Yra žinomos kelios kibernetinės grupės, kurios specializuojasi vagysdamos lėšas iš Rusijos įmonių. Matėme atakas naudojant saugumo spragas, kurios leidžia pasiekti taikinio tinklą. Gavę prieigą, užpuolikai tiria organizacijos tinklo struktūrą ir naudoja savo įrankius, kad pavogtų lėšas. Klasikinis šios tendencijos pavyzdys – programišių grupės „Buhtrap“, „Cobalt“ ir „Corkow“.
RTM grupė, kuriai daugiausia dėmesio skiriama šioje ataskaitoje, yra šios tendencijos dalis. Jis naudoja specialiai sukurtą kenkėjišką programą, parašytą Delphi, kurią išsamiau apžvelgsime tolesniuose skyriuose. Pirmieji šių įrankių pėdsakai ESET telemetrijos sistemoje buvo aptikti 2015 metų pabaigoje. Prireikus komanda įkelia įvairius naujus modulius į užkrėstas sistemas. Atakos nukreiptos į nuotolinių bankų sistemų naudotojus Rusijoje ir kai kuriose kaimyninėse šalyse.
1. Tikslai
RTM kampanija skirta įmonių vartotojams – tai akivaizdu iš procesų, kuriuos užpuolikai bando aptikti pažeistoje sistemoje. Pagrindinis dėmesys skiriamas apskaitos programinei įrangai, skirtai darbui su nuotolinėmis bankų sistemomis.
RTM dominančių procesų sąrašas panašus į atitinkamą Buhtrap grupės sąrašą, tačiau grupės turi skirtingus infekcijos vektorius. Jei „Buhtrap“ dažniau naudojo netikrus puslapius, tai RTM naudojo „drive-by“ atsisiuntimo atakas (atakas prieš naršyklę ar jos komponentus) ir el. pašto šiukšles. Telemetrijos duomenimis, grėsmė nukreipta į Rusiją ir kelias šalia esančias šalis (Ukrainą, Kazachstaną, Čekiją, Vokietiją). Tačiau dėl masinio platinimo mechanizmų kenkėjiškų programų aptikimas už tikslinių regionų nenuostabu.
Bendras kenkėjiškų programų aptikimų skaičius yra palyginti mažas. Kita vertus, RTM kampanijoje naudojamos sudėtingos programos, o tai rodo, kad atakos yra labai tikslingos.
Aptikome keletą RTM naudojamų apgaulės dokumentų, įskaitant neegzistuojančias sutartis, sąskaitas faktūras ar mokesčių apskaitos dokumentus. Masalų pobūdis kartu su programinės įrangos, į kurią buvo nukreipta ataka, tipas rodo, kad užpuolikai „įeina“ į Rusijos įmonių tinklus per apskaitos skyrių. Grupė veikė pagal tą pačią schemą 2014-2015 metais
Tyrimo metu mums pavyko bendrauti su keliais C&C serveriais. Visą komandų sąrašą pateiksime sekančiuose skyriuose, tačiau kol kas galime teigti, kad klientas duomenis iš keylogger perduoda tiesiai į atakuojantį serverį, iš kurio vėliau gaunamos papildomos komandos.
Tačiau laikai, kai galėjai tiesiog prisijungti prie komandų ir valdymo serverio ir rinkti visus jus dominančius duomenis, praėjo. Atkūrėme tikroviškus žurnalo failus, kad gautume kai kurias atitinkamas komandas iš serverio.
Pirmasis iš jų yra prašymas robotui perkelti failą 1c_to_kl.txt - programos 1C: Enterprise 8 transportavimo failą, kurio išvaizdą aktyviai stebi RTM. 1C sąveikauja su nuotolinės bankininkystės sistemomis, įkeldamas duomenis apie siunčiamus mokėjimus į tekstinį failą. Toliau failas siunčiamas į nuotolinę banko sistemą automatizuoti ir vykdyti mokėjimo nurodymą.
Faile yra mokėjimo informacija. Jei užpuolikai pakeis informaciją apie siunčiamus mokėjimus, pervedimas bus siunčiamas naudojant klaidingą informaciją į užpuolikų paskyras.
