áá¯ááŸá¬ážáá¯áá¹ááá®áá»á¬ážáá¶á០ááœá±ááŒá±ážáá»á¬ážááᯠááá¯ážáá°áá¬ááœáẠá¡áá°ážááŒá¯ááá·áº áá¬áááºááŒá®áž ááá¯ááºáá¬á¡á¯ááºá á¯áá»á¬ážá áœá¬ááŸááááºá áá áºááŸááºáááœááºáááºááá¯á·áááºáá±á¬ááºááœáá·áºáá±ážááá·áº áá¯á¶ááŒá¯á¶áá±ážááœááºáááºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯á ááá¯ááºááá¯ááºááŸá¯áá»á¬ážááᯠáá»áœááºá¯ááºááá¯á·ááœá±á·ááŒááºáá²á·ááá«áááºá áááºážááá¯á·áááºáá±á¬ááºááœáá·áºáááŒá®ážáááºááŸáá·áº ááá¯ááºááá¯ááºáá°áá»á¬ážááẠá¡ááœá²á·á¡á ááºážáááœááºáááºááœá²á·á ááºážáá¯á¶ááᯠáá±á·áá¬ááŒá®áž áááºáá¯á¶ááœá±áá»á¬ážááá¯ááá¯ážáá°ááẠáááºážááá¯á·áááá¯ááºááá¯ááºáááááá¬áá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááŒáááºá á€áááºážááŒá±á¬ááºážá ááá¹ááááºá¥ááá¬áá áºáá¯ááŸá¬ áááºáá¬á¡á¯ááºá á¯áá»á¬ážááŒá áºááá·áº Buhtrapá Cobalt ááŸáá·áº Corkow ááá¯á·ááŒá áºáááºá
á€á¡á á®áááºáá¶á á¬ááá¯á¡á¬áá¯á¶á áá¯ááºááá·áº RTM á¡ááœá²á·ááẠá€áááºážááŒá±á¬ááºážááá áºá áááºáá áºááá¯ááºážááŒá áºáááºá áááºážááẠDelphi ááœáẠáá±ážáá¬ážáá¬ážáá±á¬ á¡áá°ážáá®ááá¯ááºážáá¯ááºáá¬ážáá±á¬ malware ááᯠá¡áá¯á¶ážááŒá¯áá¬ážááŒá®áž á¡á±á¬ááºáá«ááá¹ááá»á¬ážááœáẠáá»áœááºá¯ááºááá¯á· á¡áá±ážá áááºááŒáá·áºááŸá¯áá«áááºá ESET áááºáá®áá®áá¬á áá áºááŸá á€áááááá¬áá»á¬ážá ááááá¯á¶ážááŒá±áá¬áá»á¬ážááᯠ2015 ááŸá áºáá¯ááºááá¯ááºážááœáẠááŸá¬ááœá±ááœá±á·ááŸááá²á·áááºá á¡ááœá²á·ááẠááá¯á¡ááºáááᯠáá°ážá ááºáá¬ážáá±á¬ á áá áºáá»á¬ážáá±á«áºááœáẠá¡áá»áá¯ážáá»áá¯ážáá±á¬ module á¡áá áºáá»á¬ážááᯠáááºáá«áááºá ááá¯ááá¯ááºááá¯ááºááŸá¯ááẠáá¯ááŸá¬ážááá¯ááºáá¶ááŸáá·áº á¡áááºáá®ážáá»ááºážááá¯ááºáá¶á¡áá»áá¯á·ááŸá áá±ážáá¶áá±á«ááºáá®áá±á¬ áááºáá¯ááºáááºážá áá Ạáá¯á¶ážá áœá²áá°áá»á¬ážááᯠáááºááœááºááŒááºážááŒá áºáááºá
RTM áááºááááºážááẠáá±á¬áºááá¯ááááºá¡áá¯á¶ážááŒá¯áá°áá»á¬ážá¡ááœáẠáááºááœááºááẠ- á€áááºááŸá¬ ááá¯ááºááá¯ááºáá°áá»á¬áž á¡áá±ážá¡áá°áá¶ááá±á¬á áá áºááœáẠááŸá¬ááœá±ááœá±á·ááŸáááá·áº áá¯ááºáááºážá ááºáá»á¬ážá០áááºááŸá¬ážáá«áááºá áá±ážáá¶áá±á«ááºáá®áá±á¬ áááºáá¯ááºáááºážá áá áºáá»á¬ážááŸáá·áº áá¯ááºáá±á¬ááºáááºá¡ááœáẠá á¬áááºážááá¯ááºáá±á¬á·ááºáá²ááᯠá¡ááááá¬ážáá¯ááºáá±á¬ááºáááºá
RTM á¡ááœáẠá áááºáááºá á¬ážáá±á¬ áá¯ááºáááºážá ááºáá»á¬ážá á¬áááºážááẠBuhtrap á¡á¯ááºá á¯á áááºááá¯ááºáá¬á á¬áááºážááŸáá·áº áááºáá°áá±á¬áºáááºáž á¡á¯ááºá á¯áá»á¬ážááœáẠááá°áá®áá±á¬ áá°ážá ááºáá±á¬áá«áá»á¬ážááŸááááºá Buhtrap ááẠá á¬áá»ááºááŸá¬á¡áá¯áá»á¬ážááᯠááá¯ááááŒá¬ááá¡áá¯á¶ážááŒá¯áá«á RTM ááẠdrive-by download attacks (ááá±á¬ááºáᬠááá¯á·ááá¯áẠáááºážáá¡á áááºá¡ááá¯ááºážáá»á¬ážááᯠááá¯ááºááá¯ááºááŒááºáž) ááŸáá·áº á¡á®ážáá±ážááºááŒáá·áº spam áá»á¬ážááá¯á¡áá¯á¶ážááŒá¯áááºá áááºáá®áá®áá¬áá±áá¬á¡á ááŒáááºážááŒá±á¬ááºááŸá¯ááẠáá¯ááŸá¬ážááŸáá·áº á¡áá®ážáá¬ážááá¯ááºáá¶á¡áá»á¬ážá¡ááŒá¬áž (áá°áááááºážá áá¬áááºá áááºá áá»ááºááá¹ááááá¯ááºáá¶á áá»á¬ááá®) ááᯠáááºááœááºáááºá ááá¯á·áá±á¬áºá á¡á á¯ááá¯ááºá¡ááŒá¯á¶ááá¯áẠááŒáá·áºááŒá°ážáá±ážááá¹ááá¬ážáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááŒááºážááŒá±á¬áá·áº áá áºááŸááºáá±ááá»á¬ážá¡ááŒááºáááºááŸá malware áá»á¬ážááᯠááŸá¬ááœá±ááœá±á·ááŸáááŒááºážááẠá¡á¶á·ááŒá áá¬ááá¯ááºáá«á
Malware ááŸá¬ááœá±ááœá±á·ááŸáááŸá¯ á á¯á á¯áá±á«ááºáž á¡áá±á¡ááœááºááŸá¬ á¡áá±á¬áºáá±áž áááºážáá«ážáá«áááºá á¡ááŒá¬ážáá áºáááºááœááºá RTM áááºááááºážááẠááá¯ááºááá¯ááºááŸá¯áá»á¬ážááᯠá¡ááœááºáá áºááŸááºáá¬ážáááºáᯠááœáŸááºááŒááá·áº ááŸá¯ááºááœá±ážáá±á¬áááá¯ááááºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯áááºá
áááºááŸáááŒááºážáááŸááá±á¬ á
á¬áá»á¯ááºáá»á¬ážá ááŒá±á
á¬áá»á¬áž ááá¯á·ááá¯áẠá¡ááœááºááœá±á
á¬áááºážá
á¬ááœááºá
á¬áááºážáá»á¬ážá¡áá«á¡ááẠRTM ááŸá¡áá¯á¶ážááŒá¯áá±á¬ á¡áá¯á¡áá±á¬ááºá
á¬ááœááºá
á¬áááºážá¡áá»á¬ážá¡ááŒá¬ážááᯠáá»áœááºá¯ááºááá¯á· ááŸá¬ááœá±ááœá±á·ááŸááá¬ážáá«áááºá ááá¯ááºááá¯ááºááẠáá
áºááŸááºáá¬ážáá±á¬ áá±á¬á·ááºáá²á¡áá»áá¯ážá¡á
á¬ážááŸáá·áº áá±á«ááºážá
ááºáá¬ážáá±á¬ ááœá²áá±á¬ááºááŸá¯áá»á¬ážá ááá±á¬ááá¬áááŸá¬á ááá¯ááºááá¯ááºáá°áá»á¬ážááẠá
á¬áááºážááá¯ááºáá¬áááŸáá
áºááá·áº áá¯ááŸá¬ážáá¯áá¹ááá®áá»á¬ážá ááœááºáááºáá»á¬ážááá¯á· âáááºáá±á¬ááºâ áá±ááŒá±á¬ááºáž ááœáŸááºááŒáá±áááºá á¡ááœá²á·ááẠáá°áá®áá±á¬ á¡á
á®á¡á
á¥áºá¡ááá¯ááºáž áá¯ááºáá±á¬ááºáá²á·áááºá
áá¯áá±ááááŒá¯áá¯ááºáá±á ááºá¡ááœááºážá áá»áœááºá¯ááºááá¯á·ááẠC&C áá¬áá¬áá»á¬ážá áœá¬ááŸáá·áº á¡ááŒááºá¡ááŸááºáá¯á¶á·ááŒááºááá¯ááºáá²á·áááºá áá»áœááºá¯ááºááá¯á·ááẠá¡á±á¬ááºáá«ááá¹ááá»á¬ážááœáẠcommand áá»á¬ážá á¬áááºážá¡ááŒáá·áºá¡á á¯á¶ááᯠá á¬áááºážááŒá¯á á¯áá¬ážáááºááŒá áºááŒá®ážá ááá¯á·áá±á¬áº ááá¯á¡áá« client ááẠkeylogger á០data áá»á¬ážááᯠattacking server ááá¯á·ááá¯ááºááá¯ááºááœáŸá²ááŒá±á¬ááºážáá±ážáááºá ááá¯á·áá±á¬áẠáááºááá·áº command áá»á¬ážááá¯áááºáá¶áááŸááááºááŒá áºáááºá
ááá¯á·áá±á¬áºá áááºááẠcommand ááŸáá·áº control server ááá¯á·ááá¯ážááŸááºážá áœá¬áá»áááºáááºááá¯ááºááŒá®ážáááºá áááºáááºá á¬ážáá±á¬áá±áá¬á¡á¬ážáá¯á¶ážááá¯á á¯áá±á¬ááºážááá¯ááºááá·áºáá±á·áááºáá»á¬ážáááŸááá±á¬á·áá«á áá¬áá¬á០áááºááá¯ááºáᬠááœáŸááºááŒá¬ážáá»ááºá¡áá»áá¯á·ááᯠááá°áááºá¡ááœáẠáááºááœá±á·áááºáá±á¬ ááŸááºáááºážááá¯ááºáá»á¬ážááᯠáá»áœááºá¯ááºááá¯á· áááºáá®ážáá¬ážáá«áááºá
áááºážááá¯á·áá²á០ááááá¯á¶ážááŸá¬ 1c_to_kl.txt - 1C: Enterprise 8 áááá¯ááááºá áááºáá°ááá¯á·áá±á¬ááºáá±ážááá¯ááºááŒá áºááá·áº RTM á០áááºááŒáœá áœá¬ á á±á¬áá·áºááŒáá·áºáá±ááá·áº á¡ááœááºá¡ááŒááºááᯠááœáŸá²ááŒá±á¬ááºážáá±ážááẠbot ááá¯á· áá±á¬ááºážááá¯áá»ááºááŒá áºáááºá 1C ááẠá¡ááœááºááœá±áá±ážáá»á±ááŸá¯ááá¯ááºáᬠáá±áá¬ááᯠá á¬áá¬ážááá¯ááºááá¯á· á¡ááºáá¯ááºáááºááŒááºážááŒáá·áº á¡áá±ážá០áááºá áá áºáá»á¬ážááŸáá·áº á¡ááŒááºá¡ááŸáẠáá¯á¶á·ááŒááºáá«áááºá ááá¯á·áá±á¬ááºá ááœá±áá±ážáá»á±ááŸá¯á¡áááá·áºááᯠá¡ááá¯á¡áá»á±á¬ááºáá¯ááºáá±á¬ááºáááºááŸáá·áº á¡áá±á¬ááºá¡áááºáá±á¬áºáááºá¡ááœáẠá¡áá±ážááááºážáááºá áá áºááá¯á· ááá¯ááºááᯠáá±ážááá¯á·áááºá
