Hemm diversi gruppi ċibernetiċi magħrufa li jispeċjalizzaw fil-serq ta 'fondi minn kumpaniji Russi. Rajna attakki li jużaw lakuni tas-sigurtà li jippermettu aċċess għan-netwerk tal-mira. Ladarba jiksbu aċċess, l-attakkanti jistudjaw l-istruttura tan-netwerk tal-organizzazzjoni u jużaw l-għodod tagħhom stess biex jisirqu l-fondi. Eżempju klassiku ta 'din it-tendenza huma l-gruppi tal-hackers Buhtrap, Cobalt u Corkow.
Il-grupp RTM li dan ir-rapport jiffoka fuqu huwa parti minn din it-tendenza. Juża malware iddisinjat apposta miktub f'Delphi, li se nħarsu lejh f'aktar dettall fit-taqsimiet li ġejjin. L-ewwel traċċi ta’ dawn l-għodod fis-sistema tat-telemetrija ESET ġew skoperti fl-aħħar tal-2015. It-tim jgħabbi diversi moduli ġodda fuq sistemi infettati kif meħtieġ. L-attakki huma mmirati lejn utenti ta 'sistemi bankarji remoti fir-Russja u xi pajjiżi ġirien.
1. Għanijiet
Il-kampanja RTM hija mmirata lejn utenti korporattivi - dan huwa ovvju mill-proċessi li l-attakkanti jippruvaw isibu f'sistema kompromessa. L-enfasi hija fuq is-softwer tal-kontabilità biex taħdem ma 'sistemi bankarji remoti.
Il-lista ta 'proċessi ta' interess għal RTM tixbaħ il-lista korrispondenti tal-grupp Buhtrap, iżda l-gruppi għandhom vettori ta 'infezzjoni differenti. Jekk Buhtrap uża paġni foloz aktar spiss, allura RTM uża attakki drive-by download (attakki fuq il-browser jew il-komponenti tiegħu) u spamming bl-email. Skont id-dejta tat-telemetrija, it-theddida hija mmirata lejn ir-Russja u diversi pajjiżi fil-viċin (l-Ukraina, il-Każakstan, ir-Repubblika Ċeka, il-Ġermanja). Madankollu, minħabba l-użu ta 'mekkaniżmi ta' distribuzzjoni tal-massa, l-iskoperta ta 'malware barra r-reġjuni fil-mira mhix sorprendenti.
In-numru totali ta 'skoperti ta' malware huwa relattivament żgħir. Min-naħa l-oħra, il-kampanja RTM tuża programmi kumplessi, li jindikaw li l-attakki huma mmirati ħafna.
Skoprejna diversi dokumenti decoy użati minn RTM, inklużi kuntratti ineżistenti, fatturi jew dokumenti tal-kontabilità tat-taxxa. In-natura tal-lures, flimkien mat-tip ta 'softwer immirat mill-attakk, tindika li l-attakkanti qed "jidħlu" fin-netwerks tal-kumpaniji Russi permezz tad-dipartiment tal-kontabilità. Il-grupp aġixxa skont l-istess skema fl-2014-2015
Matul ir-riċerka, stajna jinteraġixxu ma 'diversi servers C&C. Aħna se jelenkaw il-lista sħiħa ta 'kmandi fit-taqsimiet li ġejjin, iżda għalissa nistgħu ngħidu li l-klijent jittrasferixxi dejta mill-keylogger direttament lejn is-server li jattakka, li minnu mbagħad jiġu riċevuti kmandi addizzjonali.
Madankollu, il-ġranet meta inti tista 'sempliċement tikkonnettja ma' server ta 'kmand u kontroll u tiġbor id-dejta kollha li kont interessat fiha spiċċaw. Ħejna mill-ġdid log files realistiċi biex niksbu xi kmandi rilevanti mis-server.
L-ewwel waħda minnhom hija talba lill-bot biex jittrasferixxi l-fajl 1c_to_kl.txt - fajl tat-trasport tal-programm 1C: Enterprise 8, li d-dehra tiegħu hija mmonitorjata b'mod attiv minn RTM. 1C jinteraġixxi ma' sistemi bankarji remoti billi jtella' dejta dwar ħlasijiet ħerġin f'fajl ta' test. Sussegwentement, il-fajl jintbagħat lis-sistema bankarja remota għall-awtomazzjoni u l-eżekuzzjoni tal-ordni tal-ħlas.
Il-fajl fih dettalji tal-ħlas. Jekk l-attakkanti jibdlu l-informazzjoni dwar il-ħlasijiet ħerġin, it-trasferiment jintbagħat bl-użu ta’ dettalji foloz lill-kontijiet tal-attakkanti.
