ډیری پیژندل شوي سایبر ګروپونه شتون لري چې د روسیې شرکتونو څخه د پیسو غلا کولو کې تخصص لري. موږ د امنیتي نیمګړتیاوو په کارولو سره بریدونه لیدلي چې د هدف شبکې ته د لاسرسي اجازه ورکوي. یوځل چې دوی لاسرسی ومومي ، برید کونکي د سازمان شبکې جوړښت مطالعه کوي او د فنډونو غلا کولو لپاره خپل وسایل ځای په ځای کوي. د دې رجحان یوه غوره بیلګه د هکرانو ګروپونه بوهتراپ، کوبالټ او کورکو دي.
د RTM ګروپ چې دا راپور تمرکز کوي د دې رجحان برخه ده. دا په ډیلفي کې لیکل شوي ځانګړي ډیزاین شوي مالویر کاروي ، کوم چې موږ به یې په لاندې برخو کې په تفصیل سره وګورو. د ESET ټیلی میټری سیسټم کې د دې وسیلو لومړنۍ نښې د 2015 په پای کې کشف شوې. ټیم د اړتیا سره سم مختلف نوي ماډلونه په اخته شوي سیسټمونو کې باروي. د بریدونو موخه په روسیه او ځینو ګاونډیو هیوادونو کې د لرې پرتو بانکي سیسټمونو کاروونکي دي.
1. موخې
د RTM کمپاین د کارپوریټ کاروونکو په هدف دی - دا د هغه پروسو څخه څرګند دی چې برید کونکي هڅه کوي په جوړ شوي سیسټم کې کشف کړي. تمرکز د لرې پرتو بانکي سیسټمونو سره کار کولو لپاره د محاسبې سافټویر باندې دی.
RTM ته د ګټو پروسو لیست د بوهتراپ ګروپ اړوند لیست سره ورته دی، مګر دا ګروپ مختلف انفیکشن ویکٹرونه لري. که چیرې بوهټرپ ډیری ځله جعلي پا pagesې کاروي ، نو بیا RTM د ډرایو لخوا ډاونلوډ بریدونه (براؤزر یا د هغې برخو باندې بریدونه) او د بریښنالیک له لارې سپیم کول کارولي. د ټیلی میټری د معلوماتو له مخې، د ګواښ موخه روسیه او څو نږدې هیوادونه (اوکرایین، قزاقستان، چک جمهوریت، جرمنی) دی. په هرصورت، د ډله ایزو توزیع میکانیزمونو کارولو له امله، د هدف سیمو څخه بهر د مالویر کشف د حیرانتیا خبره نده.
د مالویر کشفونو ټولټال شمیر نسبتا کوچنی دی. له بلې خوا، د RTM کمپاین پیچلي پروګرامونه کاروي، کوم چې دا په ګوته کوي چې بریدونه خورا په نښه شوي دي.
موږ د RTM لخوا کارول شوي ډیری جعلي اسناد موندلي دي، په شمول غیر موجود قراردادونه، رسیدونه یا د مالیاتو حساب ورکولو اسناد. د لالچونو نوعیت، د برید لخوا په نښه شوي سافټویر ډول سره یوځای، دا په ګوته کوي چې برید کونکي د محاسبې څانګې له لارې د روسیې شرکتونو شبکو ته "ننوځي". ډلې د ورته سکیم سره سم عمل وکړ په 2014-2015 کې
د څیړنې په جریان کې، موږ وکولی شو د څو C&C سرورونو سره اړیکه ونیسو. موږ به په لاندې برخو کې د کمانډونو بشپړ لیست لیست کړو، مګر د اوس لپاره موږ کولی شو ووایو چې پیرودونکي د کیلوګر څخه ډاټا مستقیم برید کونکي سرور ته لیږدوي، له کوم ځای څخه اضافي کمانډونه ترلاسه کیږي.
په هرصورت، هغه ورځې چې تاسو کولی شئ په ساده ډول د قوماندې او کنټرول سرور سره وصل شئ او ټول هغه معلومات راټول کړئ چې تاسو یې لیوالتیا لرئ. موږ د ریښتیني لاګ فایلونه بیا جوړ کړل ترڅو له سرور څخه ځینې اړونده حکمونه ترلاسه کړو.
له دوی څخه لومړی د بوټو څخه غوښتنه ده چې فایل 1c_to_kl.txt انتقال کړي - د 1C د ټرانسپورټ فایل: انټرپریس 8 برنامه ، چې ظاهرا یې په فعاله توګه د RTM لخوا څارل کیږي. 1C د متن فایل ته د وتلو تادیاتو په اړه ډیټا اپلوډ کولو سره د لرې پرتو بانکي سیسټمونو سره اړیکه لري. بیا، فایل د ریموټ بانکداري سیسټم ته د اتوماتیک او د تادیې امر اجرا کولو لپاره لیږل کیږي.
