Оросын компаниудаас мөнгө хулгайлах чиглэлээр мэргэшсэн хэд хэдэн кибер бүлгүүд байдаг. Зорилтот сүлжээнд нэвтрэх боломжийг олгодог хамгаалалтын цоорхойг ашиглан халдлагуудыг бид харсан. Халдагчид хандсаны дараа байгууллагын сүлжээний бүтцийг судалж, мөнгө хулгайлахын тулд өөрсдийн хэрэгслийг ашигладаг. Энэ чиг хандлагын сонгодог жишээ бол Buhtrap, Cobalt, Corkow зэрэг хакерын бүлгүүд юм.
Энэхүү тайланд анхаарлаа хандуулж буй RTM бүлэг нь энэ чиг хандлагын нэг хэсэг юм. Энэ нь Delphi-д бичигдсэн тусгайлан боловсруулсан хортой програмыг ашигладаг бөгөөд бид үүнийг дараагийн хэсгүүдэд илүү дэлгэрэнгүй авч үзэх болно. ESET телеметрийн систем дэх эдгээр хэрэгслүүдийн анхны ул мөрийг 2015 оны сүүлээр илрүүлсэн. Багийнхан шаардлагатай бол халдвар авсан системд янз бүрийн шинэ модулиудыг ачаалдаг. Энэхүү халдлагууд нь Орос болон хөрш зэргэлдээ зарим орнуудын алсын банкны системийн хэрэглэгчдэд чиглэсэн байна.
1. Зорилтууд
RTM кампанит ажил нь корпорацийн хэрэглэгчдэд зориулагдсан байдаг - энэ нь халдагчид эвдэрсэн системд илрүүлэхийг оролддог процессуудаас тодорхой харагдаж байна. Алсын зайнаас банкны системтэй ажиллах нягтлан бодох бүртгэлийн програм хангамжид анхаарлаа хандуулдаг.
RTM-ийг сонирхож буй үйл явцын жагсаалт нь Buhtrap бүлгийн харгалзах жагсаалттай төстэй боловч бүлгүүд нь өөр өөр халдвар тээгчтэй байдаг. Хэрэв Buhtrap хуурамч хуудсуудыг илүү олон удаа ашигладаг байсан бол RTM нь drive-by download халдлага (хөтөч эсвэл түүний бүрэлдэхүүн хэсгүүдийн халдлага) болон имэйлээр спам илгээдэг байсан. Телеметрийн мэдээгээр аюул занал нь Орос болон ойролцоох хэд хэдэн улс (Украйн, Казахстан, Чех, Герман) руу чиглэж байна. Гэсэн хэдий ч масс түгээлтийн механизмыг ашигласнаар зорилтот бүс нутгаас гадуур хортой програм илрүүлэх нь гайхмаар зүйл биш юм.
Хортой програм илрүүлсэн нийт тоо харьцангуй бага байна. Нөгөөтэйгүүр, RTM кампанит ажил нь нарийн төвөгтэй програмуудыг ашигладаг бөгөөд энэ нь халдлага нь маш их чиглэсэн болохыг харуулж байна.
Бид RTM-д ашиглагдаж байсан хэд хэдэн хууран мэхлэх баримт бичгүүдийг илрүүлсэн, үүнд байхгүй гэрээ, нэхэмжлэх, татварын нягтлан бодох бүртгэлийн баримт бичиг. Довтолгооны шинж чанар нь халдлагад чиглэсэн програм хангамжийн төрөлтэй хослуулан халдагчид нягтлан бодох бүртгэлийн хэлтсээр дамжуулан Оросын компаниудын сүлжээнд "нэвтэрч" байгааг харуулж байна. Бүлэг ижил схемийн дагуу ажилласан 2014-2015 онд
Судалгааны явцад бид хэд хэдэн C&C серверүүдтэй харилцах боломжтой болсон. Бид дараах хэсгүүдэд командуудын бүрэн жагсаалтыг жагсаах болно, гэхдээ одоогоор бид үйлчлүүлэгч нь keylogger-аас өгөгдлийг шууд халдлага хийх сервер рүү шилжүүлж, нэмэлт тушаалуудыг хүлээн авдаг гэж хэлж болно.
Гэсэн хэдий ч, та зүгээр л команд, удирдлагын серверт холбогдож, сонирхож байсан бүх мэдээллээ цуглуулж чаддаг байсан үе өнгөрсөн. Бид серверээс холбогдох тушаалуудыг авахын тулд бодит бүртгэлийн файлуудыг дахин үүсгэсэн.
Тэдгээрийн эхнийх нь RTM-ээр идэвхтэй хянагддаг 1C: Enterprise 1 програмын тээврийн файл болох 8c_to_kl.txt файлыг шилжүүлэх ботоос хүсэлт юм. 1С нь гарч буй төлбөрийн мэдээллийг текст файлд байршуулах замаар алсын банкны системтэй харилцдаг. Дараа нь төлбөрийн даалгаврыг автоматжуулах, гүйцэтгэх зорилгоор файлыг алсын банкны системд илгээдэг.