Madwar xahar wara li tlabna dawn il-fajls mis-server tal-kmand u l-kontroll, osservajna plugin ġdid, 1c_2_kl.dll, qed jitgħabba fis-sistema kompromessa. Il-modulu (DLL) huwa ddisinjat biex janalizza awtomatikament il-fajl tat-tniżżil billi jippenetra l-proċessi tas-softwer tal-kontabilità. Aħna ser niddeskrivuha fid-dettall fit-taqsimiet li ġejjin.
Interessanti, FinCERT tal-Bank tar-Russja fl-aħħar tal-2016 ħareġ twissija ta 'bullettin dwar ċiberkriminali li jużaw fajls ta' upload 1c_to_kl.txt. L-iżviluppaturi minn 1C jafu wkoll dwar din l-iskema; huma diġà għamlu stqarrija uffiċjali u elenkaw il-prekawzjonijiet.
Ġew mgħobbija wkoll moduli oħra mis-server tal-kmand, b'mod partikolari VNC (il-verżjonijiet tiegħu ta' 32 u 64 bit). Tixbah il-modulu VNC li qabel kien użat fl-attakki Trojan Dridex. Dan il-modulu suppost jintuża biex jgħaqqad mill-bogħod ma' kompjuter infettat u jagħmel studju dettaljat tas-sistema. Sussegwentement, l-attakkanti jippruvaw jiċċaqilqu madwar in-netwerk, estratt passwords tal-utenti, jiġbru informazzjoni u jiżguraw il-preżenza kostanti ta 'malware.
2. Vetturi ta 'infezzjoni
Il-figura li ġejja turi l-vetturi tal-infezzjoni misjuba matul il-perjodu ta 'studju tal-kampanja. Il-grupp juża firxa wiesgħa ta 'vettori, iżda prinċipalment drive-by download attakki u spam. Dawn l-għodod huma konvenjenti għal attakki mmirati, peress li fl-ewwel każ, l-attakkanti jistgħu jagħżlu siti miżjura minn vittmi potenzjali, u fit-tieni, jistgħu jibagħtu email b'annessi direttament lill-impjegati tal-kumpanija mixtieqa.
Il-malware huwa mqassam permezz ta 'kanali multipli, inklużi RIG u Sundown jisfruttaw kits jew spam mailings, li jindika konnessjonijiet bejn l-attakkanti u cyberattackers oħra li joffru dawn is-servizzi.
2.1. Kif huma relatati RTM u Buhtrap?
Il-kampanja RTM hija simili ħafna għal Buhtrap. Il-mistoqsija naturali hija: kif huma relatati ma 'xulxin?
F'Settembru 2016, osservajna kampjun RTM li qed jitqassam bl-użu tal-Buhtrap uploader. Barra minn hekk, sibna żewġ ċertifikati diġitali użati kemm f'Buhtrap kif ukoll f'RTM.
L-ewwel waħda, allegatament maħruġa lill-kumpanija DNISTER-M, intużat biex tiffirma b'mod diġitali t-tieni formola Delphi (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) u l-Buhtrap DLL (SHA-1: 1E2642B454B2D889B6D 41116).
It-tieni waħda, maħruġa lil Bit-Tredj, intużat biex tiffirma Buhtrap loaders (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 u B74F71560E48488D2153AE2FB51207A0AC206), kif ukoll komponenti RTM2E download u install.
L-operaturi RTM jużaw ċertifikati li huma komuni għal familji oħra ta 'malware, iżda għandhom ukoll ċertifikat uniku. Skont it-telemetrija ESET, inħarġet lil Kit-SD u ntużat biss biex tiffirma xi malware RTM (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM juża l-istess loader bħal Buhtrap, il-komponenti RTM huma mgħobbija mill-infrastruttura Buhtrap, għalhekk il-gruppi għandhom indikaturi tan-netwerk simili. Madankollu, skont l-istimi tagħna, RTM u Buhtrap huma gruppi differenti, għall-inqas minħabba li RTM huwa mqassam b'modi differenti (mhux biss bl-użu ta 'downloader "barrani").
Minkejja dan, il-gruppi tal-hackers jużaw prinċipji operattivi simili. Huma jimmiraw negozji li jużaw softwer tal-kontabilità, bl-istess mod jiġbru l-informazzjoni tas-sistema, ifittxu qarrejja tal-ismart cards, u jużaw firxa ta 'għodod malizzjużi biex jispjunaw fuq il-vittmi.
3. Evoluzzjoni
F'din it-taqsima, se nħarsu lejn il-verżjonijiet differenti ta 'malware misjuba matul l-istudju.
