Terdapat beberapa kumpulan siber terkenal yang pakar dalam mencuri dana daripada syarikat Rusia. Kami telah melihat serangan menggunakan kelemahan keselamatan yang membenarkan akses kepada rangkaian sasaran. Sebaik sahaja mereka mendapat akses, penyerang mengkaji struktur rangkaian organisasi dan menggunakan alatan mereka sendiri untuk mencuri dana. Contoh klasik trend ini ialah kumpulan penggodam Buhtrap, Cobalt dan Corkow.
Kumpulan RTM yang menjadi tumpuan laporan ini adalah sebahagian daripada aliran ini. Ia menggunakan perisian hasad yang direka khas yang ditulis dalam Delphi, yang akan kami lihat dengan lebih terperinci dalam bahagian berikut. Jejak pertama alat ini dalam sistem telemetri ESET ditemui pada penghujung tahun 2015. Pasukan ini memuatkan pelbagai modul baharu ke sistem yang dijangkiti mengikut keperluan. Serangan itu ditujukan kepada pengguna sistem perbankan jauh di Rusia dan beberapa negara jiran.
1. Objektif
Kempen RTM ditujukan kepada pengguna korporat - ini jelas daripada proses yang cuba dikesan oleh penyerang dalam sistem yang terjejas. Tumpuan adalah pada perisian perakaunan untuk bekerja dengan sistem perbankan jauh.
Senarai proses yang diminati oleh RTM menyerupai senarai sepadan kumpulan Buhtrap, tetapi kumpulan tersebut mempunyai vektor jangkitan yang berbeza. Jika Buhtrap menggunakan halaman palsu lebih kerap, maka RTM menggunakan serangan muat turun pandu oleh (serangan pada penyemak imbas atau komponennya) dan menghantar spam melalui e-mel. Menurut data telemetri, ancaman itu ditujukan kepada Rusia dan beberapa negara berdekatan (Ukraine, Kazakhstan, Republik Czech, Jerman). Walau bagaimanapun, disebabkan penggunaan mekanisme pengedaran besar-besaran, pengesanan perisian hasad di luar kawasan sasaran tidaklah mengejutkan.
Jumlah pengesanan perisian hasad adalah agak kecil. Sebaliknya, kempen RTM menggunakan program yang kompleks, yang menunjukkan bahawa serangan sangat disasarkan.
Kami telah menemui beberapa dokumen penipuan yang digunakan oleh RTM, termasuk kontrak, invois atau dokumen perakaunan cukai yang tidak wujud. Sifat gewang, digabungkan dengan jenis perisian yang disasarkan oleh serangan, menunjukkan bahawa penyerang "memasuki" rangkaian syarikat Rusia melalui jabatan perakaunan. Kumpulan itu bertindak mengikut skema yang sama pada tahun 2014-2015
Semasa penyelidikan, kami dapat berinteraksi dengan beberapa pelayan C&C. Kami akan menyenaraikan senarai penuh arahan dalam bahagian berikut, tetapi buat masa ini kami boleh mengatakan bahawa pelanggan memindahkan data daripada keylogger terus ke pelayan yang menyerang, dari mana arahan tambahan kemudiannya diterima.
Walau bagaimanapun, hari-hari apabila anda hanya boleh menyambung ke pelayan arahan dan kawalan dan mengumpul semua data yang anda minati telah hilang. Kami mencipta semula fail log yang realistik untuk mendapatkan beberapa arahan yang berkaitan daripada pelayan.
Yang pertama ialah permintaan kepada bot untuk memindahkan fail 1c_to_kl.txt - fail pengangkutan program 1C: Enterprise 8, yang penampilannya dipantau secara aktif oleh RTM. 1C berinteraksi dengan sistem perbankan jauh dengan memuat naik data mengenai pembayaran keluar ke fail teks. Seterusnya, fail dihantar ke sistem perbankan jauh untuk automasi dan pelaksanaan perintah pembayaran.
Fail mengandungi butiran pembayaran. Jika penyerang menukar maklumat tentang pembayaran keluar, pemindahan akan dihantar menggunakan butiran palsu ke akaun penyerang.
