verschlësselung bäigefüügt. Den zousätzleche Schlëssel ass variabel a gëtt zur selwechter Zäit festgeluegt wéi d'Donnéeën déi verschlësselt an entschlësselt ginn. D'Funktioun déi dësen zousätzleche Schrëtt ausféiert gëtt an der Figur hei ënnen gewisen.
4.2.2. String Verschlësselung
Op den éischte Bléck sinn et e puer liesbar Zeilen an der Haapt-DLL. De Rescht sinn verschlësselte mat der uewen beschriwwen Algorithmus, der Struktur vun deem ass an der folgender Figur gewisen. Mir hunn méi wéi 25 verschidde RC4 Schlësselen fir String Verschlësselung an den analyséierte Proben fonnt. Den XOR Schlëssel ass anescht fir all Zeil. De Wäert vun den numeresche Feldtrennlinnen ass ëmmer 0xFFFFFFFF.
Am Ufank vun der Ausféierung entschlësselt RTM d'Saiten an eng global Variabel. Wann néideg fir Zougang zu engem String ze kréien, berechent den Trojaner dynamesch d'Adress vun den entschlësselten Saiten op Basis vun der Basisadress a Offset.
D'Strings enthalen interessant Informatioun iwwer d'Funktioune vun der Malware. E puer Beispiller Strings ginn am Sektioun 6.8 geliwwert.
4.3. Reseau
De Wee RTM Malware kontaktéiert den C&C Server variéiert vu Versioun zu Versioun. Déi éischt Ännerungen (Oktober 2015 - Abrëll 2016) hunn traditionell Domain Nimm zesumme mat engem RSS Feed op livejournal.com benotzt fir d'Lëscht vun de Kommandoen ze aktualiséieren.
Zënter Abrëll 2016 hu mir eng Verréckelung op .bit Domainen an Telemetriedaten gesinn. Dëst gëtt vum Domainregistrierungsdatum bestätegt - déi éischt RTM Domain fde05d0573da.bit gouf den 13. Mäerz 2016 registréiert.
All d'URLen déi mir während der Iwwerwaachung vun der Campagne gesinn hunn, haten e gemeinsame Wee: /r/z.php. Et ass zimmlech ongewéinlech an et wäert hëllefen RTM Ufroen an Netzwierkfloss z'identifizéieren.
4.3.1. Kanal fir Kommandoen a Kontroll
Legacy Beispiller hunn dëse Kanal benotzt fir hir Lëscht vu Kommando- a Kontrollserver ze aktualiséieren. Hosting ass op livejournal.com, zum Zäitpunkt vum Schreiwen vum Bericht blouf et op der URL hxxp://f72bba81c921(.)livejournal(.)com/ data/rss.
Livejournal ass eng russesch-amerikanesch Firma déi eng Blogging Plattform ubitt. RTM Bedreiwer erstellen e LJ Blog an deem se en Artikel mat kodéierte Kommandoen posten - kuckt Screenshot.
Kommando- a Kontrolllinne gi kodéiert mat engem modifizéierten RC4 Algorithmus (Sektioun 4.2). Déi aktuell Versioun (November 2016) vum Kanal enthält déi folgend Kommando- a Kontrollserveradressen:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. .bëssen Domainen
Am rezentste RTM Echantillon, Auteuren konnektéieren zu C & C Domains mat der .bit TLD Top-Level Domain. Et ass net op der ICANN (Domain Name and Internet Corporation) Lëscht vun Top-Level Domainen. Amplaz benotzt et den Namecoin System, deen uewen op Bitcoin Technologie gebaut ass. Malware Autoren benotzen net dacks den .bit TLD fir hir Domainen, obwuel e Beispill vun esou enger Benotzung virdru an enger Versioun vum Necurs Botnet observéiert gouf.
Am Géigesaz zu Bitcoin hunn d'Benotzer vun der verdeeler Namecoin Datebank d'Fäegkeet Daten ze späicheren. D'Haaptapplikatioun vun dëser Feature ass den .bit Top-Level Domain. Dir kënnt Domainen registréieren déi an enger verdeeler Datebank gespäichert ginn. Déi entspriechend Entréen an der Datebank enthalen IP Adressen, déi vum Domain geléist ginn. Dës TLD ass "Zensur-resistent" well nëmmen de Registrant d'Resolutioun vum .bit Domain änneren kann. Dëst bedeit datt et vill méi schwéier ass e béiswëlleg Domain ze stoppen mat dëser Zort TLD.