Файл нь төлбөрийн дэлгэрэнгүй мэдээллийг агуулна. Хэрэв халдагчид гарч буй төлбөрийн талаарх мэдээллийг өөрчилвөл халдагч этгээдийн данс руу хуурамч мэдээлэл ашиглан шилжүүлгийг илгээнэ.
Команд болон удирдлагын серверээс эдгээр файлыг хүссэнээс хойш сар орчмын дараа бид 1c_2_kl.dll гэсэн шинэ залгаасыг эвдэрсэн системд ачаалж байгааг ажиглав. Модуль (DLL) нь нягтлан бодох бүртгэлийн програм хангамжийн процессыг нэвтлэн татаж авах файлыг автоматаар шинжлэхэд зориулагдсан. Бид үүнийг дараагийн хэсгүүдэд дэлгэрэнгүй тайлбарлах болно.
Сонирхуулахад, ОХУ-ын Банкны FinCERT 2016 оны сүүлээр 1c_to_kl.txt файл байршуулах цахим гэмт хэрэгтнүүдийн талаар сэрэмжлүүлэг гаргажээ. 1С-ийн хөгжүүлэгчид энэ схемийн талаар мэддэг бөгөөд тэд аль хэдийн албан ёсны мэдэгдэл хийж, урьдчилан сэргийлэх арга хэмжээг жагсаасан байна.
Бусад модулиудыг тушаалын серверээс, тухайлбал VNC (түүний 32 ба 64 битийн хувилбарууд) дээрээс ачаалсан. Энэ нь өмнө нь Dridex Trojan халдлагад ашиглагдаж байсан VNC модультай төстэй юм. Энэ модуль нь халдвар авсан компьютерт алсаас холбогдож, системийн нарийвчилсан судалгаа хийхэд ашиглагддаг. Дараа нь халдагчид сүлжээг тойрон хөдөлж, хэрэглэгчийн нууц үгийг задалж, мэдээлэл цуглуулж, хортой програм байнга байгаа эсэхийг баталгаажуулахыг хичээдэг.
2. Халдварын векторууд
Дараах зурагт кампанит ажлын судалгааны хугацаанд илэрсэн халдварын дамжуулагчийг харуулав. Энэ бүлэг нь өргөн хүрээний векторуудыг ашигладаг боловч голчлон хөтөчөөр татаж авах халдлага, спам. Эдгээр хэрэгслүүд нь зорилтот халдлагад тохиромжтой, учир нь эхний тохиолдолд халдагчид болзошгүй хохирогчдын зочилсон сайтуудыг сонгож, хоёрдугаарт хавсралт бүхий имэйлийг хүссэн компанийн ажилтнууд руу шууд илгээх боломжтой.
Хортой программыг RIG болон Sundown ашиглах иж бүрдэл эсвэл спам шуудан зэрэг олон сувгаар түгээдэг нь халдагчид болон эдгээр үйлчилгээг санал болгож буй бусад кибер халдлага үйлдэгчид хоорондын холболтыг харуулж байна.
2.1. RTM болон Buhtrap ямар холбоотой вэ?
RTM кампанит ажил нь Buhtrap-тай маш төстэй юм. Байгалийн асуулт бол: тэд хоорондоо ямар холбоотой вэ?
2016 оны XNUMX-р сард бид RTM дээжийг Buhtrap байршуулагч ашиглан тарааж байгааг ажигласан. Нэмж дурдахад бид Buhtrap болон RTM-д ашигласан хоёр дижитал гэрчилгээг олсон.
DNISTER-M компанид олгосон гэх эхнийх нь Delphi-ийн хоёр дахь маягт (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) болон Buhtrap DLL (SHA-1: 1E2642BACC454B)-д дижитал гарын үсэг зурахад ашигласан. D2).
Bit-Tredj-д олгосон хоёр дахь нь Buhtrap ачигчийг (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 ба B74F71560E48488D2153AE2FB51207A0) суулгаж, R206FB2AXNUMX бүрэлдэхүүн хэсгүүдийг суулгаж, мөн татаж авахад ашигласан.
RTM операторууд бусад хортой програм хангамжийн гэр бүлд түгээмэл байдаг сертификатуудыг ашигладаг боловч өвөрмөц гэрчилгээтэй байдаг. ESET телеметрийн дагуу үүнийг Kit-SD-д олгосон бөгөөд зөвхөн RTM хортой программ (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6) гарын үсэг зурахад ашигласан.
RTM нь Buhtrap-тай ижил ачигчийг ашигладаг, RTM бүрэлдэхүүн хэсгүүдийг Buhtrap дэд бүтцээс ачаалдаг тул бүлгүүд нь ижил төстэй сүлжээний үзүүлэлттэй байдаг. Гэсэн хэдий ч, бидний тооцоолсноор, RTM болон Buhtrap нь өөр өөр бүлгүүд юм, учир нь RTM нь өөр өөр хэлбэрээр тархсан байдаг (зөвхөн "гадаадын" татаж авах програмыг ашигладаггүй).