Kira-kira sebulan selepas meminta fail ini daripada pelayan arahan dan kawalan, kami melihat pemalam baharu, 1c_2_kl.dll, dimuatkan ke sistem yang terjejas. Modul (DLL) direka untuk menganalisis fail muat turun secara automatik dengan menembusi proses perisian perakaunan. Kami akan menerangkannya secara terperinci dalam bahagian berikut.
Menariknya, FinCERT Bank of Russia pada penghujung 2016 mengeluarkan amaran buletin tentang penjenayah siber menggunakan fail muat naik 1c_to_kl.txt. Pemaju dari 1C juga mengetahui tentang skim ini; mereka telah membuat kenyataan rasmi dan menyenaraikan langkah berjaga-jaga.
Modul lain juga dimuatkan daripada pelayan arahan, khususnya VNC (versi 32 dan 64-bitnya). Ia menyerupai modul VNC yang sebelum ini digunakan dalam serangan Trojan Dridex. Modul ini sepatutnya digunakan untuk menyambung dari jauh ke komputer yang dijangkiti dan menjalankan kajian terperinci sistem. Seterusnya, penyerang cuba bergerak di sekitar rangkaian, mengekstrak kata laluan pengguna, mengumpul maklumat dan memastikan kehadiran perisian hasad yang berterusan.
2. Vektor jangkitan
Angka berikut menunjukkan vektor jangkitan yang dikesan semasa tempoh kajian kempen. Kumpulan ini menggunakan pelbagai vektor, tetapi terutamanya serangan muat turun pandu dan spam. Alat ini mudah untuk serangan yang disasarkan, kerana dalam kes pertama, penyerang boleh memilih tapak yang dilawati oleh bakal mangsa, dan dalam yang kedua, mereka boleh menghantar e-mel dengan lampiran terus kepada pekerja syarikat yang dikehendaki.
Malware itu diedarkan melalui berbilang saluran, termasuk kit eksploitasi RIG dan Sundown atau mel spam, yang menunjukkan hubungan antara penyerang dan penyerang siber lain yang menawarkan perkhidmatan ini.
2.1. Bagaimanakah RTM dan Buhtrap berkaitan?
Kempen RTM sangat serupa dengan Buhtrap. Persoalan semula jadi ialah: bagaimana mereka berkaitan antara satu sama lain?
Pada September 2016, kami memerhatikan sampel RTM diedarkan menggunakan pemuat naik Buhtrap. Selain itu, kami menemui dua sijil digital yang digunakan dalam kedua-dua Buhtrap dan RTM.
Yang pertama, yang didakwa dikeluarkan kepada syarikat DNISTER-M, digunakan untuk menandatangani borang Delphi kedua secara digital (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) dan Buhtrap DLL (SHA-1: 1E2642C454D2B889F6B41116B83A 6).
Yang kedua, yang dikeluarkan kepada Bit-Tredj, digunakan untuk menandatangani pemuat Buhtrap (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 dan B74F71560E48488D2153AE2FB51207A0 dan komponen RTM serta muat turun.
Pengendali RTM menggunakan sijil yang biasa kepada keluarga perisian hasad lain, tetapi mereka juga mempunyai sijil unik. Menurut telemetri ESET, ia dikeluarkan kepada Kit-SD dan hanya digunakan untuk menandatangani beberapa perisian hasad RTM (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM menggunakan pemuat yang sama seperti Buhtrap, komponen RTM dimuatkan daripada infrastruktur Buhtrap, jadi kumpulan mempunyai penunjuk rangkaian yang serupa. Walau bagaimanapun, mengikut anggaran kami, RTM dan Buhtrap adalah kumpulan yang berbeza, sekurang-kurangnya kerana RTM diedarkan dalam cara yang berbeza (bukan sahaja menggunakan pemuat turun "asing").
Walaupun begitu, kumpulan penggodam menggunakan prinsip operasi yang serupa. Mereka menyasarkan perniagaan menggunakan perisian perakaunan, mengumpul maklumat sistem yang sama, mencari pembaca kad pintar dan menggunakan pelbagai alat berniat jahat untuk mengintip mangsa.
