RTM ဆိုက်ဘာအဖွဲ့သည် ရုရှားကုမ္ပဏီများထံမှ ငွေကြေးများကို ခိုးယူရာတွင် အထူးပြုသည်။

ရုရှားကုမ္ပဏီများထံမှ ငွေကြေးများကို ခိုးယူရာတွင် အထူးပြုသည့် နာမည်ကြီး ဆိုက်ဘာအုပ်စုများစွာရှိသည်။ ပစ်မှတ်၏ကွန်ရက်သို့ဝင်ရောက်ခွင့်ပေးသည့် လုံခြုံရေးကွက်လပ်များကို အသုံးပြု၍ တိုက်ခိုက်မှုများကို ကျွန်ုပ်တို့တွေ့မြင်ခဲ့ရပါသည်။ ၎င်းတို့ဝင်ရောက်ခွင့်ရပြီးသည်နှင့် တိုက်ခိုက်သူများသည် အဖွဲ့အစည်း၏ကွန်ရက်ဖွဲ့စည်းပုံကို လေ့လာပြီး ရန်ပုံငွေများကိုခိုးယူရန် ၎င်းတို့၏ကိုယ်ပိုင်ကိရိယာများကို အသုံးပြုကြသည်။ ဤလမ်းကြောင်း၏ ဂန္တဝင်ဥပမာတစ်ခုမှာ ဟက်ကာအုပ်စုများဖြစ်သည့် Buhtrap၊ Cobalt နှင့် Corkow တို့ဖြစ်သည်။

ဤအစီရင်ခံစာကိုအာရုံစိုက်သည့် RTM အဖွဲ့သည် ဤလမ်းကြောင်း၏တစ်စိတ်တစ်ပိုင်းဖြစ်သည်။ ၎င်းသည် Delphi တွင် ရေးသားထားသော အထူးဒီဇိုင်းထုတ်ထားသော malware ကို အသုံးပြုထားပြီး အောက်ပါကဏ္ဍများတွင် ကျွန်ုပ်တို့ အသေးစိတ်ကြည့်ရှုပါမည်။ ESET တယ်လီမီတာစနစ်ရှိ ဤကိရိယာများ၏ ပထမဆုံးခြေရာများကို 2015 နှစ်ကုန်ပိုင်းတွင် ရှာဖွေတွေ့ရှိခဲ့သည်။ အဖွဲ့သည် လိုအပ်သလို ကူးစက်ထားသော စနစ်များပေါ်တွင် အမျိုးမျိုးသော module အသစ်များကို တင်ပါသည်။ ယခုတိုက်ခိုက်မှုသည် ရုရှားနိုင်ငံနှင့် အိမ်နီးချင်းနိုင်ငံအချို့ရှိ ဝေးလံခေါင်သီသော ဘဏ်လုပ်ငန်းစနစ် သုံးစွဲသူများကို ရည်ရွယ်ခြင်းဖြစ်သည်။

1. ရည်ရွယ်ချက်များ

RTM ကမ်ပိန်းသည် ကော်ပိုရိတ်အသုံးပြုသူများအတွက် ရည်ရွယ်သည် - ဤသည်မှာ တိုက်ခိုက်သူများ အပေးအယူခံရသောစနစ်တွင် ရှာဖွေတွေ့ရှိသည့် လုပ်ငန်းစဉ်များမှ ထင်ရှားပါသည်။ ဝေးလံခေါင်သီသော ဘဏ်လုပ်ငန်းစနစ်များနှင့် လုပ်ဆောင်ရန်အတွက် စာရင်းကိုင်ဆော့ဖ်ဝဲကို အဓိကထားလုပ်ဆောင်သည်။

RTM အတွက် စိတ်ဝင်စားသော လုပ်ငန်းစဉ်များစာရင်းသည် Buhtrap အုပ်စု၏ သက်ဆိုင်ရာစာရင်းနှင့် ဆင်တူသော်လည်း အုပ်စုများတွင် မတူညီသော ကူးစက်ရောဂါများရှိသည်။ Buhtrap သည် စာမျက်နှာအတုများကို ပို၍မကြာခဏအသုံးပြုပါက RTM သည် drive-by download attacks (ဘရောက်ဆာ သို့မဟုတ် ၎င်း၏အစိတ်အပိုင်းများကို တိုက်ခိုက်ခြင်း) နှင့် အီးမေးလ်ဖြင့် spam များကိုအသုံးပြုသည်။ တယ်လီမီတာဒေတာအရ ခြိမ်းခြောက်မှုသည် ရုရှားနှင့် အနီးနားနိုင်ငံအများအပြား (ယူကရိန်း၊ ကာဇက်စတန်၊ ချက်သမ္မတနိုင်ငံ၊ ဂျာမနီ) ကို ရည်ရွယ်သည်။ သို့သော်၊ အစုလိုက်အပြုံလိုက် ဖြန့်ဖြူးရေးယန္တရားများကို အသုံးပြုခြင်းကြောင့် ပစ်မှတ်ဒေသများအပြင်ဘက်ရှိ malware များကို ရှာဖွေတွေ့ရှိခြင်းသည် အံ့သြစရာမဟုတ်ပါ။

Malware ရှာဖွေတွေ့ရှိမှု စုစုပေါင်း အရေအတွက်မှာ အတော်လေး နည်းပါးပါသည်။ အခြားတစ်ဖက်တွင်၊ RTM ကမ်ပိန်းသည် တိုက်ခိုက်မှုများကို အလွန်ပစ်မှတ်ထားသည်ဟု ညွှန်ပြသည့် ရှုပ်ထွေးသောပရိုဂရမ်များကို အသုံးပြုသည်။

တည်ရှိခြင်းမရှိသော စာချုပ်များ၊ ပြေစာများ သို့မဟုတ် အခွန်ငွေစာရင်းစာရွက်စာတမ်းများအပါအဝင် RTM မှအသုံးပြုသော အတုအယောင်စာရွက်စာတမ်းအများအပြားကို ကျွန်ုပ်တို့ ရှာဖွေတွေ့ရှိထားပါသည်။ တိုက်ခိုက်ရန် ပစ်မှတ်ထားသော ဆော့ဖ်ဝဲအမျိုးအစားနှင့် ပေါင်းစပ်ထားသော ဆွဲဆောင်မှုများ၏ သဘောသဘာဝမှာ၊ တိုက်ခိုက်သူများသည် စာရင်းကိုင်ဌာနမှတစ်ဆင့် ရုရှားကုမ္ပဏီများ၏ ကွန်ရက်များသို့ “ဝင်ရောက်” နေကြောင်း ညွှန်ပြနေသည်။ အဖွဲ့သည် တူညီသော အစီအစဥ်အတိုင်း လုပ်ဆောင်ခဲ့သည်။ Buhtrap 2014-2015 ခုနှစ်

သုတေသနပြုလုပ်နေစဉ်အတွင်း၊ ကျွန်ုပ်တို့သည် C&C ဆာဗာများစွာနှင့် အပြန်အလှန်တုံ့ပြန်နိုင်ခဲ့သည်။ ကျွန်ုပ်တို့သည် အောက်ပါကဏ္ဍများတွင် command များစာရင်းအပြည့်အစုံကို စာရင်းပြုစုထားမည်ဖြစ်ပြီး၊ သို့သော် ယခုအခါ client သည် keylogger မှ data များကို attacking server သို့တိုက်ရိုက်လွှဲပြောင်းပေးသည်၊ ထို့နောက် ထပ်ဆင့် command များကိုလက်ခံရရှိမည်ဖြစ်သည်။

သို့သော်၊ သင်သည် command နှင့် control server သို့ရိုးရှင်းစွာချိတ်ဆက်နိုင်ပြီးသင်စိတ်ဝင်စားသောဒေတာအားလုံးကိုစုဆောင်းနိုင်သည့်နေ့ရက်များမရှိတော့ပါ။ ဆာဗာမှ သက်ဆိုင်ရာ ညွှန်ကြားချက်အချို့ကို ရယူရန်အတွက် လက်တွေ့ဆန်သော မှတ်တမ်းဖိုင်များကို ကျွန်ုပ်တို့ ဖန်တီးထားပါသည်။

၎င်းတို့ထဲမှ ပထမဆုံးမှာ 1c_to_kl.txt - 1C: Enterprise 8 ပရိုဂရမ်၏ သယ်ယူပို့ဆောင်ရေးဖိုင်ဖြစ်သည့် RTM မှ တက်ကြွစွာ စောင့်ကြည့်နေသည့် အသွင်အပြင်ကို လွှဲပြောင်းပေးရန် bot သို့ တောင်းဆိုချက်ဖြစ်သည်။ 1C သည် အထွက်ငွေပေးချေမှုဆိုင်ရာ ဒေတာကို စာသားဖိုင်သို့ အပ်လုဒ်တင်ခြင်းဖြင့် အဝေးမှ ဘဏ်စနစ်များနှင့် အပြန်အလှန် တုံ့ပြန်ပါသည်။ ထို့နောက်၊ ငွေပေးချေမှုအမိန့်ကို အလိုအလျောက်လုပ်ဆောင်ရန်နှင့် အကောင်အထည်ဖော်ရန်အတွက် အဝေးထိန်းဘဏ်စနစ်သို့ ဖိုင်ကို ပေးပို့သည်။