Гэсэн хэдий ч хакерын бүлгүүд ижил төстэй үйл ажиллагааны зарчмуудыг ашигладаг. Тэд нягтлан бодох бүртгэлийн программ хангамж ашиглаж, системийн мэдээлэл цуглуулж, смарт карт уншигч хайж, хохирогчдыг тагнаж чагнахын тулд олон төрлийн хорлонтой хэрэгслийг ашигладаг.
3. Хувьсал
Энэ хэсэгт бид судалгааны явцад илэрсэн хортой програмын янз бүрийн хувилбаруудыг авч үзэх болно.
3.1. Хувилбар хийх
RTM нь тохиргооны өгөгдлийг бүртгэлийн хэсэгт хадгалдаг бөгөөд хамгийн сонирхолтой хэсэг нь botnet-prefix юм. Бидний судалсан дээжээс харсан бүх утгуудын жагсаалтыг доорх хүснэгтэд үзүүлэв.
Энэ утгыг хортой програмын хувилбарыг бүртгэхэд ашиглаж болох юм. Гэхдээ бид бит2 ба бит3, 0.1.6.4, 0.1.6.6 зэрэг хувилбаруудын хооронд нэг их ялгаа байгааг анзаарсангүй. Түүнчлэн угтваруудын нэг нь анхнаасаа байсаар ирсэн бөгөөд ердийн C&C домэйноос .bit домэйн болж өөрчлөгдсөнийг доор үзүүлнэ.
3.2. Хуваарь
Телеметрийн өгөгдлийг ашиглан бид дээжийн тохиолдлын графикийг үүсгэв.
4. Техникийн шинжилгээ
Энэ хэсэгт бид RTM банкны Трояны үндсэн чиг үүрэг, үүнд эсэргүүцлийн механизм, RC4 алгоритмын өөрийн хувилбар, сүлжээний протокол, тагнуулын ажиллагаа болон бусад зарим функцуудыг тайлбарлах болно. Ялангуяа бид AA1FA0CE4584768E9D16D67C8E529233FF99BBF1 болон 0BC48EC113BA8B20B8CD80D5DA4A92051D19B SHA-1032 дээжид анхаарлаа хандуулах болно.
4.1. Суулгах, хадгалах
4.1.1. Хэрэгжилт
RTM цөм нь DLL бөгөөд номын санг .EXE ашиглан дискэнд ачаалдаг. Гүйцэтгэгдэх файл нь ихэвчлэн багцлагдсан бөгөөд DLL код агуулдаг. Нэгэнт ажиллуулсны дараа DLL-г задалж дараах тушаалыг ашиглан ажиллуулна:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. DLL
Үндсэн DLL нь %PROGRAMDATA%Winlogon хавтсанд winlogon.lnk нэрээр үргэлж дискэнд ачаалагддаг. Энэ файлын өргөтгөл нь ихэвчлэн товчлолтой холбоотой байдаг ч үнэндээ доорх зурагт үзүүлсэн шиг хөгжүүлэгчийн core.dll гэж нэрлэсэн Delphi дээр бичигдсэн DLL файл юм.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Троян ажиллуулсны дараа эсэргүүцлийн механизмаа идэвхжүүлдэг. Хохирогчийн систем дэх давуу эрхээс хамааран үүнийг хоёр өөр аргаар хийж болно. Хэрэв танд администраторын эрх байгаа бол Trojan нь HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun бүртгэлд Windows Update оруулгыг нэмдэг. Windows Update-д байгаа командууд нь хэрэглэгчийн сессийн эхэнд ажиллах болно.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject хост
Троян нь Windows Task Scheduler-д даалгавар нэмэхийг оролддог. Даалгавар нь дээрхтэй ижил параметртэй winlogon.lnk DLL-г эхлүүлэх болно. Тогтмол хэрэглэгчийн эрх нь троян нь HKCUSoftwareMicrosoftWindowsCurrentVersionRun бүртгэлд ижил өгөгдөл бүхий Windows Update оруулгыг нэмэх боломжийг олгодог:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Өөрчлөгдсөн RC4 алгоритм
Мэдэгдэж буй дутагдалтай хэдий ч RC4 алгоритмыг хортой програм зохиогчид тогтмол ашигладаг. Гэсэн хэдий ч RTM-ийг бүтээгчид вирусын шинжээчдийн ажлыг улам хүндрүүлэхийн тулд үүнийг бага зэрэг өөрчилсөн байх. RC4-ийн өөрчилсөн хувилбар нь мөр, сүлжээний өгөгдөл, тохиргоо, модулиудыг шифрлэх хортой RTM хэрэгслүүдэд өргөн хэрэглэгддэг.
4.2.1. Ялгаа
Анхны RC4 алгоритм нь хоёр үе шатыг агуулдаг: s-блок эхлүүлэх (KSA - Түлхүүр хуваарь гаргах алгоритм) болон псевдо санамсаргүй дараалал үүсгэх (PRGA - Pseudo-Random Generation Algorithm). Эхний шатанд түлхүүрийг ашиглан s-хайрцагыг эхлүүлэх, хоёр дахь шатанд эх текстийг шифрлэх зорилгоор s-box ашиглан боловсруулдаг.