3.1. Verżjoni
RTM jaħżen id-dejta tal-konfigurazzjoni f'sezzjoni tar-reġistru, l-aktar parti interessanti tkun botnet-prefix. Lista tal-valuri kollha li rajna fil-kampjuni li studjajna hija ppreżentata fit-tabella hawn taħt.
Huwa possibbli li l-valuri jistgħu jintużaw biex jirreġistraw verżjonijiet tal-malware. Madankollu, aħna ma ndunax ħafna differenza bejn verżjonijiet bħal bit2 u bit3, 0.1.6.4 u 0.1.6.6. Barra minn hekk, wieħed mill-prefissi ilu madwar mill-bidu u evolviet minn dominju C&C tipiku għal dominju .bit, kif se jintwera hawn taħt.
3.2. Skeda
Bl-użu tad-dejta tat-telemetrija, ħloqna graff tal-okkorrenza tal-kampjuni.
4. Analiżi teknika
F'din it-taqsima, se niddeskrivu l-funzjonijiet ewlenin tat-Trojan bankarju RTM, inklużi mekkaniżmi ta 'reżistenza, il-verżjoni tiegħu stess tal-algoritmu RC4, protokoll tan-netwerk, funzjonalità ta' spying u xi karatteristiċi oħra. B'mod partikolari, se niffukaw fuq kampjuni SHA-1 AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 u 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. Installazzjoni u iffrankar
4.1.1. Implimentazzjoni
Il-qalba RTM hija DLL, il-librerija hija mgħobbija fuq disk bl-użu .EXE. Il-fajl eżekutibbli huwa normalment ippakkjat u fih kodiċi DLL. Ladarba titnieda, estratti d-DLL u jmexxiha billi tuża l-kmand li ġej:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. DLL
Id-DLL prinċipali hija dejjem mgħobbija fuq disk bħala winlogon.lnk fil-folder %PROGRAMDATA%Winlogon. Din l-estensjoni tal-fajl hija ġeneralment assoċjata ma 'shortcut, iżda l-fajl huwa fil-fatt DLL miktub f'Delphi, jismu core.dll mill-iżviluppatur, kif muri fl-immaġni hawn taħt.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Ladarba jitnieda, it-Trojan jattiva l-mekkaniżmu tar-reżistenza tiegħu. Dan jista’ jsir b’żewġ modi differenti, skont il-privileġġi tal-vittma fis-sistema. Jekk għandek drittijiet ta' amministratur, it-Trojan iżid dħul ta' Windows Update mar-reġistru HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun. Il-kmandi li jinsabu fil-Windows Update se jaħdmu fil-bidu tas-sessjoni tal-utent.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host
It-Trojan jipprova wkoll iżid kompitu mal-Windows Task Scheduler. Il-kompitu se jniedi l-winlogon.lnk DLL bl-istess parametri bħal hawn fuq. Id-drittijiet tal-utent regolari jippermettu lit-Trojan iżid dħul tal-Windows Update bl-istess dejta fir-reġistru HKCUSoftwareMicrosoftWindowsCurrentVersionRun:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Algoritmu RC4 modifikat
Minkejja n-nuqqasijiet magħrufa tiegħu, l-algoritmu RC4 jintuża regolarment minn awturi ta 'malware. Madankollu, il-ħallieqa tal-RTM immodifikawh ftit, probabbilment biex jagħmlu l-kompitu tal-analisti tal-virus aktar diffiċli. Verżjoni modifikata ta 'RC4 tintuża ħafna f'għodod RTM malizzjużi biex jikkriptaw kordi, data tan-netwerk, konfigurazzjoni u moduli.
4.2.1. Differenzi
L-algoritmu oriġinali RC4 jinkludi żewġ stadji: inizjalizzazzjoni s-block (magħruf ukoll bħala KSA - Key-Scheduling Algorithm) u ġenerazzjoni ta 'sekwenza psewdo-random (PRGA - Pseudo-Random Generation Algorithm). L-ewwel stadju jinvolvi l-inizjalizzazzjoni tal-s-box bl-użu taċ-ċavetta, u fit-tieni stadju t-test sors jiġi pproċessat bl-użu tal-s-box għall-encryption.
L-awturi RTM żiedu pass intermedju bejn l-inizjalizzazzjoni s-box u l-encryption. Iċ-ċavetta addizzjonali hija varjabbli u hija ssettjata fl-istess ħin bħad-data li għandha tiġi kkodifikata u decrypted. Il-funzjoni li twettaq dan il-pass addizzjonali tidher fil-figura hawn taħt.