ဖိုင်တွင် ငွေပေးချေမှုအသေးစိတ်များ ပါရှိသည်။ အကယ်၍ တိုက်ခိုက်သူများသည် အထွက်ငွေပေးချေမှုများဆိုင်ရာ အချက်အလက်များကို ပြောင်းလဲပါက၊ မှားယွင်းသောအသေးစိတ်အချက်အလက်များကို အသုံးပြု၍ လွှဲပြောင်းမှုသည် တိုက်ခိုက်သူများ၏အကောင့်များသို့ ပေးပို့မည်ဖြစ်သည်။

ဤဖိုင်များကို အမိန့်ပေးစာနှင့် ထိန်းချုပ်မှုဆာဗာမှ တောင်းဆိုပြီးနောက် တစ်လခန့်အကြာတွင်၊ ကျွန်ုပ်တို့သည် ပလပ်အင်အသစ် 1c_2_kl.dll ကို အပေးအယူလုပ်ထားသည့်စနစ်တွင် တင်ထားကြောင်း တွေ့ရှိခဲ့သည်။ module (DLL) သည် စာရင်းကိုင်ဆော့ဖ်ဝဲလုပ်ငန်းစဉ်များကို ထိုးဖောက်ဝင်ရောက်ခြင်းဖြင့် ဒေါင်းလုဒ်ဖိုင်ကို အလိုအလျောက်ခွဲခြမ်းစိတ်ဖြာရန် ဒီဇိုင်းထုတ်ထားသည်။ ၎င်းကို အောက်ပါကဏ္ဍများတွင် အသေးစိတ်ဖော်ပြပါမည်။

စိတ်ဝင်စားစရာမှာ၊ 2016 နှစ်ကုန်တွင် ရုရှားဘဏ်၏ FinCERT သည် 1c_to_kl.txt ဖိုင်များကို အပ်လုဒ်တင်သည့် ဆိုက်ဘာရာဇ၀တ်ကောင်များအကြောင်း သတိပေးချက် ထုတ်ပြန်ခဲ့သည်။ 1C မှ developer များသည် ဤအစီအစဥ်အကြောင်းကိုလည်း သိရှိကြပြီး၊ ၎င်းတို့သည် တရားဝင်ထုတ်ပြန်ချက်တစ်ခုနှင့် ကြိုတင်ကာကွယ်မှုများကို စာရင်းပြုစုထားပြီးဖြစ်သည်။

အထူးသဖြင့် VNC (၎င်း၏ 32 နှင့် 64-bit ဗားရှင်းများ) မှ အခြားသော မော်ဂျူးများကို အမိန့်ပေးဆာဗာမှ တင်ပေးခဲ့သည်။ ၎င်းသည် Dridex Trojan တိုက်ခိုက်မှုများတွင် ယခင်က အသုံးပြုခဲ့သည့် VNC module နှင့် ဆင်တူသည်။ ဤ module ကို ကူးစက်ခံထားရသော ကွန်ပျူတာနှင့် အဝေးမှ ချိတ်ဆက်ရန်နှင့် စနစ်၏ အသေးစိတ်လေ့လာမှုကို လုပ်ဆောင်ရန် အသုံးပြုသည်ဟု ယူဆရသည်။ ထို့နောက်၊ တိုက်ခိုက်သူများသည် ကွန်ရက်အတွင်း ရွေ့ပြောင်းရန် ကြိုးစားကြပြီး သုံးစွဲသူ စကားဝှက်များကို ထုတ်ယူခြင်း၊ အချက်အလက်များ စုဆောင်းခြင်းနှင့် malware များ အဆက်မပြတ် ရှိနေခြင်းကို သေချာစေသည်။

2. ပိုးဝင်ခြင်း

အောက်ဖော်ပြပါပုံသည် ကမ်ပိန်း၏လေ့လာမှုကာလအတွင်း တွေ့ရှိသော ရောဂါပိုးကူးစက်မှုကို ပြသသည်။ အဖွဲ့သည် ကျယ်ပြန့်သော vector များကို အသုံးပြုသော်လည်း အဓိကအားဖြင့် drive-by download နှင့် spam များဖြစ်သည်။ ပထမအခြေအနေတွင်၊ တိုက်ခိုက်သူများသည် ဖြစ်နိုင်ချေရှိသော သားကောင်များထံ သွားရောက်လည်ပတ်သည့် ဆိုက်များကို ရွေးချယ်နိုင်ပြီး ဒုတိယတွင် ၎င်းတို့သည် အလိုရှိသော ကုမ္ပဏီဝန်ထမ်းများထံ ပူးတွဲပါဖိုင်များနှင့်အတူ အီးမေးလ်ပေးပို့နိုင်ပါသည်။

Malware သည် ဤဝန်ဆောင်မှုများကို ပေးဆောင်နေသော တိုက်ခိုက်သူများနှင့် အခြားဆိုက်ဘာတိုက်ခိုက်သူများကြား ချိတ်ဆက်မှုများကို ညွှန်ပြနေသည့် RIG နှင့် Sundown exploit kits သို့မဟုတ် spam mail များ အပါအဝင် ချန်နယ်များစွာမှတဆင့် ဖြန့်ဝေပါသည်။

၂.၁။ RTM နှင့် Buhtrap သည် မည်သို့ဆက်စပ်သနည်း။

RTM လှုပ်ရှားမှုသည် Buhtrap နှင့် အလွန်ဆင်တူသည်။ သဘာဝကျသောမေးခွန်းမှာ ၎င်းတို့သည် တစ်ခုနှင့်တစ်ခု မည်သို့ဆက်စပ်နေသနည်း။

စက်တင်ဘာလ 2016 ခုနှစ်တွင်၊ Buhtrap အပ်လုဒ်တင်သူကို အသုံးပြု၍ RTM နမူနာကို ဖြန့်ဝေနေသည်ကို ကျွန်ုပ်တို့ တွေ့ရှိခဲ့သည်။ ထို့အပြင်၊ Buhtrap နှင့် RTM နှစ်မျိုးလုံးတွင်အသုံးပြုထားသော ဒစ်ဂျစ်တယ်လက်မှတ်နှစ်ခုကို ကျွန်ုပ်တို့တွေ့ရှိခဲ့သည်။

DNISTER-M ကုမ္ပဏီသို့ ထုတ်ပေးသည်ဟု စွပ်စွဲခံထားရသော ပထမ၊ ဒုတိယ Delphi ဖောင်ပုံစံ (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) နှင့် Buhtrap DLL (SHA-1: 1E2642CC454A ၈၉၀)။

Bit-Tredj သို့ထုတ်ပေးသော ဒုတိယတစ်မျိုးကို Buhtrap loaders (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 နှင့် B74F71560E48488D2153AE2FB51207A0BB206) နှင့် အစိတ်အပိုင်းများကို ဒေါင်းလုဒ်လုပ်၍ ထည့်သွင်းရန် အသုံးပြုပါသည်။

RTM အော်ပရေတာများသည် အခြားသော malware မိသားစုများအတွက် တူညီသော လက်မှတ်များကို အသုံးပြုသော်လည်း ၎င်းတို့တွင် ထူးခြားသော လက်မှတ်တစ်ခုလည်း ရှိသည်။ ESET telemetry အရ၊ ၎င်းကို Kit-SD သို့ ထုတ်ပေးခဲ့ပြီး အချို့သော RTM malware (SHA-1:42A4B04446A20993DDAE98B2BE6D5A797376D4B6) ကို လက်မှတ်ထိုးရန်သာ အသုံးပြုခဲ့သည်။

RTM သည် Buhtrap ကဲ့သို့တူညီသော loader ကိုအသုံးပြုသည်၊ RTM အစိတ်အပိုင်းများကို Buhtrap အခြေခံအဆောက်အအုံမှတင်ဆောင်သည်ဖြစ်သောကြောင့်အဖွဲ့များတွင်ဆင်တူသောကွန်ရက်အညွှန်းများရှိသည်။ သို့သော်လည်း ကျွန်ုပ်တို့၏ ခန့်မှန်းချက်များအရ RTM နှင့် Buhtrap တို့သည် မတူညီသောအုပ်စုများဖြစ်ပြီး အနည်းဆုံး RTM သည် မတူညီသောနည်းလမ်းများဖြင့် ဖြန့်ဝေထားသောကြောင့် (“နိုင်ငံခြား” downloader ကိုအသုံးပြုရုံသာမက)။

