اتي ڪيترائي سڃاتل سائبر گروپ آھن جيڪي روسي ڪمپنين کان فنڊ چوري ڪرڻ ۾ ماهر آھن. اسان ڏٺو آهي ته حملا استعمال ڪندي حفاظتي خاميون جيڪي ٽارگيٽ جي نيٽ ورڪ تائين رسائي جي اجازت ڏين ٿيون. هڪ دفعو اهي رسائي حاصل ڪن ٿا، حملي ڪندڙ تنظيم جي نيٽ ورڪ جي جوڙجڪ جو مطالعو ڪن ٿا ۽ فنڊ چوري ڪرڻ لاءِ پنهنجا اوزار مقرر ڪن ٿا. هن رجحان جو هڪ شاندار مثال هيڪر گروپن بوهٽريپ، ڪوبالٽ ۽ ڪورڪو آهي.
RTM گروپ جنهن تي هن رپورٽ تي ڌيان ڏئي ٿو هن رجحان جو حصو آهي. اهو ڊيلفي ۾ لکيل خاص طور تي ٺهيل مالويئر استعمال ڪري ٿو، جنهن کي اسين هيٺين حصن ۾ وڌيڪ تفصيل سان ڏسنداسين. ESET ٽيليميٽري سسٽم ۾ انهن اوزارن جا پهريون نشان 2015 جي آخر ۾ دريافت ڪيا ويا. ٽيم ضرورت مطابق متاثر ٿيل سسٽم تي مختلف نوان ماڊل لوڊ ڪري ٿي. حملن جو مقصد روس ۽ ڪجهه پاڙيسري ملڪن ۾ ريموٽ بينڪنگ سسٽم جي استعمال ڪندڙن تي آهي.
1. مقصد
آر ٽي ايم مهم جو مقصد ڪارپوريٽ صارفين لاءِ آهي - اهو عملن مان واضح آهي ته حملي ڪندڙ هڪ سمجھوتي نظام ۾ ڳولڻ جي ڪوشش ڪندا آهن. ريموٽ بينڪنگ سسٽم سان ڪم ڪرڻ لاءِ اڪائونٽنگ سافٽ ويئر تي ڌيان ڏنو ويو آهي.
RTM ۾ دلچسپي جي عملن جي فهرست بوهٽريپ گروپ جي لاڳاپيل فهرست وانگر آهي، پر گروپن ۾ مختلف انفيڪشن ویکٹر آهن. جيڪڏهن Buhtrap استعمال ڪيو جعلي صفحا گهڻو ڪري، پوء RTM استعمال ڪيو ڊرائيو ذريعي ڊائون لوڊ حملن (براؤزر يا ان جي اجزاء تي حملو) ۽ اي ميل ذريعي اسپامنگ. ٽيليميٽري ڊيٽا جي مطابق، خطري جو مقصد آهي روس ۽ ڪيترن ئي ويجھي ملڪن (يوڪرين، قزاقستان، چيڪ ريپبلڪ، جرمني). جڏهن ته، وڏي پئماني تي ورهائڻ واري ميڪانيزم جي استعمال جي ڪري، ٽارگيٽ علائقن کان ٻاهر مالويئر جو پتو لڳائڻ تعجب جي ڳالهه ناهي.
مالويئر ڳولڻ جو ڪل تعداد نسبتا ننڍڙو آهي. ٻئي طرف، آر ٽي ايم مهم پيچيده پروگرام استعمال ڪري ٿي، جنهن مان ظاهر ٿئي ٿو ته حملا انتهائي حدف ٿيل آهن.
اسان RTM پاران استعمال ڪيل ڪيترائي ٺڳي دستاويز دريافت ڪيا آهن، جن ۾ غير موجود معاهدا، انوائس يا ٽيڪس اڪائونٽنگ دستاويز شامل آهن. لالچ جي نوعيت، حملي پاران ٽارگيٽ ڪيل سافٽ ويئر جي قسم سان گڏ، اهو ظاهر ڪري ٿو ته حملو ڪندڙ اڪائونٽنگ ڊپارٽمينٽ ذريعي روسي ڪمپنين جي نيٽ ورڪ ۾ داخل ٿي رهيا آهن. گروپ ساڳئي منصوبي جي مطابق ڪم ڪيو 2014-2015 ۾
تحقيق دوران، اسان ڪيترن ئي سي ۽ سي سرورز سان رابطو ڪرڻ جي قابل ٿي ويا. اسان ھيٺ ڏنل سيڪشن ۾ ڪمانڊز جي مڪمل لسٽ ڏينداسين، پر ھاڻي اسان اھو چئي سگھون ٿا ته ڪلائنٽ ڊيٽا منتقل ڪري ٿو keylogger کان سڌو حملو ڪندڙ سرور تي، جتان وري اضافي حڪم مليا آھن.
بهرحال، اهي ڏينهن جڏهن توهان صرف هڪ ڪمانڊ ۽ ڪنٽرول سرور سان ڳنڍي سگهو ٿا ۽ سڀئي ڊيٽا گڏ ڪري سگهو ٿا جيڪي توهان ۾ دلچسپي وٺندا هئا. اسان سرور کان ڪجهه لاڳاپيل حڪم حاصل ڪرڻ لاءِ حقيقي لاگ فائلن کي ٻيهر بڻايو.
انهن مان پهريون 1c_to_kl.txt فائل کي منتقل ڪرڻ لاءِ بوٽ کي درخواست آهي - 1C جي هڪ ٽرانسپورٽ فائل: انٽرپرائز 8 پروگرام، جنهن جي ظاهري طور تي RTM پاران نگراني ڪئي وئي آهي. 1C هڪ ٽيڪسٽ فائل ۾ ٻاهرين ادائيگي تي ڊيٽا اپ لوڊ ڪندي ريموٽ بينڪنگ سسٽم سان رابطو ڪري ٿو. اڳيون، فائل کي ريموٽ بينڪنگ سسٽم ڏانهن موڪليو ويو آٽوميشن ۽ ادائيگي جي آرڊر تي عمل ڪرڻ لاءِ.
فائل ۾ ادائيگي جا تفصيل شامل آھن. جيڪڏهن حملو ڪندڙ ٻاهرئين ادائيگي بابت معلومات تبديل ڪندا، منتقلي موڪلي ويندي غلط تفصيل استعمال ڪندي حملي ڪندڙن جي اڪائونٽن تي.
