Det er flere kjente cybergrupper som spesialiserer seg på å stjele midler fra russiske selskaper. Vi har sett angrep som bruker sikkerhetshull som gir tilgang til målets nettverk. Når de får tilgang, studerer angripere organisasjonens nettverksstruktur og distribuerer sine egne verktøy for å stjele midler. Et klassisk eksempel på denne trenden er hackergruppene Buhtrap, Cobalt og Corkow.
RTM-gruppen som denne rapporten fokuserer på er en del av denne trenden. Den bruker spesialdesignet skadelig programvare skrevet i Delphi, som vi vil se nærmere på i de følgende avsnittene. De første sporene av disse verktøyene i ESET-telemetrisystemet ble oppdaget på slutten av 2015. Teamet laster forskjellige nye moduler på infiserte systemer etter behov. Angrepene er rettet mot brukere av eksterne banksystemer i Russland og noen naboland.
1. Mål
RTM-kampanjen er rettet mot bedriftsbrukere - dette er tydelig fra prosessene som angripere prøver å oppdage i et kompromittert system. Fokus er på regnskapsprogramvare for arbeid med eksterne banksystemer.
Listen over prosesser av interesse for RTM ligner den tilsvarende listen til Buhtrap-gruppen, men gruppene har forskjellige infeksjonsvektorer. Hvis Buhtrap brukte falske sider oftere, brukte RTM drive-by-nedlastingsangrep (angrep på nettleseren eller dens komponenter) og spamming via e-post. I følge telemetridata er trusselen rettet mot Russland og flere nærliggende land (Ukraina, Kasakhstan, Tsjekkia, Tyskland). På grunn av bruken av massedistribusjonsmekanismer er det imidlertid ikke overraskende å oppdage skadevare utenfor målregionene.
Det totale antallet oppdagelser av skadelig programvare er relativt lite. På den annen side bruker RTM-kampanjen komplekse programmer, noe som indikerer at angrepene er svært målrettede.
Vi har oppdaget flere lokkedokumenter brukt av RTM, inkludert ikke-eksisterende kontrakter, fakturaer eller skatteregnskapsdokumenter. Naturen til lokkene, kombinert med typen programvare angrepet målrettet, indikerer at angriperne "kommer inn" i nettverkene til russiske selskaper gjennom regnskapsavdelingen. Gruppen handlet etter samme ordning i 2014-2015
Under forskningen var vi i stand til å samhandle med flere C&C-servere. Vi vil liste opp hele listen over kommandoer i de følgende delene, men foreløpig kan vi si at klienten overfører data fra keyloggeren direkte til den angripende serveren, hvorfra ytterligere kommandoer mottas.
Men dagene da du bare kunne koble deg til en kommando- og kontrollserver og samle inn alle dataene du var interessert i er borte. Vi gjenskapte realistiske loggfiler for å få noen relevante kommandoer fra serveren.
Den første av dem er en forespørsel til boten om å overføre filen 1c_to_kl.txt - en transportfil til 1C: Enterprise 8-programmet, hvis utseende blir aktivt overvåket av RTM. 1C samhandler med eksterne banksystemer ved å laste opp data om utgående betalinger til en tekstfil. Deretter sendes filen til det eksterne banksystemet for automatisering og utførelse av betalingsordren.
Filen inneholder betalingsdetaljer. Hvis angripere endrer informasjonen om utgående betalinger, vil overføringen bli sendt med falske detaljer til angripernes kontoer.
Omtrent en måned etter at vi ba om disse filene fra kommando- og kontrollserveren, observerte vi at en ny plugin, 1c_2_kl.dll, ble lastet inn på det kompromitterte systemet. Modulen (DLL) er designet for å automatisk analysere nedlastningsfilen ved å trenge inn i regnskapsprogramvareprosessene. Vi vil beskrive det i detalj i de følgende avsnittene.
Interessant nok ga FinCERT fra Bank of Russia i slutten av 2016 ut en bulletinadvarsel om nettkriminelle som bruker 1c_to_kl.txt-opplastingsfiler. Utviklere fra 1C vet også om denne ordningen; de har allerede gitt en offisiell uttalelse og listet opp forholdsregler.