Praėjus maždaug mėnesiui nuo šių failų užklausos iš komandų ir valdymo serverio, pastebėjome, kad į pažeistą sistemą įkeliamas naujas papildinys 1c_2_kl.dll. Modulis (DLL) skirtas automatiškai analizuoti atsisiunčiamą failą, įsiskverbdamas į apskaitos programinės įrangos procesus. Mes tai išsamiai apibūdinsime tolesniuose skyriuose.
Įdomu tai, kad Rusijos banko „FinCERT“ 2016 m. pabaigoje paskelbė įspėjimą apie kibernetinius nusikaltėlius, naudojančius 1c_to_kl.txt įkėlimo failus. 1C kūrėjai taip pat žino apie šią schemą, jie jau padarė oficialų pareiškimą ir nurodė atsargumo priemones.
Kiti moduliai taip pat buvo įkelti iš komandų serverio, ypač VNC (jo 32 ir 64 bitų versijos). Jis primena VNC modulį, kuris anksčiau buvo naudojamas „Dridex Trojan“ atakoms. Šis modulis tariamai naudojamas nuotoliniu būdu prisijungti prie užkrėsto kompiuterio ir atlikti išsamų sistemos tyrimą. Tada užpuolikai bando judėti tinkle, išgaudami vartotojų slaptažodžius, rinkdami informaciją ir užtikrindami nuolatinį kenkėjiškų programų buvimą.
2. Infekcijos vektoriai
Toliau pateiktame paveikslėlyje parodyti infekcijos pernešėjai, aptikti kampanijos tyrimo laikotarpiu. Grupė naudoja platų vektorių spektrą, tačiau daugiausia naudoja atsisiuntimo atakas ir šlamštą. Šie įrankiai yra patogūs tikslinėms atakoms, nes pirmuoju atveju užpuolikai gali pasirinkti potencialių aukų lankomas svetaines, o antruoju – siųsti elektroninius laiškus su priedais tiesiai norimiems įmonės darbuotojams.
Kenkėjiška programa platinama keliais kanalais, įskaitant RIG ir Sundown išnaudojimo rinkinius arba šlamšto laiškus, nurodančius ryšius tarp užpuolikų ir kitų šias paslaugas siūlančių kibernetinių užpuolikų.
2.1. Kaip yra susiję RTM ir „Buhtrap“?
RTM kampanija labai panaši į Buhtrap. Kyla natūralus klausimas: kaip jie susiję vienas su kitu?
2016 m. rugsėjo mėn. stebėjome, kaip RTM pavyzdys buvo platinamas naudojant „Buhtrap“ įkėlimo programą. Be to, radome du skaitmeninius sertifikatus, naudojamus tiek Buhtrap, tiek RTM.
Pirmasis, tariamai išduotas įmonei DNISTER-M, buvo naudojamas skaitmeniniam antrosios „Delphi“ formos (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) ir „Buhtrap“ DLL (SHA-1: 1E2642BCC454F2F889F6F41116B83C6BA2E4890DBXNUMXBXNUMXDCXNUMXFXNUMXAXNUMXAXNUMXCXNUMXCE) pasirašymui. XNUMX).
Antrasis, išduotas Bit-Tredj, buvo naudojamas pasirašyti „Buhtrap“ krautuvus (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 ir B74F71560E48488D2153AE2FB51207A), taip pat atsisiųsti ir įdiegti komponentus0B.
RTM operatoriai naudoja sertifikatus, kurie yra įprasti kitoms kenkėjiškų programų šeimoms, tačiau turi ir unikalų sertifikatą. Remiantis ESET telemetrija, jis buvo išduotas „Kit-SD“ ir buvo naudojamas tik pasirašyti kai kurias RTM kenkėjiškas programas (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM naudoja tą patį krautuvą kaip ir Buhtrap, RTM komponentai įkeliami iš Buhtrap infrastruktūros, todėl grupės turi panašius tinklo rodiklius. Tačiau, mūsų vertinimu, RTM ir Buhtrap yra skirtingos grupės, bent jau todėl, kad RTM platinamas skirtingais būdais (ne tik naudojant „svetimą“ atsisiuntimo programą).
Nepaisant to, įsilaužėlių grupės taiko panašius veikimo principus. Jie nukreipti į įmones, naudojančias apskaitos programinę įrangą, panašiai renkant sistemos informaciją, ieškant intelektualiųjų kortelių skaitytuvų ir diegiant daugybę kenkėjiškų įrankių, skirtų aukų šnipinėjimui.