ဤအရာများကြားမှ ဟက်ကာအဖွဲ့များသည် အလားတူလုပ်ဆောင်မှုစည်းမျဉ်းများကို အသုံးပြုကြသည်။ ၎င်းတို့သည် စာရင်းကိုင်ဆော့ဖ်ဝဲလ်ကို အသုံးပြု၍ စီးပွားရေးလုပ်ငန်းများကို ပစ်မှတ်ထားပြီး စနစ်အချက်အလက်များကို စုဆောင်းခြင်း၊ စမတ်ကတ်စာဖတ်သူများကို ရှာဖွေခြင်းနှင့် သားကောင်များကို ထောက်လှမ်းရန် အန္တရာယ်ရှိသော ကိရိယာများ ဖြန့်ကျက်ချထားခြင်းတို့ကိုလည်း ပစ်မှတ်ထားကြသည်။

3. ဆင့်ကဲဖြစ်စဉ်

ဤကဏ္ဍတွင်၊ လေ့လာမှုအတွင်း တွေ့ရှိရသည့် malware ဗားရှင်းအမျိုးမျိုးကို ကြည့်ရှုပါမည်။

၃.၁။ ဗားရှင်းပြောင်းခြင်း။

RTM သည် configuration data ကို registry ကဏ္ဍတွင် သိမ်းဆည်းထားပြီး စိတ်ဝင်စားစရာအကောင်းဆုံးအပိုင်းမှာ botnet-prefix ဖြစ်သည်။ ကျွန်ုပ်တို့လေ့လာခဲ့သည့်နမူနာများတွင် ကျွန်ုပ်တို့တွေ့မြင်ရသော တန်ဖိုးများစာရင်းကို အောက်ပါဇယားတွင် ဖော်ပြထားပါသည်။

Malware ဗားရှင်းများကို မှတ်တမ်းတင်ရန်အတွက် တန်ဖိုးများကို အသုံးပြုနိုင်သည်။ သို့သော်၊ bit2 နှင့် bit3၊ 0.1.6.4 နှင့် 0.1.6.6 ကဲ့သို့သော ဗားရှင်းများအကြား ကွာခြားချက်ကို ကျွန်ုပ်တို့ သတိမထားမိပါ။ ထို့အပြင်၊ ရှေ့ဆက်များထဲမှ တစ်ခုသည် အစကတည်းက ရှိနေခဲ့ပြီး ပုံမှန် C&C ဒိုမိန်းမှ အောက်တွင် ပြထားသည့်အတိုင်း .bit ဒိုမိန်းသို့ ပြောင်းလဲလာသည်။

၃.၂။ အချိန်ဇယား

တယ်လီမီတာဒေတာကို အသုံးပြု၍ နမူနာများ ပေါ်ပေါက်ခြင်းဆိုင်ရာ ဂရပ်တစ်ခုကို ဖန်တီးခဲ့သည်။

4. နည်းပညာပိုင်းခွဲခြမ်းစိတ်ဖြာ

ဤကဏ္ဍတွင်၊ ခုခံမှုယန္တရားများ၊ ၎င်း၏ကိုယ်ပိုင်ဗားရှင်း RC4 အယ်လဂိုရီသမ်၊ ကွန်ရက်ပရိုတိုကော၊ သူလျှိုလုပ်ဆောင်နိုင်စွမ်းနှင့် အခြားအင်္ဂါရပ်အချို့အပါအဝင် RTM ဘဏ်လုပ်ငန်း Trojan ၏ အဓိကလုပ်ဆောင်ချက်များကို ဖော်ပြပါမည်။ အထူးသဖြင့်၊ ကျွန်ုပ်တို့သည် SHA-1 နမူနာများ AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 နှင့် 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B တို့ကို အာရုံစိုက်ပါမည်။

၄.၁။ တပ်ဆင်ခြင်းနှင့် သိမ်းဆည်းခြင်း။

၇.၁။ အကောင်အထည်ဖော်ခြင်း။

RTM core သည် DLL တစ်ခုဖြစ်ပြီး စာကြည့်တိုက်ကို .EXE သုံးပြီး disk ပေါ်တင်ထားသည်။ လုပ်ဆောင်နိုင်သောဖိုင်သည် အများအားဖြင့် ထုပ်ပိုးထားပြီး DLL ကုဒ်ပါရှိသည်။ စတင်လိုက်သည်နှင့်၊ ၎င်းသည် DLL ကိုထုတ်ယူပြီးအောက်ပါ command ကိုအသုံးပြု၍ ၎င်းကို run သည်-

rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host

၄.၁.၂။ DLL

ပင်မ DLL ကို %PROGRAMDATA%Winlogon ဖိုင်တွဲတွင် winlogon.lnk အဖြစ် disk သို့ အမြဲတင်ထားသည်။ ဤဖိုင်တိုးချဲ့မှုသည် အများအားဖြင့် ဖြတ်လမ်းလင့်ခ်တစ်ခုနှင့် ဆက်စပ်နေသော်လည်း အမှန်တကယ်တွင် ဖိုင်သည် အောက်ဖော်ပြပါပုံတွင်ပြထားသည့်အတိုင်း developer မှ core.dll ဟုခေါ်သော Delphi တွင်ရေးထားသော DLL တစ်ခုဖြစ်သည်။

Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361

စတင်လိုက်သည်နှင့်၊ Trojan သည် ၎င်း၏ခုခံမှုယန္တရားကို အသက်သွင်းသည်။ စနစ်အတွင်းရှိ သားကောင်၏အခွင့်ထူးများပေါ်မူတည်၍ ၎င်းကို မတူညီသောနည်းလမ်းနှစ်ခုဖြင့် လုပ်ဆောင်နိုင်သည်။ သင့်တွင် စီမံခန့်ခွဲသူအခွင့်အရေးများရှိပါက Trojan သည် HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun registry သို့ Windows Update ထည့်သွင်းမှုကို ပေါင်းထည့်သည်။ Windows Update တွင်ပါရှိသော command များသည် အသုံးပြုသူ၏ session ၏အစတွင် လုပ်ဆောင်မည်ဖြစ်သည်။

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject လက်ခံဆောင်ရွက်ပေးသူ

Trojan သည် Windows Task Scheduler သို့ လုပ်ဆောင်စရာတစ်ခုကို ပေါင်းထည့်ရန် ကြိုးစားသည်။ လုပ်ဆောင်စရာသည် အထက်ဖော်ပြပါအတိုင်း တူညီသောဘောင်များဖြင့် winlogon.lnk DLL ကို စတင်ပါမည်။ ပုံမှန်အသုံးပြုသူအခွင့်အရေးသည် Trojan အား HKCUSoftwareMicrosoftWindowsCurrentVersionRun registry တွင် တူညီသောဒေတာဖြင့် Windows Update ထည့်သွင်းမှုကို ခွင့်ပြုသည်-

rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host

၄.၂။ မွမ်းမံထားသော RC4.2 အယ်လဂိုရီသမ်

၎င်း၏ ချို့ယွင်းချက်များကို သိထားသော်လည်း၊ RC4 algorithm ကို malware ရေးသားသူများမှ ပုံမှန်အသုံးပြုပါသည်။ သို့သော်၊ RTM ၏ဖန်တီးသူများသည် ၎င်းကိုအနည်းငယ်ပြုပြင်ပြီး ဗိုင်းရပ်စ်ခွဲခြမ်းစိတ်ဖြာသူများ၏တာဝန်ကို ပို၍ခက်ခဲစေနိုင်သည်။ RC4 ၏မွမ်းမံထားသောဗားရှင်းကို အန္တရာယ်ရှိသော RTM ကိရိယာများတွင် ကုဒ်နံပါတ်များ၊ ကွန်ရက်ဒေတာ၊ ဖွဲ့စည်းမှုပုံစံများနှင့် မော်ဂျူးများကို စာဝှက်ရန် ကျယ်ကျယ်ပြန့်ပြန့်အသုံးပြုသည်။

၄.၂.၁။ ကွဲပြားမှုများ

မူရင်း RC4 အယ်လဂိုရီသမ်တွင် အဆင့်နှစ်ဆင့်ပါဝင်သည်- s-block အစပြုခြင်း (aka KSA - Key-Scheduling Algorithm) နှင့် pseudo-random sequence generation (PRGA - Pseudo-random Generation Algorithm)။ ပထမအဆင့်တွင် သော့ကိုအသုံးပြု၍ s-box ကို အစပြုခြင်းပါဝင်ပြီး ဒုတိယအဆင့်တွင် အရင်းအမြစ်စာသားကို ကုဒ်ဝှက်ရန်အတွက် s-box ကို အသုံးပြု၍ လုပ်ဆောင်သည်။