Andre moduler ble også lastet fra kommandoserveren, spesielt VNC (dens 32- og 64-biters versjoner). Den ligner VNC-modulen som tidligere ble brukt i Dridex trojanske angrep. Denne modulen skal visstnok brukes til å eksternt koble til en infisert datamaskin og gjennomføre en detaljert studie av systemet. Deretter prøver angriperne å bevege seg rundt på nettverket, trekke ut brukerpassord, samle informasjon og sikre konstant tilstedeværelse av skadelig programvare.
2. Infeksjonsvektorer
Følgende figur viser infeksjonsvektorene som ble oppdaget i løpet av studieperioden for kampanjen. Gruppen bruker et bredt spekter av vektorer, men hovedsakelig drive-by-nedlastingsangrep og spam. Disse verktøyene er praktiske for målrettede angrep, siden i det første tilfellet kan angripere velge nettsteder besøkt av potensielle ofre, og i det andre kan de sende e-post med vedlegg direkte til de ansatte i selskapet.
Skadevaren distribueres gjennom flere kanaler, inkludert RIG- og Sundown-utnyttingssett eller spam-poster, som indikerer forbindelser mellom angriperne og andre nettangripere som tilbyr disse tjenestene.
2.1. Hvordan er RTM og Buhtrap relatert?
RTM-kampanjen er veldig lik Buhtrap. Det naturlige spørsmålet er: hvordan er de relatert til hverandre?
I september 2016 observerte vi en RTM-prøve som ble distribuert ved hjelp av Buhtrap-opplastingsprogrammet. I tillegg fant vi to digitale sertifikater brukt i både Buhtrap og RTM.
Det første, angivelig utstedt til selskapet DNISTER-M, ble brukt til å digitalt signere det andre Delphi-skjemaet (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) og Buhtrap DLL (SHA-1: 1E2642B454FCCD2B889C6C41116D 83).
Den andre, utstedt til Bit-Tredj, ble brukt til å signere Buhtrap-lastere (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 og B74F71560E48488D2153AE2FB51207A0), installere samt RTM-komponenter og nedlasting206.
RTM-operatører bruker sertifikater som er felles for andre malware-familier, men de har også et unikt sertifikat. I følge ESET-telemetri ble den utstedt til Kit-SD og ble bare brukt til å signere noe RTM-skadevare (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM bruker samme laster som Buhtrap, RTM-komponenter lastes fra Buhtrap-infrastrukturen, så gruppene har lignende nettverksindikatorer. Imidlertid, ifølge våre estimater, er RTM og Buhtrap forskjellige grupper, i det minste fordi RTM distribueres på forskjellige måter (ikke bare ved å bruke en "utenlandsk" nedlaster).
Til tross for dette bruker hackergrupper lignende driftsprinsipper. De retter seg mot bedrifter som bruker regnskapsprogramvare, samler på samme måte systeminformasjon, søker etter smartkortlesere og distribuerer en rekke ondsinnede verktøy for å spionere på ofre.
3. Evolusjon
I denne delen skal vi se på de forskjellige versjonene av skadelig programvare som ble funnet under studien.
3.1. Versjonskontroll
RTM lagrer konfigurasjonsdata i en registerdel, den mest interessante delen er botnet-prefiks. En liste over alle verdiene vi så i prøvene vi studerte er presentert i tabellen nedenfor.
Det er mulig at verdiene kan brukes til å registrere skadevareversjoner. Vi la imidlertid ikke merke til mye forskjell mellom versjoner som bit2 og bit3, 0.1.6.4 og 0.1.6.6. Dessuten har et av prefiksene eksistert siden begynnelsen og har utviklet seg fra et typisk C&C-domene til et .bit-domene, som vil bli vist nedenfor.
3.2. Rute
Ved å bruke telemetridata laget vi en graf over forekomsten av prøver.