Den RTM Trojaner setzt net d'Software déi néideg ass fir déi verdeelt Namecoin Datebank ze liesen. Et benotzt zentrale DNS Serveren wéi dns.dot-bit.org oder OpenNic Serveren fir .bit Domainen ze léisen. Dofir huet et déiselwecht Haltbarkeet wéi DNS Server. Mir hunn observéiert datt e puer Teamdomänen net méi erkannt goufen nodeems se an engem Blogpost ernimmt goufen.
En anere Virdeel vun der .bit TLD fir Hacker ass Käschten. Fir en Domain anzeschreiwen, mussen d'Bedreiwer nëmmen 0,01 NK bezuelen, wat entsprécht $ 0,00185 (vum 5. Dezember 2016). Zum Verglach kascht domain.com op d'mannst $10.
4.3.3. Protokoll
Fir mat dem Kommando- a Kontrollserver ze kommunizéieren, benotzt RTM HTTP POST Ufroe mat Daten, déi mat engem personaliséierte Protokoll formatéiert sinn. De Wee Wäert ass ëmmer /r/z.php; Mozilla/5.0 User Agent (kompatibel; MSIE 9.0; Windows NT 6.1; Trident/5.0). Bei Ufroen un de Server ginn d'Donnéeën wéi follegt formatéiert, wou d'Offsetwäerter a Bytes ausgedréckt ginn:
Bytes 0 bis 6 sinn net kodéiert; Bytes ab 6 ginn kodéiert mat engem modifizéierten RC4 Algorithmus. D'Struktur vum C&C Äntwertpaket ass méi einfach. Bytes gi vu 4 bis Paketgréisst kodéiert.
D'Lëscht vu méiglechen Handlungsbyte Wäerter gëtt an der Tabell hei ënnen presentéiert:
De Malware berechent ëmmer den CRC32 vun den entschlësselten Donnéeën a vergläicht et mat deem wat am Paket präsent ass. Wann se ënnerscheeden, fällt den Trojaner de Paket.
Déi zousätzlech Donnéeën kënnen verschidden Objeten enthalen, dorënner eng PE-Datei, eng Datei déi am Dateiesystem gesicht gëtt oder nei Kommando-URLen.
4.3.4. Panel
Mir hu gemierkt datt RTM e Panel op C&C Server benotzt. Screenshot hei drënner:
4.4. Charakteristesch Zeechen
RTM ass en typesche Bank Trojaner. Et ass keng Iwwerraschung datt d'Bedreiwer Informatioun iwwer de System vum Affer wëllen. Engersäits sammelt de Bot allgemeng Informatioun iwwer den OS. Op der anerer Säit fënnt et eraus ob de kompromittéierte System Attributer enthält, déi mat russesche Fernbankesystemer verbonne sinn.
4.4.1. Allgemeng Informatiounen
Wann Malware installéiert oder lancéiert gëtt no engem Neistart, gëtt e Bericht un de Kommando- a Kontrollserver geschéckt mat allgemeng Informatioune mat abegraff:
- Zäitzone;
- Standard System Sprooch;
- autoriséiert Benotzer Umeldungsinformatioune;
- Prozess Integritéit Niveau;
- Benotzernumm;
- Computer Numm;
- OS Versioun;
- zousätzlech installéiert Moduler;
- installéiert Antivirus Programm;
- Lëscht vun Smart Card Lieser.
4.4.2 Remote Bankesystem
En typescht Trojanescht Zil ass e Remote Bankesystem, an RTM ass keng Ausnahm. Ee vun de Moduler vum Programm gëtt TBdo genannt, deen verschidden Aufgaben ausféiert, dorënner Scannen vun Disken a Browsergeschicht.
Andeems Dir den Disk scannt, iwwerpréift den Trojaner ob Bankesoftware op der Maschinn installéiert ass. Déi komplett Lëscht vun Zilprogrammer ass an der Tabell hei ënnen. Nodeems Dir eng Datei vun Interesse entdeckt hutt, schéckt de Programm Informatioun un de Kommandoserver. Déi nächst Aktiounen hänke vun der Logik of, déi vum Kommandozenter (C&C) Algorithmen spezifizéiert ass.