RTM зохиогчид s-box эхлүүлэх болон шифрлэлтийн хоорондох завсрын алхамыг нэмсэн. Нэмэлт түлхүүр нь хувьсах чадвартай бөгөөд шифрлэх, тайлах өгөгдөлтэй нэгэн зэрэг тохируулагдана. Энэхүү нэмэлт алхмыг гүйцэтгэх функцийг доорх зурагт үзүүлэв.
4.2.2. Мөр шифрлэлт
Эхлээд харахад үндсэн DLL дотор хэд хэдэн унших боломжтой мөрүүд байдаг. Үлдсэн хэсэг нь дээр дурдсан алгоритмыг ашиглан шифрлэгдсэн бөгөөд түүний бүтцийг дараах зурагт үзүүлэв. Шинжилсэн дээжээс бид 25 гаруй өөр өөр RC4 стринг шифрлэх түлхүүрүүдийг олсон. XOR товчлуур нь мөр бүрт өөр өөр байдаг. Мөрүүдийг тусгаарлах тоон талбарын утга нь үргэлж 0xFFFFFFFF байна.
Гүйцэтгэлийн эхэнд RTM нь мөрүүдийг глобал хувьсагч болгон тайлдаг. Мөрт хандах шаардлагатай үед Trojan нь үндсэн хаяг болон офсет дээр үндэслэн шифрлэгдсэн мөрүүдийн хаягийг динамикаар тооцдог.
Мөрүүд нь хортой програмын үйл ажиллагааны талаархи сонирхолтой мэдээллийг агуулдаг. Зарим жишээ мөрүүдийг 6.8-р хэсэгт өгсөн болно.
4.3. Сүлжээ
RTM вирусын C&C сервертэй холбогдох арга нь хувилбар болгонд өөр өөр байдаг. Эхний өөрчлөлтүүд (2015 оны 2016-р сараас XNUMX оны XNUMX-р сар) тушаалын жагсаалтыг шинэчлэхийн тулд livejournal.com дээрх RSS мэдээллийн хамт уламжлалт домэйн нэрийг ашигласан.
2016 оны 05-р сараас хойш бид телеметрийн өгөгдөлд .bit домайн руу шилжсэнийг харлаа. Энэ нь домэйн бүртгэлийн огноогоор батлагдсан - анхны RTM домэйн fde0573d13da.bit 2016 оны XNUMX-р сарын XNUMX-нд бүртгэгдсэн.
Кампанит ажлыг хянах явцад бидний харсан бүх URL-ууд нийтлэг замтай байсан: /r/z.php. Энэ нь ер бусын бөгөөд сүлжээний урсгал дахь RTM хүсэлтийг тодорхойлоход тусална.
4.3.1. Тушаал болон хяналтын суваг
Хуучин жишээнүүд команд болон хяналтын серверүүдийн жагсаалтыг шинэчлэхийн тулд энэ сувгийг ашигласан. Хостинг livejournal.com дээр байрладаг бөгөөд тайлан бичих үед hxxp://f72bba81c921(.)livejournal(.)com/data/rss хаяг дээр байсан.
Livejournal бол блог платформоор хангадаг Орос-Америкийн компани юм. RTM операторууд LJ блог үүсгэж, кодлогдсон команд бүхий нийтлэлээ нийтэлдэг - дэлгэцийн агшинг үзнэ үү.
Тушаал ба хяналтын мөрүүдийг өөрчилсөн RC4 алгоритм ашиглан кодчилдог (Хэсэг 4.2). Сувгийн одоогийн хувилбар (2016 оны XNUMX-р сар) нь дараах тушаалын болон хяналтын серверийн хаягуудыг агуулна.
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. .bit домэйнууд
Хамгийн сүүлийн үеийн RTM дээжүүдэд зохиогчид .bit TLD дээд түвшний домайныг ашиглан C&C домайнуудтай холбогддог. Энэ нь ICANN (Домэйн нэр ба интернет корпораци) дээд түвшний домайнуудын жагсаалтад ороогүй байна. Үүний оронд биткойны технологи дээр суурилсан Namecoin системийг ашигладаг. Хортой програм зохиогчид өөрсдийн домайндаа .bit TLD ашигладаггүй ч ийм хэрэглээний жишээг Necurs ботнетийн хувилбарт өмнө нь ажиглаж байсан.
Биткойноос ялгаатай нь тараагдсан Namecoin мэдээллийн сангийн хэрэглэгчид өгөгдөл хадгалах чадвартай байдаг. Энэ функцын гол хэрэглээ нь .bit дээд түвшний домэйн юм. Та тархсан мэдээллийн санд хадгалагдах домэйнүүдийг бүртгэж болно. Өгөгдлийн сангийн харгалзах оруулгууд нь домайнаар шийдэгдсэн IP хаягуудыг агуулна. Энэ TLD нь "цензурд тэсвэртэй" учир нь зөвхөн бүртгүүлэгч .bit домэйны нарийвчлалыг өөрчлөх боломжтой. Энэ нь ийм төрлийн TLD ашиглан хортой домэйныг зогсоох нь илүү хэцүү гэсэн үг юм.