4. Teknisk analyse
I denne delen vil vi beskrive hovedfunksjonene til RTM-banktrojaneren, inkludert motstandsmekanismer, sin egen versjon av RC4-algoritmen, nettverksprotokoll, spioneringsfunksjonalitet og noen andre funksjoner. Spesielt vil vi fokusere på SHA-1-prøver AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 og 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. Installasjon og lagring
4.1.1. Gjennomføring
RTM-kjernen er en DLL, biblioteket lastes inn på disken ved hjelp av .EXE. Den kjørbare filen er vanligvis pakket og inneholder DLL-kode. Når den er lansert, trekker den ut DLL-en og kjører den ved å bruke følgende kommando:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. DLL
Hoved-DLLen lastes alltid inn på disken som winlogon.lnk i %PROGRAMDATA%Winlogon-mappen. Denne filtypen er vanligvis forbundet med en snarvei, men filen er faktisk en DLL skrevet i Delphi, kalt core.dll av utvikleren, som vist i bildet nedenfor.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Når den er lansert, aktiverer trojaneren motstandsmekanismen. Dette kan gjøres på to forskjellige måter, avhengig av offerets privilegier i systemet. Hvis du har administratorrettigheter, legger trojaneren til en Windows Update-oppføring i HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun-registeret. Kommandoene i Windows Update vil kjøre ved starten av brukerens økt.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject vert
Trojaneren prøver også å legge til en oppgave i Windows Task Scheduler. Oppgaven vil starte winlogon.lnk DLL med samme parametere som ovenfor. Vanlige brukerrettigheter tillater trojaneren å legge til en Windows Update-oppføring med de samme dataene i HKCUSoftwareMicrosoftWindowsCurrentVersionRun-registeret:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Modifisert RC4-algoritme
Til tross for sine kjente mangler, brukes RC4-algoritmen regelmessig av skadevareforfattere. Skaperne av RTM endret det imidlertid litt, sannsynligvis for å gjøre oppgaven til virusanalytikere vanskeligere. En modifisert versjon av RC4 er mye brukt i ondsinnede RTM-verktøy for å kryptere strenger, nettverksdata, konfigurasjon og moduler.
4.2.1. Forskjeller
Den originale RC4-algoritmen inkluderer to trinn: s-blokkinitialisering (aka KSA - Key-Scheduling Algorithm) og pseudo-tilfeldig sekvensgenerering (PRGA - Pseudo-Random Generation Algorithm). Det første trinnet innebærer initialisering av s-boksen ved hjelp av nøkkelen, og i det andre trinnet behandles kildeteksten ved hjelp av s-boksen for kryptering.
RTM-forfatterne la til et mellomtrinn mellom initialisering av s-boks og kryptering. Tilleggsnøkkelen er variabel og settes samtidig som dataene skal krypteres og dekrypteres. Funksjonen som utfører dette ekstra trinnet er vist i figuren nedenfor.
4.2.2. Stringkryptering
Ved første øyekast er det flere lesbare linjer i hoved-DLL. Resten er kryptert ved hjelp av algoritmen beskrevet ovenfor, hvis struktur er vist i følgende figur. Vi fant mer enn 25 forskjellige RC4-nøkler for strengkryptering i de analyserte prøvene. XOR-tasten er forskjellig for hver rad. Verdien av de numeriske feltskillelinjene er alltid 0xFFFFFFFF.
Ved begynnelsen av kjøringen dekrypterer RTM strengene til en global variabel. Når det er nødvendig for å få tilgang til en streng, beregner trojaneren dynamisk adressen til de dekrypterte strengene basert på baseadressen og offset.
Strengene inneholder interessant informasjon om funksjonene til skadevaren. Noen eksempelstrenger er gitt i avsnitt 6.8.
4.3. Nettverk
Måten RTM malware kontakter C&C-serveren varierer fra versjon til versjon. De første modifikasjonene (oktober 2015 – april 2016) brukte tradisjonelle domenenavn sammen med en RSS-feed på livejournal.com for å oppdatere listen over kommandoer.
Siden april 2016 har vi sett et skifte til .bit-domener i telemetridata. Dette bekreftes av domeneregistreringsdatoen - det første RTM-domenet fde05d0573da.bit ble registrert 13. mars 2016.
Alle nettadressene vi så mens vi overvåket kampanjen hadde en felles bane: /r/z.php. Det er ganske uvanlig, og det vil hjelpe med å identifisere RTM-forespørsler i nettverksflyter.
