Ir zinÄmas vairÄkas kibergrupas, kas specializÄjas naudas izzagÅ”anÄ no Krievijas uzÅÄmumiem. MÄs esam redzÄjuÅ”i uzbrukumus, izmantojot droŔības nepilnÄ«bas, kas ļauj piekļūt mÄrÄ·a tÄ«klam. Kad uzbrucÄji iegÅ«st piekļuvi, viÅi izpÄta organizÄcijas tÄ«kla struktÅ«ru un izvieto savus rÄ«kus, lai nozagtu lÄ«dzekļus. Klasisks Ŕīs tendences piemÄrs ir hakeru grupas Buhtrap, Cobalt un Corkow.
RTM grupa, uz kuru Å”is ziÅojums koncentrÄjas, ir daļa no Ŕīs tendences. TajÄ tiek izmantota Ä«paÅ”i izstrÄdÄta Delphi rakstÄ«ta ļaunprogrammatÅ«ra, ko sÄ«kÄk aplÅ«kosim turpmÄkajÄs sadaļÄs. PirmÄs Å”o rÄ«ku pÄdas ESET telemetrijas sistÄmÄ tika atklÄtas 2015. gada beigÄs. Komanda pÄc vajadzÄ«bas ielÄdÄ dažÄdus jaunus moduļus inficÄtajÄs sistÄmÄs. Uzbrukumi ir vÄrsti pret attÄlinÄto banku sistÄmu lietotÄjiem KrievijÄ un dažÄs kaimiÅvalstÄ«s.
1. MÄrÄ·i
RTM kampaÅa ir vÄrsta uz korporatÄ«vajiem lietotÄjiem ā tas ir acÄ«mredzams no procesiem, ko uzbrucÄji cenÅ”as atklÄt kompromitÄtÄ sistÄmÄ. GalvenÄ uzmanÄ«ba tiek pievÄrsta grÄmatvedÄ«bas programmatÅ«rai darbam ar attÄlinÄtÄm banku sistÄmÄm.
RTM interesÄjoÅ”o procesu saraksts atgÄdina atbilstoÅ”o Buhtrap grupas sarakstu, taÄu grupÄm ir dažÄdi infekcijas pÄrnÄsÄtÄji. Ja Buhtrap biežÄk izmantoja viltotas lapas, tad RTM izmantoja drive-by download uzbrukumus (uzbrukumus pÄrlÅ«kprogrammai vai tÄs komponentiem) un surogÄtpasta sÅ«tÄ«Å”anu pa e-pastu. SaskaÅÄ ar telemetrijas datiem draudi ir vÄrsti uz Krieviju un vairÄkÄm tuvÄjÄm valstÄ«m (Ukrainu, KazahstÄnu, Äehiju, VÄciju). TomÄr masveida izplatÄ«Å”anas mehÄnismu izmantoÅ”anas dÄļ ļaunprÄtÄ«gas programmatÅ«ras atklÄÅ”ana Ärpus mÄrÄ·a reÄ£ioniem nav pÄrsteidzoÅ”a.
KopÄjais ļaunprÄtÄ«gas programmatÅ«ras atklÄÅ”anas gadÄ«jumu skaits ir salÄ«dzinoÅ”i neliels. No otras puses, RTM kampaÅÄ tiek izmantotas sarežģītas programmas, kas liecina, ka uzbrukumi ir ļoti mÄrÄ·tiecÄ«gi.
Esam atklÄjuÅ”i vairÄkus RTM izmantotos mÄnekļu dokumentus, tostarp neesoÅ”us lÄ«gumus, rÄÄ·inus vai nodokļu uzskaites dokumentus. Lures raksturs apvienojumÄ ar programmatÅ«ras veidu, uz kuru vÄrsts uzbrukums, liecina, ka uzbrucÄji ar grÄmatvedÄ«bas nodaļas starpniecÄ«bu āiekļūstā Krievijas uzÅÄmumu tÄ«klos. Grupa rÄ«kojÄs saskaÅÄ ar to paÅ”u shÄmu 2014.-2015
PÄtÄ«juma laikÄ mÄs varÄjÄm mijiedarboties ar vairÄkiem C&C serveriem. Pilnu komandu sarakstu uzskaitÄ«sim turpmÄkajÄs sadaļÄs, taÄu pagaidÄm varam teikt, ka klients datus no keylogger pÄrsÅ«ta tieÅ”i uz uzbrukuma serveri, no kura pÄc tam tiek saÅemtas papildu komandas.
TomÄr tie laiki, kad varÄjÄt vienkÄrÅ”i izveidot savienojumu ar komandu un vadÄ«bas serveri un apkopot visus interesÄjoÅ”os datus, ir pagÄjuÅ”i. MÄs no jauna izveidojÄm reÄlistiskus žurnÄlfailus, lai no servera iegÅ«tu dažas atbilstoÅ”as āākomandas.
Pirmais no tiem ir lÅ«gums robotam pÄrsÅ«tÄ«t failu 1c_to_kl.txt - programmas 1C: Enterprise 8 transporta failu, kura izskatu aktÄ«vi uzrauga RTM. 1C mijiedarbojas ar attÄlinÄtÄm banku sistÄmÄm, augÅ”upielÄdÄjot datus par izejoÅ”ajiem maksÄjumiem teksta failÄ. TÄlÄk fails tiek nosÅ«tÄ«ts uz attÄlinÄto bankas sistÄmu maksÄjuma uzdevuma automatizÄcijai un izpildei.
FailÄ ir informÄcija par maksÄjumu. Ja uzbrucÄji maina informÄciju par izejoÅ”ajiem maksÄjumiem, pÄrskaitÄ«jums tiks nosÅ«tÄ«ts uz uzbrucÄju kontiem, izmantojot nepatiesu informÄciju.