ڪمانڊ ۽ ڪنٽرول سرور کان هنن فائلن جي درخواست ڪرڻ کان اٽڪل هڪ مهينو پوءِ، اسان ڏٺو ته هڪ نئون پلگ ان، 1c_2_kl.dll، سمجھوتي نظام تي لوڊ ٿي رهيو آهي. ماڊل (DLL) ڊزائين ڪيو ويو آهي خودڪار طريقي سان ڊائون لوڊ فائل جو تجزيو ڪرڻ لاءِ اڪائونٽنگ سافٽ ويئر جي عملن کي داخل ڪندي. اسان ان کي تفصيل سان هيٺ ڏنل حصن ۾ بيان ڪنداسين.
دلچسپ ڳالهه اها آهي ته بئنڪ آف روس جي FinCERT 2016 جي آخر ۾ 1c_to_kl.txt اپلوڊ فائلن کي استعمال ڪندي سائبر ڏوهن جي باري ۾ هڪ بليٽن وارننگ جاري ڪئي. 1C کان ڊولپر پڻ هن اسڪيم جي باري ۾ ڄاڻن ٿا؛ انهن اڳ ۾ ئي هڪ سرڪاري بيان ڪيو آهي ۽ احتياط جي فهرست ڏنل آهي.
ٻيا ماڊل پڻ ڪمانڊ سرور مان لوڊ ڪيا ويا، خاص طور تي VNC (ان جا 32 ۽ 64-bit ورجن). اهو VNC ماڊل وانگر آهي جيڪو اڳ ۾ استعمال ڪيو ويو ڊريڪس ٽرجن حملن ۾. هي ماڊل استعمال ڪيو ويندو آهي پري کان هڪ متاثر ٿيل ڪمپيوٽر سان ڳنڍڻ ۽ سسٽم جو تفصيلي مطالعو ڪرڻ لاءِ. اڳيون، حملو ڪندڙ نيٽ ورڪ جي چوڌاري منتقل ڪرڻ جي ڪوشش ڪندا، صارف پاسورڊ ڪڍڻ، معلومات گڏ ڪرڻ ۽ مالويئر جي مسلسل موجودگي کي يقيني بڻائي.
2. انفيڪشن جا ویکٹر
هيٺ ڏنل انگ اکر ڏيکاري ٿو انفيڪشن ویکٹرز مهم جي مطالعي واري عرصي دوران دريافت ڪيا ويا. گروپ ویکٹر جي وسيع رينج کي استعمال ڪري ٿو، پر خاص طور تي ڊرائيو ذريعي ڊائون لوڊ حملن ۽ اسپام. اهي اوزار ٽارگيٽ حملن لاءِ آسان آهن، ڇاڪاڻ ته پهرين صورت ۾، حملي آور انهن سائيٽن کي چونڊي سگهن ٿا جن جو دورو ڪيو ويو امڪاني متاثرين، ۽ ٻئي ۾، اهي اي ميل موڪلي سگهن ٿا منسلڪات سان سڌو سنئون گهربل ڪمپني جي ملازمن کي.
مالويئر ڪيترن ئي چينلن ذريعي ورهايو ويو آهي، بشمول RIG ۽ Sundown استحصال ڪٽس يا اسپام ميلنگ، انهن خدمتن کي پيش ڪندڙ حملي ڪندڙن ۽ ٻين سائبر حملي ڪندڙن جي وچ ۾ رابطن کي ظاهر ڪري ٿو.
2.1. RTM ۽ Buhtrap ڪيئن لاڳاپيل آهن؟
آر ٽي ايم مهم جو تمام گهڻو ملندڙ جلندڙ آهي Buhtrap. قدرتي سوال آهي: اهي ڪيئن هڪ ٻئي سان لاڳاپيل آهن؟
سيپٽمبر 2016 ۾، اسان ڏٺو ته هڪ RTM نموني ورهائي رهيو آهي بوهٽريپ اپلوڊر استعمال ڪندي. اضافي طور تي، اسان کي ٻه ڊجيٽل سرٽيفڪيٽ مليا آهن استعمال ٿيل ٻنهي Buhtrap ۽ RTM.
پهريون، مبينا طور تي ڪمپني DNISTER-M کي جاري ڪيو ويو، ٻئي ڊيلفي فارم (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) ۽ بوهٽراپ ڊي ايل ايل (SHA-1: 1E2642B454CD2BD889BD6DL 41116).
ٻيو هڪ، بٽ ٽريج کي جاري ڪيو ويو، BUHTRAKERS (SHA-1: 7C1b6b1713bl923B243B.80002E9be93be292be74be)
RTM آپريٽرس سرٽيفڪيٽ استعمال ڪندا آھن جيڪي عام آھن ٻين مالويئر خاندانن لاءِ، پر انھن وٽ پڻ ھڪڙو منفرد سرٽيفڪيٽ آھي. ESET ٽيليميٽري جي مطابق، اهو Kit-SD ڏانهن جاري ڪيو ويو هو ۽ صرف ڪجهه RTM مالويئر (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6) تي دستخط ڪرڻ لاءِ استعمال ڪيو ويو هو.
RTM ساڳيو لوڊر استعمال ڪري ٿو جيئن بوهٽريپ، RTM اجزاء بوهٽراپ انفراسٽرڪچر مان لوڊ ڪيا ويا آهن، تنهنڪري گروپن ۾ ساڳيا نيٽ ورڪ اشارا آهن. جڏهن ته، اسان جي اندازن مطابق، RTM ۽ Buhtrap مختلف گروپ آهن، گهٽ ۾ گهٽ ڇاڪاڻ ته RTM مختلف طريقن سان ورهايل آهي (نه صرف "پرڏيهي" ڊائون لوڊ ڪندڙ استعمال ڪندي).
ان جي باوجود، هيڪر گروپ ساڳيا آپريٽنگ اصول استعمال ڪن ٿا. اهي اڪائونٽنگ سافٽ ويئر استعمال ڪندي ڪاروبار کي نشانو بڻائيندا آهن، ساڳئي طرح سسٽم جي معلومات گڏ ڪرڻ، سمارٽ ڪارڊ پڙهندڙن جي ڳولا، ۽ متاثرين تي جاسوسي ڪرڻ لاء بدسلوڪي اوزار جي هڪ صف کي ترتيب ڏيڻ.