فایل د تادیاتو توضیحات لري. که بریدګر د وتلو تادیاتو په اړه معلومات بدل کړي، لیږد به د برید کونکي حسابونو ته د غلط توضیحاتو په کارولو سره لیږل کیږي.
د کمانډ او کنټرول سرور څخه د دې فایلونو غوښتنه کولو شاوخوا یوه میاشت وروسته، موږ یو نوی پلگ ان ولید، 1c_2_kl.dll، په جوړ شوي سیسټم کې بار شوی. ماډل (DLL) د محاسبې سافټویر پروسو ته د ننوتلو له لارې د ډاونلوډ فایل په اتوماتيک ډول تحلیل کولو لپاره ډیزاین شوی. موږ به یې په لاندې برخو کې په تفصیل سره تشریح کړو.
په زړه پورې خبره دا ده چې د 2016 په پای کې د روسیې بانک FinCERT د 1c_to_kl.txt اپلوډ فایلونو په کارولو سره د سایبر جرمونو په اړه یو خبرداری خپور کړ. د 1C پراختیا کونکي هم د دې سکیم په اړه پوهیږي؛ دوی دمخه رسمي بیان کړی او احتیاطي تدابیر یې لیست کړي دي.
نور ماډلونه هم د کمانډ سرور څخه بار شوي، په ځانګړې توګه VNC (د دې 32 او 64-bit نسخې). دا د VNC ماډل سره ورته دی چې مخکې د Dridex Trojan بریدونو کې کارول شوی و. دا ماډل داسې انګیرل کیږي چې په لیرې توګه د اخته شوي کمپیوټر سره وصل شي او د سیسټم مفصله مطالعه ترسره کړي. بیا ، برید کونکي هڅه کوي د شبکې شاوخوا حرکت وکړي ، د کارونکي پاسورډونه استخراج کړي ، معلومات راټول کړي او د مالویر دوامداره شتون ډاډمن کړي.
2. د انفیکشن ویکتورونه
لاندې شمیره د انفیکشن ویکٹرونه ښیي چې د کمپاین د مطالعې دورې په جریان کې کشف شوي. دا ډله د ویکتورونو پراخه لړۍ کاروي، مګر په عمده توګه د ډرایو لخوا ډاونلوډ بریدونه او سپیم. دا وسایل د هدفي بریدونو لپاره مناسب دي، ځکه چې په لومړي حالت کې، برید کونکي کولی شي هغه سایټونه وټاکي چې د احتمالي قربانیانو لخوا لیدل کیږي، او په دویمه کې، دوی کولی شي په مستقیم ډول د مطلوب شرکت کارمندانو ته د ضمیمو سره بریښنالیک واستوي.
مالویر د ډیری چینلونو له لارې توزیع شوی ، پشمول د RIG او Sundown استحصال کټونه یا سپیم میلینګونه ، د برید کونکو او نورو سایبر برید کونکو ترمینځ اړیکې ښیې چې دا خدمات وړاندې کوي.
2.1. RTM او Buhtrap څنګه تړاو لري؟
د RTM کمپاین د بوهتراپ سره ورته دی. طبیعي پوښتنه دا ده: دوی څنګه یو له بل سره تړاو لري؟
په سپتمبر 2016 کې، موږ ولیدل چې د RTM نمونه د بوهټراپ اپلوډر په کارولو سره ویشل کیږي. برسیره پردې، موږ دوه ډیجیټل سندونه وموندل چې په بوهتراپ او RTM کې کارول کیږي.
لومړی، د ادعا له مخې شرکت DNISTER-M ته صادر شوی، په ډیجیټل ډول د دویم ډیلفي فورمه لاسلیک کولو لپاره کارول شوی و (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) او د بوهتراپ DLL (SHA-1: 1E2642B454BD2BD889A 6).
The second one, issued to Bit-Tredj, was used to sign Buhtrap loaders (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 and B74F71560E48488D2153AE2FB51207A0AC206E2B), as well as download and install RTM components.
د RTM چلونکي هغه سندونه کاروي چې د نورو مالویر کورنیو لپاره عام دي، مګر دوی یو ځانګړی سند هم لري. د ESET ټیلی میټری په وینا، دا Kit-SD ته صادر شوی و او یوازې د ځینې RTM مالویر لاسلیک کولو لپاره کارول کیده (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM د بوهټراپ په څیر ورته لوډر کاروي، د RTM برخې د بوهټراپ زیربنا څخه بار شوي، نو ګروپونه ورته شبکې شاخصونه لري. په هرصورت، زموږ د اټکلونو له مخې، RTM او Buhtrap مختلف ګروپونه دي، لږترلږه ځکه چې RTM په مختلفو لارو ویشل شوي (نه یوازې د "بهرني" ډاونلوډر کارول).
سره له دې، د هیکر ګروپونه ورته عملیاتي اصول کاروي. دوی د محاسبې سافټویر په کارولو سره سوداګرۍ په نښه کوي، په ورته ډول د سیسټم معلومات راټولوي، د سمارټ کارت لوستونکو لټون کوي او د قربانیانو د جاسوسۍ لپاره د ناوړه وسیلو ځای پرځای کوي.