4.3.1. Kanal for kommandoer og kontroll
Eldre eksempler brukte denne kanalen til å oppdatere listen over kommando- og kontrollservere. Hosting ligger på livejournal.com, da rapporten ble skrevet, forble den på URLen hxxp://f72bba81c921(.)livejournal(.)com/data/rss.
Livejournal er et russisk-amerikansk selskap som tilbyr en bloggplattform. RTM-operatører lager en LJ-blogg der de legger ut en artikkel med kodede kommandoer – se skjermbilde.
Kommando- og kontrolllinjer er kodet ved hjelp av en modifisert RC4-algoritme (avsnitt 4.2). Den nåværende versjonen (november 2016) av kanalen inneholder følgende kommando- og kontrollserveradresser:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. .bit-domener
I de siste RTM-eksemplene kobler forfattere seg til C&C-domener ved å bruke .bit TLD-toppnivådomenet. Det er ikke på ICANN-listen (Domain Name and Internet Corporation) over toppdomener. I stedet bruker den Namecoin-systemet, som er bygget på toppen av Bitcoin-teknologien. Skadevareforfattere bruker ikke ofte .bit TLD for domenene sine, selv om et eksempel på slik bruk tidligere har blitt observert i en versjon av Necurs botnett.
I motsetning til Bitcoin har brukere av den distribuerte Namecoin-databasen muligheten til å lagre data. Hovedapplikasjonen for denne funksjonen er .bit-toppnivådomenet. Du kan registrere domener som vil bli lagret i en distribuert database. De tilsvarende oppføringene i databasen inneholder IP-adresser som er løst av domenet. Denne toppdomenen er "sensurbestandig" fordi bare registranten kan endre oppløsningen til .bit-domenet. Dette betyr at det er mye vanskeligere å stoppe et ondsinnet domene ved å bruke denne typen TLD.
RTM-trojaneren bygger ikke inn programvaren som er nødvendig for å lese den distribuerte Namecoin-databasen. Den bruker sentrale DNS-servere som dns.dot-bit.org eller OpenNic-servere for å løse .bit-domener. Derfor har den samme holdbarhet som DNS-servere. Vi observerte at noen teamdomener ikke lenger ble oppdaget etter å ha blitt nevnt i et blogginnlegg.
En annen fordel med .bit TLD for hackere er kostnadene. For å registrere et domene, må operatører bare betale 0,01 NK, som tilsvarer $0,00185 (per 5. desember 2016). Til sammenligning koster domain.com minst $10.
4.3.3. Protokoll
For å kommunisere med kommando- og kontrollserveren bruker RTM HTTP POST-forespørsler med data formatert ved hjelp av en tilpasset protokoll. Baneverdien er alltid /r/z.php; Mozilla/5.0 brukeragent (kompatibel; MSIE 9.0; Windows NT 6.1; Trident/5.0). I forespørsler til serveren formateres dataene som følger, hvor offsetverdiene er uttrykt i byte:
Byte 0 til 6 er ikke kodet; byte fra 6 er kodet ved hjelp av en modifisert RC4-algoritme. Strukturen til C&C-svarpakken er enklere. Byte er kodet fra 4 til pakkestørrelse.
Listen over mulige handlingsbyteverdier er presentert i tabellen nedenfor:
Skadevaren beregner alltid CRC32 for de dekrypterte dataene og sammenligner dem med det som finnes i pakken. Hvis de er forskjellige, slipper trojaneren pakken.
Tilleggsdataene kan inneholde ulike objekter, inkludert en PE-fil, en fil som skal søkes i filsystemet, eller nye kommando-URLer.
4.3.4. Panel
Vi la merke til at RTM bruker et panel på C&C-servere. Skjermbilde nedenfor:
4.4. Karakteristisk tegn
RTM er en typisk banktrojaner. Det er ingen overraskelse at operatører ønsker informasjon om offerets system. På den ene siden samler boten generell informasjon om operativsystemet. På den annen side finner den ut om det kompromitterte systemet inneholder attributter knyttet til russiske eksterne banksystemer.
