Misy vondrona cyber maromaro fantatra fa manampahaizana manokana amin'ny fangalarana vola amin'ny orinasa Rosiana. Nahita fanafihana tamin'ny alalan'ny fikatsahana fiarovana izay mamela ny fidirana amin'ny tambajotran'ny lasibatra izahay. Rehefa mahazo fidirana izy ireo, dia mandalina ny rafitry ny tambajotran'ny fikambanana ireo mpanafika ary mametraka ny fitaovany manokana hangalarana vola. Ny ohatra mahazatra amin'ity fironana ity dia ny vondrona hacker Buhtrap, Cobalt ary Corkow.
Ny vondrona RTM izay ifantohan'ity tatitra ity dia anisan'izany fironana izany. Mampiasa malware natao manokana nosoratana tao amin'ny Delphi izy io, izay hojerentsika amin'ny antsipiriany bebe kokoa amin'ny fizarana manaraka. Hita tamin'ny faran'ny taona 2015 ny soritra voalohany amin'ireo fitaovana ireo ao amin'ny rafitra telemetry ESET. Ny ekipa dia mampiditra modules vaovao isan-karazany amin'ny rafitra voan'ny aretina raha ilaina. Ny fanafihana dia mikendry ireo mpampiasa ny rafitra banky lavitra any Rosia sy ny firenena manodidina sasany.
1. Tanjona
Ny fanentanana RTM dia natao ho an'ireo mpampiasa orinasa - izany dia miharihary amin'ireo dingana izay ezahan'ny mpanafika hojerena amin'ny rafitra simba. Mifantoka amin'ny rindrambaiko fitantanam-bola ho an'ny fiaraha-miasa amin'ny rafitra banky lavitra.
Ny lisitr'ireo dingana mahaliana ny RTM dia mitovy amin'ny lisitra mifanaraka amin'ny vondrona Buhtrap, fa ny vondrona dia manana vesatra otrikaretina samihafa. Raha nampiasa pejy sandoka matetika i Buhtrap, dia nampiasa fanafihana fampidinana fiara (fanafihana amin'ny navigateur na singa ao aminy) ny RTM ary mandefa mailaka amin'ny spam. Araka ny angon-drakitra telemetry, ny fandrahonana dia mikendry an'i Rosia sy firenena maro akaiky (Okraina, Kazakhstan, Repoblika Tseky, Alemana). Na izany aza, noho ny fampiasana mekanika fitsinjarana faobe dia tsy mahagaga ny fitadiavana malware ivelan'ny faritra kendrena.
Somary kely ny fitambaran'ny fitiliana malware. Amin'ny lafiny iray, ny fampielezan-kevitry ny RTM dia mampiasa programa saro-takarina, izay manondro fa tena lasibatra ny fanafihana.
Nahita antontan-taratasy fandokoana maro ampiasain'ny RTM izahay, anisan'izany ny fifanarahana tsy misy, ny faktiora na ny antontan-taratasy momba ny fitantanam-bola. Ny toetoetran'ny fandrika, miaraka amin'ny karazana rindrambaiko nokendrena tamin'ny fanafihana, dia manondro fa ireo mpanafika dia "miditra" amin'ny tambajotran'ny orinasa Rosiana amin'ny alΓ lan'ny sampana kaonty. Toy izany koa no nataonβny vondrona tamin'ny 2014-2015
Nandritra ny fikarohana dia afaka nifanerasera tamin'ireo mpizara C&C maromaro izahay. Ho tanisaintsika ao amin'ny fizarana manaraka ny lisitra feno amin'ny baiko, fa amin'izao fotoana izao dia afaka milaza isika fa ny mpanjifa dia mamindra angon-drakitra avy amin'ny keylogger mivantana mankany amin'ny mpizara mpanafika, izay misy baiko fanampiny azo avy eo.
Na izany aza, ny andro ahafahanao mifandray fotsiny amin'ny mpizara baiko sy fanaraha-maso ary manangona ny angona rehetra mahaliana anao dia lasa. Namboarinay indray ny rakitra lozisialy tena misy mba hahazoana baiko mifandraika amin'ny mpizara.
Ny voalohany amin'izy ireo dia ny fangatahana amin'ny bot mba hamindra ny rakitra 1c_to_kl.txt - rakitra fitaterana an'ny programa 1C: Enterprise 8, ny fisehoany dia arahin'ny RTM mavitrika. 1C dia mifandray amin'ny rafitra banky lavitra amin'ny alΓ lan'ny fandefasana angon-drakitra momba ny fandoavam-bola mivoaka amin'ny rakitra an-tsoratra. Avy eo, alefa any amin'ny rafitra banky lavitra ny rakitra ho an'ny automation sy ny fanatanterahana ny baikon'ny fandoavam-bola.
Misy antsipirian'ny fandoavam-bola ny rakitra. Raha manova ny vaovao momba ny fandoavam-bola mivoaka ny mpanafika, dia halefa amin'ny alΓ lan'ny antsipiriany diso any amin'ny kaontin'ireo mpanafika ny famindrana.