3. ارتقا
هن حصي ۾، اسين مطالعي دوران مليل مالويئر جي مختلف نسخن تي نظر ڪنداسين.
3.1. ورجن ڪرڻ
RTM اسٽورن جي ترتيب واري ڊيٽا کي رجسٽري سيڪشن ۾، سڀ کان وڌيڪ دلچسپ حصو botnet-prefix آهي. انهن سڀني قدرن جي هڪ فهرست جيڪي اسان نموني ۾ ڏٺيون آهن انهن کي هيٺ ڏنل جدول ۾ پيش ڪيو ويو آهي.
اهو ممڪن آهي ته قدر مالويئر نسخن کي رڪارڊ ڪرڻ لاء استعمال ڪري سگهجي ٿي. بهرحال، اسان نسخن جي وچ ۾ گهڻو فرق محسوس نه ڪيو آهي جهڙوڪ bit2 ۽ bit3، 0.1.6.4 ۽ 0.1.6.6. ان کان علاوه، ھڪڙو اڳڪٿي شروع کان وٺي رھيو آھي ۽ ھڪ عام C&C ڊومين مان .bit ڊومين تائين ترقي ڪري چڪو آھي، جيئن ھيٺ ڏيکاريو ويندو.
3.2. شيڊول
ٽيليميٽري ڊيٽا استعمال ڪندي، اسان نموني جي موجودگي جو گراف ٺاهيو.
4. ٽيڪنيڪل تجزيو
هن حصي ۾، اسين RTM بئنڪنگ ٽروجن جي مکيه ڪمن کي بيان ڪنداسين، بشمول مزاحمتي ميڪانيزم، RC4 الگورٿم جو پنهنجو نسخو، نيٽ ورڪ پروٽوڪول، جاسوسي ڪارڪردگي ۽ ڪجهه ٻيون خاصيتون. خاص طور تي، اسان SHA-1 نموني تي ڌيان ڏينداسين AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 ۽ 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. تنصيب ۽ بچت
4.1.1. عمل درآمد
RTM ڪور هڪ DLL آهي، لائبريري .EXE استعمال ڪندي ڊسڪ تي لوڊ ڪئي وئي آهي. قابل عمل فائل عام طور تي پيڪيج ٿيل آهي ۽ DLL ڪوڊ تي مشتمل آهي. هڪ دفعو شروع ڪيو، اهو DLL ڪڍي ٿو ۽ ان کي هيٺ ڏنل حڪم استعمال ڪندي هلائي ٿو:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. ڊي ايل ايل
مکيه DLL هميشه %PROGRAMDATA%Winlogon فولڊر ۾ winlogon.lnk طور ڊسڪ تي لوڊ ڪيو ويندو آهي. هي فائل ايڪسٽينشن عام طور تي شارٽ ڪٽ سان جڙيل آهي، پر فائل اصل ۾ ڊيلفي ۾ لکيل هڪ DLL آهي، جنهن جو نالو core.dll ڊولپر طرفان رکيو ويو آهي، جيئن هيٺ ڏنل تصوير ۾ ڏيکاريل آهي.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
هڪ دفعو شروع ڪيو، ٽروجن پنهنجي مزاحمتي ميڪانيزم کي چالو ڪري ٿو. اهو ٻن مختلف طريقن سان ٿي سگهي ٿو، سسٽم ۾ قرباني جي استحقاق تي منحصر آهي. جيڪڏهن توهان وٽ ايڊمنسٽريٽر جا حق آهن، ته ٽروجن HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun رجسٽري ۾ ونڊوز اپڊيٽ داخل ڪري ٿو. Windows Update ۾ شامل ڪمانڊ استعمال ڪندڙ جي سيشن جي شروعات تي هلندا.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows اپڊيٽ [REG_SZ] = rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject ميزبان
ٽروجن پڻ ونڊوز ٽاسڪ شيڊيولر ۾ ڪم شامل ڪرڻ جي ڪوشش ڪري ٿو. ٽاسڪ winlogon.lnk DLL کي شروع ڪندو ساڳيو پيٽرولن سان جيئن مٿي. باقاعده استعمال ڪندڙ حق ٽروجن کي HKCUSoftwareMicrosoftWindowsCurrentVersionRun رجسٽري ۾ ساڳئي ڊيٽا سان ونڊوز اپڊيٽ داخل ڪرڻ جي اجازت ڏين ٿا:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. تبديل ٿيل RC4 الگورتھم
ان جي سڃاتل نقصن جي باوجود، RC4 الورورٿم باقاعده استعمال ڪيو ويندو آهي مالويئر ليکڪرن طرفان. بهرحال، آر ٽي ايم جي ٺاهيندڙن ان کي ٿورو تبديل ڪيو، شايد وائرس جي تجزيه نگارن جي ڪم کي وڌيڪ ڏکيو بڻائڻ لاء. RC4 جو هڪ تبديل ٿيل نسخو وڏي پيماني تي استعمال ڪيو ويندو آهي بدسلوڪي RTM ٽولز ۾ انڪرپٽ اسٽرنگ، نيٽ ورڪ ڊيٽا، ترتيب ۽ ماڊلز.
4.2.1. اختلاف
اصل RC4 الورورٿم ۾ ٻه مرحلا شامل آهن: s-block جي شروعات (aka KSA - Key-Scheduling Algorithm) ۽ pseudo-random sequence Generation (PRGA - Pseudo-Random Generation Algorithm). پهرئين مرحلي ۾ ڪني کي استعمال ڪندي ايس-باڪس کي شروع ڪرڻ شامل آهي، ۽ ٻئي مرحلي ۾ انڪريپشن لاءِ ايس-باڪس استعمال ڪندي سورس ٽيڪسٽ کي پروسيس ڪيو ويندو آهي.
RTM ليکڪ شامل ڪيو هڪ وچولي قدم s-box جي شروعات ۽ انڪرپشن جي وچ ۾. اضافي ڪنجي متغير آهي ۽ ساڳئي وقت سيٽ ڪئي وئي آهي جيئن ڊيٽا کي انڪرپٽ ۽ ڊڪرپٽ ڪيو وڃي. فنڪشن جيڪو هن اضافي قدم کي انجام ڏئي ٿو هيٺ ڏنل شڪل ۾ ڏيکاريل آهي.
