Există mai multe grupuri cibernetice cunoscute care sunt specializate în furtul de fonduri de la companiile rusești. Am văzut atacuri folosind lacune de securitate care permit accesul la rețeaua țintei. Odată ce au acces, atacatorii studiază structura rețelei organizației și își desfășoară propriile instrumente pentru a fura fonduri. Un exemplu clasic al acestei tendințe sunt grupurile de hackeri Buhtrap, Cobalt și Corkow.
Grupul RTM pe care se concentrează acest raport face parte din această tendință. Folosește malware special conceput, scris în Delphi, pe care îl vom analiza mai detaliat în secțiunile următoare. Primele urme ale acestor instrumente în sistemul de telemetrie ESET au fost descoperite la sfârșitul anului 2015. Echipa încarcă diverse module noi pe sistemele infectate, după cum este necesar. Atacurile vizează utilizatorii sistemelor bancare de la distanță din Rusia și unele țări învecinate.
1. Obiective
Campania RTM se adresează utilizatorilor corporativi - acest lucru este evident din procesele pe care atacatorii încearcă să le detecteze într-un sistem compromis. Accentul este pus pe software-ul de contabilitate pentru lucrul cu sisteme bancare la distanță.
Lista proceselor de interes pentru RTM seamănă cu lista corespunzătoare a grupului Buhtrap, dar grupurile au vectori de infecție diferiți. Dacă Buhtrap a folosit mai des pagini false, atunci RTM a folosit atacuri de descărcare drive-by (atacuri asupra browserului sau a componentelor acestuia) și spam-ul prin e-mail. Potrivit datelor de telemetrie, amenințarea vizează Rusia și mai multe țări din apropiere (Ucraina, Kazahstan, Cehia, Germania). Cu toate acestea, datorită utilizării mecanismelor de distribuție în masă, detectarea malware-ului în afara regiunilor țintă nu este surprinzătoare.
Numărul total de detectări de malware este relativ mic. Pe de altă parte, campania RTM utilizează programe complexe, ceea ce indică faptul că atacurile sunt foarte țintite.
Am descoperit mai multe documente momeală folosite de RTM, inclusiv contracte inexistente, facturi sau documente contabile fiscale. Natura momelilor, combinată cu tipul de software vizat de atac, indică faptul că atacatorii „intră” în rețelele companiilor rusești prin intermediul departamentului de contabilitate. Grupul a acționat după aceeași schemă în 2014-2015
În timpul cercetării, am putut interacționa cu mai multe servere C&C. Vom enumera lista completă de comenzi în secțiunile următoare, dar deocamdată putem spune că clientul transferă date de la keylogger direct pe serverul atacator, de la care apoi se primesc comenzi suplimentare.
Cu toate acestea, zilele în care puteai pur și simplu să te conectezi la un server de comandă și control și să colectezi toate datele de care erai interesat au dispărut. Am recreat fișiere jurnal realiste pentru a obține câteva comenzi relevante de la server.
Prima dintre ele este o solicitare către bot pentru a transfera fișierul 1c_to_kl.txt - un fișier de transport al programului 1C: Enterprise 8, a cărui apariție este monitorizată activ de RTM. 1C interacționează cu sistemele bancare de la distanță prin încărcarea datelor despre plățile efectuate într-un fișier text. În continuare, dosarul este trimis către sistemul bancar de la distanță pentru automatizarea și executarea ordinului de plată.
Fișierul conține detalii de plată. Dacă atacatorii modifică informațiile despre plățile efectuate, transferul va fi trimis folosind detalii false în conturile atacatorilor.
La aproximativ o lună după ce am solicitat aceste fișiere de la serverul de comandă și control, am observat că un nou plugin, 1c_2_kl.dll, este încărcat pe sistemul compromis. Modulul (DLL) este conceput pentru a analiza automat fișierul de descărcare prin pătrunderea proceselor software de contabilitate. O vom descrie în detaliu în secțiunile următoare.
Interesant este că FinCERT de la Banca Rusiei a emis, la sfârșitul anului 2016, un buletin de avertizare despre infractorii cibernetici care folosesc fișiere de încărcare 1c_to_kl.txt. Dezvoltatorii de la 1C știu, de asemenea, despre această schemă, au făcut deja o declarație oficială și au enumerat măsuri de precauție.
