රුසියානු සමාගම්වලින් අරමුදල් සොරකම් කිරීම සඳහා විශේෂිත වූ දන්නා සයිබර් කණ්ඩායම් කිහිපයක් තිබේ. ඉලක්ක ජාලයට ප්රවේශ වීමට ඉඩ සලසන ආරක්ෂක ලූප භාවිතා කරන ප්රහාර අපි දැක ඇත්තෙමු. ඔවුන් ප්රවේශය ලබා ගත් පසු, ප්රහාරකයන් සංවිධානයේ ජාල ව්යුහය අධ්යයනය කර අරමුදල් සොරකම් කිරීමට ඔවුන්ගේම මෙවලම් යොදවයි. මෙම ප්රවණතාවයේ සම්භාව්ය උදාහරණයක් වන්නේ හැකර් කණ්ඩායම් වන Buhtrap, Cobalt සහ Corkow.
මෙම වාර්තාව අවධානය යොමු කරන RTM කණ්ඩායම මෙම ප්රවණතාවයේ කොටසකි. එය ඩෙල්ෆි හි ලියා ඇති විෙශේෂෙයන් නිර්මාණය කරන ලද අනිෂ්ට මෘදුකාංග භාවිතා කරයි, එය අපි පහත අංශවලින් වඩාත් විස්තරාත්මකව බලමු. ESET ටෙලිමෙට්රි පද්ධතියේ මෙම මෙවලම්වල පළමු හෝඩුවාවන් 2015 අවසානයේ සොයා ගන්නා ලදී. කණ්ඩායම අවශ්ය පරිදි විවිධ නව මොඩියුල ආසාදිත පද්ධති වෙත පටවයි. රුසියාවේ සහ සමහර අසල්වැසි රටවල දුරස්ථ බැංකු පද්ධති භාවිතා කරන්නන් ඉලක්ක කර ගනිමින් ප්රහාර එල්ල කර ඇත.
1. අරමුණු
RTM ව්යාපාරය ආයතනික පරිශීලකයින් ඉලක්ක කර ගෙන ඇත - මෙය ප්රහාරකයින් සම්මුතිගත පද්ධතියක් තුළ හඳුනා ගැනීමට උත්සාහ කරන ක්රියාවලීන්ගෙන් පැහැදිලි වේ. දුරස්ථ බැංකු පද්ධති සමඟ වැඩ කිරීම සඳහා ගිණුම්කරණ මෘදුකාංග කෙරෙහි අවධානය යොමු කෙරේ.
RTM සඳහා උනන්දුවක් දක්වන ක්රියාවලි ලැයිස්තුව Buhtrap කාණ්ඩයේ අනුරූප ලැයිස්තුවට සමාන වේ, නමුත් කණ්ඩායම් වලට විවිධ ආසාදන වාහක ඇත. Buhtrap බොහෝ විට ව්යාජ පිටු භාවිතා කළේ නම්, RTM භාවිතා කළේ Drive-by download attacks (බ්රවුසරයට හෝ එහි සංරචක වලට ප්රහාර) සහ විද්යුත් තැපෑලෙන් ස්පෑම් කිරීම. ටෙලිමෙට්රි දත්ත වලට අනුව, තර්ජනය රුසියාව සහ අවට රටවල් කිහිපයකට (යුක්රේනය, කසකස්තානය, චෙක් ජනරජය, ජර්මනිය) ඉලක්ක කර ඇත. කෙසේ වෙතත්, ස්කන්ධ බෙදා හැරීමේ යාන්ත්රණ භාවිතය හේතුවෙන්, ඉලක්කගත කලාපයෙන් පිටත අනිෂ්ට මෘදුකාංග හඳුනාගැනීම පුදුමයක් නොවේ.
අනිෂ්ට මෘදුකාංග හඳුනාගැනීම් ගණන සාපේක්ෂව කුඩා වේ. අනෙක් අතට, RTM ව්යාපාරය සංකීර්ණ වැඩසටහන් භාවිතා කරයි, එයින් පෙන්නුම් කරන්නේ ප්රහාර ඉතා ඉලක්ක කර ඇති බවයි.
නොපවතින කොන්ත්රාත්තු, ඉන්වොයිසි හෝ බදු ගිණුම් ලේඛන ඇතුළුව, RTM විසින් භාවිතා කරන ලද වංචා ලේඛන කිහිපයක් අපි සොයාගෙන ඇත. ප්රහාරයෙන් ඉලක්ක කරගත් මෘදුකාංග වර්ගය සමඟ ඒකාබද්ධ වූ ආකර්ෂණයන්ගේ ස්වභාවය පෙන්නුම් කරන්නේ ප්රහාරකයන් ගිණුම්කරණ දෙපාර්තමේන්තුව හරහා රුසියානු සමාගම්වල ජාලවලට “ඇතුළත් වන” බවයි. කණ්ඩායම එකම යෝජනා ක්රමයට අනුව ක්රියා කළහ 2014-2015 දී
පර්යේෂණය අතරතුර, අපට C&C සේවාදායකයන් කිහිපයක් සමඟ අන්තර් ක්රියා කිරීමට හැකි විය. අපි පහත කොටස් වල සම්පූර්ණ විධාන ලැයිස්තුව ලැයිස්තුගත කරන්නෙමු, නමුත් දැනට අපට පැවසිය හැක්කේ සේවාදායකයා කීලොගර් වෙතින් දත්ත කෙලින්ම ප්රහාරක සේවාදායකයට මාරු කරන බවත්, එයින් අමතර විධාන ලැබෙන බවත්ය.
කෙසේ වෙතත්, ඔබට විධාන සහ පාලන සේවාදායකයකට සම්බන්ධ වී ඔබ උනන්දු වූ සියලු දත්ත එකතු කළ හැකි දින පහව ගොස් ඇත. සේවාදායකයෙන් අදාළ විධාන කිහිපයක් ලබා ගැනීම සඳහා අපි යථාර්ථවාදී ලොග් ගොනු ප්රතිනිර්මාණය කළෙමු.
ඒවායින් පළමුවැන්න 1c_to_kl.txt ගොනුව මාරු කරන ලෙස bot වෙත ඉල්ලීමක් - 1C: Enterprise 8 වැඩසටහනේ ප්රවාහන ගොනුවක් වන අතර එහි පෙනුම RTM විසින් සක්රියව නිරීක්ෂණය කරනු ලැබේ. 1C දුරස්ථ බැංකු පද්ධති සමඟ අන්තර්ක්රියා කරන්නේ පිටවන ගෙවීම් පිළිබඳ දත්ත පෙළ ගොනුවකට උඩුගත කිරීමෙනි. ඊළඟට, ස්වයංක්රීයකරණය සහ ගෙවීම් ඇණවුම ක්රියාත්මක කිරීම සඳහා ගොනුව දුරස්ථ බැංකු පද්ධතියට යවනු ලැබේ.