4.2.2. اسٽرنگ انڪرپشن
پهرين نظر ۾، مکيه ڊي ايل ايل ۾ ڪيترائي پڙهڻ لائق لائينون آهن. باقي مٿي بيان ڪيل الگورتھم استعمال ڪندي انڪريپٽ ٿيل آھن، جنھن جي جوڙجڪ ھيٺ ڏنل شڪل ۾ ڏيکاريل آھي. اسان 25 کان وڌيڪ مليا مختلف RC4 ڪنجيون اسٽرنگ انڪرپشن لاءِ تجزيي ٿيل نمونن ۾. XOR چيڪ هر قطار لاء مختلف آهي. انگن اکرن کي الڳ ڪرڻ واري لائين جي قيمت هميشه 0xFFFFFFFF آهي.
عمل جي شروعات ۾، RTM تارن کي عالمي متغير ۾ رد ڪري ٿو. جڏهن هڪ اسٽرنگ تائين رسائي جي ضرورت هجي، ٽروجن متحرڪ طور تي ڊيڪرپٽ ٿيل اسٽرنگ جي ايڊريس جو حساب ڪري ٿو بنيادي پتي جي بنياد تي ۽ آفسيٽ.
تارن ۾ مالويئر جي ڪمن بابت دلچسپ معلومات شامل آهي. ڪجھ مثال اسٽرنگ سيڪشن 6.8 ۾ مهيا ڪيا ويا آھن.
4.3. نيٽ ورڪ
RTM مالويئر جو C&C سرور سان رابطو ڪرڻ جو طريقو ورجن کان ورزن تائين مختلف آهي. پهرين ترميمون (آڪٽوبر 2015 - اپريل 2016) استعمال ڪيو روايتي ڊومين نالن سان گڏ آر ايس ايس فيڊ livejournal.com تي حڪمن جي لسٽ کي اپڊيٽ ڪرڻ لاءِ.
اپريل 2016 کان وٺي، اسان ٽيلي ميٽري ڊيٽا ۾ .bit ڊومينز ڏانهن شفٽ ڏٺو آهي. اها تصديق ٿيل آهي ڊومين جي رجسٽريشن جي تاريخ - پهريون RTM ڊومين fde05d0573da.bit 13 مارچ 2016 تي رجسٽر ٿيو.
سڀئي URL جيڪي اسان ڏٺا هئا مهم جي نگراني دوران هڪ عام رستو هو: /r/z.php. اهو ڪافي غير معمولي آهي ۽ اهو نيٽ ورڪ وهڪري ۾ RTM درخواستن کي سڃاڻڻ ۾ مدد ڪندو.
4.3.1. حڪم ۽ ڪنٽرول لاء چينل
ميراثي مثال هن چينل کي استعمال ڪيو انهن جي لسٽ کي اپڊيٽ ڪرڻ لاءِ ڪمانڊ ۽ ڪنٽرول سرور. هوسٽنگ تي واقع آهي livejournal.com، رپورٽ لکڻ جي وقت تي اها URL تي رهي hxxp://f72bba81c921(.)livejournal(.)com/data/rss.
Livejournal هڪ روسي-آمريڪي ڪمپني آهي جيڪا هڪ بلاگنگ پليٽ فارم مهيا ڪري ٿي. RTM آپريٽرز هڪ LJ بلاگ ٺاهيندا آهن جنهن ۾ اهي ڪوڊ ڪيل حڪمن سان هڪ آرٽيڪل پوسٽ ڪندا آهن - اسڪرين شاٽ ڏسو.
ڪمانڊ ۽ ڪنٽرول لائينز انڪوڊ ٿيل آھن ھڪڙي تبديل ٿيل RC4 الگورٿم استعمال ڪندي (سيڪشن 4.2). چينل جو موجوده ورزن (نومبر 2016) ھيٺ ڏنل حڪم ۽ ڪنٽرول سرور ايڊريس تي مشتمل آھي:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. .bit ڊومينز
سڀ کان تازو RTM نموني ۾، ليکڪ .bit TLD اعلي سطحي ڊومين استعمال ڪندي C&C ڊومينز سان ڳنڍيندا آهن. اهو نه آهي ICANN (ڊومين جو نالو ۽ انٽرنيٽ ڪارپوريشن) مٿين سطح جي ڊومينز جي فهرست. ان جي بدران، اهو استعمال ڪري ٿو Namecoin سسٽم، جيڪو Bitcoin ٽيڪنالاجي جي چوٽي تي ٺهيل آهي. مالويئر ليکڪ اڪثر نه استعمال ڪندا آهن .bit TLD انهن جي ڊومينز لاءِ، جيتوڻيڪ اهڙي استعمال جو هڪ مثال اڳ ۾ Necurs botnet جي نسخي ۾ ڏٺو ويو آهي.
Bitcoin جي برعڪس، ورهايل Namecoin ڊيٽابيس جي صارفين کي ڊيٽا محفوظ ڪرڻ جي صلاحيت آهي. ھن خصوصيت جي مکيه ايپليڪيشن .bit مٿين سطح جي ڊومين آھي. توهان ڊومين رجسٽر ڪري سگهو ٿا جيڪي ورهايل ڊيٽابيس ۾ محفوظ ڪيا ويندا. ڊيٽابيس ۾ لاڳاپيل داخلائن ۾ ڊومين پاران حل ڪيل IP پتي شامل آهن. هي TLD "سينسرشپ-مزاحمتي" آهي ڇو ته صرف رجسٽرار .bit ڊومين جي قرارداد کي تبديل ڪري سگهي ٿو. هن جو مطلب اهو آهي ته هن قسم جي TLD استعمال ڪندي بدسلوڪي ڊومين کي روڪڻ تمام گهڻو ڏکيو آهي.
RTM ٽروجن ورهايل Namecoin ڊيٽابيس کي پڙهڻ لاءِ ضروري سافٽ ويئر شامل نه ڪندو آهي. اهو .bit ڊومينز کي حل ڪرڻ لاءِ مرڪزي DNS سرورز جهڙوڪ dns.dot-bit.org يا OpenNic سرور استعمال ڪري ٿو. تنهن ڪري، اهو ساڳيو استحڪام آهي DNS سرورز وانگر. اسان ڏٺو آهي ته ڪجهه ٽيم ڊومينز بلاگ پوسٽ ۾ ذڪر ٿيڻ کان پوءِ نه ڳوليا ويا.
