He maha nga roopu ipurangi rongonui e tohunga ana ki te tahae moni mai i nga kamupene Ruhia. Kua kite matou i nga whakaeke ma te whakamahi i nga waahi haumarutanga e taea ai te uru ki te whatunga o te whaainga. Ina uru ana ratou, ka ako nga kaiwhaiwhai i te hanganga whatunga o te whakahaere me te tuku i a raatau ake taputapu ki te tahae moni. He tauira matarohia o tenei ahuatanga ko nga roopu hacker Buhtrap, Cobalt me Corkow.
Ko te roopu RTM e arohia ana e tenei ripoata tetahi waahanga o tenei ahuatanga. Ka whakamahia e ia te malware i hangaia motuhake i tuhia ki Delphi, ka tirohia e maatau nga korero mo nga waahanga e whai ake nei. Ko nga tohu tuatahi o enei taputapu i roto i te punaha waea ESET i kitea i te mutunga o te tau 2015. Ka utaina e te roopu nga momo waahanga hou ki nga punaha kua pangia ina hiahiatia. Ko nga whakaeke e whai ana ki nga kaiwhakamahi o nga punaha putea mamao i Russia me etahi whenua tata.
1. Whainga
Ko te kaupapa RTM e whai ana ki nga kaiwhakamahi umanga - ka kitea tenei mai i nga mahi e ngana ana nga kaiwhaiwhai ki te kite i roto i te punaha taupatupatu. Ko te arotahi ko te rorohiko kaute mo te mahi me nga punaha putea mamao.
Ko te rarangi o nga tukanga e pa ana ki te RTM he rite ki te rarangi e pa ana ki te roopu Buhtrap, engari he rereke nga momo mate o nga roopu. Mena he maha nga wa i whakamahia ai e Buhtrap nga wharangi rūpahu, katahi ka whakamahia e te RTM nga whakaeke ma te tango-a-ringa (whakaeke ki te kaitirotiro, ki ona waahanga ranei) me te panui ma te imeera. E ai ki nga raraunga waea waea, ko te riri e pa ana ki a Russia me etahi whenua tata (Ukraine, Kazakhstan, Czech Republic, Germany). Heoi, na te whakamahinga o nga tikanga tohatoha papatipu, kaore i te miharo te kitenga o te kino ki waho o nga rohe kua tohua.
He iti te tapeke o nga kitenga malware. I tetahi atu taha, ko te kaupapa RTM e whakamahi ana i nga kaupapa matatini, e tohu ana ko nga whakaeke e tino arohia ana.
Kua kitea e matou te maha o nga tuhinga tinihanga e whakamahia ana e te RTM, tae atu ki nga kirimana kore, nga nama, nga tuhinga kaute taake ranei. Ko te ahua o nga mahanga, me te ahua o te rorohiko e whaaia ana e te whakaeke, e tohu ana kei te "whakauru" nga kaiwhaiwhai ki nga whatunga o nga kamupene Rusia na roto i te tari kaute. I rite tonu te mahi a te roopu i te tau 2014-2015
I te wa o te rangahau, i taea e matou te mahi tahi me etahi kaitoro C&C. Ka whakarārangihia e matou te rarangi katoa o nga whakahau i roto i nga waahanga e whai ake nei, engari mo tenei wa ka taea e matou te kii ka tukuna e te kaihoko nga raraunga mai i te keylogger tika ki te kaimau whakaeke, ka riro mai etahi atu whakahau.
Heoi, kua ngaro nga ra ka taea e koe te hono atu ki te tūmau whakahau me te whakahaere me te kohikohi i nga raraunga katoa e hiahia ana koe. I hanga ano e matou nga konae rangitaki mooni ki te tiki i etahi whakahau e tika ana mai i te tūmau.
Ko te tuatahi o ratou ko te tono ki te karetao ki te whakawhiti i te konae 1c_to_kl.txt - he konae kawe waka o te kaupapa 1C: Enterprise 8, ko te ahua kei te kaha te tirotirohia e te RTM. Ka mahi tahi a 1C me nga punaha putea mamao ma te tuku raraunga mo nga utu puta ki tetahi konae tuhinga. I muri mai, ka tukuna te konae ki te punaha peeke mamao mo te mahi aunoa me te whakahaere i te ota utu.
Kei roto i te kōnae nga taipitopito utu. Mena ka huri nga kaiwhaiwhai i nga korero mo nga utu ka puta, ka tukuna te whakawhitinga ma te whakamahi i nga korero teka ki nga kaute a te hunga whakaeke.