3. ارتقاء
پدې برخه کې به موږ د مطالعې په جریان کې موندل شوي مالویر مختلف نسخې وګورو.
3.1. نسخه کول
RTM د ثبت کولو برخه کې د ترتیب کولو ډاټا ذخیره کوي، ترټولو په زړه پورې برخه د botnet-prefix دی. د ټولو ارزښتونو لیست چې موږ یې په نمونو کې ولیدل چې موږ یې مطالعه کړې په لاندې جدول کې وړاندې کیږي.
دا ممکنه ده چې ارزښتونه د مالویر نسخو ثبتولو لپاره وکارول شي. په هرصورت، موږ د bit2 او bit3، 0.1.6.4 او 0.1.6.6 په څیر د نسخو ترمنځ ډیر توپیر ندی لیدلی. برسېره پر دې، یو مختګ له پیل راهیسې شاوخوا دی او له یو عادي C&C ډومین څخه .bit ډومین ته وده کړې، لکه څنګه چې به لاندې وښودل شي.
3.2. مهالویش
د ټیلی میټری ډیټا په کارولو سره، موږ د نمونو د پیښو ګراف جوړ کړ.
4. تخنیکي تحلیل
پدې برخه کې، موږ به د RTM بانکدارۍ ټروجن اصلي دندې تشریح کړو، په شمول د مقاومت میکانیزمونه، د RC4 الګوریتم خپل نسخه، د شبکې پروتوکول، د جاسوسۍ فعالیت او ځینې نور ځانګړتیاوې. په ځانګړې توګه، موږ به د SHA-1 نمونو AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 او 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B تمرکز وکړو.
4.1. نصب او خوندي کول
4.1.1. تطبیق
د RTM کور یو DLL دی، کتابتون په ډیسک کې د .EXE په کارولو سره بار شوی. د اجرا وړ فایل معمولا بسته شوی او د DLL کوډ لري. یوځل پیل شو ، دا DLL استخراج کوي او د لاندې کمانډ په کارولو سره یې پرمخ وړي:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. DLL
اصلي DLL تل د %PROGRAMDATA%Winlogon فولډر کې د winlogon.lnk په توګه ډیسک ته پورته کیږي. د دې فایل توسیع معمولا د شارټ کټ سره تړاو لري، مګر فایل په حقیقت کې په ډیلفي کې لیکل شوی DLL دی، چې د پراختیا کونکي لخوا core.dll نومیږي، لکه څنګه چې په لاندې انځور کې ښودل شوي.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
یوځل چې په لاره واچول شي، ټروجن د خپل مقاومت میکانیزم فعالوي. دا په دوه مختلفو لارو ترسره کیدی شي، په سیسټم کې د قرباني امتیازاتو پورې اړه لري. که تاسو د مدیر حقونه لرئ، ټروجن د HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun راجستر ته د وینډوز تازه معلومات اضافه کوي. په وینډوز تازه کې موجود کمانډونه به د کارونکي ناستې په پیل کې پرمخ ځي.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject کوربه
ټروجن هم هڅه کوي چې د وینډوز ټاسک شیډولر کې دنده اضافه کړي. دا دنده به د پورته په څیر ورته پیرامیټونو سره winlogon.lnk DLL پیل کړي. د کارونکي منظم حقونه ټروجن ته اجازه ورکوي چې د ورته ډیټا سره د HKCUSoftwareMicrosoftWindowsCurrentVersionRun راجسټری کې د وینډوز تازه معلومات داخل کړي:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. تعدیل شوی RC4 الګوریتم
د دې پیژندل شوي نیمګړتیاو سره سره، د RC4 الګوریتم په منظمه توګه د مالویر لیکوالانو لخوا کارول کیږي. په هرصورت، د RTM جوړونکو دا یو څه تعدیل کړی، شاید د ویروس شنونکو کار ډیر ستونزمن کړي. د RC4 بدله شوې نسخه په پراخه کچه په ناوړه RTM وسیلو کې د تارونو، د شبکې ډیټا، ترتیب او ماډلونو کوډ کولو لپاره کارول کیږي.
4.2.1. توپیرونه
اصلي RC4 الګوریتم دوه مرحلې لري: د s-block ابتکار (aka KSA - د کلیدي مهالویش الګوریتم) او pseudo-random sequence generation (PRGA - Pseudo-Random Generation Algorithm). په لومړۍ مرحله کې د کیلي په کارولو سره د s-box پیل کول شامل دي، او په دویمه مرحله کې د سرچینې متن د کوډ کولو لپاره د s-box په کارولو سره پروسس کیږي.