3. Evoliucija
Šiame skyriuje apžvelgsime įvairias tyrimo metu aptiktas kenkėjiškų programų versijas.
3.1. Versijų kūrimas
RTM saugo konfigūracijos duomenis registro skyriuje, o įdomiausia dalis yra botnet-prefix. Visų verčių, kurias matėme tirtuose pavyzdžiuose, sąrašas pateikiamas toliau esančioje lentelėje.
Gali būti, kad vertės gali būti naudojamos kenkėjiškų programų versijoms įrašyti. Tačiau didelių skirtumų tarp versijų, tokių kaip bit2 ir bit3, 0.1.6.4 ir 0.1.6.6, nepastebėjome. Be to, vienas iš priešdėlių egzistuoja nuo pat pradžių ir iš įprasto C&C domeno tapo .bit domenu, kaip bus parodyta toliau.
3.2. Tvarkaraštis
Naudodami telemetrijos duomenis sukūrėme pavyzdžių atsiradimo grafiką.
4. Techninė analizė
Šiame skyriuje apibūdinsime pagrindines RTM bankininkystės Trojos arklys funkcijas, įskaitant pasipriešinimo mechanizmus, savo RC4 algoritmo versiją, tinklo protokolą, šnipinėjimo funkciją ir kai kurias kitas funkcijas. Visų pirma daugiausia dėmesio skirsime SHA-1 pavyzdžiams AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 ir 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. Montavimas ir taupymas
4.1.1. Įgyvendinimas
RTM branduolys yra DLL, biblioteka įkeliama į diską naudojant .EXE. Vykdomasis failas paprastai yra supakuotas ir jame yra DLL kodas. Paleidus, jis ištraukia DLL ir paleidžia jį naudodamas šią komandą:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. DLL
Pagrindinis DLL visada įkeliamas į diską kaip winlogon.lnk aplanke %PROGRAMDATA%Winlogon. Šis failo plėtinys paprastai siejamas su nuoroda, tačiau iš tikrųjų failas yra Delphi parašytas DLL, kūrėjo pavadintas core.dll, kaip parodyta paveikslėlyje žemiau.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Paleidęs Trojos arklys suaktyvina savo pasipriešinimo mechanizmą. Tai galima padaryti dviem skirtingais būdais, priklausomai nuo aukos privilegijų sistemoje. Jei turite administratoriaus teises, Trojos arklys prideda Windows naujinimo įrašą į HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun registrą. „Windows Update“ esančios komandos bus paleistos vartotojo seanso pradžioje.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows naujinimas [REG_SZ] = rundll32.exe "%PROGRAMDATA%winlogon.lnk",DllGetClassObject priegloba
Trojos arklys taip pat bando pridėti užduotį prie „Windows“ užduočių planuoklio. Užduotis paleis winlogon.lnk DLL su tais pačiais parametrais, kaip nurodyta aukščiau. Įprastos vartotojo teisės leidžia Trojos arklys pridėti Windows naujinimo įrašą su tais pačiais duomenimis į HKCUSoftwareMicrosoftWindowsCurrentVersionRun registrą:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Modifikuotas RC4 algoritmas
Nepaisant žinomų trūkumų, RC4 algoritmą reguliariai naudoja kenkėjiškų programų autoriai. Tačiau RTM kūrėjai jį šiek tiek pakeitė, tikriausiai, kad apsunkintų virusų analitikų užduotį. Modifikuota RC4 versija plačiai naudojama kenkėjiškuose RTM įrankiuose, siekiant užšifruoti eilutes, tinklo duomenis, konfigūraciją ir modulius.
4.2.1. Skirtumai
Originalus RC4 algoritmas apima du etapus: s-bloko inicijavimą (dar žinomas kaip KSA – Key-Scheduling Algorithm) ir pseudoatsitiktinių sekų generavimą (PRGA – pseudoatsitiktinės generavimo algoritmas). Pirmasis etapas apima s-box inicijavimą naudojant raktą, o antrajame etape šaltinio tekstas apdorojamas naudojant s-box šifravimui.