3. Evolusi
Dalam bahagian ini, kita akan melihat versi perisian hasad yang berbeza yang ditemui semasa kajian.
3.1. Versi
RTM menyimpan data konfigurasi dalam bahagian pendaftaran, bahagian yang paling menarik ialah awalan botnet. Senarai semua nilai yang kami lihat dalam sampel yang kami pelajari dibentangkan dalam jadual di bawah.
Ada kemungkinan nilai itu boleh digunakan untuk merekodkan versi perisian hasad. Walau bagaimanapun, kami tidak melihat banyak perbezaan antara versi seperti bit2 dan bit3, 0.1.6.4 dan 0.1.6.6. Selain itu, salah satu awalan telah wujud sejak awal dan telah berkembang daripada domain C&C biasa kepada domain .bit, seperti yang akan ditunjukkan di bawah.
3.2. Jadual
Menggunakan data telemetri, kami mencipta graf kejadian sampel.
4. Analisis teknikal
Dalam bahagian ini, kami akan menerangkan fungsi utama Trojan perbankan RTM, termasuk mekanisme rintangan, versi algoritma RC4 sendiri, protokol rangkaian, fungsi pengintipan dan beberapa ciri lain. Khususnya, kami akan menumpukan pada sampel SHA-1 AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 dan 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. Pemasangan dan penjimatan
4.1.1. Pelaksanaan
Teras RTM ialah DLL, perpustakaan dimuatkan ke cakera menggunakan .EXE. Fail boleh laku biasanya dibungkus dan mengandungi kod DLL. Setelah dilancarkan, ia mengekstrak DLL dan menjalankannya menggunakan arahan berikut:
rundll32.exe β%PROGRAMDATA%Winlogonwinlogon.lnkβ,DllGetClassObject host4.1.2. DLL
DLL utama sentiasa dimuatkan ke cakera sebagai winlogon.lnk dalam folder %PROGRAMDATA%Winlogon. Sambungan fail ini biasanya dikaitkan dengan pintasan, tetapi fail itu sebenarnya adalah DLL yang ditulis dalam Delphi, dinamakan core.dll oleh pembangun, seperti yang ditunjukkan dalam imej di bawah.
ΠΡΠΈΠΌΠ΅Ρ Π½Π°Π·Π²Π°Π½ΠΈΡ DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Sebaik sahaja dilancarkan, Trojan mengaktifkan mekanisme rintangannya. Ini boleh dilakukan dalam dua cara berbeza, bergantung pada keistimewaan mangsa dalam sistem. Jika anda mempunyai hak pentadbir, Trojan menambah entri Kemas Kini Windows pada pendaftaran HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun. Perintah yang terkandung dalam Windows Update akan dijalankan pada permulaan sesi pengguna.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe β%PROGRAMDATA%winlogon.lnkβ,hos DllGetClassObject
Trojan juga cuba menambah tugasan pada Penjadual Tugas Windows. Tugasan akan melancarkan DLL winlogon.lnk dengan parameter yang sama seperti di atas. Hak pengguna biasa membenarkan Trojan menambah entri Kemas Kini Windows dengan data yang sama pada pendaftaran HKCUSoftwareMicrosoftWindowsCurrentVersionRun:
rundll32.exe β%PROGRAMDATA%winlogon.lnkβ,DllGetClassObject host4.2. Algoritma RC4 yang diubah suai
Walaupun terdapat kelemahan yang diketahui, algoritma RC4 kerap digunakan oleh pengarang perisian hasad. Walau bagaimanapun, pencipta RTM mengubahnya sedikit, mungkin untuk menyukarkan tugas penganalisis virus. Versi RC4 yang diubah suai digunakan secara meluas dalam alatan RTM yang berniat jahat untuk menyulitkan rentetan, data rangkaian, konfigurasi dan modul.
4.2.1. Perbezaan
Algoritma RC4 asal merangkumi dua peringkat: pemulaan s-blok (aka KSA - Algoritma Penjadualan Kunci) dan penjanaan jujukan pseudo-rawak (PRGA - Algoritma Penjanaan Pseudo-Random). Peringkat pertama melibatkan permulaan s-box menggunakan kekunci, dan pada peringkat kedua teks sumber diproses menggunakan s-box untuk penyulitan.
