ရုရှားကုမ္ပဏီများထံမှ ငွေကြေးများကို ခိုးယူရာတွင် အထူးပြုသည့် နာမည်ကြီး ဆိုက်ဘာအုပ်စုများစွာရှိသည်။ ပစ်မှတ်၏ကွန်ရက်သို့ဝင်ရောက်ခွင့်ပေးသည့် လုံခြုံရေးကွက်လပ်များကို အသုံးပြု၍ တိုက်ခိုက်မှုများကို ကျွန်ုပ်တို့တွေ့မြင်ခဲ့ရပါသည်။ ၎င်းတို့ဝင်ရောက်ခွင့်ရပြီးသည်နှင့် တိုက်ခိုက်သူများသည် အဖွဲ့အစည်း၏ကွန်ရက်ဖွဲ့စည်းပုံကို လေ့လာပြီး ရန်ပုံငွေများကိုခိုးယူရန် ၎င်းတို့၏ကိုယ်ပိုင်ကိရိယာများကို အသုံးပြုကြသည်။ ဤလမ်းကြောင်း၏ ဂန္တဝင်ဥပမာတစ်ခုမှာ ဟက်ကာအုပ်စုများဖြစ်သည့် Buhtrap၊ Cobalt နှင့် Corkow တို့ဖြစ်သည်။
ဤအစီရင်ခံစာကိုအာရုံစိုက်သည့် RTM အဖွဲ့သည် ဤလမ်းကြောင်း၏တစ်စိတ်တစ်ပိုင်းဖြစ်သည်။ ၎င်းသည် Delphi တွင် ရေးသားထားသော အထူးဒီဇိုင်းထုတ်ထားသော malware ကို အသုံးပြုထားပြီး အောက်ပါကဏ္ဍများတွင် ကျွန်ုပ်တို့ အသေးစိတ်ကြည့်ရှုပါမည်။ ESET တယ်လီမီတာစနစ်ရှိ ဤကိရိယာများ၏ ပထမဆုံးခြေရာများကို 2015 နှစ်ကုန်ပိုင်းတွင် ရှာဖွေတွေ့ရှိခဲ့သည်။ အဖွဲ့သည် လိုအပ်သလို ကူးစက်ထားသော စနစ်များပေါ်တွင် အမျိုးမျိုးသော module အသစ်များကို တင်ပါသည်။ ယခုတိုက်ခိုက်မှုသည် ရုရှားနိုင်ငံနှင့် အိမ်နီးချင်းနိုင်ငံအချို့ရှိ ဝေးလံခေါင်သီသော ဘဏ်လုပ်ငန်းစနစ် သုံးစွဲသူများကို ရည်ရွယ်ခြင်းဖြစ်သည်။
1. ရည်ရွယ်ချက်များ
RTM ကမ်ပိန်းသည် ကော်ပိုရိတ်အသုံးပြုသူများအတွက် ရည်ရွယ်သည် - ဤသည်မှာ တိုက်ခိုက်သူများ အပေးအယူခံရသောစနစ်တွင် ရှာဖွေတွေ့ရှိသည့် လုပ်ငန်းစဉ်များမှ ထင်ရှားပါသည်။ ဝေးလံခေါင်သီသော ဘဏ်လုပ်ငန်းစနစ်များနှင့် လုပ်ဆောင်ရန်အတွက် စာရင်းကိုင်ဆော့ဖ်ဝဲကို အဓိကထားလုပ်ဆောင်သည်။
RTM အတွက် စိတ်ဝင်စားသော လုပ်ငန်းစဉ်များစာရင်းသည် Buhtrap အုပ်စု၏ သက်ဆိုင်ရာစာရင်းနှင့် ဆင်တူသော်လည်း အုပ်စုများတွင် မတူညီသော ကူးစက်ရောဂါများရှိသည်။ Buhtrap သည် စာမျက်နှာအတုများကို ပို၍မကြာခဏအသုံးပြုပါက RTM သည် drive-by download attacks (ဘရောက်ဆာ သို့မဟုတ် ၎င်း၏အစိတ်အပိုင်းများကို တိုက်ခိုက်ခြင်း) နှင့် အီးမေးလ်ဖြင့် spam များကိုအသုံးပြုသည်။ တယ်လီမီတာဒေတာအရ ခြိမ်းခြောက်မှုသည် ရုရှားနှင့် အနီးနားနိုင်ငံအများအပြား (ယူကရိန်း၊ ကာဇက်စတန်၊ ချက်သမ္မတနိုင်ငံ၊ ဂျာမနီ) ကို ရည်ရွယ်သည်။ သို့သော်၊ အစုလိုက်အပြုံလိုက် ဖြန့်ဖြူးရေးယန္တရားများကို အသုံးပြုခြင်းကြောင့် ပစ်မှတ်ဒေသများအပြင်ဘက်ရှိ malware များကို ရှာဖွေတွေ့ရှိခြင်းသည် အံ့သြစရာမဟုတ်ပါ။
Общее число обнаружений вредоносного ПО сравнительно невелико. С другой стороны, в кампании RTM используются сложные программы, что свидетельствует о высокой таргетированности атак.
တည်ရှိခြင်းမရှိသော စာချုပ်များ၊ ပြေစာများ သို့မဟုတ် အခွန်ငွေစာရင်းစာရွက်စာတမ်းများအပါအဝင် RTM မှအသုံးပြုသော အတုအယောင်စာရွက်စာတမ်းအများအပြားကို ကျွန်ုပ်တို့ ရှာဖွေတွေ့ရှိထားပါသည်။ တိုက်ခိုက်ရန် ပစ်မှတ်ထားသော ဆော့ဖ်ဝဲအမျိုးအစားနှင့် ပေါင်းစပ်ထားသော ဆွဲဆောင်မှုများ၏ သဘောသဘာဝမှာ၊ တိုက်ခိုက်သူများသည် စာရင်းကိုင်ဌာနမှတစ်ဆင့် ရုရှားကုမ္ပဏီများ၏ ကွန်ရက်များသို့ “ဝင်ရောက်” နေကြောင်း ညွှန်ပြနေသည်။ အဖွဲ့သည် တူညီသော အစီအစဥ်အတိုင်း လုပ်ဆောင်ခဲ့သည်။ 2014-2015 ခုနှစ်
သုတေသနပြုလုပ်နေစဉ်အတွင်း၊ ကျွန်ုပ်တို့သည် C&C ဆာဗာများစွာနှင့် အပြန်အလှန်တုံ့ပြန်နိုင်ခဲ့သည်။ ကျွန်ုပ်တို့သည် အောက်ပါကဏ္ဍများတွင် command များစာရင်းအပြည့်အစုံကို စာရင်းပြုစုထားမည်ဖြစ်ပြီး၊ သို့သော် ယခုအခါ client သည် keylogger မှ data များကို attacking server သို့တိုက်ရိုက်လွှဲပြောင်းပေးသည်၊ ထို့နောက် ထပ်ဆင့် command များကိုလက်ခံရရှိမည်ဖြစ်သည်။
သို့သော်၊ သင်သည် command နှင့် control server သို့ရိုးရှင်းစွာချိတ်ဆက်နိုင်ပြီးသင်စိတ်ဝင်စားသောဒေတာအားလုံးကိုစုဆောင်းနိုင်သည့်နေ့ရက်များမရှိတော့ပါ။ ဆာဗာမှ သက်ဆိုင်ရာ ညွှန်ကြားချက်အချို့ကို ရယူရန်အတွက် လက်တွေ့ဆန်သော မှတ်တမ်းဖိုင်များကို ကျွန်ုပ်တို့ ဖန်တီးထားပါသည်။
၎င်းတို့ထဲမှ ပထမဆုံးမှာ 1c_to_kl.txt - 1C: Enterprise 8 ပရိုဂရမ်၏ သယ်ယူပို့ဆောင်ရေးဖိုင်ဖြစ်သည့် RTM မှ တက်ကြွစွာ စောင့်ကြည့်နေသည့် အသွင်အပြင်ကို လွှဲပြောင်းပေးရန် bot သို့ တောင်းဆိုချက်ဖြစ်သည်။ 1C သည် အထွက်ငွေပေးချေမှုဆိုင်ရာ ဒေတာကို စာသားဖိုင်သို့ အပ်လုဒ်တင်ခြင်းဖြင့် အဝေးမှ ဘဏ်စနစ်များနှင့် အပြန်အလှန် တုံ့ပြန်ပါသည်။ ထို့နောက်၊ ငွေပေးချေမှုအမိန့်ကို အလိုအလျောက်လုပ်ဆောင်ရန်နှင့် အကောင်အထည်ဖော်ရန်အတွက် အဝေးထိန်းဘဏ်စနစ်သို့ ဖိုင်ကို ပေးပို့သည်။