ááá¯ááºááœáẠááœá±áá±ážáá»á±ááŸá¯á¡áá±ážá áááºáá»á¬áž áá«ááŸááááºá á¡áááºá ááá¯ááºááá¯ááºáá°áá»á¬ážááẠá¡ááœááºááœá±áá±ážáá»á±ááŸá¯áá»á¬ážááá¯ááºáᬠá¡áá»ááºá¡áááºáá»á¬ážááᯠááŒá±á¬ááºážáá²áá«áá ááŸá¬ážááœááºážáá±á¬á¡áá±ážá áááºá¡áá»ááºá¡áááºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯á ááœáŸá²ááŒá±á¬ááºážááŸá¯ááẠááá¯ááºááá¯ááºáá°áá»á¬ážáá¡áá±á¬áá·áºáá»á¬ážááá¯á· áá±ážááá¯á·áááºááŒá áºáááºá
á€ááá¯ááºáá»á¬ážááᯠá¡áááá·áºáá±ážá á¬ááŸáá·áº ááááºážáá»á¯ááºááŸá¯áá¬áá¬á០áá±á¬ááºážááá¯ááŒá®ážáá±á¬áẠáá áºáááá·áºá¡ááŒá¬ááœááºá áá»áœááºá¯ááºááá¯á·ááẠááááºá¡ááºá¡áá Ạ1c_2_kl.dll ááᯠá¡áá±ážá¡áá°áá¯ááºáá¬ážááá·áºá áá áºááœáẠáááºáá¬ážááŒá±á¬ááºáž ááœá±á·ááŸááá²á·áááºá module (DLL) ááẠá á¬áááºážááá¯ááºáá±á¬á·ááºáá²áá¯ááºáááºážá ááºáá»á¬ážááᯠááá¯ážáá±á¬ááºáááºáá±á¬ááºááŒááºážááŒáá·áº áá±á«ááºážáá¯ááºááá¯ááºááᯠá¡ááá¯á¡áá»á±á¬ááºááœá²ááŒááºážá áááºááŒá¬ááẠáá®ááá¯ááºážáá¯ááºáá¬ážáááºá áááºážááᯠá¡á±á¬ááºáá«ááá¹ááá»á¬ážááœáẠá¡áá±ážá áááºáá±á¬áºááŒáá«áááºá
á áááºáááºá á¬ážá áá¬ááŸá¬á 2016 ááŸá áºáá¯ááºááœáẠáá¯ááŸá¬ážáááºá FinCERT ááẠ1c_to_kl.txt ááá¯ááºáá»á¬ážááᯠá¡ááºáá¯ááºáááºááá·áº ááá¯ááºáá¬áá¬ááááºáá±á¬ááºáá»á¬ážá¡ááŒá±á¬ááºáž ááááá±ážáá»áẠáá¯ááºááŒááºáá²á·áááºá 1C á០developer áá»á¬ážááẠá€á¡á á®á¡á á¥áºá¡ááŒá±á¬ááºážááá¯áááºáž ááááŸáááŒááŒá®ážá áááºážááá¯á·ááẠááá¬ážáááºáá¯ááºááŒááºáá»ááºáá áºáá¯ááŸáá·áº ááŒáá¯áááºáá¬ááœááºááŸá¯áá»á¬ážááᯠá á¬áááºážááŒá¯á á¯áá¬ážááŒá®ážááŒá áºáááºá
á¡áá°ážáááŒáá·áº VNC (áááºážá 32 ááŸáá·áº 64-bit áá¬ážááŸááºážáá»á¬áž) á០á¡ááŒá¬ážáá±á¬ áá±á¬áºáá»á°ážáá»á¬ážááᯠá¡áááá·áºáá±ážáá¬áá¬á០áááºáá±ážáá²á·áááºá áááºážááẠDridex Trojan ááá¯ááºááá¯ááºááŸá¯áá»á¬ážááœáẠááááºá á¡áá¯á¶ážááŒá¯áá²á·ááá·áº VNC module ááŸáá·áº áááºáá°áááºá ဠmodule ááᯠáá°ážá ááºáá¶áá¬ážááá±á¬ ááœááºáá»á°áá¬ááŸáá·áº á¡áá±ážá០áá»áááºáááºáááºááŸáá·áº á áá áºá á¡áá±ážá áááºáá±á·áá¬ááŸá¯ááᯠáá¯ááºáá±á¬ááºááẠá¡áá¯á¶ážááŒá¯áááºáᯠáá°áááááºá ááá¯á·áá±á¬ááºá ááá¯ááºááá¯ááºáá°áá»á¬ážááẠááœááºáááºá¡ááœááºáž ááœá±á·ááŒá±á¬ááºážááẠááŒáá¯ážá á¬ážááŒááŒá®áž áá¯á¶ážá áœá²áá° á áá¬ážááŸááºáá»á¬ážááᯠáá¯ááºáá°ááŒááºážá á¡áá»ááºá¡áááºáá»á¬áž á á¯áá±á¬ááºážááŒááºážááŸáá·áº malware áá»á¬áž á¡áááºáááŒáẠááŸááá±ááŒááºážááᯠáá±áá»á¬á á±áááºá
2. ááá¯ážáááºááŒááºáž
á¡á±á¬ááºáá±á¬áºááŒáá«áá¯á¶ááẠáááºááááºážááá±á·áá¬ááŸá¯áá¬áá¡ááœááºáž ááœá±á·ááŸááá±á¬ áá±á¬áá«ááá¯ážáá°ážá ááºááŸá¯ááᯠááŒááááºá á¡ááœá²á·ááẠáá»ááºááŒáá·áºáá±á¬ vector áá»á¬ážááᯠá¡áá¯á¶ážááŒá¯áá±á¬áºáááºáž á¡áááá¡á¬ážááŒáá·áº drive-by download ááŸáá·áº spam áá»á¬ážááŒá áºáááºá áááá¡ááŒá±á¡áá±ááœááºá ááá¯ááºááá¯ááºáá°áá»á¬ážááẠááŒá áºááá¯ááºáá»á±ááŸááá±á¬ áá¬ážáá±á¬ááºáá»á¬ážáᶠááœá¬ážáá±á¬ááºáááºáááºááá·áº ááá¯ááºáá»á¬ážááᯠááœá±ážáá»ááºááá¯ááºááŒá®áž áá¯áááááœáẠáááºážááá¯á·ááẠá¡ááá¯ááŸááá±á¬ áá¯áá¹ááá®áááºáááºážáá»á¬ážáᶠáá°ážááœá²áá«ááá¯ááºáá»á¬ážááŸáá·áºá¡áá° á¡á®ážáá±ážááºáá±ážááá¯á·ááá¯ááºáá«áááºá
Malware ááẠá€áááºáá±á¬ááºááŸá¯áá»á¬ážááᯠáá±ážáá±á¬ááºáá±áá±á¬ ááá¯ááºááá¯ááºáá°áá»á¬ážááŸáá·áº á¡ááŒá¬ážááá¯ááºáá¬ááá¯ááºááá¯ááºáá°áá»á¬ážááŒá¬áž áá»áááºáááºááŸá¯áá»á¬ážááᯠááœáŸááºááŒáá±ááá·áº RIG ááŸáá·áº Sundown exploit kits ááá¯á·ááá¯áẠspam mail áá»á¬áž á¡áá«á¡ááẠáá»ááºáááºáá»á¬ážá áœá¬ááŸáááá·áº ááŒáá·áºáá±áá«áááºá
á.áá RTM ááŸáá·áº Buhtrap ááẠáááºááá¯á·áááºá ááºááááºážá
RTM ááŸá¯ááºááŸá¬ážááŸá¯ááẠBuhtrap ááŸáá·áº á¡ááœááºáááºáá°áááºá ááá¬ááá»áá±á¬áá±ážááœááºážááŸá¬ áááºážááá¯á·ááẠáá áºáá¯ááŸáá·áºáá áºáᯠáááºááá¯á·áááºá ááºáá±ááááºážá
á ááºáááºáá¬á 2016 áá¯ááŸá áºááœááºá Buhtrap á¡ááºáá¯ááºáááºáá°ááᯠá¡áá¯á¶ážááŒá¯á RTM ááá°áá¬ááᯠááŒáá·áºáá±áá±áááºááᯠáá»áœááºá¯ááºááá¯á· ááœá±á·ááŸááá²á·áááºá ááá¯á·á¡ááŒááºá Buhtrap ááŸáá·áº RTM ááŸá áºáá»áá¯ážáá¯á¶ážááœááºá¡áá¯á¶ážááŒá¯áá¬ážáá±á¬ áá áºáá»á áºáááºáááºááŸááºááŸá áºáá¯ááᯠáá»áœááºá¯ááºááá¯á·ááœá±á·ááŸááá²á·áááºá
DNISTER-M áá¯áá¹ááá®ááá¯á· áá¯ááºáá±ážáááºáᯠá áœááºá áœá²áá¶áá¬ážááá±á¬ áááá áá¯ááá Delphi áá±á¬ááºáá¯á¶á ᶠ(SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) ááŸáá·áº Buhtrap DLL (SHA-1: 1E2642CC454A ááá)á
Bit-Tredj ááá¯á·áá¯ááºáá±ážáá±á¬ áá¯ááááá áºáá»áá¯ážááᯠBuhtrap loaders (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 ááŸáá·áº B74F71560E48488D2153AE2FB51207A0BB206) ááŸáá·áº á¡á áááºá¡ááá¯ááºážáá»á¬ážááᯠáá±á«ááºážáá¯ááºáá¯ááºá ááá·áºááœááºážááẠá¡áá¯á¶ážááŒá¯áá«áááºá
RTM á¡á±á¬áºááá±áá¬áá»á¬ážááẠá¡ááŒá¬ážáá±á¬ malware áááá¬ážá á¯áá»á¬ážá¡ááœáẠáá°áá®áá±á¬ áááºááŸááºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯áá±á¬áºáááºáž áááºážááá¯á·ááœáẠáá°ážááŒá¬ážáá±á¬ áááºááŸááºáá áºáá¯áááºáž ááŸááááºá ESET telemetry á¡áá áááºážááᯠKit-SD ááá¯á· áá¯ááºáá±ážáá²á·ááŒá®áž á¡áá»áá¯á·áá±á¬ RTM malware (SHA-1:42A4B04446A20993DDAE98B2BE6D5A797376D4B6) ááᯠáááºááŸááºááá¯ážáááºáᬠá¡áá¯á¶ážááŒá¯áá²á·áááºá
RTM ááẠBuhtrap áá²á·ááá¯á·áá°áá®áá±á¬ loader ááá¯á¡áá¯á¶ážááŒá¯áááºá RTM á¡á áááºá¡ááá¯ááºážáá»á¬ážááᯠBuhtrap á¡ááŒá±áá¶á¡áá±á¬ááºá¡á¡á¯á¶ááŸáááºáá±á¬ááºáááºááŒá áºáá±á¬ááŒá±á¬áá·áºá¡ááœá²á·áá»á¬ážááœááºáááºáá°áá±á¬ááœááºáááºá¡ááœáŸááºážáá»á¬ážááŸááááºá ááá¯á·áá±á¬áºáááºáž áá»áœááºá¯ááºááá¯á·á ááá·áºááŸááºážáá»ááºáá»á¬ážá¡á RTM ááŸáá·áº Buhtrap ááá¯á·ááẠááá°áá®áá±á¬á¡á¯ááºá á¯áá»á¬ážááŒá áºááŒá®áž á¡áááºážáá¯á¶áž RTM ááẠááá°áá®áá±á¬áááºážáááºážáá»á¬ážááŒáá·áº ááŒáá·áºáá±áá¬ážáá±á¬ááŒá±á¬áá·áº (âááá¯ááºáá¶ááŒá¬ážâ downloader ááá¯á¡áá¯á¶ážááŒá¯áá¯á¶áá¬áá)á