Pengarang RTM menambah langkah perantaraan antara permulaan s-box dan penyulitan. Kunci tambahan adalah berubah-ubah dan ditetapkan pada masa yang sama dengan data yang akan disulitkan dan dinyahsulitkan. Fungsi yang melakukan langkah tambahan ini ditunjukkan dalam rajah di bawah.
4.2.2. Penyulitan rentetan
Pada pandangan pertama, terdapat beberapa baris yang boleh dibaca dalam DLL utama. Selebihnya disulitkan menggunakan algoritma yang diterangkan di atas, strukturnya ditunjukkan dalam rajah berikut. Kami menemui lebih daripada 25 kunci RC4 yang berbeza untuk penyulitan rentetan dalam sampel yang dianalisis. Kekunci XOR adalah berbeza untuk setiap baris. Nilai garis pemisah medan berangka sentiasa 0xFFFFFFFF.
Pada permulaan pelaksanaan, RTM menyahsulit rentetan menjadi pembolehubah global. Apabila perlu untuk mengakses rentetan, Trojan secara dinamik mengira alamat rentetan yang dinyahsulit berdasarkan alamat asas dan mengimbangi.
Rentetan mengandungi maklumat menarik tentang fungsi perisian hasad. Beberapa contoh rentetan disediakan dalam Bahagian 6.8.
4.3. Rangkaian
Cara perisian hasad RTM menghubungi pelayan C&C berbeza dari versi ke versi. Pengubahsuaian pertama (Oktober 2015 β April 2016) menggunakan nama domain tradisional bersama-sama dengan suapan RSS di livejournal.com untuk mengemas kini senarai arahan.
Sejak April 2016, kami telah melihat peralihan kepada domain .bit dalam data telemetri. Ini disahkan oleh tarikh pendaftaran domain - domain RTM pertama fde05d0573da.bit telah didaftarkan pada 13 Mac 2016.
Semua URL yang kami lihat semasa memantau kempen mempunyai laluan yang sama: /r/z.php. Ia agak luar biasa dan ia akan membantu mengenal pasti permintaan RTM dalam aliran rangkaian.
4.3.1. Saluran untuk arahan dan kawalan
Contoh warisan menggunakan saluran ini untuk mengemas kini senarai pelayan arahan dan kawalan mereka. Pengehosan terletak di livejournal.com, pada masa penulisan laporan ia kekal di URL hxxp://f72bba81c921(.)livejournal(.)com/ data/rss.
Livejournal ialah syarikat Rusia-Amerika yang menyediakan platform blog. Pengendali RTM mencipta blog LJ di mana mereka menyiarkan artikel dengan arahan berkod - lihat tangkapan skrin.
Barisan arahan dan kawalan dikodkan menggunakan algoritma RC4 yang diubah suai (Bahagian 4.2). Versi semasa (November 2016) saluran mengandungi alamat pelayan arahan dan kawalan berikut:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. domain .bit
Dalam kebanyakan sampel RTM terkini, pengarang menyambung ke domain C&C menggunakan domain peringkat atasan .bit TLD. Ia tiada dalam senarai ICANN (Nama Domain dan Perbadanan Internet) domain peringkat atasan. Sebaliknya, ia menggunakan sistem Namecoin, yang dibina di atas teknologi Bitcoin. Pengarang perisian hasad tidak selalunya menggunakan .bit TLD untuk domain mereka, walaupun contoh penggunaan sedemikian sebelum ini telah diperhatikan dalam versi botnet Necurs.
Tidak seperti Bitcoin, pengguna pangkalan data Namecoin yang diedarkan mempunyai keupayaan untuk menyimpan data. Aplikasi utama ciri ini ialah domain peringkat atas .bit. Anda boleh mendaftar domain yang akan disimpan dalam pangkalan data yang diedarkan. Entri yang sepadan dalam pangkalan data mengandungi alamat IP yang diselesaikan oleh domain. TLD ini "tahan penapisan" kerana hanya pendaftar boleh menukar resolusi domain .bit. Ini bermakna bahawa adalah lebih sukar untuk menghentikan domain berniat jahat menggunakan jenis TLD ini.
