Existuje niekoľko známych kybernetických skupín, ktoré sa špecializujú na kradnutie finančných prostriedkov od ruských spoločností. Videli sme útoky využívajúce bezpečnostné medzery, ktoré umožňujú prístup do cieľovej siete. Keď útočníci získajú prístup, študujú sieťovú štruktúru organizácie a nasadzujú vlastné nástroje na krádež finančných prostriedkov. Klasickým príkladom tohto trendu sú hackerské skupiny Buhtrap, Cobalt a Corkow.
Skupina RTM, na ktorú sa zameriava táto správa, je súčasťou tohto trendu. Používa špeciálne navrhnutý malvér napísaný v Delphi, na ktorý sa podrobnejšie pozrieme v nasledujúcich častiach. Prvé stopy týchto nástrojov v telemetrickom systéme ESET boli objavené koncom roka 2015. Tím podľa potreby načítava do infikovaných systémov rôzne nové moduly. Útoky sú zamerané na používateľov vzdialených bankových systémov v Rusku a niektorých susedných krajinách.
1. Ciele
RTM kampaň je zameraná na firemných používateľov – to je zrejmé z procesov, ktoré sa útočníci snažia odhaliť v napadnutom systéme. Zameriava sa na účtovný softvér pre prácu so vzdialenými bankovými systémami.
Zoznam procesov, ktoré sú zaujímavé pre RTM, sa podobá zodpovedajúcemu zoznamu skupiny Buhtrap, ale skupiny majú rôzne infekčné vektory. Ak Buhtrap používal falošné stránky častejšie, potom RTM použilo útoky typu drive-by download (útoky na prehliadač alebo jeho komponenty) a spamovanie e-mailom. Podľa telemetrických údajov je hrozba zameraná na Rusko a niekoľko blízkych krajín (Ukrajinu, Kazachstan, Česko, Nemecko). Vzhľadom na použitie mechanizmov masovej distribúcie však detekcia malvéru mimo cieľových regiónov nie je prekvapujúca.
Celkový počet detekcií malvéru je relatívne malý. Na druhej strane RTM kampaň využíva komplexné programy, čo naznačuje, že útoky sú vysoko cielené.
Objavili sme niekoľko návnadových dokumentov, ktoré používa RTM, vrátane neexistujúcich zmlúv, faktúr či daňových účtovných dokladov. Povaha návnad v kombinácii s typom softvéru, na ktorý je útok zameraný, naznačuje, že útočníci „vstupujú“ do sietí ruských spoločností cez účtovné oddelenie. Skupina konala podľa rovnakej schémy v rokoch 2014-2015
Počas výskumu sme boli schopní komunikovať s niekoľkými C&C servermi. Úplný zoznam príkazov uvedieme v nasledujúcich častiach, ale zatiaľ môžeme povedať, že klient prenáša údaje z keyloggera priamo na útočiaci server, z ktorého potom prijíma ďalšie príkazy.
Časy, keď ste sa mohli jednoducho pripojiť k príkazovému a riadiacemu serveru a zhromažďovať všetky údaje, ktoré vás zaujímali, sú preč. Znovu sme vytvorili realistické protokolové súbory, aby sme získali niektoré relevantné príkazy zo servera.
Prvým z nich je žiadosť robotovi o prenos súboru 1c_to_kl.txt - transportného súboru programu 1C: Enterprise 8, ktorého vzhľad aktívne monitoruje RTM. 1C interaguje so vzdialenými bankovými systémami nahrávaním údajov o odchádzajúcich platbách do textového súboru. Ďalej sa súbor odošle do vzdialeného bankového systému na automatizáciu a vykonanie platobného príkazu.
Súbor obsahuje podrobnosti o platbe. Ak útočníci zmenia informácie o odchádzajúcich platbách, prevod bude odoslaný s nepravdivými údajmi na účty útočníkov.
Asi mesiac po vyžiadaní týchto súborov z príkazového a riadiaceho servera sme spozorovali, ako sa do napadnutého systému načítaval nový plugin 1c_2_kl.dll. Modul (DLL) je navrhnutý tak, aby automaticky analyzoval stiahnutý súbor preniknutím do procesov účtovného softvéru. Podrobne to popíšeme v nasledujúcich častiach.