RTM sicht och URL Musteren an Ärer Browsergeschicht an oppen Tabs. Zousätzlech iwwerpréift de Programm d'Benotzung vun de FindNextUrlCacheEntryA a FindFirstUrlCacheEntryA Funktiounen, a kontrolléiert och all Entrée fir d'URL mat engem vun de folgende Musteren ze passen:
Nodeems Dir oppen Tabs entdeckt hutt, kontaktéiert den Trojaner Internet Explorer oder Firefox iwwer den Dynamic Data Exchange (DDE) Mechanismus fir ze kontrolléieren ob d'Tab mam Muster entsprécht.
Iwwerpréift Är Browsergeschicht an oppe Tabs gëtt an enger WHILE Loop (eng Loop mat enger Viraussetzung) mat enger 1 Sekonn Paus tëscht Kontrollen duerchgefouert. Aner Donnéeën, déi an Echtzäit iwwerwaacht ginn, ginn am Sektioun 4.5 diskutéiert.
Wann e Muster fonnt gëtt, mellt de Programm dëst un de Kommandoserver mat enger Lëscht vu Saiten aus der folgender Tabell:
4.5 Iwwerwachung
Wärend den Trojaner leeft, gëtt Informatioun iwwer d'charakteristesch Feature vum infizéierte System (inklusiv Informatioun iwwer d'Präsenz vu Bankesoftware) un de Kommando- a Kontrollserver geschéckt. Fangerofdrock geschitt wann RTM fir d'éischt den Iwwerwaachungssystem direkt nom initialen OS Scan leeft.
4.5.1. Remote Banking
Den TBdo-Modul ass och verantwortlech fir d'Iwwerwaachung vun de Banke-relatéierte Prozesser. Et benotzt dynamesch Datenaustausch fir Tabs am Firefox an Internet Explorer während dem initialen Scan ze kontrolléieren. En aneren TShell Modul gëtt benotzt fir Kommandofenster ze iwwerwaachen (Internet Explorer oder File Explorer).
De Modul benotzt d'COM Interfaces IShellWindows, iWebBrowser, DWebBrowserEvents2 an IConnectionPointContainer fir Fënsteren ze iwwerwaachen. Wann e Benotzer op eng nei Websäit navigéiert, bemierkt d'Malware dëst. Et vergläicht dann d'Säit URL mat den uewe genannte Mustere. Nodeems e Match festgestallt gouf, hëlt den Trojaner sechs konsekutiv Screenshots mat engem Intervall vu 5 Sekonnen a schéckt se op den C&S Kommandoserver. De Programm kontrolléiert och e puer Fënsternimm am Zesummenhang mat Bankesoftware - déi komplett Lëscht ass hei ënnen:
4.5.2. Smart Kaart
RTM erlaabt Iech Smart Card Lieser ze iwwerwaachen verbonne mat infizéierte Computeren. Dës Apparater ginn an e puer Länner benotzt fir Bezuelbestellunge mateneen ze bréngen. Wann dës Zort Apparat un engem Computer befestegt ass, kann et engem Trojaner uginn datt d'Maschinn fir Banktransaktiounen benotzt gëtt.
Am Géigesaz zu anere Bank Trojaner, kann RTM net mat sou Smart Kaarten interagéieren. Vläicht ass dës Funktionalitéit an engem zousätzleche Modul abegraff, dee mir nach net gesinn hunn.
4.5.3. Keylogger
E wichtege Bestanddeel vun der Iwwerwaachung vun engem infizéierte PC ass Tastekombinatiounen. Et schéngt, datt d'RTM Entwéckler keng Informatioun fehlen, well se net nëmme regelméisseg Schlësselen iwwerwaachen, awer och déi virtuell Tastatur a Clipboard.
Fir dëst ze maachen, benotzt d'SetWindowsHookExA Funktioun. Ugräifer aloggen d'Schlësselen gedréckt oder d'Schlësselen entspriechend der virtueller Tastatur, zesumme mam Numm an Datum vum Programm. De Puffer gëtt dann un den C&C Kommandoserver geschéckt.
D'SetClipboardViewer Funktioun gëtt benotzt fir de Clipboard z'ënnerscheeden. Hacker protokolléieren den Inhalt vum Clipboard wann d'Donnéeën Text sinn. Den Numm an den Datum ginn och protokolléiert ier de Puffer op de Server geschéckt gëtt.
4.5.4. Screenshots
Eng aner RTM Funktioun ass Screenshot Offangen. D'Fonktioun gëtt applizéiert wann d'Fënster Iwwerwachung Modul e Site oder Banking Software vun Interessi erkennt. Screenshots gi mat enger Bibliothéik vu grafesche Biller geholl an op de Kommandoserver transferéiert.