ගොනුවේ ගෙවීම් විස්තර අඩංගු වේ. ප්රහාරකයින් පිටතට යන ගෙවීම් පිළිබඳ තොරතුරු වෙනස් කරන්නේ නම්, හුවමාරුව ව්යාජ තොරතුරු භාවිතා කරමින් ප්රහාරකයින්ගේ ගිණුම් වෙත යවනු ලැබේ.
විධාන සහ පාලන සේවාදායකයෙන් මෙම ලිපිගොනු ඉල්ලා මාසයකට පමණ පසු, අපි නව ප්ලගිනයක්, 1c_2_kl.dll, සම්මුතිගත පද්ධතියට පැටවීම නිරීක්ෂණය කළෙමු. මොඩියුලය (DLL) ගිණුම්කරණ මෘදුකාංග ක්රියාවලීන් විනිවිද යාමෙන් බාගත ගොනුව ස්වයංක්රීයව විශ්ලේෂණය කිරීමට සැලසුම් කර ඇත. අපි එය පහත කොටස් වලින් විස්තරාත්මකව විස්තර කරමු.
සිත්ගන්නා කරුණ නම්, 2016 අවසානයේ රුසියානු බැංකුවේ FinCERT විසින් 1c_to_kl.txt උඩුගත ගොනු භාවිතා කරන සයිබර් අපරාධකරුවන් පිළිබඳ නිවේදනයක් නිකුත් කරන ලදී. 1C හි සංවර්ධකයින් ද මෙම යෝජනා ක්රමය ගැන දනී; ඔවුන් දැනටමත් නිල ප්රකාශයක් කර ඇති අතර පූර්වාරක්ෂාවන් ලැයිස්තුගත කර ඇත.
අනෙකුත් මොඩියුල ද විධාන සේවාදායකයෙන් පටවා ඇත, විශේෂයෙන් VNC (එහි 32 සහ 64-බිට් අනුවාද). එය ඩ්රයිඩෙක්ස් ට්රෝජන් ප්රහාර වලදී කලින් භාවිතා කරන ලද VNC මොඩියුලයට සමාන වේ. මෙම මොඩියුලය ආසාදිත පරිගණකයකට දුරස්ථව සම්බන්ධ කිරීමට සහ පද්ධතිය පිළිබඳ සවිස්තරාත්මක අධ්යයනයක් කිරීමට භාවිතා කරයි. ඊළඟට, ප්රහාරකයින් ජාලය වටා ගමන් කිරීමට උත්සාහ කරයි, පරිශීලක මුරපද උකහා ගැනීම, තොරතුරු රැස් කිරීම සහ අනිෂ්ට මෘදුකාංගවල නිරන්තර පැවැත්ම සහතික කිරීම.
2. ආසාදන වාහකයන්
ව්යාපාරයේ අධ්යයන කාලය තුළ අනාවරණය කරගත් ආසාදන වාහකයන් පහත රූපයේ දැක්වේ. සමූහය පුළුල් පරාසයක දෛශික භාවිතා කරයි, නමුත් ප්රධාන වශයෙන් ඩ්රයිව් බයි ඩවුන්ලෝඩ් ප්රහාර සහ අයාචිත තැපැල් භාවිතා කරයි. ඉලක්කගත ප්රහාර සඳහා මෙම මෙවලම් පහසු වේ, මන්ද පළමු අවස්ථාවේ දී, ප්රහාරකයන්ට විභව වින්දිතයින් විසින් සංචාරය කරන ලද අඩවි තෝරා ගත හැකි අතර, දෙවනුව, ඔවුන්ට අවශ්ය සමාගම් සේවකයින්ට ඇමුණුම් සහිත විද්යුත් තැපෑල යැවිය හැකිය.
අනිෂ්ට මෘදුකාංග RIG සහ Sundown සූරාකෑමේ කට්ටල හෝ අයාචිත තැපෑල ඇතුළු බහු නාලිකා හරහා බෙදා හරිනු ලැබේ, ප්රහාරකයින් සහ මෙම සේවාවන් සපයන අනෙකුත් සයිබර් ප්රහාරකයන් අතර සම්බන්ධතා පෙන්නුම් කරයි.
2.1 RTM සහ Buhtrap සම්බන්ධ වන්නේ කෙසේද?
RTM ව්යාපාරය Buhtrap ට බෙහෙවින් සමාන ය. ස්වාභාවික ප්රශ්නය වන්නේ: ඔවුන් එකිනෙකා සමඟ සම්බන්ධ වන්නේ කෙසේද?
2016 සැප්තැම්බර් මාසයේදී, Buhtrap uploader භාවිතයෙන් RTM නියැදියක් බෙදා හරින බව අපි නිරීක්ෂණය කළෙමු. මීට අමතරව, Buhtrap සහ RTM යන දෙකෙහිම භාවිතා වන ඩිජිටල් සහතික දෙකක් අපට හමු විය.
DNISTER-M සමාගමට නිකුත් කළ බව කියන පළමුවැන්න, දෙවන Delphi පෝරමය (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) සහ Buhtrap DLL (SHA-1: 1E2642B454BCC2B889B6B41116B83B6B2B4890BXNUMXBXNUMXCXNUMXBA) XNUMXDXNUMX).
Bit-Tredj වෙත නිකුත් කරන ලද දෙවැන්න, Buhtrap loaders අත්සන් කිරීමට භාවිතා කරන ලදී (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 සහ B74F71560E48488D2153AE2FB51207TM ලෙස බාගන්න සහ RE0FB206TM ලෙස),
RTM ක්රියාකරුවන් අනෙකුත් අනිෂ්ට මෘදුකාංග පවුල් සඳහා පොදු සහතික භාවිතා කරයි, නමුත් ඔවුන්ට අද්විතීය සහතිකයක් ද ඇත. ESET Telemetry අනුව, එය Kit-SD වෙත නිකුත් කරන ලද අතර සමහර RTM අනිෂ්ට මෘදුකාංග අත්සන් කිරීමට පමණක් භාවිතා කරන ලදී (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM Buhtrap ලෙස එකම ලෝඩරය භාවිතා කරයි, RTM සංරචක Buhtrap යටිතල පහසුකම් වලින් පටවනු ලැබේ, එබැවින් කණ්ඩායම් වලට සමාන ජාල දර්ශක ඇත. කෙසේ වෙතත්, අපගේ ඇස්තමේන්තු අනුව, RTM සහ Buhtrap විවිධ කණ්ඩායම් වේ, අවම වශයෙන් RTM විවිධ ආකාරවලින් බෙදා හරින නිසා ("විදේශීය" බාගත කරන්නෙකු භාවිතා කිරීම පමණක් නොවේ).