RTM autoriai pridėjo tarpinį žingsnį tarp s-box inicijavimo ir šifravimo. Papildomas raktas yra kintamas ir nustatomas tuo pačiu metu kaip ir šifruojami bei iššifruojami duomenys. Funkcija, kuri atlieka šį papildomą veiksmą, parodyta paveikslėlyje žemiau.
4.2.2. Eilučių šifravimas
Iš pirmo žvilgsnio pagrindiniame DLL yra kelios skaitomos eilutės. Likusi dalis yra užšifruota naudojant aukščiau aprašytą algoritmą, kurio struktūra parodyta kitame paveikslėlyje. Išanalizuotuose pavyzdžiuose radome daugiau nei 25 skirtingus RC4 raktus, skirtus eilučių šifravimui. XOR klavišas kiekvienoje eilutėje yra skirtingas. Skaitinių laukų, skiriančių eilutes, reikšmė visada yra 0xFFFFFFFF.
Vykdymo pradžioje RTM iššifruoja eilutes į visuotinį kintamąjį. Kai reikia pasiekti eilutę, Trojos arklys dinamiškai apskaičiuoja iššifruotų eilučių adresą pagal bazinį adresą ir poslinkį.
Eilutėse yra įdomios informacijos apie kenkėjiškos programos funkcijas. Kai kurie eilučių pavyzdžiai pateikiami 6.8 skyriuje.
4.3. Tinklas
Tai, kaip RTM kenkėjiška programa susisiekia su C&C serveriu, įvairiose versijose skiriasi. Pirmosiose modifikacijose (2015 m. spalio mėn. – 2016 m. balandžio mėn.) buvo naudojami tradiciniai domenų vardai kartu su RSS kanalu livejournal.com, kad būtų atnaujintas komandų sąrašas.
Nuo 2016 m. balandžio mėn. telemetrijos duomenyse pereinama prie .bit domenų. Tai patvirtina domeno registracijos data – pirmasis RTM domenas fde05d0573da.bit buvo užregistruotas 13 metų kovo 2016 dieną.
Visi URL, kuriuos matėme stebėdami kampaniją, turėjo bendrą kelią: /r/z.php. Tai gana neįprasta ir padės nustatyti RTM užklausas tinklo srautuose.
4.3.1. Komandų ir valdymo kanalas
Senesni pavyzdžiai naudojo šį kanalą komandų ir valdymo serverių sąrašui atnaujinti. Priegloba yra adresu livejournal.com, rašant ataskaitą jis liko adresu hxxp://f72bba81c921(.)livejournal(.)com/ data/rss.
„Livejournal“ yra Rusijos ir Amerikos įmonė, teikianti tinklaraščių platformą. RTM operatoriai sukuria LJ tinklaraštį, kuriame skelbia straipsnį su užkoduotomis komandomis – žr. ekrano kopiją.
Komandų ir valdymo eilutės yra užkoduotos naudojant modifikuotą RC4 algoritmą (4.2 skyrius). Dabartinėje kanalo versijoje (2016 m. lapkričio mėn.) yra šie komandų ir valdymo serverių adresai:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. .bit domenai
Naujausiuose RTM pavyzdžiuose autoriai prisijungia prie C&C domenų naudodami .bit ALD aukščiausio lygio domeną. Jo nėra ICANN (domeno vardo ir interneto korporacijos) aukščiausio lygio domenų sąraše. Vietoj to, ji naudoja „Namecoin“ sistemą, kuri yra sukurta remiantis „Bitcoin“ technologija. Kenkėjiškų programų autoriai savo domenams dažnai nenaudoja .bit ALD, nors tokio naudojimo pavyzdys anksčiau buvo pastebėtas Necurs botneto versijoje.
Skirtingai nuo Bitcoin, paskirstytos Namecoin duomenų bazės vartotojai turi galimybę išsaugoti duomenis. Pagrindinis šios funkcijos pritaikymas yra .bit aukščiausio lygio domenas. Galite registruoti domenus, kurie bus saugomi paskirstytoje duomenų bazėje. Atitinkamuose duomenų bazės įrašuose yra IP adresai, kuriuos išsprendė domenas. Šis ALD yra „atsparus cenzūrai“, nes tik registruotojas gali pakeisti .bit domeno skiriamąją gebą. Tai reiškia, kad naudojant tokio tipo ALD yra daug sunkiau sustabdyti kenkėjišką domeną.