هيڪرز لاءِ .bit TLD جو ٻيو فائدو قيمت آهي. ڊومين رجسٽر ڪرڻ لاءِ، آپريٽرن کي صرف 0,01 NK ادا ڪرڻ جي ضرورت آھي، جيڪا $0,00185 جي برابر آھي (جي مطابق ڊسمبر 5، 2016). مقابلي لاءِ، domain.com قيمت گھٽ ۾ گھٽ $10.
4.3.3. پروٽوڪول
ڪمانڊ ۽ ڪنٽرول سرور سان رابطو ڪرڻ لاءِ، RTM استعمال ڪري ٿو HTTP POST درخواستن سان گڏ ڊيٽا فارميٽ ٿيل ڪسٽم پروٽوڪول استعمال ڪندي. رستي جو قدر هميشه آهي /r/z.php؛ Mozilla/5.0 يوزر ايجنٽ (مطابقت؛ MSIE 9.0؛ Windows NT 6.1؛ Trident/5.0). سرور جي درخواستن ۾، ڊيٽا ھيٺ ڏنل فارميٽ ڪئي وئي آھي، جتي آفسٽ ويلز بائيٽ ۾ بيان ڪيا ويا آھن:
بائيٽ 0 کان 6 انڪوڊ ٿيل نه آهن؛ 6 کان شروع ٿيندڙ بائيٽس تبديل ٿيل RC4 الگورتھم استعمال ڪندي انڪوڊ ٿيل آھن. سي ۽ سي جوابي پيڪيٽ جي جوڙجڪ آسان آهي. بائيٽ انڪوڊ ٿيل آهن 4 کان پيڪٽ سائيز تائين.
ممڪن عمل جي بائيٽ ويلن جي فهرست ھيٺ ڏنل جدول ۾ پيش ڪئي وئي آھي:
مالويئر هميشه ڊيڪرپٽ ٿيل ڊيٽا جي CRC32 کي ڳڻائي ٿو ۽ ان سان موازنہ ڪري ٿو جيڪو پيڪٽ ۾ موجود آهي. جيڪڏهن اهي مختلف آهن، ٽرجن پيڪٽ کي ڦٽو ڪري ٿو.
اضافي ڊيٽا ۾ مختلف شيون شامل ٿي سگھن ٿيون، جن ۾ PE فائل، فائل سسٽم ۾ ڳولھيو وڃي، يا نئين حڪم URLs.
4.3.4. پينل
اسان ڏٺو ته RTM C&C سرورز تي پينل استعمال ڪري ٿو. هيٺ ڏنل اسڪرين شاٽ:
4.4. خاصيت جي نشاني
RTM هڪ عام بئنڪنگ ٽروجن آهي. اها ڪا به تعجب ناهي ته آپريٽرز قرباني جي سسٽم بابت معلومات چاهيندا آهن. هڪ پاسي، بوٽ OS بابت عام معلومات گڏ ڪري ٿو. ٻئي طرف، اهو معلوم ٿئي ٿو ته ڇا سمجھوتي نظام ۾ روسي ريموٽ بينڪنگ سسٽم سان لاڳاپيل خاصيتون شامل آهن.
4.4.1. عام معلومات
جڏهن مالويئر انسٽال ڪيو ويندو آهي يا ريبوٽ کان پوءِ لانچ ڪيو ويندو آهي، هڪ رپورٽ موڪلي ويندي آهي ڪمانڊ ۽ ڪنٽرول سرور ڏانهن جنهن ۾ عام معلومات شامل هوندي آهي:
- ٽائيم زون؛
- ڊفالٽ سسٽم ٻولي؛
- مجاز صارف سندون؛
- عمل جي سالميت جي سطح؛
- استعمال ڪندڙ جو نالو؛
- ڪمپيوٽر جو نالو؛
- او ايس ورزن؛
- اضافي نصب ٿيل ماڊل؛
- انسٽال ٿيل اينٽي وائرس پروگرام؛
- سمارٽ ڪارڊ پڙهندڙن جي فهرست.
4.4.2 ريموٽ بئنڪنگ سسٽم
ھڪڙو عام ٽرجن ھدف ھڪڙو ريموٽ بينڪنگ سسٽم آھي، ۽ RTM ڪو استثنا نه آھي. پروگرام جي ماڊلز مان هڪ کي TBdo سڏيو ويندو آهي، جيڪو مختلف ڪمن کي انجام ڏئي ٿو، بشمول ڊسڪ اسڪيننگ ۽ برائوزنگ تاريخ.
ڊسڪ کي اسڪين ڪرڻ سان، ٽروجن چيڪ ڪري ٿو ته ڇا بينڪنگ سافٽ ويئر مشين تي نصب ٿيل آهي. ھدف جي پروگرامن جي مڪمل فهرست ھيٺ ڏنل جدول ۾ آھي. دلچسپي جي ھڪڙي فائل کي ڳولي رھيا آھن، پروگرام معلومات موڪلي ٿو ڪمانڊ سرور ڏانھن. ايندڙ ڪارناما ڪمانڊ سينٽر (C&C) الگورتھم پاران بيان ڪيل منطق تي منحصر آهن.
RTM توهان جي برائوزر جي تاريخ ۽ کليل ٽيب ۾ URL نمونن کي پڻ ڳولي ٿو. ان کان علاوه، پروگرام FindNextUrlCacheEntryA ۽ FindFirstUrlCacheEntryA افعال جي استعمال جي جانچ ڪري ٿو، ۽ پڻ هر داخلا چيڪ ڪري ٿو URL کي هيٺين نمونن مان هڪ سان ملائڻ لاءِ:
کليل ٽيب کي ڳولڻ کان پوء، ٽروجن انٽرنيٽ ايڪسپلورر يا فائر فاکس سان رابطو ڪري ٿو متحرڪ ڊيٽا ايڪسچينج (DDE) ميڪانيزم ذريعي چيڪ ڪرڻ لاء ته ڇا ٽيب نموني سان ملندو آهي.
