Istnieje kilka znanych grup cybernetycznych specjalizujących się w kradzieży środków od rosyjskich firm. Widzieliśmy ataki wykorzystujące luki w zabezpieczeniach, które umożliwiały dostęp do sieci celu. Po uzyskaniu dostępu napastnicy badają strukturę sieci organizacji i wdrażają własne narzędzia w celu kradzieży środków. Klasycznym przykładem tego trendu są grupy hakerskie Buhtrap, Cobalt i Corkow.
Grupa RTM, na której skupia się niniejszy raport, wpisuje się w ten trend. Wykorzystuje specjalnie zaprojektowane złośliwe oprogramowanie napisane w Delphi, któremu przyjrzymy się bardziej szczegółowo w kolejnych sekcjach. Pierwsze ślady tych narzędzi w systemie telemetrycznym ESET odkryto pod koniec 2015 roku. W razie potrzeby zespół ładuje różne nowe moduły do zainfekowanych systemów. Celem ataków są użytkownicy zdalnych systemów bankowych w Rosji i niektórych krajach sąsiednich.
1. Cele
Kampania RTM skierowana jest do użytkowników korporacyjnych – jasno wynika z procesów, które napastnicy próbują wykryć w zaatakowanym systemie. Koncentrujemy się na oprogramowaniu księgowym do pracy ze zdalnymi systemami bankowymi.
Lista procesów interesujących RTM przypomina odpowiednią listę grupy Buhtrap, ale grupy te mają różne wektory infekcji. Jeśli Buhtrap częściej korzystał z fałszywych stron, wówczas RTM stosował ataki typu „drive-by download” (ataki na przeglądarkę lub jej komponenty) i spamowanie pocztą elektroniczną. Według danych telemetrycznych zagrożenie wymierzone jest w Rosję i kilka pobliskich krajów (Ukraina, Kazachstan, Czechy, Niemcy). Jednak ze względu na wykorzystanie mechanizmów dystrybucji masowej wykrycie szkodliwego oprogramowania poza regionami docelowymi nie jest zaskakujące.
Całkowita liczba wykrytych szkodliwych programów jest stosunkowo niewielka. Z drugiej strony kampania RTM wykorzystuje złożone programy, co wskazuje, że ataki są wysoce ukierunkowane.
Odkryliśmy kilka fałszywych dokumentów używanych przez RTM, w tym nieistniejące umowy, faktury lub dokumenty księgowe dotyczące podatków. Charakter przynęt w połączeniu z rodzajem oprogramowania będącego celem ataku wskazuje, że napastnicy „wkraczają” do sieci rosyjskich firm za pośrednictwem działu księgowości. Grupa działała według tego samego schematu w latach 2014-2015
Podczas badań udało nam się wejść w interakcję z kilkoma serwerami C&C. Pełną listę poleceń wymienimy w kolejnych sekcjach, ale na razie możemy powiedzieć, że klient przesyła dane z keyloggera bezpośrednio do atakującego serwera, z którego następnie otrzymuje dodatkowe polecenia.
Jednak czasy, kiedy można było po prostu połączyć się z serwerem dowodzenia i kontroli i zebrać wszystkie interesujące nas dane, minęły. Odtworzyliśmy realistyczne pliki dziennika, aby uzyskać odpowiednie polecenia z serwera.
Pierwsza z nich to żądanie do bota o przesłanie pliku 1c_to_kl.txt - pliku transportowego programu 1C: Enterprise 8, którego pojawienie się jest aktywnie monitorowane przez RTM. 1C współdziała ze zdalnymi systemami bankowymi, przesyłając dane o płatnościach wychodzących do pliku tekstowego. Następnie plik wysyłany jest do zdalnego systemu bankowego w celu automatyzacji i realizacji zlecenia płatniczego.
Plik zawiera szczegóły płatności. Jeżeli atakujący zmienią informacje o płatnościach wychodzących, przelew zostanie wysłany z fałszywymi danymi na konta atakujących.