Trojan RTM tidak membenamkan perisian yang diperlukan untuk membaca pangkalan data Namecoin yang diedarkan. Ia menggunakan pelayan DNS pusat seperti dns.dot-bit.org atau pelayan OpenNic untuk menyelesaikan domain .bit. Oleh itu, ia mempunyai ketahanan yang sama seperti pelayan DNS. Kami mendapati bahawa beberapa domain pasukan tidak lagi dikesan selepas disebut dalam catatan blog.
Satu lagi kelebihan TLD .bit untuk penggodam ialah kos. Untuk mendaftar domain, pengendali hanya perlu membayar 0,01 NK, yang sepadan dengan $0,00185 (sehingga 5 Disember 2016). Sebagai perbandingan, domain.com berharga sekurang-kurangnya $10.
4.3.3. Protokol
Untuk berkomunikasi dengan pelayan arahan dan kawalan, RTM menggunakan permintaan HTTP POST dengan data yang diformat menggunakan protokol tersuai. Nilai laluan sentiasa /r/z.php; Ejen pengguna Mozilla/5.0 (serasi; MSIE 9.0; Windows NT 6.1; Trident/5.0). Dalam permintaan kepada pelayan, data diformatkan seperti berikut, di mana nilai offset dinyatakan dalam bait:
Bait 0 hingga 6 tidak dikodkan; bait bermula dari 6 dikodkan menggunakan algoritma RC4 yang diubah suai. Struktur paket tindak balas C&C adalah lebih mudah. Bait dikodkan daripada 4 kepada saiz paket.
Senarai nilai bait tindakan yang mungkin dibentangkan dalam jadual di bawah:
Malware sentiasa mengira CRC32 data yang dinyahsulit dan membandingkannya dengan apa yang terdapat dalam paket. Jika mereka berbeza, Trojan menjatuhkan paket.
Data tambahan mungkin mengandungi pelbagai objek, termasuk fail PE, fail yang akan dicari dalam sistem fail, atau URL arahan baharu.
4.3.4. Panel
Kami mendapati bahawa RTM menggunakan panel pada pelayan C&C. Tangkapan skrin di bawah:
4.4. Tanda ciri
RTM ialah Trojan perbankan biasa. Tidak hairanlah pengendali mahukan maklumat tentang sistem mangsa. Di satu pihak, bot mengumpul maklumat umum tentang OS. Sebaliknya, ia mengetahui sama ada sistem yang terjejas mengandungi atribut yang dikaitkan dengan sistem perbankan jauh Rusia.
4.4.1. maklumat am
Apabila perisian hasad dipasang atau dilancarkan selepas but semula, laporan dihantar ke pelayan arahan dan kawalan yang mengandungi maklumat am termasuk:
- Zon masa;
- bahasa sistem lalai;
- kelayakan pengguna yang dibenarkan;
- tahap integriti proses;
- Nama pengguna;
- nama komputer;
- versi OS;
- modul dipasang tambahan;
- program antivirus yang dipasang;
- senarai pembaca kad pintar.
4.4.2 Sistem perbankan jauh
Sasaran Trojan biasa ialah sistem perbankan jauh, dan RTM tidak terkecuali. Salah satu modul program dipanggil TBdo, yang melaksanakan pelbagai tugas, termasuk mengimbas cakera dan sejarah penyemakan imbas.
Dengan mengimbas cakera, Trojan menyemak sama ada perisian perbankan dipasang pada mesin. Senarai penuh program sasaran adalah dalam jadual di bawah. Setelah mengesan fail yang menarik, program menghantar maklumat ke pelayan arahan. Tindakan seterusnya bergantung pada logik yang ditentukan oleh algoritma pusat arahan (C&C).
RTM juga mencari corak URL dalam sejarah penyemak imbas anda dan tab terbuka. Selain itu, program ini mengkaji penggunaan fungsi FindNextUrlCacheEntryA dan FindFirstUrlCacheEntryA, dan juga menyemak setiap entri untuk memadankan URL dengan salah satu corak berikut:
Setelah mengesan tab terbuka, Trojan menghubungi Internet Explorer atau Firefox melalui mekanisme Dynamic Data Exchange (DDE) untuk menyemak sama ada tab itu sepadan dengan corak.