Zaujímavé je, že FinCERT z Ruskej banky vydal koncom roka 2016 bulletin varujúci pred kyberzločincami, ktorí používajú nahrávacie súbory 1c_to_kl.txt. O tejto schéme vedia aj vývojári z 1C, ktorí už vydali oficiálne vyhlásenie a vymenovali preventívne opatrenia.
Z príkazového servera boli načítané aj ďalšie moduly, najmä VNC (jeho 32 a 64-bitové verzie). Podobá sa na modul VNC, ktorý sa predtým používal pri útokoch na trójske kone Dridex. Tento modul sa údajne používa na vzdialené pripojenie k infikovanému počítaču a vykonanie podrobnej štúdie systému. Ďalej sa útočníci pokúšajú pohybovať po sieti, získavajú heslá používateľov, zbierajú informácie a zabezpečujú neustálu prítomnosť malvéru.
2. Vektory infekcie
Nasledujúci obrázok ukazuje infekčné vektory zistené počas študijného obdobia kampane. Skupina využíva širokú škálu vektorov, ale najmä útoky typu drive-by download a spam. Tieto nástroje sú vhodné na cielené útoky, keďže v prvom prípade si útočníci môžu vybrať stránky navštívené potenciálnymi obeťami a v druhom môžu posielať e-maily s prílohami priamo požadovaným zamestnancom spoločnosti.
Malvér je distribuovaný prostredníctvom viacerých kanálov, vrátane súprav RIG a Sundown exploit kitov alebo spamových e-mailov, čo naznačuje spojenie medzi útočníkmi a inými kyberútočníkmi ponúkajúcimi tieto služby.
2.1. Ako súvisia RTM a Buhtrap?
RTM kampaň sa veľmi podobá na Buhtrap. Prirodzená otázka znie: ako spolu súvisia?
V septembri 2016 sme zaznamenali distribúciu vzorky RTM pomocou nástroja na nahrávanie Buhtrap. Okrem toho sme našli dva digitálne certifikáty používané v Buhtrap aj RTM.
Prvý, údajne vydaný spoločnosti DNISTER-M, bol použitý na digitálne podpísanie druhého Delphi formulára (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) a Buhtrap DLL (SHA-1: 1E2642B454B2F889C ).
Druhý, vydaný pre Bit-Tredj, bol použitý na podpísanie nakladačov Buhtrap (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 a B74F71560E48488D2153AE2FB51207A0C206 download and well.2 installXNUMXTMEXNUMXBACXNUMX as
Operátori RTM používajú certifikáty, ktoré sú spoločné pre iné rodiny malvéru, no majú aj jedinečný certifikát. Podľa telemetrie ESET bol vydaný pre Kit-SD a bol použitý len na podpísanie nejakého RTM malvéru (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM používa rovnaký zavádzač ako Buhtrap, komponenty RTM sa načítavajú z infraštruktúry Buhtrap, takže skupiny majú podobné sieťové indikátory. Podľa našich odhadov sú však RTM a Buhtrap odlišné skupiny, prinajmenšom preto, že RTM sa distribuuje rôznymi spôsobmi (nielen pomocou „cudzieho“ sťahovača).
Napriek tomu skupiny hackerov používajú podobné princípy fungovania. Zameriavajú sa na podniky používajúce účtovný softvér, podobne zbierajú systémové informácie, vyhľadávajú čítačky čipových kariet a nasadzujú celý rad škodlivých nástrojov na špehovanie obetí.
3. Evolúcia
V tejto časti sa pozrieme na rôzne verzie malvéru nájdené počas štúdie.
3.1. Verziovanie
RTM ukladá konfiguračné údaje do sekcie registra, pričom najzaujímavejšou časťou je botnet-prefix. Zoznam všetkých hodnôt, ktoré sme videli vo vzorkách, ktoré sme študovali, je uvedený v tabuľke nižšie.
Je možné, že hodnoty by sa mohli použiť na zaznamenanie verzií malvéru. Medzi verziami ako bit2 a bit3, 0.1.6.4 a 0.1.6.6 sme však veľký rozdiel nezaznamenali. Navyše jedna z predpôn existuje od začiatku a vyvinula sa z typickej domény C&C na doménu .bit, ako bude uvedené nižšie.