Iray volana teo ho eo taorian'ny fangatahana ireo rakitra ireo avy amin'ny mpizara baiko sy fanaraha-maso, dia nahita plugin vaovao, 1c_2_kl.dll, nampidirina tao amin'ny rafitra simba. Ny module (DLL) dia natao hamakafaka ho azy ny rakitra alaina amin'ny alΓ lan'ny fidirana amin'ny fizotran'ny rindrambaiko kaonty. Holazainay aminβny antsipiriany ao aminβny fizarana manaraka izany.
Mahaliana fa ny FinCERT an'ny Bank of Russia tamin'ny faran'ny taona 2016 dia namoaka fampitandremana momba ireo mpanao heloka bevava amin'ny aterineto amin'ny fampiasana rakitra fampiakarana 1c_to_kl.txt. Fantatry ny mpamorona avy amin'ny 1C ihany koa ity tetika ity; efa nanao fanambarana ofisialy izy ireo ary mitanisa ny fitandremana.
Ny maody hafa koa dia nalaina avy amin'ny mpizara baiko, indrindra ny VNC (ny dikan-teny 32 sy 64-bit). Izy io dia mitovy amin'ny maody VNC izay nampiasaina taloha tamin'ny fanafihana Trojan Dridex. Ity maodely ity dia heverina fa ampiasaina mba hifandraisana lavitra amin'ny solosaina voan'ny aretina ary hanao fandalinana amin'ny antsipiriany momba ilay rafitra. Manaraka, miezaka mivezivezy manerana ny tambajotra ireo mpanafika, manala ny tenimiafina mpampiasa, manangona vaovao ary miantoka ny fisian'ny malware tsy tapaka.
2. Vectors ny aretina
Ity sary manaraka ity dia mampiseho ireo veteran'ny otrikaretina hita nandritra ny fotoam-pandalinana ny fampielezan-kevitra. Mampiasa vectors isan-karazany ny vondrona, fa indrindra indrindra amin'ny fanafihana fampidinana sy spam. Ireo fitaovana ireo dia mety amin'ny fanafihana lasibatra, satria amin'ny tranga voalohany, ny mpanafika dia afaka misafidy tranokala hotsidihin'ny mety ho tra-boina, ary amin'ny faharoa, afaka mandefa mailaka miaraka amin'ny fametahana mivantana amin'ireo mpiasan'ny orinasa irina.
Ny malware dia zaraina amin'ny alΓ lan'ny fantsona maro, ao anatin'izany ny RIG sy Sundown exploit kits na mailaka spam, izay manondro ny fifandraisana misy eo amin'ireo mpanafika sy ireo mpanafika cyber hafa manolotra ireo tolotra ireo.
2.1. Ahoana ny fifandraisan'ny RTM sy Buhtrap?
Ny fanentanana RTM dia mitovy amin'ny Buhtrap. Ny fanontaniana voajanahary dia ny hoe: ahoana ny fifandraisan'izy ireo?
Tamin'ny volana septambra 2016, nahatsikaritra santionany RTM nozaraina tamin'ny alalan'ny fampiakarana Buhtrap izahay. Fanampin'izany, nahita mari-pankasitrahana nomerika roa ampiasaina amin'ny Buhtrap sy RTM izahay.
Ny voalohany, voalaza fa navoakan'ny orinasa DNISTER-M, dia nampiasaina hanasonia nomerika ny endrika Delphi faharoa (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) sy ny Buhtrap DLL (SHA-1: 1E2642C454DB2F889B6F41116B83B6B2B4890BXNUMXBXNUMXA XNUMX).
Ny faharoa, navoaka ho an'ny Bit-Tredj, dia nampiasaina hanasonia ny mpitaingina Buhtrap (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 sy B74F71560E48488D2153AE2FB51207A0TM)
Ny mpandraharaha RTM dia mampiasa mari-pankasitrahana mahazatra amin'ny fianakaviana malware hafa, saingy manana taratasy fanamarinana tokana ihany koa izy ireo. Araka ny filazan'ny telemetry ESET, dia navoaka tamin'ny Kit-SD izy io ary nampiasaina hanasonia ny malware RTM sasany (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
Ny RTM dia mampiasa ny loader mitovy amin'ny Buhtrap, ny singa RTM dia entina avy amin'ny fotodrafitrasa Buhtrap, noho izany dia manana tondro tambajotra mitovy ireo vondrona. Na izany aza, araka ny tombatombanay, ny RTM sy ny Buhtrap dia vondrona samy hafa, fara faharatsiny satria ny RTM dia zaraina amin'ny fomba samihafa (tsy mampiasa mpandefa "vahiny" fotsiny).
Na eo aza izany, ny vondrona mpijirika dia mampiasa fitsipika miasa mitovy. Izy ireo dia mikendry ny orinasa mampiasa rindrambaiko fitantanam-bola, manangona vaovao momba ny rafitra, mikaroka mpamaky karatra marani-tsaina, ary mampiasa fitaovana manimba maro mba hitsikilo ireo niharam-boina.