RTM စာရေးဆရာများသည် s-box အစပျိုးခြင်းနှင့် ကုဒ်ဝှက်ခြင်းကြားတွင် ကြားခံအဆင့်တစ်ခုကို ထည့်သွင်းခဲ့သည်။ အပိုသော့သည် ပြောင်းလဲနိုင်သောဖြစ်ပြီး ကုဒ်ဝှက်ရန်နှင့် စာဝှက်ထားရမည့်ဒေတာကို တစ်ချိန်တည်းတွင် သတ်မှတ်ထားသည်။ ဤနောက်ထပ်အဆင့်ကို လုပ်ဆောင်သည့် လုပ်ဆောင်ချက်ကို အောက်ပါပုံတွင် ပြထားသည်။

၄.၂.၂။ စာကြောင်း ကုဒ်ဝှက်ခြင်း

ပထမတစ်ချက်တွင်၊ ပင်မ DLL တွင်ဖတ်နိုင်သောစာကြောင်းများစွာရှိသည်။ အောက်ဖော်ပြပါပုံတွင်ပြထားသည့်ဖွဲ့စည်းပုံသည် အထက်တွင်ဖော်ပြထားသော algorithm ကိုအသုံးပြု၍ ကျန်များကို encrypt လုပ်ထားသည်။ ခွဲခြမ်းစိတ်ဖြာထားသောနမူနာများတွင် string encryption အတွက် မတူညီသော RC25 သော့ 4 ခုကျော်ကို ကျွန်ုပ်တို့တွေ့ရှိခဲ့သည်။ XOR သော့သည် အတန်းတစ်ခုစီအတွက် ကွဲပြားသည်။ ကိန်းဂဏာန်းအကွက် မျဉ်းကြောင်းခွဲခြင်း၏တန်ဖိုးသည် အမြဲတမ်း 0xFFFFFFFF ဖြစ်သည်။

လုပ်ဆောင်မှုအစတွင်၊ RTM သည် strings များကို global variable အဖြစ်အသွင်ဝှက်သည်။ string တစ်ခုကို ဝင်ရောက်ရန် လိုအပ်သောအခါ၊ Trojan သည် base address နှင့် offset ကို အခြေခံ၍ စာဝှက်ထားသော စာကြောင်းများ၏ လိပ်စာကို ဒိုင်းနမစ်ဖြင့် တွက်ချက်ပါသည်။

စာကြောင်းများတွင် Malware ၏လုပ်ဆောင်ချက်များနှင့်ပတ်သက်သော စိတ်ဝင်စားစရာကောင်းသော အချက်အလက်များပါရှိသည်။ အပိုင်း 6.8 တွင် နမူနာစာကြောင်းအချို့ကို ပေးထားသည်။

4.3. ကွန်ရက်

RTM malware သည် C&C ဆာဗာကို ဆက်သွယ်သည့်နည်းလမ်းသည် ဗားရှင်းတစ်ခုနှင့်တစ်ခု ကွဲပြားသည်။ ပထမဆုံး ပြုပြင်မွမ်းမံမှုများ (အောက်တိုဘာ 2015 မှ ဧပြီလ 2016 ခုနှစ်) သည် ညွှန်ကြားချက်များစာရင်းကို အပ်ဒိတ်လုပ်ရန်အတွက် livejournal.com ရှိ RSS feed နှင့်အတူ ရိုးရာဒိုမိန်းအမည်များကို အသုံးပြုခဲ့သည်။

2016 ခုနှစ် ဧပြီလကတည်းက၊ တယ်လီမီတာဒေတာတွင် .bit ဒိုမိန်းများသို့ ပြောင်းသွားသည်ကို ကျွန်ုပ်တို့တွေ့မြင်ရပါသည်။ ၎င်းကို ဒိုမိန်းမှတ်ပုံတင်သည့်ရက်စွဲဖြင့် အတည်ပြုထားသည် - ပထမဆုံး RTM ဒိုမိန်း fde05d0573da.bit ကို မတ်လ 13၊ 2016 တွင် မှတ်ပုံတင်ခဲ့သည်။

ကမ်ပိန်းကိုစောင့်ကြည့်နေစဉ် ကျွန်ုပ်တို့တွေ့ခဲ့သည့် URL များအားလုံးတွင် ဘုံလမ်းကြောင်းတစ်ခုရှိသည်: /r/z.php။ ၎င်းသည် အထူးအဆန်းဖြစ်ပြီး ၎င်းသည် ကွန်ရက်စီးဆင်းမှုများတွင် RTM တောင်းဆိုမှုများကို ဖော်ထုတ်ရာတွင် ကူညီပေးပါလိမ့်မည်။

၄.၃.၁။ အမိန့်များနှင့် ထိန်းချုပ်မှုအတွက် ချန်နယ်

အမွေအနှစ်နမူနာများက ၎င်းတို့၏ အမိန့်ပေးချက်များနှင့် ထိန်းချုပ်သည့်ဆာဗာများစာရင်းကို အပ်ဒိတ်လုပ်ရန် ဤချန်နယ်ကို အသုံးပြုခဲ့သည်။ hosting သည် livejournal.com တွင် တည်ရှိပြီး အစီရင်ခံစာကို ရေးသားချိန်တွင် ၎င်းသည် URL hxxp://f72bba81c921..com/ data/rss တွင် ရှိနေပါသည်။

Livejournal သည် ဘလော့ဂ်ပလက်ဖောင်းကို ပံ့ပိုးပေးသော ရုရှား-အမေရိကန် ကုမ္ပဏီတစ်ခုဖြစ်သည်။ RTM အော်ပရေတာများသည် ကုဒ်နံပါတ်များဖြင့် ဆောင်းပါးတစ်ပုဒ်တင်သည့် LJ ဘလော့ဂ်တစ်ခုကို ဖန်တီးသည် - ဖန်သားပြင်ဓာတ်ပုံကို ကြည့်ပါ။

ပြုပြင်ထားသော RC4 အယ်လဂိုရီသမ် (အပိုင်း 4.2) ကို အသုံးပြု၍ ကွန်မန်းနှင့် ထိန်းချုပ်လိုင်းများကို ကုဒ်လုပ်ထားသည်။ ချန်နယ်၏ လက်ရှိဗားရှင်း (နိုဝင်ဘာ 2016) တွင် အောက်ပါ command နှင့် control server လိပ်စာများ ပါဝင်သည်-

• hxxp://cainmoon..net/r/z.php
• hxxp://rtm..dev/0-3/z.php
• hxxp://vpntap..top/r/z.php

၄.၃.၂။ .bit ဒိုမိန်းများ

လတ်တလော RTM နမူနာများတွင်၊ စာရေးသူများသည် .bit TLD ထိပ်တန်းအဆင့်ဒိုမိန်းကို အသုံးပြု၍ C&C ဒိုမိန်းများသို့ ချိတ်ဆက်ပါသည်။ ၎င်းသည် ထိပ်တန်းအဆင့် ဒိုမိန်းများစာရင်း ICANN (Domain Name နှင့် Internet Corporation) တွင် မရှိပါ။ ယင်းအစား၊ ၎င်းသည် Bitcoin နည်းပညာ၏ထိပ်တွင်တည်ဆောက်ထားသည့် Namecoin စနစ်ကိုအသုံးပြုသည်။ Malware ရေးသားသူများသည် Necurs botnet ဗားရှင်းတွင် ယင်းအသုံးပြုမှု၏နမူနာကို ယခင်က တွေ့ရှိထားသော်လည်း ၎င်းတို့၏ ဒိုမိန်းများအတွက် .bit TLD ကို မကြာခဏ အသုံးမပြုကြပါ။

Bitcoin နှင့်မတူဘဲ၊ ဖြန့်ဝေထားသော Namecoin ဒေတာဘေ့စ်၏အသုံးပြုသူများသည်ဒေတာသိမ်းဆည်းနိုင်စွမ်းရှိသည်။ ဤအင်္ဂါရပ်၏ အဓိကအပလီကေးရှင်းမှာ .bit ထိပ်တန်းအဆင့်ဒိုမိန်းဖြစ်သည်။ ဖြန့်ဝေထားသောဒေတာဘေ့စ်တွင်သိမ်းဆည်းမည့်ဒိုမိန်းများကိုစာရင်းသွင်းနိုင်သည်။ ဒေတာဘေ့စ်ရှိ ဆက်စပ်ထည့်သွင်းမှုများတွင် ဒိုမိန်းက ဖြေရှင်းထားသော IP လိပ်စာများ ပါဝင်သည်။ မှတ်ပုံတင်သူသာလျှင် .bit ဒိုမိန်း၏ ကြည်လင်ပြတ်သားမှုကို ပြောင်းလဲနိုင်သောကြောင့် ဤ TLD သည် “ဆင်ဆာဒဏ်ခံနိုင်သည်” ဖြစ်သည်။ ဆိုလိုသည်မှာ ဤ TLD အမျိုးအစားကို အသုံးပြု၍ အန္တရာယ်ရှိသော ဒိုမိန်းကို ရပ်တန့်ရန် ပိုမိုခက်ခဲသည်ဟု ဆိုလိုသည်။