3.2. Rozvrh
Pomocou telemetrických údajov sme vytvorili graf výskytu vzoriek.
4. Technická analýza
V tejto časti popíšeme hlavné funkcie bankového trójskeho koňa RTM vrátane mechanizmov odolnosti, vlastnej verzie algoritmu RC4, sieťového protokolu, špionážnej funkcie a niektorých ďalších funkcií. Konkrétne sa zameriame na vzorky SHA-1 AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 a 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. Inštalácia a uloženie
4.1.1. Implementácia
Jadro RTM je DLL, knižnica sa nahrá na disk pomocou .EXE. Spustiteľný súbor je zvyčajne zabalený a obsahuje kód DLL. Po spustení extrahuje knižnicu DLL a spustí ju pomocou nasledujúceho príkazu:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. DLL
Hlavná knižnica DLL sa vždy načíta na disk ako winlogon.lnk v priečinku %PROGRAMDATA%Winlogon. Táto prípona súboru je zvyčajne spojená so skratkou, ale súbor je v skutočnosti DLL napísaná v Delphi, vývojár s názvom core.dll, ako je znázornené na obrázku nižšie.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Po spustení Trojan aktivuje mechanizmus odporu. Dá sa to urobiť dvoma rôznymi spôsobmi v závislosti od privilégií obete v systéme. Ak máte práva správcu, trójsky kôň pridá položku Windows Update do registra HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun. Príkazy obsiahnuté v službe Windows Update sa spustia na začiatku relácie používateľa.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe “%PROGRAMDATA%winlogon.lnk”,hostiteľ DllGetClassObject
Trójsky kôň sa tiež pokúša pridať úlohu do plánovača úloh systému Windows. Úloha spustí DLL winlogon.lnk s rovnakými parametrami ako vyššie. Bežné používateľské práva umožňujú trójskemu koňovi pridať položku Windows Update s rovnakými údajmi do registra HKCUSoftwareMicrosoftWindowsCurrentVersionRun:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Upravený algoritmus RC4
Napriek známym nedostatkom je algoritmus RC4 pravidelne používaný autormi malvéru. Tvorcovia RTM ho však mierne upravili, pravdepodobne preto, aby sťažili úlohu vírusových analytikov. Upravená verzia RC4 je široko používaná v škodlivých RTM nástrojoch na šifrovanie reťazcov, sieťových údajov, konfigurácie a modulov.
4.2.1. Rozdiely
Pôvodný algoritmus RC4 zahŕňa dve fázy: inicializáciu s-bloku (aka KSA - Key-Scheduling Algorithm) a generovanie pseudonáhodnej sekvencie (PRGA - Pseudo-Random Generation Algorithm). Prvá fáza zahŕňa inicializáciu s-boxu pomocou kľúča a v druhej fáze sa zdrojový text spracuje pomocou s-boxu na šifrovanie.
Autori RTM pridali medzikrok medzi inicializáciou s-boxu a šifrovaním. Dodatočný kľúč je variabilný a nastavuje sa súčasne s údajmi, ktoré sa majú šifrovať a dešifrovať. Funkcia, ktorá vykonáva tento dodatočný krok, je znázornená na obrázku nižšie.
4.2.2. Reťazcové šifrovanie
Na prvý pohľad je v hlavnej knižnici DLL niekoľko čitateľných riadkov. Zvyšok je zašifrovaný pomocou vyššie opísaného algoritmu, ktorého štruktúra je znázornená na nasledujúcom obrázku. V analyzovaných vzorkách sme našli viac ako 25 rôznych kľúčov RC4 na šifrovanie reťazcov. Kláves XOR je pre každý riadok iný. Hodnota číselného poľa oddeľujúceho riadky je vždy 0xFFFFFFFF.
Na začiatku vykonávania RTM dešifruje reťazce na globálnu premennú. V prípade potreby prístupu k reťazcu trójsky kôň dynamicky vypočíta adresu dešifrovaných reťazcov na základe základnej adresy a offsetu.
Reťazce obsahujú zaujímavé informácie o funkciách malvéru. Niektoré príklady reťazcov sú uvedené v časti 6.8.