ApmÄram mÄnesi pÄc Å”o failu pieprasÄ«Å”anas no komandu un vadÄ«bas servera mÄs novÄrojÄm, ka uzlauztajÄ sistÄmÄ tiek ielÄdÄts jauns spraudnis 1c_2_kl.dll. Modulis (DLL) ir paredzÄts, lai automÄtiski analizÄtu lejupielÄdes failu, iekļūstot grÄmatvedÄ«bas programmatÅ«ras procesos. MÄs to detalizÄti aprakstÄ«sim nÄkamajÄs sadaļÄs.
Interesanti, ka Krievijas Bankas FinCERT 2016. gada beigÄs izdeva brÄ«dinÄjumu par kibernoziedzniekiem, kuri izmanto 1c_to_kl.txt augÅ”upielÄdes failus. 1C izstrÄdÄtÄji arÄ« zina par Å”o shÄmu; viÅi jau ir snieguÅ”i oficiÄlu paziÅojumu un uzskaitÄ«juÅ”i piesardzÄ«bas pasÄkumus.
No komandu servera tika ielÄdÄti arÄ« citi moduļi, jo Ä«paÅ”i VNC (tÄ 32 un 64 bitu versijas). Tas atgÄdina VNC moduli, kas iepriekÅ” tika izmantots Dridex Trojas zirgu uzbrukumos. Å is modulis it kÄ tiek izmantots, lai attÄlinÄti izveidotu savienojumu ar inficÄtu datoru un veiktu detalizÄtu sistÄmas izpÄti. TÄlÄk uzbrucÄji mÄÄ£ina pÄrvietoties pa tÄ«klu, iegÅ«stot lietotÄju paroles, vÄcot informÄciju un nodroÅ”inot pastÄvÄ«gu ļaunprÄtÄ«gas programmatÅ«ras klÄtbÅ«tni.
2. Infekcijas vektori
NÄkamajÄ attÄlÄ parÄdÄ«ti kampaÅas pÄtÄ«juma periodÄ konstatÄtie infekcijas pÄrnÄsÄtÄji. Grupa izmanto plaÅ”u vektoru klÄstu, bet galvenokÄrt lejupielÄdes uzbrukumus un surogÄtpastu. Å ie rÄ«ki ir Ärti mÄrÄ·tiecÄ«giem uzbrukumiem, jo āāpirmajÄ gadÄ«jumÄ uzbrucÄji var atlasÄ«t potenciÄlo upuru apmeklÄtÄs vietnes, bet otrajÄ gadÄ«jumÄ viÅi var nosÅ«tÄ«t e-pastu ar pielikumiem tieÅ”i vÄlamajiem uzÅÄmuma darbiniekiem.
Ä»aunprÄtÄ«ga programmatÅ«ra tiek izplatÄ«ta pa vairÄkiem kanÄliem, tostarp RIG un Sundown izmantoÅ”anas komplektiem vai surogÄtpasta sÅ«tÄ«jumiem, kas norÄda uz saikni starp uzbrucÄjiem un citiem kiberuzbrucÄjiem, kas piedÄvÄ Å”os pakalpojumus.
2.1. KÄ RTM un Buhtrap ir saistÄ«ti?
RTM kampaÅa ir ļoti lÄ«dzÄ«ga Buhtrap kampaÅai. Dabisks jautÄjums ir: kÄ tie ir saistÄ«ti viens ar otru?
2016. gada septembrÄ« mÄs novÄrojÄm, ka RTM paraugs tika izplatÄ«ts, izmantojot Buhtrap augÅ”upielÄdÄtÄju. TurklÄt mÄs atradÄm divus digitÄlos sertifikÄtus, ko izmanto gan Buhtrap, gan RTM.
PirmÄ, kas it kÄ tika izsniegta uzÅÄmumam DNISTER-M, tika izmantota, lai digitÄli parakstÄ«tu otro Delphi veidlapu (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) un Buhtrap DLL (SHA-1: 1E2642B454DF2B889F6DB41116D83F6A2). 4890).
Otrais, kas tika izsniegts uzÅÄmumam Bit-Tredj, tika izmantots Buhtrap iekrÄvÄju parakstÄ«Å”anai (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 un B74F71560E48488D2153AE2FB51207E), kÄ arÄ« komponentu instalÄÅ”anai un 0B.
RTM operatori izmanto sertifikÄtus, kas ir kopÄ«gi citÄm ļaunprÄtÄ«gas programmatÅ«ras saimÄm, taÄu tiem ir arÄ« unikÄls sertifikÄts. SaskaÅÄ ar ESET telemetriju tas tika izsniegts Kit-SD un tika izmantots tikai dažu RTM ļaunprÄtÄ«gas programmatÅ«ras parakstÄ«Å”anai (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM izmanto to paÅ”u iekrÄvÄju kÄ Buhtrap, RTM komponenti tiek ielÄdÄti no Buhtrap infrastruktÅ«ras, tÄpÄc grupÄm ir lÄ«dzÄ«gi tÄ«kla rÄdÄ«tÄji. TomÄr saskaÅÄ ar mÅ«su aplÄsÄm RTM un Buhtrap ir dažÄdas grupas, vismaz tÄpÄc, ka RTM tiek izplatÄ«ts dažÄdos veidos (ne tikai izmantojot āsveÅ”uā lejupielÄdÄtÄju).