එසේ තිබියදීත්, හැකර් කණ්ඩායම් සමාන මෙහෙයුම් මූලධර්ම භාවිතා කරයි. ඔවුන් ගිණුම්කරණ මෘදුකාංග භාවිතා කරමින් ව්යාපාර ඉලක්ක කරයි, ඒ හා සමානව පද්ධති තොරතුරු රැස් කිරීම, ස්මාර්ට් කාඩ් කියවන්නන් සෙවීම සහ වින්දිතයින් පිළිබඳ ඔත්තු බැලීම සඳහා ද්වේෂසහගත මෙවලම් මාලාවක් යෙදවීම.
3. පරිණාමය
මෙම කොටසේදී, අපි අධ්යයනයේදී සොයාගත් අනිෂ්ට මෘදුකාංගවල විවිධ අනුවාදයන් දෙස බලමු.
3.1 අනුවාදනය කිරීම
RTM වින්යාස දත්ත රෙජිස්ට්රි අංශයක ගබඩා කරයි, වඩාත්ම සිත්ගන්නා කොටස වන්නේ botnet-උපසර්ගයයි. අප අධ්යයනය කළ සාම්පලවල අප දුටු සියලුම අගයන් ලැයිස්තුවක් පහත වගුවේ දක්වා ඇත.
අනිෂ්ට මෘදුකාංග අනුවාද වාර්තා කිරීමට අගයන් භාවිතා කළ හැකිය. කෙසේ වෙතත්, අපි bit2 සහ bit3, 0.1.6.4 සහ 0.1.6.6 වැනි අනුවාද අතර වැඩි වෙනසක් දුටුවේ නැත. එපමනක් නොව, එක් උපසර්ගයක් ආරම්භයේ සිටම පවතින අතර පහත දැක්වෙන පරිදි සාමාන්ය C&C වසමකින් .bit වසමකට පරිණාමය වී ඇත.
3.2 කාලසටහන
ටෙලිමෙට්රි දත්ත භාවිතයෙන්, අපි සාම්පල ඇතිවීමේ ප්රස්ථාරයක් නිර්මාණය කළෙමු.
4. තාක්ෂණික විශ්ලේෂණය
මෙම කොටසේදී, ප්රතිරෝධක යාන්ත්රණයන්, එහිම RC4 ඇල්ගොරිතමයේ අනුවාදය, ජාල ප්රොටෝකෝලය, ඔත්තු බැලීමේ ක්රියාකාරීත්වය සහ තවත් සමහර විශේෂාංග ඇතුළුව RTM බැංකුකරණ ට්රෝජන් හි ප්රධාන කාර්යයන් අපි විස්තර කරන්නෙමු. විශේෂයෙන්ම, අපි SHA-1 සාම්පල AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 සහ 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B වෙත අවධානය යොමු කරන්නෙමු.
4.1 ස්ථාපනය සහ සුරැකීම
4.1.1. ක්රියාත්මක කිරීම
RTM හරය DLL වේ, පුස්තකාලය .EXE භාවිතයෙන් තැටියට පටවනු ලැබේ. ක්රියාත්මක කළ හැකි ගොනුව සාමාන්යයෙන් ඇසුරුම් කර ඇති අතර DLL කේතය අඩංගු වේ. දියත් කළ පසු, එය DLL නිස්සාරණය කර පහත විධානය භාවිතයෙන් එය ක්රියාත්මක කරයි:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. ඩීඑල්එල්
ප්රධාන DLL සැමවිටම %PROGRAMDATA%Winlogon ෆෝල්ඩරය තුළ winlogon.lnk ලෙස තැටියට පටවනු ලැබේ. මෙම ගොනු දිගුව සාමාන්යයෙන් කෙටිමඟක් සමඟ සම්බන්ධ වේ, නමුත් ගොනුව ඇත්ත වශයෙන්ම පහත රූපයේ දැක්වෙන පරිදි, සංවර්ධකයා විසින් core.dll ලෙස නම් කරන ලද ඩෙල්ෆි භාෂාවෙන් ලියා ඇති DLL වේ.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
දියත් කළ පසු, ට්රෝජන් එහි ප්රතිරෝධ යාන්ත්රණය සක්රීය කරයි. පද්ධතිය තුළ වින්දිතයාගේ වරප්රසාද මත පදනම්ව මෙය විවිධ ආකාර දෙකකින් කළ හැකිය. ඔබට පරිපාලක අයිතිවාසිකම් තිබේ නම්, ට්රෝජන් විසින් HKLMSOFTWAREMmicrosoftWindowsCurrentVersionRun රෙජිස්ට්රියට වින්ඩෝස් යාවත්කාලීන ප්රවේශයක් එක් කරයි. වින්ඩෝස් යාවත්කාලීනයේ අඩංගු විධාන පරිශීලක සැසියේ ආරම්භයේදී ක්රියාත්මක වේ.
HKLMSOFTWAREMmicrosoftWindowsCurrentVersionRunWindows යාවත්කාලීන කිරීම [REG_SZ] = rundll32.exe "%PROGRAMDATA%winlogon.lnk",DllGetClassObject සත්කාරක
ට්රෝජන් ද Windows Task Scheduler වෙත කාර්යයක් එක් කිරීමට උත්සාහ කරයි. කාර්යය ඉහත පරාමිතීන් සමඟම winlogon.lnk DLL දියත් කරනු ඇත. නිත්ය පරිශීලක අයිතිවාසිකම් ට්රෝජන් හට HKCUSoftwareMicrosoftWindowsCurrentVersionRun රෙජිස්ට්රියට එකම දත්ත සහිත වින්ඩෝස් යාවත්කාලීන ප්රවේශයක් එක් කිරීමට ඉඩ දෙයි:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2 නවීකරණය කරන ලද RC4 ඇල්ගොරිතම
දන්නා අඩුපාඩු තිබියදීත්, RC4 ඇල්ගොරිතම අනිෂ්ට මෘදුකාංග කතුවරුන් විසින් නිතිපතා භාවිතා කරයි. කෙසේ වෙතත්, RTM නිර්මාපකයින් එය තරමක් වෙනස් කර ඇත, බොහෝ විට වෛරස් විශ්ලේෂකයින්ගේ කාර්යය වඩාත් අපහසු වනු ඇත. RC4 හි නවීකරණය කරන ලද අනුවාදයක් නූල්, ජාල දත්ත, වින්යාස සහ මොඩියුල සංකේතනය කිරීමට අනිෂ්ට RTM මෙවලම්වල බහුලව භාවිතා වේ.
4.2.1. වෙනස්කම්
මුල් RC4 ඇල්ගොරිතමයට අදියර දෙකක් ඇතුළත් වේ: s-බ්ලොක් ආරම්භ කිරීම (එනම් KSA - Key-Scheduling Algorithm) සහ ව්යාජ අහඹු අනුක්රමික උත්පාදනය (PRGA - Pseudo-Random Generation Algorithm). පළමු අදියරේදී යතුර භාවිතයෙන් s-කොටුව ආරම්භ කිරීම ඇතුළත් වන අතර, දෙවන අදියරේදී කේතනාංකනය සඳහා s-කොටුව භාවිතයෙන් මූලාශ්ර පෙළ සකසනු ලැබේ.