4.4.1. Generell informasjon
Når skadelig programvare er installert eller lansert etter en omstart, sendes en rapport til kommando- og kontrollserveren som inneholder generell informasjon, inkludert:
- Tidssone;
- standard systemspråk;
- autorisert brukerlegitimasjon;
- prosessintegritetsnivå;
- Brukernavn;
- datamaskin navn;
- OS-versjon;
- ekstra installerte moduler;
- installert antivirusprogram;
- liste over smartkortlesere.
4.4.2 Eksternt banksystem
Et typisk trojansk mål er et eksternt banksystem, og RTM er intet unntak. En av programmets moduler heter TBdo, som utfører ulike oppgaver, inkludert skanne disker og nettleserhistorikk.
Ved å skanne disken sjekker trojaneren om bankprogramvare er installert på maskinen. Den fullstendige listen over målprogrammer er i tabellen nedenfor. Etter å ha oppdaget en fil av interesse, sender programmet informasjon til kommandoserveren. De neste handlingene avhenger av logikken spesifisert av kommandosenterets (C&C) algoritmer.
RTM ser også etter URL-mønstre i nettleserloggen og åpne faner. I tillegg undersøker programmet bruken av funksjonene FindNextUrlCacheEntryA og FindFirstUrlCacheEntryA, og sjekker også hver oppføring for å matche URL-en til ett av følgende mønstre:
Etter å ha oppdaget åpne faner, kontakter trojaneren Internet Explorer eller Firefox gjennom Dynamic Data Exchange (DDE)-mekanismen for å sjekke om fanen samsvarer med mønsteret.
Kontroll av nettleserhistorikken og åpne faner utføres i en WHILE-løkke (en løkke med en forutsetning) med 1 sekunds pause mellom kontrollene. Andre data som overvåkes i sanntid vil bli omtalt i avsnitt 4.5.
Hvis et mønster blir funnet, rapporterer programmet dette til kommandoserveren ved å bruke en liste med strenger fra følgende tabell:
4.5 Overvåking
Mens trojaneren kjører, sendes informasjon om de karakteristiske egenskapene til det infiserte systemet (inkludert informasjon om tilstedeværelsen av bankprogramvare) til kommando- og kontrollserveren. Fingeravtrykk oppstår når RTM først kjører overvåkingssystemet umiddelbart etter den første OS-skanningen.
4.5.1. Ekstern banktjenester
TBdo-modulen er også ansvarlig for å overvåke bankrelaterte prosesser. Den bruker dynamisk datautveksling for å sjekke faner i Firefox og Internet Explorer under den første skanningen. En annen TShell-modul brukes til å overvåke kommandovinduer (Internet Explorer eller File Explorer).
Modulen bruker COM-grensesnittene IShellWindows, iWebBrowser, DWebBrowserEvents2 og IConnectionPointContainer for å overvåke vinduer. Når en bruker navigerer til en ny nettside, merker skadelig programvare dette. Den sammenligner deretter nettadressen til siden med mønstrene ovenfor. Etter å ha oppdaget en kamp, tar trojaneren seks påfølgende skjermbilder med et intervall på 5 sekunder og sender dem til C&S-kommandoserveren. Programmet sjekker også noen vindusnavn relatert til bankprogramvare - hele listen er nedenfor:
4.5.2. Smart kort
RTM lar deg overvåke smartkortlesere koblet til infiserte datamaskiner. Disse enhetene brukes i enkelte land for å avstemme betalingsordrer. Hvis denne typen enhet er koblet til en datamaskin, kan det indikere for en trojaner at maskinen brukes til banktransaksjoner.
I motsetning til andre banktrojanere, kan ikke RTM samhandle med slike smartkort. Kanskje denne funksjonaliteten er inkludert i en tilleggsmodul som vi ikke har sett ennå.
4.5.3. Keylogger
En viktig del av overvåking av en infisert PC er å fange opp tastetrykk. Det ser ut til at RTM-utviklerne ikke mangler informasjon, siden de overvåker ikke bare vanlige nøkler, men også det virtuelle tastaturet og utklippstavlen.
For å gjøre dette, bruk SetWindowsHookExA-funksjonen. Angripere logger tastene som er trykket eller tastene som tilsvarer det virtuelle tastaturet, sammen med navnet og datoen for programmet. Bufferen sendes deretter til C&C-kommandoserveren.