De pe serverul de comandă au fost încărcate și alte module, în special VNC (versiunile sale pe 32 și 64 de biți). Seamănă cu modulul VNC care a fost folosit anterior în atacurile troiene Dridex. Acest modul este folosit pentru a se conecta de la distanță la un computer infectat și pentru a efectua un studiu detaliat al sistemului. În continuare, atacatorii încearcă să se deplaseze în rețea, extragând parolele utilizatorilor, culegând informații și asigurând prezența constantă a malware-ului.
2. Vectori de infecție
Figura următoare prezintă vectorii de infecție detectați în perioada de studiu a campaniei. Grupul folosește o gamă largă de vectori, dar în principal atacuri de descărcare directă și spam. Aceste instrumente sunt convenabile pentru atacuri țintite, deoarece, în primul caz, atacatorii pot selecta site-uri vizitate de potențiale victime, iar în al doilea, pot trimite e-mailuri cu atașamente direct angajaților companiei doriti.
Malware-ul este distribuit prin mai multe canale, inclusiv kituri de exploatare RIG și Sundown sau mesaje spam, indicând conexiunile dintre atacatori și alți atacatori cibernetici care oferă aceste servicii.
2.1. Cum sunt legate RTM și Buhtrap?
Campania RTM este foarte asemănătoare cu Buhtrap. Întrebarea firească este: cum sunt ele legate între ele?
În septembrie 2016, am observat că un eșantion RTM este distribuit folosind aplicația de încărcare Buhtrap. În plus, am găsit două certificate digitale utilizate atât în Buhtrap, cât și în RTM.
Primul, presupus eliberat companiei DNISTER-M, a fost folosit pentru a semna digital al doilea formular Delphi (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) și Buhtrap DLL (SHA-1: 1E2642B454B2A889: 6).
Al doilea, emis către Bit-Tredj, a fost folosit pentru a semna încărcătoarele Buhtrap (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 și B74F71560E48488D2153AE2FB51207A0FB206A2BXNUMX), precum și componentele RXNUMXEXNUMXFBXNUMXAXNUMXBXNUMX.
Operatorii RTM folosesc certificate care sunt comune altor familii de malware, dar au și un certificat unic. Conform telemetriei ESET, acesta a fost emis către Kit-SD și a fost folosit doar pentru a semna unele programe malware RTM (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM folosește același încărcător ca și Buhtrap, componentele RTM sunt încărcate din infrastructura Buhtrap, astfel încât grupurile au indicatori de rețea similari. Cu toate acestea, conform estimărilor noastre, RTM și Buhtrap sunt grupuri diferite, cel puțin pentru că RTM este distribuit în moduri diferite (nu numai folosind un descărcator „străin”).
În ciuda acestui fapt, grupurile de hackeri folosesc principii de funcționare similare. Aceștia vizează companiile care utilizează software de contabilitate, colectând în mod similar informații despre sistem, căutând cititoare de carduri inteligente și implementând o serie de instrumente rău intenționate pentru a spiona victimele.
3. Evolutie
În această secțiune, vom analiza diferitele versiuni de malware găsite în timpul studiului.
3.1. Versiune
RTM stochează datele de configurare într-o secțiune de registry, cea mai interesantă parte fiind botnet-prefix. O listă cu toate valorile pe care le-am văzut în eșantioanele pe care le-am studiat este prezentată în tabelul de mai jos.
Este posibil ca valorile să poată fi folosite pentru a înregistra versiuni de malware. Cu toate acestea, nu am observat o mare diferență între versiuni precum bit2 și bit3, 0.1.6.4 și 0.1.6.6. Mai mult decât atât, unul dintre prefixe există încă de la început și a evoluat de la un domeniu tipic C&C la un domeniu .bit, așa cum va fi arătat mai jos.
3.2. Programa
Folosind datele de telemetrie, am creat un grafic al apariției eșantioanelor.