RTM කතුවරුන් විසින් s-box ආරම්භ කිරීම සහ සංකේතනය අතර අතරමැදි පියවරක් එක් කරන ලදී. අතිරේක යතුර විචල්ය වන අතර එය සංකේතනය කිරීමට සහ විකේතනය කළ යුතු දත්ත සමඟම සකසා ඇත. මෙම අතිරේක පියවර සිදු කරන කාර්යය පහත රූපයේ දැක්වේ.
4.2.2. තන්තු සංකේතනය
මුලින්ම බැලූ බැල්මට, ප්රධාන DLL හි කියවිය හැකි රේඛා කිහිපයක් තිබේ. ඉතිරිය ඉහත විස්තර කර ඇති ඇල්ගොරිතම භාවිතයෙන් සංකේතනය කර ඇති අතර එහි ව්යුහය පහත රූපයේ දැක්වේ. විශ්ලේෂණය කරන ලද සාම්පලවල තන්තු සංකේතනය සඳහා විවිධ RC25 යතුරු 4කට වඩා වැඩි ප්රමාණයක් අපට හමු විය. එක් එක් පේළිය සඳහා XOR යතුර වෙනස් වේ. සංඛ්යාත්මක ක්ෂේත්ර වෙන් කරන රේඛාවල අගය සෑම විටම 0xFFFFFFFF වේ.
ක්රියාත්මක කිරීම ආරම්භයේදී, RTM විසින් තන්තු ගෝලීය විචල්යයකට විකේතනය කරයි. තන්තුවකට ප්රවේශ වීමට අවශ්ය වූ විට, ට්රෝජන් විසින් මූලික ලිපිනය සහ ඕෆ්සෙට් මත පදනම්ව විකේතනය කරන ලද නූල්වල ලිපිනය ගතිකව ගණනය කරයි.
තන්තු වල අනිෂ්ට මෘදුකාංග ක්රියාකාරකම් පිළිබඳ රසවත් තොරතුරු අඩංගු වේ. සමහර උදාහරණ තන්තු 6.8 වගන්තියේ දක්වා ඇත.
4.3. ජාලය
RTM අනිෂ්ට මෘදුකාංග C&C සේවාදායකයට සම්බන්ධ වන ආකාරය අනුවාදයෙන් අනුවාදයට වෙනස් වේ. පළමු වෙනස් කිරීම් (ඔක්තෝබර් 2015 - අප්රේල් 2016) විධාන ලැයිස්තුව යාවත්කාලීන කිරීම සඳහා livejournal.com හි RSS සංග්රහයක් සමඟ සම්ප්රදායික වසම් නාම භාවිතා කරන ලදී.
2016 අප්රේල් මාසයේ සිට, අපි ටෙලිමෙට්රි දත්තවල .bit වසම් වෙත මාරුවීමක් දැක ඇත්තෙමු. වසම් ලියාපදිංචි කිරීමේ දිනය මගින් මෙය සනාථ වේ - පළමු RTM වසම fde05d0573da.bit 13 මාර්තු 2016 දින ලියාපදිංචි කරන ලදී.
ව්යාපාරය නිරීක්ෂණය කිරීමේදී අප දුටු සියලුම URL වලට පොදු මාර්ගයක් තිබුණි: /r/z.php. එය තරමක් අසාමාන්ය වන අතර එය ජාල ප්රවාහවල RTM ඉල්ලීම් හඳුනා ගැනීමට උපකාරී වේ.
4.3.1. විධාන සහ පාලනය සඳහා නාලිකාව
ලෙගසි උදාහරණ ඔවුන්ගේ විධාන සහ පාලන සේවාදායක ලැයිස්තුව යාවත්කාලීන කිරීමට මෙම නාලිකාව භාවිතා කළේය. සත්කාරකත්වය livejournal.com හි පිහිටා ඇත, වාර්තාව ලියන අවස්ථාවේදී එය URL hxxp://f72bba81c921(.)livejournal(.)com/ data/rss හි පැවතුනි.
Livejournal යනු බ්ලොග්කරණ වේදිකාවක් සපයන රුසියානු-ඇමරිකානු සමාගමකි. RTM ක්රියාකරුවන් LJ බ්ලොගයක් නිර්මාණය කරයි, එහි ඔවුන් කේත විධාන සහිත ලිපියක් පළ කරයි - තිර රුව බලන්න.
විධාන සහ පාලන රේඛා නවීකරණය කරන ලද RC4 ඇල්ගොරිතමයක් භාවිතයෙන් කේතනය කර ඇත (වගන්තිය 4.2). නාලිකාවේ වත්මන් අනුවාදය (නොවැම්බර් 2016) පහත දැක්වෙන විධාන සහ පාලන සේවාදායක ලිපින අඩංගු වේ:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. .bit වසම්
මෑතකාලීන RTM සාම්පලවල, කතුවරුන් .bit TLD ඉහළ මට්ටමේ වසම භාවිතයෙන් C&C වසම් වෙත සම්බන්ධ වේ. එය ICANN (වසම් නාමය සහ අන්තර්ජාල සංස්ථාව) ඉහළ මට්ටමේ වසම් ලැයිස්තුවේ නොමැත. ඒ වෙනුවට, එය Bitcoin තාක්ෂණය මත ගොඩනගා ඇති Namecoin පද්ධතිය භාවිතා කරයි. අනිෂ්ට මෘදුකාංග කතුවරුන් බොහෝ විට ඔවුන්ගේ වසම් සඳහා .bit TLD භාවිතා නොකරයි, නමුත් එවැනි භාවිතය පිළිබඳ උදාහරණයක් මීට පෙර Necurs botnet අනුවාදයක නිරීක්ෂණය කර ඇත.
Bitcoin මෙන් නොව, බෙදා හරින ලද Namecoin දත්ත සමුදාය භාවිතා කරන්නන්ට දත්ත සුරැකීමේ හැකියාව ඇත. මෙම විශේෂාංගයේ ප්රධාන යෙදුම .bit ඉහළ මට්ටමේ වසම වේ. ඔබට බෙදා හරින ලද දත්ත ගබඩාවක ගබඩා කෙරෙන වසම් ලියාපදිංචි කළ හැක. දත්ත සමුදායේ අනුරූප ඇතුළත් කිරීම් වසම විසින් විසඳන ලද IP ලිපින අඩංගු වේ. මෙම TLD "වාරණය-ප්රතිරෝධී" වන්නේ .bit වසමෙහි විභේදනය වෙනස් කළ හැක්කේ ලියාපදිංචි වන්නාට පමණක් බැවිනි. මෙයින් අදහස් කරන්නේ මෙම වර්ගයේ TLD භාවිතයෙන් අනිෂ්ට වසමක් නැවැත්වීම වඩා දුෂ්කර බවයි.