4.6. Deinstallatioun
De C&C Server kann d'Malware stoppen fir ze lafen an Äre Computer botzen. De Kommando erlaabt Iech Dateien an Registry Entréen ze läschen, erstallt wärend RTM leeft. D'DLL gëtt dann benotzt fir d'Malware an d'Winlogon-Datei ze läschen, no deem de Kommando de Computer ausschalt. Wéi am Bild hei ënnendrënner gewisen, gëtt d'DLL vun Entwéckler geläscht mat erase.dll.
De Server kann dem Trojaner e destruktiven Uninstall-Lock Kommando schécken. An dësem Fall, wann Dir Administrator Rechter hutt, läscht RTM den MBR Bootsektor op der Festplack. Wann dat klappt, probéiert den Trojaner den MBR Bootsektor op e zoufällege Secteur ze verschwannen - da kann de Computer den OS net nom Ofschalten booten. Dëst kann zu enger kompletter Neiinstallatioun vum OS féieren, dat heescht d'Zerstéierung vu Beweiser.
Ouni Administrator Privilegien schreift d'Malware en .EXE kodéiert an der Basisdaten RTM DLL. Den ausführbar fiert de Code aus, deen néideg ass fir de Computer auszeschalten an de Modul am HKCUCurrentVersionRun Registry Schlëssel registréiert. All Kéier wann de Benotzer eng Sessioun ufänkt, schalt de Computer direkt aus.
4.7. D'Konfiguratiounsdatei
Par défaut huet RTM bal keng Konfiguratiounsdatei, awer de Kommando- a Kontrollserver kann Konfiguratiounswäerter schécken, déi am Registry gespäichert ginn a vum Programm benotzt ginn. D'Lëscht vun de Konfiguratiounsschlësselen gëtt an der Tabell hei ënnen presentéiert:
D'Konfiguratioun gëtt an der Software [Pseudo-zoufälleg String] Registry Schlëssel gespäichert. All Wäert entsprécht enger vun de Reihen an der viregter Tabell presentéiert. Wäerter an Daten ginn kodéiert mam RC4 Algorithmus am RTM.
D'Donnéeën hunn déiselwecht Struktur wéi e Netzwierk oder Strings. E Véier-Byte XOR-Schlëssel gëtt am Ufank vun de kodéierten Donnéeën bäigefüügt. Fir Konfiguratiounswäerter ass den XOR Schlëssel anescht an hänkt vun der Gréisst vum Wäert of. Et kann wéi follegt berechent ginn:
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)
4.8. Aner Funktiounen
Als nächst kucke mer aner Funktiounen déi RTM ënnerstëtzt.
4.8.1. Zousätzlech Moduler
Den Trojaner enthält zousätzlech Moduler, déi DLL-Dateien sinn. Moduler, déi vum C&C Kommandoserver geschéckt ginn, kënnen als extern Programmer ausgefouert ginn, am RAM reflektéiert an an neie Threads lancéiert ginn. Fir Stockage, Moduler sinn an .dtt Fichieren gespäichert a codéiert mat der RC4 Algorithmus mat der selwechter Schlëssel fir Reseau Kommunikatiounen benotzt.
Bis elo hu mir d'Installatioun vum VNC-Modul (8966319882494077C21F66A8354E2CBCA0370464), dem Browser-Datenextraktiounsmodul (03DE8622BE6B2F75A364A275995C3411626C4EF) an 9EF1C2D (1EF562BE1B69F6A58A88753C7C0EF)_3EF (4EF) CXNUMXFBAXNUMX BXNUMXBEXNUMXDXNUMXBXNUMXEXNUMXCFAB).
Fir de VNC-Modul ze lueden, gëtt de C&C-Server e Kommando fir Verbindungen mam VNC-Server op enger spezifescher IP Adress um Hafen 44443. Da schéckt se déi komplett Lëscht vun besichten URLen un den C&C Kommandoserver.
De leschte Modul entdeckt gëtt 1c_2_kl genannt. Et kann mat dem 1C Enterprise Software Package interagéieren. De Modul enthält zwee Deeler: den Haaptdeel - DLL an zwee Agenten (32 an 64 Bit), déi an all Prozess injizéiert ginn, eng Bindung op WH_CBT registréieren. Nodeems Dir an den 1C Prozess agefouert gouf, bindt de Modul d'CreateFile a WriteFile Funktiounen. Wann ëmmer d'CreateFile gebonnen Funktioun genannt gëtt, späichert de Modul de Dateiwee 1c_to_kl.txt an der Erënnerung. No ofgefaangen der WriteFile Opruff, et rifft der WriteFile Funktioun a schéckt de Fichier Wee 1c_to_kl.txt zu der Haaptrei DLL Modul, laanschtgoungen et der geschaf Windows WM_COPYDATA Message.