توهان جي برائوزنگ جي تاريخ ۽ اوپن ٽيب جي چڪاس WHILE لوپ ۾ ڪئي ويندي آهي (هڪ لوپ اڳي شرط سان) چيڪن جي وچ ۾ 1 سيڪنڊ وقفي سان. ٻيو ڊيٽا جيڪو حقيقي وقت ۾ مانيٽر ڪيو ويندو سيڪشن 4.5 ۾ بحث ڪيو ويندو.
جيڪڏهن هڪ نمونو مليو آهي، پروگرام هن کي رپورٽ ڪري ٿو ڪمانڊ سرور کي هيٺ ڏنل جدول مان اسٽرنگ جي فهرست استعمال ڪندي:
4.5 مانيٽرنگ
جڏهن ٽروجن هلندي آهي، متاثر ٿيل سسٽم جي خاصيتن جي باري ۾ معلومات (بشمول بئنڪنگ سافٽ ويئر جي موجودگي بابت معلومات) ڪمانڊ ۽ ڪنٽرول سرور ڏانهن موڪليو ويو آهي. فنگر پرنٽنگ تڏهن ٿيندي آهي جڏهن RTM پهرين او ايس اسڪين کان پوءِ فوري طور تي مانيٽرنگ سسٽم هلائيندو آهي.
4.5.1. ريموٽ بئنڪنگ
TBdo ماڊل بئنڪنگ سان لاڳاپيل عملن جي نگراني لاءِ پڻ ذميوار آهي. اهو استعمال ڪري ٿو متحرڪ ڊيٽا مٽائڻ لاءِ ٽيب چيڪ ڪرڻ لاءِ فائر فاڪس ۽ انٽرنيٽ ايڪسپلورر ۾ شروعاتي اسڪين دوران. ٻيو TShell ماڊل ڪمانڊ ونڊوز (انٽرنيٽ ايڪسپلورر يا فائل ايڪسپلورر) مانيٽر ڪرڻ لاءِ استعمال ڪيو ويندو آهي.
ماڊل ونڊوز مانيٽر ڪرڻ لاءِ COM انٽرفيس IShellWindows، iWebBrowser، DWebBrowserEvents2 ۽ IConnectionPointContainer استعمال ڪري ٿو. جڏهن هڪ صارف هڪ نئين ويب پيج تي نيويگيٽ ڪري ٿو، مالويئر هن کي نوٽ ڪري ٿو. اهو پوءِ صفحي جي URL کي مٿين نمونن سان ڀيٽي ٿو. هڪ ميچ ڳولڻ سان، ٽروجن 5 سيڪنڊن جي وقفي سان لڳاتار ڇهه اسڪرين شاٽ وٺندو آهي ۽ انهن کي C&S ڪمانڊ سرور ڏانهن موڪلي ٿو. پروگرام بئنڪنگ سافٽ ويئر سان لاڳاپيل ڪجهه ونڊو نالن کي به چيڪ ڪري ٿو - مڪمل فهرست هيٺ ڏنل آهي:
4.5.2. سمارٽ ڪارڊ
RTM توهان کي متاثر ٿيل ڪمپيوٽرن سان ڳنڍيل سمارٽ ڪارڊ پڙهندڙن جي نگراني ڪرڻ جي اجازت ڏئي ٿي. اهي ڊوائيس ڪجهه ملڪن ۾ ادائگي جي حڪمن کي گڏ ڪرڻ لاء استعمال ڪيا ويا آهن. جيڪڏهن هن قسم جي ڊوائيس ڪمپيوٽر سان ڳنڍيل آهي، اهو هڪ ٽروجن ڏانهن اشارو ڪري سگهي ٿو ته مشين بينڪن جي ٽرانزيڪشن لاء استعمال ڪيو پيو وڃي.
ٻين بئنڪنگ ٽروجن جي برعڪس، RTM اهڙن سمارٽ ڪارڊن سان رابطو نٿو ڪري سگهي. شايد هي ڪارڪردگي هڪ اضافي ماڊل ۾ شامل آهي جيڪا اسان اڃا تائين نه ڏٺو آهي.
4.5.3. Keylogger
هڪ متاثر ٿيل پي سي جي نگراني جو هڪ اهم حصو ڪي اسٽروڪ کي پڪڙڻ آهي. اهو لڳي ٿو ته RTM ڊولپرز ڪا به معلومات نه وڃائي رهيا آهن، ڇاڪاڻ ته اهي نه رڳو باقاعده ڪنجيون، پر مجازي ڪيبورڊ ۽ ڪلپ بورڊ پڻ.
هن کي ڪرڻ لاء، استعمال ڪريو SetWindowsHookExA فنڪشن. حملو ڪندڙ لاگ ان ڪن ٿا ڪن کي دٻايو يا ورچوئل ڪيبورڊ سان لاڳاپيل ڪنجيون، پروگرام جي نالي ۽ تاريخ سان گڏ. بفر وري سي ۽ سي ڪمانڊ سرور ڏانهن موڪليو ويو آهي.
SetClipboardViewer فنڪشن ڪلپ بورڊ کي مداخلت ڪرڻ لاء استعمال ڪيو ويندو آهي. هيڪرز ڪلپ بورڊ جي مواد کي لاگ ان ڪندا آهن جڏهن ڊيٽا متن آهي. نالو ۽ تاريخ پڻ لاگ ان ٿيل آھن بفر کي سرور ڏانھن موڪلڻ کان اڳ.
4.5.4. اسڪرين شاٽ
ٻيو RTM فنڪشن اسڪرين شاٽ مداخلت آهي. خصوصيت لاڳو ڪئي ويندي آهي جڏهن ونڊو مانيٽرنگ ماڊل ڪنهن سائيٽ يا بينڪنگ سافٽ ويئر جي دلچسپي کي ڳولي ٿو. اسڪرين شاٽ گرافڪ تصويرن جي لائبريري استعمال ڪندي ورتو وڃي ٿو ۽ ڪمانڊ سرور ڏانهن منتقل ڪيو ويو آهي.