3. Evolisiona
Amin'ity fizarana ity dia hijery ireo dikan-teny samihafa amin'ny malware hita nandritra ny fandalinana isika.
3.1. versioning
Ny RTM dia mitahiry angon-drakitra fanamafisana ao amin'ny fizarana rejisitra, ny ampahany mahaliana indrindra dia ny botnet-prefix. Ny lisitr'ireo soatoavina rehetra hitanay tamin'ireo santionany nodinihinay dia aseho amin'ny tabilao etsy ambany.
Mety ho azo ampiasaina handrakitra ny dikan-teny malware ireo soatoavina. Na izany aza, tsy nahatsikaritra fahasamihafana be teo amin'ny dikan-teny toy ny bit2 sy bit3, 0.1.6.4 ary 0.1.6.6 izahay. Ankoatra izany, ny iray amin'ireo prefixes dia efa nisy hatramin'ny voalohany ary nivoatra avy amin'ny sehatra C&C mahazatra ho sehatra .bit, araka ny aseho eto ambany.
3.2. fandaharam-potoana
Amin'ny fampiasana angon-drakitra telemetry, dia namorona tabilao momba ny fisehoan'ny santionany izahay.
4. Famakafakana ara-teknika
Ato amin'ity fizarana ity, dia mamaritra ny tena asa ny RTM banky Trojan, anisan'izany ny fanoherana mekanika, ny dikan-ny manokana RC4 algorithm, tambajotra protocole, fitsikilovana sy ny endri-javatra hafa. Indrindra indrindra, hifantoka amin'ny santionany SHA-1 AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 sy 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. Fametrahana sy fitehirizana
4.1.1. fanatanterahana
Ny fototry ny RTM dia DLL, ny tranomboky dia ampidirina amin'ny kapila mampiasa .EXE. Ny rakitra azo tanterahana dia matetika nofonosina ary misy kaody DLL. Rehefa natomboka, dia esoriny ny DLL ary ampiasany ity baiko manaraka ity:
rundll32.exe β%PROGRAMDATA%Winlogonwinlogon.lnkβ,DllGetClassObject host4.1.2. DLL
Ny DLL lehibe dia ampidirina ao anaty disk ho winlogon.lnk ao amin'ny lahatahiry %PROGRAMDATA%Winlogon. Ity fanitarana rakitra ity dia matetika mifandray amin'ny hitsin-dΓ lana, fa ny rakitra dia tena DLL voasoratra amin'ny Delphi, antsoina hoe core.dll avy amin'ny mpamorona, araka ny aseho amin'ny sary etsy ambany.
ΠΡΠΈΠΌΠ΅Ρ Π½Π°Π·Π²Π°Π½ΠΈΡ DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Rehefa natomboka, ny Trojan dia manetsika ny mekanika fanoherana azy. Azo atao amin'ny fomba roa samihafa izany, miankina amin'ny tombontsoan'ilay niharam-boina ao amin'ny rafitra. Raha manana zon'ny mpitantana ianao, ny Trojan dia manampy fidirana Windows Update amin'ny rejisitra HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun. Ny baiko voarakitra ao amin'ny Windows Update dia handeha amin'ny fiandohan'ny fotoam-pivorian'ny mpampiasa.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe β%PROGRAMDATA%winlogon.lnkβ,DllGetClassObject host
Ny Trojan koa dia manandrana manampy asa amin'ny Windows Task Scheduler. Ny asa dia hanomboka ny winlogon.lnk DLL miaraka amin'ny masontsivana mitovy amin'ny etsy ambony. Ny zon'ny mpampiasa mahazatra dia mamela ny Trojan hampiditra fidirana Windows Update miaraka amin'ny angona mitovy amin'ny rejisitra HKCUSoftwareMicrosoftWindowsCurrentVersionRun:
rundll32.exe β%PROGRAMDATA%winlogon.lnkβ,DllGetClassObject host4.2. Algorithm RC4 novana
Na dia eo aza ny lesoka fantatra, ny algorithm RC4 dia ampiasain'ny mpanoratra malware matetika. Na izany aza, nanova azy kely ny mpamorona ny RTM, angamba mba hanasarotra kokoa ny asan'ny mpandinika virus. Ny dikan-teny novaina an'ny RC4 dia ampiasaina betsaka amin'ny fitaovana RTM ratsy mba hanafenana ny tady, ny angon-drakitra, ny fikirakirana ary ny maody.
4.2.1. fahasamihafana
Ny algorithm RC4 tany am-boalohany dia misy dingana roa: s-block initialization (aka KSA - Key-Scheduling Algorithm) ary pseudo-random sequence generation (PRGA - Pseudo-Random Generation Algorithm). Ny dingana voalohany dia ny fanombohana ny s-boaty amin'ny fampiasana ny fanalahidy, ary amin'ny dingana faharoa ny lahatsoratra loharano dia voahodina amin'ny fampiasana ny s-boaty ho an'ny fanafenana.