RTM Trojan нь тархсан Namecoin мэдээллийн санг уншихад шаардлагатай програм хангамжийг суулгадаггүй. Энэ нь .bit домайныг шийдвэрлэхийн тулд dns.dot-bit.org эсвэл OpenNic сервер зэрэг төв DNS серверүүдийг ашигладаг. Тиймээс энэ нь DNS серверүүдтэй адил бат бөх байдаг. Блог нийтлэлд дурдагдсаны дараа багийн зарим домэйн илрэхгүй болсныг бид ажиглав.
Хакеруудад зориулсан .bit TLD-ийн өөр нэг давуу тал нь зардал юм. Домэйн бүртгүүлэхийн тулд операторууд зөвхөн 0,01 NK төлөх шаардлагатай бөгөөд энэ нь $ 0,00185 (5 оны 2016-р сарын 10-ны байдлаар) юм. Харьцуулбал domain.com хамгийн багадаа XNUMX долларын үнэтэй.
4.3.3. Протокол
Тушаал болон хяналтын сервертэй холбогдохын тулд RTM нь тусгай протокол ашиглан форматлагдсан өгөгдөл бүхий HTTP POST хүсэлтийг ашигладаг. Замын утга нь үргэлж /r/z.php; Mozilla/5.0 хэрэглэгчийн агент (тохиромжтой; MSIE 9.0; Windows NT 6.1; Trident/5.0). Серверт хүсэлт гаргахдаа өгөгдлийг дараах байдлаар форматлаж, офсет утгыг байтаар илэрхийлнэ.
0-6 байт нь кодлогдоогүй; 6-аас эхлэн байтыг өөрчилсөн RC4 алгоритм ашиглан кодлодог. C&C хариултын багцын бүтэц нь илүү энгийн. Байтыг 4-өөс пакетийн хэмжээ хүртэл кодлодог.
Үйлдлийн байт утгуудын жагсаалтыг доорх хүснэгтэд үзүүлэв.
Хортой програм нь шифрлэгдсэн өгөгдлийн CRC32-г үргэлж тооцоолж, багцад байгаа зүйлтэй харьцуулдаг. Хэрэв тэдгээр нь ялгаатай бол троян пакетыг унагадаг.
Нэмэлт өгөгдөл нь PE файл, файлын системээс хайх файл эсвэл шинэ тушаалын URL-ууд зэрэг янз бүрийн объектуудыг агуулж болно.
4.3.4. Самбар
RTM нь C&C серверүүд дээр самбар ашигладаг болохыг бид анзаарсан. Доорх дэлгэцийн агшин:
4.4. Онцлог шинж тэмдэг
RTM бол ердийн банкны троян юм. Операторууд хохирогчийн системийн талаар мэдээлэл авахыг хүсдэг нь гайхах зүйл биш юм. Нэг талаас, bot нь үйлдлийн системийн талаархи ерөнхий мэдээллийг цуглуулдаг. Нөгөөтэйгүүр, эвдэрсэн систем нь Оросын алсын банкны системтэй холбоотой шинж чанаруудыг агуулж байгаа эсэхийг олж мэдэх болно.
4.4.1. Ерөнхий мэдээлэл
Дахин ачаалсны дараа хорлонтой програм суулгасан эсвэл эхлүүлсэн тохиолдолд ерөнхий мэдээллийг агуулсан тайланг тушаал, хяналтын сервер рүү илгээдэг.
- Цагийн бүс;
- системийн анхдагч хэл;
- эрх бүхий хэрэглэгчийн итгэмжлэл;
- үйл явцын бүрэн бүтэн байдлын түвшин;
- Хэрэглэгчийн нэр;
- компьютерийн нэр;
- үйлдлийн системийн хувилбар;
- нэмэлт суулгасан модулиуд;
- суулгасан вирусны эсрэг програм;
- ухаалаг карт уншигчдын жагсаалт.
4.4.2 Алсын банкны систем
Ердийн Трояны зорилт бол алсын банкны систем бөгөөд RTM нь үл хамаарах зүйл биш юм. Програмын модулиудын нэгийг TBdo гэж нэрлэдэг бөгөөд энэ нь дискийг сканнердах, хайлтын түүх зэрэг янз бүрийн ажлуудыг гүйцэтгэдэг.
Дискийг сканнердсанаар троян нь банкны программ хангамжийг машин дээр суулгасан эсэхийг шалгадаг. Зорилтот хөтөлбөрүүдийн бүрэн жагсаалтыг доорх хүснэгтэд үзүүлэв. Сонирхсон файлыг илрүүлсний дараа програм нь тушаалын сервер рүү мэдээлэл илгээдэг. Дараагийн үйлдлүүд нь командын төвийн (C&C) алгоритмуудын тодорхойлсон логикоос хамаарна.