4. Analiza tehnica
În această secțiune, vom descrie principalele funcții ale troianului bancar RTM, inclusiv mecanismele de rezistență, propria sa versiune a algoritmului RC4, protocolul de rețea, funcționalitatea de spionaj și alte caracteristici. În special, ne vom concentra pe mostrele SHA-1 AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 și 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. Instalare și salvare
4.1.1. Implementarea
Nucleul RTM este un DLL, biblioteca este încărcată pe disc folosind .EXE. Fișierul executabil este de obicei ambalat și conține cod DLL. Odată lansat, extrage DLL-ul și îl rulează folosind următoarea comandă:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. DLL
DLL-ul principal este întotdeauna încărcat pe disc ca winlogon.lnk în folderul %PROGRAMDATA%Winlogon. Această extensie de fișier este de obicei asociată cu o comandă rapidă, dar fișierul este de fapt un DLL scris în Delphi, numit core.dll de către dezvoltator, așa cum se arată în imaginea de mai jos.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Odată lansat, troianul își activează mecanismul de rezistență. Acest lucru se poate face în două moduri diferite, în funcție de privilegiile victimei în sistem. Dacă aveți drepturi de administrator, troianul adaugă o intrare Windows Update la registrul HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun. Comenzile conținute în Windows Update vor rula la începutul sesiunii utilizatorului.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe „%PROGRAMDATA%winlogon.lnk”, gazdă DllGetClassObject
Troianul încearcă, de asemenea, să adauge o sarcină în Windows Task Scheduler. Sarcina va lansa DLL winlogon.lnk cu aceiași parametri ca mai sus. Drepturile de utilizator obișnuite permit troianului să adauge o intrare Windows Update cu aceleași date în registrul HKCUSoftwareMicrosoftWindowsCurrentVersionRun:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Algoritm RC4 modificat
În ciuda deficiențelor sale cunoscute, algoritmul RC4 este utilizat în mod regulat de autorii de malware. Cu toate acestea, creatorii RTM l-au modificat ușor, probabil pentru a îngreuna sarcina analiștilor de viruși. O versiune modificată a RC4 este utilizată pe scară largă în instrumentele RTM rău intenționate pentru a cripta șiruri de caractere, date de rețea, configurație și module.
4.2.1. Diferențele
Algoritmul original RC4 include două etape: inițializarea blocului s (aka KSA - Key-Scheduling Algorithm) și generarea secvenței pseudo-aleatoare (PRGA - Pseudo-Random Generation Algorithm). Prima etapă presupune inițializarea s-box-ului folosind cheia, iar în a doua etapă textul sursă este procesat folosind s-box-ul pentru criptare.
Autorii RTM au adăugat un pas intermediar între inițializarea s-box și criptare. Cheia suplimentară este variabilă și este setată în același timp cu datele care urmează să fie criptate și decriptate. Funcția care realizează acest pas suplimentar este prezentată în figura de mai jos.
4.2.2. Criptare șiruri
La prima vedere, există mai multe linii care pot fi citite în DLL-ul principal. Restul sunt criptate folosind algoritmul descris mai sus, a cărui structură este prezentată în figura următoare. Am găsit mai mult de 25 de chei RC4 diferite pentru criptarea șirurilor în mostrele analizate. Tasta XOR este diferită pentru fiecare rând. Valoarea câmpului numeric care separă liniile este întotdeauna 0xFFFFFFFF.
La începutul execuției, RTM decriptează șirurile într-o variabilă globală. Când este necesar pentru a accesa un șir, troianul calculează în mod dinamic adresa șirurilor decriptate pe baza adresei de bază și a offset-ului.
Șirurile conțin informații interesante despre funcțiile malware-ului. Câteva exemple de șiruri sunt furnizate în Secțiunea 6.8.
4.3. Rețea
Modul în care malware-ul RTM contactează serverul C&C variază de la versiune la versiune. Primele modificări (octombrie 2015 – aprilie 2016) au folosit nume de domenii tradiționale împreună cu un flux RSS pe livejournal.com pentru a actualiza lista de comenzi.
Din aprilie 2016, am observat o trecere la domeniile .bit în datele de telemetrie. Acest lucru este confirmat de data înregistrării domeniului - primul domeniu RTM fde05d0573da.bit a fost înregistrat pe 13 martie 2016.
Toate adresele URL pe care le-am văzut în timpul monitorizării campaniei aveau o cale comună: /r/z.php. Este destul de neobișnuit și va ajuta la identificarea solicitărilor RTM în fluxurile de rețea.