SetClipboardViewer-funksjonen brukes til å avskjære utklippstavlen. Hackere logger innholdet på utklippstavlen når dataene er tekst. Navnet og datoen logges også før bufferen sendes til serveren.
4.5.4. Skjermbilder
En annen RTM-funksjon er avskjæring av skjermbilder. Funksjonen brukes når vindusovervåkingsmodulen oppdager et nettsted eller bankprogramvare av interesse. Skjermbilder tas ved hjelp av et bibliotek med grafiske bilder og overføres til kommandoserveren.
4.6. Avinstallering
C&C-serveren kan stoppe skadelig programvare fra å kjøre og rense datamaskinen din. Kommandoen lar deg slette filer og registeroppføringer som er opprettet mens RTM kjører. DLL-en brukes deretter til å fjerne skadelig programvare og winlogon-filen, hvoretter kommandoen slår av datamaskinen. Som vist på bildet nedenfor, fjernes DLL-filen av utviklere som bruker erase.dll.
Serveren kan sende trojaneren en destruktiv avinstallerings-lås-kommando. I dette tilfellet, hvis du har administratorrettigheter, vil RTM slette MBR-oppstartssektoren på harddisken. Hvis dette mislykkes, vil trojaneren prøve å flytte MBR-oppstartssektoren til en tilfeldig sektor - da vil ikke datamaskinen kunne starte opp operativsystemet etter avslutning. Dette kan føre til en fullstendig reinstallasjon av operativsystemet, noe som betyr ødeleggelse av bevis.
Uten administratorrettigheter skriver skadevare en .EXE kodet i den underliggende RTM DLL. Den kjørbare kjører koden som trengs for å slå av datamaskinen og registrerer modulen i registernøkkelen HKCUCurrentVersionRun. Hver gang brukeren starter en økt, slår datamaskinen seg av umiddelbart.
4.7. Konfigurasjonsfilen
Som standard har RTM nesten ingen konfigurasjonsfil, men kommando- og kontrollserveren kan sende konfigurasjonsverdier som vil bli lagret i registeret og brukt av programmet. Listen over konfigurasjonsnøkler er presentert i tabellen nedenfor:
Konfigurasjonen er lagret i Programvare[Pseudo-tilfeldig streng] registernøkkel. Hver verdi tilsvarer en av radene presentert i den forrige tabellen. Verdier og data er kodet ved hjelp av RC4-algoritmen i RTM.
Dataene har samme struktur som et nettverk eller strenger. En fire-byte XOR-nøkkel legges til i begynnelsen av de kodede dataene. For konfigurasjonsverdier er XOR-nøkkelen forskjellig og avhenger av størrelsen på verdien. Det kan beregnes som følger:
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)
4.8. Andre funksjoner
La oss deretter se på andre funksjoner som RTM støtter.
4.8.1. Ekstra moduler
Trojaneren inkluderer tilleggsmoduler, som er DLL-filer. Moduler sendt fra C&C-kommandoserveren kan kjøres som eksterne programmer, reflekteres i RAM og lanseres i nye tråder. For lagring lagres moduler i .dtt-filer og kodes ved hjelp av RC4-algoritmen med samme nøkkel som brukes for nettverkskommunikasjon.
Så langt har vi observert installasjonen av VNC-modulen (8966319882494077C21F66A8354E2CBCA0370464), nettleserdataekstraksjonsmodulen (03DE8622BE6B2F75A364A275995C3411626C4D-modulen 9EF1F) og 2EF1C562D (1EF69F) C6FBA58 B88753BE7D0B3E4CFAB).
For å laste VNC-modulen utsteder C&C-serveren en kommando som ber om tilkoblinger til VNC-serveren på en spesifikk IP-adresse på port 44443. Nettleserens datainnhentingsplugin kjører TBrowserDataCollector, som kan lese IE-nettleserhistorikken. Deretter sender den hele listen over besøkte URL-er til C&C-kommandoserveren.