4.6. تنصيب
C&C سرور مالويئر کي هلائڻ کان روڪي سگهي ٿو ۽ توهان جي ڪمپيوٽر کي صاف ڪري سگهي ٿو. حڪم توهان کي فائلن کي صاف ڪرڻ جي اجازت ڏئي ٿو ۽ RTM هلائي رهيو آهي جڏهن ٺاهيل رجسٽري داخلا. DLL پوءِ مالويئر ۽ ونلوگون فائل کي هٽائڻ لاءِ استعمال ڪيو ويندو آهي، جنهن کان پوءِ ڪمانڊ ڪمپيوٽر کي بند ڪري ڇڏيندو آهي. جيئن هيٺ ڏنل تصوير ۾ ڏيکاريل آهي، ڊي ايل ايل ڊولپرز طرفان erase.dll استعمال ڪندي هٽايو ويو آهي.
سرور موڪلي سگھي ٿو ٽروجن کي هڪ تباهي واري انسٽال-لاڪ حڪم. انهي صورت ۾، جيڪڏهن توهان وٽ منتظم جا حق آهن، آر ٽي ايم هارڊ ڊرائيو تي ايم بي آر بوٽ شعبي کي ختم ڪري ڇڏيندو. جيڪڏهن اهو ناڪام ٿئي ٿو، ٽروجن MBR بوٽ شعبي کي بي ترتيب واري شعبي ڏانهن منتقل ڪرڻ جي ڪوشش ڪندو - پوء ڪمپيوٽر بند ٿيڻ کان پوء او ايس کي بوٽ ڪرڻ جي قابل نه هوندو. اهو OS جي مڪمل بحالي جي ڪري سگھي ٿو، جنهن جو مطلب آهي ثبوت جي تباهي.
منتظم جي استحقاق کان سواء، مالويئر هڪ .EXE انڪوڊ ٿيل RTM DLL ۾ لکي ٿو. قابل عمل ڪمپيوٽر کي بند ڪرڻ لاءِ گهربل ڪوڊ تي عمل ڪري ٿو ۽ ماڊل کي HKCUCurrentVersionRun رجسٽري چيڪ ۾ رجسٽر ڪري ٿو. هر وقت صارف هڪ سيشن شروع ڪري ٿو، ڪمپيوٽر کي فوري طور تي بند ڪري ٿو.
4.7. ٺاھ جوڙ فائيل
ڊفالٽ طور، RTM وٽ لڳ ڀڳ ڪا به ترتيب واري فائل نه آهي، پر ڪمانڊ ۽ ڪنٽرول سرور موڪلي سگھي ٿو ترتيب جي قيمت جيڪي رجسٽري ۾ محفوظ ڪيون وينديون ۽ پروگرام پاران استعمال ڪيون وينديون. تشڪيل ڪنجين جي فهرست ھيٺ ڏنل جدول ۾ پيش ڪئي وئي آھي:
ٺاھ جوڙ کي سافٽ ويئر ۾ محفوظ ڪيو ويو آھي [Pseudo-random string] registry key. هر قدر پوئين جدول ۾ پيش ڪيل قطارن مان هڪ سان ملندو آهي. قدر ۽ ڊيٽا RTM ۾ RC4 الگورتھم استعمال ڪندي انڪوڊ ٿيل آھن.
ڊيٽا کي ھڪڙي نيٽ ورڪ يا اسٽرنگ وانگر ھڪڙي جوڙجڪ آھي. انڪوڊ ٿيل ڊيٽا جي شروعات ۾ هڪ چار بائيٽ XOR چاٻي شامل ڪئي وئي آهي. تشڪيل جي قدرن لاءِ، XOR ڪيئي مختلف آھي ۽ قيمت جي سائيز تي منحصر آھي. اهو هن ريت حساب ڪري سگهجي ٿو:
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)
4.8. ٻيا ڪم
اڳيون، اچو ته ٻين ڪمن تي نظر رکون جيڪي RTM سپورٽ ڪري ٿو.
4.8.1. اضافي ماڊلز
ٽرجن ۾ اضافي ماڊل شامل آهن، جيڪي DLL فائلون آهن. C&C ڪمانڊ سرور مان موڪليل ماڊيولز خارجي پروگرامن جي طور تي ڪم ڪري سگھجن ٿا، ريم ۾ عڪاسي ۽ نون ٿريڊز ۾ لانچ ڪيا وڃن. اسٽوريج لاءِ، ماڊلز .dtt فائلن ۾ محفوظ ڪيا ويا آهن ۽ RC4 الورورٿم استعمال ڪندي انڪوڊ ٿيل آهن ساڳي ڪيچ نيٽ ورڪ ڪميونيڪيشن لاءِ استعمال ٿيل آهن.
هن وقت تائين اسان VNC ماڊل جي تنصيب کي ڏٺو آهي (8966319882494077C21F66A8354E2CBCA0370464)، برائوزر ڊيٽا ڪڍڻ وارو ماڊل (03DE8622BE6B2F75A364A275995C3411626A4C9Module) 1E2F1EFC562FBA1 B69BE6D58B88753E7CFAB).
VNC ماڊل لوڊ ڪرڻ لاءِ، C&C سرور هڪ حڪم جاري ڪري ٿو VNC سرور سان ڪنيڪشن جي درخواست ڪري هڪ مخصوص IP پتي تي پورٽ 44443 تي. برائوزر ڊيٽا حاصل ڪرڻ وارو پلگ ان TBrowserDataCollector تي عمل ڪري ٿو، جيڪو IE برائوزنگ جي تاريخ پڙهي سگهي ٿو. پوءِ اهو موڪلي ٿو دورو ڪيل URLs جي مڪمل فهرست C&C ڪمانڊ سرور ڏانهن.
دريافت ڪيل آخري ماڊل کي 1c_2_kl سڏيو ويندو آهي. اهو 1C انٽرپرائز سافٽ ويئر پيڪيج سان رابطو ڪري سگھي ٿو. ماڊل ۾ ٻه حصا شامل آهن: مکيه حصو - ڊي ايل ايل ۽ ٻه ايجنٽ (32 ۽ 64 بٽ)، جيڪي هر پروسيس ۾ داخل ڪيا ويندا، WH_CBT تي پابند رجسٽر ڪرڻ. 1C پروسيس ۾ متعارف ڪرايو ويو آهي، ماڊل ٺاهيل فائل ۽ WriteFile افعال کي پابند ڪري ٿو. جڏهن به CreateFile پابند فنڪشن کي سڏيو ويندو آهي، ماڊل ميموري ۾ فائل جو رستو 1c_to_kl.txt محفوظ ڪري ٿو. WriteFile ڪال کي مداخلت ڪرڻ کان پوء، اهو WriteFile فنڪشن کي سڏي ٿو ۽ فائل جي رستي 1c_to_kl.txt کي مکيه DLL ماڊل ڏانهن موڪلي ٿو، ان کي ترتيب ڏنل ونڊوز WM_COPYDATA پيغام کي منتقل ڪندي.