Tata ki te marama kotahi i muri i to tono i enei konae mai i te tūmau whakahau me te mana whakahaere, i kite matou i tetahi mono hou, 1c_2_kl.dll, e utaina ana ki runga i te punaha taupatupatu. I hoahoatia te kōwae (DLL) ki te tātari aunoa i te konae tango ma te uru ki nga tukanga rorohiko kaute. Ka whakamāramahia e maatau i nga waahanga e whai ake nei.
He mea whakamiharo, ko te FinCERT o te Peeke o Russia i te mutunga o te 2016 i tukuna he panui panui mo te hunga hara ipurangi ma te whakamahi i nga konae tukuake 1c_to_kl.txt. Kei te mohio ano nga kaiwhakawhanake mai i te 1C mo tenei kaupapa, kua puta kee ratou he korero whaimana me nga rarangi whakatupato.
I utaina ano etahi atu waahanga mai i te tūmau whakahau, ina koa ko te VNC (ona putanga 32 me te 64-bit). He rite ki te waahanga VNC i whakamahia i mua i nga whakaekenga a Dridex Trojan. Ko te tikanga ka whakamahia tenei waahanga ki te hono mamao atu ki tetahi rorohiko kua pangia me te whakahaere rangahau mo te punaha. I muri mai, ka ngana nga kaiwhaiwhai ki te neke huri noa i te whatunga, te tango i nga kupuhipa kaiwhakamahi, te kohikohi korero me te whakarite i te noho tonu o te kino.
2. Vectors o te mate
Ko te whika e whai ake nei e whakaatu ana i nga whiu mate kua kitea i te waa ako o te pakanga. Ka whakamahia e te roopu te maha o nga vectors, engari ko te nuinga o nga whakaeke ma te tango me te mokowhiti. He watea enei taputapu mo nga whakaeke kua whaaia, na te mea i te keehi tuatahi, ka taea e nga kaiwhaiwhai te kowhiri i nga waahi ka torohia e te hunga mate, a, i te tuarua, ka taea e ratou te tuku imeera me nga taapiri tika ki nga kaimahi kamupene e hiahiatia ana.
Ka tohatohahia te kino i roto i nga hongere maha, tae atu ki te RIG me te Sundown te whakamahi i nga kete me nga mēra spam, e tohu ana i nga hononga i waenga i te hunga whakaeke me etahi atu kaipatu ipurangi e tuku ana i enei ratonga.
2.1. He pehea te hononga o te RTM me te Buhtrap?
Ko te kaupapa RTM he tino rite ki a Buhtrap. Ko te patai maori: he pehea te hononga o tetahi ki tetahi?
I te marama o Hepetema 2016, i kite matou i tetahi tauira RTM e tohatoha ana ma te whakamahi i te Buhtrap uploader. I tua atu, i kitea e matou nga tiwhikete mamati e rua i whakamahia i roto i te Buhtrap me te RTM.
Ko te tuatahi, e kiia ana i tukuna ki te kamupene DNISTER-M, i whakamahia ki te haina mamati i te puka Delphi tuarua (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) me te Buhtrap DLL (SHA-1: 1E2642C454FDB2F889B6F41116B83A6: 2E4890CXNUMXFXNUMXBXNUMXA XNUMX).
Ko te tuarua, i tukuna ki a Bit-Tredj, i whakamahia hei haina i nga kaieke Buhtrap (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 me B74F71560E48488D2153AE2FB51207A0 me nga waahanga RVTM me te tango.
Ka whakamahi nga kaiwhakahaere RTM i nga tiwhikete e pa ana ki etahi atu whanau kino, engari he tiwhikete ahurei ano ta ratou. E ai ki a ESET telemetry, i tukuna ki Kit-SD ka whakamahia noa ki te haina i etahi RTM malware (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
Ka whakamahia e te RTM te rite ki a Buhtrap, ka utaina nga waahanga RTM mai i te hanganga Buhtrap, no reira he rite nga tohu whatunga o nga roopu. Engari, e ai ki o maatau whakatau, he roopu rereke te RTM me te Buhtrap, na te mea ka tohatohahia te RTM i nga huarahi rereke (kaore i te whakamahi i te "kei" tango noa).
Ahakoa tenei, ka whakamahia e nga roopu hacker nga tikanga whakahaere rite. Ka arohia e ratou nga pakihi e whakamahi ana i nga rorohiko kaute, me te kohikohi i nga korero a te punaha, te rapu i nga kaipānui kaari atamai, me te whakamahi i nga taputapu kino ki te tutei i nga patunga.
3. Putanga
I tenei waahanga, ka titiro tatou ki nga momo momo momo kino i kitea i te wa o te ako.