Neskatoties uz to, hakeru grupas izmanto lÄ«dzÄ«gus darbÄ«bas principus. Tie ir vÄrsti uz uzÅÄmumiem, kas izmanto grÄmatvedÄ«bas programmatÅ«ru, lÄ«dzÄ«gi vÄcot sistÄmas informÄciju, meklÄjot viedkarÅ”u lasÄ«tÄjus un izvietojot virkni ļaunprÄtÄ«gu rÄ«ku, lai izspiegotu upurus.
3. Evolūcija
Å ajÄ sadaÄ¼Ä mÄs apskatÄ«sim dažÄdas pÄtÄ«juma laikÄ atrastÄs ļaunprogrammatÅ«ras versijas.
3.1. VersionÄÅ”ana
RTM saglabÄ konfigurÄcijas datus reÄ£istra sadaļÄ, visinteresantÄkÄ daļa ir robottÄ«kla prefikss. Visu to vÄrtÄ«bu saraksts, kuras redzÄjÄm pÄtÄ«tajos paraugos, ir parÄdÄ«ts zemÄk esoÅ”ajÄ tabulÄ.
IespÄjams, ka vÄrtÄ«bas var izmantot, lai ierakstÄ«tu ļaunprÄtÄ«gas programmatÅ«ras versijas. TomÄr mÄs nepamanÄ«jÄm lielas atŔķirÄ«bas starp versijÄm, piemÄram, bit2 un bit3, 0.1.6.4 un 0.1.6.6. TurklÄt viens no prefiksiem ir pastÄvÄjis kopÅ” sÄkuma un ir attÄ«stÄ«jies no tipiska C&C domÄna uz .bit domÄnu, kÄ tas tiks parÄdÄ«ts tÄlÄk.
3.2. Grafiks
Izmantojot telemetrijas datus, izveidojÄm paraugu raÅ”anÄs grafiku.
4. TehniskÄ analÄ«ze
Å ajÄ sadaÄ¼Ä mÄs aprakstÄ«sim galvenÄs RTM banku Trojas zirga funkcijas, tostarp pretestÄ«bas mehÄnismus, savu RC4 algoritma versiju, tÄ«kla protokolu, spiegoÅ”anas funkcionalitÄti un dažas citas funkcijas. Jo Ä«paÅ”i mÄs koncentrÄsimies uz SHA-1 paraugiem AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 un 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. UzstÄdÄ«Å”ana un saglabÄÅ”ana
4.1.1. ÄŖstenoÅ”ana
RTM kodols ir DLL, bibliotÄka tiek ielÄdÄta diskÄ, izmantojot .EXE. IzpildÄmais fails parasti ir iesaiÅots un satur DLL kodu. PÄc palaiÅ”anas tas izvelk DLL un palaiž to, izmantojot Å”Ädu komandu:
rundll32.exe ā%PROGRAMDATA%Winlogonwinlogon.lnkā,DllGetClassObject host4.1.2. DLL
Galvenais DLL vienmÄr tiek ielÄdÄts diskÄ kÄ winlogon.lnk mapÄ %PROGRAMDATA%Winlogon. Å is faila paplaÅ”inÄjums parasti ir saistÄ«ts ar saÄ«sni, taÄu patiesÄ«bÄ fails ir Delphi rakstÄ«ts DLL, ko izstrÄdÄtÄjs nosauca par core.dll, kÄ parÄdÄ«ts tÄlÄk esoÅ”ajÄ attÄlÄ.
ŠŃŠøŠ¼ŠµŃ Š½Š°Š·Š²Š°Š½ŠøŃ DLL F4C746696B0F5BB565D445EC49DD912993DE6361
PÄc palaiÅ”anas Trojas zirgs aktivizÄ savu pretestÄ«bas mehÄnismu. To var izdarÄ«t divos dažÄdos veidos atkarÄ«bÄ no upura privilÄÄ£ijÄm sistÄmÄ. Ja jums ir administratora tiesÄ«bas, Trojas zirgs pievieno Windows atjauninÄÅ”anas ierakstu HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun reÄ£istrÄ. PakalpojumÄ Windows Update ietvertÄs komandas tiks palaistas lietotÄja sesijas sÄkumÄ.
HKLMSOFTWAREMicrosoftWindows CurrentVersionRunWindows Update [REG_SZ] = rundll32.exe ā%PROGRAMDATA%winlogon.lnkā,DllGetClassObject resursdators
Trojas zirgs arÄ« mÄÄ£ina pievienot uzdevumu Windows uzdevumu plÄnotÄjam. Uzdevums palaiž winlogon.lnk DLL ar tÄdiem paÅ”iem parametriem kÄ iepriekÅ”. RegulÄras lietotÄja tiesÄ«bas ļauj Trojas zirgam pievienot Windows atjauninÄÅ”anas ierakstu ar tiem paÅ”iem datiem HKCUSoftwareMicrosoftWindowsCurrentVersionRun reÄ£istrÄ:
rundll32.exe ā%PROGRAMDATA%winlogon.lnkā,DllGetClassObject host4.2. ModificÄts RC4 algoritms
Neskatoties uz zinÄmajiem trÅ«kumiem, ļaunprÄtÄ«gas programmatÅ«ras autori regulÄri izmanto RC4 algoritmu. TomÄr RTM veidotÄji to nedaudz modificÄja, iespÄjams, lai apgrÅ«tinÄtu vÄ«rusu analÄ«tiÄ·u uzdevumu. ModificÄta RC4 versija tiek plaÅ”i izmantota ļaunprÄtÄ«gos RTM rÄ«kos, lai Å”ifrÄtu virknes, tÄ«kla datus, konfigurÄciju un moduļus.
