Er zijn verschillende bekende cybergroepen die gespecialiseerd zijn in het stelen van geld van Russische bedrijven. We hebben aanvallen gezien waarbij gebruik werd gemaakt van gaten in de beveiliging die toegang tot het netwerk van het doelwit mogelijk maakten. Zodra ze toegang hebben verkregen, onderzoeken aanvallers de netwerkstructuur van de organisatie en zetten ze hun eigen tools in om geld te stelen. Een klassiek voorbeeld van deze trend zijn de hackergroepen Buhtrap, Cobalt en Corkow.
De RTM-groep waarop dit rapport zich richt, maakt deel uit van deze trend. Het maakt gebruik van speciaal ontworpen malware geschreven in Delphi, die we in de volgende paragrafen gedetailleerder zullen bekijken. De eerste sporen van deze tools in het ESET-telemetriesysteem werden eind 2015 ontdekt. Het team laadt indien nodig verschillende nieuwe modules op geïnfecteerde systemen. De aanvallen zijn gericht op gebruikers van systemen voor bankieren op afstand in Rusland en enkele buurlanden.
1. Doelen
De RTM-campagne is gericht op zakelijke gebruikers - dit blijkt duidelijk uit de processen die aanvallers proberen te detecteren in een gecompromitteerd systeem. De focus ligt op boekhoudsoftware voor het werken met systemen voor bankieren op afstand.
De lijst met processen die van belang zijn voor RTM lijkt op de overeenkomstige lijst van de Buhtrap-groep, maar de groepen hebben verschillende infectievectoren. Als Buhtrap vaker neppagina's gebruikte, gebruikte RTM drive-by downloadaanvallen (aanvallen op de browser of de componenten ervan) en spammen per e-mail. Volgens telemetriegegevens is de dreiging gericht op Rusland en verschillende nabijgelegen landen (Oekraïne, Kazachstan, Tsjechië, Duitsland). Vanwege het gebruik van massadistributiemechanismen is de detectie van malware buiten de doelregio's echter niet verrassend.
Het totale aantal malwaredetecties is relatief klein. Aan de andere kant maakt de RTM-campagne gebruik van complexe programma’s, wat erop wijst dat de aanvallen zeer gericht zijn.
We hebben verschillende door RTM gebruikte lokdocumenten ontdekt, waaronder niet-bestaande contracten, facturen of belastingdocumenten. De aard van de lokmiddelen, gecombineerd met het type software waarop de aanval gericht is, geeft aan dat de aanvallers de netwerken van Russische bedrijven ‘binnendringen’ via de boekhoudafdeling. De groep handelde volgens hetzelfde schema in 2014-2015
Tijdens het onderzoek konden we communiceren met verschillende C&C-servers. We zullen de volledige lijst met commando's in de volgende secties vermelden, maar voor nu kunnen we zeggen dat de client gegevens van de keylogger rechtstreeks naar de aanvallende server overbrengt, vanwaar vervolgens aanvullende commando's worden ontvangen.
De tijd dat u eenvoudigweg verbinding kon maken met een command-and-control-server en alle gegevens kon verzamelen waarin u geïnteresseerd was, is echter voorbij. We hebben realistische logbestanden opnieuw gemaakt om enkele relevante opdrachten van de server te krijgen.
De eerste daarvan is een verzoek aan de bot om het bestand 1c_to_kl.txt over te dragen - een transportbestand van het 1C: Enterprise 8-programma, waarvan het uiterlijk actief wordt gecontroleerd door RTM. 1C communiceert met systemen voor bankieren op afstand door gegevens over uitgaande betalingen naar een tekstbestand te uploaden. Vervolgens wordt het bestand naar het systeem voor bankieren op afstand gestuurd voor automatisering en uitvoering van de betalingsopdracht.
Het bestand bevat betalingsgegevens. Als aanvallers de informatie over uitgaande betalingen wijzigen, wordt de overboeking met valse gegevens naar de accounts van de aanvallers verzonden.