Ny mpanoratra RTM dia nanampy dingana manelanelana eo amin'ny fanombohana s-box sy ny encryption. Ny lakile fanampiny dia miovaova ary apetraka miaraka amin'ny angon-drakitra hatao encryption sy decrypted. Ny asa izay manao ity dingana fanampiny ity dia aseho amin'ny sary etsy ambany.
4.2.2. Fanafenana tady
Raha vao jerena dia misy andalana azo vakiana maromaro ao amin'ny DLL lehibe. Ny ambiny dia miafina amin'ny alΓ lan'ny algorithm voalaza etsy ambony, ny firafitry izay aseho amin'ity sary manaraka ity. Nahita fanalahidy RC25 mihoatra ny 4 izahay ho an'ny fanafenana tady ao amin'ireo santionany nodinihina. Ny famaha XOR dia samy hafa isaky ny andalana. 0xFFFFFFFF foana ny sandan'ny tsipika manasaraka sahan'isa isa.
Amin'ny fiandohan'ny famonoana, ny RTM dia mamadika ny tady ho fari-piainana manerantany. Rehefa ilaina ny fidirana amin'ny tady, ny Trojan dia manitsy ny adiresin'ireo tady voahidy mifototra amin'ny adiresy fototra sy ny offset.
Misy fampahalalana mahaliana momba ny fiasan'ny malware ny tadiny. Misy tady ohatra omena ao amin'ny Fizarana 6.8.
4.3. Tambajotra
Ny fomba fifandraisan'ny malware RTM amin'ny mpizara C&C dia miovaova arakaraka ny dikan-teny. Ny fanovana voalohany (Oktobra 2015 - Aprily 2016) dia nampiasa anarana sehatra nentim-paharazana miaraka amin'ny RSS feed amin'ny livejournal.com mba hanavaozana ny lisitry ny baiko.
Nanomboka tamin'ny Aprily 2016, dia nahita fiovana ho amin'ny sehatra .bit amin'ny angona telemΓ©trie izahay. Nohamafisin'ny datin'ny fisoratana anarana izany - ny domaine RTM voalohany fde05d0573da.bit dia nisoratra anarana tamin'ny 13 martsa 2016.
Ny URL rehetra hitanay teo am-panaraha-maso ny fampielezan-kevitra dia nanana lalana iraisana: /r/z.php. Tsy mahazatra izany ary hanampy amin'ny famantarana ny fangatahana RTM amin'ny fikorianan'ny tambajotra.
4.3.1. Channel ho an'ny baiko sy fanaraha-maso
Ny ohatra lova dia nampiasa ity fantsona ity mba hanavaozana ny lisitry ny mpizara baiko sy fanaraha-maso. Ny fampiantranoana dia ao amin'ny livejournal.com, tamin'ny fotoana nanoratana ny tatitra dia nijanona tao amin'ny URL hxxp://f72bba81c921(.)livejournal(.)com/ data/rss.
Livejournal dia orinasa Rosiana-Amerikana izay manome sehatra fitorahana bilaogy. Mamorona bilaogy LJ ny mpandraharaha RTM izay handefasana lahatsoratra misy baiko misy kaody - jereo ny pikantsary.
Ny baiko sy ny tsipika fanaraha-maso dia voasivana amin'ny alΓ lan'ny algorithm RC4 novaina (Fizarana 4.2). Ny dikan-teny ankehitriny (Novambra 2016) an'ny fantsona dia ahitana ireto baiko manaraka ireto sy adiresin'ny mpizara:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. .bit domains
Amin'ny santionany RTM farany indrindra, ny mpanoratra dia mifandray amin'ny sehatra C&C amin'ny fampiasana ny sehatra ambony indrindra .bit TLD. Tsy ao amin'ny lisitry ny ICANN (Domain Name and Internet Corporation) amin'ny sehatra ambony. Fa kosa, mampiasa ny rafitra Namecoin, izay miorina eo an-tampon'ny teknolojia Bitcoin. Ny mpanoratra malware dia tsy mampiasa matetika ny .bit TLD ho an'ny sehatra misy azy, na dia efa nisy ohatra iray tamin'ny fampiasana toy izany aza dia efa voamarika teo aloha tao amin'ny version of Necurs botnet.
Tsy toa an'i Bitcoin, ny mpampiasa ny angon-drakitra Namecoin nozaraina dia manana fahafahana mitahiry data. Ny tena fampiharana an'ity endri-javatra ity dia ny sehatra ambony indrindra .bit. Azonao atao ny misoratra anarana sehatra izay hotehirizina ao anaty angon-drakitra voazara. Ny fidirana mifanaraka amin'izany ao amin'ny angon-drakitra dia misy adiresy IP voavahan'ny sehatra. Ity TLD ity dia "tsy mahatohitra sivana" satria ny mpisoratra anarana ihany no afaka manova ny famahana ny sehatra .bit. Midika izany fa sarotra kokoa ny manakana sehatra maloto amin'ny fampiasana ity karazana TLD ity.