Menyemak sejarah penyemakan imbas anda dan tab terbuka dilakukan dalam gelung WHILE (gelung dengan prasyarat) dengan rehat 1 saat antara semakan. Data lain yang dipantau dalam masa nyata akan dibincangkan dalam bahagian 4.5.
Jika corak ditemui, program melaporkannya kepada pelayan arahan menggunakan senarai rentetan daripada jadual berikut:
4.5 Pemantauan
Semasa Trojan sedang berjalan, maklumat tentang ciri ciri sistem yang dijangkiti (termasuk maklumat tentang kehadiran perisian perbankan) dihantar ke pelayan arahan dan kawalan. Cap jari berlaku apabila RTM mula-mula menjalankan sistem pemantauan serta-merta selepas imbasan OS awal.
4.5.1. Perbankan jauh
Modul TBdo juga bertanggungjawab untuk memantau proses berkaitan perbankan. Ia menggunakan pertukaran data dinamik untuk menyemak tab dalam Firefox dan Internet Explorer semasa imbasan awal. Satu lagi modul TShell digunakan untuk memantau tetingkap arahan (Internet Explorer atau File Explorer).
Modul ini menggunakan antara muka COM IShellWindows, iWebBrowser, DWebBrowserEvents2 dan IConnectionPointContainer untuk memantau tetingkap. Apabila pengguna menavigasi ke halaman web baharu, perisian hasad mencatatkan perkara ini. Ia kemudian membandingkan URL halaman dengan corak di atas. Setelah mengesan perlawanan, Trojan mengambil enam tangkapan skrin berturut-turut dengan selang 5 saat dan menghantarnya ke pelayan arahan C&S. Program ini juga menyemak beberapa nama tetingkap yang berkaitan dengan perisian perbankan - senarai penuh adalah di bawah:
4.5.2. Kad pintar
RTM membolehkan anda memantau pembaca kad pintar yang disambungkan ke komputer yang dijangkiti. Peranti ini digunakan di sesetengah negara untuk menyelaraskan pesanan pembayaran. Jika jenis peranti ini dilampirkan pada komputer, ia boleh menunjukkan kepada Trojan bahawa mesin itu digunakan untuk transaksi perbankan.
Tidak seperti Trojan perbankan lain, RTM tidak boleh berinteraksi dengan kad pintar tersebut. Mungkin fungsi ini disertakan dalam modul tambahan yang belum kita lihat.
4.5.3. Keylogger
Bahagian penting dalam memantau PC yang dijangkiti ialah menangkap ketukan kekunci. Nampaknya pembangun RTM tidak kehilangan sebarang maklumat, kerana mereka memantau bukan sahaja kekunci biasa, tetapi juga papan kekunci dan papan keratan maya.
Untuk melakukan ini, gunakan fungsi SetWindowsHookExA. Penyerang log kekunci yang ditekan atau kekunci yang sepadan dengan papan kekunci maya, bersama-sama dengan nama dan tarikh program. Penampan kemudiannya dihantar ke pelayan arahan C&C.
Fungsi SetClipboardViewer digunakan untuk memintas papan keratan. Penggodam log kandungan papan keratan apabila data adalah teks. Nama dan tarikh juga dilog sebelum penimbal dihantar ke pelayan.
4.5.4. Tangkapan skrin
Satu lagi fungsi RTM ialah pemintasan tangkapan skrin. Ciri ini digunakan apabila modul pemantauan tetingkap mengesan tapak atau perisian perbankan yang diminati. Tangkapan skrin diambil menggunakan perpustakaan imej grafik dan dipindahkan ke pelayan arahan.
4.6. Penyahpasangan
Pelayan C&C boleh menghentikan perisian hasad daripada menjalankan dan membersihkan komputer anda. Perintah ini membolehkan anda mengosongkan fail dan entri pendaftaran yang dibuat semasa RTM sedang berjalan. DLL kemudiannya digunakan untuk mengalih keluar perisian hasad dan fail winlogon, selepas itu arahan itu mematikan komputer. Seperti yang ditunjukkan dalam imej di bawah, DLL dialih keluar oleh pembangun menggunakan erase.dll.