Ongeveer een maand nadat we deze bestanden hadden opgevraagd bij de command-and-control-server, zagen we dat een nieuwe plug-in, 1c_2_kl.dll, op het gecompromitteerde systeem werd geladen. De module (DLL) is ontworpen om het downloadbestand automatisch te analyseren door de boekhoudsoftwareprocessen te penetreren. We zullen het in de volgende paragrafen gedetailleerd beschrijven.
Interessant is dat FinCERT van de Bank of Russia eind 2016 een bulletin heeft uitgegeven waarin wordt gewaarschuwd voor cybercriminelen die 1c_to_kl.txt-uploadbestanden gebruiken. Ontwikkelaars van 1C zijn ook op de hoogte van dit plan; ze hebben al een officiële verklaring afgelegd en voorzorgsmaatregelen opgesomd.
Er werden ook andere modules geladen vanaf de commandoserver, met name VNC (de 32- en 64-bits versies). Het lijkt op de VNC-module die eerder werd gebruikt bij Dridex Trojan-aanvallen. Deze module wordt vermoedelijk gebruikt om op afstand verbinding te maken met een geïnfecteerde computer en een gedetailleerd onderzoek van het systeem uit te voeren. Vervolgens proberen de aanvallers zich over het netwerk te verplaatsen, gebruikerswachtwoorden te extraheren, informatie te verzamelen en de constante aanwezigheid van malware te garanderen.
2. Infectievectoren
De volgende afbeelding toont de infectievectoren die tijdens de onderzoeksperiode van de campagne zijn gedetecteerd. De groep gebruikt een breed scala aan vectoren, maar voornamelijk drive-by downloadaanvallen en spam. Deze tools zijn handig voor gerichte aanvallen, omdat aanvallers in het eerste geval sites kunnen selecteren die door potentiële slachtoffers worden bezocht, en in het tweede geval e-mail met bijlagen rechtstreeks naar de gewenste bedrijfsmedewerkers kunnen sturen.
De malware wordt verspreid via meerdere kanalen, waaronder RIG- en Sundown-exploitkits of spammailings, wat verbanden aangeeft tussen de aanvallers en andere cyberaanvallers die deze diensten aanbieden.
2.1. Hoe zijn RTM en Buhtrap gerelateerd?
De RTM-campagne lijkt sterk op Buhtrap. De natuurlijke vraag is: hoe verhouden ze zich tot elkaar?
In september 2016 zagen we dat een RTM-voorbeeld werd verspreid met behulp van de Buhtrap-uploader. Bovendien hebben we twee digitale certificaten gevonden die zowel in Buhtrap als RTM worden gebruikt.
Het eerste, naar verluidt uitgegeven aan het bedrijf DNISTER-M, werd gebruikt om het tweede Delphi-formulier (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) en de Buhtrap DLL (SHA-1: 1E2642B454A2C889B6D41116CCDBA83F6F2D4890) digitaal te ondertekenen ).
De tweede, uitgegeven aan Bit-Tredj, werd gebruikt om Buhtrap-laders (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 en B74F71560E48488D2153AE2FB51207A0AC206E2B) te ondertekenen en om RTM-componenten te downloaden en te installeren.
RTM-operators gebruiken certificaten die gebruikelijk zijn bij andere malwarefamilies, maar ze hebben ook een uniek certificaat. Volgens ESET-telemetrie werd het uitgegeven aan Kit-SD en werd het alleen gebruikt om bepaalde RTM-malware te ondertekenen (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM gebruikt dezelfde lader als Buhtrap, RTM-componenten worden geladen vanuit de Buhtrap-infrastructuur, dus de groepen hebben vergelijkbare netwerkindicatoren. Volgens onze schattingen zijn RTM en Buhtrap echter verschillende groepen, althans omdat RTM op verschillende manieren wordt gedistribueerd (niet alleen met behulp van een ‘buitenlandse’ downloader).
Desondanks gebruiken hackergroepen vergelijkbare werkingsprincipes. Ze richten zich op bedrijven die boekhoudsoftware gebruiken, waarbij ze systeeminformatie verzamelen, naar smartcardlezers zoeken en een reeks kwaadaardige tools inzetten om slachtoffers te bespioneren.