RTM Trojan သည် ဖြန့်ဝေထားသော Namecoin ဒေတာဘေ့စ်ကို ဖတ်ရန် လိုအပ်သောဆော့ဖ်ဝဲလ်ကို ထည့်သွင်းထားခြင်းမရှိပါ။ ၎င်းသည် .bit ဒိုမိန်းများကိုဖြေရှင်းရန် dns.dot-bit.org သို့မဟုတ် OpenNic ဆာဗာများကဲ့သို့သော ဗဟို DNS ဆာဗာများကို အသုံးပြုသည်။ ထို့ကြောင့်၊ ၎င်းသည် DNS ဆာဗာများကဲ့သို့ တူညီသောကြာရှည်ခံမှုရှိသည်။ ဘလော့ဂ်ပို့စ်တစ်ခုတွင် ဖော်ပြပြီးနောက် အချို့သောအဖွဲ့၏ဒိုမိန်းများကို ရှာဖွေတွေ့ရှိခြင်းမရှိတော့ကြောင်း ကျွန်ုပ်တို့သတိပြုမိပါသည်။

ဟက်ကာများအတွက် .bit TLD ၏ နောက်ထပ်အားသာချက်တစ်ခုမှာ ကုန်ကျစရိတ်ဖြစ်သည်။ ဒိုမိန်းတစ်ခုမှတ်ပုံတင်ရန်၊ အော်ပရေတာများသည် 0,01 NK သာပေးချေရမည်ဖြစ်ပြီး၊ ၎င်းသည် $0,00185 (ဒီဇင်ဘာ 5၊ 2016 ခုနှစ်အထိ) ဖြစ်သည်။ နှိုင်းယှဉ်ရန်အတွက် domain.com သည် အနည်းဆုံး $10 ကုန်ကျသည်။

၄.၃.၃။ ပရိုတိုကော

အမိန့်ပေးမှုနှင့် ထိန်းချုပ်မှုဆာဗာနှင့် ဆက်သွယ်ရန်အတွက်၊ RTM သည် စိတ်ကြိုက်ပရိုတိုကောကို အသုံးပြု၍ ဒေတာပုံစံချထားသည့် HTTP POST တောင်းဆိုချက်များကို အသုံးပြုသည်။ လမ်းကြောင်းတန်ဖိုးသည် အမြဲတမ်း /r/z.php; Mozilla/5.0 အသုံးပြုသူ အေးဂျင့် (သဟဇာတဖြစ်မှု၊ MSIE 9.0၊ Windows NT 6.1၊ Trident/5.0)။ ဆာဗာထံ တောင်းဆိုမှုများတွင်၊ ဒေတာကို အောက်ပါအတိုင်း ဖော်မတ်လုပ်ထားပြီး၊ အော့ဖ်ဆက်တန်ဖိုးများကို bytes ဖြင့် ဖော်ပြပါသည်။

Bytes 0 မှ 6 များကို ကုဒ်လုပ်ထားခြင်းမရှိပါ။ 6 မှစတင်သော bytes များကိုပြုပြင်ထားသော RC4 algorithm ကိုအသုံးပြု၍ ကုဒ်လုပ်ထားသည်။ C&C တုံ့ပြန်မှု packet ၏ဖွဲ့စည်းပုံသည် ပိုမိုရိုးရှင်းပါသည်။ Bytes ကို 4 မှ packet အရွယ်အစားအထိ ကုဒ်လုပ်ထားသည်။

ဖြစ်နိုင်ချေရှိသော လုပ်ဆောင်ချက် byte တန်ဖိုးများစာရင်းကို အောက်ပါဇယားတွင် ဖော်ပြထားပါသည်။

Malware သည် ကုဒ်ဝှက်ထားသောဒေတာ၏ CRC32 ကို အမြဲတွက်ချက်ပြီး packet တွင်ရှိသော အရာများနှင့် နှိုင်းယှဉ်ပါသည်။ ၎င်းတို့ ကွဲပြားပါက Trojan သည် ပက်ကတ်ကို လွှတ်ချသည်။
အပိုဒေတာတွင် PE ဖိုင်၊ ဖိုင်စနစ်တွင် ရှာဖွေရမည့်ဖိုင်၊ သို့မဟုတ် အမိန့်ပေး URL အသစ်များအပါအဝင် အရာဝတ္တုအမျိုးမျိုး ပါဝင်နိုင်သည်။

၄.၃.၄။ ဘောင်

RTM သည် C&C ဆာဗာများတွင် အကန့်တစ်ခုကို အသုံးပြုကြောင်း ကျွန်ုပ်တို့ သတိပြုမိပါသည်။ အောက်တွင် ဖန်သားပြင်ဓာတ်ပုံ-

၄.၄။ ဝိသေသလက္ခဏာ

RTM သည် ပုံမှန်ဘဏ်လုပ်ငန်း Trojan တစ်ခုဖြစ်သည်။ အော်ပရေတာများသည် သားကောင်၏စနစ်အကြောင်း အချက်အလက်ကို လိုချင်ကြသည်မှာ အံ့သြစရာမဟုတ်ပေ။ တစ်ဖက်တွင်၊ bot သည် OS နှင့်ပတ်သက်သည့် အထွေထွေအချက်အလက်များကို စုဆောင်းသည်။ အခြားတစ်ဖက်တွင်၊ အပေးအယူခံရသောစနစ်တွင် ရုရှားအဝေးထိန်းဘဏ်စနစ်များနှင့် ဆက်နွှယ်သည့် attribute များပါ၀င်သည်ဆိုသည်ကို ၎င်းမှရှာဖွေသည်။

4.4.1. အထွေထွေအချက်အလက်များ

ပြန်လည်စတင်ပြီးနောက် မဲလ်ဝဲကို တပ်ဆင်ခြင်း သို့မဟုတ် စတင်သည့်အခါ၊ အထွေထွေအချက်အလက်ပါရှိသော အမိန့်နှင့် ထိန်းချုပ်ဆာဗာသို့ အစီရင်ခံစာတစ်စောင် ပေးပို့သည်-

• အချိန်ဇုန်;
• မူရင်းစနစ်ဘာသာစကား၊
• အခွင့်အာဏာအသုံးပြုသူအထောက်အထားများ;
• လုပ်ငန်းစဉ်သမာဓိအဆင့်;
• အသုံးပြုသူအမည်;
• ကွန်ပျူတာအမည်;
• OS ဗားရှင်း;
• အပိုထည့်သွင်းထားသော module များ;
• ဗိုင်းရပ်စ်နှိမ်နင်းရေးပရိုဂရမ်ကို ထည့်သွင်းထားသည်။
• စမတ်ကတ်ဖတ်သူများစာရင်း။

4.4.2 အဝေးထိန်းဘဏ်စနစ်

ပုံမှန် Trojan ပစ်မှတ်သည် အဝေးထိန်းဘဏ်စနစ်ဖြစ်ပြီး RTM သည် ချွင်းချက်မရှိပါ။ ပရိုဂရမ်၏ မော်ဂျူးများထဲမှ တစ်ခုကို TBdo ဟုခေါ်သည်၊ ၎င်းသည် စကင်န်ဒစ်များကို စကင်န်ဖတ်ခြင်း နှင့် ရှာဖွေမှုမှတ်တမ်း အပါအဝင် အလုပ်များစွာကို လုပ်ဆောင်ပေးသည်။

ဒစ်ကို စကင်န်ဖတ်ခြင်းဖြင့်၊ Trojan သည် ဘဏ်လုပ်ငန်းဆော့ဖ်ဝဲကို စက်တွင် ထည့်သွင်းထားခြင်းရှိမရှိ စစ်ဆေးသည်။ ပစ်မှတ်အစီအစဉ်များ၏ စာရင်းအပြည့်အစုံမှာ အောက်ပါဇယားတွင် ရှိပါသည်။ စိတ်ပါဝင်စားသောဖိုင်တစ်ခုကို တွေ့ရှိပြီးနောက်၊ ပရိုဂရမ်သည် အချက်အလက်များကို အမိန့်ပေးသည့်ဆာဗာသို့ ပေးပို့သည်။ နောက်လုပ်ဆောင်ချက်များသည် အမိန့်ပေးစင်တာ (C&C) algorithms မှသတ်မှတ်ထားသော ယုတ္တိအပေါ် မူတည်သည်။

RTM သည် သင့်ဘရောက်ဆာမှတ်တမ်းနှင့် ဖွင့်ထားသော တက်ဘ်များတွင် URL ပုံစံများကို ရှာဖွေသည်။ ထို့အပြင်၊ ပရိုဂရမ်သည် FindNextUrlCacheEntryA နှင့် FindFirstUrlCacheEntryA လုပ်ဆောင်ချက်များကို အသုံးပြုမှုကို စစ်ဆေးပြီး အောက်ဖော်ပြပါပုံစံများထဲမှ တစ်ခုနှင့် URL နှင့် ကိုက်ညီရန် entry တစ်ခုစီကို စစ်ဆေးပေးသည်-