د RTM لیکوالانو د s-box ابتکار او کوډ کولو تر مینځ یو منځنی ګام اضافه کړ. اضافي کیلي متغیر دی او په ورته وخت کې ټاکل کیږي لکه څنګه چې ډاټا کوډ شوي او کوډ شوي وي. هغه فعالیت چې دا اضافي ګام ترسره کوي په لاندې شکل کې ښودل شوی.
4.2.2. د تار کوډ کول
په لومړي نظر کې، په اصلي DLL کې د لوستلو وړ ډیری کرښې شتون لري. پاتې نور د پورته بیان شوي الګوریتم په کارولو سره کوډ شوي، چې جوړښت یې په لاندې شکل کې ښودل شوی. موږ په تحلیل شوي نمونو کې د تار کوډ کولو لپاره له 25 څخه ډیر مختلف RC4 کلیدونه وموندل. د XOR کیلي د هر قطار لپاره توپیر لري. د عددي ساحې جلا کولو لینونو ارزښت تل 0xFFFFFFFFF وي.
د اجرا په پیل کې، RTM تارونه په نړیوال متغیر کې کوډ کوي. کله چې تار ته د لاسرسي لپاره اړین وي، ټروجن په متحرک ډول د ډیکریپټ شوي تارونو پته د اساس پته او آفسیټ پراساس محاسبه کوي.
تارونه د مالویر د دندو په اړه په زړه پوري معلومات لري. ځینې مثالونه تارونه په 6.8 برخه کې وړاندې شوي.
4.3. شبکه
هغه طریقه چې د RTM مالویر د C&C سرور سره اړیکه نیسي له نسخې څخه نسخه پورې توپیر لري. لومړی تعدیلات (اکتوبر 2015 - اپریل 2016) د قوماندې لیست تازه کولو لپاره په livejournal.com کې د RSS فیډ سره دودیز ډومین نومونه کارولي.
د اپریل 2016 راهیسې، موږ په ټیلی میټری ډیټا کې .bit ډومینونو ته بدلون لیدلی. دا د ډومین ثبت کولو نیټې لخوا تایید شوی - لومړی RTM ډومین fde05d0573da.bit د مارچ په 13، 2016 کې ثبت شوی.
ټول هغه URLs چې موږ د کمپاین نظارت کولو پرمهال ولیدل یو عام لاره درلوده: /r/z.php. دا خورا غیر معمولي ده او دا به د شبکې جریانونو کې د RTM غوښتنې پیژندلو کې مرسته وکړي.
4.3.1. د امرونو او کنټرول لپاره چینل
د میراث مثالونه دا چینل د دوی د قوماندې او کنټرول سرورونو لیست تازه کولو لپاره کارولی. کوربه توب په livejournal.com کې موقعیت لري ، د راپور لیکلو په وخت کې دا په URL کې پاتې شو hxxp://f72bba81c921(.)livejournal(.)com/ data/rss.
Livejournal یو روسی - امریکایی شرکت دی چې د بلاګ کولو پلیټ فارم چمتو کوي. د RTM چلونکي د LJ بلاګ رامینځته کوي په کوم کې چې دوی د کوډ شوي کمانډونو سره مقاله پوسټ کوي - سکرین شاټ وګورئ.
د کمانډ او کنټرول لاینونه د بدل شوي RC4 الګوریتم (برخه 4.2) په کارولو سره کوډ شوي. د چینل اوسنی نسخه (نومبر 2016) لاندې کمانډ او کنټرول سرور پتې لري:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. .bit ډومینونه
په ډیرو وروستیو RTM نمونو کې، لیکوالان د .bit TLD لوړ پوړ ډومین په کارولو سره د C&C ډومینونو سره نښلوي. دا د ICANN (ډومین نوم او انټرنیټ کارپوریشن) د لوړې کچې ډومینونو لیست کې ندي. پرځای یې، دا د Namecoin سیسټم کاروي، کوم چې د Bitcoin ټیکنالوژۍ په سر کې جوړ شوی. د مالویر لیکوالان اکثرا د خپلو ډومینونو لپاره .bit TLD نه کاروي، که څه هم د دې ډول کارونې یوه بیلګه مخکې د Necurs botnet په یوه نسخه کې لیدل شوې.
د Bitcoin برعکس، د توزیع شوي Namecoin ډیټابیس کاروونکي د معلوماتو خوندي کولو وړتیا لري. د دې ځانګړتیا اصلي غوښتنلیک د .bit لوړ کچې ډومین دی. تاسو کولی شئ هغه ډومینونه ثبت کړئ چې په توزیع شوي ډیټابیس کې به زیرمه شي. په ډیټابیس کې اړونده ننوتنې د IP پتې لري چې د ډومین لخوا حل شوي. دا TLD د سانسور په وړاندې مقاومت لري ځکه چې یوازې راجستر کونکی کولی شي د .bit ډومین حل بدل کړي. دا پدې مانا ده چې دا خورا ستونزمن کار دی چې د دې ډول TLD په کارولو سره د ناوړه ډومین مخه ونیسي.