Około miesiąc po zażądaniu tych plików z serwera dowodzenia i kontroli zaobserwowaliśmy, że do zaatakowanego systemu ładowana jest nowa wtyczka 1c_2_kl.dll. Moduł (DLL) przeznaczony jest do automatycznej analizy pobieranego pliku poprzez penetrację procesów oprogramowania księgowego. Opiszemy to szczegółowo w kolejnych rozdziałach.
Co ciekawe, FinCERT Banku Rosji pod koniec 2016 roku wydał biuletyn ostrzegający przed cyberprzestępcami wykorzystującymi pliki do przesyłania w formacie 1c_to_kl.txt. Programiści z 1C również wiedzą o tym schemacie, wydali już oficjalne oświadczenie i wymienili środki ostrożności.
Z serwera dowodzenia ładowano także inne moduły, w szczególności VNC (jego wersje 32 i 64-bitowe). Przypomina moduł VNC, który był wcześniej używany w atakach trojana Dridex. Moduł ten rzekomo służy do zdalnego łączenia się z zainfekowanym komputerem i przeprowadzania szczegółowego badania systemu. Następnie napastnicy próbują poruszać się po sieci, wydobywając hasła użytkowników, zbierając informacje i zapewniając stałą obecność złośliwego oprogramowania.
2. Wektory infekcji
Poniższy rysunek przedstawia wektory infekcji wykryte w okresie badania kampanii. Grupa wykorzystuje szeroką gamę wektorów, ale głównie ataki typu drive-by download i spam. Narzędzia te są wygodne w przypadku ataków ukierunkowanych, ponieważ w pierwszym przypadku napastnicy mogą wybrać witryny odwiedzane przez potencjalne ofiary, a w drugim mogą wysłać wiadomość e-mail z załącznikami bezpośrednio do wybranych pracowników firmy.
Szkodnik jest dystrybuowany za pośrednictwem wielu kanałów, w tym zestawów exploitów RIG i Sundown lub wiadomości spamowych, co wskazuje na powiązania między atakującymi a innymi cyberatakami oferującymi takie usługi.
2.1. W jaki sposób RTM i Buhtrap są ze sobą powiązane?
Kampania RTM jest bardzo podobna do kampanii Buhtrap. Naturalnym pytaniem jest: w jaki sposób są one ze sobą powiązane?
We wrześniu 2016 r. zaobserwowaliśmy dystrybucję próbki RTM za pomocą narzędzia do przesyłania Buhtrap. Dodatkowo znaleźliśmy dwa certyfikaty cyfrowe używane zarówno w Buhtrap, jak i RTM.
Pierwszy, rzekomo wystawiony na firmę DNISTER-M, posłużył do cyfrowego podpisania drugiego formularza Delphi (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) i biblioteki Buhtrap DLL (SHA-1: 1E2642B454A2C889B6D41116CCDBA83F6F2D4890 XNUMX).
Drugi, wydany dla Bit-Tredj, służył do podpisywania ładowarek Buhtrap (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 i B74F71560E48488D2153AE2FB51207A0AC206E2B), a także pobierania i instalowania komponentów RTM.
Operatorzy RTM korzystają z certyfikatów wspólnych dla innych rodzin szkodliwego oprogramowania, ale posiadają również unikalny certyfikat. Według telemetrii ESET został on wydany dla Kit-SD i został użyty jedynie do podpisania niektórych złośliwych programów RTM (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM korzysta z tego samego modułu ładującego co Buhtrap, komponenty RTM są ładowane z infrastruktury Buhtrap, więc grupy mają podobne wskaźniki sieciowe. Jednak według naszych szacunków RTM i Buhtrap to różne grupy, przynajmniej dlatego, że RTM jest dystrybuowany na różne sposoby (nie tylko przy użyciu „zagranicznego” downloadera).
Mimo to grupy hakerskie stosują podobne zasady działania. Ich celem są firmy korzystające z oprogramowania księgowego, w podobny sposób gromadzące informacje o systemie, wyszukujące czytniki kart inteligentnych i wdrażające szereg złośliwych narzędzi w celu szpiegowania ofiar.
3. Ewolucja
W tej sekcji przyjrzymy się różnym wersjom złośliwego oprogramowania wykrytym podczas badania.