3. Evolutie
In dit gedeelte bekijken we de verschillende versies van malware die tijdens het onderzoek zijn aangetroffen.
3.1. Versiebeheer
RTM slaat configuratiegegevens op in een registersectie, waarvan het meest interessante onderdeel het botnet-voorvoegsel is. Een lijst met alle waarden die we hebben gezien in de monsters die we hebben bestudeerd, vindt u in de onderstaande tabel.
Het is mogelijk dat de waarden kunnen worden gebruikt om malwareversies vast te leggen. Veel verschil merkten we echter niet tussen versies als bit2 en bit3, 0.1.6.4 en 0.1.6.6. Bovendien bestaat een van de voorvoegsels al sinds het begin en is geëvolueerd van een typisch C&C-domein naar een .bit-domein, zoals hieronder zal worden getoond.
3.2. Schema
Met behulp van telemetriegegevens hebben we een grafiek gemaakt van het voorkomen van monsters.
4. Technische analyse
In deze sectie beschrijven we de belangrijkste functies van de RTM banking Trojan, inclusief weerstandsmechanismen, zijn eigen versie van het RC4-algoritme, netwerkprotocol, spionagefunctionaliteit en enkele andere functies. In het bijzonder zullen we ons concentreren op SHA-1-monsters AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 en 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. Installatie en opslaan
4.1.1. Implementatie
De RTM-kern is een DLL, de bibliotheek wordt op schijf geladen met behulp van .EXE. Het uitvoerbare bestand is meestal verpakt en bevat DLL-code. Eenmaal gestart, extraheert het de DLL en voert deze uit met behulp van de volgende opdracht:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. DLL-bestand
De hoofd-DLL wordt altijd op schijf geladen als winlogon.lnk in de map %PROGRAMDATA%Winlogon. Deze bestandsextensie wordt meestal geassocieerd met een snelkoppeling, maar het bestand is eigenlijk een DLL geschreven in Delphi, genaamd core.dll door de ontwikkelaar, zoals weergegeven in de onderstaande afbeelding.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Eenmaal gelanceerd activeert de Trojan zijn weerstandsmechanisme. Dit kan op twee verschillende manieren worden gedaan, afhankelijk van de rechten van het slachtoffer in het systeem. Als u over beheerdersrechten beschikt, voegt de Trojan een Windows Update-vermelding toe aan het HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun-register. De opdrachten in Windows Update worden uitgevoerd aan het begin van de gebruikerssessie.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject-host
De Trojan probeert ook een taak toe te voegen aan de Windows Taakplanner. De taak start de winlogon.lnk DLL met dezelfde parameters als hierboven. Met reguliere gebruikersrechten kan de Trojan een Windows Update-vermelding met dezelfde gegevens toevoegen aan het HKCUSoftwareMicrosoftWindowsCurrentVersionRun-register:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Gemodificeerd RC4-algoritme
Ondanks de bekende tekortkomingen wordt het RC4-algoritme regelmatig gebruikt door malware-auteurs. De makers van RTM hebben het echter enigszins aangepast, waarschijnlijk om de taak van virusanalisten moeilijker te maken. Een aangepaste versie van RC4 wordt veel gebruikt in kwaadaardige RTM-tools om strings, netwerkgegevens, configuratie en modules te versleutelen.
4.2.1. Verschillen
Het originele RC4-algoritme omvat twee fasen: s-block-initialisatie (ook bekend als KSA - Key-Scheduling Algorithm) en het genereren van pseudo-willekeurige sequenties (PRGA - Pseudo-Random Generation Algorithm). De eerste fase omvat het initialiseren van de s-box met behulp van de sleutel, en in de tweede fase wordt de brontekst verwerkt met behulp van de s-box voor codering.
De RTM-auteurs hebben een tussenstap toegevoegd tussen s-box-initialisatie en encryptie. De extra sleutel is variabel en wordt tegelijkertijd met de te versleutelen en ontsleutelen gegevens ingesteld. De functie die deze extra stap uitvoert, wordt weergegeven in de onderstaande afbeelding.