RTM нь таны хөтчийн түүх болон нээлттэй цонхнуудаас URL загваруудыг хайдаг. Нэмж дурдахад, програм нь FindNextUrlCacheEntryA болон FindFirstUrlCacheEntryA функцүүдийн ашиглалтыг шалгаж, мөн URL-г дараах загваруудын аль нэгэнд тааруулахын тулд оруулга бүрийг шалгадаг.
Нээлттэй табуудыг илрүүлсний дараа троян нь динамик өгөгдөл солилцох (DDE) механизмаар дамжуулан Internet Explorer эсвэл Firefox-той холбогдож таб нь загвартай тохирч байгаа эсэхийг шалгадаг.
Таны хайлтын түүх болон нээлттэй табуудыг шалгах нь WHILE давталт (урьдчилсан нөхцөл бүхий давталт) -ын хооронд 1 секундын завсарлагатайгаар хийгддэг. Бодит цаг хугацаанд хянагддаг бусад өгөгдлийг 4.5-р хэсэгт авч үзэх болно.
Хэрэв загвар олдвол програм нь дараах хүснэгтийн мөрийн жагсаалтыг ашиглан командын серверт мэдээлнэ.
4.5 Хяналт шинжилгээ
Троян ажиллаж байх үед халдвар авсан системийн онцлог шинж чанаруудын талаарх мэдээллийг (банкны програм хангамж байгаа эсэх) мэдээллийг команд болон хяналтын сервер рүү илгээдэг. Хурууны хээ нь RTM нь үйлдлийн системийг анх скан хийсний дараа шууд хяналтын системийг анх ажиллуулж байх үед тохиолддог.
4.5.1. Алсын банк
Мөн TBdo модуль нь банктай холбоотой үйл явцыг хянах үүрэгтэй. Энэ нь эхний скан хийх явцад Firefox болон Internet Explorer дээрх табуудыг шалгахын тулд динамик өгөгдөл солилцох аргыг ашигладаг. Өөр TShell модулийг тушаалын цонхыг (Internet Explorer эсвэл File Explorer) хянахад ашигладаг.
Уг модуль нь цонхыг хянахын тулд IShellWindows, iWebBrowser, DWebBrowserEvents2 болон IConnectionPointContainer COM интерфэйсүүдийг ашигладаг. Хэрэглэгч шинэ вэб хуудас руу шилжих үед хортой програм үүнийг тэмдэглэдэг. Дараа нь хуудасны URL-г дээрх загвартай харьцуулна. Тохирохыг илрүүлсний дараа троян нь 5 секундын зайтай зургаан дараалсан дэлгэцийн агшинг авч C&S командын сервер рүү илгээдэг. Програм нь банкны програм хангамжтай холбоотой зарим цонхны нэрийг шалгадаг - бүрэн жагсаалтыг доор харуулав.
4.5.2. Ухаалаг карт
RTM нь халдвар авсан компьютерт холбогдсон ухаалаг карт уншигчийг хянах боломжийг танд олгоно. Эдгээр төхөөрөмжийг зарим улс оронд төлбөрийн даалгаврыг нэгтгэхэд ашигладаг. Хэрэв ийм төрлийн төхөөрөмжийг компьютерт холбосон бол энэ нь Трояны машиныг банкны гүйлгээнд ашиглаж байгааг илтгэнэ.
Бусад банкны троянуудаас ялгаатай нь RTM нь ийм ухаалаг картуудтай харьцаж чадахгүй. Магадгүй энэ функц нь бидний хараахан үзээгүй нэмэлт модульд багтсан байх.
4.5.3. Keylogger
Халдвар авсан компьютерийг хянах чухал хэсэг бол товчлуурын цохилтыг авах явдал юм. RTM хөгжүүлэгчид зөвхөн энгийн товчлуурууд төдийгүй виртуал гар, санах ойг хянадаг тул ямар ч мэдээлэл дутуугүй байх шиг байна.
Үүнийг хийхийн тулд SetWindowsHookExA функцийг ашиглана уу. Халдагчид програмын нэр, огнооны хамт дарагдсан товчлуурууд эсвэл виртуал гарт тохирох товчлууруудыг бүртгэдэг. Дараа нь буферийг C&C командын сервер рүү илгээнэ.
SetClipboardViewer функцийг санах ойг таслахад ашигладаг. Хакерууд өгөгдөл нь текст байх үед санах ойн агуулгыг бүртгэдэг. Буферийг сервер рүү илгээхээс өмнө нэр, огноог мөн бүртгэдэг.
4.5.4. Дэлгэцийн агшин
Өөр нэг RTM функц нь дэлгэцийн агшинг таслах явдал юм. Цонхны хяналтын модуль нь сонирхож буй сайт эсвэл банкны программ хангамжийг илрүүлэх үед функцийг ашигладаг. График зургийн санг ашиглан дэлгэцийн агшинг авч командын сервер рүү шилжүүлдэг.