3.1. Wersjonowanie
RTM przechowuje dane konfiguracyjne w sekcji rejestru, przy czym najciekawszą częścią jest prefiks botnetu. Listę wszystkich wartości, które zaobserwowaliśmy w badanych przez nas próbkach, przedstawia poniższa tabela.
Możliwe, że wartości te zostaną wykorzystane do zarejestrowania wersji złośliwego oprogramowania. Nie zauważyliśmy jednak dużej różnicy pomiędzy wersjami takimi jak bit2 i bit3, 0.1.6.4 i 0.1.6.6. Co więcej, jeden z prefiksów istnieje od samego początku i ewoluował z typowej domeny C&C do domeny .bit, jak zostanie pokazane poniżej.
3.2. Harmonogram
Wykorzystując dane telemetryczne stworzyliśmy wykres występowania próbek.
4. Analiza techniczna
W tej sekcji opiszemy główne funkcje trojana bankowego RTM, w tym mechanizmy odporności, jego własną wersję algorytmu RC4, protokół sieciowy, funkcjonalność szpiegowską i kilka innych funkcji. W szczególności skupimy się na próbkach SHA-1 AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 i 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. Instalacja i zapisywanie
4.1.1. Wdrożenie
Rdzeniem RTM jest biblioteka DLL, biblioteka ładowana jest na dysk za pomocą pliku .EXE. Plik wykonywalny jest zwykle spakowany i zawiera kod DLL. Po uruchomieniu wyodrębnia bibliotekę DLL i uruchamia ją za pomocą następującego polecenia:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. Biblioteka DLL
Główna biblioteka DLL jest zawsze ładowana na dysk jako winlogon.lnk w folderze %PROGRAMDATA%Winlogon. To rozszerzenie pliku jest zwykle powiązane ze skrótem, ale w rzeczywistości plik jest biblioteką DLL napisaną w Delphi i nazwaną przez programistę core.dll, jak pokazano na obrazku poniżej.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Po uruchomieniu trojan aktywuje swój mechanizm odpornościowy. Można tego dokonać na dwa różne sposoby, w zależności od uprawnień ofiary w systemie. Jeśli masz uprawnienia administratora, trojan dodaje wpis Windows Update do rejestru HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun. Polecenia zawarte w witrynie Windows Update zostaną uruchomione na początku sesji użytkownika.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe „%PROGRAMDATA%winlogon.lnk”, host DllGetClassObject
Trojan próbuje także dodać zadanie do Harmonogramu zadań systemu Windows. Zadanie uruchomi bibliotekę DLL winlogon.lnk z takimi samymi parametrami jak powyżej. Zwykłe uprawnienia użytkownika umożliwiają trojanowi dodanie wpisu Windows Update zawierającego te same dane do rejestru HKCUSoftwareMicrosoftWindowsCurrentVersionRun:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Zmodyfikowany algorytm RC4
Pomimo znanych niedociągnięć, algorytm RC4 jest regularnie używany przez autorów szkodliwego oprogramowania. Jednak twórcy RTM nieco go zmodyfikowali, prawdopodobnie po to, aby utrudnić zadanie analitykom wirusów. Zmodyfikowana wersja RC4 jest szeroko stosowana w złośliwych narzędziach RTM do szyfrowania ciągów znaków, danych sieciowych, konfiguracji i modułów.
4.2.1. Różnice
Oryginalny algorytm RC4 składa się z dwóch etapów: inicjalizacji bloku s (aka KSA - Key-Scheduling Algorithm) i generowania sekwencji pseudolosowej (PRGA - algorytm generacji pseudolosowej). Pierwszy etap polega na inicjalizacji s-boxa za pomocą klucza, w drugim etapie tekst źródłowy jest przetwarzany za pomocą s-boxa w celu zaszyfrowania.
Autorzy RTM dodali etap pośredni pomiędzy inicjalizacją s-box a szyfrowaniem. Klucz dodatkowy jest zmienny i ustalany w tym samym momencie, w którym dane mają być szyfrowane i deszyfrowane. Funkcję wykonującą ten dodatkowy krok pokazano na poniższym rysunku.