4.2.2. Tekenreeksencryptie
Op het eerste gezicht zijn er verschillende leesbare regels in de hoofd-DLL. De rest wordt gecodeerd met behulp van het hierboven beschreven algoritme, waarvan de structuur wordt weergegeven in de volgende afbeelding. We hebben in de geanalyseerde monsters meer dan 25 verschillende RC4-sleutels voor string-encryptie gevonden. De XOR-sleutel is voor elke rij anders. De waarde van het numerieke veld dat de regels scheidt, is altijd 0xFFFFFFFF.
Aan het begin van de uitvoering decodeert RTM de tekenreeksen in een globale variabele. Wanneer het nodig is om toegang te krijgen tot een string, berekent de Trojan dynamisch het adres van de gedecodeerde strings op basis van het basisadres en de offset.
De strings bevatten interessante informatie over de functies van de malware. In paragraaf 6.8 vindt u enkele voorbeeldreeksen.
4.3. Netwerk
De manier waarop RTM-malware contact maakt met de C&C-server varieert van versie tot versie. De eerste wijzigingen (oktober 2015 – april 2016) gebruikten traditionele domeinnamen samen met een RSS-feed op livejournal.com om de lijst met opdrachten bij te werken.
Sinds april 2016 zien we een verschuiving naar .bit-domeinen in telemetriegegevens. Dit wordt bevestigd door de domeinregistratiedatum: het eerste RTM-domein fde05d0573da.bit werd geregistreerd op 13 maart 2016.
Alle URL's die we zagen tijdens het monitoren van de campagne hadden een gemeenschappelijk pad: /r/z.php. Het is vrij ongebruikelijk en het zal helpen bij het identificeren van RTM-verzoeken in netwerkstromen.
4.3.1. Kanaal voor commando's en controle
Oudere voorbeelden gebruikten dit kanaal om hun lijst met opdracht- en controleservers bij te werken. De hosting bevindt zich op livejournal.com, op het moment dat het rapport werd geschreven was dit de URL hxxp://f72bba81c921(.)livejournal(.)com/data/rss.
Livejournal is een Russisch-Amerikaans bedrijf dat een blogplatform aanbiedt. RTM-operators maken een LJ-blog waarin ze een artikel met gecodeerde opdrachten plaatsen - zie screenshot.
Commando- en controlelijnen worden gecodeerd met behulp van een aangepast RC4-algoritme (paragraaf 4.2). De huidige versie (november 2016) van het kanaal bevat de volgende command-and-control-serveradressen:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. .bit-domeinen
In de meest recente RTM-voorbeelden maken auteurs verbinding met C&C-domeinen via het .bit TLD-topniveaudomein. Het staat niet op de ICANN-lijst (Domain Name and Internet Corporation) met topniveaudomeinen. In plaats daarvan gebruikt het het Namecoin-systeem, dat bovenop Bitcoin-technologie is gebouwd. Malware-auteurs gebruiken de .bit-TLD niet vaak voor hun domeinen, hoewel een voorbeeld van dergelijk gebruik eerder is waargenomen in een versie van het Necurs-botnet.
In tegenstelling tot Bitcoin hebben gebruikers van de gedistribueerde Namecoin-database de mogelijkheid om gegevens op te slaan. De belangrijkste toepassing van deze functie is het .bit-topniveaudomein. U kunt domeinen registreren die in een gedistribueerde database worden opgeslagen. De overeenkomstige vermeldingen in de database bevatten IP-adressen die door het domein zijn opgelost. Deze TLD is “censuurbestendig” omdat alleen de registrant de resolutie van het .bit-domein kan wijzigen. Dit betekent dat het veel moeilijker is om een kwaadaardig domein te stoppen met het gebruik van dit type TLD.
De RTM Trojan bevat niet de software die nodig is om de gedistribueerde Namecoin-database te lezen. Het maakt gebruik van centrale DNS-servers zoals dns.dot-bit.org of OpenNic-servers om .bit-domeinen om te zetten. Daarom heeft het dezelfde duurzaamheid als DNS-servers. We hebben vastgesteld dat sommige teamdomeinen niet langer werden gedetecteerd nadat ze in een blogpost waren vermeld.