á€á¡áá¬áá»á¬ážááŒá¬ážá០áááºáá¬á¡ááœá²á·áá»á¬ážááẠá¡áá¬ážáá°áá¯ááºáá±á¬ááºááŸá¯á ááºážáá»ááºážáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááŒáááºá áááºážááá¯á·ááẠá á¬áááºážááá¯ááºáá±á¬á·ááºáá²ááºááᯠá¡áá¯á¶ážááŒá¯á á á®ážááœá¬ážáá±ážáá¯ááºáááºážáá»á¬ážááᯠáá áºááŸááºáá¬ážááŒá®áž á áá áºá¡áá»ááºá¡áááºáá»á¬ážááᯠá á¯áá±á¬ááºážááŒááºážá á áááºáááºá á¬áááºáá°áá»á¬ážááᯠááŸá¬ááœá±ááŒááºážááŸáá·áº áá¬ážáá±á¬ááºáá»á¬ážááᯠáá±á¬ááºááŸááºážááẠá¡áá¹ááá¬ááºááŸááá±á¬ áááááá¬áá»á¬áž ááŒáá·áºáá»ááºáá»áá¬ážááŒááºážááá¯á·ááá¯áááºáž áá áºááŸááºáá¬ážááŒáááºá
3. ááá·áºáá²ááŒá áºá ááº
á€ááá¹áááœááºá áá±á·áá¬ááŸá¯á¡ááœááºáž ááœá±á·ááŸááááá·áº malware áá¬ážááŸááºážá¡áá»áá¯ážáá»áá¯ážááᯠááŒáá·áºááŸá¯áá«áááºá
á.áá áá¬ážááŸááºážááŒá±á¬ááºážááŒááºážá
RTM ááẠconfiguration data ááᯠregistry ááá¹áááœáẠááááºážáááºážáá¬ážááŒá®áž á áááºáááºá á¬ážá áá¬á¡áá±á¬ááºážáá¯á¶ážá¡ááá¯ááºážááŸá¬ botnet-prefix ááŒá áºáááºá áá»áœááºá¯ááºááá¯á·áá±á·áá¬áá²á·ááá·áºááá°áá¬áá»á¬ážááœáẠáá»áœááºá¯ááºááá¯á·ááœá±á·ááŒááºááá±á¬ áááºááá¯ážáá»á¬ážá á¬áááºážááᯠá¡á±á¬ááºáá«ááá¬ážááœáẠáá±á¬áºááŒáá¬ážáá«áááºá
Malware áá¬ážááŸááºážáá»á¬ážááᯠááŸááºáááºážáááºáááºá¡ááœáẠáááºááá¯ážáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááá¯ááºáááºá ááá¯á·áá±á¬áºá bit2 ááŸáá·áº bit3á 0.1.6.4 ááŸáá·áº 0.1.6.6 áá²á·ááá¯á·áá±á¬ áá¬ážááŸááºážáá»á¬ážá¡ááŒá¬áž ááœá¬ááŒá¬ážáá»ááºááᯠáá»áœááºá¯ááºááá¯á· áááááá¬ážáááá«á ááá¯á·á¡ááŒááºá ááŸá±á·áááºáá»á¬ážáá²á០áá áºáá¯ááẠá¡á ááááºážá ááŸááá±áá²á·ááŒá®áž áá¯á¶ááŸáẠC&C ááá¯ááááºážá០á¡á±á¬ááºááœáẠááŒáá¬ážááá·áºá¡ááá¯ááºáž .bit ááá¯ááááºážááá¯á· ááŒá±á¬ááºážáá²áá¬áááºá
á.áá á¡áá»áááºááá¬áž
áááºáá®áá®áá¬áá±áá¬ááᯠá¡áá¯á¶ážááŒá¯á ááá°áá¬áá»á¬áž áá±á«áºáá±á«ááºááŒááºážááá¯ááºáᬠááááºáá áºáá¯ááᯠáááºáá®ážáá²á·áááºá
4. áááºážááá¬ááá¯ááºážááœá²ááŒááºážá áááºááŒá¬
á€ááá¹áááœááºá áá¯áá¶ááŸá¯ááá¹ááá¬ážáá»á¬ážá áááºážáááá¯ááºááá¯ááºáá¬ážááŸááºáž RC4 á¡ááºáááá¯áá®áááºá ááœááºáááºáááá¯ááá¯áá±á¬á áá°áá»áŸáá¯áá¯ááºáá±á¬ááºááá¯ááºá áœááºážááŸáá·áº á¡ááŒá¬ážá¡ááºá¹áá«áááºá¡áá»áá¯á·á¡áá«á¡ááẠRTM áááºáá¯ááºáááºáž Trojan á á¡ááááá¯ááºáá±á¬ááºáá»ááºáá»á¬ážááᯠáá±á¬áºááŒáá«áááºá á¡áá°ážáááŒáá·áºá áá»áœááºá¯ááºááá¯á·ááẠSHA-1 ááá°áá¬áá»á¬áž AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 ááŸáá·áº 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B ááá¯á·ááᯠá¡á¬áá¯á¶á áá¯ááºáá«áááºá
á.áá áááºáááºááŒááºážááŸáá·áº ááááºážáááºážááŒááºážá
á.áá á¡áá±á¬ááºá¡áááºáá±á¬áºááŒááºážá
RTM core ááẠDLL áá áºáá¯ááŒá áºááŒá®áž á á¬ááŒáá·áºááá¯ááºááᯠ.EXE áá¯á¶ážááŒá®áž disk áá±á«áºáááºáá¬ážáááºá áá¯ááºáá±á¬ááºááá¯ááºáá±á¬ááá¯ááºááẠá¡áá»á¬ážá¡á¬ážááŒáá·áº áá¯ááºááá¯ážáá¬ážááŒá®áž DLL áá¯ááºáá«ááŸááááºá á áááºááá¯ááºáááºááŸáá·áºá áááºážááẠDLL ááá¯áá¯ááºáá°ááŒá®ážá¡á±á¬ááºáá« command ááá¯á¡áá¯á¶ážááŒá¯á áááºážááᯠrun áááº-
rundll32.exe â%PROGRAMDATA%Winlogonwinlogon.lnkâ,DllGetClassObject host
á.á.áá DLL
áááºá DLL ááᯠ%PROGRAMDATA%Winlogon ááá¯ááºááœá²ááœáẠwinlogon.lnk á¡ááŒá Ạdisk ááá¯á· á¡ááŒá²áááºáá¬ážáááºá á€ááá¯ááºááá¯ážáá»á²á·ááŸá¯ááẠá¡áá»á¬ážá¡á¬ážááŒáá·áº ááŒááºáááºážááá·áºááºáá áºáá¯ááŸáá·áº áááºá ááºáá±áá±á¬áºáááºáž á¡ááŸááºááááºááœáẠááá¯ááºááẠá¡á±á¬ááºáá±á¬áºááŒáá«áá¯á¶ááœááºááŒáá¬ážááá·áºá¡ááá¯ááºáž developer á០core.dll áá¯áá±á«áºáá±á¬ Delphi ááœááºáá±ážáá¬ážáá±á¬ DLL áá áºáá¯ááŒá áºáááºá
ÐÑÐžÐŒÐµÑ ÐœÐ°Ð·Ð²Ð°ÐœÐžÑ DLL F4C746696B0F5BB565D445EC49DD912993DE6361
á áááºááá¯ááºáááºááŸáá·áºá Trojan ááẠáááºážááá¯áá¶ááŸá¯ááá¹ááá¬ážááᯠá¡áááºááœááºážáááºá á áá áºá¡ááœááºážááŸá áá¬ážáá±á¬ááºáá¡ááœáá·áºáá°ážáá»á¬ážáá±á«áºáá°áááºá áááºážááᯠááá°áá®áá±á¬áááºážáááºážááŸá áºáá¯ááŒáá·áº áá¯ááºáá±á¬ááºááá¯ááºáááºá ááá·áºááœáẠá á®áá¶ááá·áºááœá²áá°á¡ááœáá·áºá¡áá±ážáá»á¬ážááŸááá«á Trojan ááẠHKLMSOFTWAREMicrosoftWindowsCurrentVersionRun registry ááá¯á· Windows Update ááá·áºááœááºážááŸá¯ááᯠáá±á«ááºážááá·áºáááºá Windows Update ááœááºáá«ááŸááá±á¬ command áá»á¬ážááẠá¡áá¯á¶ážááŒá¯áá°á session áá¡á ááœáẠáá¯ááºáá±á¬ááºáááºááŒá áºáááºá
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe â%PROGRAMDATA%winlogon.lnkâ,DllGetClassObject áááºáá¶áá±á¬ááºááœááºáá±ážáá°
Trojan ááẠWindows Task Scheduler ááá¯á· áá¯ááºáá±á¬ááºá áá¬áá áºáá¯ááᯠáá±á«ááºážááá·áºááẠááŒáá¯ážá á¬ážáááºá áá¯ááºáá±á¬ááºá áá¬ááẠá¡áááºáá±á¬áºááŒáá«á¡ááá¯ááºáž áá°áá®áá±á¬áá±á¬ááºáá»á¬ážááŒáá·áº winlogon.lnk DLL ááᯠá áááºáá«áááºá áá¯á¶ááŸááºá¡áá¯á¶ážááŒá¯áá°á¡ááœáá·áºá¡áá±ážááẠTrojan á¡á¬áž HKCUSoftwareMicrosoftWindowsCurrentVersionRun registry ááœáẠáá°áá®áá±á¬áá±áá¬ááŒáá·áº Windows Update ááá·áºááœááºážááŸá¯ááᯠááœáá·áºááŒá¯áááº-
rundll32.exe â%PROGRAMDATA%winlogon.lnkâ,DllGetClassObject host
á.áá ááœááºážáá¶áá¬ážáá±á¬ RC4.2 á¡ááºáááá¯áá®áááº
áááºážá áá»áá¯á·ááœááºážáá»ááºáá»á¬ážááᯠáááá¬ážáá±á¬áºáááºážá RC4 algorithm ááᯠmalware áá±ážáá¬ážáá°áá»á¬ážá០áá¯á¶ááŸááºá¡áá¯á¶ážááŒá¯áá«áááºá ááá¯á·áá±á¬áºá RTM ááááºáá®ážáá°áá»á¬ážááẠáááºážááá¯á¡áááºážáááºááŒá¯ááŒááºááŒá®áž ááá¯ááºážáááºá áºááœá²ááŒááºážá áááºááŒá¬áá°áá»á¬ážááá¬áááºááᯠááá¯ááááºáá²á á±ááá¯ááºáááºá RC4 áááœááºážáá¶áá¬ážáá±á¬áá¬ážááŸááºážááᯠá¡áá¹ááá¬ááºááŸááá±á¬ RTM áááááá¬áá»á¬ážááœáẠáá¯ááºáá¶áá«ááºáá»á¬ážá ááœááºáááºáá±áá¬á ááœá²á·á ááºážááŸá¯áá¯á¶á á¶áá»á¬ážááŸáá·áº áá±á¬áºáá»á°ážáá»á¬ážááᯠá á¬ááŸááºááẠáá»ááºáá»ááºááŒáá·áºááŒáá·áºá¡áá¯á¶ážááŒá¯áááºá