Den Haapt DLL Modul mécht op a parséiert d'Datei fir d'Bezuelbestellungen ze bestëmmen. Et erkennt de Betrag an d'Transaktiounsnummer an der Datei. Dës Informatioun gëtt un de Kommandoserver geschéckt. Mir gleewen, datt dëse Modul am Moment ënner Entwécklung ass, well et eng Debug Message enthält an 1c_to_kl.txt automatesch änneren kann.
4.8.2. Privileg Eskalatioun
RTM kann probéieren Privilegien ze eskaléieren andeems se falsch Fehlermeldungen weisen. De Malware simuléiert e Registry Check (kuckt d'Bild hei ënnen) oder benotzt e richtege Registry Editor Ikon. Notéiert w.e.g. d'Schreifweiswait - whait. No e puer Sekonnen vum Scannen weist de Programm eng falsch Fehlermeldung.
Eng falsch Noriicht wäert den duerchschnëttleche Benotzer einfach täuschen, trotz grammatesche Feeler. Wann de Benotzer op ee vun deenen zwee Linken klickt, probéiert RTM seng Privilegien am System z'eskaléieren.
Nodeems Dir eng vun zwou Erhuelungsoptiounen auswielen, lancéiert den Trojaner d'DLL mat der Runas Optioun an der ShellExecute Funktioun mat Administrator Privilegien. De Benotzer wäert eng richteg Windows Ufro gesinn (kuckt Bild hei ënnen) fir Héicht. Wann de Benotzer déi néideg Permissiounen gëtt, leeft den Trojaner mat Administrator Privilegien.
Ofhängeg vun der Standardsprooch déi um System installéiert ass, weist den Trojanesche Fehlermeldungen op Russesch oder Englesch.
4.8.3. Zertifikat
RTM kann Zertifikater am Windows Store addéieren an d'Zouverlässegkeet vun der Zousatz bestätegen andeems Dir automatesch op de "Jo" Knäppchen an der csrss.exe Dialogbox klickt. Dëst Verhalen ass net nei; zum Beispill, de Bank Trojan Retefe bestätegt och onofhängeg d'Installatioun vun engem neien Zertifika.
4.8.4. Ëmgedréint Verbindung
D'RTM Autoren hunn och de Backconnect TCP Tunnel erstallt. Mir hunn d'Feature nach net am Gebrauch gesinn, awer et ass entwéckelt fir infizéiert PCs op afstand ze iwwerwaachen.
4.8.5. Host Datei Gestioun
De C&C Server kann e Kommando un den Trojaner schécken fir d'Windows Hostdatei z'änneren. D'Hostdatei gëtt benotzt fir personaliséiert DNS-Resolutiounen ze kreéieren.
4.8.6. Fannt a schéckt eng Datei
De Server kann ufroen fir eng Datei um infizéierte System ze sichen an erofzelueden. Zum Beispill, wärend der Recherche krute mir eng Demande fir de Fichier 1c_to_kl.txt. Wéi virdru beschriwwen, gëtt dës Datei vum 1C: Enterprise 8 Comptabilitéitssystem generéiert.
4.8.7. Update
Schlussendlech kënnen RTM Autoren d'Software aktualiséieren andeems se eng nei DLL ofginn fir déi aktuell Versioun ze ersetzen.
5. Konklusioun
D'Recherche vun RTM weist datt de russesche Bankesystem ëmmer nach Cyberattacker unzitt. Gruppe wéi Buhtrap, Corkow a Carbanak klauen erfollegräich Sue vu Finanzinstituter an hire Clienten a Russland. RTM ass en neie Spiller an dëser Industrie.
Béiswëlleg RTM Tools sinn zënter op d'mannst Enn 2015 am Gebrauch, laut ESET Telemetrie. De Programm huet eng ganz Palette vu Spiounsfäegkeeten, dorënner d'Liesen vu Smart Cards, d'Tastekombinatioun an d'Iwwerwaachung vu Banktransaktiounen, souwéi d'Sich no 1C: Enterprise 8 Transportdateien.
D'Benotzung vun engem dezentraliséierten, onsensuréierten .bit Top-Level Domain garantéiert eng héich elastesch Infrastruktur.
Source: will.com