4.3.1. Canal pentru comenzi și control
Exemplele vechi au folosit acest canal pentru a-și actualiza lista de servere de comandă și control. Gazduirea se afla la livejournal.com, la momentul redactarii raportului a ramas la adresa URL hxxp://f72bba81c921(.)livejournal(.)com/data/rss.
Livejournal este o companie ruso-americană care oferă o platformă de blogging. Operatorii RTM creează un blog LJ în care postează un articol cu comenzi codificate - vezi captura de ecran.
Liniile de comandă și control sunt codificate folosind un algoritm RC4 modificat (Secțiunea 4.2). Versiunea actuală (noiembrie 2016) a canalului conține următoarele adrese de server de comandă și control:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. domenii .bit
În cele mai recente mostre RTM, autorii se conectează la domeniile C&C folosind domeniul de nivel superior .bit TLD. Nu se află pe lista de domenii de nivel superior ICANN (Domain Name and Internet Corporation). În schimb, folosește sistemul Namecoin, care este construit pe baza tehnologiei Bitcoin. Autorii de programe malware nu folosesc adesea TLD-ul .bit pentru domeniile lor, deși un exemplu de astfel de utilizare a fost observat anterior într-o versiune a rețelei botne Necurs.
Spre deosebire de Bitcoin, utilizatorii bazei de date distribuite Namecoin au capacitatea de a salva date. Aplicația principală a acestei caracteristici este domeniul de nivel superior .bit. Puteți înregistra domenii care vor fi stocate într-o bază de date distribuită. Intrările corespunzătoare din baza de date conțin adrese IP rezolvate de domeniu. Acest TLD este „rezistent la cenzură”, deoarece doar solicitantul înregistrării poate modifica rezoluția domeniului .bit. Aceasta înseamnă că este mult mai dificil să opriți un domeniu rău intenționat folosind acest tip de TLD.
Troianul RTM nu încorporează software-ul necesar pentru a citi baza de date Namecoin distribuită. Utilizează servere DNS centrale, cum ar fi dns.dot-bit.org sau servere OpenNic pentru a rezolva domeniile .bit. Prin urmare, are aceeași durabilitate ca și serverele DNS. Am observat că unele domenii de echipă nu au mai fost detectate după ce au fost menționate într-o postare pe blog.
Un alt avantaj al TLD-ului .bit pentru hackeri este costul. Pentru a înregistra un domeniu, operatorii trebuie să plătească doar 0,01 NK, ceea ce corespunde cu 0,00185 USD (începând cu 5 decembrie 2016). Pentru comparație, domain.com costă cel puțin 10 USD.
4.3.3. Protocol
Pentru a comunica cu serverul de comandă și control, RTM utilizează solicitări HTTP POST cu date formatate folosind un protocol personalizat. Valoarea căii este întotdeauna /r/z.php; Agent utilizator Mozilla/5.0 (compatibil; MSIE 9.0; Windows NT 6.1; Trident/5.0). În cererile către server, datele sunt formatate după cum urmează, unde valorile offset sunt exprimate în octeți:
Octeții de la 0 la 6 nu sunt codificați; octeții care încep de la 6 sunt codificați folosind un algoritm RC4 modificat. Structura pachetului de răspuns C&C este mai simplă. Octeții sunt codificați de la 4 la dimensiunea pachetului.
Lista de valori posibile ale octetilor de acțiune este prezentată în tabelul de mai jos:
Malware-ul calculează întotdeauna CRC32 al datelor decriptate și îl compară cu ceea ce este prezent în pachet. Dacă acestea diferă, troianul renunță la pachet.
Datele suplimentare pot conține diverse obiecte, inclusiv un fișier PE, un fișier care trebuie căutat în sistemul de fișiere sau noi adrese URL de comandă.
4.3.4. Panou
Am observat că RTM folosește un panou pe serverele C&C. Captură de ecran de mai jos:
4.4. Semn caracteristic
RTM este un troian tipic bancar. Nu este de mirare că operatorii doresc informații despre sistemul victimei. Pe de o parte, botul colectează informații generale despre sistemul de operare. Pe de altă parte, află dacă sistemul compromis conține atribute asociate sistemelor bancare la distanță rusești.