බෙදා හරින ලද Namecoin දත්ත සමුදාය කියවීමට අවශ්ය මෘදුකාංග RTM Trojan විසින් කාවැද්දුවේ නැත. එය .bit වසම් විසඳීමට dns.dot-bit.org හෝ OpenNic සේවාදායකයන් වැනි මධ්යම DNS සේවාදායකයන් භාවිතා කරයි. එබැවින්, එය DNS සේවාදායකයන්ට සමාන කල්පැවැත්මක් ඇත. බ්ලොග් සටහනක සඳහන් කිරීමෙන් පසු සමහර කණ්ඩායම් වසම් තවදුරටත් අනාවරණය කර නොගත් බව අපි නිරීක්ෂණය කළෙමු.
හැකර්වරුන් සඳහා .bit TLD හි තවත් වාසියක් වන්නේ පිරිවැයයි. වසමක් ලියාපදිංචි කිරීම සඳහා, ක්රියාකරුවන්ට ගෙවිය යුත්තේ 0,01 NK පමණි, එය $0,00185 ට අනුරූප වේ (5 දෙසැම්බර් 2016 වන දිනට). සංසන්දනය කිරීම සඳහා, domain.com අවම වශයෙන් ඩොලර් 10 ක් වැය වේ.
4.3.3. ප්රොටෝකෝලය
විධාන සහ පාලන සේවාදායකය සමඟ සන්නිවේදනය කිරීම සඳහා, RTM විසින් අභිරුචි ප්රොටෝකෝලයක් භාවිතයෙන් ආකෘතිගත දත්ත සමඟ HTTP POST ඉල්ලීම් භාවිතා කරයි. මාර්ග අගය සෑම විටම /r/z.php වේ; Mozilla/5.0 පරිශීලක නියෝජිතයා (අනුකූල; MSIE 9.0; Windows NT 6.1; Trident/5.0). සේවාදායකය වෙත ඉල්ලීම් වලදී, දත්ත පහත පරිදි හැඩසවි ඇත, එහිදී ඕෆ්සෙට් අගයන් බයිට් වලින් ප්රකාශ වේ:
බයිට් 0 සිට 6 දක්වා කේතනය කර නැත; 6 සිට ආරම්භ වන බයිට් නවීකරණය කරන ලද RC4 ඇල්ගොරිතමයක් භාවිතයෙන් කේතනය කර ඇත. C&C ප්රතිචාර පැකට්ටුවේ ව්යුහය සරලයි. බයිට් 4 සිට පැකට් ප්රමාණය දක්වා කේතනය කර ඇත.
හැකි ක්රියා බයිට් අගයන් ලැයිස්තුව පහත වගුවේ දක්වා ඇත:
අනිෂ්ට මෘදුකාංග සෑම විටම විකේතනය කළ දත්තවල CRC32 ගණනය කර පැකට්ටුවේ ඇති දේ සමඟ සංසන්දනය කරයි. ඒවා වෙනස් නම්, ට්රෝජන් පැකට්ටුව අතහැර දමයි.
අමතර දත්තවල PE ගොනුවක්, ගොනු පද්ධතිය තුළ සෙවිය යුතු ගොනුවක් හෝ නව විධාන URL ඇතුළු විවිධ වස්තු අඩංගු විය හැක.
4.3.4. පැනලය
RTM C&C සේවාදායකයන් මත පැනලයක් භාවිතා කරන බව අපි දුටුවෙමු. පහත තිර රුවක්:
4.4 ලාක්ෂණික ලකුණ
RTM යනු සාමාන්ය බැංකු ට්රෝජන් වර්ගයකි. වින්දිතයාගේ පද්ධතිය පිළිබඳ තොරතුරු ක්රියාකරුවන්ට අවශ්ය වීම පුදුමයක් නොවේ. එක් අතකින්, බොට් මෙහෙයුම් පද්ධතිය පිළිබඳ සාමාන්ය තොරතුරු රැස් කරයි. අනෙක් අතට, සම්මුතියට පත් පද්ධතිය රුසියානු දුරස්ථ බැංකු පද්ධති සමඟ සම්බන්ධිත ගුණාංග අඩංගු දැයි සොයා බලයි.
4.4.1. සාමාන්ය තොරතුරු
අනිෂ්ට මෘදුකාංග ස්ථාපනය කර හෝ නැවත පණගැන්වීමෙන් පසු දියත් කරන විට, සාමාන්ය තොරතුරු අඩංගු වාර්තාවක් විධාන සහ පාලන සේවාදායකය වෙත යවනු ලැබේ:
- වේලා කලාපය;
- පෙරනිමි පද්ධති භාෂාව;
- බලයලත් පරිශීලක අක්තපත්ර;
- ක්රියාවලි අඛණ්ඩතා මට්ටම;
- පරිශීලක නාමය;
- පරිගණක නම;
- OS අනුවාදය;
- අතිරේක ස්ථාපිත මොඩියුල;
- ස්ථාපිත ප්රතිවයිරස වැඩසටහන;
- ස්මාර්ට් කාඩ් කියවන ලැයිස්තුව.
4.4.2 දුරස්ථ බැංකු පද්ධතිය
සාමාන්ය ට්රෝජන් ඉලක්කයක් දුරස්ථ බැංකු පද්ධතියක් වන අතර RTM ද ව්යතිරේකයක් නොවේ. වැඩසටහනේ එක් මොඩියුලයක් TBdo ලෙස හැඳින්වේ, එය තැටි ස්කෑන් කිරීම සහ ගවේෂණ ඉතිහාසය ඇතුළු විවිධ කාර්යයන් ඉටු කරයි.
තැටිය පරිලෝකනය කිරීමෙන්, ට්රෝජන් යන්ත්රයේ බැංකු මෘදුකාංග ස්ථාපනය කර ඇත්දැයි පරීක්ෂා කරයි. ඉලක්ක වැඩසටහන් වල සම්පූර්ණ ලැයිස්තුව පහත වගුවේ ඇත. උනන්දුවක් දක්වන ගොනුවක් අනාවරණය කරගත් පසු, වැඩසටහන විධාන සේවාදායකයට තොරතුරු යවයි. ඊළඟ ක්රියා විධාන මධ්යස්ථාන (C&C) ඇල්ගොරිතම මගින් නිශ්චිතව දක්වා ඇති තර්කය මත රඳා පවතී.