4.6. Устгах
C&C сервер нь хортой програмыг ажиллуулахыг зогсоож, таны компьютерийг цэвэрлэж чадна. Энэ тушаал нь RTM ажиллаж байх үед үүсгэсэн файлууд болон бүртгэлийн бичилтүүдийг цэвэрлэх боломжийг олгодог. Дараа нь DLL нь хортой програм болон winlogon файлыг устгахад ашиглагддаг бөгөөд үүний дараа команд нь компьютерийг унтраадаг. Доорх зурган дээр харуулсанчлан DLL-г хөгжүүлэгчид erase.dll ашиглан устгасан.
Сервер нь троян руу устгах устгах-түгжих командыг илгээж болно. Энэ тохиолдолд, хэрэв танд администраторын эрх байгаа бол RTM нь хатуу диск дээрх MBR ачаалах салбарыг устгах болно. Хэрэв энэ нь амжилтгүй болвол Trojan нь MBR ачаалах салбарыг санамсаргүй сектор руу шилжүүлэхийг оролдох болно - дараа нь компьютер унтарсны дараа үйлдлийн системийг ачаалах боломжгүй болно. Энэ нь OS-ийг бүрэн дахин суулгахад хүргэж болох бөгөөд энэ нь нотлох баримтыг устгах гэсэн үг юм.
Администраторын эрхгүй бол хортой програм нь үндсэн RTM DLL-д кодлогдсон .EXE бичдэг. Гүйцэтгэх файл нь компьютерийг унтраахад шаардлагатай кодыг ажиллуулж, модулийг HKCUCurrentVersionRun бүртгэлийн түлхүүрт бүртгэдэг. Хэрэглэгч сесс эхлүүлэх болгонд компьютер шууд унтардаг.
4.7. Тохиргооны файл
Анхдагч байдлаар, RTM-д тохиргооны файл бараг байдаггүй, гэхдээ команд болон хяналтын сервер нь бүртгэлд хадгалагдаж, програмд ашиглагдах тохиргооны утгуудыг илгээх боломжтой. Тохируулгын түлхүүрүүдийн жагсаалтыг доорх хүснэгтэд үзүүлэв.
Тохиргоо нь Software[Pseudo-random string] бүртгэлийн түлхүүрт хадгалагдана. Утга бүр нь өмнөх хүснэгтэд үзүүлсэн мөрүүдийн аль нэгтэй тохирч байна. Утга болон өгөгдлийг RTM дахь RC4 алгоритмыг ашиглан кодчилдог.
Өгөгдөл нь сүлжээ эсвэл мөртэй ижил бүтэцтэй. Дөрвөн байт XOR түлхүүр кодлогдсон өгөгдлийн эхэнд нэмэгддэг. Тохируулгын утгуудын хувьд XOR түлхүүр нь өөр бөгөөд утгын хэмжээнээс хамаарна. Үүнийг дараах байдлаар тооцоолж болно.
xor_key = (len(config_value) << 24) | (len(тохируулгын_утга) << 16)
| len(тохируулгын_утга)| (len(тохируулгын_утга) << 8)
4.8. Бусад функцууд
Дараа нь RTM дэмждэг бусад функцуудыг харцгаая.
4.8.1. Нэмэлт модулиуд
Trojan нь нэмэлт модулиудыг агуулдаг бөгөөд эдгээр нь DLL файлууд юм. C&C командын серверээс илгээсэн модулиудыг гадаад програм болгон ажиллуулж, RAM-д тусгаж, шинэ хэлхээнд ажиллуулж болно. Хадгалалтын хувьд модулиудыг .dtt файлд хадгалж, сүлжээний холболтод ашигладаг ижил түлхүүрээр RC4 алгоритмыг ашиглан кодчилдог.
Одоогийн байдлаар бид VNC модуль (8966319882494077C21F66A8354E2CBCA0370464), хөтчийн өгөгдөл олборлох модуль (03DE8622BE6B2F75A364A275995C3411626C4C9C1C2C1F) суулгацыг ажигласан. 562EFC1FBA69 B6BE58D88753B7E0CFAB).
VNC модулийг ачаалахын тулд C&C сервер нь 44443 портын тодорхой IP хаягаар VNC сервертэй холбогдохыг хүссэн командыг өгдөг. Хөтөчийн өгөгдөл хайх залгаас нь IE хайлтын түүхийг унших боломжтой TBrowserDataCollector-ийг ажиллуулдаг. Дараа нь зочилсон URL-уудын бүрэн жагсаалтыг C&C командын сервер рүү илгээдэг.
Хамгийн сүүлд нээсэн модулийг 1c_2_kl гэж нэрлэдэг. Энэ нь 1С Enterprise програм хангамжийн багцтай ажиллах боломжтой. Модуль нь хоёр хэсгээс бүрдэнэ: үндсэн хэсэг - DLL ба хоёр агент (32 ба 64 бит) нь процесс бүрт нэвтэрч, WH_CBT-тэй холбогдохыг бүртгэх болно. 1С процесст нэвтрүүлсэн модуль нь CreateFile болон WriteFile функцуудыг холбодог. CreateFile холбогдсон функцийг дуудах бүрт модуль нь санах ойд 1c_to_kl.txt файлын замыг хадгалдаг. WriteFile дуудлагыг тасалсны дараа WriteFile функцийг дуудаж, 1c_to_kl.txt файлын замыг үндсэн DLL модул руу илгээж, Windows WM_COPYDATA мессежийг дамжуулдаг.