مکيه DLL ماڊل کوليو ۽ فائل کي پارس ڪري ٿو ادائگي جي آرڊر کي طئي ڪرڻ لاءِ. اهو فائل ۾ موجود رقم ۽ ٽرانزيڪشن نمبر کي سڃاڻي ٿو. اها معلومات ڪمانڊ سرور ڏانهن موڪلي وئي آهي. اسان سمجهون ٿا ته هي ماڊل في الحال ترقي هيٺ آهي ڇاڪاڻ ته ان ۾ هڪ ڊيبگ پيغام آهي ۽ 1c_to_kl.txt خودڪار طريقي سان تبديل نٿو ڪري سگهي.
4.8.2. استحقاق وڌائڻ
RTM غلط غلطي پيغام ڏيکاريندي استحقاق وڌائڻ جي ڪوشش ڪري سگھي ٿي. مالويئر هڪ رجسٽري چيڪ کي نقل ڪري ٿو (هيٺ ڏنل تصوير ڏسو) يا حقيقي رجسٽري ايڊيٽر آئڪن استعمال ڪري ٿو. مهرباني ڪري نوٽ ڪريو غلط اسپيلنگ انتظار - ڇا. اسڪيننگ جي چند سيڪنڊن کان پوء، پروگرام هڪ غلط غلطي پيغام ڏيکاري ٿو.
گرامر جي غلطين جي باوجود، غلط پيغام آساني سان اوسط استعمال ڪندڙ کي ٺڳيندو. جيڪڏهن صارف ٻن لنڪن مان هڪ تي ڪلڪ ڪري ٿو، آر ٽي ايم سسٽم ۾ پنهنجي استحقاق کي وڌائڻ جي ڪوشش ڪندو.
ٻن وصولي اختيارن مان هڪ کي چونڊڻ کان پوء، ٽروجن شروع ڪري ٿو DLL استعمال ڪندي رناس آپشن ۾ ShellExecute فنڪشن ۾ منتظم جي استحقاق سان. صارف هڪ حقيقي ونڊوز پرامٽ ڏسندو (هيٺ ڏنل تصوير ڏسو) بلندي لاءِ. جيڪڏهن صارف ضروري اجازت ڏئي ٿو، ٽروجن منتظم جي استحقاق سان هلندو.
سسٽم تي نصب ڪيل ڊفالٽ ٻولي تي مدار رکندي، ٽروجن روسي يا انگريزي ۾ غلطي پيغام ڏيکاري ٿو.
4.8.3. سرٽيفڪيٽ
RTM ونڊوز اسٽور ۾ سرٽيفڪيٽ شامل ڪري سگهي ٿو ۽ csrss.exe ڊائلاگ باڪس ۾ "ها" بٽڻ کي خودڪار طور تي ڪلڪ ڪندي اضافي جي اعتبار جي تصديق ڪري سگهي ٿو. اهو رويو نئون ناهي؛ مثال طور، بينڪنگ ٽروجن ريٽيف پڻ آزاد طور تي نئين سرٽيفڪيٽ جي تنصيب جي تصديق ڪري ٿي.
4.8.4. ريورس ڪنيڪشن
RTM ليکڪ پڻ ٺاهيا Backconnect TCP سرنگ. اسان فيچر کي اڃان تائين استعمال ۾ نه ڏٺو آهي، پر اهو ٺهيل آهي ته جيئن انفڪشن ٿيل پي سيز کي ريموٽ مانيٽر ڪري.
4.8.5. ميزبان فائل جو انتظام
سي ۽ سي سرور ٽروجن کي ونڊوز ميزبان فائل کي تبديل ڪرڻ لاءِ حڪم موڪلي سگھي ٿو. ميزبان فائل استعمال ڪيو ويندو آهي ڪسٽم ڊي اين ايس ريزوليوشن ٺاهڻ لاءِ.
4.8.6. فائل ڳولھيو ۽ موڪليو
سرور شايد متاثر ٿيل سسٽم تي فائل ڳولڻ ۽ ڊائون لوڊ ڪرڻ جي درخواست ڪري سگهي ٿي. مثال طور، تحقيق دوران اسان کي فائل 1c_to_kl.txt لاءِ درخواست ملي. جيئن اڳ بيان ڪيو ويو آهي، هي فائل ٺاهيل آهي 1C: Enterprise 8 اڪائونٽنگ سسٽم.
4.8.7. تازه ڪاري
آخرڪار، RTM ليکڪ موجوده ورزن کي تبديل ڪرڻ لاءِ نئون DLL جمع ڪري سافٽ ويئر کي اپڊيٽ ڪري سگھن ٿا.
5. نتيجو
RTM جي تحقيق ڏيکاري ٿي ته روسي بئنڪنگ سسٽم اڃا تائين سائبر حملي ڪندڙن کي راغب ڪري ٿو. گروپ جهڙوڪ بوهٽرپ، ڪورڪو ۽ ڪاربنڪ ڪاميابيءَ سان مالياتي ادارن ۽ روس ۾ سندن گراهڪن کان پئسا چوري ڪن ٿا. RTM هن صنعت ۾ هڪ نئون پليئر آهي.
ESET ٽيليميٽري جي مطابق، خراب RTM اوزار گهٽ ۾ گهٽ 2015 جي آخر کان استعمال ۾ آهن. پروگرام ۾ جاسوسي صلاحيتن جي مڪمل رينج آهي، جنهن ۾ سمارٽ ڪارڊ پڙهڻ، ڪي اسٽروڪ کي مداخلت ڪرڻ ۽ بينڪنگ ٽرانزيڪشن جي نگراني ڪرڻ، گڏوگڏ 1C: Enterprise 8 ٽرانسپورٽ فائلن کي ڳولڻ شامل آهن.
هڪ غير مرڪزي، غير سينسر ٿيل .bit مٿين سطح جي ڊومين جو استعمال انتهائي لچڪدار انفراسٽرڪچر کي يقيني بڻائي ٿو.
جو ذريعو: www.habr.com