ဖိုင်တွင် ငွေပေးချေမှုအသေးစိတ်များ ပါရှိသည်။ အကယ်၍ တိုက်ခိုက်သူများသည် အထွက်ငွေပေးချေမှုများဆိုင်ရာ အချက်အလက်များကို ပြောင်းလဲပါက၊ မှားယွင်းသောအသေးစိတ်အချက်အလက်များကို အသုံးပြု၍ လွှဲပြောင်းမှုသည် တိုက်ခိုက်သူများ၏အကောင့်များသို့ ပေးပို့မည်ဖြစ်သည်။
ဤဖိုင်များကို အမိန့်ပေးစာနှင့် ထိန်းချုပ်မှုဆာဗာမှ တောင်းဆိုပြီးနောက် တစ်လခန့်အကြာတွင်၊ ကျွန်ုပ်တို့သည် ပလပ်အင်အသစ် 1c_2_kl.dll ကို အပေးအယူလုပ်ထားသည့်စနစ်တွင် တင်ထားကြောင်း တွေ့ရှိခဲ့သည်။ module (DLL) သည် စာရင်းကိုင်ဆော့ဖ်ဝဲလုပ်ငန်းစဉ်များကို ထိုးဖောက်ဝင်ရောက်ခြင်းဖြင့် ဒေါင်းလုဒ်ဖိုင်ကို အလိုအလျောက်ခွဲခြမ်းစိတ်ဖြာရန် ဒီဇိုင်းထုတ်ထားသည်။ ၎င်းကို အောက်ပါကဏ္ဍများတွင် အသေးစိတ်ဖော်ပြပါမည်။
စိတ်ဝင်စားစရာမှာ၊ 2016 နှစ်ကုန်တွင် ရုရှားဘဏ်၏ FinCERT သည် 1c_to_kl.txt ဖိုင်များကို အပ်လုဒ်တင်သည့် ဆိုက်ဘာရာဇ၀တ်ကောင်များအကြောင်း သတိပေးချက် ထုတ်ပြန်ခဲ့သည်။ 1C မှ developer များသည် ဤအစီအစဥ်အကြောင်းကိုလည်း သိရှိကြပြီး၊ ၎င်းတို့သည် တရားဝင်ထုတ်ပြန်ချက်တစ်ခုနှင့် ကြိုတင်ကာကွယ်မှုများကို စာရင်းပြုစုထားပြီးဖြစ်သည်။
အထူးသဖြင့် VNC (၎င်း၏ 32 နှင့် 64-bit ဗားရှင်းများ) မှ အခြားသော မော်ဂျူးများကို အမိန့်ပေးဆာဗာမှ တင်ပေးခဲ့သည်။ ၎င်းသည် Dridex Trojan တိုက်ခိုက်မှုများတွင် ယခင်က အသုံးပြုခဲ့သည့် VNC module နှင့် ဆင်တူသည်။ ဤ module ကို ကူးစက်ခံထားရသော ကွန်ပျူတာနှင့် အဝေးမှ ချိတ်ဆက်ရန်နှင့် စနစ်၏ အသေးစိတ်လေ့လာမှုကို လုပ်ဆောင်ရန် အသုံးပြုသည်ဟု ယူဆရသည်။ ထို့နောက်၊ တိုက်ခိုက်သူများသည် ကွန်ရက်အတွင်း ရွေ့ပြောင်းရန် ကြိုးစားကြပြီး သုံးစွဲသူ စကားဝှက်များကို ထုတ်ယူခြင်း၊ အချက်အလက်များ စုဆောင်းခြင်းနှင့် malware များ အဆက်မပြတ် ရှိနေခြင်းကို သေချာစေသည်။
2. Векторы заражения
На следующем рисунке представлены векторы заражения, обнаруженные в период изучения кампании. Группа использует широкий спектр векторов, но преимущественно атаки drive-by download и спам. Эти инструменты удобны для таргетированных атак, поскольку в первом случае атакующие могут выбирать сайты, посещаемые потенциальными жертвами, во втором – отправлять электронную почту с вложениями напрямую нужным сотрудникам компаний.
Malware သည် ဤဝန်ဆောင်မှုများကို ပေးဆောင်နေသော တိုက်ခိုက်သူများနှင့် အခြားဆိုက်ဘာတိုက်ခိုက်သူများကြား ချိတ်ဆက်မှုများကို ညွှန်ပြနေသည့် RIG နှင့် Sundown exploit kits သို့မဟုတ် spam mail များ အပါအဝင် ချန်နယ်များစွာမှတဆင့် ဖြန့်ဝေပါသည်။
2.1. Как связаны RTM и Buhtrap?
Кампания RTM очень похожа на компанию Buhtrap. Закономерный вопрос: как они связаны друг с другом?
စက်တင်ဘာလ 2016 ခုနှစ်တွင်၊ Buhtrap အပ်လုဒ်တင်သူကို အသုံးပြု၍ RTM နမူနာကို ဖြန့်ဝေနေသည်ကို ကျွန်ုပ်တို့ တွေ့ရှိခဲ့သည်။ ထို့အပြင်၊ Buhtrap နှင့် RTM နှစ်မျိုးလုံးတွင်အသုံးပြုထားသော ဒစ်ဂျစ်တယ်လက်မှတ်နှစ်ခုကို ကျွန်ုပ်တို့တွေ့ရှိခဲ့သည်။
DNISTER-M ကုမ္ပဏီသို့ ထုတ်ပေးသည်ဟု စွပ်စွဲခံထားရသော ပထမ၊ ဒုတိယ Delphi ဖောင်ပုံစံ (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) နှင့် Buhtrap DLL (SHA-1: 1E2642CC454A ၈၉၀)။
Bit-Tredj သို့ထုတ်ပေးသော ဒုတိယတစ်မျိုးကို Buhtrap loaders (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 နှင့် B74F71560E48488D2153AE2FB51207A0BB206) နှင့် အစိတ်အပိုင်းများကို ဒေါင်းလုဒ်လုပ်၍ ထည့်သွင်းရန် အသုံးပြုပါသည်။
RTM အော်ပရေတာများသည် အခြားသော malware မိသားစုများအတွက် တူညီသော လက်မှတ်များကို အသုံးပြုသော်လည်း ၎င်းတို့တွင် ထူးခြားသော လက်မှတ်တစ်ခုလည်း ရှိသည်။ ESET telemetry အရ၊ ၎င်းကို Kit-SD သို့ ထုတ်ပေးခဲ့ပြီး အချို့သော RTM malware (SHA-1:42A4B04446A20993DDAE98B2BE6D5A797376D4B6) ကို လက်မှတ်ထိုးရန်သာ အသုံးပြုခဲ့သည်။
RTM использует такой же как и у Buhtrap загрузчик, компоненты RTM загружается из инфраструктуры Buhtrap, поэтому у групп похожие сетевые индикаторы. Тем не менее, по нашим оценкам, RTM и Buhtrap – разные группировки, как минимум, потому что RTM распространяется разными способами (не только при помощи «чужого» загрузчика).