3.1. Putanga
Ka tiakina e te RTM nga raraunga whirihoranga i roto i te waahanga rehita, ko te waahanga tino pai ko te botnet-prefix. Ko te rarangi o nga uara katoa i kitea e matou i roto i nga tauira i akohia e matou ka whakaatuhia ki te ripanga i raro nei.
Ka taea pea te whakamahi i nga uara ki te tuhi i nga putanga kino. Heoi, karekau matou i kite i te rerekeetanga o nga putanga penei i te bit2 me te bit3, 0.1.6.4 me 0.1.6.6. I tua atu, kua noho tetahi o nga prefix mai i te timatanga, a kua tipu mai i te rohe C&C angamaheni ki te rohe .bit, ka whakaatuhia i raro nei.
3.2. Hōtaka
Ma te whakamahi i nga raraunga waea, i hangaia e matou he kauwhata mo te puta o nga tauira.
4. Te tātari hangarau
I tenei waahanga, ka whakaahuahia e matou nga mahi matua o te Trojan putea RTM, tae atu ki nga tikanga aukati, tana ake putanga o te RC4 algorithm, te kawa whatunga, te mahi torotoro me etahi atu waahanga. Ina koa, ka aro taatau ki nga tauira SHA-1 AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 me 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. Te whakaurunga me te penapena
4.1.1. Te whakatinanatanga
Ko te matua RTM he DLL, ka utaina te whare pukapuka ki runga kōpae ma te whakamahi i te .EXE. I te nuinga o te wa ka kohia te konae kawe me te waehere DLL kei roto. Ina whakarewahia, ka tangohia e ia te DLL ka whakahaere ma te whakamahi i te whakahau e whai ake nei:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. DLL
Ka utaina te DLL matua ki te kōpae hei winlogon.lnk i te kōpaki %PROGRAMDATA%Winlogon. Ko tenei toronga konae e hono ana ki te pokatata, engari ko te konae he DLL i tuhia ki Delphi, ko te ingoa o te kaiwhakawhanake ko core.dll, penei i te whakaahua i raro nei.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Kia whakarewahia, ka whakahohehia e te Torotiana tana tikanga aukati. Ka taea tenei i roto i nga huarahi rereke e rua, i runga i nga painga o te patunga i roto i te punaha. Mena kei a koe nga mana kaiwhakahaere, ka taapirihia e te Torotiana he urunga Whakahoutanga Windows ki te rehita HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun. Ko nga whakahau kei roto i te Windows Update ka haere i te timatanga o te huihuinga a te kaiwhakamahi.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host
Ka ngana ano te Torotiana ki te taapiri i tetahi mahi ki te Kaihōtaka Mahi Windows. Ka whakarewahia e te mahi te winlogon.lnk DLL me nga tawhā rite i runga ake nei. Ko nga mana kaiwhakamahi auau ka taea e te Torotiana te taapiri i tetahi urunga Whakahoutanga Windows me nga raraunga rite ki te rehita HKCUSoftwareMicrosoftWindowsCurrentVersionRun:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Kua whakarereketia te RC4 algorithm
Ahakoa ona ngoikoretanga e mohiotia ana, ko te RC4 algorithm e whakamahia ana e nga kaituhi kino. Heoi, he paku whakarereketia e nga kaihanga o te RTM, tera pea ka uaua ake te mahi a nga kaitirotiro huaketo. Ko te putanga whakarereke o RC4 e whakamahia nuitia ana i roto i nga taputapu RTM kino ki te whakamuna aho, raraunga whatunga, whirihoranga me nga waahanga.
4.2.1. Rerekētanga
Ko te RC4 algorithm taketake e rua nga waahanga: s-poraka arawhiti (aka KSA - Key-Scheduling Algorithm) me te pseudo-tupurangi te whakaputanga raupapa (PRGA - Pseudo-Random Generation Algorithm). Ko te waahanga tuatahi ko te arawhiti i te pouaka-s ma te whakamahi i te matua, a, i te waahanga tuarua ka tukatukahia te tuhinga puna ma te whakamahi i te pouaka-s mo te whakamunatanga.
I taapirihia e nga kaituhi RTM tetahi taahiraa takawaenga i waenga i te arataki pouaka-s me te whakamunatanga. Ko te taviri taapiri he rerekee, ka whakatauhia i te wa ano me nga raraunga hei whakamunatia me te wetemuna. Ko te mahi e mahi ana i tenei taahiraa taapiri e whakaatuhia ana i te ahua i raro nei.