4.3. Sieť
Spôsob, akým malvér RTM kontaktuje server C&C, sa líši od verzie k verzii. Prvé úpravy (október 2015 – apríl 2016) používali tradičné názvy domén spolu s kanálom RSS na livejournal.com na aktualizáciu zoznamu príkazov.
Od apríla 2016 sme v telemetrických údajoch zaznamenali posun k doménam .bit. Potvrdzuje to dátum registrácie domény – prvá RTM doména fde05d0573da.bit bola zaregistrovaná 13. marca 2016.
Všetky adresy URL, ktoré sme videli pri monitorovaní kampane, mali spoločnú cestu: /r/z.php. Je to dosť nezvyčajné a pomôže to identifikovať RTM požiadavky v sieťových tokoch.
4.3.1. Kanál pre príkazy a ovládanie
Staršie príklady používali tento kanál na aktualizáciu zoznamu príkazových a riadiacich serverov. Hosting sa nachádza na adrese livejournal.com, v čase písania správy zostal na adrese URL hxxp://f72bba81c921(.)livejournal(.)com/data/rss.
Livejournal je rusko-americká spoločnosť, ktorá poskytuje platformu pre blogovanie. Operátori RTM vytvárajú blog LJ, v ktorom uverejňujú článok s kódovanými príkazmi – pozri snímku obrazovky.
Príkazové a riadiace riadky sú kódované pomocou upraveného algoritmu RC4 (časť 4.2). Aktuálna verzia (november 2016) kanála obsahuje nasledujúce adresy príkazového a riadiaceho servera:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. .bit domény
V najnovších vzorkách RTM sa autori pripájajú k doménam C&C pomocou domény najvyššej úrovne .bit TLD. Nie je na zozname domén najvyššej úrovne ICANN (Domain Name and Internet Corporation). Namiesto toho používa systém Namecoin, ktorý je postavený na technológii Bitcoin. Autori malvéru často nepoužívajú .bit TLD pre svoje domény, hoci príklad takéhoto použitia bol už predtým pozorovaný vo verzii botnetu Necurs.
Na rozdiel od Bitcoinu majú používatelia distribuovanej databázy Namecoin možnosť ukladať dáta. Hlavnou aplikáciou tejto funkcie je doména najvyššej úrovne .bit. Môžete si zaregistrovať domény, ktoré budú uložené v distribuovanej databáze. Zodpovedajúce položky v databáze obsahujú adresy IP preložené doménou. Táto TLD je „odolná voči cenzúre“, pretože len registrujúci môže zmeniť rozlíšenie domény .bit. To znamená, že je oveľa ťažšie zastaviť škodlivú doménu pomocou tohto typu TLD.
Trojan RTM nevkladá softvér potrebný na čítanie distribuovanej databázy Namecoin. Používa centrálne servery DNS, ako sú servery dns.dot-bit.org alebo OpenNic na rozlíšenie domén .bit. Preto má rovnakú odolnosť ako servery DNS. Zistili sme, že niektoré tímové domény už neboli zistené po tom, čo boli spomenuté v blogovom príspevku.
Ďalšou výhodou .bit TLD pre hackerov je cena. Za registráciu domény musia operátori zaplatiť iba 0,01 NK, čo zodpovedá 0,00185 USD (k 5. decembru 2016). Pre porovnanie, domain.com stojí minimálne 10 dolárov.
4.3.3. Protokol
Na komunikáciu s príkazovým a riadiacim serverom používa RTM požiadavky HTTP POST s údajmi naformátovanými pomocou vlastného protokolu. Hodnota cesty je vždy /r/z.php; Používateľský agent Mozilla/5.0 (kompatibilný; MSIE 9.0; Windows NT 6.1; Trident/5.0). V požiadavkách na server sú údaje formátované nasledovne, pričom hodnoty posunu sú vyjadrené v bajtoch:
Bajty 0 až 6 nie sú zakódované; bajty začínajúce od 6 sú zakódované pomocou modifikovaného algoritmu RC4. Štruktúra paketu odpovede C&C je jednoduchšia. Bajty sú kódované od 4 do veľkosti paketu.