Pelayan boleh menghantar Trojan arahan uninstall-lock yang merosakkan. Dalam kes ini, jika anda mempunyai hak pentadbir, RTM akan memadamkan sektor but MBR pada cakera keras. Jika ini gagal, Trojan akan cuba mengalihkan sektor but MBR kepada sektor rawak - maka komputer tidak akan dapat boot OS selepas ditutup. Ini boleh membawa kepada pemasangan semula lengkap OS, yang bermaksud pemusnahan bukti.
Tanpa keistimewaan pentadbir, perisian hasad menulis .EXE yang dikodkan dalam DLL RTM yang mendasari. Boleh laku melaksanakan kod yang diperlukan untuk menutup komputer dan mendaftarkan modul dalam kunci pendaftaran HKCUCurrentVersionRun. Setiap kali pengguna memulakan sesi, komputer segera dimatikan.
4.7. Fail konfigurasi
Secara lalai, RTM hampir tidak mempunyai fail konfigurasi, tetapi pelayan arahan dan kawalan boleh menghantar nilai konfigurasi yang akan disimpan dalam pendaftaran dan digunakan oleh program. Senarai kunci konfigurasi dibentangkan dalam jadual di bawah:
Konfigurasi disimpan dalam kunci pendaftaran Perisian [Pseudo-random string]. Setiap nilai sepadan dengan salah satu baris yang dibentangkan dalam jadual sebelumnya. Nilai dan data dikodkan menggunakan algoritma RC4 dalam RTM.
Data mempunyai struktur yang sama seperti rangkaian atau rentetan. Kunci XOR empat bait ditambah pada permulaan data yang dikodkan. Untuk nilai konfigurasi, kunci XOR adalah berbeza dan bergantung pada saiz nilai. Ia boleh dikira seperti berikut:
xor_key = (len(config_value) << 24) | (len(nilai_konfigurasi) << 16)
| len(nilai_konfigurasi)| (len(nilai_konfigurasi) << 8)
4.8. Fungsi lain
Seterusnya, mari kita lihat fungsi lain yang disokong oleh RTM.
4.8.1. Modul tambahan
Trojan termasuk modul tambahan, iaitu fail DLL. Modul yang dihantar daripada pelayan arahan C&C boleh dilaksanakan sebagai program luaran, dicerminkan dalam RAM dan dilancarkan dalam rangkaian baharu. Untuk storan, modul disimpan dalam fail .dtt dan dikodkan menggunakan algoritma RC4 dengan kunci yang sama digunakan untuk komunikasi rangkaian.
Setakat ini kami telah memerhatikan pemasangan modul VNC (8966319882494077C21F66A8354E2CBCA0370464), modul pengekstrakan data penyemak imbas (03DE8622BE6B2F75A364A275995C3411626C4D9E1C2D1E562C1D69C6B_58) FC88753FBA7 B0BE3D4BXNUMXEXNUMXCFAB).
Untuk memuatkan modul VNC, pelayan C&C mengeluarkan arahan meminta sambungan ke pelayan VNC pada alamat IP tertentu pada port 44443. Pemalam pengambilan data penyemak imbas melaksanakan TBrowserDataCollector, yang boleh membaca sejarah penyemakan imbas IE. Kemudian ia menghantar senarai penuh URL yang dilawati ke pelayan arahan C&C.
Modul terakhir ditemui dipanggil 1c_2_kl. Ia boleh berinteraksi dengan pakej perisian 1C Enterprise. Modul ini merangkumi dua bahagian: bahagian utama - DLL dan dua ejen (32 dan 64 bit), yang akan disuntik ke dalam setiap proses, mendaftarkan pengikatan kepada WH_CBT. Setelah diperkenalkan ke dalam proses 1C, modul tersebut mengikat fungsi CreateFile dan WriteFile. Apabila fungsi terikat CreateFile dipanggil, modul menyimpan laluan fail 1c_to_kl.txt dalam memori. Selepas memintas panggilan WriteFile, ia memanggil fungsi WriteFile dan menghantar laluan fail 1c_to_kl.txt ke modul DLL utama, menghantar mesej Windows WM_COPYDATA yang dibuat.