4.2.2. Whakamunatanga aho
I te titiro tuatahi, he maha nga rarangi panui kei roto i te DLL matua. Ko te toenga kei te whakamunatia ma te whakamahi i te algorithm i whakaahuahia i runga ake nei, ko te hanganga e whakaatuhia ana i te ahua e whai ake nei. I kitea e matou neke atu i te 25 nga taviri RC4 rereke mo te whakamunatanga aho i roto i nga tauira kua tātarihia. He rereke te taviri XOR mo ia rarangi. Ko 0xFFFFFFFF tonu te uara o te mara tauwehe raina.
I te timatanga o te mahi, ka wetewetehia e te RTM nga aho hei taurangi ao. I te wa e tika ana ki te uru atu ki tetahi aho, ka tataia e te Torotiana te wahitau o nga aho wetemuna i runga i te wahitau turanga me te taapiri.
Kei roto i nga aho nga korero whakamere mo nga mahi a te malware. Ko etahi tauira aho kei te Wāhanga 6.8.
4.3. Whatunga
He rereke te ahua o te RTM malware ki te tūmau C&C mai i te putanga ki te putanga. Ko nga whakarereketanga tuatahi (Oketopa 2015 - Paenga-whāwhā 2016) i whakamahia nga ingoa rohe tuku iho me te whangai RSS i runga i te livejournal.com hei whakahou i te rarangi o nga whakahau.
Mai i te Paenga-whāwhā 2016, kua kite matou i te neke ki nga rohe .bit i roto i nga raraunga waea. Ka whakamanahia tenei e te ra rehitatanga rohe - i rehitatia te rohe RTM tuatahi fde05d0573da.bit i te Maehe 13, 2016.
Ko nga URL katoa i kitea e matou i te wa e tirotirohia ana te kaupapa he huarahi noa: /r/z.php. He mea rerekee ka awhina i te tautuhi i nga tono RTM i nga rerenga whatunga.
4.3.1. Te hongere mo nga whakahau me te whakahaere
Ko nga tauira tuku iho i whakamahi i tenei hongere ki te whakahou i ta raatau rarangi o nga kaiwhakarato whakahau me te whakahaere. Ko te manaaki kei te livejournal.com, i te wa i tuhia ai te ripoata i noho tonu ki te URL hxxp://f72bba81c921(.)livejournal(.)com/ data/rss.
Ko Livejournal he kamupene Rūhia-Amerika e whakarato ana i te paparangi rangitaki. Ka hangaia e nga kaiwhakahaere RTM he rangitaki LJ e whakairihia ana he tuhinga me nga whakahau kua tohua - tirohia te whakaahua.
Ka whakawaeheretia nga raina whakahau me te mana whakahaere ma te whakamahi i te huringa RC4 algorithm (Wahanga 4.2). Kei roto i te putanga o naianei (Noema 2016) o te hongere nga wahitau tūmau whakahau me te mana whakahaere:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. .bit rohe
I te nuinga o nga tauira RTM, ka hono nga kaituhi ki nga rohe C&C ma te whakamahi i te rohe taumata-runga .bit TLD. Kaore i te rarangi ICANN (Ingoa Rohe me te Kaporeihana Ipurangi) o nga rohe taumata-runga. Engari, ka whakamahia e ia te punaha Namecoin, i hangaia i runga ake o te hangarau Bitcoin. Ko nga kaituhi Malware e kore e whakamahi i te .bit TLD mo o raatau rohe, ahakoa he tauira o taua whakamahinga kua kitea i mua i te putanga o te botnet Necurs.
Kaore i rite ki a Bitcoin, ko nga kaiwhakamahi o te Namecoin kua tohatohahia he kaha ki te tiaki raraunga. Ko te tono matua o tenei ahuatanga ko te rohe taumata-runga .bit. Ka taea e koe te rehita i nga rohe ka penapena ki roto i te putunga korero kua tohatohahia. Kei roto i nga whakaurunga e pa ana ki te paataka raraunga nga wahitau IP kua whakatauhia e te rohe. Ko tenei TLD he "aukati-aukati" na te mea ka taea e te kairēhita anake te whakarereke i te whakataunga o te rohe .bit. Ko te tikanga he uaua ake te aukati i tetahi rohe kino ma te whakamahi i tenei momo TLD.
Ko te RTM Trojan e kore e whakauru i te rorohiko e tika ana hei panui i te putunga Namecoin kua tohatohahia. Ka whakamahia e ia nga tūmau DNS matua penei i te dns.dot-bit.org, OpenNic ranei hei whakatau i nga rohe .bit. Na reira, he rite tonu te roa ki nga tūmau DNS. I kite matou kua kore e kitea etahi rohe kapa i muri i te whakahuatanga i roto i te panui rangitaki.