د RTM Trojan د توزیع شوي Namecoin ډیټابیس لوستلو لپاره اړین سافټویر سرایت نه کوي. دا د .bit ډومینونو حل کولو لپاره مرکزي DNS سرورونه لکه dns.dot-bit.org یا OpenNic سرورونه کاروي. نو ځکه، دا د DNS سرورونو په څیر ورته دوام لري. موږ ولیدل چې د ټیم ځینې ډومینونه د بلاګ پوسټ کې د یادولو وروسته نور ندي موندل شوي.
د هیکرانو لپاره د .bit TLD بله ګټه لګښت دی. د ډومین راجستر کولو لپاره، چلونکي باید یوازې 0,01 NK تادیه کړي، کوم چې د 0,00185 ډالرو سره مطابقت لري (د دسمبر 5، 2016 پورې). د پرتله کولو لپاره، domain.com لږ تر لږه $ 10 لګښت لري.
4.3.3. پروتوکول
د قوماندې او کنټرول سرور سره د خبرو اترو لپاره، RTM د دودیز پروتوکول په کارولو سره د ډیټا فارمیټ شوي HTTP POST غوښتنې کاروي. د لارې ارزښت تل دی /r/z.php؛ د موزیلا/5.0 کاروونکي اجنټ (موافق؛ MSIE 9.0؛ وینډوز NT 6.1؛ ټریډینټ/5.0). سرور ته په غوښتنو کې، ډاټا په لاندې ډول بڼه شوې، چیرې چې د آفیسټ ارزښتونه په بایټ کې څرګند شوي:
له 0 څخه تر 6 پورې بایټونه کوډ شوي ندي؛ د 6 څخه پیل شوي بایټونه د ترمیم شوي RC4 الګوریتم په کارولو سره کوډ شوي. د C&C ځواب بسته جوړښت ساده دی. بایټس له 4 څخه د پیکټ اندازې پورې کوډ شوي دي.
د ممکنه عمل بایټ ارزښتونو لیست په لاندې جدول کې وړاندې شوی:
مالویر تل د کوډ شوي ډیټا CRC32 محاسبه کوي او د هغه څه سره پرتله کوي چې په کڅوړه کې شتون لري. که دوی توپیر ولري، ټروجن پیکټ پریږدي.
اضافي معلومات ممکن مختلف شیان ولري، پشمول د PE فایل، د فایل سیسټم کې د لټون کولو لپاره یو فایل، یا د نوي قوماندې URLs.
4.3.4. پینل
موږ ولیدل چې RTM په C&C سرورونو کې پینل کاروي. لاندې سکرین شاټ:
4.4. د ځانګړتیا نښه
RTM یو عادي بانکداري ټروجن دی. دا د حیرانتیا خبره نه ده چې چلونکي د قرباني سیسټم په اړه معلومات غواړي. له یوې خوا، بوټ د OS په اړه عمومي معلومات راټولوي. له بلې خوا، دا معلومه کوي چې آیا جوړ شوی سیسټم د روسیې د لرې پرتو بانکي سیسټمونو سره تړلي ځانګړتیاوې لري.
4.4.1. عمومي معلومات
کله چې مالویر د ریبوټ وروسته نصب یا پیل شي، یو راپور کمانډ او کنټرول سرور ته لیږل کیږي چې عمومي معلومات پکې شامل دي:
- وخت زون
- د ډیفالټ سیسټم ژبه؛
- د جواز لرونکي کارونکي اسناد؛
- د پروسې بشپړتیا کچه؛
- کارن نوم
- د کمپیوټر نوم؛
- د OS نسخه؛
- اضافي نصب شوي ماډلونه؛
- د انټي ویروس پروګرام نصب؛
- د سمارټ کارت لوستونکو لیست.
4.4.2 لیرې بانکداري سیسټم
یو عادي ټروجن هدف د لرې پرتو بانکي سیسټم دی، او RTM هیڅ استثنا نه ده. د پروګرام یو ماډل د TBdo په نوم یادیږي، کوم چې مختلف دندې ترسره کوي، پشمول د ډیسک سکین کول او د لټون تاریخ.
د ډیسک په سکین کولو سره، ټروجن ګوري چې ایا په ماشین کې د بانکدارۍ سافټویر نصب شوی که نه. د هدف پروګرامونو بشپړ لیست په لاندې جدول کې دی. د ګټو فایل موندلو سره، برنامه د کمانډ سرور ته معلومات لیږي. راتلونکی کړنې د قوماندې مرکز (C&C) الګوریتم لخوا مشخص شوي منطق پورې اړه لري.
RTM ستاسو د براوزر تاریخ او خلاص ټبونو کې د URL نمونې هم ګوري. برسېره پر دې، برنامه د FindNextUrlCacheEntryA او FindFirstUrlCacheEntryA دندو کارول معاینه کوي، او همدارنګه د هرې ننوتلو چک کوي چې URL د لاندې نمونو څخه یو سره سمون لري:
د خلاصې ټبونو موندلو سره، ټروجن د انټرنیټ اکسپلورر یا فایرفوکس سره د ډینامیک ډیټا ایکسچینج (DDE) میکانیزم له لارې اړیکه نیسي ترڅو وګوري چې ایا ټب د نمونې سره سمون لري.