Ny RTM Trojan dia tsy mampiditra ny rindrambaiko ilaina hamakiana ny angon-drakitra Namecoin zaraina. Mampiasa lohamilina DNS afovoany toy ny dns.dot-bit.org na mpizara OpenNic izy io mba hamahana ireo sehatra .bit. Noho izany dia manana faharetana mitovy amin'ny mpizara DNS izy io. Hitanay fa tsy hita intsony ny sahan'ny ekipa sasany rehefa voatonona tao anaty lahatsoratra bilaogy.
Ny tombony hafa amin'ny .bit TLD ho an'ny hackers dia ny vidiny. Raha te hisoratra anarana sehatra iray dia tsy maintsy mandoa 0,01 NK ihany ny mpandraharaha, izay mitovy amin'ny $0,00185 (hatramin'ny 5 Desambra 2016). Raha ampitahaina, ny domain.com dia mitentina $10 farafahakeliny.
4.3.3. fifanarahana
Mba hifandraisana amin'ny mpizara baiko sy fanaraha-maso, ny RTM dia mampiasa ny fangatahana HTTP POST miaraka amin'ny angon-drakitra voalamina amin'ny alΓ lan'ny protocol manokana. Ny sandan'ny lalana dia /r/z.php foana; Mpampiasa mpampiasa Mozilla/5.0 (mifanaraka; MSIE 9.0; Windows NT 6.1; Trident/5.0). Amin'ny fangatahana amin'ny mpizara, ny angon-drakitra dia voalamina toy izao manaraka izao, izay aseho amin'ny bytes ny sanda offset:
Ny bita 0 hatramin'ny 6 dia tsy voakodia; Ny bytes manomboka amin'ny 6 dia voasivana amin'ny alΓ lan'ny algorithm RC4 novaina. Tsotra kokoa ny firafitry ny fonosana valin'ny C&C. Ny bita dia fehezina amin'ny 4 ka hatramin'ny haben'ny fonosana.
Ny lisitr'ireo sanda azo atao byte dia aseho amin'ny tabilao etsy ambany:
Ny malware dia manao kajy foana ny CRC32 amin'ny angon-drakitra voafafa ary mampitaha izany amin'izay misy ao anaty fonosana. Raha tsy mitovy izy ireo, dia mandatsaka ny fonosana ny Trojan.
Ny angon-drakitra fanampiny dia mety ahitana zavatra isan-karazany, anisan'izany ny rakitra PE, ny rakitra hokarohina ao amin'ny rafi-drakitra, na ny URL baiko vaovao.
4.3.4. Panel
Tsikaritray fa mampiasa tontonana amin'ny mpizara C&C ny RTM. Pikantsary eto ambany:
4.4. Famantarana mampiavaka
RTM dia Trojan banky mahazatra. Tsy mahagaga raha mila fanazavana momba ny rafitry ny niharam-boina ny mpandraharaha. Amin'ny lafiny iray, manangona fampahalalana ankapobeny momba ny OS ny bot. Amin'ny lafiny iray, hitany raha toa ka misy toetra mifandray amin'ny rafitra banky lavitra Rosiana ny rafitra simba.
4.4.1. Fampahalalana ankapobeny
Rehefa apetraka na atomboka ny malware aorian'ny reboot dia misy tatitra alefa any amin'ny mpizara baiko sy fanaraha-maso misy fampahalalana ankapobeny ao anatin'izany:
- Timezone;
- fiteny rafitra default;
- fahazoan-dΓ lana ho an'ny mpampiasa;
- haavon'ny tsy fivadihana;
- Username;
- anarana solosaina;
- OS version;
- fanampiny napetraka Modules;
- programa antivirus napetraka;
- lisitry ny mpamaky karatra marani-tsaina.
4.4.2 Rafitra banky lavitra
Ny tanjon'ny Trojan mahazatra dia rafitra banky lavitra, ary ny RTM dia tsy misy afa-tsy. Ny iray amin'ireo maodelin'ny fandaharana dia antsoina hoe TBdo, izay manao asa isan-karazany, ao anatin'izany ny fitarafana kapila sy ny tantaran'ny fitetezana.
Amin'ny alalan'ny scanning ny kapila, ny Trojan dia manamarina raha toa ny rindrambaiko banky napetraka ao amin'ny milina. Ny lisitra feno amin'ny programa kendrena dia eo amin'ny tabilao etsy ambany. Rehefa nahita rakitra mahaliana ny programa dia mandefa fampahalalana amin'ny mpizara baiko. Ny hetsika manaraka dia miankina amin'ny lojika nofaritan'ny algorithm'ny foibe baiko (C&C).