4.2.1. AtŔķirības
SÄkotnÄjais RC4 algoritms ietver divus posmus: s-bloka inicializÄciju (pazÄ«stams arÄ« kÄ KSA ā Key-Scheduling Algorithm) un pseidogadÄ«juma secÄ«bu Ä£enerÄÅ”anu (PRGA ā pseidogadÄ«juma Ä£enerÄÅ”anas algoritms). PirmajÄ posmÄ tiek inicializÄts s-box, izmantojot atslÄgu, un otrajÄ posmÄ avota teksts tiek apstrÄdÄts, izmantojot s-box Å”ifrÄÅ”anai.
RTM autori pievienoja starpposmu starp s-box inicializÄciju un Å”ifrÄÅ”anu. Papildu atslÄga ir mainÄ«ga un tiek iestatÄ«ta vienlaikus ar Å”ifrÄjamiem un atÅ”ifrÄjamiem datiem. Funkcija, kas veic Å”o papildu darbÄ«bu, ir parÄdÄ«ta attÄlÄ zemÄk.
4.2.2. Virknes Å”ifrÄÅ”ana
No pirmÄ acu uzmetiena galvenajÄ DLL ir vairÄkas lasÄmas rindas. PÄrÄjie tiek Å”ifrÄti, izmantojot iepriekÅ” aprakstÄ«to algoritmu, kura struktÅ«ra ir parÄdÄ«ta nÄkamajÄ attÄlÄ. AnalizÄtajos paraugos mÄs atradÄm vairÄk nekÄ 25 dažÄdas RC4 atslÄgas virkÅu Å”ifrÄÅ”anai. XOR taustiÅÅ” katrai rindai ir atŔķirÄ«gs. Skaitlisko lauku atdaloÅ”o lÄ«niju vÄrtÄ«ba vienmÄr ir 0xFFFFFFFF.
Izpildes sÄkumÄ RTM atÅ”ifrÄ virknes globÄlÄ mainÄ«gÄ. Kad nepiecieÅ”ams piekļūt virknei, Trojas zirgs dinamiski aprÄÄ·ina atÅ”ifrÄto virkÅu adresi, pamatojoties uz bÄzes adresi un nobÄ«di.
Virknes satur interesantu informÄciju par ļaunprÄtÄ«gas programmatÅ«ras funkcijÄm. Daži virkÅu piemÄri ir sniegti 6.8. sadaļÄ.
4.3. TÄ«kls
Veids, kÄ RTM ļaunprogrammatÅ«ra sazinÄs ar C&C serveri, dažÄdÄs versijÄs atŔķiras. PirmajÄs modifikÄcijÄs (no 2015. gada oktobra lÄ«dz 2016. gada aprÄ«lim) tika izmantoti tradicionÄlie domÄnu nosaukumi kopÄ ar RSS plÅ«smu vietnÄ livejournal.com, lai atjauninÄtu komandu sarakstu.
KopÅ” 2016. gada aprīļa esam novÄrojuÅ”i pÄreju uz .bit domÄniem telemetrijas datos. To apliecina domÄna reÄ£istrÄcijas datums ā pirmais RTM domÄns fde05d0573da.bit reÄ£istrÄts 13. gada 2016. martÄ.
Visiem URL, ko mÄs redzÄjÄm, pÄrraugot kampaÅu, bija kopÄ«gs ceļŔ: /r/z.php. Tas ir diezgan neparasti, un tas palÄ«dzÄs identificÄt RTM pieprasÄ«jumus tÄ«kla plÅ«smÄs.
4.3.1. KanÄls komandÄm un kontrolei
Mantotie piemÄri izmantoja Å”o kanÄlu, lai atjauninÄtu savu komandu un vadÄ«bas serveru sarakstu. Hostings atrodas vietnÄ livejournal.com, ziÅojuma rakstÄ«Å”anas laikÄ tas palika URL hxxp://f72bba81c921(.)livejournal(.)com/data/rss.
Livejournal ir krievu un amerikÄÅu uzÅÄmums, kas nodroÅ”ina emuÄru rakstÄ«Å”anas platformu. RTM operatori izveido LJ emuÄru, kurÄ ievieto rakstu ar kodÄtÄm komandÄm - skatiet ekrÄnuzÅÄmumu.
Komandrindas un vadÄ«bas lÄ«nijas tiek kodÄtas, izmantojot modificÄtu RC4 algoritmu (4.2. sadaļa). PaÅ”reizÄjÄ kanÄla versijÄ (2016. gada novembrÄ«) ir Å”Ädas komandu un vadÄ«bas serveru adreses:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. .bit domÄni
JaunÄkajos RTM paraugos autori savienojas ar C&C domÄniem, izmantojot .bit TLD augstÄkÄ lÄ«meÅa domÄnu. Tas nav iekļauts ICANN (Domain Name and Internet Corporation) augstÄkÄ lÄ«meÅa domÄnu sarakstÄ. TÄ vietÄ tÄ izmanto Namecoin sistÄmu, kas ir balstÄ«ta uz Bitcoin tehnoloÄ£iju. Ä»aunprÄtÄ«gas programmatÅ«ras autori saviem domÄniem bieži neizmanto .bit TLD, lai gan Å”Ädas izmantoÅ”anas piemÄrs iepriekÅ” ir novÄrots robottÄ«kla Necurs versijÄ.