RTM ඔබගේ බ්රවුසර ඉතිහාසයේ සහ විවෘත ටැබ් වල URL රටා ද සොයයි. මීට අමතරව, මෙම වැඩසටහන FindNextUrlCacheEntryA සහ FindFirstUrlCacheEntryA ශ්රිතවල භාවිතය පරීක්ෂා කරන අතර, URL එක පහත රටා වලින් එකකට ගැළපීමට සෑම ප්රවේශයක්ම පරීක්ෂා කරයි:
විවෘත ටැබ් හඳුනාගැනීමෙන් පසු, ට්රෝජන් ටැබය රටාවට ගැළපෙනවාද යන්න පරීක්ෂා කිරීම සඳහා ගතික දත්ත හුවමාරු (ඩීඩීඊ) යාන්ත්රණය හරහා Internet Explorer හෝ Firefox සම්බන්ධ කරයි.
ඔබගේ බ්රවුස් කිරීමේ ඉතිහාසය සහ විවෘත ටැබ් පරීක්ෂා කිරීම චෙක්පත් අතර තත්පර 1 ක විවේකයක් සහිත WHILE ලූපයකින් (පූර්ව කොන්දේසියක් සහිත ලූපයක්) සිදු කෙරේ. තථ්ය කාලීනව නිරීක්ෂණය කරන අනෙකුත් දත්ත 4.5 කොටසේ සාකච්ඡා කෙරේ.
රටාවක් හමු වුවහොත්, වැඩසටහන පහත වගුවේ ඇති නූල් ලැයිස්තුවක් භාවිතා කරමින් විධාන සේවාදායකයට මෙය වාර්තා කරයි:
4.5 අධීක්ෂණය
ට්රෝජන් ක්රියාත්මක වන අතරතුර, ආසාදිත පද්ධතියේ ලාක්ෂණික ලක්ෂණ පිළිබඳ තොරතුරු (බැංකු මෘදුකාංග තිබීම පිළිබඳ තොරතුරු ඇතුළුව) විධාන සහ පාලන සේවාදායකය වෙත යවනු ලැබේ. ආරම්භක OS ස්කෑන් කිරීමෙන් පසු RTM මුලින්ම අධීක්ෂණ පද්ධතිය ක්රියාත්මක කරන විට ඇඟිලි සලකුණු සිදුවේ.
4.5.1. දුරස්ථ බැංකුකරණය
TBdo මොඩියුලය බැංකු ආශ්රිත ක්රියාවලීන් අධීක්ෂණය කිරීම සඳහා ද වගකිව යුතුය. එය මූලික ස්කෑන් කිරීමේදී ෆයර්ෆොක්ස් සහ ඉන්ටර්නෙට් එක්ස්ප්ලෝරර් හි ටැබ් පරීක්ෂා කිරීමට ගතික දත්ත හුවමාරුවක් භාවිතා කරයි. විධාන කවුළු (Internet Explorer හෝ File Explorer) නිරීක්ෂණය කිරීමට තවත් TShell මොඩියුලයක් භාවිතා කරයි.
මොඩියුලය COM අතුරුමුහුණත් IShellWindows, iWebBrowser, DWebBrowserEvents2 සහ IConnectionPointContainer භාවිතා කරයි. පරිශීලකයෙකු නව වෙබ් පිටුවකට සංචාලනය කරන විට, අනිෂ්ට මෘදුකාංග මෙය සටහන් කරයි. එය පසුව ඉහත රටා සමඟ පිටු URL එක සංසන්දනය කරයි. ගැළපීමක් හඳුනා ගැනීමෙන් පසු, ට්රෝජන් තත්පර 5 ක පරතරයකින් අඛණ්ඩ තිර දර්ශන හයක් ගෙන ඒවා C&S විධාන සේවාදායකයට යවයි. මෙම වැඩසටහන බැංකු මෘදුකාංග සම්බන්ධ සමහර කවුළු නම් පරීක්ෂා කරයි - සම්පූර්ණ ලැයිස්තුව පහත දැක්වේ:
4.5.2. ස්මාට් කාඩ්
RTM ඔබට ආසාදිත පරිගණකවලට සම්බන්ධ ස්මාර්ට් කාඩ් කියවන්නන් නිරීක්ෂණය කිරීමට ඉඩ සලසයි. මෙම උපාංග සමහර රටවල ගෙවීම් ඇණවුම් සමථයකට පත් කිරීමට භාවිතා කරයි. මෙවැනි උපකරණයක් පරිගණකයකට සම්බන්ධ කර ඇත්නම්, එම යන්ත්රය බැංකු ගනුදෙනු සඳහා භාවිත කරන බව ට්රෝජන් යන්ත්රයකට ඇඟවිය හැකිය.
අනෙකුත් බැංකු ට්රෝජන් මෙන් නොව, RTM එවැනි ස්මාර්ට් කාඩ්පත් සමඟ අන්තර් ක්රියා කළ නොහැක. සමහර විට මෙම ක්රියාකාරිත්වය අප මෙතෙක් දැක නැති අතිරේක මොඩියුලයක ඇතුළත් කර ඇත.
4.5.3. Keylogger
ආසාදිත පරිගණකයක් නිරීක්ෂණය කිරීමේ වැදගත් අංගයක් වන්නේ යතුරු එබීම් ග්රහණය කිරීමයි. සාමාන්ය යතුරු පමණක් නොව අතථ්ය යතුරුපුවරුව සහ ක්ලිප්බෝඩ් ද නිරීක්ෂණය කරන බැවින් RTM සංවර්ධකයින්ට කිසිදු තොරතුරක් මග හැරී නැති බව පෙනේ.
මෙය සිදු කිරීම සඳහා, SetWindowsHookExA ශ්රිතය භාවිතා කරන්න. ප්රහාරකයින් විසින් එබූ යතුරු හෝ අථත්ය යතුරුපුවරුවට අනුරූප යතුරු, වැඩසටහනේ නම සහ දිනය සමඟ ලොග් කරයි. එවිට බෆරය C&C විධාන සේවාදායකය වෙත යවනු ලැබේ.
පසුරු පුවරුවට බාධා කිරීමට SetClipboardViewer ශ්රිතය භාවිතා කරයි. දත්ත පෙළ වන විට හැකර්වරුන් පසුරු පුවරුවේ අන්තර්ගතය ලොග් කරයි. බෆරය සේවාදායකයට යැවීමට පෙර නම සහ දිනය ද ලොග් කර ඇත.
4.5.4. තිරපිටපත්
තවත් RTM කාර්යයක් වන්නේ තිරපිටපත් බාධාවකි. කවුළුව අධීක්ෂණ මොඩියුලය උනන්දුවක් දක්වන වෙබ් අඩවියක් හෝ බැංකු මෘදුකාංගයක් අනාවරණය කරගත් විට විශේෂාංගය යෙදේ. ග්රැෆික් පින්තූර පුස්තකාලයක් භාවිතයෙන් තිරපිටපත් ලබාගෙන විධාන සේවාදායකයට මාරු කරනු ලැබේ.