4.2.2. String encryption
L-ewwel daqqa t'għajn, hemm diversi linji li jinqraw fid-DLL prinċipali. Il-bqija huma encrypted bl-użu tal-algoritmu deskritt hawn fuq, li l-istruttura tiegħu tidher fil-figura li ġejja. Sibna aktar minn 25 ċavetta RC4 differenti għall-istring encryption fil-kampjuni analizzati. Iċ-ċavetta XOR hija differenti għal kull ringiela. Il-valur tal-linji li jisseparaw il-qasam numeriku huwa dejjem 0xFFFFFFFF.
Fil-bidu tal-eżekuzzjoni, RTM jiddeċifra l-kordi f'varjabbli globali. Meta jkun meħtieġ biex jaċċessa string, it-Trojan jikkalkula dinamikament l-indirizz tal-kordi decrypted ibbażat fuq l-indirizz bażi u l-offset.
Il-kordi fihom informazzjoni interessanti dwar il-funzjonijiet tal-malware. Xi strings ta' eżempju huma pprovduti fit-Taqsima 6.8.
4.3. Netwerk
Il-mod kif il-malware RTM jikkuntattja lis-server C&C ivarja minn verżjoni għall-oħra. L-ewwel modifiki (Ottubru 2015 - April 2016) użaw ismijiet ta 'dominju tradizzjonali flimkien ma' RSS feed fuq livejournal.com biex jaġġornaw il-lista ta 'kmandi.
Minn April 2016, rajna bidla għal oqsma .bit fid-dejta tat-telemetrija. Dan huwa kkonfermat mid-data ta 'reġistrazzjoni tad-dominju - l-ewwel dominju RTM fde05d0573da.bit ġie rreġistrat fit-13 ta' Marzu 2016.
L-URLs kollha li rajna waqt il-monitoraġġ tal-kampanja kellhom mogħdija komuni: /r/z.php. Huwa pjuttost mhux tas-soltu u se jgħin biex jiġu identifikati talbiet RTM fil-flussi tan-netwerk.
4.3.1. Kanal għall-kmandi u l-kontroll
Eżempji tal-wirt użaw dan il-kanal biex jaġġornaw il-lista tagħhom ta 'servers ta' kmand u kontroll. Hosting jinsab fuq livejournal.com, fil-ħin tal-kitba tar-rapport baqa 'fil-URL hxxp://f72bba81c921(.)livejournal(.)com/ data/rss.
Livejournal hija kumpanija Russa-Amerikana li tipprovdi pjattaforma tal-blogging. L-operaturi RTM joħolqu blog LJ li fih ipoġġu artiklu bi kmandi kodifikati - ara screenshot.
Il-linji tal-kmand u tal-kontroll huma kodifikati bl-użu ta' algoritmu RC4 modifikat (Taqsima 4.2). Il-verżjoni attwali (Novembru 2016) tal-kanal fiha l-indirizzi tas-server ta' kmand u kontroll li ġejjin:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. dominji .bit
Fil-biċċa l-kbira tal-kampjuni RTM reċenti, l-awturi jgħaqqdu ma 'dominji C&C billi jużaw id-dominju tal-ogħla livell .bit TLD. Mhix fil-lista ta' dominji tal-ogħla livell tal-ICANN (Isem tad-Dominju u Korporazzjoni tal-Internet). Minflok, juża s-sistema Namecoin, li hija mibnija fuq it-teknoloġija Bitcoin. L-awturi ta' malware spiss ma jużawx it-TLD .bit għad-dominji tagħhom, għalkemm eżempju ta' użu bħal dan kien osservat qabel f'verżjoni tal-botnet Necurs.
B'differenza Bitcoin, l-utenti tad-database Namecoin mqassma għandhom il-kapaċità li jiffrankaw id-dejta. L-applikazzjoni ewlenija ta 'din il-karatteristika hija d-dominju tal-ogħla livell .bit. Tista' tirreġistra oqsma li se jinħażnu f'database mqassma. L-entrati korrispondenti fid-database fihom indirizzi IP solvuti mid-dominju. Dan it-TLD huwa "reżistenti għaċ-ċensura" għaliex ir-reġistrant biss jista' jibdel ir-riżoluzzjoni tad-dominju .bit. Dan ifisser li huwa ħafna aktar diffiċli li twaqqaf dominju malizzjuż billi juża dan it-tip ta 'TLD.
L-RTM Trojan ma jinkorporax is-softwer meħtieġ biex taqra d-database Namecoin distribwita. Juża servers DNS ċentrali bħal dns.dot-bit.org jew servers OpenNic biex isolvi dominji .bit. Għalhekk, għandu l-istess durabilità bħas-servers DNS. Osservajna li xi domains tat-tim ma baqgħux skoperti wara li ssemmew f'post tal-blog.