Een ander voordeel van de .bit TLD voor hackers zijn de kosten. Om een domein te registreren hoeven operators slechts 0,01 NK te betalen, wat overeenkomt met $0,00185 (vanaf 5 december 2016). Ter vergelijking: domain.com kost minstens $ 10.
4.3.3. Protocol
Om met de command-and-control-server te communiceren, gebruikt RTM HTTP POST-verzoeken met gegevens die zijn geformatteerd met behulp van een aangepast protocol. De padwaarde is altijd /r/z.php; Mozilla/5.0 user-agent (compatibel; MSIE 9.0; Windows NT 6.1; Trident/5.0). Bij verzoeken aan de server worden de gegevens als volgt opgemaakt, waarbij de offsetwaarden worden uitgedrukt in bytes:
Bytes 0 tot 6 zijn niet gecodeerd; bytes vanaf 6 worden gecodeerd met behulp van een aangepast RC4-algoritme. De structuur van het C&C-antwoordpakket is eenvoudiger. Bytes worden gecodeerd van 4 naar pakketgrootte.
De lijst met mogelijke actiebytewaarden wordt weergegeven in de onderstaande tabel:
De malware berekent altijd de CRC32 van de gedecodeerde gegevens en vergelijkt deze met wat er in het pakket aanwezig is. Als ze verschillen, laat de Trojan het pakket vallen.
De aanvullende gegevens kunnen verschillende objecten bevatten, waaronder een PE-bestand, een bestand dat in het bestandssysteem moet worden doorzocht, of nieuwe opdracht-URL's.
4.3.4. Paneel
We hebben gemerkt dat RTM een paneel op C&C-servers gebruikt. Screenshot hieronder:
4.4. Karakteristiek teken
RTM is een typisch bank-trojan. Het is geen verrassing dat operators informatie willen over het systeem van het slachtoffer. Enerzijds verzamelt de bot algemene informatie over het besturingssysteem. Aan de andere kant wordt onderzocht of het gecompromitteerde systeem attributen bevat die verband houden met Russische systemen voor bankieren op afstand.
4.4.1. Algemene informatie
Wanneer malware wordt geïnstalleerd of gestart na een herstart, wordt er een rapport naar de command-and-control-server verzonden met algemene informatie, waaronder:
- Tijdzone;
- standaard systeemtaal;
- geautoriseerde gebruikersreferenties;
- procesintegriteitsniveau;
- gebruikersnaam;
- computer naam;
- OS-versie;
- extra geïnstalleerde modules;
- geïnstalleerd antivirusprogramma;
- lijst met smartcardlezers.
4.4.2 Systeem voor bankieren op afstand
Een typisch Trojaans doelwit is een systeem voor bankieren op afstand, en RTM is daarop geen uitzondering. Een van de programmamodules heet TBdo en voert verschillende taken uit, waaronder het scannen van schijven en browsegeschiedenis.
Door de schijf te scannen controleert de Trojan of banksoftware op de machine is geïnstalleerd. De volledige lijst met doelprogramma's vindt u in de onderstaande tabel. Nadat het programma een interessant bestand heeft gedetecteerd, stuurt het informatie naar de opdrachtserver. De volgende acties zijn afhankelijk van de logica die is gespecificeerd door de algoritmen van het commandocentrum (C&C).
RTM zoekt ook naar URL-patronen in uw browsergeschiedenis en geopende tabbladen. Daarnaast onderzoekt het programma het gebruik van de functies FindNextUrlCacheEntryA en FindFirstUrlCacheEntryA, en controleert het ook of elk item overeenkomt met de URL met een van de volgende patronen:
Nadat de Trojan open tabbladen heeft gedetecteerd, maakt hij contact met Internet Explorer of Firefox via het Dynamic Data Exchange (DDE)-mechanisme om te controleren of het tabblad overeenkomt met het patroon.