4.2.2. Szyfrowanie ciągów
Na pierwszy rzut oka w głównej bibliotece DLL znajduje się kilka czytelnych linii. Reszta jest szyfrowana przy użyciu algorytmu opisanego powyżej, którego strukturę pokazano na poniższym rysunku. W analizowanych próbkach znaleźliśmy ponad 25 różnych kluczy RC4 do szyfrowania ciągów znaków. Klucz XOR jest inny dla każdego wiersza. Wartość pola numerycznego oddzielającego linie wynosi zawsze 0xFFFFFFFF.
Na początku wykonywania RTM odszyfrowuje ciągi znaków i przekształca je w zmienną globalną. Jeśli jest to konieczne, aby uzyskać dostęp do ciągu znaków, trojan dynamicznie oblicza adres odszyfrowanych ciągów znaków na podstawie adresu podstawowego i przesunięcia.
Ciągi zawierają interesujące informacje na temat funkcji szkodliwego oprogramowania. Niektóre przykładowe ciągi znaków podano w sekcji 6.8.
4.3. Sieć
Sposób, w jaki złośliwe oprogramowanie RTM kontaktuje się z serwerem C&C, różni się w zależności od wersji. Pierwsze modyfikacje (październik 2015 – kwiecień 2016) wykorzystywały tradycyjne nazwy domen wraz z kanałem RSS na livejournal.com w celu aktualizacji listy poleceń.
Od kwietnia 2016 r. w danych telemetrycznych obserwujemy przejście na domeny .bit. Potwierdza to data rejestracji domeny – pierwsza domena RTM fde05d0573da.bit została zarejestrowana 13 marca 2016 roku.
Wszystkie adresy URL, które zaobserwowaliśmy podczas monitorowania kampanii, miały wspólną ścieżkę: /r/z.php. Jest to dość nietypowe i pomoże zidentyfikować żądania RTM w przepływach sieciowych.
4.3.1. Kanał poleceń i kontroli
Starsze przykłady wykorzystywały ten kanał do aktualizacji listy serwerów dowodzenia i kontroli. Hosting znajduje się pod adresem livejournal.com, w momencie pisania raportu pozostawał pod adresem URL hxxp://f72bba81c921(.)livejournal(.)com/data/rss.
Livejournal to rosyjsko-amerykańska firma udostępniająca platformę blogową. Operatorzy RTM tworzą blog LJ, na którym zamieszczają artykuł z zakodowanymi poleceniami - patrz zrzut ekranu.
Linie poleceń i kontroli kodowane są przy użyciu zmodyfikowanego algorytmu RC4 (punkt 4.2). Aktualna wersja (listopad 2016) kanału zawiera następujące adresy serwerów dowodzenia i kontroli:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. domeny .bitowe
W najnowszych przykładach RTM autorzy łączą się z domenami C&C przy użyciu domeny najwyższego poziomu .bit TLD. Nie ma jej na liście domen najwyższego poziomu ICANN (Domain Name and Internet Corporation). Zamiast tego korzysta z systemu Namecoin, który jest zbudowany na bazie technologii Bitcoin. Autorzy złośliwego oprogramowania rzadko używają domeny TLD .bit w swoich domenach, chociaż przykład takiego użycia zaobserwowano wcześniej w wersji botnetu Necurs.
W przeciwieństwie do Bitcoina, użytkownicy rozproszonej bazy danych Namecoin mają możliwość zapisywania danych. Głównym zastosowaniem tej funkcji jest domena najwyższego poziomu .bit. Możesz zarejestrować domeny, które będą przechowywane w rozproszonej bazie danych. Odpowiednie wpisy w bazie danych zawierają adresy IP rozpoznawane przez domenę. Ta TLD jest „odporna na cenzurę”, ponieważ tylko rejestrujący może zmienić rozdzielczość domeny .bit. Oznacza to, że znacznie trudniej jest zatrzymać złośliwą domenę przy użyciu tego typu domeny TLD.
Trojan RTM nie zawiera oprogramowania niezbędnego do odczytu rozproszonej bazy danych Namecoin. Wykorzystuje centralne serwery DNS, takie jak dns.dot-bit.org lub serwery OpenNic do rozpoznawania domen .bit. Dlatego ma taką samą trwałość jak serwery DNS. Zaobserwowaliśmy, że niektóre domeny zespołu nie były już wykrywane po wzmiance o nich w poście na blogu.