Vantaġġ ieħor tat-TLD .bit għall-hackers huwa l-ispiża. Biex jirreġistraw dominju, l-operaturi jridu jħallsu biss 0,01 NK, li jikkorrispondi għal $0,00185 (mill-5 ta' Diċembru 2016). Għal tqabbil, domain.com jiswa mill-inqas $10.
4.3.3. Protokoll
Biex tikkomunika mas-server ta 'kmand u kontroll, RTM juża talbiet HTTP POST b'dejta fformattjata bl-użu ta' protokoll tad-dwana. Il-valur tal-passaġġ huwa dejjem /r/z.php; Aġent tal-utent Mozilla/5.0 (kompatibbli; MSIE 9.0; Windows NT 6.1; Trident/5.0). Fit-talbiet lis-server, id-dejta hija fformattjata kif ġej, fejn il-valuri tal-offset huma espressi f'bytes:
Bytes 0 sa 6 mhumiex kodifikati; bytes li jibdew minn 6 huma kodifikati bl-użu ta' algoritmu RC4 modifikat. L-istruttura tal-pakkett tar-rispons C&C hija aktar sempliċi. Bytes huma kodifikati minn 4 sa daqs tal-pakkett.
Il-lista ta' valuri ta' byte ta' azzjoni possibbli hija ppreżentata fit-tabella hawn taħt:
Il-malware dejjem jikkalkula s-CRC32 tad-dejta decrypted u jqabbelha ma 'dak li huwa preżenti fil-pakkett. Jekk ikunu differenti, it-Trojan iwaqqa' l-pakkett.
Id-dejta addizzjonali jista' jkun fiha diversi oġġetti, inkluż fajl PE, fajl li jrid jitfittex fis-sistema tal-fajls, jew URLs ta' kmand ġodda.
4.3.4. Panel
Aħna ndunat li RTM juża panel fuq is-servers C&C. Screenshot hawn taħt:
4.4. Sinjal karatteristiku
RTM huwa Trojan bankarju tipiku. Mhux sorpriża li l-operaturi jridu informazzjoni dwar is-sistema tal-vittma. Min-naħa waħda, il-bot jiġbor informazzjoni ġenerali dwar l-OS. Min-naħa l-oħra, issir taf jekk is-sistema kompromessa fihax attributi assoċjati mas-sistemi bankarji remoti Russi.
4.4.1. Informazzjoni ġenerali
Meta l-malware jiġi installat jew imniedi wara reboot, jintbagħat rapport lis-server tal-kmand u l-kontroll li jkun fih informazzjoni ġenerali inkluża:
- Żona tal-ħin;
- lingwa default tas-sistema;
- kredenzjali tal-utent awtorizzat;
- livell ta 'integrità tal-proċess;
- Username;
- isem tal-kompjuter;
- Verżjoni OS;
- moduli installati addizzjonali;
- programm antivirus installat;
- lista ta’ qarrejja ta’ smart cards.
4.4.2 Sistema bankarja mill-bogħod
Mira Trojan tipika hija sistema bankarja remota, u RTM mhijiex eċċezzjoni. Wieħed mill-moduli tal-programm jissejjaħ TBdo, li jwettaq diversi kompiti, inkluż l-iskannjar tad-diski u l-istorja tal-browsing.
Billi jiskennja d-diska, it-Trojan jiċċekkja jekk is-software bankarju huwiex installat fuq il-magna. Il-lista sħiħa tal-programmi fil-mira tinsab fit-tabella hawn taħt. Wara li skopra fajl ta 'interess, il-programm jibgħat informazzjoni lis-server tal-kmand. L-azzjonijiet li jmiss jiddependu fuq il-loġika speċifikata mill-algoritmi taċ-ċentru tal-kmand (C&C).
RTM ifittex ukoll mudelli tal-URL fl-istorja tal-browser tiegħek u tabs miftuħa. Barra minn hekk, il-programm jeżamina l-użu tal-funzjonijiet FindNextUrlCacheEntryA u FindFirstUrlCacheEntryA, u jiċċekkja wkoll kull dħul biex jaqbel mal-URL ma 'wieħed mill-mudelli li ġejjin:
Wara li skopra tabs miftuħa, it-Trojan jikkuntattja lill-Internet Explorer jew lil Firefox permezz tal-mekkaniżmu Dynamic Data Exchange (DDE) biex jiċċekkja jekk it-tab taqbilx mal-mudell.