RTM Trojos arklys neįdeda programinės įrangos, reikalingos paskirstytai Namecoin duomenų bazei nuskaityti. Jis naudoja centrinius DNS serverius, tokius kaip dns.dot-bit.org arba OpenNic serveriai .bit domenams išspręsti. Todėl jis turi tokį patį patvarumą kaip ir DNS serveriai. Pastebėjome, kad kai kurie komandos domenai nebebuvo aptikti po to, kai buvo paminėti tinklaraščio įraše.
Kitas .bit ALD pranašumas įsilaužėliams yra kaina. Norėdami užregistruoti domeną, operatoriai turi sumokėti tik 0,01 NK, o tai atitinka 0,00185 USD (5 m. gruodžio 2016 d.). Palyginimui, domain.com kainuoja mažiausiai 10 USD.
4.3.3. protokolas
Norėdami susisiekti su komandų ir valdymo serveriu, RTM naudoja HTTP POST užklausas su duomenimis, suformatuotais naudojant pasirinktinį protokolą. Kelio reikšmė visada yra /r/z.php; „Mozilla/5.0“ vartotojo agentas (suderinamas; MSIE 9.0; Windows NT 6.1; Trident/5.0). Užklausose serveriui duomenys formatuojami taip, kur poslinkio reikšmės išreiškiamos baitais:
Baitai nuo 0 iki 6 nėra užkoduoti; baitai, pradedant nuo 6, yra koduojami naudojant modifikuotą RC4 algoritmą. C&C atsako paketo struktūra paprastesnė. Baitai koduojami nuo 4 iki paketo dydžio.
Galimų veiksmų baitų reikšmių sąrašas pateikiamas toliau esančioje lentelėje:
Kenkėjiška programa visada apskaičiuoja iššifruotų duomenų CRC32 ir lygina jį su tuo, kas yra pakete. Jei jie skiriasi, Trojos arklys numeta paketą.
Papildomuose duomenyse gali būti įvairių objektų, įskaitant PE failą, failą, kurio reikia ieškoti failų sistemoje, arba naujus komandų URL adresus.
4.3.4. Skydas
Pastebėjome, kad RTM naudoja skydelį C&C serveriuose. Ekrano kopija žemiau:
4.4. Būdingas ženklas
RTM yra tipiškas bankinis Trojos arklys. Nenuostabu, kad operatoriai nori informacijos apie aukos sistemą. Viena vertus, robotas renka bendrą informaciją apie OS. Kita vertus, ji išsiaiškina, ar pažeistoje sistemoje yra atributų, susijusių su Rusijos nuotolinės bankininkystės sistemomis.
4.4.1. Bendra informacija
Kai kenkėjiška programa įdiegiama arba paleidžiama po perkrovimo, komandų ir valdymo serveriui siunčiama ataskaita, kurioje pateikiama bendra informacija, įskaitant:
- Laiko zona;
- numatytoji sistemos kalba;
- įgalioto vartotojo kredencialai;
- proceso vientisumo lygis;
- Vartotojo vardas;
- kompiuterio pavadinimas;
- OS versija;
- papildomai sumontuoti moduliai;
- įdiegta antivirusinė programa;
- lustinių kortelių skaitytuvų sąrašas.
4.4.2 Nuotolinės bankininkystės sistema
Tipiškas Trojos arklys yra nuotolinė bankų sistema, o RTM nėra išimtis. Vienas iš programos modulių vadinamas TBdo, kuris atlieka įvairias užduotis, įskaitant diskų nuskaitymą ir naršymo istoriją.
Nuskaitydamas diską, Trojos arklys patikrina, ar įrenginyje įdiegta banko programinė įranga. Visas tikslinių programų sąrašas pateiktas žemiau esančioje lentelėje. Aptikusi dominantį failą, programa siunčia informaciją į komandų serverį. Tolesni veiksmai priklauso nuo komandų centro (C&C) algoritmų nurodytos logikos.