Kolejną zaletą domeny TLD .bit dla hakerów jest koszt. Aby zarejestrować domenę, operatorzy muszą zapłacić tylko 0,01 NK, co odpowiada 0,00185 USD (stan na 5 grudnia 2016 r.). Dla porównania domena.com kosztuje co najmniej 10 dolarów.
4.3.3. Protokół
Aby komunikować się z serwerem dowodzenia i kontroli, RTM wykorzystuje żądania HTTP POST z danymi sformatowanymi przy użyciu niestandardowego protokołu. Wartość ścieżki to zawsze /r/z.php; Agent użytkownika Mozilla/5.0 (kompatybilny; MSIE 9.0; Windows NT 6.1; Trident/5.0). W żądaniach do serwera dane są formatowane w następujący sposób, gdzie wartości przesunięcia wyrażone są w bajtach:
Bajty od 0 do 6 nie są kodowane; bajty począwszy od 6 są kodowane przy użyciu zmodyfikowanego algorytmu RC4. Struktura pakietu odpowiedzi C&C jest prostsza. Bajty są kodowane od 4 do rozmiaru pakietu.
Listę możliwych wartości bajtów akcji przedstawia poniższa tabela:
Szkodnik zawsze oblicza CRC32 odszyfrowanych danych i porównuje je z zawartością pakietu. Jeżeli są różne, trojan odrzuca pakiet.
Dodatkowe dane mogą zawierać różne obiekty, w tym plik PE, plik do przeszukania w systemie plików lub nowe adresy URL poleceń.
4.3.4. Płyta
Zauważyliśmy, że RTM korzysta z panelu na serwerach C&C. Zrzut ekranu poniżej:
4.4. Charakterystyczny znak
RTM to typowy trojan bankowy. Nic dziwnego, że operatorzy chcą informacji o systemie ofiary. Z jednej strony bot zbiera ogólne informacje o systemie operacyjnym. Z drugiej strony sprawdza, czy zaatakowany system zawiera atrybuty powiązane z rosyjskimi systemami bankowości zdalnej.
4.4.1. Informacje ogólne
Kiedy po ponownym uruchomieniu zostanie zainstalowane lub uruchomione złośliwe oprogramowanie, do serwera dowodzenia i kontroli wysyłany jest raport zawierający ogólne informacje, w tym:
- Strefa czasowa;
- domyślny język systemu;
- dane uwierzytelniające autoryzowanego użytkownika;
- poziom integralności procesu;
- Nazwa użytkownika;
- Nazwa komputera;
- wersja systemu operacyjnego;
- dodatkowe zainstalowane moduły;
- zainstalowany program antywirusowy;
- lista czytników kart inteligentnych.
4.4.2 System bankowości zdalnej
Typowym celem trojana jest zdalny system bankowy, a RTM nie jest wyjątkiem. Jeden z modułów programu nosi nazwę TBdo i wykonuje różne zadania, w tym skanowanie dysków i historię przeglądania.
Skanując dysk, trojan sprawdza, czy na komputerze jest zainstalowane oprogramowanie bankowe. Pełna lista programów docelowych znajduje się w poniższej tabeli. Po wykryciu interesującego pliku program wysyła informację do serwera poleceń. Dalsze działania zależą od logiki określonej przez algorytmy centrum dowodzenia (C&C).
RTM wyszukuje także wzorce adresów URL w historii przeglądarki i otwartych kartach. Dodatkowo program sprawdza użycie funkcji FindNextUrlCacheEntryA i FindFirstUrlCacheEntryA, a także sprawdza każdy wpis pod kątem dopasowania adresu URL do jednego z poniższych wzorców:
Po wykryciu otwartych kart trojan kontaktuje się z przeglądarką Internet Explorer lub Firefox za pośrednictwem mechanizmu dynamicznej wymiany danych (DDE) w celu sprawdzenia, czy dana karta pasuje do wzorca.