ဤအရာများကြားမှ ဟက်ကာအဖွဲ့များသည် အလားတူလုပ်ဆောင်မှုစည်းမျဉ်းများကို အသုံးပြုကြသည်။ ၎င်းတို့သည် စာရင်းကိုင်ဆော့ဖ်ဝဲလ်ကို အသုံးပြု၍ စီးပွားရေးလုပ်ငန်းများကို ပစ်မှတ်ထားပြီး စနစ်အချက်အလက်များကို စုဆောင်းခြင်း၊ စမတ်ကတ်စာဖတ်သူများကို ရှာဖွေခြင်းနှင့် သားကောင်များကို ထောက်လှမ်းရန် အန္တရာယ်ရှိသော ကိရိယာများ ဖြန့်ကျက်ချထားခြင်းတို့ကိုလည်း ပစ်မှတ်ထားကြသည်။
3. Эволюция
ဤကဏ္ဍတွင်၊ လေ့လာမှုအတွင်း တွေ့ရှိရသည့် malware ဗားရှင်းအမျိုးမျိုးကို ကြည့်ရှုပါမည်။
၃.၁။ ဗားရှင်းပြောင်းခြင်း။
RTM သည် configuration data ကို registry ကဏ္ဍတွင် သိမ်းဆည်းထားပြီး စိတ်ဝင်စားစရာအကောင်းဆုံးအပိုင်းမှာ botnet-prefix ဖြစ်သည်။ ကျွန်ုပ်တို့လေ့လာခဲ့သည့်နမူနာများတွင် ကျွန်ုပ်တို့တွေ့မြင်ရသော တန်ဖိုးများစာရင်းကို အောက်ပါဇယားတွင် ဖော်ပြထားပါသည်။
Malware ဗားရှင်းများကို မှတ်တမ်းတင်ရန်အတွက် တန်ဖိုးများကို အသုံးပြုနိုင်သည်။ သို့သော်၊ bit2 နှင့် bit3၊ 0.1.6.4 နှင့် 0.1.6.6 ကဲ့သို့သော ဗားရှင်းများအကြား ကွာခြားချက်ကို ကျွန်ုပ်တို့ သတိမထားမိပါ။ ထို့အပြင်၊ ရှေ့ဆက်များထဲမှ တစ်ခုသည် အစကတည်းက ရှိနေခဲ့ပြီး ပုံမှန် C&C ဒိုမိန်းမှ အောက်တွင် ပြထားသည့်အတိုင်း .bit ဒိုမိန်းသို့ ပြောင်းလဲလာသည်။
၃.၂။ အချိန်ဇယား
တယ်လီမီတာဒေတာကို အသုံးပြု၍ နမူနာများ ပေါ်ပေါက်ခြင်းဆိုင်ရာ ဂရပ်တစ်ခုကို ဖန်တီးခဲ့သည်။
4. နည်းပညာပိုင်းခွဲခြမ်းစိတ်ဖြာ
ဤကဏ္ဍတွင်၊ ခုခံမှုယန္တရားများ၊ ၎င်း၏ကိုယ်ပိုင်ဗားရှင်း RC4 အယ်လဂိုရီသမ်၊ ကွန်ရက်ပရိုတိုကော၊ သူလျှိုလုပ်ဆောင်နိုင်စွမ်းနှင့် အခြားအင်္ဂါရပ်အချို့အပါအဝင် RTM ဘဏ်လုပ်ငန်း Trojan ၏ အဓိကလုပ်ဆောင်ချက်များကို ဖော်ပြပါမည်။ အထူးသဖြင့်၊ ကျွန်ုပ်တို့သည် SHA-1 နမူနာများ AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 နှင့် 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B တို့ကို အာရုံစိုက်ပါမည်။
၄.၁။ တပ်ဆင်ခြင်းနှင့် သိမ်းဆည်းခြင်း။
၇.၁။ အကောင်အထည်ဖော်ခြင်း။
RTM core သည် DLL တစ်ခုဖြစ်ပြီး စာကြည့်တိုက်ကို .EXE သုံးပြီး disk ပေါ်တင်ထားသည်။ လုပ်ဆောင်နိုင်သောဖိုင်သည် အများအားဖြင့် ထုပ်ပိုးထားပြီး DLL ကုဒ်ပါရှိသည်။ စတင်လိုက်သည်နှင့်၊ ၎င်းသည် DLL ကိုထုတ်ယူပြီးအောက်ပါ command ကိုအသုံးပြု၍ ၎င်းကို run သည်-
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host၄.၁.၂။ DLL
ပင်မ DLL ကို %PROGRAMDATA%Winlogon ဖိုင်တွဲတွင် winlogon.lnk အဖြစ် disk သို့ အမြဲတင်ထားသည်။ ဤဖိုင်တိုးချဲ့မှုသည် အများအားဖြင့် ဖြတ်လမ်းလင့်ခ်တစ်ခုနှင့် ဆက်စပ်နေသော်လည်း အမှန်တကယ်တွင် ဖိုင်သည် အောက်ဖော်ပြပါပုံတွင်ပြထားသည့်အတိုင်း developer မှ core.dll ဟုခေါ်သော Delphi တွင်ရေးထားသော DLL တစ်ခုဖြစ်သည်။
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
စတင်လိုက်သည်နှင့်၊ Trojan သည် ၎င်း၏ခုခံမှုယန္တရားကို အသက်သွင်းသည်။ စနစ်အတွင်းရှိ သားကောင်၏အခွင့်ထူးများပေါ်မူတည်၍ ၎င်းကို မတူညီသောနည်းလမ်းနှစ်ခုဖြင့် လုပ်ဆောင်နိုင်သည်။ သင့်တွင် စီမံခန့်ခွဲသူအခွင့်အရေးများရှိပါက Trojan သည် HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun registry သို့ Windows Update ထည့်သွင်းမှုကို ပေါင်းထည့်သည်။ Windows Update တွင်ပါရှိသော command များသည် အသုံးပြုသူ၏ session ၏အစတွင် လုပ်ဆောင်မည်ဖြစ်သည်။
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject လက်ခံဆောင်ရွက်ပေးသူ
Trojan သည် Windows Task Scheduler သို့ လုပ်ဆောင်စရာတစ်ခုကို ပေါင်းထည့်ရန် ကြိုးစားသည်။ လုပ်ဆောင်စရာသည် အထက်ဖော်ပြပါအတိုင်း တူညီသောဘောင်များဖြင့် winlogon.lnk DLL ကို စတင်ပါမည်။ ပုံမှန်အသုံးပြုသူအခွင့်အရေးသည် Trojan အား HKCUSoftwareMicrosoftWindowsCurrentVersionRun registry တွင် တူညီသောဒေတာဖြင့် Windows Update ထည့်သွင်းမှုကို ခွင့်ပြုသည်-
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host၄.၂။ မွမ်းမံထားသော RC4.2 အယ်လဂိုရီသမ်
၎င်း၏ ချို့ယွင်းချက်များကို သိထားသော်လည်း၊ RC4 algorithm ကို malware ရေးသားသူများမှ ပုံမှန်အသုံးပြုပါသည်။ သို့သော်၊ RTM ၏ဖန်တီးသူများသည် ၎င်းကိုအနည်းငယ်ပြုပြင်ပြီး ဗိုင်းရပ်စ်ခွဲခြမ်းစိတ်ဖြာသူများ၏တာဝန်ကို ပို၍ခက်ခဲစေနိုင်သည်။ RC4 ၏မွမ်းမံထားသောဗားရှင်းကို အန္တရာယ်ရှိသော RTM ကိရိယာများတွင် ကုဒ်နံပါတ်များ၊ ကွန်ရက်ဒေတာ၊ ဖွဲ့စည်းမှုပုံစံများနှင့် မော်ဂျူးများကို စာဝှက်ရန် ကျယ်ကျယ်ပြန့်ပြန့်အသုံးပြုသည်။
၄.၂.၁။ ကွဲပြားမှုများ
မူရင်း RC4 အယ်လဂိုရီသမ်တွင် အဆင့်နှစ်ဆင့်ပါဝင်သည်- s-block အစပြုခြင်း (aka KSA - Key-Scheduling Algorithm) နှင့် pseudo-random sequence generation (PRGA - Pseudo-random Generation Algorithm)။ ပထမအဆင့်တွင် သော့ကိုအသုံးပြု၍ s-box ကို အစပြုခြင်းပါဝင်ပြီး ဒုတိယအဆင့်တွင် အရင်းအမြစ်စာသားကို ကုဒ်ဝှက်ရန်အတွက် s-box ကို အသုံးပြု၍ လုပ်ဆောင်သည်။
RTM စာရေးဆရာများသည် s-box အစပျိုးခြင်းနှင့် ကုဒ်ဝှက်ခြင်းကြားတွင် ကြားခံအဆင့်တစ်ခုကို ထည့်သွင်းခဲ့သည်။ အပိုသော့သည် ပြောင်းလဲနိုင်သောဖြစ်ပြီး ကုဒ်ဝှက်ရန်နှင့် စာဝှက်ထားရမည့်ဒေတာကို တစ်ချိန်တည်းတွင် သတ်မှတ်ထားသည်။ ဤနောက်ထပ်အဆင့်ကို လုပ်ဆောင်သည့် လုပ်ဆောင်ချက်ကို အောက်ပါပုံတွင် ပြထားသည်။
4.2.2. Шифрование строк
ပထမတစ်ချက်တွင်၊ ပင်မ DLL တွင်ဖတ်နိုင်သောစာကြောင်းများစွာရှိသည်။ အောက်ဖော်ပြပါပုံတွင်ပြထားသည့်ဖွဲ့စည်းပုံသည် အထက်တွင်ဖော်ပြထားသော algorithm ကိုအသုံးပြု၍ ကျန်များကို encrypt လုပ်ထားသည်။ ခွဲခြမ်းစိတ်ဖြာထားသောနမူနာများတွင် string encryption အတွက် မတူညီသော RC25 သော့ 4 ခုကျော်ကို ကျွန်ုပ်တို့တွေ့ရှိခဲ့သည်။ XOR သော့သည် အတန်းတစ်ခုစီအတွက် ကွဲပြားသည်။ ကိန်းဂဏာန်းအကွက် မျဉ်းကြောင်းခွဲခြင်း၏တန်ဖိုးသည် အမြဲတမ်း 0xFFFFFFFF ဖြစ်သည်။
В начале исполнения RTM расшифровывает строки в глобальную переменную. Когда это необходимо для доступа к строке, троян динамически вычисляет адрес расшифрованных строк на основе базового адреса и смещения.