4.6 අස්ථාපනය
C&C සේවාදායකයට අනිෂ්ට මෘදුකාංග ක්රියාත්මක වීම නැවැත්වීමට සහ ඔබේ පරිගණකය පිරිසිදු කිරීමට හැකිය. RTM ක්රියාත්මක වන විට නිර්මාණය කරන ලද ගොනු සහ රෙජිස්ට්රි ඇතුළත් කිරීම් ඉවත් කිරීමට විධානය ඔබට ඉඩ සලසයි. DLL පසුව අනිෂ්ට මෘදුකාංග සහ winlogon ගොනුව ඉවත් කිරීමට භාවිතා කරයි, ඉන්පසු විධානය මඟින් පරිගණකය වසා දමයි. පහත රූපයේ දැක්වෙන පරිදි, erase.dll භාවිතයෙන් සංවර්ධකයින් විසින් DLL ඉවත් කරනු ලැබේ.
සේවාදායකයට ට්රෝජන් විනාශකාරී අස්ථාපනය-අගුළු විධානයක් යැවිය හැක. මෙම අවස්ථාවේදී, ඔබට පරිපාලක අයිතිවාසිකම් තිබේ නම්, RTM දෘඪ තැටියේ MBR ඇරඹුම් අංශය මකා දමයි. මෙය අසාර්ථක වුවහොත්, ට්රෝජන් විසින් MBR ඇරඹුම් අංශය අහඹු අංශයකට මාරු කිරීමට උත්සාහ කරනු ඇත - එවිට පරිගණකය වසා දැමීමෙන් පසු OS ආරම්භ කිරීමට නොහැකි වනු ඇත. මෙය OS සම්පූර්ණයෙන්ම නැවත ස්ථාපනය කිරීමට හේතු විය හැක, එනම් සාක්ෂි විනාශ කිරීමයි.
පරිපාලක වරප්රසාද නොමැතිව, අනිෂ්ට මෘදුකාංගය යටින් පවතින RTM DLL හි .EXE සංකේතනය කරයි. Executable පරිගණකය වසා දැමීමට අවශ්ය කේතය ක්රියාත්මක කරන අතර HKCUCurrentVersionRun රෙජිස්ට්රි යතුරෙහි මොඩියුලය ලියාපදිංචි කරයි. පරිශීලකයා සැසියක් ආරම්භ කරන සෑම අවස්ථාවකම පරිගණකය වහාම වසා දමයි.
4.7 වින්යාස ගොනුව
පෙරනිමියෙන්, RTM සතුව වින්යාස ගොනුවක් නොමැත, නමුත් විධාන සහ පාලන සේවාදායකයට වින්යාස අගයන් යැවිය හැකි අතර එය රෙජිස්ට්රියේ ගබඩා කර වැඩසටහන භාවිතා කරයි. වින්යාස යතුරු ලැයිස්තුව පහත වගුවේ දක්වා ඇත:
වින්යාසය ගබඩා කර ඇත්තේ මෘදුකාංග[ව්යාජ සසම්භාවී තන්තු] රෙජිස්ට්රි යතුර තුළ ය. සෑම අගයක්ම පෙර වගුවේ ඉදිරිපත් කර ඇති පේළි එකකට අනුරූප වේ. RTM හි RC4 ඇල්ගොරිතම භාවිතයෙන් අගයන් සහ දත්ත කේතනය කර ඇත.
දත්ත ජාලයක් හෝ තන්තු වලට සමාන ව්යුහයක් ඇත. කේතනය කළ දත්ත ආරම්භයේදී බයිට් හතරක XOR යතුරක් එකතු වේ. වින්යාස අගයන් සඳහා, XOR යතුර වෙනස් වන අතර අගයේ ප්රමාණය මත රඳා පවතී. එය පහත පරිදි ගණනය කළ හැකිය:
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)
4.8. වෙනත් විශේෂාංග
ඊළඟට, RTM සහාය දක්වන අනෙකුත් කාර්යයන් දෙස බලමු.
4.8.1. අතිරේක මොඩියුල
ට්රෝජන්ට අමතර මොඩියුල ඇතුළත් වේ, ඒවා ඩීඑල්එල් ගොනු වේ. C&C විධාන සේවාදායකයෙන් එවන ලද මොඩියුල බාහිර වැඩසටහන් ලෙස ක්රියාත්මක කළ හැක, RAM වලින් පරාවර්තනය කර නව නූල් වලින් දියත් කළ හැක. ගබඩා කිරීම සඳහා, මොඩියුල .dtt ගොනු තුළ සුරකින අතර ජාල සන්නිවේදනය සඳහා භාවිතා කරන එකම යතුර සමඟ RC4 ඇල්ගොරිතම භාවිතයෙන් කේතනය කර ඇත.
මේ වන විට අපි VNC මොඩියුලය (8966319882494077C21F66A8354E2CBCA0370464), බ්රවුසර දත්ත නිස්සාරණය මොඩියුලය (03DE8622BE6B2F75A364A275995C3411626C4C9C1C2C1C562C1C69C6) 58E88753F7EFC0FBA3 B4BEXNUMXDXNUMXBXNUMXEXNUMXCFAB).
VNC මොඩියුලය පූරණය කිරීම සඳහා, C&C සේවාදායකය 44443 වරායේ නිශ්චිත IP ලිපිනයකින් VNC සේවාදායකයට සම්බන්ධතා ඉල්ලා විධානයක් නිකුත් කරයි. බ්රවුසර දත්ත ලබා ගැනීමේ ප්ලගිනය TBrowserDataCollector ක්රියාත්මක කරයි, එය IE බ්රවුසින් ඉතිහාසය කියවිය හැක. ඉන්පසු එය C&C විධාන සේවාදායකය වෙත පැමිණි URL සම්පූර්ණ ලැයිස්තුව යවයි.
අවසන් වරට සොයාගත් මොඩියුලය 1c_2_kl ලෙස හැඳින්වේ. එයට 1C Enterprise මෘදුකාංග පැකේජය සමඟ අන්තර් ක්රියා කළ හැක. මොඩියුලයට කොටස් දෙකක් ඇතුළත් වේ: ප්රධාන කොටස - DLL සහ නියෝජිතයන් දෙදෙනෙකු (32 සහ 64 bit), WH_CBT වෙත බන්ධනයක් ලියාපදිංචි කරමින් එක් එක් ක්රියාවලියට එන්නත් කරනු ලැබේ. 1C ක්රියාවලියට හඳුන්වා දීමෙන් පසු, මොඩියුලය CreateFile සහ WriteFile කාර්යයන් බැඳේ. CreateFile බන්ධන ශ්රිතය ඇමතූ විට, මොඩියුලය 1c_to_kl.txt ගොනු මාර්ගය මතකයේ ගබඩා කරයි. WriteFile ඇමතුමට බාධා කිරීමෙන් පසුව, එය WriteFile ශ්රිතය අමතා 1c_to_kl.txt ගොනු මාර්ගය ප්රධාන DLL මොඩියුලයට යවයි, එය නිර්මාණය කළ Windows WM_COPYDATA පණිවිඩය යවයි.