Ny RTM koa dia mitady lamina URL ao amin'ny tantaran'ny navigateur sy tabilao misokatra. Ho fanampin'izany, ny programa dia mandinika ny fampiasana ny FindNextUrlCacheEntryA sy FindFirstUrlCacheEntryA, ary manamarina ny fidirana tsirairay mba hampifanaraka ny URL amin'ny iray amin'ireto lamina manaraka ireto:
Rehefa nahita tabilao misokatra, ny Trojan dia mifandray amin'ny Internet Explorer na Firefox amin'ny alΓ lan'ny mekanika Dynamic Data Exchange (DDE) hanamarina raha mifanaraka amin'ny lamina ilay tabilao.
Ny fanaraha-maso ny tantaran'ny fitetezanao sy ny kiheba misokatra dia atao amin'ny loop WHILE (taolana misy fepetra mialoha) miaraka amin'ny fiatoana 1 segondra eo anelanelan'ny fisavana. Ny angon-drakitra hafa izay araha-maso amin'ny fotoana tena izy dia horesahina ao amin'ny fizarana 4.5.
Raha misy lamina hita, ny programa dia mitatitra izany amin'ny mpizara baiko amin'ny alΓ lan'ny lisitry ny tady avy amin'ity tabilao manaraka ity:
4.5 Fanaraha-maso
Raha mandeha ny Trojan, dia alefa any amin'ny mpizara baiko sy fanaraha-maso ny fampahalalana momba ny toetra mampiavaka ny rafitra voan'ny aretina (anisan'izany ny fisian'ny rindrambaiko banky). Mitranga ny fanondro amin'ny rantsantanana rehefa mihazakazaka voalohany ny rafitra fanaraha-maso ny RTM taorian'ny scan OS voalohany.
4.5.1. Banky lavitra
Ny maody TBdo ihany koa dia tompon'andraikitra amin'ny fanaraha-maso ny fizotran'ny banky. Mampiasa fifanakalozana angon-drakitra mavitrika hijerena tabilao ao amin'ny Firefox sy Internet Explorer mandritra ny scan voalohany. TShell module iray hafa dia ampiasaina hanaraha-maso ny baiko windows (Internet Explorer na File Explorer).
Ny maody dia mampiasa ny COM interfaces IShellWindows, iWebBrowser, DWebBrowserEvents2 ary IConnectionPointContainer hanaraha-maso windows. Rehefa mandeha amin'ny pejy web vaovao ny mpampiasa iray dia manamarika izany ny malware. Avy eo dia mampitaha ny URL pejy amin'ireo lamina etsy ambony. Rehefa nahita lalao iray ny Trojan dia maka pikantsary enina misesy miaraka amin'ny elanelana 5 segondra ary mandefa azy ireo any amin'ny mpizara baiko C&S. Ny programa koa dia manamarina ny anaran'ny varavarankely mifandraika amin'ny rindrambaiko banky - eto ambany ny lisitra feno:
4.5.2. Karatra marani-tsaina
Ny RTM dia ahafahanao manara-maso ireo mpamaky karatra marani-tsaina mifandray amin'ny solosaina voan'ny aretina. Ireo fitaovana ireo dia ampiasaina any amin'ny firenena sasany mba hampihavanana ny baikon'ny fandoavam-bola. Raha ampifandraisina amin'ny ordinatera io karazana fitaovana io, dia mety hanondro amin'ny Trojan fa ampiasaina amin'ny fifampiraharahana amin'ny banky ilay milina.
Tsy toy ny Trojans banky hafa, ny RTM dia tsy afaka mifandray amin'ny karatra hendry toy izany. Angamba ity fampiasa ity dia tafiditra ao anatin'ny module fanampiny izay mbola tsy hitantsika.
4.5.3. Keylogger
Ny ampahany manan-danja amin'ny fanaraha-maso ny PC voan'ny aretina dia ny fakana ny fanendry fanalahidy. Toa tsy very vaovao ny mpamorona RTM, satria tsy ny fanalahidy mahazatra ihany no manara-maso azy ireo, fa koa ny klavier virtoaly sy ny takelaka.
Mba hanaovana izany, ampiasao ny fiasa SetWindowsHookExA. Ny mpanafika dia soraty ny lakile voatsindry na ny lakile mifanandrify amin'ny klavier virtoaly, miaraka amin'ny anarana sy ny datin'ny fandaharana. Ny buffer dia alefa any amin'ny mpizara baiko C&C avy eo.
Ny fiasa SetClipboardViewer dia ampiasaina hanakanana ny takelaka. Ny hackers dia mametraka ny votoatin'ny clipboard rehefa lahatsoratra ny angona. Ny anarana sy ny daty dia voarakitra ihany koa alohan'ny handefasana ny buffer amin'ny mpizara.
4.5.4. sary
Ny fiasan'ny RTM iray hafa dia ny fisakanana pikantsary. Ampiasaina io endri-javatra io rehefa mahita tranokala na rindrambaiko banky mahaliana ny maody fanaraha-maso ny varavarankely. Ny pikantsary dia alaina amin'ny fampiasana tranomboky misy sary an-tsary ary afindra amin'ny mpizara baiko.