စာကြောင်းများတွင် Malware ၏လုပ်ဆောင်ချက်များနှင့်ပတ်သက်သော စိတ်ဝင်စားစရာကောင်းသော အချက်အလက်များပါရှိသည်။ အပိုင်း 6.8 တွင် နမူနာစာကြောင်းအချို့ကို ပေးထားသည်။
4.3. ကွန်ရက်
RTM malware သည် C&C ဆာဗာကို ဆက်သွယ်သည့်နည်းလမ်းသည် ဗားရှင်းတစ်ခုနှင့်တစ်ခု ကွဲပြားသည်။ ပထမဆုံး ပြုပြင်မွမ်းမံမှုများ (အောက်တိုဘာ 2015 မှ ဧပြီလ 2016 ခုနှစ်) သည် ညွှန်ကြားချက်များစာရင်းကို အပ်ဒိတ်လုပ်ရန်အတွက် livejournal.com ရှိ RSS feed နှင့်အတူ ရိုးရာဒိုမိန်းအမည်များကို အသုံးပြုခဲ့သည်။
2016 ခုနှစ် ဧပြီလကတည်းက၊ တယ်လီမီတာဒေတာတွင် .bit ဒိုမိန်းများသို့ ပြောင်းသွားသည်ကို ကျွန်ုပ်တို့တွေ့မြင်ရပါသည်။ ၎င်းကို ဒိုမိန်းမှတ်ပုံတင်သည့်ရက်စွဲဖြင့် အတည်ပြုထားသည် - ပထမဆုံး RTM ဒိုမိန်း fde05d0573da.bit ကို မတ်လ 13၊ 2016 တွင် မှတ်ပုံတင်ခဲ့သည်။
ကမ်ပိန်းကိုစောင့်ကြည့်နေစဉ် ကျွန်ုပ်တို့တွေ့ခဲ့သည့် URL များအားလုံးတွင် ဘုံလမ်းကြောင်းတစ်ခုရှိသည်: /r/z.php။ ၎င်းသည် အထူးအဆန်းဖြစ်ပြီး ၎င်းသည် ကွန်ရက်စီးဆင်းမှုများတွင် RTM တောင်းဆိုမှုများကို ဖော်ထုတ်ရာတွင် ကူညီပေးပါလိမ့်မည်။
၄.၃.၁။ အမိန့်များနှင့် ထိန်းချုပ်မှုအတွက် ချန်နယ်
အမွေအနှစ်နမူနာများက ၎င်းတို့၏ အမိန့်ပေးချက်များနှင့် ထိန်းချုပ်သည့်ဆာဗာများစာရင်းကို အပ်ဒိတ်လုပ်ရန် ဤချန်နယ်ကို အသုံးပြုခဲ့သည်။ hosting သည် livejournal.com တွင် တည်ရှိပြီး အစီရင်ခံစာကို ရေးသားချိန်တွင် ၎င်းသည် URL hxxp://f72bba81c921..com/ data/rss တွင် ရှိနေပါသည်။
Livejournal သည် ဘလော့ဂ်ပလက်ဖောင်းကို ပံ့ပိုးပေးသော ရုရှား-အမေရိကန် ကုမ္ပဏီတစ်ခုဖြစ်သည်။ RTM အော်ပရေတာများသည် ကုဒ်နံပါတ်များဖြင့် ဆောင်းပါးတစ်ပုဒ်တင်သည့် LJ ဘလော့ဂ်တစ်ခုကို ဖန်တီးသည် - ဖန်သားပြင်ဓာတ်ပုံကို ကြည့်ပါ။
ပြုပြင်ထားသော RC4 အယ်လဂိုရီသမ် (အပိုင်း 4.2) ကို အသုံးပြု၍ ကွန်မန်းနှင့် ထိန်းချုပ်လိုင်းများကို ကုဒ်လုပ်ထားသည်။ ချန်နယ်၏ လက်ရှိဗားရှင်း (နိုဝင်ဘာ 2016) တွင် အောက်ပါ command နှင့် control server လိပ်စာများ ပါဝင်သည်-
- hxxp://cainmoon..net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap..top/r/z.php
၄.၃.၂။ .bit ဒိုမိန်းများ
လတ်တလော RTM နမူနာများတွင်၊ စာရေးသူများသည် .bit TLD ထိပ်တန်းအဆင့်ဒိုမိန်းကို အသုံးပြု၍ C&C ဒိုမိန်းများသို့ ချိတ်ဆက်ပါသည်။ ၎င်းသည် ထိပ်တန်းအဆင့် ဒိုမိန်းများစာရင်း ICANN (Domain Name နှင့် Internet Corporation) တွင် မရှိပါ။ ယင်းအစား၊ ၎င်းသည် Bitcoin နည်းပညာ၏ထိပ်တွင်တည်ဆောက်ထားသည့် Namecoin စနစ်ကိုအသုံးပြုသည်။ Malware ရေးသားသူများသည် Necurs botnet ဗားရှင်းတွင် ယင်းအသုံးပြုမှု၏နမူနာကို ယခင်က တွေ့ရှိထားသော်လည်း ၎င်းတို့၏ ဒိုမိန်းများအတွက် .bit TLD ကို မကြာခဏ အသုံးမပြုကြပါ။
Bitcoin နှင့်မတူဘဲ၊ ဖြန့်ဝေထားသော Namecoin ဒေတာဘေ့စ်၏အသုံးပြုသူများသည်ဒေတာသိမ်းဆည်းနိုင်စွမ်းရှိသည်။ ဤအင်္ဂါရပ်၏ အဓိကအပလီကေးရှင်းမှာ .bit ထိပ်တန်းအဆင့်ဒိုမိန်းဖြစ်သည်။ ဖြန့်ဝေထားသောဒေတာဘေ့စ်တွင်သိမ်းဆည်းမည့်ဒိုမိန်းများကိုစာရင်းသွင်းနိုင်သည်။ ဒေတာဘေ့စ်ရှိ ဆက်စပ်ထည့်သွင်းမှုများတွင် ဒိုမိန်းက ဖြေရှင်းထားသော IP လိပ်စာများ ပါဝင်သည်။ မှတ်ပုံတင်သူသာလျှင် .bit ဒိုမိန်း၏ ကြည်လင်ပြတ်သားမှုကို ပြောင်းလဲနိုင်သောကြောင့် ဤ TLD သည် “ဆင်ဆာဒဏ်ခံနိုင်သည်” ဖြစ်သည်။ ဆိုလိုသည်မှာ ဤ TLD အမျိုးအစားကို အသုံးပြု၍ အန္တရာယ်ရှိသော ဒိုမိန်းကို ရပ်တန့်ရန် ပိုမိုခက်ခဲသည်ဟု ဆိုလိုသည်။