AtŔķirÄ«bÄ no Bitcoin, izplatÄ«tÄs Namecoin datu bÄzes lietotÄjiem ir iespÄja saglabÄt datus. Å Ä«s funkcijas galvenais pielietojums ir .bit augstÄkÄ lÄ«meÅa domÄns. JÅ«s varat reÄ£istrÄt domÄnus, kas tiks saglabÄti izplatÄ«tÄ datu bÄzÄ. AtbilstoÅ”ie ieraksti datu bÄzÄ satur domÄna atrisinÄtÄs IP adreses. Å is TLD ir āizturÄ«gs pret cenzÅ«ruā, jo tikai reÄ£istrÄtÄjs var mainÄ«t .bit domÄna izŔķirtspÄju. Tas nozÄ«mÄ, ka, izmantojot Å”Äda veida TLD, ir daudz grÅ«tÄk apturÄt ļaunprÄtÄ«gu domÄnu.
RTM Trojas zirgs neiegulst programmatÅ«ru, kas nepiecieÅ”ama izplatÄ«tÄs Namecoin datu bÄzes nolasÄ«Å”anai. Tas izmanto centrÄlos DNS serverus, piemÄram, dns.dot-bit.org vai OpenNic serverus, lai atrisinÄtu .bit domÄnus. TÄpÄc tam ir tÄda pati izturÄ«ba kÄ DNS serveriem. MÄs novÄrojÄm, ka daži komandu domÄni pÄc pieminÄÅ”anas emuÄra ziÅÄ vairs netika atklÄti.
VÄl viena .bit TLD priekÅ”rocÄ«ba hakeriem ir izmaksas. Lai reÄ£istrÄtu domÄnu, operatoriem ir jÄmaksÄ tikai 0,01 NK, kas atbilst USD 0,00185 (no 5. gada 2016. decembra). SalÄ«dzinÄjumam: domain.com maksÄ vismaz 10 USD.
4.3.3. Protokols
Lai sazinÄtos ar komandu un vadÄ«bas serveri, RTM izmanto HTTP POST pieprasÄ«jumus ar datiem, kas formatÄti, izmantojot pielÄgotu protokolu. Ceļa vÄrtÄ«ba vienmÄr ir /r/z.php; Mozilla/5.0 lietotÄja aÄ£ents (saderÄ«gs; MSIE 9.0; Windows NT 6.1; Trident/5.0). PieprasÄ«jumos serverim dati tiek formatÄti Å”Ädi, kur nobÄ«des vÄrtÄ«bas tiek izteiktas baitos:
Baiti no 0 lÄ«dz 6 nav kodÄti; baiti, sÄkot no 6, tiek kodÄti, izmantojot modificÄtu RC4 algoritmu. C&C atbildes paketes struktÅ«ra ir vienkÄrÅ”Äka. Baiti tiek kodÄti no 4 lÄ«dz paketes izmÄram.
IespÄjamo darbÄ«bas baitu vÄrtÄ«bu saraksts ir parÄdÄ«ts zemÄk esoÅ”ajÄ tabulÄ:
Ä»aunprÄtÄ«ga programmatÅ«ra vienmÄr aprÄÄ·ina atÅ”ifrÄto datu CRC32 un salÄ«dzina to ar to, kas atrodas paketÄ. Ja tie atŔķiras, Trojas zirgs pamet paketi.
Papildu datos var bÅ«t dažÄdi objekti, tostarp PE fails, fails, kas jÄmeklÄ failu sistÄmÄ, vai jauni komandu URL.
4.3.4. Panelis
MÄs pamanÄ«jÄm, ka RTM izmanto paneli C&C serveros. EkrÄnuzÅÄmums zemÄk:
4.4. Raksturīga zīme
RTM ir tipisks banku Trojas zirgs. Nav pÄrsteigums, ka operatori vÄlas informÄciju par upura sistÄmu. No vienas puses, robots apkopo vispÄrÄ«gu informÄciju par OS. No otras puses, tÄ noskaidro, vai uzlauztajÄ sistÄmÄ nav atribÅ«ti, kas saistÄ«ti ar Krievijas attÄlinÄtajÄm banku sistÄmÄm.
4.4.1. VispÄrÄ«ga informÄcija
Ja ļaunprÄtÄ«ga programmatÅ«ra tiek instalÄta vai palaista pÄc atsÄknÄÅ”anas, komandu un vadÄ«bas serverim tiek nosÅ«tÄ«ts ziÅojums, kurÄ ir ietverta vispÄrÄ«ga informÄcija, tostarp:
- Laika zona;
- noklusÄjuma sistÄmas valoda;
- autorizÄta lietotÄja akreditÄcijas dati;
- procesa integritÄtes lÄ«menis;
- LietotÄjvÄrds;
- datora nosaukums;
- OS versija;
- papildus uzstÄdÄ«ti moduļi;
- instalÄta pretvÄ«rusu programma;
- viedkarÅ”u lasÄ«tÄju saraksts.
4.4.2 AttÄlÄ banku sistÄma
Tipisks Trojas mÄrÄ·is ir attÄlinÄta banku sistÄma, un RTM nav izÅÄmums. Viens no programmas moduļiem saucas TBdo, kas veic dažÄdus uzdevumus, tostarp disku skenÄÅ”anu un pÄrlÅ«koÅ”anas vÄsturi.
SkenÄjot disku, Trojas zirgs pÄrbauda, āāvai iekÄrtÄ ir instalÄta bankas programmatÅ«ra. Pilns mÄrÄ·programmu saraksts ir zemÄk esoÅ”ajÄ tabulÄ. AtklÄjusi interesÄjoÅ”o failu, programma nosÅ«ta informÄciju komandu serverim. NÄkamÄs darbÄ«bas ir atkarÄ«gas no loÄ£ikas, ko nosaka komandu centra (C&C) algoritmi.