ගෙවීම් ඇණවුම් තීරණය කිරීම සඳහා ප්රධාන DLL මොඩියුලය විවෘත කර ගොනුව විග්රහ කරයි. එය ගොනුවේ අඩංගු මුදල සහ ගනුදෙනු අංකය හඳුනා ගනී. මෙම තොරතුරු විධාන සේවාදායකයට යවනු ලැබේ. මෙම මොඩියුලය නිදොස් කිරීමේ පණිවිඩයක් අඩංගු නිසා සහ 1c_to_kl.txt ස්වයංක්රීයව වෙනස් කළ නොහැකි නිසා දැනට සංවර්ධනය වෙමින් පවතින බව අපි විශ්වාස කරමු.
4.8.2. වරප්රසාද උත්සන්න කිරීම
RTM ව්යාජ දෝෂ පණිවිඩ පෙන්වීමෙන් වරප්රසාද වැඩි කිරීමට උත්සාහ කළ හැකිය. අනිෂ්ට මෘදුකාංග රෙජිස්ට්රි චෙක්පතක් අනුකරණය කරයි (පහත පින්තූරය බලන්න) හෝ සැබෑ රෙජිස්ට්රි සංස්කාරක නිරූපකයක් භාවිතා කරයි. වැරදි අක්ෂර වින්යාසය රැඳී සිටීම - whait බව කරුණාවෙන් සලකන්න. තත්පර කිහිපයක ස්කෑන් කිරීමෙන් පසුව, වැඩසටහන වැරදි දෝෂ පණිවිඩයක් පෙන්වයි.
ව්යාකරණ දෝෂ තිබියදීත් සාවද්ය පණිවිඩයක් සාමාන්ය පරිශීලකයා පහසුවෙන් රැවටෙනු ඇත. පරිශීලකයා සබැඳි දෙකෙන් එකක් ක්ලික් කළහොත්, RTM පද්ධතිය තුළ එහි වරප්රසාද වැඩි කිරීමට උත්සාහ කරයි.
ප්රතිසාධන විකල්ප දෙකෙන් එකක් තේරීමෙන් පසු, ට්රෝජන් විසින් පරිපාලක වරප්රසාද සහිත ShellExecute ශ්රිතයේ runas විකල්පය භාවිතයෙන් DLL දියත් කරයි. පරිශීලකයා උන්නතාංශය සඳහා සැබෑ වින්ඩෝස් විමසුමක් (පහත රූපය බලන්න) දකිනු ඇත. පරිශීලකයා අවශ්ය අවසර ලබා දෙන්නේ නම්, ට්රෝජන් පරිපාලක වරප්රසාද සහිතව ක්රියාත්මක වේ.
පද්ධතියේ ස්ථාපනය කර ඇති පෙරනිමි භාෂාව මත පදනම්ව, ට්රෝජන් රුසියානු හෝ ඉංග්රීසි භාෂාවෙන් දෝෂ පණිවිඩ පෙන්වයි.
4.8.3. සහතිකය
RTM හට Windows Store වෙත සහතික එක් කළ හැකි අතර csrss.exe සංවාද කොටුවේ ඇති "ඔව්" බොත්තම ස්වයංක්රීයව ක්ලික් කිරීමෙන් එකතු කිරීමේ විශ්වසනීයත්වය තහවුරු කළ හැක. මෙම හැසිරීම අලුත් දෙයක් නොවේ; උදාහරණයක් ලෙස, බැංකු Trojan Retefe නව සහතිකයක් ස්ථාපනය කිරීම ස්වාධීනව තහවුරු කරයි.
4.8.4. ප්රතිලෝම සම්බන්ධතාවය
RTM කතුවරුන් Backconnect TCP උමං මාර්ගයද නිර්මාණය කරන ලදී. මෙම විශේෂාංගය තවමත් භාවිතයේ පවතින බව අප දැක නැත, නමුත් එය ආසාදිත පරිගණක දුරස්ථව නිරීක්ෂණය කිරීමට නිර්මාණය කර ඇත.
4.8.5. ධාරක ගොනු කළමනාකරණය
C&C සේවාදායකයට Windows සත්කාරක ගොනුව වෙනස් කිරීමට Trojan වෙත විධානයක් යැවිය හැක. අභිරුචි DNS විභේදන නිර්මාණය කිරීමට සත්කාරක ගොනුව භාවිතා කරයි.
4.8.6. ගොනුවක් සොයාගෙන යවන්න
ආසාදිත පද්ධතියේ ගොනුවක් සෙවීමට සහ බාගත කිරීමට සේවාදායකය ඉල්ලා සිටිය හැක. උදාහරණයක් ලෙස, පර්යේෂණය අතරතුර අපට 1c_to_kl.txt ගොනුව සඳහා ඉල්ලීමක් ලැබුණි. කලින් විස්තර කර ඇති පරිදි, මෙම ගොනුව 1C: Enterprise 8 ගිණුම්කරණ පද්ධතිය මගින් ජනනය කර ඇත.
4.8.7. යාවත්කාලීන කරන්න
අවසාන වශයෙන්, RTM කතුවරුන්ට වත්මන් අනුවාදය ප්රතිස්ථාපනය කිරීම සඳහා නව DLL එකක් ඉදිරිපත් කිරීමෙන් මෘදුකාංගය යාවත්කාලීන කළ හැක.
5. නිගමනය
RTM හි පර්යේෂණවලින් පෙනී යන්නේ රුසියානු බැංකු පද්ධතිය තවමත් සයිබර් ප්රහාරකයින් ආකර්ෂණය කර ගන්නා බවයි. Buhtrap, Corkow සහ Carbanak වැනි කණ්ඩායම් රුසියාවේ මූල්ය ආයතන සහ ඔවුන්ගේ ගනුදෙනුකරුවන්ගෙන් මුදල් සොරකම් කරති. RTM යනු මෙම කර්මාන්තයේ නව ක්රීඩකයෙකි.
ESET ටෙලිමෙට්රි වලට අනුව අවම වශයෙන් 2015 අග භාගයේ සිට අනිෂ්ට RTM මෙවලම් භාවිතයේ පවතී. මෙම වැඩසටහනට ස්මාර්ට් කාඩ්පත් කියවීම, යතුරු පහරවලට බාධා කිරීම සහ බැංකු ගනුදෙනු අධීක්ෂණය මෙන්ම 1C: Enterprise 8 ප්රවාහන ගොනු සෙවීම ඇතුළු සම්පූර්ණ පරාසයක ඔත්තු බැලීමේ හැකියාවන් ඇත.
විමධ්යගත, වාරණය නොකළ .bit ඉහළ මට්ටමේ වසමක භාවිතය ඉතා ඔරොත්තු දෙන යටිතල පහසුකම් සහතික කරයි.
මූලාශ්රය: www.habr.com