ဖွင့်ထားသည့် တက်ဘ်များကို တွေ့ရှိပြီးနောက်၊ Trojan သည် တက်ဘ်ပုံစံနှင့် ကိုက်ညီမှုရှိမရှိ စစ်ဆေးရန် Dynamic Data Exchange (DDE) ယန္တရားမှတဆင့် Internet Explorer သို့မဟုတ် Firefox ကို ဆက်သွယ်သည်။

သင်၏ရှာဖွေမှုမှတ်တမ်းနှင့် ဖွင့်ထားသည့်တဘ်များကို စစ်ဆေးခြင်းကို စစ်ဆေးမှုများကြား 1 စက္ကန့်ခွဲခြားခြင်းဖြင့် WHILE loop (ကြိုတင်သတ်မှတ်ချက်တစ်ခုပါရှိသော ကွင်းဆက်တစ်ခု) တွင် လုပ်ဆောင်သည်။ အချိန်နှင့်တပြေးညီ စောင့်ကြည့်နေသည့် အခြားဒေတာများကို အပိုင်း 4.5 တွင် ဆွေးနွေးပါမည်။

ပုံစံတစ်ခုကို တွေ့ရှိပါက၊ ပရိုဂရမ်သည် အောက်ပါဇယားမှ စာကြောင်းများစာရင်းကို အသုံးပြု၍ ၎င်းကို အမိန့်ပေးသည့် ဆာဗာသို့ သတင်းပို့သည်-

4.5 စောင့်ကြည့်လေ့လာရေး

Trojan လည်ပတ်နေချိန်တွင်၊ ကူးစက်ခံထားရသောစနစ်၏လက္ခဏာအင်္ဂါရပ်များ (ဘဏ်လုပ်ငန်းဆော့ဖ်ဝဲလ်ရှိခြင်းဆိုင်ရာအချက်အလက်များအပါအဝင်) ၏အချက်အလက်များကို command နှင့် control server သို့ပေးပို့သည်။ RTM သည် ကနဦး OS စကင်ဖတ်ပြီးနောက် ချက်ချင်းပင် စောင့်ကြည့်ရေးစနစ်ကို စတင်လုပ်ဆောင်သောအခါ လက်ဗွေရာ ဖြစ်ပေါ်သည်။

၄.၅.၁။ ဝေးလံခေါင်သီသောဘဏ်လုပ်ငန်း

TBdo module သည် ဘဏ်လုပ်ငန်းဆိုင်ရာ လုပ်ငန်းစဉ်များကို စောင့်ကြည့်ရန်လည်း တာဝန်ရှိပါသည်။ ၎င်းသည် ကနဦးစကင်ဖတ်စစ်ဆေးစဉ်အတွင်း Firefox နှင့် Internet Explorer ရှိ တက်ဘ်များကို စစ်ဆေးရန် dynamic data exchange ကိုအသုံးပြုသည်။ နောက်ထပ် TShell module ကို command windows (Internet Explorer သို့မဟုတ် File Explorer) ကို စောင့်ကြည့်ရန် အသုံးပြုပါသည်။

မော်ဂျူးသည် ပြတင်းပေါက်များကို စောင့်ကြည့်ရန် COM အင်တာဖေ့စ် IShellWindows၊ iWebBrowser၊ DWebBrowserEvents2 နှင့် IConnectionPointContainer ကို အသုံးပြုသည်။ အသုံးပြုသူတစ်ဦးသည် ဝဘ်စာမျက်နှာအသစ်သို့ သွားလာသည့်အခါ၊ မဲလ်ဝဲက ၎င်းကို မှတ်သားသည်။ ထို့နောက် ၎င်းသည် စာမျက်နှာ URL ကို အထက်ပါပုံစံများနှင့် နှိုင်းယှဉ်သည်။ ကိုက်ညီမှုကို တွေ့ရှိပြီးနောက်၊ Trojan သည် 5 စက္ကန့်ကြားကာလဖြင့် ခြောက်ကြိမ်ဆက်တိုက် ဖန်သားပြင်ဓာတ်ပုံများကို ရိုက်ယူပြီး C&S အမိန့်ပေးသည့်ဆာဗာသို့ ပို့ပေးသည်။ ပရိုဂရမ်သည် ဘဏ်လုပ်ငန်းဆော့ဖ်ဝဲလ်နှင့် သက်ဆိုင်သည့် ဝင်းဒိုးအမည်အချို့ကိုလည်း စစ်ဆေးပေးသည် - စာရင်းအပြည့်အစုံမှာ အောက်ပါအတိုင်းဖြစ်သည်။

၄.၅.၂။ စမတ်ကတ်

RTM သည် သင့်အား ကူးစက်ခံထားရသော ကွန်ပျူတာများနှင့် ချိတ်ဆက်ထားသော စမတ်ကတ်ဖတ်သူများကို စောင့်ကြည့်ရန် ခွင့်ပြုသည်။ ငွေပေးချေမှုအမှာစာများကို ညှိနှိုင်းရန် ဤစက်ပစ္စည်းများကို အချို့နိုင်ငံများတွင် အသုံးပြုပါသည်။ ဤစက်ပစ္စည်းအမျိုးအစားကို ကွန်ပျူတာနှင့် ချိတ်ဆက်ထားပါက၊ ၎င်းသည် ဘဏ်လုပ်ငန်းကိစ္စများတွင် စက်ကိုအသုံးပြုနေကြောင်း Trojan ကို ညွှန်ပြနိုင်သည်။

အခြားသော ဘဏ်လုပ်ငန်း Trojan များနှင့်မတူဘဲ၊ RTM သည် ထိုကဲ့သို့သော စမတ်ကတ်များနှင့် တုံ့ပြန်မှုမပြုနိုင်ပါ။ ဤလုပ်ဆောင်ချက်ကို ကျွန်ုပ်တို့မမြင်ရသေးသော နောက်ထပ် module တစ်ခုတွင် ထည့်သွင်းထားနိုင်သည်။

၄.၅.၃။ ကီးလော့ဂ်ဂါ

ကူးစက်ခံထားရသော PC ကို စောင့်ကြည့်ခြင်း၏ အရေးကြီးသော အစိတ်အပိုင်းမှာ ကီးစထရိများကို ဖမ်းယူခြင်း ဖြစ်သည်။ RTM developer များသည် ပုံမှန်သော့များသာမက virtual keyboard နှင့် clipboard ကိုပါ စောင့်ကြည့်နေသောကြောင့် မည်သည့်အချက်အလက်ကိုမျှ မပျက်ကွက်ခဲ့ပုံရသည်။

ဒါကိုလုပ်ဖို့၊ SetWindowsHookExA လုပ်ဆောင်ချက်ကို အသုံးပြုပါ။ တိုက်ခိုက်သူများသည် နှိပ်ထားသော သော့များ သို့မဟုတ် ပရိုဂရမ်၏ အမည်နှင့် ရက်စွဲတို့နှင့်အတူ ပရိုဂရမ်အတု ကီးဘုတ်နှင့် သက်ဆိုင်သည့် သော့များကို မှတ်တမ်းတင်သည်။ ထို့နောက် ကြားခံအား C&C အမိန့်ပေးသည့်ဆာဗာသို့ ပေးပို့သည်။

ကလစ်ဘုတ်ကို ကြားဖြတ်ရန် SetClipboardViewer လုပ်ဆောင်ချက်ကို အသုံးပြုသည်။ ဒေတာသည် စာသားဖြစ်သောအခါ ဟက်ကာများသည် ကလစ်ဘုတ်၏ အကြောင်းအရာများကို မှတ်တမ်းတင်သည်။ ဆာဗာသို့ ကြားခံမပို့မီ အမည်နှင့် ရက်စွဲကိုလည်း မှတ်တမ်းတင်ထားသည်။

၄.၅.၄။ ဖန်သားပြင်ဓာတ်ပုံများ

နောက်ထပ် RTM လုပ်ဆောင်ချက်မှာ ဖန်သားပြင်ဓာတ်ပုံ ကြားဖြတ်ခြင်း ဖြစ်သည်။ ဝင်းဒိုးစောင့်ကြည့်ရေး မော်ဂျူးသည် စိတ်ပါဝင်စားသောဆိုက် သို့မဟုတ် ဘဏ်လုပ်ငန်းဆော့ဖ်ဝဲကို တွေ့ရှိသောအခါ အင်္ဂါရပ်ကို အသုံးပြုသည်။ ဖန်သားပြင်ဓာတ်ပုံများကို ဂရပ်ဖစ်ပုံများ၏ စာကြည့်တိုက်ကို အသုံးပြု၍ ရိုက်ကူးပြီး command server သို့ လွှဲပြောင်းပေးပါသည်။