Ko tetahi atu painga o te .bit TLD mo nga kaiwhaiwhai he utu. Hei rehita i tetahi rohe, me utu e nga kaiwhakahaere te 0,01 NK anake, e rite ana ki te $0,00185 (mai i te Hakihea 5, 2016). Hei whakataurite, he $10 te utu mo te domain.com.
4.3.3. Kawa
Hei whakawhitiwhiti korero ki te tūmau whakahau me te mana whakahaere, ka whakamahi a RTM i nga tono HTTP POST me nga raraunga kua whakahōputuhia ma te whakamahi i te kawa ritenga. Ko te uara ara he /r/z.php i nga wa katoa; Kaitohu kaiwhakamahi Mozilla/5.0 (hototahi; MSIE 9.0; Windows NT 6.1; Trident/5.0). I roto i nga tono ki te tūmau, ka whakahōputuhia nga raraunga e whai ake nei, kei te whakaatuhia nga uara o te utu i roto i nga paita:
Ko nga Paita 0 ki te 6 kaore i te whakawaeheretia; paita timata mai i te 6 ka whakawaeheretia ma te whakamahi i te RC4 algorithm. He maamaa ake te hanganga o te kete urupare C&C. Ka whakawaeheretia nga Paita mai i te 4 ki te rahi o te paatete.
Ko te rarangi o nga uara paita mahi ka taea te whakaatu i te ripanga i raro nei:
Ka tatauhia e te malware te CRC32 o nga raraunga wetemuna me te whakataurite ki nga mea kei roto i te kete. Mena ka rereke, ka tukuna e te Torotiana te putea.
He maha nga mea kei roto i nga raraunga taapiri, tae atu ki te konae PE, he konae hei rapu i te punaha konae, he URL whakahau hou ranei.
4.3.4. Paewhiri
I kite matou kei te whakamahi a RTM i tetahi panui i runga i nga tūmau C&C. Whakaahuamata i raro:
4.4. Tohu tohu
Ko te RTM he Torotiana putea putea. Ehara i te mea miharo ka hiahia nga kaiwhakahaere ki nga korero mo te punaha o te patunga. I tetahi taha, ka kohia e te bot nga korero whanui mo te OS. I tetahi atu taha, ka kitea mehemea kei roto i te punaha whakaraerae nga huanga e pa ana ki nga punaha putea mamao a Ruhia.
4.4.1. nga korero whanui
Ina whakauruhia, ka whakarewahia ranei te malware i muri i te whakaara ano, ka tukuna he purongo ki te tūmau whakahau me te mana whakahaere kei roto nga korero whanui tae atu ki:
- Rohewā;
- reo pūnaha taunoa;
- tohu tohu kaiwhakamahi whai mana;
- taumata tapatahi tukanga;
- Ingoa Kaiwhakamahi;
- ingoa rorohiko;
- Putanga OS;
- etahi atu waahanga kua whakauruhia;
- kua whakauruhia he kaupapa wheori;
- rarangi o nga kaipanui kaari atamai.
4.4.2 Pūnaha putea mamao
Ko te whainga Torotiana angamaheni he punaha putea mamao, a ko te RTM he mea rereke. Ko tetahi o nga waahanga o te papatono e kiia ana ko TBdo, he maha nga mahi, tae atu ki te matawai kōpae me te hitori tirotiro.
Ma te matawai i te kōpae, ka tirohia e te Torotiana mena kua whakauruhia te rorohiko putea ki runga i te miihini. Ko te rarangi katoa o nga kaupapa e whaaia ana kei te ripanga i raro nei. I te kitenga o tetahi konae whai paanga, ka tukuna e te papatono nga korero ki te tūmau whakahau. Ko nga mahi ka whai ake ka whakawhirinaki ki te arorau kua tohua e te pokapū whakahau (C&C) algorithms.
Kei te rapu hoki a RTM i nga tauira URL i to hitori tirotiro me nga ripa tuwhera. I tua atu, ka tirotirohia e te papatono te whakamahinga o nga mahi FindNextUrlCacheEntryA me FindFirstUrlCacheEntryA, me te tirotiro hoki i ia urunga kia rite ki te URL ki tetahi o nga tauira e whai ake nei:
I te kitenga o nga ripa tuwhera, ka whakapā atu te Torotiana ki a Internet Explorer, ki a Firefox ranei na roto i te mahi Dynamic Data Exchange (DDE) ki te tirotiro mena e rite ana te ripa ki te tauira.