ستاسو د لټون کولو تاریخ او خلاص ټبونه چیک کول په WHILE لوپ (یو لوپ سره د مخکیني شرط سره) د چیکونو ترمینځ د 1 ثانیې وقفې سره ترسره کیږي. نور معلومات چې په ریښتیني وخت کې څارل کیږي په 4.5 برخه کې به بحث وشي.
که یوه نمونه وموندل شي، برنامه د لاندې جدول څخه د تارونو لیست په کارولو سره د کمانډ سرور ته راپور ورکوي:
4.5 څارنه
پداسې حال کې چې ټروجن چلیږي، د اخته شوي سیسټم د ځانګړتیاوو په اړه معلومات (په شمول د بانکي سافټویر شتون په اړه معلومات) د قوماندې او کنټرول سرور ته لیږل کیږي. د ګوتو نښان هغه وخت پیښیږي کله چې RTM د لومړني OS سکین څخه سمدلاسه وروسته د څارنې سیسټم پرمخ وړي.
4.5.1. لیرې بانکداري
د TBdo ماډل هم د بانکدارۍ اړوند پروسو د څارنې مسولیت لري. دا د لومړني سکین په جریان کې په فایرفوکس او انټرنیټ اکسپلورر کې د ټبونو چک کولو لپاره متحرک ډیټا تبادله کاروي. بل TShell ماډل د کمانډ وینډوز نظارت کولو لپاره کارول کیږي (انټرنټ اکسپلورر یا فایل اکسپلورر).
ماډل د وینډوز څارلو لپاره COM انٹرفیس IShellWindows، iWebBrowser، DWebBrowserEvents2 او IConnectionPointContainer کاروي. کله چې یو کاروونکي نوي ویب پاڼې ته لاړ شي، مالویر دا یادونه کوي. دا بیا د پاڼې URL د پورته نمونو سره پرتله کوي. د میچ موندلو سره، ټروجن د 5 ثانیو وقفې سره شپږ پرله پسې سکرین شاټونه اخلي او د C&S کمانډ سرور ته یې لیږي. برنامه د بانکدارۍ سافټویر پورې اړوند ځینې کړکۍ نومونه هم ګوري - بشپړ لیست لاندې دی:
4.5.2. سمارټ کارت
RTM تاسو ته اجازه درکوي د سمارټ کارت لوستونکو څارنه وکړئ چې په اخته کمپیوټرونو پورې تړلي دي. دا وسایل په ځینو هیوادونو کې د تادیاتو امرونو پخلاینې لپاره کارول کیږي. که دا ډول وسیله د کمپیوټر سره وصل وي، دا کولی شي ټراجن ته اشاره وکړي چې ماشین د بانکي معاملو لپاره کارول کیږي.
د نورو بانکي ټروجنونو په څیر، RTM نشي کولی د داسې سمارټ کارتونو سره اړیکه ونیسي. شاید دا فعالیت په یو اضافي ماډل کې شامل وي چې موږ تر اوسه نه دی لیدلی.
4.5.3. Keylogger
د اخته شوي کمپیوټر څارنې یوه مهمه برخه د کیسټروکونو نیول دي. داسې ښکاري چې د RTM پراختیا کونکي هیڅ معلومات له لاسه نه ورکوي، ځکه چې دوی نه یوازې منظم کیلي، بلکې مجازی کیبورډ او کلپ بورډ هم څاري.
د دې کولو لپاره، د SetWindowsHookExA فعالیت وکاروئ. برید کونکي د برنامه نوم او نیټې سره یوځای فشار شوي کیلي یا د مجازی کیبورډ پورې اړوند کیلي ننوځي. بفر بیا د C&C کمانډ سرور ته لیږل کیږي.
د SetClipboardViewer فنکشن د کلپ بورډ د مینځلو لپاره کارول کیږي. هیکرز د کلپ بورډ مینځپانګې لاګ کوي کله چې ډاټا متن وي. نوم او نیټه هم مخکې له دې چې بفر سرور ته لیږل کیږي ثبت شوي.
4.5.4. سکرین شاټونه
د RTM بل فعالیت د سکرین شاټ مداخله ده. دا ځانګړتیا هغه وخت پلي کیږي کله چې د کړکۍ څارنې ماډل یو سایټ یا د ګټو بانکي سافټویر کشف کړي. سکرین شاټونه د ګرافیک عکسونو کتابتون په کارولو سره اخیستل کیږي او د کمانډ سرور ته لیږدول کیږي.