RTM arÄ« meklÄ URL modeļus jÅ«su pÄrlÅ«kprogrammas vÄsturÄ un atvÄrtajÄs cilnÄs. TurklÄt programma pÄrbauda funkciju FindNextUrlCacheEntryA un FindFirstUrlCacheEntryA izmantoÅ”anu, kÄ arÄ« pÄrbauda katru ierakstu, lai URL atbilstu kÄdam no Å”iem modeļiem:
AtklÄjot atvÄrtas cilnes, Trojas zirgs sazinÄs ar Internet Explorer vai Firefox, izmantojot dinamiskÄs datu apmaiÅas (DDE) mehÄnismu, lai pÄrbaudÄ«tu, vai cilne atbilst modelim.
PÄrlÅ«koÅ”anas vÄstures un atvÄrto cilÅu pÄrbaude tiek veikta WHILE cilpÄ (cilpa ar priekÅ”nosacÄ«jumu) ar 1 sekundes pÄrtraukumu starp pÄrbaudÄm. Citi dati, kas tiek uzraudzÄ«ti reÄllaikÄ, tiks apspriesti 4.5. sadaļÄ.
Ja tiek atrasts modelis, programma ziÅo par to komandu serverim, izmantojot virkÅu sarakstu no Ŕīs tabulas:
4.5. Uzraudzība
Trojas zirga darbÄ«bas laikÄ informÄcija par inficÄtÄs sistÄmas raksturÄ«gajÄm iezÄ«mÄm (tostarp informÄcija par bankas programmatÅ«ras klÄtbÅ«tni) tiek nosÅ«tÄ«ta uz komandu un vadÄ«bas serveri. Pirkstu nospiedumu noÅemÅ”ana notiek, kad RTM pirmo reizi palaiž uzraudzÄ«bas sistÄmu tÅ«lÄ«t pÄc sÄkotnÄjÄs OS skenÄÅ”anas.
4.5.1. AttÄlÄ banku darbÄ«ba
TBdo modulis ir atbildÄ«gs arÄ« par ar banku darbÄ«bu saistÄ«to procesu uzraudzÄ«bu. Tas izmanto dinamisku datu apmaiÅu, lai sÄkotnÄjÄs skenÄÅ”anas laikÄ pÄrbaudÄ«tu cilnes pÄrlÅ«kprogrammÄs Firefox un Internet Explorer. Cits TShell modulis tiek izmantots, lai pÄrraudzÄ«tu komandu logus (Internet Explorer vai File Explorer).
Modulis izmanto COM saskarnes IShellWindows, iWebBrowser, DWebBrowserEvents2 un IConnectionPointContainer, lai pÄrraudzÄ«tu logus. Kad lietotÄjs pÄriet uz jaunu tÄ«mekļa lapu, ļaunprÄtÄ«ga programmatÅ«ra to atzÄ«mÄ. PÄc tam tas salÄ«dzina lapas URL ar iepriekÅ” norÄdÄ«tajiem modeļiem. PÄc sakritÄ«bas noteikÅ”anas Trojas zirgs uzÅem seÅ”us secÄ«gus ekrÄnuzÅÄmumus ar 5 sekunžu intervÄlu un nosÅ«ta tos uz C&S komandu serveri. Programma arÄ« pÄrbauda dažus logu nosaukumus, kas saistÄ«ti ar banku programmatÅ«ru - pilns saraksts ir zemÄk:
4.5.2. Viedkarte
RTM ļauj uzraudzÄ«t viedkarÅ”u lasÄ«tÄjus, kas savienoti ar inficÄtiem datoriem. DažÄs valstÄ«s Ŕīs ierÄ«ces tiek izmantotas maksÄjumu uzdevumu saskaÅoÅ”anai. Ja Å”Äda veida ierÄ«ce ir pievienota datoram, tas Trojas zirgam var norÄdÄ«t, ka iekÄrta tiek izmantota bankas operÄcijÄm.
AtŔķirÄ«bÄ no citiem banku Trojas zirgiem, RTM nevar mijiedarboties ar Å”ÄdÄm viedkartÄm. VarbÅ«t Ŕī funkcionalitÄte ir iekļauta papildu modulÄ«, kuru mÄs vÄl neesam redzÄjuÅ”i.
4.5.3. Keylogger
SvarÄ«ga inficÄta datora uzraudzÄ«bas sastÄvdaļa ir taustiÅu nospieÅ”anas tverÅ”ana. Å Ä·iet, ka RTM izstrÄdÄtÄjiem netrÅ«kst informÄcijas, jo viÅi uzrauga ne tikai parastos taustiÅus, bet arÄ« virtuÄlo tastatÅ«ru un starpliktuvi.
Lai to izdarÄ«tu, izmantojiet funkciju SetWindowsHookExA. UzbrucÄji reÄ£istrÄ nospiestos taustiÅus vai taustiÅus, kas atbilst virtuÄlajai tastatÅ«rai, kÄ arÄ« programmas nosaukumu un datumu. PÄc tam buferis tiek nosÅ«tÄ«ts uz C&C komandu serveri.
SetClipboardViewer funkcija tiek izmantota, lai pÄrtvertu starpliktuvi. Hakeri reÄ£istrÄ starpliktuves saturu, ja dati ir teksts. Nosaukums un datums tiek reÄ£istrÄti arÄ« pirms bufera nosÅ«tÄ«Å”anas uz serveri.
4.5.4. EkrÄnuzÅÄmumi
VÄl viena RTM funkcija ir ekrÄnuzÅÄmumu pÄrtverÅ”ana. Funkcija tiek lietota, kad logu uzraudzÄ«bas modulis nosaka interesÄjoÅ”o vietni vai bankas programmatÅ«ru. EkrÄnuzÅÄmumi tiek uzÅemti, izmantojot grafisko attÄlu bibliotÄku, un pÄrsÅ«tÄ«ti uz komandu serveri.