Үндсэн DLL модуль нь төлбөрийн даалгаврыг тодорхойлохын тулд файлыг нээж, задлан шинжилдэг. Энэ нь файлд агуулагдах дүн болон гүйлгээний дугаарыг хүлээн зөвшөөрдөг. Энэ мэдээллийг командын сервер рүү илгээдэг. Энэ модуль нь дибаг хийх мессеж агуулсан бөгөөд 1c_to_kl.txt файлыг автоматаар өөрчлөх боломжгүй тул одоогоор хөгжүүлж байгаа гэж бид үзэж байна.
4.8.2. Давуу эрхийг нэмэгдүүлэх
RTM нь буруу алдааны мессежийг харуулах замаар давуу эрхээ нэмэгдүүлэхийг оролдож болно. Хортой програм нь бүртгэлийн шалгалтыг дуурайдаг (доорх зургийг харна уу) эсвэл бүртгэлийн редакторын жинхэнэ дүрсийг ашигладаг. Үг үсгийн алдаа хүлээхийг анхаарна уу – whait. Сканнердсаны дараа хэдхэн секундын дараа програм буруу алдааны мессежийг харуулна.
Хуурамч мессеж нь дүрмийн алдаатай байсан ч энгийн хэрэглэгчийг амархан хуурах болно. Хэрэв хэрэглэгч хоёр холбоосын аль нэг дээр дарвал RTM систем дэх эрхээ нэмэгдүүлэхийг оролдох болно.
Сэргээх хоёр сонголтын аль нэгийг сонгосны дараа троян нь администраторын эрхтэй ShellExecute функцийн runas сонголтыг ашиглан DLL-г эхлүүлнэ. Хэрэглэгч өндөрт гаргахын тулд Windows-ын жинхэнэ сануулгыг (доорх зургийг харна уу) харах болно. Хэрэв хэрэглэгч шаардлагатай зөвшөөрлийг өгвөл Trojan нь администраторын эрхээр ажиллах болно.
Системд суулгасан анхдагч хэлээс хамааран Trojan нь орос эсвэл англи хэл дээр алдааны мэдэгдлийг харуулдаг.
4.8.3. Сертификат
RTM нь Windows Дэлгүүрт гэрчилгээ нэмж, csrss.exe харилцах цонхны "тийм" товчийг автоматаар товшиж нэмэлтийн найдвартай байдлыг баталгаажуулах боломжтой. Энэ зан үйл нь шинэ зүйл биш, жишээлбэл, банкны Trojan Retefe нь шинэ гэрчилгээ суулгаж байгааг бие даан баталгаажуулдаг.
4.8.4. Урвуу холболт
RTM зохиогчид мөн Backconnect TCP туннелийг бүтээсэн. Бид энэ функцийг ашиглаж байгааг хараахан хараагүй байгаа ч халдвар авсан компьютерийг алсаас хянах зориулалттай.
4.8.5. Хост файлын удирдлага
C&C сервер нь Windows хост файлыг өөрчлөх командыг Trojan руу илгээж болно. Хост файлыг тусгай DNS нягтрал үүсгэхэд ашигладаг.
4.8.6. Файл хайж олоод илгээнэ үү
Сервер нь халдвар авсан систем дээрх файлыг хайж, татаж авах хүсэлт гаргаж болно. Жишээлбэл, судалгааны явцад бид 1c_to_kl.txt файлын хүсэлтийг хүлээн авсан. Өмнө дурьдсанчлан энэ файлыг 1С: Enterprise 8 нягтлан бодох бүртгэлийн системээр үүсгэсэн.
4.8.7. Шинэчлэх
Эцэст нь, RTM зохиогчид одоогийн хувилбарыг солихын тулд шинэ DLL оруулах замаар програм хангамжийг шинэчлэх боломжтой.
5. Дүгнэлт
RTM-ийн судалгаагаар Оросын банкны систем кибер халдагчдыг татсаар байгааг харуулж байна. Бухтрап, Корков, Карбанак зэрэг бүлэглэлүүд Орос дахь санхүүгийн байгууллагууд болон тэдний үйлчлүүлэгчдээс мөнгө хулгайлдаг. RTM бол энэ салбарын шинэ тоглогч юм.
ESET телеметрийн мэдээлснээр хортой RTM хэрэгслийг дор хаяж 2015 оны сүүлээс хойш ашиглаж байна. Энэхүү программ нь ухаалаг карт унших, товчлуур дарах, банкны гүйлгээг хянах, мөн 1С: Enterprise 8 тээврийн файлуудыг хайх зэрэг тагнуул хийх бүрэн боломжтой.
Төвлөрсөн бус, цензургүй .bit дээд түвшний домайныг ашиглах нь өндөр уян хатан дэд бүтцийг баталгаажуулдаг.
Эх сурвалж: www.habr.com