á.á.áá ááœá²ááŒá¬ážááŸá¯áá»á¬áž
áá°áááºáž RC4 á¡ááºáááá¯áá®áááºááœáẠá¡ááá·áºááŸá áºááá·áºáá«áááºáááº- s-block á¡á ááŒá¯ááŒááºáž (aka KSA - Key-Scheduling Algorithm) ááŸáá·áº pseudo-random sequence generation (PRGA - Pseudo-random Generation Algorithm)á áááá¡ááá·áºááœáẠáá±á¬á·ááá¯á¡áá¯á¶ážááŒá¯á s-box ááᯠá¡á ááŒá¯ááŒááºážáá«áááºááŒá®áž áá¯áááá¡ááá·áºááœáẠá¡áááºážá¡ááŒá áºá á¬áá¬ážááᯠáá¯ááºááŸááºáááºá¡ááœáẠs-box ááᯠá¡áá¯á¶ážááŒá¯á áá¯ááºáá±á¬ááºáááºá
RTM á á¬áá±ážááá¬áá»á¬ážááẠs-box á¡á áá»áá¯ážááŒááºážááŸáá·áº áá¯ááºááŸááºááŒááºážááŒá¬ážááœáẠááŒá¬ážáá¶á¡ááá·áºáá áºáá¯ááᯠááá·áºááœááºážáá²á·áááºá á¡ááá¯áá±á¬á·ááẠááŒá±á¬ááºážáá²ááá¯ááºáá±á¬ááŒá áºááŒá®áž áá¯ááºááŸááºáááºááŸáá·áº á á¬ááŸááºáá¬ážáááá·áºáá±áá¬ááᯠáá áºáá»áááºáááºážááœáẠáááºááŸááºáá¬ážáááºá á€áá±á¬ááºáááºá¡ááá·áºááᯠáá¯ááºáá±á¬ááºááá·áº áá¯ááºáá±á¬ááºáá»ááºááᯠá¡á±á¬ááºáá«áá¯á¶ááœáẠááŒáá¬ážáááºá
á.á.áá á á¬ááŒá±á¬ááºáž áá¯ááºááŸááºááŒááºáž
ááááá áºáá»ááºááœááºá áááºá DLL ááœááºáááºááá¯ááºáá±á¬á á¬ááŒá±á¬ááºážáá»á¬ážá áœá¬ááŸááááºá á¡á±á¬ááºáá±á¬áºááŒáá«áá¯á¶ááœááºááŒáá¬ážááá·áºááœá²á·á ááºážáá¯á¶ááẠá¡áááºááœááºáá±á¬áºááŒáá¬ážáá±á¬ algorithm ááá¯á¡áá¯á¶ážááŒá¯á áá»ááºáá»á¬ážááᯠencrypt áá¯ááºáá¬ážáááºá ááœá²ááŒááºážá áááºááŒá¬áá¬ážáá±á¬ááá°áá¬áá»á¬ážááœáẠstring encryption á¡ááœáẠááá°áá®áá±á¬ RC25 áá±á¬á· 4 áá¯áá»á±á¬áºááᯠáá»áœááºá¯ááºááá¯á·ááœá±á·ááŸááá²á·áááºá XOR áá±á¬á·ááẠá¡áááºážáá áºáá¯á á®á¡ááœáẠááœá²ááŒá¬ážáááºá ááááºážááá¬ááºážá¡ááœáẠáá»ááºážááŒá±á¬ááºážááœá²ááŒááºážááááºááá¯ážááẠá¡ááŒá²áááºáž 0xFFFFFFFF ááŒá áºáááºá
áá¯ááºáá±á¬ááºááŸá¯á¡á ááœááºá RTM ááẠstrings áá»á¬ážááᯠglobal variable á¡ááŒá áºá¡ááœááºááŸááºáááºá string áá áºáá¯ááᯠáááºáá±á¬ááºááẠááá¯á¡ááºáá±á¬á¡áá«á Trojan ááẠbase address ááŸáá·áº offset ááᯠá¡ááŒá±áá¶á á á¬ááŸááºáá¬ážáá±á¬ á á¬ááŒá±á¬ááºážáá»á¬ážá ááááºá á¬ááᯠááá¯ááºážááá áºááŒáá·áº ááœááºáá»ááºáá«áááºá
á á¬ááŒá±á¬ááºážáá»á¬ážááœáẠMalware ááá¯ááºáá±á¬ááºáá»ááºáá»á¬ážááŸáá·áºáááºáááºáá±á¬ á áááºáááºá á¬ážá áá¬áá±á¬ááºážáá±á¬ á¡áá»ááºá¡áááºáá»á¬ážáá«ááŸááááºá á¡ááá¯ááºáž 6.8 ááœáẠááá°áá¬á á¬ááŒá±á¬ááºážá¡áá»áá¯á·ááᯠáá±ážáá¬ážáááºá
4.3. ááœááºáááº
RTM malware ááẠC&C áá¬áá¬ááᯠáááºááœááºááá·áºáááºážáááºážááẠáá¬ážááŸááºážáá áºáá¯ááŸáá·áºáá áºáᯠááœá²ááŒá¬ážáááºá ááááá¯á¶áž ááŒá¯ááŒááºááœááºážáá¶ááŸá¯áá»á¬áž (á¡á±á¬ááºááá¯áᬠ2015 á០á§ááŒá®á 2016 áá¯ááŸá áº) ááẠááœáŸááºááŒá¬ážáá»ááºáá»á¬ážá á¬áááºážááᯠá¡ááºááááºáá¯ááºáááºá¡ááœáẠlivejournal.com ááŸá RSS feed ááŸáá·áºá¡áá° ááá¯ážáá¬ááá¯ááááºážá¡áááºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯áá²á·áááºá
2016 áá¯ááŸá Ạá§ááŒá®áááááºážáá áááºáá®áá®áá¬áá±áá¬ááœáẠ.bit ááá¯ááááºážáá»á¬ážááá¯á· ááŒá±á¬ááºážááœá¬ážáááºááᯠáá»áœááºá¯ááºááá¯á·ááœá±á·ááŒááºááá«áááºá áááºážááᯠááá¯ááááºážááŸááºáá¯á¶áááºááá·áºáááºá áœá²ááŒáá·áº á¡áááºááŒá¯áá¬ážááẠ- ááááá¯á¶áž RTM ááá¯ááááºáž fde05d0573da.bit ááᯠáááºá 13á 2016 ááœáẠááŸááºáá¯á¶áááºáá²á·áááºá
áááºááááºážááá¯á á±á¬áá·áºááŒáá·áºáá±á áẠáá»áœááºá¯ááºááá¯á·ááœá±á·áá²á·ááá·áº URL áá»á¬ážá¡á¬ážáá¯á¶ážááœáẠáá¯á¶áááºážááŒá±á¬ááºážáá áºáá¯ááŸááááº: /r/z.phpá áááºážááẠá¡áá°ážá¡áááºážááŒá áºááŒá®áž áááºážááẠááœááºáááºá á®ážáááºážááŸá¯áá»á¬ážááœáẠRTM áá±á¬ááºážááá¯ááŸá¯áá»á¬ážááᯠáá±á¬áºáá¯ááºáá¬ááœáẠáá°áá®áá±ážáá«áááá·áºáááºá
á.á.áá á¡áááá·áºáá»á¬ážááŸáá·áº ááááºážáá»á¯ááºááŸá¯á¡ááœáẠáá»ááºáááº
á¡ááœá±á¡ááŸá áºááá°áá¬áá»á¬ážá áááºážááá¯á·á á¡áááá·áºáá±ážáá»ááºáá»á¬ážááŸáá·áº ááááºážáá»á¯ááºááá·áºáá¬áá¬áá»á¬ážá á¬áááºážááᯠá¡ááºááááºáá¯ááºááẠá€áá»ááºáááºááᯠá¡áá¯á¶ážááŒá¯áá²á·áááºá hosting ááẠlivejournal.com ááœáẠáááºááŸáááŒá®áž á¡á á®áááºáá¶á á¬ááᯠáá±ážáá¬ážáá»áááºááœáẠáááºážááẠURL hxxp://f72bba81c921..com/ data/rss ááœáẠááŸááá±áá«áááºá
Livejournal ááẠááá±á¬á·ááºááááºáá±á¬ááºážááᯠáá¶á·ááá¯ážáá±ážáá±á¬ áá¯ááŸá¬áž-á¡áá±ááááẠáá¯áá¹ááá®áá áºáá¯ááŒá áºáááºá RTM á¡á±á¬áºááá±áá¬áá»á¬ážááẠáá¯ááºáá¶áá«ááºáá»á¬ážááŒáá·áº áá±á¬ááºážáá«ážáá áºáá¯ááºáááºááá·áº LJ ááá±á¬á·ááºáá áºáá¯ááᯠáááºáá®ážááẠ- áááºáá¬ážááŒááºáá¬ááºáá¯á¶ááᯠááŒáá·áºáá«á
ááŒá¯ááŒááºáá¬ážáá±á¬ RC4 á¡ááºáááá¯áá®ááẠ(á¡ááá¯ááºáž 4.2) ááᯠá¡áá¯á¶ážááŒá¯á ááœááºáááºážááŸáá·áº ááááºážáá»á¯ááºááá¯ááºážáá»á¬ážááᯠáá¯ááºáá¯ááºáá¬ážáááºá áá»ááºáááºá áááºááŸááá¬ážááŸááºáž (ááá¯áááºáᬠ2016) ááœáẠá¡á±á¬ááºáá« command ááŸáá·áº control server ááááºá á¬áá»á¬áž áá«áááºáááº-
- hxxp://cainmoon..net/r/z.php
- hxxp://rtm..dev/0-3/z.php
- hxxp://vpntap..top/r/z.php
á.á.áá .bit ááá¯ááááºážáá»á¬áž
áááºááá±á¬ RTM ááá°áá¬áá»á¬ážááœááºá á á¬áá±ážáá°áá»á¬ážááẠ.bit TLD ááááºáááºážá¡ááá·áºááá¯ááááºážááᯠá¡áá¯á¶ážááŒá¯á C&C ááá¯ááááºážáá»á¬ážááá¯á· áá»áááºáááºáá«áááºá áááºážááẠááááºáááºážá¡ááá·áº ááá¯ááááºážáá»á¬ážá á¬áááºáž ICANN (Domain Name ááŸáá·áº Internet Corporation) ááœáẠáááŸááá«á áááºážá¡á á¬ážá áááºážááẠBitcoin áááºážááá¬áááááºááœááºáááºáá±á¬ááºáá¬ážááá·áº Namecoin á áá áºááá¯á¡áá¯á¶ážááŒá¯áááºá Malware áá±ážáá¬ážáá°áá»á¬ážááẠNecurs botnet áá¬ážááŸááºážááœáẠáááºážá¡áá¯á¶ážááŒá¯ááŸá¯áááá°áá¬ááᯠááááºá ááœá±á·ááŸááá¬ážáá±á¬áºáááºáž áááºážááá¯á·á ááá¯ááááºážáá»á¬ážá¡ááœáẠ.bit TLD ááᯠáááŒá¬áá á¡áá¯á¶ážáááŒá¯ááŒáá«á