Het controleren van uw browsegeschiedenis en geopende tabbladen wordt uitgevoerd in een WHILE-lus (een lus met een voorwaarde) met een pauze van 1 seconde tussen de controles. Andere gegevens die in realtime worden gemonitord, worden besproken in paragraaf 4.5.
Als er een patroon wordt gevonden, meldt het programma dit aan de commandoserver met behulp van een lijst met strings uit de volgende tabel:
4.5 Toezicht
Terwijl de Trojan actief is, wordt informatie over de karakteristieke kenmerken van het geïnfecteerde systeem (inclusief informatie over de aanwezigheid van banksoftware) naar de command-and-control-server verzonden. Vingerafdrukken vinden plaats wanneer RTM het monitoringsysteem voor het eerst uitvoert onmiddellijk na de eerste besturingssysteemscan.
4.5.1. Bankieren op afstand
De TBdo-module is tevens verantwoordelijk voor het monitoren van bancaire processen. Het maakt gebruik van dynamische gegevensuitwisseling om tabbladen in Firefox en Internet Explorer te controleren tijdens de eerste scan. Een andere TShell-module wordt gebruikt om opdrachtvensters (Internet Explorer of Bestandsverkenner) te monitoren.
De module gebruikt de COM-interfaces IShellWindows, iWebBrowser, DWebBrowserEvents2 en IConnectionPointContainer om vensters te monitoren. Wanneer een gebruiker naar een nieuwe webpagina navigeert, merkt de malware dit op. Vervolgens vergelijkt het de pagina-URL met de bovenstaande patronen. Nadat een match is gedetecteerd, maakt de Trojan zes opeenvolgende schermafbeeldingen met een interval van vijf seconden en stuurt deze naar de C&S-opdrachtserver. Het programma controleert ook enkele vensternamen die verband houden met banksoftware - de volledige lijst vindt u hieronder:
4.5.2. Slimme kaart
Met RTM kunt u smartcardlezers monitoren die zijn aangesloten op geïnfecteerde computers. Deze apparaten worden in sommige landen gebruikt om betalingsopdrachten af te stemmen. Als dit type apparaat op een computer wordt aangesloten, kan dit aan een Trojaans paard aangeven dat de machine wordt gebruikt voor banktransacties.
In tegenstelling tot andere banktrojans kan RTM niet communiceren met dergelijke smartcards. Mogelijk is deze functionaliteit opgenomen in een extra module die we nog niet hebben gezien.
4.5.3. Keylogger
Een belangrijk onderdeel van het monitoren van een geïnfecteerde pc is het vastleggen van toetsaanslagen. Het lijkt erop dat de RTM-ontwikkelaars geen enkele informatie missen, aangezien ze niet alleen gewone toetsen monitoren, maar ook het virtuele toetsenbord en het klembord.
Gebruik hiervoor de SetWindowsHookExA-functie. Aanvallers registreren de ingedrukte toetsen of de toetsen die overeenkomen met het virtuele toetsenbord, samen met de naam en datum van het programma. De buffer wordt vervolgens naar de C&C-opdrachtserver gestuurd.
De functie SetClipboardViewer wordt gebruikt om het klembord te onderscheppen. Hackers registreren de inhoud van het klembord als de gegevens uit tekst bestaan. De naam en datum worden ook geregistreerd voordat de buffer naar de server wordt verzonden.
4.5.4. Schermafbeeldingen
Een andere RTM-functie is het onderscheppen van screenshots. De functie wordt toegepast wanneer de vensterbewakingsmodule een interessante site of banksoftware detecteert. Schermafbeeldingen worden gemaakt met behulp van een bibliotheek met grafische afbeeldingen en overgebracht naar de opdrachtserver.
4.6. Ongeïnstalleerd
De C&C-server kan voorkomen dat de malware wordt uitgevoerd en uw computer opschonen. Met deze opdracht kunt u bestanden en registervermeldingen wissen die zijn gemaakt terwijl RTM actief is. De DLL wordt vervolgens gebruikt om de malware en het winlogon-bestand te verwijderen, waarna het commando de computer afsluit. Zoals in de onderstaande afbeelding wordt weergegeven, wordt de DLL door ontwikkelaars verwijderd met behulp van erase.dll.