4.6. بې ځایه کول
د C&C سرور کولی شي د مالویر چلولو مخه ونیسي او ستاسو کمپیوټر پاک کړي. کمانډ تاسو ته اجازه درکوي چې د RTM چلولو پرمهال رامینځته شوي فایلونه او د راجسټری ننوتل پاک کړئ. بیا DLL د مالویر او وینلوګون فایل لرې کولو لپاره کارول کیږي ، وروسته لدې چې کمانډ کمپیوټر بندوي. لکه څنګه چې په لاندې عکس کې ښودل شوي، DLL د پراختیا کونکو لخوا د erase.dll په کارولو سره لرې شوی.
سرور کولی شي ټروجن ته د ویجاړونکي غیر نصبولو-لاک کمانډ واستوي. په دې حالت کې، که تاسو د مدیر حقونه لرئ، RTM به په هارډ ډرایو کې د MBR بوټ سکتور حذف کړي. که دا ناکام شي، ټروجن به هڅه وکړي چې د MBR بوټ سکټور یو تصادفي سکتور ته واړوي - بیا به کمپیوټر د بندیدو وروسته OS بوټ نشي کولی. دا کولی شي د OS بشپړ بیا نصبولو لامل شي ، کوم چې د شواهدو ویجاړولو معنی لري.
د مدیر امتیازاتو پرته، مالویر په لاندې RTM DLL کې کوډ شوی .EXE لیکي. د اجرا وړ کوډ د کمپیوټر بندولو لپاره اړین کوډ اجرا کوي او ماډل د HKCUCurrentVersionRun راجسټری کیلي کې ثبتوي. هرکله چې کاروونکي ناسته پیل کړي، کمپیوټر سمدلاسه بندیږي.
4.7. د ترتیب فایل
په ډیفالټ کې، RTM تقریبا د ترتیب کولو فایل نلري، مګر د قوماندې او کنټرول سرور کولی شي د ترتیب ارزښتونه واستوي چې په راجستر کې زیرمه شوي او د پروګرام لخوا کارول کیږي. د ترتیب کولو کیلي لیست په لاندې جدول کې وړاندې کیږي:
تشکیلات په سافټویر [Pseudo-random string] راجسټری کیلي کې زیرمه شوي. هر ارزښت په تیرو جدول کې وړاندې شوي قطارونو څخه یو سره مطابقت لري. ارزښتونه او ډاټا په RTM کې د RC4 الګوریتم په کارولو سره کوډ شوي.
ډاټا د شبکې یا تارونو په څیر ورته جوړښت لري. د کوډ شوي ډیټا په پیل کې د څلور بایټ XOR کیلي اضافه کیږي. د ترتیب ارزښتونو لپاره، د XOR کیلي توپیر لري او د ارزښت په اندازې پورې اړه لري. دا په لاندې ډول محاسبه کیدی شي:
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)
4.8. نورې دندې
بیا، راځئ چې نور فعالیتونه وګورو چې RTM یې ملاتړ کوي.
4.8.1. اضافي ماډلونه
په Trojan کې اضافي ماډلونه شامل دي، کوم چې د DLL فایلونه دي. د C&C کمانډ سرور څخه لیږل شوي ماډلونه د بهرني برنامو په توګه اجرا کیدی شي ، په RAM کې منعکس شوي او په نوي تارونو کې پیل شوي. د ذخیره کولو لپاره، ماډلونه په .dtt فایلونو کې خوندي شوي او د RC4 الګوریتم په کارولو سره کوډ شوي د ورته کیلي سره چې د شبکې اړیکو لپاره کارول کیږي.
تر دې دمه موږ د VNC ماډل نصب کول مشاهده کړي (8966319882494077C21F66A8354E2CBCA0370464)، د براوزر ډیټا استخراج ماډل (03DE8622BE6B2F75A364A275995C3411626C4c_module) 9E1F2EFC1FBA562 B1BE69D6B58E88753CFAB).
د VNC ماډل د پورته کولو لپاره، C&C سرور د 44443 پورټ په ځانګړي IP پته کې د VNC سرور سره د نښلولو غوښتنه کوي. بیا دا د لیدل شوي URLs بشپړ لیست د C&C کمانډ سرور ته لیږي.
وروستی کشف شوی ماډل د 1c_2_kl په نوم یادیږي. دا کولی شي د 1C Enterprise سافټویر کڅوړې سره اړیکه ونیسي. په ماډل کې دوه برخې شاملې دي: اصلي برخه - DLL او دوه اجنټان (32 او 64 bit)، کوم چې به په هره پروسه کې داخل شي، د WH_CBT سره د پابندۍ ثبتول. د 1C پروسې ته معرفي کیدو سره ، ماډل د CreateFile او WriteFile افعال سره تړلي دي. هرکله چې د CreateFile پابند فنکشن ویل کیږي، ماډل په حافظه کې د فایل لاره 1c_to_kl.txt ذخیره کوي. د WriteFile زنګ وهلو وروسته، دا د WriteFile فنکشن ته زنګ وهي او د فایل لاره 1c_to_kl.txt اصلي DLL ماډل ته لیږي، دا د وینډوز WM_COPYDATA جوړ شوی پیغام لیږدوي.