4.6. AtinstalÄÅ”ana
C&C serveris var apturÄt ļaunprÄtÄ«gas programmatÅ«ras darbÄ«bu un notÄ«rÄ«t datoru. Komanda ļauj notÄ«rÄ«t failus un reÄ£istra ierakstus, kas izveidoti, kamÄr darbojas RTM. PÄc tam DLL tiek izmantots, lai noÅemtu ļaunprÄtÄ«gu programmatÅ«ru un winlogon failu, un pÄc tam komanda izslÄdz datoru. KÄ parÄdÄ«ts zemÄk esoÅ”ajÄ attÄlÄ, izstrÄdÄtÄji noÅem DLL, izmantojot failu erase.dll.
Serveris var nosÅ«tÄ«t Trojas zirgam destruktÄ«vu atinstalÄÅ”anas-bloÄ·ÄÅ”anas komandu. Å ÄdÄ gadÄ«jumÄ, ja jums ir administratora tiesÄ«bas, RTM izdzÄsÄ«s MBR sÄknÄÅ”anas sektoru cietajÄ diskÄ. Ja tas neizdodas, Trojas zirgs mÄÄ£inÄs novirzÄ«t MBR sÄknÄÅ”anas sektoru uz nejauÅ”u sektoru - tad dators nevarÄs palaist OS pÄc izslÄgÅ”anas. Tas var novest pie pilnÄ«gas OS pÄrinstalÄÅ”anas, kas nozÄ«mÄ pierÄdÄ«jumu iznÄ«cinÄÅ”anu.
Bez administratora privilÄÄ£ijÄm ļaunprogrammatÅ«ra ieraksta .EXE, kas kodÄts pamatÄ esoÅ”ajÄ RTM DLL. IzpildÄmais fails izpilda kodu, kas nepiecieÅ”ams datora izslÄgÅ”anai, un reÄ£istrÄ moduli HKCUCurrentVersionRun reÄ£istra atslÄgÄ. Katru reizi, kad lietotÄjs sÄk sesiju, dators nekavÄjoties izslÄdzas.
4.7. KonfigurÄcijas fails
PÄc noklusÄjuma RTM gandrÄ«z nav konfigurÄcijas faila, bet komandu un vadÄ«bas serveris var nosÅ«tÄ«t konfigurÄcijas vÄrtÄ«bas, kas tiks saglabÄtas reÄ£istrÄ un izmantotas programmÄ. KonfigurÄcijas atslÄgu saraksts ir parÄdÄ«ts tabulÄ:
KonfigurÄcija tiek saglabÄta programmatÅ«ras [pseidogadÄ«juma virkne] reÄ£istra atslÄgÄ. Katra vÄrtÄ«ba atbilst vienai no iepriekÅ”ÄjÄ tabulÄ norÄdÄ«tajÄm rindÄm. VÄrtÄ«bas un dati tiek kodÄti, izmantojot RC4 algoritmu RTM.
Datiem ir tÄda pati struktÅ«ra kÄ tÄ«klam vai virknÄm. KodÄto datu sÄkumÄ tiek pievienota Äetru baitu XOR atslÄga. KonfigurÄcijas vÄrtÄ«bÄm atslÄga XOR ir atŔķirÄ«ga un ir atkarÄ«ga no vÄrtÄ«bas lieluma. To var aprÄÄ·inÄt Å”Ädi:
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)
4.8. Citas funkcijas
TÄlÄk apskatÄ«sim citas RTM atbalstÄ«tÄs funkcijas.
4.8.1. Papildu moduļi
Trojas zirgs ietver papildu moduļus, kas ir DLL faili. No C&C komandu servera nosÅ«tÄ«tos moduļus var izpildÄ«t kÄ ÄrÄjÄs programmas, atspoguļot operatÄ«vajÄ atmiÅÄ un palaist jaunos pavedienos. UzglabÄÅ”anai moduļi tiek saglabÄti .dtt failos un kodÄti, izmantojot RC4 algoritmu ar to paÅ”u atslÄgu, ko izmanto tÄ«kla sakariem.
LÄ«dz Å”im esam novÄrojuÅ”i VNC moduļa (8966319882494077C21F66A8354E2CBCA0370464), pÄrlÅ«kprogrammas datu ieguves moduļa (03DE8622BE6B2F75A364A275995C3411626CEEF module (4C9F1A2E1CBCA562) uzstÄdÄ«Å”anu. 1EFC69FBA6 B58BE88753D7B0E3CFAB).
Lai ielÄdÄtu VNC moduli, C&C serveris izdod komandu, pieprasot savienojumus ar VNC serveri noteiktÄ IP adresÄ portÄ 44443. PÄrlÅ«ka datu izguves spraudnis izpilda TBrowserDataCollector, kas var nolasÄ«t IE pÄrlÅ«koÅ”anas vÄsturi. PÄc tam tas nosÅ«ta pilnu apmeklÄto URL sarakstu uz C&C komandu serveri.
PÄdÄjais atklÄtais modulis tiek saukts par 1c_2_kl. Tas var mijiedarboties ar 1C Enterprise programmatÅ«ras pakotni. ModulÄ« ir divas daļas: galvenÄ daļa - DLL un divi aÄ£enti (32 un 64 biti), kas tiks ievadÄ«ti katrÄ procesÄ, reÄ£istrÄjot saistÄ«Å”anos ar WH_CBT. PÄc ievieÅ”anas 1C procesÄ modulis saista funkcijas CreateFile un WriteFile. Ikreiz, kad tiek izsaukta saistÄ«tÄ funkcija CreateFile, modulis atmiÅÄ saglabÄ faila ceļu 1c_to_kl.txt. PÄc WriteFile izsaukuma pÄrtverÅ”anas tas izsauc funkciju WriteFile un nosÅ«ta faila ceļu 1c_to_kl.txt uz galveno DLL moduli, nododot tam izveidoto Windows WM_COPYDATA ziÅojumu.