Modul DLL utama membuka dan menghuraikan fail untuk menentukan pesanan pembayaran. Ia mengiktiraf jumlah dan nombor transaksi yang terkandung dalam fail. Maklumat ini dihantar ke pelayan arahan. Kami percaya modul ini sedang dibangunkan kerana ia mengandungi mesej nyahpepijat dan tidak boleh mengubah suai 1c_to_kl.txt secara automatik.
4.8.2. Peningkatan keistimewaan
RTM mungkin cuba meningkatkan keistimewaan dengan memaparkan mesej ralat palsu. Perisian hasad mensimulasikan semakan pendaftaran (lihat gambar di bawah) atau menggunakan ikon editor pendaftaran sebenar. Sila ambil perhatian salah ejaan tunggu β whait. Selepas beberapa saat pengimbasan, program memaparkan mesej ralat palsu.
Mesej palsu akan mudah menipu pengguna biasa, walaupun terdapat kesilapan tatabahasa. Jika pengguna mengklik pada salah satu daripada dua pautan, RTM akan cuba meningkatkan keistimewaannya dalam sistem.
Selepas memilih salah satu daripada dua pilihan pemulihan, Trojan melancarkan DLL menggunakan pilihan runas dalam fungsi ShellExecute dengan keistimewaan pentadbir. Pengguna akan melihat gesaan Windows sebenar (lihat imej di bawah) untuk ketinggian. Jika pengguna memberikan kebenaran yang diperlukan, Trojan akan berjalan dengan keistimewaan pentadbir.
Bergantung pada bahasa lalai yang dipasang pada sistem, Trojan memaparkan mesej ralat dalam bahasa Rusia atau Inggeris.
4.8.3. Sijil
RTM boleh menambah sijil pada Gedung Windows dan mengesahkan kebolehpercayaan penambahan dengan mengklik butang "ya" secara automatik dalam kotak dialog csrss.exe. Tingkah laku ini bukan baharu; contohnya, Trojan Retefe perbankan juga secara bebas mengesahkan pemasangan sijil baharu.
4.8.4. Sambungan terbalik
Pengarang RTM juga mencipta terowong TCP Sambung Balik. Kami belum melihat ciri itu digunakan lagi, tetapi ia direka untuk memantau PC yang dijangkiti dari jauh.
4.8.5. Pengurusan fail hos
Pelayan C&C boleh menghantar arahan kepada Trojan untuk mengubah suai fail hos Windows. Fail hos digunakan untuk membuat resolusi DNS tersuai.
4.8.6. Cari dan hantar fail
Pelayan boleh meminta untuk mencari dan memuat turun fail pada sistem yang dijangkiti. Sebagai contoh, semasa penyelidikan kami menerima permintaan untuk fail 1c_to_kl.txt. Seperti yang diterangkan sebelum ini, fail ini dijana oleh sistem perakaunan 1C: Enterprise 8.
4.8.7. Kemas kini
Akhir sekali, pengarang RTM boleh mengemas kini perisian dengan menyerahkan DLL baharu untuk menggantikan versi semasa.
5. Kesimpulannya
Penyelidikan RTM menunjukkan bahawa sistem perbankan Rusia masih menarik penyerang siber. Kumpulan seperti Buhtrap, Corkow dan Carbanak berjaya mencuri wang daripada institusi kewangan dan pelanggan mereka di Rusia. RTM ialah pemain baharu dalam industri ini.
Alat RTM berniat jahat telah digunakan sejak sekurang-kurangnya lewat 2015, menurut telemetri ESET. Program ini mempunyai rangkaian penuh keupayaan mengintip, termasuk membaca kad pintar, memintas ketukan kekunci dan memantau transaksi perbankan, serta mencari fail pengangkutan 1C: Enterprise 8.
Penggunaan domain peringkat atas .bit yang terdesentralisasi dan tidak ditapis memastikan infrastruktur yang sangat berdaya tahan.
Sumber: www.habr.com