၄.၆။ ဖြုတ်ချခြင်း။

C&C ဆာဗာသည် malware လည်ပတ်မှုကို ရပ်တန့်စေပြီး သင့်ကွန်ပျူတာကို သန့်ရှင်းစေနိုင်သည်။ အဆိုပါ command သည် RTM လုပ်ဆောင်နေချိန်တွင် ဖန်တီးထားသော ဖိုင်များနှင့် registry entries များကို ရှင်းလင်းရန် ခွင့်ပြုသည်။ ထို့နောက်၊ DLL ကိုအသုံးပြု၍ malware နှင့် winlogon ဖိုင်ကိုဖယ်ရှားပြီးနောက် command သည်ကွန်ပျူတာကိုပိတ်သွားသည်။ အောက်ဖော်ပြပါပုံတွင်ပြထားသည့်အတိုင်း၊ DLL ကို erase.dll ကိုအသုံးပြု၍ developer များကဖယ်ရှားသည်။

ဆာဗာသည် Trojan အား အဖျက်သဘောဆောင်သော uninstall-lock အမိန့်ကို ပေးပို့နိုင်သည်။ ဤကိစ္စတွင်၊ သင့်တွင် စီမံခန့်ခွဲသူအခွင့်အရေးများရှိပါက RTM သည် ဟာ့ဒ်ဒရိုက်ရှိ MBR boot ကဏ္ဍကို ဖျက်ပစ်မည်ဖြစ်သည်။ ၎င်းမအောင်မြင်ပါက၊ Trojan သည် MBR boot sector ကို ကျပန်းကဏ္ဍတစ်ခုသို့ ပြောင်းရန် ကြိုးစားလိမ့်မည် - ထို့နောက် ကွန်ပျူတာသည် ပိတ်ပြီးနောက် OS ကို စတင်နိုင်တော့မည်မဟုတ်ပါ။ ၎င်းသည် OS ၏ ပြီးပြည့်စုံသော ပြန်လည်ထည့်သွင်းခြင်းကို ဖြစ်ပေါ်စေနိုင်သည်၊ ဆိုလိုသည်မှာ အထောက်အထားများကို ဖျက်ဆီးပစ်နိုင်သည်။

စီမံခန့်ခွဲသူအခွင့်ထူးများမပါဘဲ၊ malware သည် အရင်းခံ RTM DLL တွင် .EXE ကုဒ်ဖြင့်ရေးထားသည်။ executable သည် ကွန်ပျူတာကိုပိတ်ရန်နှင့် HKCUCurrentVersionRun registry key တွင် module ကိုမှတ်ပုံတင်ရန် လိုအပ်သောကုဒ်ကိုလုပ်ဆောင်သည်။ အသုံးပြုသူသည် စက်ရှင်တစ်ခုကို စတင်သည့်အခါတိုင်း၊ ကွန်ပျူတာသည် ချက်ချင်းပိတ်သွားပါသည်။

၄.၇။ ဖွဲ့စည်းမှုဖိုင်

ပုံမှန်အားဖြင့်၊ RTM တွင် configuration file နီးပါးမရှိသော်လည်း command နှင့် control server သည် registry တွင်သိမ်းဆည်းပြီး program မှအသုံးပြုမည့် configuration values ​​များကိုပေးပို့နိုင်သည်။ configuration keys စာရင်းကို အောက်ပါဇယားတွင် ဖော်ပြထားပါသည်။

ဖွဲ့စည်းမှုအား Software[Pseudo-random string] registry key တွင် သိမ်းဆည်းထားသည်။ တန်ဖိုးတစ်ခုစီသည် ယခင်ဇယားတွင် ဖော်ပြထားသော အတန်းများထဲမှ တစ်ခုနှင့် သက်ဆိုင်သည်။ တန်ဖိုးများနှင့် ဒေတာများကို RTM တွင် RC4 algorithm ဖြင့် ကုဒ်လုပ်ထားသည်။

ဒေတာသည် ကွန်ရက် သို့မဟုတ် စာကြောင်းများနှင့် တူညီသောဖွဲ့စည်းပုံရှိသည်။ ကုဒ်လုပ်ထားသောဒေတာ၏အစတွင် လေးဘိုက် XOR သော့ကို ပေါင်းထည့်ထားသည်။ ဖွဲ့စည်းမှုတန်ဖိုးများအတွက် XOR သော့သည် ကွဲပြားပြီး တန်ဖိုး၏အရွယ်အစားပေါ်တွင်မူတည်ပါသည်။ အောက်ပါအတိုင်း တွက်ချက်နိုင်ပါသည်။

xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)

4.8. အခြားလုပ်ဆောင်ချက်များ

ထို့နောက် RTM ပံ့ပိုးပေးသည့် အခြားလုပ်ဆောင်ချက်များကို ကြည့်ကြပါစို့။

၄.၈.၁။ အပို module များ

Trojan တွင် DLL ဖိုင်များဖြစ်သည့် အပို module များပါဝင်သည်။ C&C အမိန့်ဆာဗာမှ ပေးပို့သော မော်ဂျူးများကို RAM တွင် ထင်ဟပ်ပြသပြီး စာတွဲအသစ်များတွင် ပြင်ပပရိုဂရမ်များအဖြစ် လုပ်ဆောင်နိုင်သည်။ သိုလှောင်မှုအတွက်၊ မော်ဂျူးများကို .dtt ဖိုင်များတွင် သိမ်းဆည်းထားပြီး ကွန်ရက်ဆက်သွယ်ရေးအတွက် အသုံးပြုသည့် တူညီသောသော့ဖြင့် RC4 အယ်လဂိုရီသမ်ကို အသုံးပြုကာ ကုဒ်လုပ်ထားသည်။

ယခုအချိန်အထိ ကျွန်ုပ်တို့သည် VNC မော်ဂျူး (8966319882494077C21F66A8354E2CBCA0370464)၊ ဘရောက်ဆာဒေတာထုတ်ယူခြင်း module (03DE8622BE6B2F75A364A275995C3411626C4C9E1_2E1) နှင့် 562E1 (69E6) FC58FBA88753 B7BE0D3B4EXNUMXCFAB)။

VNC မော်ဂျူးကို ဖွင့်ရန်၊ C&C ဆာဗာသည် ဆိပ်ကမ်း 44443 ရှိ သီးခြား IP လိပ်စာတစ်ခုတွင် VNC ဆာဗာသို့ ချိတ်ဆက်မှုများကို တောင်းဆိုသည့် ညွှန်ကြားချက်ကို ထုတ်ပြန်ခဲ့သည်။ ဘရောက်ဆာဒေတာ ပြန်လည်ရယူသည့်ပလပ်အင်သည် TBrowserDataCollector သည် IE ရှာဖွေမှုမှတ်တမ်းကို ဖတ်ရှုနိုင်မည်ဖြစ်သည်။ ထို့နောက် ၎င်းသည် သွားရောက်လည်ပတ်ခဲ့သည့် URL များစာရင်းအပြည့်အစုံကို C&C အမိန့်ပေးသည့်ဆာဗာသို့ ပို့ပေးသည်။

နောက်ဆုံးတွေ့ရှိခဲ့သည့် module ကို 1c_2_kl ဟုခေါ်သည်။ ၎င်းသည် 1C Enterprise ဆော့ဖ်ဝဲလ်ပက်ကေ့ဂျ်နှင့် အပြန်အလှန် တုံ့ပြန်နိုင်သည်။ မော်ဂျူးတွင် အပိုင်းနှစ်ပိုင်းပါဝင်သည်- အဓိကအပိုင်း - DLL နှင့် အေးဂျင့်နှစ်ခု (32 နှင့် 64 ဘစ်)၊ WH_CBT သို့ ချိတ်ဆက်မှုစာရင်းသွင်းခြင်းဖြင့် လုပ်ငန်းစဉ်တစ်ခုစီသို့ ထိုးသွင်းမည်ဖြစ်သည်။ 1C လုပ်ငန်းစဉ်တွင် မိတ်ဆက်ခဲ့ပြီး၊ မော်ဂျူးသည် CreateFile နှင့် WriteFile လုပ်ဆောင်ချက်များကို ပေါင်းစပ်ထားသည်။ CreateFile bound function ကိုခေါ်သည့်အခါတိုင်း၊ module သည် ဖိုင်လမ်းကြောင်း 1c_to_kl.txt ကို memory တွင်သိမ်းဆည်းထားသည်။ WriteFile ခေါ်ဆိုမှုကို ကြားဖြတ်ပြီးနောက်၊ ၎င်းသည် WriteFile လုပ်ဆောင်ချက်ကို ခေါ်ပြီး ဖိုင်လမ်းကြောင်း 1c_to_kl.txt ကို ပင်မ DLL မော်ဂျူးထံ ပေးပို့ကာ ၎င်းကို ဖန်တီးထားသော Windows WM_COPYDATA မက်ဆေ့ဂျ်ကို ဖြတ်သွားသည်။