RTM Trojan သည် ဖြန့်ဝေထားသော Namecoin ဒေတာဘေ့စ်ကို ဖတ်ရန် လိုအပ်သောဆော့ဖ်ဝဲလ်ကို ထည့်သွင်းထားခြင်းမရှိပါ။ ၎င်းသည် .bit ဒိုမိန်းများကိုဖြေရှင်းရန် dns.dot-bit.org သို့မဟုတ် OpenNic ဆာဗာများကဲ့သို့သော ဗဟို DNS ဆာဗာများကို အသုံးပြုသည်။ ထို့ကြောင့်၊ ၎င်းသည် DNS ဆာဗာများကဲ့သို့ တူညီသောကြာရှည်ခံမှုရှိသည်။ ဘလော့ဂ်ပို့စ်တစ်ခုတွင် ဖော်ပြပြီးနောက် အချို့သောအဖွဲ့၏ဒိုမိန်းများကို ရှာဖွေတွေ့ရှိခြင်းမရှိတော့ကြောင်း ကျွန်ုပ်တို့သတိပြုမိပါသည်။
ဟက်ကာများအတွက် .bit TLD ၏ နောက်ထပ်အားသာချက်တစ်ခုမှာ ကုန်ကျစရိတ်ဖြစ်သည်။ ဒိုမိန်းတစ်ခုမှတ်ပုံတင်ရန်၊ အော်ပရေတာများသည် 0,01 NK သာပေးချေရမည်ဖြစ်ပြီး၊ ၎င်းသည် $0,00185 (ဒီဇင်ဘာ 5၊ 2016 ခုနှစ်အထိ) ဖြစ်သည်။ နှိုင်းယှဉ်ရန်အတွက် domain.com သည် အနည်းဆုံး $10 ကုန်ကျသည်။
၄.၃.၃။ ပရိုတိုကော
အမိန့်ပေးမှုနှင့် ထိန်းချုပ်မှုဆာဗာနှင့် ဆက်သွယ်ရန်အတွက်၊ RTM သည် စိတ်ကြိုက်ပရိုတိုကောကို အသုံးပြု၍ ဒေတာပုံစံချထားသည့် HTTP POST တောင်းဆိုချက်များကို အသုံးပြုသည်။ လမ်းကြောင်းတန်ဖိုးသည် အမြဲတမ်း /r/z.php; Mozilla/5.0 အသုံးပြုသူ အေးဂျင့် (သဟဇာတဖြစ်မှု၊ MSIE 9.0၊ Windows NT 6.1၊ Trident/5.0)။ ဆာဗာထံ တောင်းဆိုမှုများတွင်၊ ဒေတာကို အောက်ပါအတိုင်း ဖော်မတ်လုပ်ထားပြီး၊ အော့ဖ်ဆက်တန်ဖိုးများကို bytes ဖြင့် ဖော်ပြပါသည်။
Байты с 0 до 6 не кодируются; байты, начиная с 6, кодируются при помощи модифицированного алгоритма RC4. Структура пакета ответов командного сервера проще. Кодируются байты с 4 до размера пакета.
ဖြစ်နိုင်ချေရှိသော လုပ်ဆောင်ချက် byte တန်ဖိုးများစာရင်းကို အောက်ပါဇယားတွင် ဖော်ပြထားပါသည်။
Malware သည် ကုဒ်ဝှက်ထားသောဒေတာ၏ CRC32 ကို အမြဲတွက်ချက်ပြီး packet တွင်ရှိသော အရာများနှင့် နှိုင်းယှဉ်ပါသည်။ ၎င်းတို့ ကွဲပြားပါက Trojan သည် ပက်ကတ်ကို လွှတ်ချသည်။
အပိုဒေတာတွင် PE ဖိုင်၊ ဖိုင်စနစ်တွင် ရှာဖွေရမည့်ဖိုင်၊ သို့မဟုတ် အမိန့်ပေး URL အသစ်များအပါအဝင် အရာဝတ္တုအမျိုးမျိုး ပါဝင်နိုင်သည်။
၄.၃.၄။ ဘောင်
Мы заметили, что RTM использует панель на командных серверах. Скриншот ниже:
၄.၄။ ဝိသေသလက္ခဏာ
RTM သည် ပုံမှန်ဘဏ်လုပ်ငန်း Trojan တစ်ခုဖြစ်သည်။ အော်ပရေတာများသည် သားကောင်၏စနစ်အကြောင်း အချက်အလက်ကို လိုချင်ကြသည်မှာ အံ့သြစရာမဟုတ်ပေ။ တစ်ဖက်တွင်၊ bot သည် OS နှင့်ပတ်သက်သည့် အထွေထွေအချက်အလက်များကို စုဆောင်းသည်။ အခြားတစ်ဖက်တွင်၊ အပေးအယူခံရသောစနစ်တွင် ရုရှားအဝေးထိန်းဘဏ်စနစ်များနှင့် ဆက်နွှယ်သည့် attribute များပါ၀င်သည်ဆိုသည်ကို ၎င်းမှရှာဖွေသည်။
4.4.1. အထွေထွေအချက်အလက်များ
ပြန်လည်စတင်ပြီးနောက် မဲလ်ဝဲကို တပ်ဆင်ခြင်း သို့မဟုတ် စတင်သည့်အခါ၊ အထွေထွေအချက်အလက်ပါရှိသော အမိန့်နှင့် ထိန်းချုပ်ဆာဗာသို့ အစီရင်ခံစာတစ်စောင် ပေးပို့သည်-
- အချိန်ဇုန်;
- မူရင်းစနစ်ဘာသာစကား၊
- အခွင့်အာဏာအသုံးပြုသူအထောက်အထားများ;
- လုပ်ငန်းစဉ်သမာဓိအဆင့်;
- အသုံးပြုသူအမည်;
- ကွန်ပျူတာအမည်;
- OS ဗားရှင်း;
- အပိုထည့်သွင်းထားသော module များ;
- ဗိုင်းရပ်စ်နှိမ်နင်းရေးပရိုဂရမ်ကို ထည့်သွင်းထားသည်။
- စမတ်ကတ်ဖတ်သူများစာရင်း။
4.4.2 အဝေးထိန်းဘဏ်စနစ်
Типичная цель трояна – система ДБО, и RTM – не исключение. Один из модулей программы называется TBdo, он выполняет разные задачи, включая сканирование дисков и истории посещений.