Bitcoin ááŸáá·áºááá°áá²á ááŒáá·áºáá±áá¬ážáá±á¬ Namecoin áá±áá¬áá±á·á áºáá¡áá¯á¶ážááŒá¯áá°áá»á¬ážáááºáá±áá¬ááááºážáááºážááá¯ááºá áœááºážááŸááááºá á€á¡ááºá¹áá«áááºá á¡áááá¡ááá®áá±ážááŸááºážááŸá¬ .bit ááááºáááºážá¡ááá·áºááá¯ááááºážááŒá áºáááºá ááŒáá·áºáá±áá¬ážáá±á¬áá±áá¬áá±á·á áºááœááºááááºážáááºážááá·áºááá¯ááááºážáá»á¬ážááá¯á á¬áááºážááœááºážááá¯ááºáááºá áá±áá¬áá±á·á áºááŸá áááºá ááºááá·áºááœááºážááŸá¯áá»á¬ážááœáẠááá¯ááááºážá ááŒá±ááŸááºážáá¬ážáá±á¬ IP ááááºá á¬áá»á¬áž áá«áááºáááºá ááŸááºáá¯á¶áááºáá°áá¬áá»áŸáẠ.bit ááá¯ááááºážá ááŒááºáááºááŒááºáá¬ážááŸá¯ááᯠááŒá±á¬ááºážáá²ááá¯ááºáá±á¬ááŒá±á¬áá·áº ဠTLD ááẠâáááºáá¬áááºáá¶ááá¯ááºáááºâ ááŒá áºáááºá ááá¯ááá¯áááºááŸá¬ ဠTLD á¡áá»áá¯ážá¡á á¬ážááᯠá¡áá¯á¶ážááŒá¯á á¡áá¹ááá¬ááºááŸááá±á¬ ááá¯ááááºážááᯠáááºááá·áºááẠááá¯ááá¯áááºáá²áááºáᯠááá¯ááá¯áááºá
RTM Trojan ááẠááŒáá·áºáá±áá¬ážáá±á¬ Namecoin áá±áá¬áá±á·á áºááᯠáááºááẠááá¯á¡ááºáá±á¬áá±á¬á·ááºáá²ááºááᯠááá·áºááœááºážáá¬ážááŒááºážáááŸááá«á áááºážááẠ.bit ááá¯ááááºážáá»á¬ážááá¯ááŒá±ááŸááºážááẠdns.dot-bit.org ááá¯á·ááá¯áẠOpenNic áá¬áá¬áá»á¬ážáá²á·ááá¯á·áá±á¬ áááᯠDNS áá¬áá¬áá»á¬ážááᯠá¡áá¯á¶ážááŒá¯áááºá ááá¯á·ááŒá±á¬áá·áºá áááºážááẠDNS áá¬áá¬áá»á¬ážáá²á·ááá¯á· áá°áá®áá±á¬ááŒá¬ááŸááºáá¶ááŸá¯ááŸááááºá ááá±á¬á·ááºááá¯á·á áºáá áºáá¯ááœáẠáá±á¬áºááŒááŒá®ážáá±á¬áẠá¡áá»áá¯á·áá±á¬á¡ááœá²á·áááá¯ááááºážáá»á¬ážááᯠááŸá¬ááœá±ááœá±á·ááŸáááŒááºážáááŸááá±á¬á·ááŒá±á¬ááºáž áá»áœááºá¯ááºááá¯á·áááááŒá¯áááá«áááºá
áááºáá¬áá»á¬ážá¡ááœáẠ.bit TLD á áá±á¬ááºáááºá¡á¬ážáá¬áá»ááºáá áºáá¯ááŸá¬ áá¯ááºáá»á ááááºááŒá áºáááºá ááá¯ááááºážáá áºáá¯ááŸááºáá¯á¶áááºáááºá á¡á±á¬áºááá±áá¬áá»á¬ážááẠ0,01 NK áá¬áá±ážáá»á±ááááºááŒá áºááŒá®ážá áááºážááẠ$0,00185 (áá®áááºáᬠ5á 2016 áá¯ááŸá áºá¡áá) ááŒá áºáááºá ááŸáá¯ááºážááŸááºáááºá¡ááœáẠdomain.com ááẠá¡áááºážáá¯á¶áž $10 áá¯ááºáá»áááºá
á.á.áá áááá¯ááá¯áá±á¬
á¡áááá·áºáá±ážááŸá¯ááŸáá·áº ááááºážáá»á¯ááºááŸá¯áá¬áá¬ááŸáá·áº áááºááœááºáááºá¡ááœááºá RTM ááẠá áááºááŒáá¯ááºáááá¯ááá¯áá±á¬ááᯠá¡áá¯á¶ážááŒá¯á áá±áá¬áá¯á¶á á¶áá»áá¬ážááá·áº HTTP POST áá±á¬ááºážááá¯áá»ááºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯áááºá áááºážááŒá±á¬ááºážáááºááá¯ážááẠá¡ááŒá²áááºáž /r/z.php; Mozilla/5.0 á¡áá¯á¶ážááŒá¯áá° á¡á±ážáá»áá·áº (áááá¬áááŒá áºááŸá¯á MSIE 9.0á Windows NT 6.1á Trident/5.0)á áá¬áá¬áᶠáá±á¬ááºážááá¯ááŸá¯áá»á¬ážááœááºá áá±áá¬ááᯠá¡á±á¬ááºáá«á¡ááá¯ááºáž áá±á¬áºáááºáá¯ááºáá¬ážááŒá®ážá á¡á±á¬á·ááºáááºáááºááá¯ážáá»á¬ážááᯠbytes ááŒáá·áº áá±á¬áºááŒáá«áááºá
Bytes 0 á០6 áá»á¬ážááᯠáá¯ááºáá¯ááºáá¬ážááŒááºážáááŸááá«á 6 ááŸá áááºáá±á¬ bytes áá»á¬ážááá¯ááŒá¯ááŒááºáá¬ážáá±á¬ RC4 algorithm ááá¯á¡áá¯á¶ážááŒá¯á áá¯ááºáá¯ááºáá¬ážáááºá C&C áá¯á¶á·ááŒááºááŸá¯ packet áááœá²á·á ááºážáá¯á¶ááẠááá¯ááá¯ááá¯ážááŸááºážáá«áááºá Bytes ááᯠ4 á០packet á¡ááœááºá¡á á¬ážá¡áá áá¯ááºáá¯ááºáá¬ážáááºá
ááŒá áºááá¯ááºáá»á±ááŸááá±á¬ áá¯ááºáá±á¬ááºáá»áẠbyte áááºááá¯ážáá»á¬ážá á¬áááºážááᯠá¡á±á¬ááºáá«ááá¬ážááœáẠáá±á¬áºááŒáá¬ážáá«áááºá
Malware ááẠáá¯ááºááŸááºáá¬ážáá±á¬áá±áá¬á CRC32 ááᯠá¡ááŒá²ááœááºáá»ááºááŒá®áž packet ááœááºááŸááá±á¬ á¡áá¬áá»á¬ážááŸáá·áº ááŸáá¯ááºážááŸááºáá«áááºá áááºážááá¯á· ááœá²ááŒá¬ážáá«á Trojan ááẠáááºáááºááᯠááœáŸááºáá»áááºá
á¡ááá¯áá±áá¬ááœáẠPE ááá¯ááºá ááá¯ááºá
áá
áºááœáẠááŸá¬ááœá±áááá·áºááá¯ááºá ááá¯á·ááá¯áẠá¡áááá·áºáá±áž URL á¡áá
áºáá»á¬ážá¡áá«á¡ááẠá¡áá¬ááá¹áá¯á¡áá»áá¯ážáá»áá¯áž áá«áááºááá¯ááºáááºá
á.á.áá áá±á¬ááº
RTM ááẠC&C áá¬áá¬áá»á¬ážááœáẠá¡ááá·áºáá áºáá¯ááᯠá¡áá¯á¶ážááŒá¯ááŒá±á¬ááºáž áá»áœááºá¯ááºááá¯á· áááááŒá¯áááá«áááºá á¡á±á¬ááºááœáẠáááºáá¬ážááŒááºáá¬ááºáá¯á¶-
á.áá áááá±áááá¹ááá¬
RTM ááẠáá¯á¶ááŸááºáááºáá¯ááºáááºáž Trojan áá áºáá¯ááŒá áºáááºá á¡á±á¬áºááá±áá¬áá»á¬ážááẠáá¬ážáá±á¬ááºáá áá áºá¡ááŒá±á¬ááºáž á¡áá»ááºá¡áááºááᯠááá¯áá»ááºááŒáááºááŸá¬ á¡á¶á·ááŒá áá¬ááá¯ááºáá±á áá áºáááºááœááºá bot ááẠOS ááŸáá·áºáááºáááºááá·áº á¡ááœá±ááœá±á¡áá»ááºá¡áááºáá»á¬ážááᯠá á¯áá±á¬ááºážáááºá á¡ááŒá¬ážáá áºáááºááœááºá á¡áá±ážá¡áá°áá¶ááá±á¬á áá áºááœáẠáá¯ááŸá¬ážá¡áá±ážááááºážáááºá áá áºáá»á¬ážááŸáá·áº áááºááœáŸááºááá·áº attribute áá»á¬ážáá«áááºáááºááá¯áááºááᯠáááºážááŸááŸá¬ááœá±áááºá
4.4.1. á¡ááœá±ááœá±á¡áá»ááºá¡áááºáá»á¬áž
ááŒááºáááºá áááºááŒá®ážáá±á¬áẠáá²ááºáá²ááᯠáááºáááºááŒááºáž ááá¯á·ááá¯áẠá áááºááá·áºá¡áá«á á¡ááœá±ááœá±á¡áá»ááºá¡áááºáá«ááŸááá±á¬ á¡áááá·áºááŸáá·áº ááááºážáá»á¯ááºáá¬áá¬ááá¯á· á¡á á®áááºáá¶á á¬áá áºá á±á¬áẠáá±ážááá¯á·áááº-
- á¡áá»áááºáá¯ááº;
- áá°áááºážá áá áºáá¬áá¬á áá¬ážá
- á¡ááœáá·áºá¡á¬áá¬á¡áá¯á¶ážááŒá¯áá°á¡áá±á¬ááºá¡áá¬ážáá»á¬áž;
- áá¯ááºáááºážá ááºááá¬ááá¡ááá·áº;
- á¡áá¯á¶ážááŒá¯áá°á¡áááº;
- ááœááºáá»á°áá¬á¡áááº;
- OS áá¬ážááŸááºáž;
- á¡ááá¯ááá·áºááœááºážáá¬ážáá±á¬ module áá»á¬áž;
- ááá¯ááºážáááºá áºááŸáááºáááºážáá±ážáááá¯ááááºááᯠááá·áºááœááºážáá¬ážáááºá
- á áááºáááºáááºáá°áá»á¬ážá á¬áááºážá
4.4.2 á¡áá±ážááááºážáááºá áá áº
áá¯á¶ááŸáẠTrojan áá áºááŸááºááẠá¡áá±ážááááºážáááºá áá áºááŒá áºááŒá®áž RTM ááẠáá»áœááºážáá»ááºáááŸááá«á áááá¯ááááºá áá±á¬áºáá»á°ážáá»á¬ážáá²á០áá áºáá¯ááᯠTBdo áá¯áá±á«áºáááºá áááºážááẠá áááºááºáá áºáá»á¬ážááᯠá áááºááºáááºááŒááºáž ááŸáá·áº ááŸá¬ááœá±ááŸá¯ááŸááºáááºáž á¡áá«á¡ááẠá¡áá¯ááºáá»á¬ážá áœá¬ááᯠáá¯ááºáá±á¬ááºáá±ážáááºá
áá áºááᯠá áááºááºáááºááŒááºážááŒáá·áºá Trojan ááẠáááºáá¯ááºáááºážáá±á¬á·ááºáá²ááᯠá ááºááœáẠááá·áºááœááºážáá¬ážááŒááºážááŸááááŸá á á áºáá±ážáááºá áá áºááŸááºá¡á á®á¡á ááºáá»á¬ážá á á¬áááºážá¡ááŒáá·áºá¡á á¯á¶ááŸá¬ á¡á±á¬ááºáá«ááá¬ážááœáẠááŸááá«áááºá á áááºáá«áááºá á¬ážáá±á¬ááá¯ááºáá áºáá¯ááᯠááœá±á·ááŸáááŒá®ážáá±á¬ááºá áááá¯ááááºááẠá¡áá»ááºá¡áááºáá»á¬ážááᯠá¡áááá·áºáá±ážááá·áºáá¬áá¬ááá¯á· áá±ážááá¯á·áááºá áá±á¬ááºáá¯ááºáá±á¬ááºáá»ááºáá»á¬ážááẠá¡áááá·áºáá±ážá ááºáᬠ(C&C) algorithms ááŸáááºááŸááºáá¬ážáá±á¬ áá¯áá¹ááá¡áá±á«áº áá°áááºáááºá