Sprawdzanie historii przeglądania i otwartych kart odbywa się w pętli WHILE (pętla z warunkiem wstępnym) z 1-sekundową przerwą pomiędzy sprawdzeniami. Pozostałe dane monitorowane w czasie rzeczywistym zostaną omówione w rozdziale 4.5.
Jeśli zostanie znaleziony wzorzec, program zgłasza to serwerowi poleceń, korzystając z listy ciągów znaków z poniższej tabeli:
4.5 Monitorowanie
Podczas działania trojana informacje o charakterystycznych cechach zainfekowanego systemu (w tym informacje o obecności oprogramowania bankowego) są wysyłane do serwera dowodzenia i kontroli. Pobieranie odcisków palców ma miejsce, gdy RTM po raz pierwszy uruchamia system monitorowania zaraz po wstępnym skanowaniu systemu operacyjnego.
4.5.1. Bankowość zdalna
Moduł TBdo odpowiada także za monitorowanie procesów okołobankowych. Wykorzystuje dynamiczną wymianę danych do sprawdzania kart w przeglądarce Firefox i Internet Explorer podczas wstępnego skanowania. Kolejny moduł TShell służy do monitorowania okien poleceń (Internet Explorer lub Eksplorator plików).
Moduł wykorzystuje interfejsy COM IShellWindows, iWebBrowser, DWebBrowserEvents2 i IConnectionPointContainer do monitorowania okien. Gdy użytkownik przejdzie do nowej strony internetowej, szkodliwe oprogramowanie odnotowuje to. Następnie porównuje adres URL strony z powyższymi wzorcami. Po wykryciu dopasowania trojan wykonuje sześć kolejnych zrzutów ekranu w odstępie 5 sekund i wysyła je do serwera dowodzenia C&S. Program sprawdza także niektóre nazwy okien związane z oprogramowaniem bankowym - pełna lista znajduje się poniżej:
4.5.2. Karta inteligentna
RTM umożliwia monitorowanie czytników kart inteligentnych podłączonych do zainfekowanych komputerów. Urządzenia te są używane w niektórych krajach do uzgadniania zleceń płatniczych. Jeśli tego typu urządzenie jest podłączone do komputera, może to oznaczać dla trojana, że urządzenie jest wykorzystywane do transakcji bankowych.
W przeciwieństwie do innych trojanów bankowych, RTM nie może wchodzić w interakcje z takimi kartami inteligentnymi. Być może ta funkcjonalność jest zawarta w dodatkowym module, którego jeszcze nie widzieliśmy.
4.5.3. Keylogger
Ważną częścią monitorowania zainfekowanego komputera jest przechwytywanie naciśnięć klawiszy. Wygląda na to, że twórcom RTM nie brakuje żadnych informacji, ponieważ monitorują nie tylko zwykłe klawisze, ale także wirtualną klawiaturę i schowek.
Aby to zrobić, użyj funkcji SetWindowsHookExA. Atakujący rejestrują naciśnięte klawisze lub klawisze odpowiadające klawiaturze wirtualnej wraz z nazwą i datą programu. Bufor jest następnie wysyłany do serwera dowodzenia C&C.
Do przechwytywania schowka służy funkcja SetClipboardViewer. Hakerzy rejestrują zawartość schowka, gdy dane są tekstem. Nazwa i data są również rejestrowane przed wysłaniem buforu na serwer.
4.5.4. Zrzuty ekranu
Kolejną funkcją RTM jest przechwytywanie zrzutów ekranu. Funkcja jest stosowana, gdy moduł monitorowania okien wykryje interesującą nas witrynę lub oprogramowanie bankowe. Zrzuty ekranu są wykonywane przy użyciu biblioteki obrazów graficznych i przesyłane do serwera dowodzenia.
4.6. Dezinstalacja
Serwer C&C może zatrzymać działanie złośliwego oprogramowania i oczyścić komputer. Polecenie pozwala wyczyścić pliki i wpisy rejestru utworzone podczas działania RTM. Biblioteka DLL jest następnie wykorzystywana do usuwania złośliwego oprogramowania i pliku winlogon, po czym polecenie powoduje zamknięcie komputera. Jak pokazano na obrazku poniżej, biblioteka DLL jest usuwana przez programistów za pomocą narzędzia erase.dll.