Ko te tirotiro i to hitori tirotiro me nga ripa tuwhera ka mahia i roto i te kopiko WHILE (he kopae me te whakaritenga o mua) me te 1 te rua o te wehenga i waenga i nga arowhai. Ko etahi atu raraunga ka aroturukihia i roto i te waa tuuturu ka korerohia i te waahanga 4.5.
Mena ka kitea he tauira, ka ripoatahia e te papatono ki te tūmau whakahau ma te whakamahi i te rarangi aho mai i te ripanga e whai ake nei:
4.5 Aroturuki
I te wa e rere ana te Torotiana, ka tukuna nga korero mo nga ahuatanga o te punaha kua pangia (tae atu ki nga korero mo te waahi o te rorohiko putea) ka tukuna ki te kaimau whakahau me te whakahaere. Ka puta te matimati i te wa tuatahi ka whakahaere a RTM i te punaha aroturuki i muri tonu i te karapa OS tuatahi.
4.5.1. Peeke mamao
Ko te kōwae TBdo hoki te kawenga mo te aro turuki i nga tukanga e pa ana ki te peeke. Ka whakamahia te whakawhiti raraunga hihiri ki te tirotiro i nga ripa i Firefox me Internet Explorer i te wa o te karapa tuatahi. Ko tetahi atu waahanga TShell ka whakamahia hei aroturuki i nga matapihi whakahau (Internet Explorer, File Explorer ranei).
Ka whakamahia e te kōwae nga atanga COM IShellWindows, iWebBrowser, DWebBrowserEvents2 me IConnectionPointContainer hei aroturuki i nga matapihi. Ina whakatere te kaiwhakamahi ki tetahi wharangi paetukutuku hou, ka kite te malware i tenei. Ka whakatauritehia te URL wharangi me nga tauira o runga ake nei. Ka kitea he tukinga, ka tangohia e te Torotiana nga whakaahua e ono karapīpiti me te 5 hēkona te wā ka tukuna ki te tūmau whakahau C&S. Ka tirohia ano e te papatono etahi ingoa matapihi e pa ana ki te rorohiko putea - kei raro te rarangi katoa:
4.5.2. Kaari atamai
Ka taea e RTM te aro turuki i nga kaipanui kaari atamai e hono ana ki nga rorohiko kua pangia. Ka whakamahia enei taputapu ki etahi whenua hei whakatikatika i nga ota utu. Mena ka piri tenei momo taputapu ki te rorohiko, ka tohu pea ki tetahi Torotiana kei te whakamahia te miihini mo nga whakawhitinga putea.
Kaore i rite ki etahi atu Trojans putea, kaore e taea e RTM te taunekeneke me nga kaari atamai pera. Tena pea kua whakauruhia tenei mahi ki roto i tetahi waahanga taapiri kaore ano kia kitea e matou.
4.5.3. Keylogger
Ko tetahi waahanga nui o te aro turuki i te PC kua pangia ko te hopu i nga patene. Te ahua nei kaore nga kaiwhakawhanake RTM e ngaro ana i nga korero, na te mea ka aro turuki ratou ehara i te mea ko nga taviri noa, engari ko te papapātuhi mariko me te papatopenga.
Hei mahi i tenei, whakamahia te mahi SetWindowsHookExA. Ka tuhia e te hunga whakaeke nga taviri kua pehia, nga taviri e pa ana ki te papapātuhi mariko, me te ingoa me te ra o te hotaka. Kātahi ka tukuna te pūreirei ki te tūmau whakahau C&C.
Ka whakamahia te mahi SetClipboardViewer ki te haukoti i te papatopenga. Ka tuhia e nga kaiwhaiwhai nga ihirangi o te papatopenga ina he tuhinga te raraunga. Ka tuhia hoki te ingoa me te ra i mua i te tukunga o te parapare ki te tūmau.
4.5.4. Whakaahuamata
Ko tetahi atu mahi RTM ko te hopu whakaahua. Ka whakamahia te ahuatanga ina kitea e te waahanga aroturuki matapihi he waahi, he rorohiko putea ranei e pai ana. Ka tangohia nga whakaahua ma te whakamahi i te whare pukapuka o nga whakaahua whakairoiro ka whakawhitia ki te tūmau whakahau.
4.6. Tangotanga
Ka taea e te tūmau C&C te aukati i te kino ki te rere me te horoi i to rorohiko. Ma te whakahau ka taea e koe te whakakore i nga konae me nga urunga rehita i hangaia i te wa e rere ana te RTM. Ka whakamahia te DLL ki te tango i te malware me te konae winlogon, ka mutu ka kati te whakahau i te rorohiko. Ka rite ki te whakaaturanga i raro nei, ka tangohia te DLL e nga kaihanga ma te whakamahi erase.dll.