RTM ááẠááá·áºááá±á¬ááºáá¬ááŸááºáááºážááŸáá·áº ááœáá·áºáá¬ážáá±á¬ áááºááºáá»á¬ážááœáẠURL áá¯á¶á á¶áá»á¬ážááᯠááŸá¬ááœá±áááºá ááá¯á·á¡ááŒááºá áááá¯ááááºááẠFindNextUrlCacheEntryA ááŸáá·áº FindFirstUrlCacheEntryA áá¯ááºáá±á¬ááºáá»ááºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááŸá¯ááᯠá á áºáá±ážááŒá®áž á¡á±á¬ááºáá±á¬áºááŒáá«áá¯á¶á á¶áá»á¬ážáá²á០áá áºáá¯ááŸáá·áº URL ááŸáá·áº ááá¯ááºáá®ááẠentry áá áºáá¯á á®ááᯠá á áºáá±ážáá±ážáááº-
ááœáá·áºáá¬ážááá·áº áááºááºáá»á¬ážááᯠááœá±á·ááŸáááŒá®ážáá±á¬ááºá Trojan ááẠáááºááºáá¯á¶á á¶ááŸáá·áº ááá¯ááºáá®ááŸá¯ááŸááááŸá á á áºáá±ážááẠDynamic Data Exchange (DDE) ááá¹ááá¬ážááŸáááá·áº Internet Explorer ááá¯á·ááá¯áẠFirefox ááᯠáááºááœááºáááºá
áááºáááŸá¬ááœá±ááŸá¯ááŸááºáááºážááŸáá·áº ááœáá·áºáá¬ážááá·áºáááºáá»á¬ážááᯠá á áºáá±ážááŒááºážááᯠá á áºáá±ážááŸá¯áá»á¬ážááŒá¬áž 1 á áá¹ááá·áºááœá²ááŒá¬ážááŒááºážááŒáá·áº WHILE loop (ááŒáá¯áááºáááºááŸááºáá»ááºáá áºáá¯áá«ááŸááá±á¬ ááœááºážáááºáá áºáá¯) ááœáẠáá¯ááºáá±á¬ááºáááºá á¡áá»áááºááŸáá·áºáááŒá±ážáá® á á±á¬áá·áºááŒáá·áºáá±ááá·áº á¡ááŒá¬ážáá±áá¬áá»á¬ážááᯠá¡ááá¯ááºáž 4.5 ááœáẠááœá±ážááœá±ážáá«áááºá
áá¯á¶á á¶áá áºáá¯ááᯠááœá±á·ááŸááá«áá áááá¯ááááºááẠá¡á±á¬ááºáá«ááá¬ážá០á á¬ááŒá±á¬ááºážáá»á¬ážá á¬áááºážááᯠá¡áá¯á¶ážááŒá¯á áááºážááᯠá¡áááá·áºáá±ážááá·áº áá¬áá¬ááá¯á· ááááºážááá¯á·áááº-
4.5 á á±á¬áá·áºááŒáá·áºáá±á·áá¬áá±áž
Trojan áááºáááºáá±áá»áááºááœááºá áá°ážá ááºáá¶áá¬ážááá±á¬á áá áºáááá¹ááá¬á¡ááºá¹áá«áááºáá»á¬áž (áááºáá¯ááºáááºážáá±á¬á·ááºáá²ááºááŸáááŒááºážááá¯ááºáá¬á¡áá»ááºá¡áááºáá»á¬ážá¡áá«á¡áááº) áá¡áá»ááºá¡áááºáá»á¬ážááᯠcommand ááŸáá·áº control server ááá¯á·áá±ážááá¯á·áááºá RTM ááẠáááŠáž OS á áááºáááºááŒá®ážáá±á¬áẠáá»ááºáá»ááºážááẠá á±á¬áá·áºááŒáá·áºáá±ážá áá áºááᯠá áááºáá¯ááºáá±á¬ááºáá±á¬á¡áá« áááºááœá±áᬠááŒá áºáá±á«áºáááºá
á.á .áá áá±ážáá¶áá±á«ááºáá®áá±á¬áááºáá¯ááºáááºáž
TBdo module ááẠáááºáá¯ááºáááºážááá¯ááºáᬠáá¯ááºáááºážá ááºáá»á¬ážááᯠá á±á¬áá·áºááŒáá·áºáááºáááºáž áá¬áááºááŸááá«áááºá áááºážááẠáááŠážá áááºáááºá á áºáá±ážá ááºá¡ááœááºáž Firefox ááŸáá·áº Internet Explorer ááŸá áááºááºáá»á¬ážááᯠá á áºáá±ážááẠdynamic data exchange ááá¯á¡áá¯á¶ážááŒá¯áááºá áá±á¬ááºááẠTShell module ááᯠcommand windows (Internet Explorer ááá¯á·ááá¯áẠFile Explorer) ááᯠá á±á¬áá·áºááŒáá·áºááẠá¡áá¯á¶ážááŒá¯áá«áááºá
áá±á¬áºáá»á°ážááẠááŒáááºážáá±á«ááºáá»á¬ážááᯠá á±á¬áá·áºááŒáá·áºááẠCOM á¡ááºáá¬áá±á·á ẠIShellWindowsá iWebBrowserá DWebBrowserEvents2 ááŸáá·áº IConnectionPointContainer ááᯠá¡áá¯á¶ážááŒá¯áááºá á¡áá¯á¶ážááŒá¯áá°áá áºáŠážááẠáááºá á¬áá»ááºááŸá¬á¡áá áºááá¯á· ááœá¬ážáá¬ááá·áºá¡áá«á áá²ááºáá²á áááºážááᯠááŸááºáá¬ážáááºá ááá¯á·áá±á¬áẠáááºážááẠá á¬áá»ááºááŸá¬ URL ááᯠá¡áááºáá«áá¯á¶á á¶áá»á¬ážááŸáá·áº ááŸáá¯ááºážááŸááºáááºá ááá¯ááºáá®ááŸá¯ááᯠááœá±á·ááŸáááŒá®ážáá±á¬ááºá Trojan ááẠ5 á áá¹ááá·áºááŒá¬ážáá¬áááŒáá·áº ááŒá±á¬ááºááŒáááºáááºááá¯áẠáááºáá¬ážááŒááºáá¬ááºáá¯á¶áá»á¬ážááᯠááá¯ááºáá°ááŒá®áž C&S á¡áááá·áºáá±ážááá·áºáá¬áá¬ááá¯á· ááá¯á·áá±ážáááºá áááá¯ááááºááẠáááºáá¯ááºáááºážáá±á¬á·ááºáá²ááºááŸáá·áº áááºááá¯ááºááá·áº áááºážááá¯ážá¡áááºá¡áá»áá¯á·ááá¯áááºáž á á áºáá±ážáá±ážááẠ- á á¬áááºážá¡ááŒáá·áºá¡á á¯á¶ááŸá¬ á¡á±á¬ááºáá«á¡ááá¯ááºážááŒá áºáááºá
á.á .áá á áááºáááº
RTM ááẠááá·áºá¡á¬áž áá°ážá ááºáá¶áá¬ážááá±á¬ ááœááºáá»á°áá¬áá»á¬ážááŸáá·áº áá»áááºáááºáá¬ážáá±á¬ á áááºáááºáááºáá°áá»á¬ážááᯠá á±á¬áá·áºááŒáá·áºááẠááœáá·áºááŒá¯áááºá ááœá±áá±ážáá»á±ááŸá¯á¡ááŸá¬á á¬áá»á¬ážááᯠááŸáááŸáá¯ááºážááẠá€á ááºáá á¹á ááºážáá»á¬ážááᯠá¡áá»áá¯á·ááá¯ááºáá¶áá»á¬ážááœáẠá¡áá¯á¶ážááŒá¯áá«áááºá á€á ááºáá á¹á ááºážá¡áá»áá¯ážá¡á á¬ážááᯠááœááºáá»á°áá¬ááŸáá·áº áá»áááºáááºáá¬ážáá«áá áááºážááẠáááºáá¯ááºáááºážááá á¹á áá»á¬ážááœáẠá ááºááá¯á¡áá¯á¶ážááŒá¯áá±ááŒá±á¬ááºáž Trojan ááᯠááœáŸááºááŒááá¯ááºáááºá
á¡ááŒá¬ážáá±á¬ áááºáá¯ááºáááºáž Trojan áá»á¬ážááŸáá·áºááá°áá²á RTM ááẠááá¯áá²á·ááá¯á·áá±á¬ á áááºáááºáá»á¬ážááŸáá·áº áá¯á¶á·ááŒááºááŸá¯áááŒá¯ááá¯ááºáá«á á€áá¯ááºáá±á¬ááºáá»ááºááᯠáá»áœááºá¯ááºááá¯á·áááŒááºááá±ážáá±á¬ áá±á¬ááºááẠmodule áá áºáá¯ááœáẠááá·áºááœááºážáá¬ážááá¯ááºáááºá
á.á .áá áá®ážáá±á¬á·ááºáá«
áá°ážá ááºáá¶áá¬ážááá±á¬ PC ááᯠá á±á¬áá·áºááŒáá·áºááŒááºážá á¡áá±ážááŒá®ážáá±á¬ á¡á áááºá¡ááá¯ááºážááŸá¬ áá®ážá ááááá»á¬ážááᯠáááºážáá°ááŒááºáž ááŒá áºáááºá RTM developer áá»á¬ážááẠáá¯á¶ááŸááºáá±á¬á·áá»á¬ážáá¬áá virtual keyboard ááŸáá·áº clipboard ááá¯áá« á á±á¬áá·áºááŒáá·áºáá±áá±á¬ááŒá±á¬áá·áº áááºááá·áºá¡áá»ááºá¡áááºááá¯áá»áŸ ááá»ááºááœááºáá²á·áá¯á¶ááááºá
áá«ááá¯áá¯ááºááá¯á·á SetWindowsHookExA áá¯ááºáá±á¬ááºáá»ááºááᯠá¡áá¯á¶ážááŒá¯áá«á ááá¯ááºááá¯ááºáá°áá»á¬ážááẠááŸáááºáá¬ážáá±á¬ áá±á¬á·áá»á¬áž ááá¯á·ááá¯áẠáááá¯ááááºá á¡áááºááŸáá·áº áááºá áœá²ááá¯á·ááŸáá·áºá¡áá° áááá¯ááááºá¡áᯠáá®ážáá¯ááºááŸáá·áº áááºááá¯ááºááá·áº áá±á¬á·áá»á¬ážááᯠááŸááºáááºážáááºáááºá ááá¯á·áá±á¬áẠááŒá¬ážáá¶á¡á¬áž C&C á¡áááá·áºáá±ážááá·áºáá¬áá¬ááá¯á· áá±ážááá¯á·áááºá
ááá áºáá¯ááºááᯠááŒá¬ážááŒááºááẠSetClipboardViewer áá¯ááºáá±á¬ááºáá»ááºááᯠá¡áá¯á¶ážááŒá¯áááºá áá±áá¬ááẠá á¬áá¬ážááŒá áºáá±á¬á¡áá« áááºáá¬áá»á¬ážááẠááá áºáá¯ááºá á¡ááŒá±á¬ááºážá¡áá¬áá»á¬ážááᯠááŸááºáááºážáááºáááºá áá¬áá¬ááá¯á· ááŒá¬ážáá¶áááá¯á·áá® á¡áááºááŸáá·áº áááºá áœá²ááá¯áááºáž ááŸááºáááºážáááºáá¬ážáááºá
á.á .áá áááºáá¬ážááŒááºáá¬ááºáá¯á¶áá»á¬áž
áá±á¬ááºááẠRTM áá¯ááºáá±á¬ááºáá»ááºááŸá¬ áááºáá¬ážááŒááºáá¬ááºáá¯á¶ ááŒá¬ážááŒááºááŒááºáž ááŒá áºáááºá áááºážááá¯ážá á±á¬áá·áºááŒáá·áºáá±áž áá±á¬áºáá»á°ážááẠá áááºáá«áááºá á¬ážáá±á¬ááá¯áẠááá¯á·ááá¯áẠáááºáá¯ááºáááºážáá±á¬á·ááºáá²ááᯠááœá±á·ááŸááá±á¬á¡áá« á¡ááºá¹áá«áááºááᯠá¡áá¯á¶ážááŒá¯áááºá áááºáá¬ážááŒááºáá¬ááºáá¯á¶áá»á¬ážááᯠááááºáá áºáá¯á¶áá»á¬ážá á á¬ááŒáá·áºááá¯ááºááᯠá¡áá¯á¶ážááŒá¯á ááá¯ááºáá°ážááŒá®áž command server ááá¯á· ááœáŸá²ááŒá±á¬ááºážáá±ážáá«áááºá