RTM taip pat ieško URL šablonų jūsų naršyklės istorijoje ir atidarytuose skirtukuose. Be to, programa tiria, kaip naudojamos FindNextUrlCacheEntryA ir FindFirstUrlCacheEntryA funkcijos, ir taip pat patikrina kiekvieną įrašą, kad URL atitiktų vieną iš šių šablonų:
Aptikęs atidarytus skirtukus, Trojos arklys susisiekia su Internet Explorer arba Firefox per dinaminio duomenų mainų (DDE) mechanizmą, kad patikrintų, ar skirtukas atitinka šabloną.
Naršymo istorijos ir atidarytų skirtukų tikrinimas atliekamas WHILE ciklu (ciklas su išankstine sąlyga) su 1 sekundės pertrauka tarp patikrinimų. Kiti duomenys, kurie yra stebimi realiuoju laiku, bus aptarti 4.5 skyriuje.
Jei randamas šablonas, programa praneša apie tai komandų serveriui naudodama eilučių sąrašą iš šios lentelės:
4.5 Stebėjimas
Kol Trojos arklys veikia, informacija apie būdingas užkrėstos sistemos ypatybes (įskaitant informaciją apie banko programinės įrangos buvimą) siunčiama į komandų ir valdymo serverį. Pirštų atspaudai paimami, kai RTM pirmą kartą paleidžia stebėjimo sistemą iškart po pirminio OS nuskaitymo.
4.5.1. Nuotolinė bankininkystė
TBdo modulis taip pat atsakingas už su bankininkyste susijusių procesų stebėjimą. Jis naudoja dinaminius duomenų mainus, kad patikrintų „Firefox“ ir „Internet Explorer“ skirtukus pradinio nuskaitymo metu. Kitas TShell modulis naudojamas komandų langams stebėti (Internet Explorer arba File Explorer).
Modulis naudoja COM sąsajas IShellWindows, iWebBrowser, DWebBrowserEvents2 ir IConnectionPointContainer langams stebėti. Kai vartotojas naršo į naują tinklalapį, kenkėjiška programa tai pažymi. Tada jis palygina puslapio URL su anksčiau pateiktais šablonais. Aptikęs atitiktį, Trojos arklys padaro šešias iš eilės ekrano kopijas 5 sekundžių intervalu ir siunčia jas į C&S komandų serverį. Programa taip pat patikrina kai kuriuos langų pavadinimus, susijusius su banko programine įranga – visas sąrašas pateikiamas žemiau:
4.5.2. Išmanioji kortelė
RTM leidžia stebėti intelektualiųjų kortelių skaitytuvus, prijungtus prie užkrėstų kompiuterių. Šie įrenginiai kai kuriose šalyse naudojami mokėjimo nurodymams suderinti. Jei tokio tipo įrenginys prijungtas prie kompiuterio, tai Trojos arkliui gali reikšti, kad įrenginys naudojamas banko operacijoms.
Skirtingai nuo kitų bankinių Trojos arklių, RTM negali sąveikauti su tokiomis intelektualiosiomis kortelėmis. Galbūt ši funkcija yra įtraukta į papildomą modulį, kurio dar nematėme.
4.5.3. Keylogger
Svarbi užkrėsto kompiuterio stebėjimo dalis yra klavišų paspaudimų fiksavimas. Atrodo, kad RTM kūrėjams informacijos netrūksta, nes jie stebi ne tik įprastus klavišus, bet ir virtualią klaviatūrą bei iškarpinę.
Norėdami tai padaryti, naudokite funkciją SetWindowsHookExA. Užpuolikai registruoja paspaustus klavišus arba klavišus, atitinkančius virtualiąją klaviatūrą, kartu su programos pavadinimu ir data. Tada buferis siunčiamas į C&C komandų serverį.
Funkcija SetClipboardViewer naudojama iškarpinei perimti. Įsilaužėliai registruoja iškarpinės turinį, kai duomenys yra tekstas. Vardas ir data taip pat registruojami prieš siunčiant buferį į serverį.
4.5.4. Ekrano nuotraukos
Kita RTM funkcija yra ekrano kopijų perėmimas. Ši funkcija taikoma, kai langų stebėjimo modulis aptinka dominančią svetainę ar banko programinę įrangą. Ekrano nuotraukos daromos naudojant grafinių vaizdų biblioteką ir perkeliamos į komandų serverį.