4.4.1. Informații generale
Când malware este instalat sau lansat după o repornire, un raport este trimis către serverul de comandă și control care conține informații generale, inclusiv:
- Fus orar;
- limba implicită a sistemului;
- acreditările utilizatorului autorizat;
- nivelul de integritate a procesului;
- Nume de utilizator;
- numele calculatorului;
- versiunea OS;
- module suplimentare instalate;
- program antivirus instalat;
- lista de cititoare de carduri inteligente.
4.4.2 Sistem bancar de la distanță
O țintă tipică troiană este un sistem bancar la distanță, iar RTM nu face excepție. Unul dintre modulele programului se numește TBdo, care efectuează diverse sarcini, inclusiv scanarea discurilor și istoricul de navigare.
Scanând discul, troianul verifică dacă software-ul bancar este instalat pe mașină. Lista completă a programelor țintă este în tabelul de mai jos. După ce a detectat un fișier de interes, programul trimite informații către serverul de comandă. Următoarele acțiuni depind de logica specificată de algoritmii centrului de comandă (C&C).
RTM caută, de asemenea, modele de adrese URL în istoricul browserului și filele deschise. În plus, programul examinează utilizarea funcțiilor FindNextUrlCacheEntryA și FindFirstUrlCacheEntryA și verifică, de asemenea, fiecare intrare pentru a potrivi adresa URL cu unul dintre următoarele modele:
După ce a detectat file deschise, troianul contactează Internet Explorer sau Firefox prin mecanismul Dynamic Data Exchange (DDE) pentru a verifica dacă fila se potrivește cu modelul.
Verificarea istoricului de navigare și a filelor deschise se efectuează într-o buclă WHILE (o buclă cu o precondiție) cu o pauză de 1 secundă între verificări. Alte date care sunt monitorizate în timp real vor fi discutate în secțiunea 4.5.
Dacă se găsește un model, programul raportează acest lucru serverului de comenzi folosind o listă de șiruri din următorul tabel:
4.5 Monitorizare
În timp ce troianul rulează, informații despre caracteristicile sistemului infectat (inclusiv informații despre prezența software-ului bancar) sunt trimise către serverul de comandă și control. Amprentarea are loc atunci când RTM rulează prima dată sistemul de monitorizare imediat după scanarea inițială a sistemului de operare.
4.5.1. Servicii bancare de la distanță
Modulul TBdo este, de asemenea, responsabil pentru monitorizarea proceselor bancare. Utilizează schimbul dinamic de date pentru a verifica filele în Firefox și Internet Explorer în timpul scanării inițiale. Un alt modul TShell este utilizat pentru a monitoriza ferestrele de comandă (Internet Explorer sau File Explorer).
Modulul folosește interfețele COM IShellWindows, iWebBrowser, DWebBrowserEvents2 și IConnectionPointContainer pentru a monitoriza ferestrele. Când un utilizator navighează la o nouă pagină web, malware-ul notează acest lucru. Apoi compară adresa URL a paginii cu modelele de mai sus. După ce a detectat o potrivire, troianul face șase capturi de ecran consecutive cu un interval de 5 secunde și le trimite către serverul de comandă C&S. Programul verifică, de asemenea, unele nume de ferestre legate de software-ul bancar - lista completă este mai jos:
4.5.2. Card destept
RTM vă permite să monitorizați cititoarele de carduri inteligente conectate la computerele infectate. Aceste dispozitive sunt folosite în unele țări pentru a reconcilia ordinele de plată. Dacă acest tip de dispozitiv este atașat la un computer, ar putea indica unui troian că mașina este utilizată pentru tranzacții bancare.
Spre deosebire de alți troieni bancari, RTM nu poate interacționa cu astfel de carduri inteligente. Poate că această funcționalitate este inclusă într-un modul suplimentar pe care nu l-am văzut încă.
4.5.3. Keylogger
O parte importantă a monitorizării unui computer infectat este capturarea apăsărilor de taste. Se pare că dezvoltatorii RTM nu lipsesc nicio informație, deoarece monitorizează nu numai tastele obișnuite, ci și tastatura virtuală și clipboard-ul.