De server kan de Trojan een destructief verwijder-lock-commando sturen. In dit geval zal RTM, als u beheerdersrechten heeft, de MBR-opstartsector op de harde schijf verwijderen. Als dit niet lukt, zal de Trojan proberen de MBR-opstartsector naar een willekeurige sector te verplaatsen. De computer kan het besturingssysteem dan niet meer opstarten na het afsluiten. Dit kan leiden tot een volledige herinstallatie van het besturingssysteem, wat de vernietiging van bewijsmateriaal betekent.
Zonder beheerdersrechten schrijft de malware een .EXE gecodeerd in de onderliggende RTM DLL. Het uitvoerbare bestand voert de code uit die nodig is om de computer af te sluiten en registreert de module in de registersleutel HKCUCurrentVersionRun. Elke keer dat de gebruiker een sessie start, wordt de computer onmiddellijk uitgeschakeld.
4.7. Het configuratiebestand
Standaard heeft RTM vrijwel geen configuratiebestand, maar de command-and-control-server kan configuratiewaarden verzenden die in het register worden opgeslagen en door het programma worden gebruikt. De lijst met configuratiesleutels wordt weergegeven in de onderstaande tabel:
De configuratie wordt opgeslagen in de registersleutel Software [Pseudo-random string]. Elke waarde komt overeen met een van de rijen in de vorige tabel. Waarden en gegevens worden gecodeerd met behulp van het RC4-algoritme in RTM.
De gegevens hebben dezelfde structuur als een netwerk of strings. Aan het begin van de gecodeerde gegevens wordt een XOR-sleutel van vier bytes toegevoegd. Voor configuratiewaarden is de XOR-sleutel anders en afhankelijk van de grootte van de waarde. Het kan als volgt worden berekend:
xor_key = (len(config_waarde) << 24) | (len(config_waarde) << 16)
| len(config_waarde)| (len(config_waarde) << 8)
4.8. Andere functies
Laten we vervolgens eens kijken naar andere functies die RTM ondersteunt.
4.8.1. Aanvullende modules
De Trojan bevat extra modules, dit zijn DLL-bestanden. Modules verzonden vanaf de C&C-opdrachtserver kunnen worden uitgevoerd als externe programma's, weerspiegeld in RAM en gelanceerd in nieuwe threads. Voor opslag worden modules opgeslagen in .dtt-bestanden en gecodeerd met behulp van het RC4-algoritme met dezelfde sleutel die wordt gebruikt voor netwerkcommunicatie.
Tot nu toe hebben we de installatie van de VNC-module (8966319882494077C21F66A8354E2CBCA0370464), de browsergegevensextractiemodule (03DE8622BE6B2F75A364A275995C3411626C4D9F) en de 1c_2_kl-module (B1EE562E1F69EFC) waargenomen 6FBA58 B88753BE7D0B3E4CFAB).
Om de VNC-module te laden, geeft de C&C-server een opdracht uit waarin wordt verzocht om verbindingen met de VNC-server op een specifiek IP-adres op poort 44443. De plug-in voor het ophalen van browsergegevens voert TBrowserDataCollector uit, dat de browsegeschiedenis van IE kan lezen. Vervolgens stuurt het de volledige lijst met bezochte URL's naar de C&C-opdrachtserver.
De laatst ontdekte module heet 1c_2_kl. Het kan communiceren met het 1C Enterprise-softwarepakket. De module bestaat uit twee delen: het hoofdgedeelte - DLL en twee agenten (32 en 64 bit), die in elk proces worden geïnjecteerd en een binding met WH_CBT registreren. De module is geïntroduceerd in het 1C-proces en verbindt de functies CreateFile en WriteFile. Telkens wanneer de CreateFile-gebonden functie wordt aangeroepen, slaat de module het bestandspad 1c_to_kl.txt op in het geheugen. Nadat de WriteFile-aanroep is onderschept, wordt de WriteFile-functie aangeroepen en het bestandspad 1c_to_kl.txt naar de hoofd-DLL-module verzonden, waarbij het vervaardigde Windows WM_COPYDATA-bericht wordt doorgegeven.