Il-verifika tal-istorja tal-ibbrawżjar tiegħek u t-tabs miftuħa ssir f'linja WHILE (linja bi prekundizzjoni) b'waqfa ta' sekonda bejn il-kontrolli. Dejta oħra li hija mmonitorjata f'ħin reali se tiġi diskussa fit-taqsima 1.
Jekk jinstab mudell, il-programm jirrapporta dan lis-server tal-kmand billi juża lista ta’ kordi mit-tabella li ġejja:
4.5 Monitoraġġ
Waqt li t-Trojan ikun qed jaħdem, tintbagħat lis-server tal-kmand u l-kontroll informazzjoni dwar il-karatteristiċi tas-sistema infettata (inkluża informazzjoni dwar il-preżenza ta 'softwer bankarju). It-teħid tal-marki tas-swaba' jseħħ meta l-RTM iħaddem l-ewwel is-sistema ta' monitoraġġ immedjatament wara l-iskanjar inizjali tal-OS.
4.5.1. Servizzi bankarji mill-bogħod
Il-modulu TBdo huwa wkoll responsabbli għall-monitoraġġ tal-proċessi relatati mal-banek. Juża skambju dinamiku tad-dejta biex jiċċekkja t-tabs fil-Firefox u l-Internet Explorer waqt l-iskannjar inizjali. Modulu TShell ieħor jintuża biex jimmonitorja t-twieqi tal-kmand (Internet Explorer jew File Explorer).
Il-modulu juża l-interfaces COM IShellWindows, iWebBrowser, DWebBrowserEvents2 u IConnectionPointContainer biex jimmonitorja t-twieqi. Meta utent jinnaviga għal paġna web ġdida, il-malware jinnota dan. Imbagħad tqabbel il-URL tal-paġna mal-mudelli ta 'hawn fuq. Wara li skopra taqbila, it-Trojan jieħu sitt screenshots konsekuttivi b'intervall ta '5 sekondi u jibgħathom lis-server tal-kmand C&S. Il-programm jiċċekkja wkoll xi ismijiet tat-twieqi relatati mas-softwer bankarju - il-lista sħiħa hija hawn taħt:
4.5.2. Smart card
RTM jippermettilek timmonitorja qarrejja tal-ismart cards konnessi ma' kompjuters infettati. Dawn l-apparati jintużaw f'xi pajjiżi biex jirrikonċiljaw ordnijiet ta 'ħlas. Jekk dan it-tip ta' apparat ikun imwaħħal ma' kompjuter, jista' jindika lil Trojan li l-magna qed tintuża għal transazzjonijiet bankarji.
B'differenza Trojans bankarji oħra, RTM ma jistax jinteraġixxi ma 'tali smart cards. Forsi din il-funzjonalità hija inkluża f'modulu addizzjonali li għadna ma rajniex.
4.5.3. Keylogger
Parti importanti mill-monitoraġġ ta' PC infettat hija l-qbid tat-tasti. Jidher li l-iżviluppaturi RTM m'huma nieqsa l-ebda informazzjoni, peress li jimmonitorjaw mhux biss ċwievet regolari, iżda wkoll it-tastiera virtwali u l-clipboard.
Biex tagħmel dan, uża l-funzjoni SetWindowsHookExA. L-attakkanti jirreġistraw iċ-ċwievet ippressati jew iċ-ċwievet li jikkorrispondu mat-tastiera virtwali, flimkien mal-isem u d-data tal-programm. Il-buffer imbagħad jintbagħat lis-server tal-kmand C&C.
Il-funzjoni SetClipboardViewer tintuża biex tinterċetta l-clipboard. Il-hackers jirreġistraw il-kontenut tal-clipboard meta d-data tkun test. L-isem u d-data huma wkoll illoggjati qabel il-buffer jintbagħat lis-server.
4.5.4. Screenshots
Funzjoni oħra RTM hija l-interċettazzjoni ta 'screenshot. Il-karatteristika hija applikata meta l-modulu ta 'monitoraġġ tat-tieqa jiskopri sit jew softwer bankarju ta' interess. Screenshots jittieħdu bl-użu ta 'librerija ta' stampi grafiċi u jiġu trasferiti lis-server tal-kmand.
4.6. Disinstallazzjoni
Is-server C&C jista’ jwaqqaf il-malware milli jaħdem u jnaddaf il-kompjuter tiegħek. Il-kmand jippermettilek tikklerja fajls u entrati tar-reġistru maħluqa waqt li tkun qed taħdem RTM. Id-DLL imbagħad tintuża biex tneħħi l-malware u l-fajl winlogon, u wara l-kmand jagħlaq il-kompjuter. Kif muri fl-immaġni hawn taħt, id-DLL titneħħa mill-iżviluppaturi li jużaw erase.dll.