ဒစ်ကို စကင်န်ဖတ်ခြင်းဖြင့်၊ Trojan သည် ဘဏ်လုပ်ငန်းဆော့ဖ်ဝဲကို စက်တွင် ထည့်သွင်းထားခြင်းရှိမရှိ စစ်ဆေးသည်။ ပစ်မှတ်အစီအစဉ်များ၏ စာရင်းအပြည့်အစုံမှာ အောက်ပါဇယားတွင် ရှိပါသည်။ စိတ်ပါဝင်စားသောဖိုင်တစ်ခုကို တွေ့ရှိပြီးနောက်၊ ပရိုဂရမ်သည် အချက်အလက်များကို အမိန့်ပေးသည့်ဆာဗာသို့ ပေးပို့သည်။ နောက်လုပ်ဆောင်ချက်များသည် အမိန့်ပေးစင်တာ (C&C) algorithms မှသတ်မှတ်ထားသော ယုတ္တိအပေါ် မူတည်သည်။
RTM သည် သင့်ဘရောက်ဆာမှတ်တမ်းနှင့် ဖွင့်ထားသော တက်ဘ်များတွင် URL ပုံစံများကို ရှာဖွေသည်။ ထို့အပြင်၊ ပရိုဂရမ်သည် FindNextUrlCacheEntryA နှင့် FindFirstUrlCacheEntryA လုပ်ဆောင်ချက်များကို အသုံးပြုမှုကို စစ်ဆေးပြီး အောက်ဖော်ပြပါပုံစံများထဲမှ တစ်ခုနှင့် URL နှင့် ကိုက်ညီရန် entry တစ်ခုစီကို စစ်ဆေးပေးသည်-
ဖွင့်ထားသည့် တက်ဘ်များကို တွေ့ရှိပြီးနောက်၊ Trojan သည် တက်ဘ်ပုံစံနှင့် ကိုက်ညီမှုရှိမရှိ စစ်ဆေးရန် Dynamic Data Exchange (DDE) ယန္တရားမှတဆင့် Internet Explorer သို့မဟုတ် Firefox ကို ဆက်သွယ်သည်။
သင်၏ရှာဖွေမှုမှတ်တမ်းနှင့် ဖွင့်ထားသည့်တဘ်များကို စစ်ဆေးခြင်းကို စစ်ဆေးမှုများကြား 1 စက္ကန့်ခွဲခြားခြင်းဖြင့် WHILE loop (ကြိုတင်သတ်မှတ်ချက်တစ်ခုပါရှိသော ကွင်းဆက်တစ်ခု) တွင် လုပ်ဆောင်သည်။ အချိန်နှင့်တပြေးညီ စောင့်ကြည့်နေသည့် အခြားဒေတာများကို အပိုင်း 4.5 တွင် ဆွေးနွေးပါမည်။
ပုံစံတစ်ခုကို တွေ့ရှိပါက၊ ပရိုဂရမ်သည် အောက်ပါဇယားမှ စာကြောင်းများစာရင်းကို အသုံးပြု၍ ၎င်းကို အမိန့်ပေးသည့် ဆာဗာသို့ သတင်းပို့သည်-
4.5 စောင့်ကြည့်လေ့လာရေး
Trojan လည်ပတ်နေချိန်တွင်၊ ကူးစက်ခံထားရသောစနစ်၏လက္ခဏာအင်္ဂါရပ်များ (ဘဏ်လုပ်ငန်းဆော့ဖ်ဝဲလ်ရှိခြင်းဆိုင်ရာအချက်အလက်များအပါအဝင်) ၏အချက်အလက်များကို command နှင့် control server သို့ပေးပို့သည်။ RTM သည် ကနဦး OS စကင်ဖတ်ပြီးနောက် ချက်ချင်းပင် စောင့်ကြည့်ရေးစနစ်ကို စတင်လုပ်ဆောင်သောအခါ လက်ဗွေရာ ဖြစ်ပေါ်သည်။
၄.၅.၁။ ဝေးလံခေါင်သီသောဘဏ်လုပ်ငန်း
TBdo module သည် ဘဏ်လုပ်ငန်းဆိုင်ရာ လုပ်ငန်းစဉ်များကို စောင့်ကြည့်ရန်လည်း တာဝန်ရှိပါသည်။ ၎င်းသည် ကနဦးစကင်ဖတ်စစ်ဆေးစဉ်အတွင်း Firefox နှင့် Internet Explorer ရှိ တက်ဘ်များကို စစ်ဆေးရန် dynamic data exchange ကိုအသုံးပြုသည်။ နောက်ထပ် TShell module ကို command windows (Internet Explorer သို့မဟုတ် File Explorer) ကို စောင့်ကြည့်ရန် အသုံးပြုပါသည်။
မော်ဂျူးသည် ပြတင်းပေါက်များကို စောင့်ကြည့်ရန် COM အင်တာဖေ့စ် IShellWindows၊ iWebBrowser၊ DWebBrowserEvents2 နှင့် IConnectionPointContainer ကို အသုံးပြုသည်။ အသုံးပြုသူတစ်ဦးသည် ဝဘ်စာမျက်နှာအသစ်သို့ သွားလာသည့်အခါ၊ မဲလ်ဝဲက ၎င်းကို မှတ်သားသည်။ ထို့နောက် ၎င်းသည် စာမျက်နှာ URL ကို အထက်ပါပုံစံများနှင့် နှိုင်းယှဉ်သည်။ ကိုက်ညီမှုကို တွေ့ရှိပြီးနောက်၊ Trojan သည် 5 စက္ကန့်ကြားကာလဖြင့် ခြောက်ကြိမ်ဆက်တိုက် ဖန်သားပြင်ဓာတ်ပုံများကို ရိုက်ယူပြီး C&S အမိန့်ပေးသည့်ဆာဗာသို့ ပို့ပေးသည်။ ပရိုဂရမ်သည် ဘဏ်လုပ်ငန်းဆော့ဖ်ဝဲလ်နှင့် သက်ဆိုင်သည့် ဝင်းဒိုးအမည်အချို့ကိုလည်း စစ်ဆေးပေးသည် - စာရင်းအပြည့်အစုံမှာ အောက်ပါအတိုင်းဖြစ်သည်။
4.5.2. Смарт-карта
RTM позволяет мониторить считыватели смарт-карт, соединенных с зараженными компьютерами. Эти устройства используются в некоторых странах для сверки платежных поручений. Если устройства этого типа присоединяются к компьютеру, для трояна это может указывать на использование машины для банковских транзакций.
В отличие от других банковских троянов, RTM не может взаимодействовать с такими смарт-картами. Возможно, этот функционал входит в дополнительный модуль, который мы пока не видели.
4.5.3. Клавиатурный шпион
Важная часть мониторинга зараженного ПК – перехват нажатия клавиш. Создается впечатление, что разработчики RTM не пропускают никакой информации, поскольку отслеживают не только обычные клавиши, но и виртуальную клавиатуру и буфер обмена.
Для этого используется функция SetWindowsHookExA. Атакующие регистрируют нажатые клавиши или клавиши, соответствующие виртуальной клавиатуре, вместе с именем и датой программы. Затем буфер направляется на командный C&C сервер.
Для перехвата буфера обмена используется функция SetClipboardViewer. Хакеры регистрируют содержимое буфера обмена, когда данные представляют собой текст. Перед отправкой буфера на сервер также регистрируется имя и дата.
၄.၅.၄။ ဖန်သားပြင်ဓာတ်ပုံများ
နောက်ထပ် RTM လုပ်ဆောင်ချက်မှာ ဖန်သားပြင်ဓာတ်ပုံ ကြားဖြတ်ခြင်း ဖြစ်သည်။ ဝင်းဒိုးစောင့်ကြည့်ရေး မော်ဂျူးသည် စိတ်ပါဝင်စားသောဆိုက် သို့မဟုတ် ဘဏ်လုပ်ငန်းဆော့ဖ်ဝဲကို တွေ့ရှိသောအခါ အင်္ဂါရပ်ကို အသုံးပြုသည်။ ဖန်သားပြင်ဓာတ်ပုံများကို ဂရပ်ဖစ်ပုံများ၏ စာကြည့်တိုက်ကို အသုံးပြု၍ ရိုက်ကူးပြီး command server သို့ လွှဲပြောင်းပေးပါသည်။
၄.၆။ ဖြုတ်ချခြင်း။
C&C сервер может приостановить работу вредоносного ПО и очистить компьютер. Команда позволяет очистить файлы и записи реестра, созданные во время работы RTM. Затем при помощи DLL-библиотеки осуществляется удаление вредоносного ПО и файла winlogon, после чего команда выключает компьютер. Как показано на рисунке ниже, DLL-библиотека удаляется разработчиками при помощи erase.dll.