De hoofd-DLL-module wordt geopend en parseert het bestand om betalingsopdrachten te bepalen. Het herkent het bedrag en het transactienummer in het bestand. Deze informatie wordt naar de opdrachtserver verzonden. Wij denken dat deze module momenteel in ontwikkeling is, omdat deze een foutopsporingsbericht bevat en 1c_to_kl.txt niet automatisch kan wijzigen.
4.8.2. Privilege escalatie
RTM kan proberen de bevoegdheden te escaleren door valse foutmeldingen weer te geven. De malware simuleert een registercontrole (zie onderstaande afbeelding) of gebruikt een echt register-editorpictogram. Let op de spelfout wait – whait. Na een paar seconden scannen geeft het programma een valse foutmelding weer.
Een vals bericht zal de gemiddelde gebruiker gemakkelijk misleiden, ondanks grammaticale fouten. Als de gebruiker op een van de twee links klikt, zal RTM proberen zijn rechten in het systeem te escaleren.
Nadat u een van de twee herstelopties heeft geselecteerd, start de Trojan de DLL met behulp van de runas-optie in de ShellExecute-functie met beheerdersrechten. De gebruiker ziet een echte Windows-prompt (zie onderstaande afbeelding) voor verhoging. Als de gebruiker de benodigde machtigingen geeft, wordt de Trojan uitgevoerd met beheerdersrechten.
Afhankelijk van de standaardtaal die op het systeem is geïnstalleerd, geeft de Trojan foutmeldingen weer in het Russisch of Engels.
4.8.3. Certificaat
RTM kan certificaten toevoegen aan de Windows Store en de betrouwbaarheid van de toevoeging bevestigen door automatisch op de knop “ja” te klikken in het dialoogvenster csrss.exe. Dit gedrag is niet nieuw; de banktrojan Retefe bevestigt bijvoorbeeld ook onafhankelijk de installatie van een nieuw certificaat.
4.8.4. Omgekeerde verbinding
De RTM-auteurs hebben ook de Backconnect TCP-tunnel gemaakt. We hebben de functie nog niet in gebruik gezien, maar deze is ontworpen om geïnfecteerde pc's op afstand te monitoren.
4.8.5. Beheer van hostbestanden
De C&C-server kan een opdracht naar de Trojan sturen om het Windows-hostbestand te wijzigen. Het hostbestand wordt gebruikt om aangepaste DNS-resoluties te maken.
4.8.6. Zoek en verzend een bestand
De server kan verzoeken om een bestand op het geïnfecteerde systeem te zoeken en te downloaden. Zo kregen wij tijdens het onderzoek een verzoek voor het bestand 1c_to_kl.txt. Zoals eerder beschreven wordt dit bestand gegenereerd door het boekhoudsysteem 1C: Enterprise 8.
4.8.7. Bijwerken
Ten slotte kunnen RTM-auteurs de software bijwerken door een nieuwe DLL in te dienen ter vervanging van de huidige versie.
5. conclusie
Uit het onderzoek van RTM blijkt dat het Russische banksysteem nog steeds cyberaanvallers aantrekt. Groepen als Buhtrap, Corkow en Carbanak stelen met succes geld van financiële instellingen en hun klanten in Rusland. RTM is een nieuwe speler in deze branche.
Volgens ESET-telemetrie zijn er sinds eind 2015 schadelijke RTM-tools in gebruik. Het programma beschikt over een volledig scala aan spionagemogelijkheden, waaronder het lezen van smartcards, het onderscheppen van toetsaanslagen en het monitoren van banktransacties, evenals het zoeken naar 1C: Enterprise 8-transportbestanden.
Het gebruik van een gedecentraliseerd, ongecensureerd .bit-topniveaudomein zorgt voor een zeer veerkrachtige infrastructuur.
Bron: www.habr.com