4.6. Pašalinimas
C&C serveris gali sustabdyti kenkėjiškų programų paleidimą ir išvalyti kompiuterį. Komanda leidžia išvalyti failus ir registro įrašus, sukurtus veikiant RTM. Tada DLL naudojamas kenkėjiškai programai ir winlogon failui pašalinti, o po to komanda išjungia kompiuterį. Kaip parodyta paveikslėlyje žemiau, kūrėjai pašalina DLL naudodami erase.dll.
Serveris gali išsiųsti Trojos arkliui destruktyvią pašalinimo užrakinimo komandą. Tokiu atveju, jei turite administratoriaus teises, RTM ištrins MBR įkrovos sektorių standžiajame diske. Jei tai nepavyks, Trojos arklys bandys perkelti MBR įkrovos sektorių į atsitiktinį sektorių – tada kompiuteris negalės paleisti OS po išjungimo. Dėl to gali būti visiškai iš naujo įdiegta OS, o tai reiškia įrodymų sunaikinimą.
Neturėdama administratoriaus teisių, kenkėjiška programa įrašo .EXE, užkoduotą pagrindiniame RTM DLL. Vykdomasis failas vykdo kodą, reikalingą kompiuteriui išjungti, ir užregistruoja modulį HKCUCurrentVersionRun registro rakte. Kiekvieną kartą, kai vartotojas pradeda seansą, kompiuteris iš karto išsijungia.
4.7. Konfigūracijos failas
Pagal numatytuosius nustatymus RTM beveik neturi konfigūracijos failo, tačiau komandų ir valdymo serveris gali siųsti konfigūracijos reikšmes, kurios bus saugomos registre ir naudojamos programos. Konfigūracijos raktų sąrašas pateikiamas toliau esančioje lentelėje:
Konfigūracija saugoma programinės įrangos [pseudo-atsitiktinė eilutė] registro rakte. Kiekviena reikšmė atitinka vieną iš ankstesnėje lentelėje pateiktų eilučių. Reikšmės ir duomenys užkoduojami naudojant RTM RC4 algoritmą.
Duomenų struktūra tokia pati kaip tinklo ar eilučių. Užkoduotų duomenų pradžioje pridedamas keturių baitų XOR raktas. Konfigūracijos verčių atveju XOR raktas skiriasi ir priklauso nuo reikšmės dydžio. Jį galima apskaičiuoti taip:
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)
4.8. Kitos funkcijos
Toliau pažvelkime į kitas RTM palaikomas funkcijas.
4.8.1. Papildomi moduliai
Trojos arklys turi papildomų modulių, kurie yra DLL failai. Moduliai, siunčiami iš C&C komandų serverio, gali būti vykdomi kaip išorinės programos, atsispindi RAM ir paleidžiami naujomis gijomis. Saugojimo tikslais moduliai išsaugomi .dtt failuose ir užkoduojami naudojant RC4 algoritmą su tuo pačiu raktu, naudojamu tinklo ryšiams.
Iki šiol stebėjome, kaip įdiegtas VNC modulis (8966319882494077C21F66A8354E2CBCA0370464), naršyklės duomenų ištraukimo modulis (03DE8622BE6B2F75A364A275995C3411626) EFC4FBA9B 1BE2D1B562E1CFAB).
Norėdami įkelti VNC modulį, C&C serveris išduoda komandą, prašydamas prisijungti prie VNC serverio konkrečiu IP adresu 44443 prievade. Naršyklės duomenų gavimo įskiepis vykdo TBrowserDataCollector, kuris gali nuskaityti IE naršymo istoriją. Tada jis siunčia visą aplankytų URL sąrašą į C&C komandų serverį.
Paskutinis aptiktas modulis vadinamas 1c_2_kl. Jis gali sąveikauti su „1C Enterprise“ programinės įrangos paketu. Modulis susideda iš dviejų dalių: pagrindinė dalis – DLL ir du agentai (32 ir 64 bitų), kurie bus įvesti į kiekvieną procesą, registruojant susiejimą su WH_CBT. Įvedus į 1C procesą, modulis susieja „CreateFile“ ir „WriteFile“ funkcijas. Kai iškviečiama funkcija CreateFile bound, modulis atmintyje išsaugo failo kelią 1c_to_kl.txt. Perėmusi WriteFile skambutį, ji iškviečia WriteFile funkciją ir siunčia failo kelią 1c_to_kl.txt į pagrindinį DLL modulį, perduodama jam sukurtą Windows WM_COPYDATA pranešimą.