Pentru a face acest lucru, utilizați funcția SetWindowsHookExA. Atacatorii înregistrează tastele apăsate sau tastele corespunzătoare tastaturii virtuale, împreună cu numele și data programului. Buffer-ul este apoi trimis către serverul de comandă C&C.
Funcția SetClipboardViewer este utilizată pentru a intercepta clipboard-ul. Hackerii înregistrează conținutul clipboard-ului atunci când datele sunt text. Numele și data sunt de asemenea înregistrate înainte ca tamponul să fie trimis la server.
4.5.4. Capturi de ecran
O altă funcție RTM este interceptarea capturii de ecran. Caracteristica este aplicată atunci când modulul de monitorizare a ferestrei detectează un site sau un software bancar de interes. Capturile de ecran sunt realizate folosind o bibliotecă de imagini grafice și transferate pe serverul de comandă.
4.6. Dezinstalare
Serverul C&C poate opri rularea malware-ului și vă poate curăța computerul. Comanda vă permite să ștergeți fișierele și intrările de registry create în timp ce RTM rulează. DLL-ul este apoi folosit pentru a elimina malware-ul și fișierul winlogon, după care comanda închide computerul. După cum se arată în imaginea de mai jos, DLL-ul este eliminat de dezvoltatori care folosesc erase.dll.
Serverul poate trimite troianului o comandă distructivă de dezinstalare-blocare. În acest caz, dacă aveți drepturi de administrator, RTM va șterge sectorul de boot MBR de pe hard disk. Dacă acest lucru nu reușește, troianul va încerca să mute sectorul de boot MBR într-un sector aleatoriu - atunci computerul nu va putea porni sistemul de operare după oprire. Acest lucru poate duce la o reinstalare completă a sistemului de operare, ceea ce înseamnă distrugerea dovezilor.
Fără privilegii de administrator, malware-ul scrie un .EXE codificat în DLL-ul RTM subiacent. Executabilul execută codul necesar pentru a închide computerul și înregistrează modulul în cheia de registry HKCUCurrentVersionRun. De fiecare dată când utilizatorul începe o sesiune, computerul se oprește imediat.
4.7. Fișierul de configurare
În mod implicit, RTM nu are aproape niciun fișier de configurare, dar serverul de comandă și control poate trimite valori de configurare care vor fi stocate în registru și utilizate de program. Lista cheilor de configurare este prezentată în tabelul de mai jos:
Configurația este stocată în cheia de registry Software[Pseudo-random string]. Fiecare valoare corespunde unuia dintre rândurile prezentate în tabelul anterior. Valorile și datele sunt codificate folosind algoritmul RC4 în RTM.
Datele au aceeași structură ca o rețea sau șiruri. O cheie XOR de patru octeți este adăugată la începutul datelor codificate. Pentru valorile de configurare, cheia XOR este diferită și depinde de mărimea valorii. Acesta poate fi calculat după cum urmează:
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)
4.8. Alte funcții
În continuare, să ne uităm la alte funcții pe care RTM le acceptă.
4.8.1. Module suplimentare
Troianul include module suplimentare, care sunt fișiere DLL. Modulele trimise de pe serverul de comandă C&C pot fi executate ca programe externe, reflectate în RAM și lansate în fire noi. Pentru stocare, modulele sunt salvate în fișiere .dtt și codificate folosind algoritmul RC4 cu aceeași cheie folosită pentru comunicațiile în rețea.
Până acum am observat instalarea modulului VNC (8966319882494077C21F66A8354E2CBCA0370464), modulul de extragere a datelor din browser (03DE8622BE6B2F75A364A275995C3411626C4F9E_1) și modulul _2k1F562E_1 C69FBA6B 58BE88753D7B0E3CFAB).
Pentru a încărca modulul VNC, serverul C&C emite o comandă care solicită conexiuni la serverul VNC la o anumită adresă IP pe portul 44443. Pluginul de recuperare a datelor browser execută TBrowserDataCollector, care poate citi istoricul de navigare IE. Apoi trimite lista completă a URL-urilor vizitate către serverul de comandă C&C.