اصلي DLL ماډل د تادیې امرونو ټاکلو لپاره فایل خلاصوي او پارس کوي. دا په فایل کې موجود مقدار او د لیږد شمیره پیژني. دا معلومات د کمانډ سرور ته لیږل کیږي. موږ باور لرو چې دا ماډل اوس د پراختیا په حال کې دی ځکه چې دا یو ډیبګ پیغام لري او نشي کولی په اتوماتيک ډول 1c_to_kl.txt بدل کړي.
4.8.2. د امتیازاتو زیاتوالی
RTM ممکن د غلط غلط پیغامونو په ښودلو سره د امتیازاتو د زیاتولو هڅه وکړي. مالویر د راجسټری چیک تقلید کوي (لاندې عکس وګورئ) یا د ریښتیني راجسټری مدیر آیکون کاروي. مهرباني وکړئ د غلط املا انتظار په یاد ولرئ - څه. د څو ثانیو سکین کولو وروسته، برنامه د غلط غلط پیغام ښکاره کوي.
غلط پیغام به په اسانۍ سره د ګرامري غلطیو سره سره اوسط کاروونکي غولوي. که چیرې کاروونکي له دوو لینکونو څخه په یوه باندې کلیک وکړي، RTM به هڅه وکړي چې خپل امتیازات په سیسټم کې زیات کړي.
د دوه رغولو اختیارونو څخه د یوې غوره کولو وروسته ، ټروجن د مدیر امتیازاتو سره د ShellExecute فنکشن کې د runas اختیار په کارولو سره DLL پیل کوي. کارونکي به د لوړوالي لپاره ریښتیني وینډوز پرامپټ وګوري (لاندې عکس وګورئ). که چیرې کاروونکي اړین اجازه ورکړي، ټروجن به د مدیر امتیازاتو سره پرمخ ځي.
په سیسټم کې نصب شوي ډیفالټ ژبې پورې اړه لري ، ټروجن په روسی یا انګلیسي کې د خطا پیغامونه ښیې.
4.8.3. سند
RTM کولی شي د وینډوز پلورنځي ته سندونه اضافه کړي او د csrss.exe ډیالوګ بکس کې په اوتومات ډول د "هو" تڼۍ کلیک کولو سره د اضافه کولو اعتبار تایید کړي. دا چلند نوی ندی؛ د بیلګې په توګه، د بانکدارۍ Trojan Retefe هم په خپلواکه توګه د نوي سند نصب کول تاییدوي.
4.8.4. د اړیکو بیرته راګرځول
د RTM لیکوالانو د Backconnect TCP تونل هم جوړ کړی. موږ تر اوسه دا خصوصیت په کارونې کې نه دی لیدلی، مګر دا ډیزاین شوی ترڅو په لرې ډول د اخته کمپیوټرونو څارنه وکړي.
4.8.5. د کوربه فایل مدیریت
د C&C سرور کولی شي د وینډوز کوربه فایل بدلولو لپاره ټروجن ته کمانډ واستوي. د کوربه فایل د دودیز DNS حلونو رامینځته کولو لپاره کارول کیږي.
4.8.6. یو فایل ومومئ او واستوئ
سرور ممکن په اخته سیسټم کې د فایل لټون او ډاونلوډ غوښتنه وکړي. د مثال په توګه، د څیړنې په جریان کې موږ د 1c_to_kl.txt فایل لپاره غوښتنه ترلاسه کړه. لکه څنګه چې مخکې تشریح شوي، دا فایل د 1C: Enterprise 8 محاسبې سیسټم لخوا رامینځته شوی.
4.8.7. تازه کول
په نهایت کې ، د RTM لیکوالان کولی شي د اوسني نسخې ځای په ځای کولو لپاره د نوي DLL سپارلو سره سافټویر تازه کړي.
5. پایله
د RTM څیړنې ښیې چې د روسیې بانکداري سیسټم لاهم سایبر برید کونکي جذبوي. ګروپونه لکه بوهتراپ، کارکو او کاربناک په بریالیتوب سره په روسیه کې د مالي موسسو او د دوی مراجعینو څخه پیسې غلا کوي. RTM پدې صنعت کې یو نوی لوبغاړی دی.
د ESET ټیلی میټری په وینا، ناوړه RTM وسیلې لږترلږه د 2015 له وروستیو راهیسې کارول کیږي. برنامه د جاسوسۍ بشپړ ظرفیت لري ، پشمول د سمارټ کارتونو لوستل ، د کیسټروک مداخله کول او د بانکي معاملو څارنه ، او همدارنګه د 1C: Enterprise 8 ټرانسپورټ فایلونو لټون.
د غیر متمرکز، غیر سینسر شوي .bit لوړ کچې ډومین کارول خورا انعطاف وړ زیربنا تضمینوي.
سرچینه: www.habr.com