ဆာဗာသည် Trojan အား အဖျက်သဘောဆောင်သော uninstall-lock အမိန့်ကို ပေးပို့နိုင်သည်။ ဤကိစ္စတွင်၊ သင့်တွင် စီမံခန့်ခွဲသူအခွင့်အရေးများရှိပါက RTM သည် ဟာ့ဒ်ဒရိုက်ရှိ MBR boot ကဏ္ဍကို ဖျက်ပစ်မည်ဖြစ်သည်။ ၎င်းမအောင်မြင်ပါက၊ Trojan သည် MBR boot sector ကို ကျပန်းကဏ္ဍတစ်ခုသို့ ပြောင်းရန် ကြိုးစားလိမ့်မည် - ထို့နောက် ကွန်ပျူတာသည် ပိတ်ပြီးနောက် OS ကို စတင်နိုင်တော့မည်မဟုတ်ပါ။ ၎င်းသည် OS ၏ ပြီးပြည့်စုံသော ပြန်လည်ထည့်သွင်းခြင်းကို ဖြစ်ပေါ်စေနိုင်သည်၊ ဆိုလိုသည်မှာ အထောက်အထားများကို ဖျက်ဆီးပစ်နိုင်သည်။
စီမံခန့်ခွဲသူအခွင့်ထူးများမပါဘဲ၊ malware သည် အရင်းခံ RTM DLL တွင် .EXE ကုဒ်ဖြင့်ရေးထားသည်။ executable သည် ကွန်ပျူတာကိုပိတ်ရန်နှင့် HKCUCurrentVersionRun registry key တွင် module ကိုမှတ်ပုံတင်ရန် လိုအပ်သောကုဒ်ကိုလုပ်ဆောင်သည်။ အသုံးပြုသူသည် စက်ရှင်တစ်ခုကို စတင်သည့်အခါတိုင်း၊ ကွန်ပျူတာသည် ချက်ချင်းပိတ်သွားပါသည်။
၄.၇။ ဖွဲ့စည်းမှုဖိုင်
ပုံမှန်အားဖြင့်၊ RTM တွင် configuration file နီးပါးမရှိသော်လည်း command နှင့် control server သည် registry တွင်သိမ်းဆည်းပြီး program မှအသုံးပြုမည့် configuration values များကိုပေးပို့နိုင်သည်။ configuration keys စာရင်းကို အောက်ပါဇယားတွင် ဖော်ပြထားပါသည်။
ဖွဲ့စည်းမှုအား Software[Pseudo-random string] registry key တွင် သိမ်းဆည်းထားသည်။ တန်ဖိုးတစ်ခုစီသည် ယခင်ဇယားတွင် ဖော်ပြထားသော အတန်းများထဲမှ တစ်ခုနှင့် သက်ဆိုင်သည်။ တန်ဖိုးများနှင့် ဒေတာများကို RTM တွင် RC4 algorithm ဖြင့် ကုဒ်လုပ်ထားသည်။
ဒေတာသည် ကွန်ရက် သို့မဟုတ် စာကြောင်းများနှင့် တူညီသောဖွဲ့စည်းပုံရှိသည်။ ကုဒ်လုပ်ထားသောဒေတာ၏အစတွင် လေးဘိုက် XOR သော့ကို ပေါင်းထည့်ထားသည်။ ဖွဲ့စည်းမှုတန်ဖိုးများအတွက် XOR သော့သည် ကွဲပြားပြီး တန်ဖိုး၏အရွယ်အစားပေါ်တွင်မူတည်ပါသည်။ အောက်ပါအတိုင်း တွက်ချက်နိုင်ပါသည်။
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)
4.8. အခြားလုပ်ဆောင်ချက်များ
ထို့နောက် RTM ပံ့ပိုးပေးသည့် အခြားလုပ်ဆောင်ချက်များကို ကြည့်ကြပါစို့။
၄.၈.၁။ အပို module များ
Trojan တွင် DLL ဖိုင်များဖြစ်သည့် အပို module များပါဝင်သည်။ C&C အမိန့်ဆာဗာမှ ပေးပို့သော မော်ဂျူးများကို RAM တွင် ထင်ဟပ်ပြသပြီး စာတွဲအသစ်များတွင် ပြင်ပပရိုဂရမ်များအဖြစ် လုပ်ဆောင်နိုင်သည်။ သိုလှောင်မှုအတွက်၊ မော်ဂျူးများကို .dtt ဖိုင်များတွင် သိမ်းဆည်းထားပြီး ကွန်ရက်ဆက်သွယ်ရေးအတွက် အသုံးပြုသည့် တူညီသောသော့ဖြင့် RC4 အယ်လဂိုရီသမ်ကို အသုံးပြုကာ ကုဒ်လုပ်ထားသည်။
ယခုအချိန်အထိ ကျွန်ုပ်တို့သည် VNC မော်ဂျူး (8966319882494077C21F66A8354E2CBCA0370464)၊ ဘရောက်ဆာဒေတာထုတ်ယူခြင်း module (03DE8622BE6B2F75A364A275995C3411626C4C9E1_2E1) နှင့် 562E1 (69E6) FC58FBA88753 B7BE0D3B4EXNUMXCFAB)။
VNC မော်ဂျူးကို ဖွင့်ရန်၊ C&C ဆာဗာသည် ဆိပ်ကမ်း 44443 ရှိ သီးခြား IP လိပ်စာတစ်ခုတွင် VNC ဆာဗာသို့ ချိတ်ဆက်မှုများကို တောင်းဆိုသည့် ညွှန်ကြားချက်ကို ထုတ်ပြန်ခဲ့သည်။ ဘရောက်ဆာဒေတာ ပြန်လည်ရယူသည့်ပလပ်အင်သည် TBrowserDataCollector သည် IE ရှာဖွေမှုမှတ်တမ်းကို ဖတ်ရှုနိုင်မည်ဖြစ်သည်။ ထို့နောက် ၎င်းသည် သွားရောက်လည်ပတ်ခဲ့သည့် URL များစာရင်းအပြည့်အစုံကို C&C အမိန့်ပေးသည့်ဆာဗာသို့ ပို့ပေးသည်။
နောက်ဆုံးတွေ့ရှိခဲ့သည့် module ကို 1c_2_kl ဟုခေါ်သည်။ ၎င်းသည် 1C Enterprise ဆော့ဖ်ဝဲလ်ပက်ကေ့ဂျ်နှင့် အပြန်အလှန် တုံ့ပြန်နိုင်သည်။ မော်ဂျူးတွင် အပိုင်းနှစ်ပိုင်းပါဝင်သည်- အဓိကအပိုင်း - DLL နှင့် အေးဂျင့်နှစ်ခု (32 နှင့် 64 ဘစ်)၊ WH_CBT သို့ ချိတ်ဆက်မှုစာရင်းသွင်းခြင်းဖြင့် လုပ်ငန်းစဉ်တစ်ခုစီသို့ ထိုးသွင်းမည်ဖြစ်သည်။ 1C လုပ်ငန်းစဉ်တွင် မိတ်ဆက်ခဲ့ပြီး၊ မော်ဂျူးသည် CreateFile နှင့် WriteFile လုပ်ဆောင်ချက်များကို ပေါင်းစပ်ထားသည်။ CreateFile bound function ကိုခေါ်သည့်အခါတိုင်း၊ module သည် ဖိုင်လမ်းကြောင်း 1c_to_kl.txt ကို memory တွင်သိမ်းဆည်းထားသည်။ WriteFile ခေါ်ဆိုမှုကို ကြားဖြတ်ပြီးနောက်၊ ၎င်းသည် WriteFile လုပ်ဆောင်ချက်ကို ခေါ်ပြီး ဖိုင်လမ်းကြောင်း 1c_to_kl.txt ကို ပင်မ DLL မော်ဂျူးထံ ပေးပို့ကာ ၎င်းကို ဖန်တီးထားသော Windows WM_COPYDATA မက်ဆေ့ဂျ်ကို ဖြတ်သွားသည်။