Is-server jista 'jibgħat lit-Trojan kmand distruttiv uninstall-lock. F'dan il-każ, jekk għandek drittijiet ta 'amministratur, RTM se jħassar is-settur tal-boot MBR fuq il-hard drive. Jekk dan ifalli, it-Trojan jipprova jċaqlaq is-settur tal-boot MBR għal settur każwali - allura l-kompjuter ma jkunx jista 'jibbotja l-OS wara l-għeluq. Dan jista 'jwassal għal installazzjoni mill-ġdid sħiħa tal-OS, li jfisser il-qerda tal-evidenza.
Mingħajr privileġġi ta 'amministratur, il-malware jikteb .EXE kodifikat fid-DLL RTM sottostanti. L-eżekutibbli jesegwixxi l-kodiċi meħtieġ biex jagħlaq il-kompjuter u jirreġistra l-modulu fiċ-ċavetta tar-reġistru HKCUCurrentVersionRun. Kull darba li l-utent jibda sessjoni, il-kompjuter jagħlaq immedjatament.
4.7. Il-fajl tal-konfigurazzjoni
B'mod awtomatiku, RTM m'għandu kważi l-ebda fajl ta 'konfigurazzjoni, iżda s-server ta' kmand u kontroll jista 'jibgħat valuri ta' konfigurazzjoni li se jinħażnu fir-reġistru u jintużaw mill-programm. Il-lista taċ-ċwievet tal-konfigurazzjoni hija ppreżentata fit-tabella hawn taħt:
Il-konfigurazzjoni hija maħżuna fiċ-ċavetta tar-reġistru tas-Software[Sewdo-random string]. Kull valur jikkorrispondi għal waħda mir-ringieli ppreżentati fit-tabella preċedenti. Il-valuri u d-dejta huma kodifikati bl-użu tal-algoritmu RC4 f'RTM.
Id-dejta għandha l-istess struttura bħal netwerk jew kordi. Ċavetta XOR ta 'erba' byte hija miżjuda fil-bidu tad-dejta kodifikata. Għall-valuri tal-konfigurazzjoni, iċ-ċavetta XOR hija differenti u tiddependi fuq id-daqs tal-valur. Jista' jiġi kkalkulat kif ġej:
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)
4.8. Karatteristiċi oħra
Sussegwentement, ejja nħarsu lejn funzjonijiet oħra li RTM jappoġġja.
4.8.1. Moduli addizzjonali
It-Trojan jinkludi moduli addizzjonali, li huma fajls DLL. Moduli mibgħuta mis-server tal-kmand C&C jistgħu jiġu esegwiti bħala programmi esterni, riflessi fir-RAM u mnedija f'ħjut ġodda. Għall-ħażna, il-moduli jiġu ffrankati f'fajls .dtt u kodifikati bl-użu tal-algoritmu RC4 bl-istess ċavetta użata għall-komunikazzjonijiet tan-netwerk.
S'issa osservajna l-installazzjoni tal-modulu VNC (8966319882494077C21F66A8354E2CBCA0370464), il-modulu tal-estrazzjoni tad-dejta tal-brawżer (03DE8622BE6B2F75A364A275995C3411626C4EF_9 u l-modulu C1EFC_2) 1FBA562B1 69BE6D58B88753E7CFAB).
Biex jgħabbi l-modulu VNC, is-server C&C joħroġ kmand li jitlob konnessjonijiet mas-server VNC f'indirizz IP speċifiku fuq il-port 44443. Il-plugin tal-irkupru tad-dejta tal-browser jesegwixxi TBrowserDataCollector, li jista 'jaqra l-istorja tal-ibbrawżjar tal-IE. Imbagħad tibgħat il-lista sħiħa tal-URLs miżjura lis-server tal-kmand C&C.
L-aħħar modulu skopert jissejjaħ 1c_2_kl. Jista' jinteraġixxi mal-pakkett tas-softwer 1C Enterprise. Il-modulu jinkludi żewġ partijiet: il-parti prinċipali - DLL u żewġ aġenti (32 u 64 bit), li se jiġu injettati f'kull proċess, jirreġistraw rabta ma 'WH_CBT. Wara li ġie introdott fil-proċess 1C, il-modulu jorbot il-funzjonijiet CreateFile u WriteFile. Kull meta tissejjaħ il-funzjoni marbuta CreateFile, il-modulu jaħżen il-mogħdija tal-fajl 1c_to_kl.txt fil-memorja. Wara li jinterċetta s-sejħa WriteFile, isejjaħ il-funzjoni WriteFile u jibgħat il-mogħdija tal-fajl 1c_to_kl.txt lill-modulu DLL prinċipali, u jgħaddiha l-messaġġ Windows WM_COPYDATA maħdum.