Ultimul modul descoperit se numește 1c_2_kl. Poate interacționa cu pachetul software 1C Enterprise. Modulul include două părți: partea principală - DLL și doi agenți (32 și 64 de biți), care vor fi injectați în fiecare proces, înregistrând o legare la WH_CBT. După ce a fost introdus în procesul 1C, modulul leagă funcțiile CreateFile și WriteFile. Ori de câte ori este apelată funcția CreateFile bound, modulul stochează calea fișierului 1c_to_kl.txt în memorie. După interceptarea apelului WriteFile, apelează funcția WriteFile și trimite calea fișierului 1c_to_kl.txt la modulul DLL principal, transmițându-i mesajul Windows WM_COPYDATA creat.
Modulul principal DLL deschide și analizează fișierul pentru a determina ordinele de plată. Recunoaște suma și numărul tranzacției conținute în dosar. Aceste informații sunt trimise la serverul de comenzi. Credem că acest modul este în prezent în curs de dezvoltare deoarece conține un mesaj de depanare și nu poate modifica automat 1c_to_kl.txt.
4.8.2. Privilegiul escaladării
RTM poate încerca să escaladeze privilegiile afișând mesaje de eroare false. Programul malware simulează o verificare a registrului (vezi imaginea de mai jos) sau folosește o pictogramă reală a editorului de registry. Vă rugăm să rețineți greșeala de ortografie așteptați – ce. După câteva secunde de scanare, programul afișează un mesaj de eroare fals.
Un mesaj fals va înșela cu ușurință utilizatorul obișnuit, în ciuda erorilor gramaticale. Dacă utilizatorul face clic pe unul dintre cele două linkuri, RTM va încerca să-și intensifice privilegiile în sistem.
După selectarea uneia dintre cele două opțiuni de recuperare, troianul lansează DLL folosind opțiunea runas din funcția ShellExecute cu privilegii de administrator. Utilizatorul va vedea un prompt Windows real (vezi imaginea de mai jos) pentru elevație. Dacă utilizatorul oferă permisiunile necesare, troianul va rula cu privilegii de administrator.
În funcție de limba implicită instalată pe sistem, troianul afișează mesaje de eroare în rusă sau engleză.
4.8.3. Certificat
RTM poate adăuga certificate în Windows Store și poate confirma fiabilitatea adăugării făcând clic automat pe butonul „da” din caseta de dialog csrss.exe. Acest comportament nu este nou, de exemplu, troianul bancar Retefe confirmă și în mod independent instalarea unui nou certificat.
4.8.4. Conexiune inversă
Autorii RTM au creat și tunelul TCP Backconnect. Nu am văzut încă în uz funcția, dar este concepută pentru a monitoriza de la distanță computerele infectate.
4.8.5. Gestionarea fișierelor gazdă
Serverul C&C poate trimite o comandă troianului pentru a modifica fișierul gazdă Windows. Fișierul gazdă este utilizat pentru a crea rezoluții DNS personalizate.
4.8.6. Găsiți și trimiteți un fișier
Serverul poate solicita căutarea și descărcarea unui fișier pe sistemul infectat. De exemplu, în timpul cercetării am primit o solicitare pentru fișierul 1c_to_kl.txt. După cum s-a descris anterior, acest fișier este generat de sistemul de contabilitate 1C: Enterprise 8.
4.8.7. Actualizare
În cele din urmă, autorii RTM pot actualiza software-ul trimițând un nou DLL pentru a înlocui versiunea actuală.
5. concluzie
Cercetările RTM arată că sistemul bancar rus încă atrage atacatori cibernetici. Grupuri precum Buhtrap, Corkow și Carbanak fură cu succes bani de la instituțiile financiare și de la clienții lor din Rusia. RTM este un jucător nou în această industrie.
Instrumentele RTM rău intenționate au fost utilizate cel puțin de la sfârșitul anului 2015, conform telemetriei ESET. Programul are o gamă completă de capabilități de spionaj, inclusiv citirea cardurilor inteligente, interceptarea tastelor și monitorizarea tranzacțiilor bancare, precum și căutarea fișierelor de transport 1C: Enterprise 8.
Utilizarea unui domeniu de nivel superior .bit descentralizat, necenzurat asigură o infrastructură foarte rezistentă.
Sursa: www.habr.com