Zoznam možných hodnôt bajtov akcií je uvedený v tabuľke nižšie:
Malvér vždy vypočíta CRC32 dešifrovaných údajov a porovná ich s tým, čo sa nachádza v pakete. Ak sa líšia, trójsky kôň zahodí paket.
Dodatočné údaje môžu obsahovať rôzne objekty vrátane súboru PE, súboru, ktorý sa má prehľadávať v systéme súborov, alebo adresy URL nových príkazov.
4.3.4. Panel
Všimli sme si, že RTM používa panel na serveroch C&C. Snímka obrazovky nižšie:
4.4. Charakteristický znak
RTM je typický bankový trójsky kôň. Nie je žiadnym prekvapením, že operátori chcú informácie o systéme obete. Na jednej strane robot zhromažďuje všeobecné informácie o OS. Na druhej strane zisťuje, či napadnutý systém obsahuje atribúty spojené s ruskými vzdialenými bankovými systémami.
4.4.1. všeobecné informácie
Keď sa malvér nainštaluje alebo spustí po reštarte, príkazovému a riadiacemu serveru sa odošle správa obsahujúca všeobecné informácie vrátane:
- Časové pásmo;
- predvolený jazyk systému;
- poverenia oprávneného používateľa;
- úroveň integrity procesu;
- Používateľské meno;
- názov počítača;
- verzia OS;
- ďalšie inštalované moduly;
- nainštalovaný antivírusový program;
- zoznam čítačiek čipových kariet.
4.4.2 Vzdialený bankový systém
Typickým cieľom trójskych koní je vzdialený bankový systém a RTM nie je výnimkou. Jeden z modulov programu sa nazýva TBdo, ktorý vykonáva rôzne úlohy vrátane skenovania diskov a histórie prehliadania.
Naskenovaním disku trójsky kôň skontroluje, či je v počítači nainštalovaný bankový softvér. Úplný zoznam cieľových programov je v tabuľke nižšie. Po zistení požadovaného súboru program odošle informácie príkazovému serveru. Ďalšie akcie závisia od logiky špecifikovanej algoritmami riadiaceho centra (C&C).
RTM tiež hľadá vzory adries URL v histórii prehliadača a otvorených kartách. Okrem toho program skúma použitie funkcií FindNextUrlCacheEntryA a FindFirstUrlCacheEntryA a tiež skontroluje každý záznam, aby sa adresa URL zhodovala s jedným z nasledujúcich vzorov:
Po zistení otvorených kariet trójsky kôň kontaktuje Internet Explorer alebo Firefox prostredníctvom mechanizmu Dynamic Data Exchange (DDE), aby skontroloval, či karta zodpovedá vzoru.
Kontrola histórie prehliadania a otvorených kariet sa vykonáva v slučke WHILE (slučka s predbežnou podmienkou) s 1 sekundovou prestávkou medzi kontrolami. Ďalšie údaje, ktoré sú monitorované v reálnom čase, budú popísané v časti 4.5.
Ak sa nájde vzor, program to oznámi príkazovému serveru pomocou zoznamu reťazcov z nasledujúcej tabuľky:
4.5 Monitorovanie
Kým je trójsky kôň spustený, informácie o charakteristických vlastnostiach infikovaného systému (vrátane informácií o prítomnosti bankového softvéru) sa odosielajú na príkazový a riadiaci server. K snímaniu odtlačkov prstov dochádza, keď RTM prvýkrát spustí monitorovací systém ihneď po úvodnom skenovaní operačného systému.
4.5.1. Vzdialené bankovníctvo
Modul TBdo je zodpovedný aj za monitorovanie procesov súvisiacich s bankovníctvom. Používa dynamickú výmenu údajov na kontrolu kariet vo Firefoxe a Internet Exploreri počas úvodnej kontroly. Ďalší modul TShell slúži na sledovanie príkazových okien (Internet Explorer alebo File Explorer).