4.6. Uninstallation
Ny mpizara C&C dia afaka manakana ny malware tsy handeha sy hanadio ny solosainao. Ny baiko dia ahafahanao manadio ny rakitra sy ny rejisitra noforonina rehefa mandeha ny RTM. Ny DLL avy eo dia ampiasaina hanesorana ny malware sy ny rakitra winlogon, ary avy eo ny baiko dia manakatona ny solosaina. Araka ny aseho amin'ny sary etsy ambany, ny DLL dia esorina amin'ny alΓ lan'ny fampiasana erase.dll.
Ny mpizara dia afaka mandefa ny Trojan baiko manafoana-hidy manimba. Amin'ity tranga ity, raha manana zon'ny mpitantana ianao, dia hamafa ny sehatry ny boot MBR amin'ny kapila mafy ny RTM. Raha tsy mahomby izany, ny Trojan dia hiezaka ny hamindra ny sehatry ny boot MBR amin'ny sehatra kisendrasendra - dia tsy afaka manokatra ny OS ny solosaina aorian'ny fanakatonana. Izany dia mety hitarika amin'ny famerenana tanteraka ny OS, izay midika fa ny fandringanana ny porofo.
Raha tsy misy tombotsoan'ny mpitantana, ny malware dia manoratra .EXE voakodia ao amin'ny RTM DLL fototra. Ny executable dia manatanteraka ny kaody ilaina amin'ny fanakatonana ny solosaina ary manoratra ny maody ao amin'ny fanalahidin'ny rejisitra HKCUCurrentVersionRun. Isaky ny manomboka session ny mpampiasa dia tapaka avy hatrany ny solosaina.
4.7. Ny fichier configuration
Amin'ny alΓ lan'ny default, ny RTM dia saika tsy misy rakitra fanamafisam-peo, fa ny baiko sy ny mpizara fanaraha-maso dia afaka mandefa sanda fanamafisana izay hotehirizina ao amin'ny rejisitra ary ampiasain'ny programa. Ny lisitry ny fanalahidin'ny configuration dia aseho amin'ny tabilao etsy ambany:
Voatahiry ao amin'ny fanalahidin'ny rejisitra Software[Pseudo-random string]. Ny sanda tsirairay dia mifanandrify amin'ny iray amin'ireo andalana aseho amin'ny tabilao teo aloha. Ny soatoavina sy ny angon-drakitra dia voasivana amin'ny alΓ lan'ny algorithm RC4 ao amin'ny RTM.
Ny angona dia manana rafitra mitovy amin'ny tambajotra na tady. Ny fanalahidy XOR efatra-byte dia ampiana eo am-piandohan'ny angona voakodia. Ho an'ny sandan'ny fanamafisana, ny lakile XOR dia hafa ary miankina amin'ny haben'ny sandany. Azo atao kajy toy izao:
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)
4.8. endri-javatra hafa
Manaraka, andeha hojerentsika ireo fiasa hafa tohanan'ny RTM.
4.8.1. Modules fanampiny
Ny Trojan dia misy modules fanampiny, izay rakitra DLL. Ny maody nalefa avy amin'ny mpizara baikon'ny C&C dia azo tanterahina ho programa ivelany, hita taratra amin'ny RAM ary atomboka amin'ny kofehy vaovao. Ho an'ny fitahirizana dia voatahiry ao amin'ny rakitra .dtt ny maody ary voasivana amin'ny alΓ lan'ny algorithm RC4 miaraka amin'ny lakile mitovy amin'ny fifandraisana amin'ny tambajotra.
Hatreto dia nandinika ny fametrahana ny maody VNC (8966319882494077C21F66A8354E2CBCA0370464), ny maody fitrandrahana angon-drakitra navigateur (03DE8622BE6B2F75A364A275995C3411626C4D9E1E) FC2FBA1 B562BE1D69B6E58CFAB.
Mba hamenoana ny maody VNC, ny mpizara C&C dia mamoaka baiko mangataka fifandraisana amin'ny mpizara VNC amin'ny adiresy IP manokana amin'ny seranana 44443. Ny plugin retrieval data navigateur dia manatanteraka TBrowserDataCollector, izay afaka mamaky ny tantaran'ny fitetezana IE. Avy eo dia alefany any amin'ny mpizara baiko C&C ny lisitry ny URL notsidihina feno.
Ny mody farany hita dia antsoina hoe 1c_2_kl. Afaka mifandray amin'ny fonosana rindrambaiko 1C Enterprise izy io. Ny module dia misy ampahany roa: ny ampahany lehibe - DLL ary mpiasa roa (32 sy 64 bit), izay hampidirina amin'ny dingana tsirairay, misoratra anarana amin'ny WH_CBT. Rehefa nampidirina tao amin'ny dingana 1C, ny maody dia mamatotra ny asa CreateFile sy WriteFile. Isaky ny antsoina ny asa fatorana CreateFile dia mitahiry ny lalan'ny rakitra 1c_to_kl.txt ao anaty fitadidiana ny module. Rehefa avy nanakana ny antso WriteFile, dia miantso ny asa WriteFile ary mandefa ny rakitra lalana 1c_to_kl.txt ho any amin'ny lehibe DLL Module, mandalo azy ny noforonina Windows WM_COPYDATA hafatra.