á.áá ááŒá¯ááºáá»ááŒááºážá
C&C áá¬áá¬ááẠmalware áááºáááºááŸá¯ááᯠáááºááá·áºá á±ááŒá®áž ááá·áºááœááºáá»á°áá¬ááᯠááá·áºááŸááºážá á±ááá¯ááºáááºá á¡ááá¯áá« command ááẠRTM áá¯ááºáá±á¬ááºáá±áá»áááºááœáẠáááºáá®ážáá¬ážáá±á¬ ááá¯ááºáá»á¬ážááŸáá·áº registry entries áá»á¬ážááᯠááŸááºážáááºážááẠááœáá·áºááŒá¯áááºá ááá¯á·áá±á¬ááºá DLL ááá¯á¡áá¯á¶ážááŒá¯á malware ááŸáá·áº winlogon ááá¯ááºááá¯áááºááŸá¬ážááŒá®ážáá±á¬áẠcommand áááºááœááºáá»á°áá¬ááá¯ááááºááœá¬ážáááºá á¡á±á¬ááºáá±á¬áºááŒáá«áá¯á¶ááœááºááŒáá¬ážááá·áºá¡ááá¯ááºážá DLL ááᯠerase.dll ááá¯á¡áá¯á¶ážááŒá¯á developer áá»á¬ážááááºááŸá¬ážáááºá
áá¬áá¬ááẠTrojan á¡á¬áž á¡áá»ááºááá±á¬áá±á¬ááºáá±á¬ uninstall-lock á¡áááá·áºááᯠáá±ážááá¯á·ááá¯ááºáááºá á€ááá á¹á ááœááºá ááá·áºááœáẠá á®áá¶ááá·áºááœá²áá°á¡ááœáá·áºá¡áá±ážáá»á¬ážááŸááá«á RTM ááẠáá¬á·ááºáááá¯ááºááŸá MBR boot ááá¹áááᯠáá»ááºáá áºáááºááŒá áºáááºá áááºážáá¡á±á¬ááºááŒááºáá«áá Trojan ááẠMBR boot sector ááᯠáá»áááºážááá¹ááá áºáá¯ááá¯á· ááŒá±á¬ááºážááẠááŒáá¯ážá á¬ážáááá·áºááẠ- ááá¯á·áá±á¬áẠááœááºáá»á°áá¬ááẠááááºááŒá®ážáá±á¬áẠOS ááᯠá áááºááá¯ááºáá±á¬á·áááºááá¯ááºáá«á áááºážááẠOS á ááŒá®ážááŒáá·áºá á¯á¶áá±á¬ ááŒááºáááºááá·áºááœááºážááŒááºážááᯠááŒá áºáá±á«áºá á±ááá¯ááºáááºá ááá¯ááá¯áááºááŸá¬ á¡áá±á¬ááºá¡áá¬ážáá»á¬ážááᯠáá»ááºáá®ážáá áºááá¯ááºáááºá
á á®áá¶ááá·áºááœá²áá°á¡ááœáá·áºáá°ážáá»á¬ážááá«áá²á malware ááẠá¡áááºážáᶠRTM DLL ááœáẠ.EXE áá¯ááºááŒáá·áºáá±ážáá¬ážáááºá executable ááẠááœááºáá»á°áá¬ááá¯ááááºáááºááŸáá·áº HKCUCurrentVersionRun registry key ááœáẠmodule ááá¯ááŸááºáá¯á¶áááºááẠááá¯á¡ááºáá±á¬áá¯ááºááá¯áá¯ááºáá±á¬ááºáááºá á¡áá¯á¶ážááŒá¯áá°ááẠá ááºááŸááºáá áºáá¯ááᯠá áááºááá·áºá¡áá«ááá¯ááºážá ááœááºáá»á°áá¬ááẠáá»ááºáá»ááºážááááºááœá¬ážáá«áááºá
á.áá ááœá²á·á ááºážááŸá¯ááá¯ááº
áá¯á¶ááŸááºá¡á¬ážááŒáá·áºá RTM ááœáẠconfiguration file áá®ážáá«ážáááŸááá±á¬áºáááºáž command ááŸáá·áº control server ááẠregistry ááœááºááááºážáááºážááŒá®áž program ááŸá¡áá¯á¶ážááŒá¯ááá·áº configuration values ââáá»á¬ážááá¯áá±ážááá¯á·ááá¯ááºáááºá configuration keys á á¬áááºážááᯠá¡á±á¬ááºáá«ááá¬ážááœáẠáá±á¬áºááŒáá¬ážáá«áááºá
ááœá²á·á ááºážááŸá¯á¡á¬áž Software[Pseudo-random string] registry key ááœáẠááááºážáááºážáá¬ážáááºá áááºááá¯ážáá áºáá¯á á®ááẠááááºááá¬ážááœáẠáá±á¬áºááŒáá¬ážáá±á¬ á¡áááºážáá»á¬ážáá²á០áá áºáá¯ááŸáá·áº áááºááá¯ááºáááºá áááºááá¯ážáá»á¬ážááŸáá·áº áá±áá¬áá»á¬ážááᯠRTM ááœáẠRC4 algorithm ááŒáá·áº áá¯ááºáá¯ááºáá¬ážáááºá
áá±áá¬ááẠááœááºááẠááá¯á·ááá¯áẠá á¬ááŒá±á¬ááºážáá»á¬ážááŸáá·áº áá°áá®áá±á¬ááœá²á·á ááºážáá¯á¶ááŸááááºá áá¯ááºáá¯ááºáá¬ážáá±á¬áá±áá¬áá¡á ááœáẠáá±ážááá¯áẠXOR áá±á¬á·ááᯠáá±á«ááºážááá·áºáá¬ážáááºá ááœá²á·á ááºážááŸá¯áááºááá¯ážáá»á¬ážá¡ááœáẠXOR áá±á¬á·ááẠááœá²ááŒá¬ážááŒá®áž áááºááá¯ážáá¡ááœááºá¡á á¬ážáá±á«áºááœááºáá°áááºáá«áááºá á¡á±á¬ááºáá«á¡ááá¯ááºáž ááœááºáá»ááºááá¯ááºáá«áááºá
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)
4.8. á¡ááŒá¬ážáá¯ááºáá±á¬ááºáá»ááºáá»á¬áž
ááá¯á·áá±á¬áẠRTM áá¶á·ááá¯ážáá±ážááá·áº á¡ááŒá¬ážáá¯ááºáá±á¬ááºáá»ááºáá»á¬ážááᯠááŒáá·áºááŒáá«á áá¯á·á
á.á.áá á¡ááᯠmodule áá»á¬áž
Trojan ááœáẠDLL ááá¯ááºáá»á¬ážááŒá áºááá·áº á¡ááᯠmodule áá»á¬ážáá«áááºáááºá C&C á¡áááá·áºáá¬áá¬á០áá±ážááá¯á·áá±á¬ áá±á¬áºáá»á°ážáá»á¬ážááᯠRAM ááœáẠáááºáááºááŒáááŒá®áž á á¬ááœá²á¡áá áºáá»á¬ážááœáẠááŒááºááááá¯ááááºáá»á¬ážá¡ááŒá Ạáá¯ááºáá±á¬ááºááá¯ááºáááºá ááá¯ááŸá±á¬ááºááŸá¯á¡ááœááºá áá±á¬áºáá»á°ážáá»á¬ážááᯠ.dtt ááá¯ááºáá»á¬ážááœáẠááááºážáááºážáá¬ážááŒá®áž ááœááºáááºáááºááœááºáá±ážá¡ááœáẠá¡áá¯á¶ážááŒá¯ááá·áº áá°áá®áá±á¬áá±á¬á·ááŒáá·áº RC4 á¡ááºáááá¯áá®áááºááᯠá¡áá¯á¶ážááŒá¯áᬠáá¯ááºáá¯ááºáá¬ážáááºá
ááá¯á¡áá»áááºá¡áá áá»áœááºá¯ááºááá¯á·ááẠVNC áá±á¬áºáá»á°áž (8966319882494077C21F66A8354E2CBCA0370464)á ááá±á¬ááºáá¬áá±áá¬áá¯ááºáá°ááŒááºáž module (03DE8622BE6B2F75A364A275995C3411626C4C9E1_2E1) ááŸáá·áº 562E1 (69E6) FC58FBA88753 B7BE0D3B4EXNUMXCFAB)á
VNC áá±á¬áºáá»á°ážááᯠááœáá·áºáááºá C&C áá¬áá¬ááẠááááºáááºáž 44443 ááŸá áá®ážááŒá¬áž IP ááááºá á¬áá áºáá¯ááœáẠVNC áá¬áá¬ááá¯á· áá»áááºáááºááŸá¯áá»á¬ážááᯠáá±á¬ááºážááá¯ááá·áº ááœáŸááºááŒá¬ážáá»ááºááᯠáá¯ááºááŒááºáá²á·áááºá ááá±á¬ááºáá¬áá±áᬠááŒááºáááºááá°ááá·áºááááºá¡ááºááẠTBrowserDataCollector ááẠIE ááŸá¬ááœá±ááŸá¯ááŸááºáááºážááᯠáááºááŸá¯ááá¯ááºáááºááŒá áºáááºá ááá¯á·áá±á¬áẠáááºážááẠááœá¬ážáá±á¬ááºáááºáááºáá²á·ááá·áº URL áá»á¬ážá á¬áááºážá¡ááŒáá·áºá¡á á¯á¶ááᯠC&C á¡áááá·áºáá±ážááá·áºáá¬áá¬ááá¯á· ááá¯á·áá±ážáááºá
áá±á¬ááºáá¯á¶ážááœá±á·ááŸááá²á·ááá·áº module ááᯠ1c_2_kl áá¯áá±á«áºáááºá áááºážááẠ1C Enterprise áá±á¬á·ááºáá²ááºáááºáá±á·áá»áºááŸáá·áº á¡ááŒááºá¡ááŸáẠáá¯á¶á·ááŒááºááá¯ááºáááºá áá±á¬áºáá»á°ážááœáẠá¡ááá¯ááºážááŸá áºááá¯ááºážáá«áááºáááº- á¡áááá¡ááá¯ááºáž - DLL ááŸáá·áº á¡á±ážáá»áá·áºááŸá áºáᯠ(32 ááŸáá·áº 64 áá áº)á WH_CBT ááá¯á· áá»áááºáááºááŸá¯á á¬áááºážááœááºážááŒááºážááŒáá·áº áá¯ááºáááºážá ááºáá áºáá¯á á®ááá¯á· ááá¯ážááœááºážáááºááŒá áºáááºá 1C áá¯ááºáááºážá ááºááœáẠááááºáááºáá²á·ááŒá®ážá áá±á¬áºáá»á°ážááẠCreateFile ááŸáá·áº WriteFile áá¯ááºáá±á¬ááºáá»ááºáá»á¬ážááᯠáá±á«ááºážá ááºáá¬ážáááºá CreateFile bound function ááá¯áá±á«áºááá·áºá¡áá«ááá¯ááºážá module ááẠááá¯ááºáááºážááŒá±á¬ááºáž 1c_to_kl.txt ááᯠmemory ááœááºááááºážáááºážáá¬ážáááºá WriteFile áá±á«áºááá¯ááŸá¯ááᯠááŒá¬ážááŒááºááŒá®ážáá±á¬ááºá áááºážááẠWriteFile áá¯ááºáá±á¬ááºáá»ááºááᯠáá±á«áºááŒá®áž ááá¯ááºáááºážááŒá±á¬ááºáž 1c_to_kl.txt ááᯠáááºá DLL áá±á¬áºáá»á°ážáᶠáá±ážááá¯á·áᬠáááºážááᯠáááºáá®ážáá¬ážáá±á¬ Windows WM_COPYDATA áááºáá±á·áá»áºááᯠááŒááºááœá¬ážáááºá