Il-modulu DLL ewlieni jiftaħ u janalizza l-fajl biex jiddetermina ordnijiet ta 'ħlas. Jirrikonoxxi l-ammont u n-numru tat-tranżazzjoni li jinsabu fil-fajl. Din l-informazzjoni tintbagħat lis-server tal-kmand. Aħna nemmnu li dan il-modulu bħalissa qed jiġi żviluppat minħabba li fih messaġġ ta' debug u ma jistax jimmodifika awtomatikament 1c_to_kl.txt.
4.8.2. Eskalazzjoni tal-privileġġ
RTM jista' jipprova jżid il-privileġġi billi juri messaġġi ta' żball foloz. Il-malware jissimula kontroll tar-reġistru (ara l-istampa hawn taħt) jew juża ikona reali tal-editur tar-reġistru. Jekk jogħġbok innota l-ortografija ħażina stenna - whait. Wara ftit sekondi ta 'skannjar, il-programm juri messaġġ ta' żball falz.
Messaġġ falz faċilment iqarraq bl-utent medju, minkejja żbalji grammatikali. Jekk l-utent jikklikkja fuq waħda miż-żewġ links, RTM jipprova jżid il-privileġġi tiegħu fis-sistema.
Wara li tagħżel waħda minn żewġ għażliet ta 'rkupru, it-Trojan iniedi d-DLL billi juża l-għażla runas fil-funzjoni ShellExecute bi privileġġi ta' amministratur. L-utent se jara pront reali tal-Windows (ara l-immaġni hawn taħt) għall-elevazzjoni. Jekk l-utent jagħti l-permessi meħtieġa, it-Trojan jaħdem bi privileġġi ta’ amministratur.
Skont il-lingwa awtomatika installata fis-sistema, it-Trojan juri messaġġi ta 'żball bir-Russu jew bl-Ingliż.
4.8.3. Ċertifikat
RTM jista 'jżid ċertifikati mal-Windows Store u jikkonferma l-affidabbiltà taż-żieda billi tikklikkja awtomatikament il-buttuna "iva" fil-kaxxa tad-djalogu csrss.exe. Din l-imġieba mhix ġdida; pereżempju, it-Trojan bankarju Retefe jikkonferma wkoll b'mod indipendenti l-installazzjoni ta 'ċertifikat ġdid.
4.8.4. Konnessjoni b'lura
L-awturi RTM ħolqu wkoll il-mina Backconnect TCP. Għadna ma rajniex il-karatteristika qed tintuża, iżda hija mfassla biex tissorvelja mill-bogħod PCs infettati.
4.8.5. Ġestjoni tal-fajl ospitanti
Is-server C&C jista 'jibgħat kmand lit-Trojan biex jimmodifika l-fajl ospitanti tal-Windows. Il-fajl ospitanti jintuża biex jinħolqu riżoluzzjonijiet tad-DNS tad-dwana.
4.8.6. Sib u ibgħat fajl
Is-server jista' jitlob li jfittex u jniżżel fajl fuq is-sistema infettata. Pereżempju, waqt ir-riċerka rċevejna talba għall-fajl 1c_to_kl.txt. Kif deskritt qabel, dan il-fajl huwa ġġenerat mis-sistema ta 'kontabilità 1C: Enterprise 8.
4.8.7. Aġġornament
Fl-aħħarnett, l-awturi RTM jistgħu jaġġornaw is-softwer billi jissottomettu DLL ġdida biex tissostitwixxi l-verżjoni attwali.
5. Konklużjoni
Ir-riċerka tal-RTM turi li s-sistema bankarja Russa għadha tattira attakkanti ċibernetiċi. Gruppi bħal Buhtrap, Corkow u Carbanak b’suċċess jisirqu flus mill-istituzzjonijiet finanzjarji u l-klijenti tagħhom fir-Russja. RTM huwa attur ġdid f'din l-industrija.
Għodod RTM malizzjużi ilhom jintużaw mill-inqas tard fl-2015, skont it-telemetrija ESET. Il-programm għandu firxa sħiħa ta 'kapaċitajiet ta' spjunaġġ, inkluż il-qari ta 'smart cards, l-interċettazzjoni ta' keystrokes u l-monitoraġġ ta 'tranżazzjonijiet bankarji, kif ukoll it-tiftix għal fajls tat-trasport 1C: Enterprise 8.
L-użu ta' dominju tal-ogħla livell .bit deċentralizzat u mhux iċċensurat jiżgura infrastruttura reżiljenti ħafna.
Sors: www.habr.com