Ka taea e te tūmau te tuku ki te Torotiana he whakahau tango-maukati kino. I tenei keehi, mena kei a koe nga mana kaiwhakahaere, ka mukua e RTM te rangai whawhai MBR i runga i te puku pakeke. Mena ka rahua tenei, ka ngana te Torotiana ki te huri i te waahanga whawhai MBR ki tetahi waahanga matapōkere - ka kore e taea e te rorohiko te whakaara i te OS i muri i te katinga. Ka taea e tenei te arahi ki te whakaurunga katoa o te OS, ko te tikanga ko te whakangaromanga o nga taunakitanga.
Ki te kore he mana whakahaere, ka tuhia e te malware he .EXE kua whakawaeheretia ki te RTM DLL. Ka mahia e te kaikawe te waehere e tika ana hei kati i te rorohiko me te rehita i te kōwae ki te kī rēhita HKCUCurrentVersionRun. I nga wa katoa ka timata te kaiwhakamahi i tetahi huihuinga, ka tutakina tonu te rorohiko.
4.7. Ko te kōnae whirihoranga
Ma te taunoa, karekau he konae whirihoranga a RTM, engari ka taea e te kaimau whakahau me te mana whakahaere te tuku uara whirihoranga ka penapena ki te rehita ka whakamahia e te kaupapa. Ko te rarangi o nga taviri whirihoranga kua whakaatuhia ki te ripanga i raro nei:
Kei te rongoa te whirihoranga ki te matua rehita Pūmanawa[Pseudo-tupurangi]. He rite ia uara ki tetahi o nga rarangi e whakaatuhia ana i te ripanga o mua. Ko nga uara me nga raraunga ka whakawaeheretia ma te whakamahi i te RC4 algorithm i RTM.
He rite tonu te hanganga o nga raraunga ki te whatunga, ki nga aho ranei. Ka taapirihia he taviri XOR e wha-paita i te timatanga o nga raraunga kua whakawaeheretia. Mo nga uara whirihoranga, he rereke te taviri XOR ka whakawhirinaki ki te rahi o te uara. Ka taea te tatau penei:
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)
4.8. Ētahi atu mahi
Ka mutu, me titiro ki etahi atu mahi e tautokohia ana e te RTM.
4.8.1. Ko nga waahanga taapiri
Kei roto i te Torotiana etahi atu waahanga, he konae DLL. Ko nga waahanga ka tukuna mai i te tūmau whakahau C&C ka taea te mahi hei kaupapa o waho, ka whakaatuhia ki te RAM ka whakarewahia ki nga miro hou. Mo te rokiroki, ka tiakina nga waahanga ki roto i nga konae .dtt ka whakawaeheretia ma te whakamahi i te RC4 algorithm me te taviri rite mo nga whakawhitiwhiti whatunga.
I tenei wa kua kite matou i te whakaurunga o te waahanga VNC (8966319882494077C21F66A8354E2CBCA0370464), te waahanga tango raraunga tirotiro (03DE8622BE6B2F75A364A275995C3411626C4C9D1F_2C1D562E1B69B) me te _6D58E88753B7B FC0FBA3 B4BEXNUMXDXNUMXBXNUMXEXNUMXCFAB).
Hei uta i te kōwae VNC, ka tukuna e te tūmau C&C he whakahau e tono hononga ana ki te tūmau VNC i tetahi wāhitau IP motuhake i runga i te tauranga 44443. Ko te mono tango raraunga tirotiro ka mahia te TBrowserDataCollector, ka taea te panui i te hitori tirotiro IE. Na ka tukuna te rarangi katoa o nga URL kua torohia ki te tūmau whakahau C&C.
Ko te kōwae whakamutunga i kitea ko 1c_2_kl. Ka taea e ia te taunekeneke me te kohinga rorohiko 1C Enterprise. E rua nga waahanga o te waahanga: ko te waahanga matua - DLL me nga kaihoko e rua (32 me te 64 bit), ka werohia ki ia tukanga, ka rehitatia he here ki te WH_CBT. Kua whakauruhia ki roto i te tukanga 1C, ka herea e te kōwae nga mahi CreateFile me WriteFile. I nga wa katoa ka karangahia te mahi herea CreateFile, ka penapenahia e te kōwae te ara konae 1c_to_kl.txt ki te mahara. I muri i te haukoti i te waea Tuhituhi, ka karangahia te mahi WriteFile me te tuku i te ara konae 1c_to_kl.txt ki te waahanga DLL matua, ka tukuna te karere Windows WM_COPYDATA i hangaia.