ááœá±áá±ážáá»á±ááŸá¯á¡ááŸá¬á á¬áá»á¬ážááᯠáá¯á¶ážááŒááºááẠáááºá DLL áá±á¬áºáá»á°ážááẠááá¯ááºááá¯ááœáá·áºááŒá®áž ááœá²ááŒááºážá áááºááŒá¬áááºá áááºážááẠááá¯ááºááœááºáá«ááŸááá±á¬ ááœá±ááá¬áááŸáá·áº ááœá±áá±ážááœá±áá°áá¶áá«ááºááᯠá¡ááá¡ááŸááºááŒá¯áááºá á€á¡áá»ááºá¡áááºááᯠá¡áááá·áºáá±ážááá·áºáá¬áá¬ááá¯á· áá±ážááá¯á·áááºá ဠmodule ááẠáááºááŸáááœáẠááŒá¯ááŒááºááœááºážáá¶áá¬ážáá±á¬ áááºáá±á·áá»áºáá áºáá¯áá«áááºáá±á¬ááŒá±á¬áá·áº áááºážááœáẠ1c_to_kl.txt ááᯠá¡ááá¯á¡áá»á±á¬ááºááœááºážáá¶ááá¯ááºáááºáᯠáá»áœááºá¯ááºááá¯á·áá¯á¶ááŒááºáá«áááºá
á.á.áá á¡ááœáá·áºáá°ážáá»á¬áž ááá¯ážáá¬ááŒááºáž
RTM ááẠááŸá¬ážááœááºážáá±á¬ á¡ááŸá¬ážá¡ááœááºáž áááºáá±á·áá»áºáá»á¬ážááᯠááŒáááŒááºážááŒáá·áº á¡ááœáá·áºáá°ážáá»á¬áž ááá¯ážááŒáá·áºááẠááŒáá¯ážáááºážááá¯ááºáááºá Malware ááẠááŸááºáá¯á¶áááºá á áºáá±ážááŸá¯ááᯠá¡áá¯áá°áá¯ááºáá±á¬ááºááẠ(á¡á±á¬ááºáá«áá¯á¶ááá¯ááŒáá·áºáá«) ááá¯á·ááá¯áẠáááá·áº registry editor á¡áá¯ááºááœááºááᯠá¡áá¯á¶ážááŒá¯áááºá áá»á±ážáá°ážááŒá¯á á á¬áá¯á¶ážáá±á«ááºážááŸá¬ážáá«á áá±áá¹áá á±á¬áá·áºááá¯ááºážáá«á á áá¹ááá·áºá¡áááºážááẠá áááºáááºááŒá®ážáá±á¬ááºá áááá¯ááááºááẠááŸá¬ážááœááºážáá±á¬ á¡ááŸá¬ážááááºážááᯠááŒááááºá
ááŸá¬ážááœááºážáá±á¬áááºáá±á·áá»áºááẠááá¹áá«á¡ááŸá¬ážáá»á¬ážááŸááá±áá±á¬áºáááºáž áá¬áááºá¡áá¯á¶ážááŒá¯áá°ááᯠá¡ááœááºááá°ááŸáá·áºááŒá¬ážááá¯ááºáááºááŒá áºáááºá á¡áá¯á¶ážááŒá¯áá°ááẠááá·áºááŸá áºáá¯áá²á០áá áºáá¯ááᯠááŸáááºáá«áá RTM ááẠá áá áºá¡ááœááºážááŸá áááºážáá¡ááœáá·áºáá°ážáá»á¬ážááᯠááá¯ážááŒáŸáá·áºááẠááŒáá¯ážáááºážáááºááŒá áºáááºá
ááŒááºáááºááá°áá±ážááœá±ážáá»ááºá áá¬ááŸá áºáá¯áá²á០áá áºáá¯ááᯠááœá±ážáá»ááºááŒá®ážáá±á¬ááºá á á®áá¶ááá·áºááœá²áá°á¡ááœáá·áºáá°ážáá»á¬ážááŒáá·áº ShellExecute áá¯ááºáá±á¬ááºáá»ááºááŸá Runas ááœá±ážáá»ááºááŸá¯ááᯠá¡áá¯á¶ážááŒá¯á Trojan ááẠDLL ááᯠá áááºáááºá á¡áá¯á¶ážááŒá¯áá°ááẠááŒáá·áºáááºáááºá¡ááœáẠáááá·áº Windows prompt (á¡á±á¬ááºáá¯á¶ááœááºááŒáá·áºáá«)á á¡áá¯á¶ážááŒá¯áá°ááẠááá¯á¡ááºáá±á¬ááœáá·áºááŒá¯áá»ááºáá»á¬ážááᯠáá±ážáá«áá Trojan ááẠá á®áá¶ááá·áºááœá²áá°á¡ááœáá·áºáá°ážáá»á¬ážááŒáá·áº áá¯ááºáá±á¬ááºáááºááŒá áºáááºá
á áá áºááœáẠááá·áºááœááºážáá¬ážááá·áº áá°áááºážáá¬áá¬á áá¬ážáá±á«áº áá°áááºá Trojan ááẠáá¯ááŸá¬áž ááá¯á·ááá¯áẠá¡ááºá¹áááááºááᯠá¡ááŸá¬ážá¡ááœááºážá á¬ááá¯áá»á¬ážááᯠááŒááááºá
á.á.áá áááºááŸááº
RTM ááẠcsrss.exe ááá¯ááºáá¬áá±á¬á·áá±á¬ááºá áºááŸá âyesâ ááá¯ááºááᯠá¡ááá¯á¡áá»á±á¬ááºááŸáááºááŒááºážááŒáá·áº Windows Store ááœáẠáááºááŸááºáá»á¬ážááᯠáá±á«ááºážááá·áºááá¯ááºááŒá®áž áááºááá¯ážá áá¯á¶ááŒááºá áááºáá»áááŸá¯ááᯠá¡áááºááŒá¯ááá¯ááºáááºá á€á¡ááŒá¯á¡áá°ááẠá¡áá áºá¡áááºážááá¯ááºáá«á á¥ááá¬á áááºáá¯ááºáááºáž Trojan Retefe ááẠáááºááŸááºá¡áá áºáá áºáá¯ááá·áºááœááºážááŒááºážááᯠáá®ážááŒá¬ážá¡áááºááŒá¯áááºá
á.á.áá ááŒá±á¬ááºážááŒááºáá»áááºáááºááŸá¯
RTM á á¬áá±ážááá¬áá»á¬ážááẠBackconnect TCP á¥áááºááá¯áááºáž áááºáá®ážáá²á·áááºá á¡áá¯á¶ážááŒá¯áá±ááá·áº á¡ááºá¹áá«áááºááᯠáá»áœááºá¯ááºááá¯á· áááœá±á·ááá±ážáá±á¬áºáááºáž áááºážááẠáá°ážá ááºáá¶áá¬ážááá±á¬ PC áá»á¬ážááᯠá¡áá±ážá០á á±á¬áá·áºááŒáá·áºááẠáá®ááá¯ááºážáá¯ááºáá¬ážáááºá
á.á.á á áááºáá¶áá°ááá¯ááºá á®áá¶ááá·áºááœá²ááŸá¯
C&C áá¬áá¬ááẠWindows host ááá¯ááºááᯠááœááºážáá¶ááŒááºáááºááẠTrojan ááá¯á· á¡áááá·áºáá áºáá¯áá±ážááá¯á·ááá¯ááºáááºá á áááºááŒáá¯áẠDNS áá¯á¶ážááŒááºáá»ááºáá»á¬ážááᯠáááºáá®ážááẠáááºáá¶áá°ááá¯ááºááᯠá¡áá¯á¶ážááŒá¯áááºá
á.á.áá ááá¯ááºááá¯ááŸá¬ááŒá®áž ááá¯á·áá«á
áá¬áá¬ááẠáá°ážá ááºáá¶áá¬ážááá±á¬á áá áºááŸá ááá¯ááºáá áºáá¯ááᯠááŸá¬ááœá±ááŒá®áž áá±á«ááºážáá¯ááºáá¯ááºááẠáá±á¬ááºážááá¯ááá¯ááºáááºá á¥ááá¬á¡á¬ážááŒáá·áºá áá¯áá±ááááŒá¯áá¯ááºáá±á ááºá¡ááœááºáž 1c_to_kl.txt ááá¯ááºá¡ááœáẠáá±á¬ááºážááá¯áá»ááºáá áºáá¯ááᯠáááºáá¶áááŸááá²á·áá«áááºá ááááºá áá±á¬áºááŒáá²á·ááá·áºá¡ááá¯ááºáž á€ááá¯ááºááᯠ1C: Enterprise 8 á á¬áááºážááá¯ááºá áá áºá០áá¯ááºáá±ážáá«áááºá
4.8.7. á¡ááºááááº
áá±á¬ááºáá¯á¶ážááœááºá RTM á á¬áá±ážááá¬áá»á¬ážááẠáááºááŸááá¬ážááŸááºážááᯠá¡á á¬ážááá¯ážáááºá¡ááœáẠDLL á¡áá áºáá áºáá¯ááᯠáááºááŒááŒááºážááŒáá·áº áá±á¬á·ááºáá²ááᯠá¡ááºááááºáá¯ááºááá¯ááºáá«áááºá
áá áááá¯á¶áž
RTM á áá¯áá±ááááŒá¯áá»ááºáá»á¬ážá¡á áá¯ááŸá¬ážáááºáá¯ááºáááºážá áá áºááẠááá¯ááºáá¬ááá¯ááºááá¯ááºáá°áá»á¬ážááᯠááœá²áá±á¬ááºáá±áá²ááŒá áºáááºá Buhtrapá Corkow ááŸáá·áº Carbanak áá²á·ááá¯á·áá±á¬ á¡á¯ááºá á¯áá»á¬ážááẠáá¯ááŸá¬ážááŸá ááá¹áá¬áá±ážá¡ááœá²á·á¡á ááºážáá»á¬ážááŸáá·áº áááºážááá¯á·ááá±á¬ááºáááºáá»á¬ážáá¶á០ááœá±áá»á¬ážááᯠá¡á±á¬ááºááŒááºá áœá¬ááá¯ážáá°ááá¯ááºáá²á·áááºá RTM ááẠá€á ááºááŸá¯áá¯ááºáááºážááœáẠáá á¬ážááá¬ážáá áºáá áºáŠážááŒá áºáááºá
ESET telemetry á¡á á¡áá¹ááá¬ááºááŸááá±á¬ RTM áááááá¬áá»á¬ážááᯠá¡áááºážáá¯á¶áž 2015 áá¯ááŸá áºááŸá±á¬ááºážááá¯ááºážááœáẠá áááºá¡áá¯á¶ážááŒá¯áá²á·áááºá áááá¯ááááºááœáẠá áááºáááºáá»á¬ážáááºááŒááºážá áá±á¬á·áááºááŒááºážáá»á¬ážááᯠááŒá¬ážááŒááºááŒááºážááŸáá·áº áááºáá¯ááºáááºážááœáŸá²ááŒá±á¬ááºážááŸá¯áá»á¬ážááᯠá á±á¬áá·áºááŒáá·áºááŒááºážá¡ááŒáẠ1C: Enterprise 8 áááºáá°ááá¯á·áá±á¬ááºáá±ážááá¯ááºáá»á¬ážááᯠááŸá¬ááœá±ááŒááºážá¡áá«á¡ááẠáá°áá»áŸáá¯áá¯ááºááá¯ááºá áœááºážáá»á¬áž á¡ááŒáá·áºá¡á á¯á¶áá«ááŸááááºá
áááá¯áá»á¯ááºááá¯ááºááŸá¯áááºážáá±á¬á áááºáá¬áá²á· .bit ááááºáááºážááá¯ááááºážááᯠá¡áá¯á¶ážááŒá¯ááŒááºážááẠá¡ááœááºáá¶ááá¯ááºáááºááŸááá±á¬ á¡ááŒá±áá¶á¡áá±á¬ááºá¡áŠááᯠáá±áá»á¬á á±áááºá
source: www.habr.com