Serwer może wysłać trojanowi destrukcyjne polecenie blokady dezinstalacji. W takim przypadku, jeśli masz uprawnienia administratora, RTM usunie sektor rozruchowy MBR z dysku twardego. Jeśli to się nie powiedzie, trojan spróbuje przenieść sektor rozruchowy MBR do losowego sektora - wtedy komputer nie będzie mógł uruchomić systemu operacyjnego po wyłączeniu. Może to doprowadzić do całkowitej ponownej instalacji systemu operacyjnego, co oznacza zniszczenie dowodów.
Bez uprawnień administratora szkodliwe oprogramowanie zapisuje plik .EXE zakodowany w podstawowej bibliotece DLL RTM. Plik wykonywalny wykonuje kod niezbędny do wyłączenia komputera i rejestruje moduł w kluczu rejestru HKCUCurrentVersionRun. Za każdym razem, gdy użytkownik rozpoczyna sesję, komputer natychmiast się wyłącza.
4.7. Plik konfiguracyjny
Domyślnie RTM prawie nie ma pliku konfiguracyjnego, ale serwer dowodzenia i kontroli może wysyłać wartości konfiguracyjne, które będą przechowywane w rejestrze i wykorzystywane przez program. Listę kluczy konfiguracyjnych prezentuje poniższa tabela:
Konfiguracja jest przechowywana w kluczu rejestru Software[Pseudo-random string]. Każda wartość odpowiada jednemu z wierszy przedstawionych w poprzedniej tabeli. Wartości i dane kodowane są przy użyciu algorytmu RC4 w RTM.
Dane mają taką samą strukturę jak sieć lub ciągi znaków. Na początku zakodowanych danych dodawany jest czterobajtowy klucz XOR. W przypadku wartości konfiguracyjnych klucz XOR jest inny i zależy od rozmiaru wartości. Można to obliczyć w następujący sposób:
xor_key = (len(wartość_konfiguracyjna) << 24) | (len(wartość_konfiguracyjna) << 16)
| len(wartość_konfiguracyjna)| (len(wartość_konfiguracyjna) << 8)
4.8. Inne funkcje
Następnie przyjrzyjmy się innym funkcjom obsługiwanym przez RTM.
4.8.1. Dodatkowe moduły
Trojan zawiera dodatkowe moduły, które są plikami DLL. Moduły wysyłane z serwera dowodzenia C&C mogą być uruchamiane jako programy zewnętrzne, odbijane w pamięci RAM i uruchamiane w nowych wątkach. Do przechowywania moduły są zapisywane w plikach .dtt i kodowane przy użyciu algorytmu RC4 z tym samym kluczem używanym do komunikacji sieciowej.
Do tej pory zaobserwowaliśmy instalację modułu VNC (8966319882494077C21F66A8354E2CBCA0370464), modułu ekstrakcji danych przeglądarki (03DE8622BE6B2F75A364A275995C3411626C4D9F) oraz modułu 1c_2_kl (B1EE562E1F69EFC 6FBA58 B88753BE7D0B3E4CFAB).
Aby załadować moduł VNC, serwer C&C wydaje polecenie żądające połączenia z serwerem VNC pod określonym adresem IP na porcie 44443. Wtyczka pobierania danych przeglądarki uruchamia TBrowserDataCollector, który może odczytać historię przeglądania IE. Następnie wysyła pełną listę odwiedzanych adresów URL do serwera dowodzenia C&C.
Ostatni odkryty moduł nazywa się 1c_2_kl. Może wchodzić w interakcję z pakietem oprogramowania 1C Enterprise. Moduł składa się z dwóch części: części głównej - DLL oraz dwóch agentów (32 i 64 bitowych), którzy zostaną wstrzyknięci do każdego procesu, rejestrując powiązanie z WH_CBT. Po wprowadzeniu do procesu 1C moduł wiąże funkcje CreateFile i WriteFile. Za każdym razem, gdy wywoływana jest funkcja powiązana z CreateFile, moduł przechowuje w pamięci ścieżkę pliku 1c_to_kl.txt. Po przechwyceniu wywołania WriteFile wywołuje funkcję WriteFile i wysyła ścieżkę pliku 1c_to_kl.txt do głównego modułu DLL, przekazując mu spreparowany komunikat Windows WM_COPYDATA.