ငွေပေးချေမှုအမှာစာများကို ဆုံးဖြတ်ရန် ပင်မ DLL မော်ဂျူးသည် ဖိုင်ကိုဖွင့်ပြီး ခွဲခြမ်းစိတ်ဖြာသည်။ ၎င်းသည် ဖိုင်တွင်ပါရှိသော ငွေပမာဏနှင့် ငွေပေးငွေယူနံပါတ်ကို အသိအမှတ်ပြုသည်။ ဤအချက်အလက်ကို အမိန့်ပေးသည့်ဆာဗာသို့ ပေးပို့သည်။ ဤ module သည် လက်ရှိတွင် ပြုပြင်မွမ်းမံထားသော မက်ဆေ့ချ်တစ်ခုပါ၀င်သောကြောင့် ၎င်းတွင် 1c_to_kl.txt ကို အလိုအလျောက်မွမ်းမံနိုင်သည်ဟု ကျွန်ုပ်တို့ယုံကြည်ပါသည်။

၄.၈.၂။ အခွင့်ထူးများ တိုးလာခြင်း

RTM သည် မှားယွင်းသော အမှားအယွင်း မက်ဆေ့ချ်များကို ပြသခြင်းဖြင့် အခွင့်ထူးများ တိုးမြင့်ရန် ကြိုးပမ်းနိုင်သည်။ Malware သည် မှတ်ပုံတင်စစ်ဆေးမှုကို အတုယူလုပ်ဆောင်သည် (အောက်ပါပုံကိုကြည့်ပါ) သို့မဟုတ် တကယ့် registry editor အိုင်ကွန်ကို အသုံးပြုသည်။ ကျေးဇူးပြု၍ စာလုံးပေါင်းမှားပါက ခေတ္တစောင့်ဆိုင်းပါ။ စက္ကန့်အနည်းငယ် စကင်ဖတ်ပြီးနောက်၊ ပရိုဂရမ်သည် မှားယွင်းသော အမှားသတင်းကို ပြသသည်။

မှားယွင်းသောမက်ဆေ့ချ်သည် သဒ္ဒါအမှားများရှိနေသော်လည်း သာမန်အသုံးပြုသူကို အလွယ်တကူလှည့်ဖြားနိုင်မည်ဖြစ်သည်။ အသုံးပြုသူသည် လင့်နှစ်ခုထဲမှ တစ်ခုကို နှိပ်ပါက၊ RTM သည် စနစ်အတွင်းရှိ ၎င်း၏အခွင့်ထူးများကို တိုးမြှင့်ရန် ကြိုးပမ်းမည်ဖြစ်သည်။

ပြန်လည်ရယူရေးရွေးချယ်စရာနှစ်ခုထဲမှ တစ်ခုကို ရွေးချယ်ပြီးနောက်၊ စီမံခန့်ခွဲသူအခွင့်ထူးများဖြင့် ShellExecute လုပ်ဆောင်ချက်ရှိ Runas ရွေးချယ်မှုကို အသုံးပြု၍ Trojan သည် DLL ကို စတင်သည်။ အသုံးပြုသူသည် မြင့်တင်ရန်အတွက် တကယ့် Windows prompt (အောက်ပုံတွင်ကြည့်ပါ)။ အသုံးပြုသူသည် လိုအပ်သောခွင့်ပြုချက်များကို ပေးပါက၊ Trojan သည် စီမံခန့်ခွဲသူအခွင့်ထူးများဖြင့် လုပ်ဆောင်မည်ဖြစ်သည်။

စနစ်တွင် ထည့်သွင်းထားသည့် မူရင်းဘာသာစကားပေါ် မူတည်၍ Trojan သည် ရုရှား သို့မဟုတ် အင်္ဂလိပ်လို အမှားအယွင်းစာတိုများကို ပြသသည်။

၄.၈.၃။ လက်မှတ်

RTM သည် csrss.exe ဒိုင်ယာလော့ဘောက်စ်ရှိ “yes” ခလုတ်ကို အလိုအလျောက်နှိပ်ခြင်းဖြင့် Windows Store တွင် လက်မှတ်များကို ပေါင်းထည့်နိုင်ပြီး ထပ်တိုး၏ ယုံကြည်စိတ်ချရမှုကို အတည်ပြုနိုင်သည်။ ဤအပြုအမူသည် အသစ်အဆန်းမဟုတ်ပါ၊ ဥပမာ၊ ဘဏ်လုပ်ငန်း Trojan Retefe သည် လက်မှတ်အသစ်တစ်ခုထည့်သွင်းခြင်းကို သီးခြားအတည်ပြုသည်။

၄.၈.၄။ ပြောင်းပြန်ချိတ်ဆက်မှု

RTM စာရေးဆရာများသည် Backconnect TCP ဥမင်ကိုလည်း ဖန်တီးခဲ့သည်။ အသုံးပြုနေသည့် အင်္ဂါရပ်ကို ကျွန်ုပ်တို့ မတွေ့ရသေးသော်လည်း ၎င်းသည် ကူးစက်ခံထားရသော PC များကို အဝေးမှ စောင့်ကြည့်ရန် ဒီဇိုင်းထုတ်ထားသည်။

၄.၈.၅။ လက်ခံသူဖိုင်စီမံခန့်ခွဲမှု

C&C ဆာဗာသည် Windows host ဖိုင်ကို မွမ်းမံပြင်ဆင်ရန် Trojan သို့ အမိန့်တစ်ခုပေးပို့နိုင်သည်။ စိတ်ကြိုက် DNS ဆုံးဖြတ်ချက်များကို ဖန်တီးရန် လက်ခံသူဖိုင်ကို အသုံးပြုသည်။

၄.၈.၆။ ဖိုင်ကိုရှာပြီး ပို့ပါ။

ဆာဗာသည် ကူးစက်ခံထားရသောစနစ်ရှိ ဖိုင်တစ်ခုကို ရှာဖွေပြီး ဒေါင်းလုဒ်လုပ်ရန် တောင်းဆိုနိုင်သည်။ ဥပမာအားဖြင့်၊ သုတေသနပြုလုပ်နေစဉ်အတွင်း 1c_to_kl.txt ဖိုင်အတွက် တောင်းဆိုချက်တစ်ခုကို လက်ခံရရှိခဲ့ပါသည်။ ယခင်က ဖော်ပြခဲ့သည့်အတိုင်း ဤဖိုင်ကို 1C: Enterprise 8 စာရင်းကိုင်စနစ်မှ ထုတ်ပေးပါသည်။

4.8.7. အပ်ဒိတ်

နောက်ဆုံးတွင်၊ RTM စာရေးဆရာများသည် လက်ရှိဗားရှင်းကို အစားထိုးရန်အတွက် DLL အသစ်တစ်ခုကို တင်ပြခြင်းဖြင့် ဆော့ဖ်ဝဲကို အပ်ဒိတ်လုပ်နိုင်ပါသည်။

၈။ နိဂုံး

RTM ၏ သုတေသနပြုချက်များအရ ရုရှားဘဏ်လုပ်ငန်းစနစ်သည် ဆိုက်ဘာတိုက်ခိုက်သူများကို ဆွဲဆောင်နေဆဲဖြစ်သည်။ Buhtrap၊ Corkow နှင့် Carbanak ကဲ့သို့သော အုပ်စုများသည် ရုရှားရှိ ဘဏ္ဍာရေးအဖွဲ့အစည်းများနှင့် ၎င်းတို့၏ဖောက်သည်များထံမှ ငွေများကို အောင်မြင်စွာခိုးယူနိုင်ခဲ့သည်။ RTM သည် ဤစက်မှုလုပ်ငန်းတွင် ကစားသမားသစ်တစ်ဦးဖြစ်သည်။

ESET telemetry အရ အန္တရာယ်ရှိသော RTM ကိရိယာများကို အနည်းဆုံး 2015 ခုနှစ်နှောင်းပိုင်းတွင် စတင်အသုံးပြုခဲ့သည်။ ပရိုဂရမ်တွင် စမတ်ကတ်များဖတ်ခြင်း၊ သော့ခတ်ခြင်းများကို ကြားဖြတ်ခြင်းနှင့် ဘဏ်လုပ်ငန်းလွှဲပြောင်းမှုများကို စောင့်ကြည့်ခြင်းအပြင် 1C: Enterprise 8 သယ်ယူပို့ဆောင်ရေးဖိုင်များကို ရှာဖွေခြင်းအပါအဝင် သူလျှိုလုပ်နိုင်စွမ်းများ အပြည့်အစုံပါရှိသည်။

ဗဟိုချုပ်ကိုင်မှုကင်းသော၊ ဆင်ဆာမဲ့ .bit ထိပ်တန်းဒိုမိန်းကို အသုံးပြုခြင်းသည် အလွန်ခံနိုင်ရည်ရှိသော အခြေခံအဆောက်အဦကို သေချာစေသည်။

source: www.habr.com