Pagrindinis DLL modulis atidaromas ir analizuojamas failas, kad nustatytų mokėjimo nurodymus. Jis atpažįsta faile esančią sumą ir operacijos numerį. Ši informacija siunčiama į komandų serverį. Manome, kad šis modulis šiuo metu kuriamas, nes jame yra derinimo pranešimas ir jis negali automatiškai keisti 1c_to_kl.txt.
4.8.2. Privilegijų eskalavimas
RTM gali bandyti išplėsti teises rodydamas klaidingus klaidų pranešimus. Kenkėjiška programa imituoja registro patikrinimą (žr. paveikslėlį žemiau) arba naudoja tikrą registro rengyklės piktogramą. Atkreipkite dėmesį į rašybos klaidą, palauk – ką. Po kelių sekundžių nuskaitymo programa parodo klaidingą klaidos pranešimą.
Klaidinga žinutė lengvai apgaus paprastą vartotoją, nepaisant gramatinių klaidų. Jei vartotojas spustelėja vieną iš dviejų nuorodų, RTM bandys išplėsti savo teises sistemoje.
Pasirinkęs vieną iš dviejų atkūrimo parinkčių, Trojos arklys paleidžia DLL, naudodamas „ShellExecute“ funkcijos parinktį runas su administratoriaus teisėmis. Vartotojas matys tikrą „Windows“ raginimą (žr. paveikslėlį žemiau) apie aukštį. Jei vartotojas suteiks reikiamus leidimus, Trojos arklys veiks su administratoriaus teisėmis.
Atsižvelgiant į numatytąją sistemoje įdiegtą kalbą, Trojos arklys rodo klaidų pranešimus rusų arba anglų kalbomis.
4.8.3. Sertifikatas
RTM gali pridėti sertifikatus prie „Windows Store“ ir patvirtinti papildymo patikimumą automatiškai spustelėdamas „taip“ mygtuką dialogo lange csrss.exe. Toks elgesys nėra naujas, pavyzdžiui, bankinis Trojos arklys Retefe taip pat savarankiškai patvirtina naujo sertifikato įdiegimą.
4.8.4. Atvirkštinis ryšys
RTM autoriai taip pat sukūrė „Backconnect“ TCP tunelį. Šios funkcijos dar nematėme, bet ji skirta nuotoliniu būdu stebėti užkrėstus kompiuterius.
4.8.5. Pagrindinio kompiuterio failų valdymas
C&C serveris gali siųsti komandą Trojos arkliui modifikuoti „Windows“ pagrindinio kompiuterio failą. Prieglobos failas naudojamas kuriant pasirinktines DNS rezoliucijas.
4.8.6. Raskite ir nusiųskite failą
Serveris gali prašyti ieškoti ir atsisiųsti failą užkrėstoje sistemoje. Pavyzdžiui, tyrimo metu gavome užklausą dėl failo 1c_to_kl.txt. Kaip aprašyta anksčiau, šį failą generuoja 1C: Enterprise 8 apskaitos sistema.
4.8.7. Atnaujinimas
Galiausiai, RTM autoriai gali atnaujinti programinę įrangą pateikdami naują DLL, kuri pakeis dabartinę versiją.
5. Išvada
RTM tyrimai rodo, kad Rusijos bankų sistema vis dar traukia kibernetinius užpuolikus. Tokios grupės kaip „Buhtrap“, „Corkow“ ir „Carbanak“ sėkmingai vagia pinigus iš finansinių institucijų ir jų klientų Rusijoje. RTM yra naujas žaidėjas šioje pramonėje.
Remiantis ESET telemetrija, kenkėjiški RTM įrankiai buvo naudojami mažiausiai nuo 2015 m. pabaigos. Programa turi visas šnipinėjimo galimybes, įskaitant intelektualiųjų kortelių skaitymą, klavišų paspaudimų perėmimą ir bankinių operacijų stebėjimą, taip pat 1C: Enterprise 8 transportavimo failų paiešką.
Decentralizuoto, necenzūruoto .bit aukščiausio lygio domeno naudojimas užtikrina itin atsparią infrastruktūrą.
Šaltinis: www.habr.com