Den siste modulen som ble oppdaget heter 1c_2_kl. Den kan samhandle med programvarepakken 1C Enterprise. Modulen inkluderer to deler: hoveddelen - DLL og to agenter (32 og 64 bit), som vil bli injisert i hver prosess, som registrerer en binding til WH_CBT. Etter å ha blitt introdusert i 1C-prosessen, binder modulen CreateFile- og WriteFile-funksjonene. Hver gang CreateFile bound-funksjonen kalles, lagrer modulen filbanen 1c_to_kl.txt i minnet. Etter å ha fanget opp WriteFile-kallet, kaller den opp WriteFile-funksjonen og sender filbanen 1c_to_kl.txt til hoved-DLL-modulen, og sender den den utformede Windows WM_COPYDATA-meldingen.
Hoved-DLL-modulen åpner og analyserer filen for å bestemme betalingsordrer. Den gjenkjenner beløpet og transaksjonsnummeret i filen. Denne informasjonen sendes til kommandoserveren. Vi tror denne modulen er under utvikling fordi den inneholder en feilsøkingsmelding og kan ikke automatisk endre 1c_to_kl.txt.
4.8.2. Eskalering av privilegier
RTM kan forsøke å eskalere privilegier ved å vise falske feilmeldinger. Skadevaren simulerer en registersjekk (se bildet nedenfor) eller bruker et ekte registerredigeringsikon. Vær oppmerksom på feilstavingen vente – whait. Etter noen sekunders skanning viser programmet en falsk feilmelding.
En falsk melding vil lett lure den gjennomsnittlige brukeren, til tross for grammatiske feil. Hvis brukeren klikker på en av de to koblingene, vil RTM forsøke å eskalere sine privilegier i systemet.
Etter å ha valgt ett av to gjenopprettingsalternativer, starter trojaneren DLL-en ved å bruke alternativet runas i ShellExecute-funksjonen med administratorrettigheter. Brukeren vil se en ekte Windows-forespørsel (se bildet nedenfor) for høyde. Hvis brukeren gir de nødvendige tillatelsene, vil trojaneren kjøre med administratorrettigheter.
Avhengig av standardspråket som er installert på systemet, viser trojaneren feilmeldinger på russisk eller engelsk.
4.8.3. Sertifikat
RTM kan legge til sertifikater til Windows Store og bekrefte påliteligheten til tillegget ved automatisk å klikke på "ja"-knappen i csrss.exe-dialogboksen. Denne oppførselen er ikke ny; for eksempel bekrefter banktrojaneren Retefe uavhengig installasjonen av et nytt sertifikat.
4.8.4. Omvendt tilkobling
RTM-forfatterne opprettet også Backconnect TCP-tunnelen. Vi har ikke sett funksjonen i bruk ennå, men den er designet for å fjernovervåke infiserte PC-er.
4.8.5. Vertsfilbehandling
C&C-serveren kan sende en kommando til trojaneren for å endre Windows-vertsfilen. Vertsfilen brukes til å lage egendefinerte DNS-oppløsninger.
4.8.6. Finn og send en fil
Serveren kan be om å søke og laste ned en fil på det infiserte systemet. For eksempel, under undersøkelsen mottok vi en forespørsel om filen 1c_to_kl.txt. Som tidligere beskrevet er denne filen generert av regnskapssystemet 1C: Enterprise 8.
4.8.7. Oppdatering
Til slutt kan RTM-forfattere oppdatere programvaren ved å sende inn en ny DLL for å erstatte den gjeldende versjonen.
5. Konklusjon
RTMs undersøkelser viser at det russiske banksystemet fortsatt tiltrekker seg cyberangripere. Grupper som Buhtrap, Corkow og Carbanak stjeler med hell penger fra finansinstitusjoner og deres kunder i Russland. RTM er en ny aktør i denne bransjen.
Ondsinnede RTM-verktøy har vært i bruk siden minst slutten av 2015, ifølge ESET telemetri. Programmet har et komplett utvalg av spioneringsmuligheter, inkludert lesing av smartkort, avskjæring av tastetrykk og overvåking av banktransaksjoner, samt søk etter 1C: Enterprise 8-transportfiler.
Bruken av et desentralisert, usensurert .bit-toppnivådomene sikrer svært robust infrastruktur.
Kilde: www.habr.com