Ko te kōwae DLL matua ka tuwhera me te poroporoaki i te konae hei whakatau i nga ota utu. Ka mohio ki te nui me te tau tauwhitinga kei roto i te konae. Ka tukuna enei korero ki te tūmau whakahau. E whakapono ana matou kei te whanakehia tenei waahanga na te mea kei roto he karere patuiro kaore e taea te whakarereke aunoa i te 1c_to_kl.txt.
4.8.2. Te whakanui i te mana
Ka ngana pea a RTM ki te whakanui ake i nga mana ma te whakaatu i nga karere hapa teka. Ka whakatauirahia e te malware he haki rehitatanga (tirohia te pikitia i raro nei) ka whakamahi ranei i tetahi tohu etita rehita tuuturu. Kia mahara ki te tatari hapa o te takikupu – whait. I muri i etahi hēkona o te matawai, ka whakaatu te papatono i te karere hapa teka.
Ko te karere teka ka ngawari ki te tinihanga i te kaiwhakamahi toharite, ahakoa nga hapa wetereo. Mena ka pao te kaiwhakamahi ki tetahi o nga hononga e rua, ka ngana a RTM ki te whakanui ake i ona mana ki te punaha.
I muri i te kowhiri i tetahi o nga whiringa whakaora e rua, ka whakarewahia e te Torotiana te DLL ma te whakamahi i te whiringa runas i roto i te mahi ShellExecute me nga mana whakahaere. Ka kite te kaiwhakamahi i te tere Windows tūturu (tirohia te whakaahua i raro nei) mo te teitei. Mena ka tukuna e te kaiwhakamahi nga whakaaetanga e tika ana, ka rere te Torotiana me nga mana whakahaere.
I runga i te reo taunoa kua whakauruhia ki runga i te punaha, ka whakaatuhia e te Torotiana nga karere hapa i roto i te reo Russian me te reo Ingarihi.
4.8.3. Tiwhikete
Ka taea e RTM te taapiri i nga tiwhikete ki te Toa Windows me te whakau i te pono o te taapiri ma te panui aunoa i te paatene "ae" i te pouaka korero csrss.exe. Ehara i te mea hou tenei whanonga; hei tauira, ko te Trojan Retefe te peeke e whakamana ana i te whakaurunga o tetahi tiwhikete hou.
4.8.4. Hononga whakamuri
I hanga ano e nga kaituhi RTM te tunnel TCP Backconnect. Kare ano matou kia kite i te ahuatanga e whakamahia ana, engari he mea hoahoa ki te mataki mamao i nga PC kua pangia.
4.8.5. Whakahaere kōnae manaaki
Ka taea e te tūmau C&C te tuku tono ki te Torotiana ki te whakarereke i te konae kaihautu Windows. Ka whakamahia te konae kaihautu ki te hanga whakatau ritenga DNS.
4.8.6. Kimihia ka tukuna he kōnae
Ka tono pea te tūmau ki te rapu me te tango i tetahi konae kei runga i te punaha kua pangia. Hei tauira, i te wa o te rangahau i tae mai he tono mo te konae 1c_to_kl.txt. Ka rite ki nga korero o mua, na te punaha kaute 1C: Enterprise 8 tenei konae i hanga.
4.8.7. Whakahou
Ka mutu, ka taea e nga kaituhi RTM te whakahou i te rorohiko ma te tuku DLL hou hei whakakapi i te putanga o naianei.
5. Whakamutunga
Ko nga rangahau a RTM e whakaatu ana ko te punaha peeke a Ruhia kei te kukume tonu i nga kaiwhaiwhai ipurangi. Ko nga roopu penei i a Buhtrap, Corkow me Carbanak i angitu te tahae moni mai i nga umanga putea me o raatau kaihoko i Russia. He kaitakaro hou a RTM ki tenei umanga.
Kua whakamahia nga taputapu RTM kino mai i te mutunga o te tau 2015, e ai ki te waea a ESET. He maha nga kaha o te kaupapa torotoro, tae atu ki te panui i nga kaari atamai, te haukoti i nga paatene me te aro turuki i nga whakawhitinga putea, me te rapu i nga konae kawe waka 1C: Enterprise 8.
Ko te whakamahi i te rohe taumata-runga .bit kua whakahekehia, karekau i te tirotirohia, ka whakapumau i nga hanganga tino pakari.
Source: will.com