Główny moduł DLL otwiera i analizuje plik w celu ustalenia zleceń płatniczych. Rozpoznaje kwotę i numer transakcji zawartej w pliku. Informacje te są przesyłane do serwera dowodzenia. Uważamy, że ten moduł jest obecnie w fazie rozwoju, ponieważ zawiera komunikat debugowania i nie może automatycznie modyfikować pliku 1c_to_kl.txt.
4.8.2. Eskalacja przywilejów
RTM może próbować eskalować uprawnienia, wyświetlając fałszywe komunikaty o błędach. Szkodnik symuluje sprawdzanie rejestru (patrz obrazek poniżej) lub wykorzystuje prawdziwą ikonę edytora rejestru. Proszę zwrócić uwagę na błąd ortograficzny „czekaj – what”. Po kilku sekundach skanowania program wyświetla fałszywy komunikat o błędzie.
Fałszywy komunikat z łatwością zwiedzie przeciętnego użytkownika, pomimo błędów gramatycznych. Jeśli użytkownik kliknie jedno z dwóch łączy, RTM podejmie próbę zwiększenia swoich uprawnień w systemie.
Po wybraniu jednej z dwóch opcji odzyskiwania trojan uruchamia bibliotekę DLL przy użyciu opcji runas w funkcji ShellExecute z uprawnieniami administratora. Użytkownik zobaczy prawdziwy monit systemu Windows (patrz obrazek poniżej) o podanie wysokości. Jeśli użytkownik nada niezbędne uprawnienia, trojan będzie działał z uprawnieniami administratora.
W zależności od domyślnego języka zainstalowanego w systemie trojan wyświetla komunikaty o błędach w języku rosyjskim lub angielskim.
4.8.3. Certyfikat
RTM może dodawać certyfikaty do Sklepu Windows i potwierdzać wiarygodność dodania poprzez automatyczne kliknięcie przycisku „tak” w oknie dialogowym csrss.exe. To zachowanie nie jest niczym nowym, na przykład trojan bankowy Retefe również samodzielnie potwierdza instalację nowego certyfikatu.
4.8.4. Odwrotne połączenie
Autorzy RTM stworzyli także tunel Backconnect TCP. Nie widzieliśmy jeszcze tej funkcji w użyciu, ale ma ona na celu zdalne monitorowanie zainfekowanych komputerów.
4.8.5. Zarządzanie plikami hosta
Serwer C&C może wysłać do trojana polecenie modyfikacji pliku hosta systemu Windows. Plik hosta służy do tworzenia niestandardowych rozdzielczości DNS.
4.8.6. Znajdź i wyślij plik
Serwer może zażądać przeszukania i pobrania pliku w zainfekowanym systemie. Przykładowo w trakcie badania otrzymaliśmy prośbę o plik 1c_to_kl.txt. Jak opisano wcześniej, plik ten jest generowany przez system księgowy 1C: Enterprise 8.
4.8.7. Aktualizacja
Wreszcie autorzy RTM mogą aktualizować oprogramowanie, przesyłając nową bibliotekę DLL, która zastąpi bieżącą wersję.
5. Wniosek
Badania RTM pokazują, że rosyjski system bankowy w dalszym ciągu przyciąga cyberprzestępców. Grupy takie jak Buhtrap, Corkow i Carbanak skutecznie kradną pieniądze od instytucji finansowych i ich klientów w Rosji. RTM to nowy gracz w tej branży.
Według telemetrii ESET złośliwe narzędzia RTM są używane co najmniej od końca 2015 roku. Program posiada pełen zakres możliwości szpiegowskich, w tym odczyt kart inteligentnych, przechwytywanie naciśnięć klawiszy i monitorowanie transakcji bankowych, a także wyszukiwanie plików transportowych 1C: Enterprise 8.
Korzystanie ze zdecentralizowanej, nieocenzurowanej domeny najwyższego poziomu .bit zapewnia wysoce odporną infrastrukturę.
Źródło: www.habr.com