Modul využíva na monitorovanie okien COM rozhrania IShellWindows, iWebBrowser, DWebBrowserEvents2 a IConnectionPointContainer. Keď používateľ prejde na novú webovú stránku, malvér to zaznamená. Potom porovná adresu URL stránky s vyššie uvedenými vzormi. Po zistení zhody trójsky kôň urobí šesť po sebe idúcich snímok obrazovky s intervalom 5 sekúnd a odošle ich na príkazový server C&S. Program tiež kontroluje niektoré názvy okien súvisiace s bankovým softvérom - úplný zoznam je uvedený nižšie:
4.5.2. Smart karta
RTM vám umožňuje sledovať čítačky čipových kariet pripojené k infikovaným počítačom. Tieto zariadenia sa v niektorých krajinách používajú na zosúladenie platobných príkazov. Ak je tento typ zariadenia pripojený k počítaču, môže trójskemu koňovi indikovať, že sa stroj používa na bankové transakcie.
Na rozdiel od iných bankových trójskych koní, RTM nemôže interagovať s takýmito smart kartami. Možno je táto funkcionalita zahrnutá v prídavnom module, ktorý sme ešte nevideli.
4.5.3. Keylogger
Dôležitou súčasťou monitorovania infikovaného PC je zachytávanie stlačených klávesov. Zdá sa, že vývojárom RTM nechýbajú žiadne informácie, keďže sledujú nielen bežné klávesy, ale aj virtuálnu klávesnicu a schránku.
Ak to chcete urobiť, použite funkciu SetWindowsHookExA. Útočníci zaznamenávajú stlačené klávesy alebo klávesy zodpovedajúce virtuálnej klávesnici spolu s názvom a dátumom programu. Buffer sa potom odošle na príkazový server C&C.
Na zachytenie schránky sa používa funkcia SetClipboardViewer. Hackeri zaznamenávajú obsah schránky, keď sú údaje textové. Pred odoslaním vyrovnávacej pamäte na server sa zaznamená aj názov a dátum.
4.5.4. Snímky obrazovky
Ďalšou funkciou RTM je zachytenie snímky obrazovky. Táto funkcia sa použije, keď modul monitorovania okien deteguje lokalitu alebo bankový softvér, ktorý vás zaujíma. Snímky obrazovky sa robia pomocou knižnice grafických obrázkov a prenášajú sa na príkazový server.
4.6. Odinštalovanie
Server C&C môže zastaviť spustenie malvéru a vyčistiť váš počítač. Príkaz vám umožňuje vymazať súbory a položky databázy Registry vytvorené počas spustenia RTM. DLL sa potom použije na odstránenie škodlivého softvéru a súboru winlogon, po ktorom príkaz vypne počítač. Ako je znázornené na obrázku nižšie, knižnicu DLL odstránia vývojári pomocou súboru erase.dll.
Server môže poslať trójskemu koňovi deštruktívny príkaz na odinštalovanie-uzamknutie. V tomto prípade, ak máte práva správcu, RTM vymaže zavádzací sektor MBR na pevnom disku. Ak sa to nepodarí, trójsky kôň sa pokúsi posunúť zavádzací sektor MBR na náhodný sektor - potom počítač nebude môcť po vypnutí zaviesť operačný systém. To môže viesť k úplnej reinštalácii OS, čo znamená zničenie dôkazov.
Bez oprávnení správcu zapíše malvér súbor .EXE zakódovaný v základnej knižnici RTM DLL. Spustiteľný súbor spustí kód potrebný na vypnutie počítača a zaregistruje modul do kľúča databázy Registry HKCUCurrentVersionRun. Zakaždým, keď používateľ spustí reláciu, počítač sa okamžite vypne.
4.7. Konfiguračný súbor
V predvolenom nastavení RTM nemá takmer žiadny konfiguračný súbor, ale príkazový a riadiaci server môže odosielať konfiguračné hodnoty, ktoré budú uložené v registri a používané programom. Zoznam konfiguračných kľúčov je uvedený v tabuľke nižšie:
Konfigurácia je uložená v kľúči databázy Registry Software [Pseudo-random string]. Každá hodnota zodpovedá jednému z riadkov uvedených v predchádzajúcej tabuľke. Hodnoty a dáta sú kódované pomocou algoritmu RC4 v RTM.
Údaje majú rovnakú štruktúru ako sieť alebo reťazce. Na začiatok kódovaných údajov sa pridá štvorbajtový kľúč XOR. Pre konfiguračné hodnoty je kľúč XOR odlišný a závisí od veľkosti hodnoty. Dá sa vypočítať takto:
xor_key = (len(konfiguračná_hodnota) << 24) | (len(config_value) << 16)
| len(hodnota_konfigurácie)| (len(config_value) << 8)
4.8. Ďalšie vlastnosti
Ďalej sa pozrime na ďalšie funkcie, ktoré RTM podporuje.