Ny mΓ΄dΓ΄ DLL lehibe dia manokatra sy manilika ny rakitra mba hamaritana ny baiko fandoavam-bola. Izy io dia mahafantatra ny vola sy ny laharan'ny fifanakalozana voarakitra ao amin'ny rakitra. Ity fampahalalana ity dia alefa any amin'ny mpizara baiko. Mino izahay fa eo am-pamolavolana ity maody ity satria misy hafatra debug ary tsy afaka manova ho azy ny 1c_to_kl.txt.
4.8.2. Fitomboan'ny tombontsoa
RTM dia mety hanandrana hampitombo ny tombontsoa amin'ny alΓ lan'ny fampisehoana hafatra diso diso. Ny malware dia manao fanamarihan'ny rejisitra (jereo ny sary etsy ambany) na mampiasa kisary tonian-dahatsoratra tena izy. Mariho azafady fa misy diso tsipelina miandry - whait. Taorian'ny segondra vitsy nanaovana scan, ny programa dia mampiseho hafatra diso diso.
Ny hafatra diso dia hamitaka mora foana ny mpampiasa tsotra, na dia eo aza ny fahadisoana amin'ny fitsipi-pitenenana. Raha manindry ny iray amin'ireo rohy roa ny mpampiasa, dia hanandrana hampitombo ny tombontsoany ao amin'ny rafitra ny RTM.
Rehefa avy nisafidy ny iray amin'ireo safidy roa fanarenana, ny Trojan dia manomboka ny DLL amin'ny fampiasana ny runas safidy ao amin'ny ShellExecute asa miaraka amin'ny mpitantana tombontsoa. Hahita bitsika Windows tena izy ny mpampiasa (jereo ny sary etsy ambany) ho an'ny haavony. Raha manome alalana ilaina ny mpampiasa, dia hihazakazaka miaraka amin'ny tombontsoan'ny mpitantana ny Trojan.
Miankina amin'ny fiteny default napetraka amin'ny rafitra, ny Trojan dia mampiseho hafatra diso amin'ny teny Rosiana na Anglisy.
4.8.3. Certificate
Ny RTM dia afaka manampy taratasy fanamarinana ao amin'ny Windows Store ary manamafy ny maha-azo itokiana ny fanampiana amin'ny alΓ lan'ny fipihana ho azy ny bokotra "eny" ao amin'ny boaty fifanakalozan-kevitra csrss.exe. Tsy vaovao izany fihetsika izany, ohatra, ny banky Trojan Retefe dia manamafy tsy miankina amin'ny fametrahana taratasy fanamarinana vaovao.
4.8.4. Fifandraisana mivadika
Namorona ny tonelina TCP Backconnect ihany koa ireo mpanoratra RTM. Mbola tsy hitanay ilay endri-javatra ampiasaina, fa natao hanaraha-maso lavitra ireo PC voan'ny aretina.
4.8.5. Fitantanana rakitra fampiantranoana
Ny mpizara C&C dia afaka mandefa baiko amin'ny Trojan hanovana ny rakitra Windows host. Ny rakitra mpampiantrano dia ampiasaina hamoronana vahaolana DNS manokana.
4.8.6. Mitadiava sy mandefa rakitra
Ny mpizara dia mety hangataka hikaroka sy hisintona rakitra amin'ny rafitra voan'ny aretina. Ohatra, nandritra ny fikarohana dia nahazo fangatahana ny rakitra 1c_to_kl.txt izahay. Araka ny voalaza teo aloha, ity rakitra ity dia novokarin'ny rafitra kaonty 1C: Enterprise 8.
4.8.7. Fanavaozana
Farany, ny mpanoratra RTM dia afaka manavao ny rindrambaiko amin'ny alΓ lan'ny fandefasana DLL vaovao hanoloana ny kinova ankehitriny.
5. Fehiny
Ny fikarohana nataon'ny RTM dia mampiseho fa mbola mahasarika mpanafika an-tserasera ny rafitra banky Rosiana. Vondrona toa an'i Buhtrap, Corkow ary Carbanak dia nahomby tamin'ny fangalarana vola tamin'ny andrim-bola sy ny mpanjifany tany Rosia. Ny RTM dia mpilalao vaovao amin'ity indostria ity.
Ny fitaovana RTM ratsy dia efa nampiasaina hatramin'ny faramparan'ny taona 2015, araka ny telemetry ESET. Ny programa dia manana fahaiza-manao fitsikilovana feno, anisan'izany ny famakiana karatra marani-tsaina, ny fisakanana ny fanendry bokotra ary ny fanaraha-maso ny fifampiraharahana amin'ny banky, ary koa ny fitadiavana ny rakitra fitaterana 1C: Enterprise 8.
Ny fampiasana sehatra avo lenta .bit tsy voasivana, tsy voasivana dia miantoka ny fotodrafitrasa tena mahazaka.
Source: www.habr.com