Galvenais DLL modulis tiek atvÄrts un parsÄ failu, lai noteiktu maksÄjuma uzdevumus. Tas atpazÄ«st failÄ ietverto summu un darÄ«juma numuru. Å Ä« informÄcija tiek nosÅ«tÄ«ta uz komandu serveri. MÄs uzskatÄm, ka Å”is modulis paÅ”laik tiek izstrÄdÄts, jo tas satur atkļūdoÅ”anas ziÅojumu un nevar automÄtiski modificÄt failu 1c_to_kl.txt.
4.8.2. PrivilÄÄ£iju eskalÄcija
RTM var mÄÄ£inÄt palielinÄt privilÄÄ£ijas, parÄdot nepatiesus kļūdu ziÅojumus. Ä»aunprÄtÄ«ga programmatÅ«ra simulÄ reÄ£istra pÄrbaudi (skatiet attÄlu zemÄk) vai izmanto reÄlu reÄ£istra redaktora ikonu. LÅ«dzu, Åemiet vÄrÄ pareizrakstÄ«bas kļūdu, gaidiet ā ko. PÄc dažÄm skenÄÅ”anas sekundÄm programma parÄda nepatiesu kļūdas ziÅojumu.
Nepatiess ziÅojums viegli maldinÄs vidusmÄra lietotÄju, neskatoties uz gramatikas kļūdÄm. Ja lietotÄjs noklikŔķina uz vienas no divÄm saitÄm, RTM mÄÄ£inÄs palielinÄt savas privilÄÄ£ijas sistÄmÄ.
IzvÄloties vienu no divÄm atkopÅ”anas opcijÄm, Trojas zirgs palaiž DLL, izmantojot funkcijÄ ShellExecute ar administratora tiesÄ«bÄm runas opciju. LietotÄjs redzÄs reÄlu Windows uzvedni (skatiet attÄlu zemÄk) par pacÄlumu. Ja lietotÄjs pieŔķirs nepiecieÅ”amÄs atļaujas, Trojas zirgs darbosies ar administratora privilÄÄ£ijÄm.
AtkarÄ«bÄ no sistÄmÄ instalÄtÄs noklusÄjuma valodas Trojas zirgs parÄda kļūdu ziÅojumus krievu vai angļu valodÄ.
4.8.3. SertifikÄts
RTM var pievienot sertifikÄtus Windows veikalam un apstiprinÄt pievienoÅ”anas uzticamÄ«bu, dialoglodziÅÄ csrss.exe automÄtiski noklikŔķinot uz pogas āJÄā. Å Äda rÄ«cÄ«ba nav jauna, piemÄram, bankas Trojas zirgs Retefe arÄ« neatkarÄ«gi apstiprina jauna sertifikÄta uzstÄdÄ«Å”anu.
4.8.4. Reversais savienojums
RTM autori izveidoja arÄ« Backconnect TCP tuneli. MÄs vÄl neesam redzÄjuÅ”i, ka Ŕī funkcija tiek izmantota, taÄu tÄ ir paredzÄta inficÄto datoru attÄlinÄtai uzraudzÄ«bai.
4.8.5. Resursdatora failu pÄrvaldÄ«ba
C&C serveris var nosÅ«tÄ«t komandu Trojas zirgam, lai modificÄtu Windows resursdatora failu. Resursdatora fails tiek izmantots, lai izveidotu pielÄgotas DNS izŔķirtspÄjas.
4.8.6. Atrodiet un nosūtiet failu
Serveris var pieprasÄ«t meklÄt un lejupielÄdÄt failu inficÄtajÄ sistÄmÄ. PiemÄram, pÄtÄ«juma laikÄ saÅÄmÄm pieprasÄ«jumu pÄc faila 1c_to_kl.txt. KÄ aprakstÄ«ts iepriekÅ”, Å”o failu Ä£enerÄ grÄmatvedÄ«bas sistÄma 1C: Enterprise 8.
4.8.7. AtjauninÄÅ”ana
Visbeidzot, RTM autori var atjauninÄt programmatÅ«ru, iesniedzot jaunu DLL, lai aizstÄtu paÅ”reizÄjo versiju.
5. SecinÄjums
RTM pÄtÄ«jumi liecina, ka Krievijas banku sistÄma joprojÄm piesaista kiberuzbrucÄjus. TÄdas grupas kÄ Buhtrap, Corkow un Carbanak veiksmÄ«gi zog naudu no finanÅ”u iestÄdÄm un saviem klientiem KrievijÄ. RTM ir jauns spÄlÄtÄjs Å”ajÄ nozarÄ.
SaskaÅÄ ar ESET telemetrijas datiem ļaunprÄtÄ«gi RTM rÄ«ki ir izmantoti vismaz kopÅ” 2015. gada beigÄm. Programmai ir pilns spiegoÅ”anas iespÄju klÄsts, tostarp viedkarÅ”u lasÄ«Å”ana, taustiÅsitienu pÄrtverÅ”ana un bankas darÄ«jumu uzraudzÄ«ba, kÄ arÄ« 1C: Enterprise 8 transporta failu meklÄÅ”ana.
DecentralizÄta, necenzÄta .bit augstÄkÄ lÄ«meÅa domÄna izmantoÅ”ana nodroÅ”ina ļoti elastÄ«gu infrastruktÅ«ru.
Avots: www.habr.com