ငွေပေးချေမှုအမှာစာများကို ဆုံးဖြတ်ရန် ပင်မ DLL မော်ဂျူးသည် ဖိုင်ကိုဖွင့်ပြီး ခွဲခြမ်းစိတ်ဖြာသည်။ ၎င်းသည် ဖိုင်တွင်ပါရှိသော ငွေပမာဏနှင့် ငွေပေးငွေယူနံပါတ်ကို အသိအမှတ်ပြုသည်။ ဤအချက်အလက်ကို အမိန့်ပေးသည့်ဆာဗာသို့ ပေးပို့သည်။ ဤ module သည် လက်ရှိတွင် ပြုပြင်မွမ်းမံထားသော မက်ဆေ့ချ်တစ်ခုပါ၀င်သောကြောင့် ၎င်းတွင် 1c_to_kl.txt ကို အလိုအလျောက်မွမ်းမံနိုင်သည်ဟု ကျွန်ုပ်တို့ယုံကြည်ပါသည်။
၄.၈.၂။ အခွင့်ထူးများ တိုးလာခြင်း
RTM သည် မှားယွင်းသော အမှားအယွင်း မက်ဆေ့ချ်များကို ပြသခြင်းဖြင့် အခွင့်ထူးများ တိုးမြင့်ရန် ကြိုးပမ်းနိုင်သည်။ Malware သည် မှတ်ပုံတင်စစ်ဆေးမှုကို အတုယူလုပ်ဆောင်သည် (အောက်ပါပုံကိုကြည့်ပါ) သို့မဟုတ် တကယ့် registry editor အိုင်ကွန်ကို အသုံးပြုသည်။ ကျေးဇူးပြု၍ စာလုံးပေါင်းမှားပါက ခေတ္တစောင့်ဆိုင်းပါ။ စက္ကန့်အနည်းငယ် စကင်ဖတ်ပြီးနောက်၊ ပရိုဂရမ်သည် မှားယွင်းသော အမှားသတင်းကို ပြသသည်။
မှားယွင်းသောမက်ဆေ့ချ်သည် သဒ္ဒါအမှားများရှိနေသော်လည်း သာမန်အသုံးပြုသူကို အလွယ်တကူလှည့်ဖြားနိုင်မည်ဖြစ်သည်။ အသုံးပြုသူသည် လင့်နှစ်ခုထဲမှ တစ်ခုကို နှိပ်ပါက၊ RTM သည် စနစ်အတွင်းရှိ ၎င်း၏အခွင့်ထူးများကို တိုးမြှင့်ရန် ကြိုးပမ်းမည်ဖြစ်သည်။
ပြန်လည်ရယူရေးရွေးချယ်စရာနှစ်ခုထဲမှ တစ်ခုကို ရွေးချယ်ပြီးနောက်၊ စီမံခန့်ခွဲသူအခွင့်ထူးများဖြင့် ShellExecute လုပ်ဆောင်ချက်ရှိ Runas ရွေးချယ်မှုကို အသုံးပြု၍ Trojan သည် DLL ကို စတင်သည်။ အသုံးပြုသူသည် မြင့်တင်ရန်အတွက် တကယ့် Windows prompt (အောက်ပုံတွင်ကြည့်ပါ)။ အသုံးပြုသူသည် လိုအပ်သောခွင့်ပြုချက်များကို ပေးပါက၊ Trojan သည် စီမံခန့်ခွဲသူအခွင့်ထူးများဖြင့် လုပ်ဆောင်မည်ဖြစ်သည်။
စနစ်တွင် ထည့်သွင်းထားသည့် မူရင်းဘာသာစကားပေါ် မူတည်၍ Trojan သည် ရုရှား သို့မဟုတ် အင်္ဂလိပ်လို အမှားအယွင်းစာတိုများကို ပြသသည်။
၄.၈.၃။ လက်မှတ်
RTM သည် csrss.exe ဒိုင်ယာလော့ဘောက်စ်ရှိ “yes” ခလုတ်ကို အလိုအလျောက်နှိပ်ခြင်းဖြင့် Windows Store တွင် လက်မှတ်များကို ပေါင်းထည့်နိုင်ပြီး ထပ်တိုး၏ ယုံကြည်စိတ်ချရမှုကို အတည်ပြုနိုင်သည်။ ဤအပြုအမူသည် အသစ်အဆန်းမဟုတ်ပါ၊ ဥပမာ၊ ဘဏ်လုပ်ငန်း Trojan Retefe သည် လက်မှတ်အသစ်တစ်ခုထည့်သွင်းခြင်းကို သီးခြားအတည်ပြုသည်။
၄.၈.၄။ ပြောင်းပြန်ချိတ်ဆက်မှု
RTM စာရေးဆရာများသည် Backconnect TCP ဥမင်ကိုလည်း ဖန်တီးခဲ့သည်။ အသုံးပြုနေသည့် အင်္ဂါရပ်ကို ကျွန်ုပ်တို့ မတွေ့ရသေးသော်လည်း ၎င်းသည် ကူးစက်ခံထားရသော PC များကို အဝေးမှ စောင့်ကြည့်ရန် ဒီဇိုင်းထုတ်ထားသည်။
၄.၈.၅။ လက်ခံသူဖိုင်စီမံခန့်ခွဲမှု
C&C ဆာဗာသည် Windows host ဖိုင်ကို မွမ်းမံပြင်ဆင်ရန် Trojan သို့ အမိန့်တစ်ခုပေးပို့နိုင်သည်။ စိတ်ကြိုက် DNS ဆုံးဖြတ်ချက်များကို ဖန်တီးရန် လက်ခံသူဖိုင်ကို အသုံးပြုသည်။
၄.၈.၆။ ဖိုင်ကိုရှာပြီး ပို့ပါ။
ဆာဗာသည် ကူးစက်ခံထားရသောစနစ်ရှိ ဖိုင်တစ်ခုကို ရှာဖွေပြီး ဒေါင်းလုဒ်လုပ်ရန် တောင်းဆိုနိုင်သည်။ ဥပမာအားဖြင့်၊ သုတေသနပြုလုပ်နေစဉ်အတွင်း 1c_to_kl.txt ဖိုင်အတွက် တောင်းဆိုချက်တစ်ခုကို လက်ခံရရှိခဲ့ပါသည်။ ယခင်က ဖော်ပြခဲ့သည့်အတိုင်း ဤဖိုင်ကို 1C: Enterprise 8 စာရင်းကိုင်စနစ်မှ ထုတ်ပေးပါသည်။
4.8.7. အပ်ဒိတ်
နောက်ဆုံးတွင်၊ RTM စာရေးဆရာများသည် လက်ရှိဗားရှင်းကို အစားထိုးရန်အတွက် DLL အသစ်တစ်ခုကို တင်ပြခြင်းဖြင့် ဆော့ဖ်ဝဲကို အပ်ဒိတ်လုပ်နိုင်ပါသည်။
၈။ နိဂုံး
Исследование RTM показывает, что российская банковская система до сих пор привлекает киберзлоумышленников. Такие группировки как Buhtrap, Corkow и Carbanak успешно крадут деньги у финансовых учреждений и их клиентов в России. RTM – новый игрок в этой индустрии.
ESET telemetry အရ အန္တရာယ်ရှိသော RTM ကိရိယာများကို အနည်းဆုံး 2015 ခုနှစ်နှောင်းပိုင်းတွင် စတင်အသုံးပြုခဲ့သည်။ ပရိုဂရမ်တွင် စမတ်ကတ်များဖတ်ခြင်း၊ သော့ခတ်ခြင်းများကို ကြားဖြတ်ခြင်းနှင့် ဘဏ်လုပ်ငန်းလွှဲပြောင်းမှုများကို စောင့်ကြည့်ခြင်းအပြင် 1C: Enterprise 8 သယ်ယူပို့ဆောင်ရေးဖိုင်များကို ရှာဖွေခြင်းအပါအဝင် သူလျှိုလုပ်နိုင်စွမ်းများ အပြည့်အစုံပါရှိသည်။
ဗဟိုချုပ်ကိုင်မှုကင်းသော၊ ဆင်ဆာမဲ့ .bit ထိပ်တန်းဒိုမိန်းကို အသုံးပြုခြင်းသည် အလွန်ခံနိုင်ရည်ရှိသော အခြေခံအဆောက်အဦကို သေချာစေသည်။
source: www.habr.com