4.8.1. Prídavné moduly
Trójsky kôň obsahuje ďalšie moduly, ktorými sú súbory DLL. Moduly odoslané z príkazového servera C&C môžu byť spustené ako externé programy, premietnuté do RAM a spustené v nových vláknach. Pre ukladanie sú moduly uložené v súboroch .dtt a kódované pomocou algoritmu RC4 s rovnakým kľúčom, aký sa používa pre sieťovú komunikáciu.
Doteraz sme pozorovali inštaláciu modulu VNC (8966319882494077C21F66A8354E2CBCA0370464), modulu na extrakciu údajov prehliadača (03DE8622BE6B2F75A364A275995C3411626C4D9EF_1 Modul 2E1F) FBA562 B1BE69D6B58E88753CFAB).
Na načítanie modulu VNC vydá server C&C príkaz požadujúci pripojenie k serveru VNC na špecifickej adrese IP na porte 44443. Zásuvný modul na načítanie údajov prehliadača spustí TBrowserDataCollector, ktorý dokáže čítať históriu prehliadania IE. Potom odošle úplný zoznam navštívených adries URL na príkazový server C&C.
Posledný objavený modul sa nazýva 1c_2_kl. Môže interagovať so softvérovým balíkom 1C Enterprise. Modul obsahuje dve časti: hlavnú časť - DLL a dvoch agentov (32 a 64 bitov), ktorí sa vložia do každého procesu a registrujú väzbu na WH_CBT. Po zavedení do procesu 1C modul spája funkcie CreateFile a WriteFile. Kedykoľvek je zavolaná funkcia CreateFile bound, modul uloží cestu k súboru 1c_to_kl.txt do pamäte. Po zachytení volania WriteFile zavolá funkciu WriteFile a odošle cestu k súboru 1c_to_kl.txt do hlavného modulu DLL, pričom mu odovzdá vytvorenú správu Windows WM_COPYDATA.
Hlavný modul DLL otvorí a analyzuje súbor na určenie platobných príkazov. Rozpoznáva sumu a číslo transakcie obsiahnuté v súbore. Tieto informácie sa odosielajú na príkazový server. Domnievame sa, že tento modul je momentálne vo vývoji, pretože obsahuje ladiacu správu a nemôže automaticky upraviť 1c_to_kl.txt.
4.8.2. Eskalácia privilégií
RTM sa môže pokúsiť zvýšiť privilégiá zobrazovaním falošných chybových správ. Malvér simuluje kontrolu registra (pozri obrázok nižšie) alebo používa skutočnú ikonu editora registrov. Všimnite si pravopisnú chybu wait – what. Po niekoľkých sekundách skenovania program zobrazí falošné chybové hlásenie.
Nepravdivá správa ľahko oklame bežného používateľa aj napriek gramatickým chybám. Ak používateľ klikne na jeden z dvoch odkazov, RTM sa pokúsi eskalovať svoje privilégiá v systéme.
Po výbere jednej z dvoch možností obnovy spustí trójsky kôň knižnicu DLL pomocou možnosti runas vo funkcii ShellExecute s oprávneniami správcu. Používateľovi sa zobrazí skutočná výzva systému Windows (pozri obrázok nižšie) na zvýšenie výšky. Ak používateľ poskytne potrebné povolenia, trójsky kôň sa spustí s oprávneniami správcu.
V závislosti od predvoleného jazyka nainštalovaného v systéme trójsky kôň zobrazuje chybové hlásenia v ruštine alebo angličtine.
4.8.3. Certifikát
RTM môže pridať certifikáty do Windows Store a potvrdiť spoľahlivosť pridávania automatickým kliknutím na tlačidlo „áno“ v dialógovom okne csrss.exe. Toto správanie nie je nové, napríklad bankový trójsky kôň Retefe nezávisle potvrdí inštaláciu nového certifikátu.
4.8.4. Reverzné pripojenie
Autori RTM vytvorili aj Backconnect TCP tunel. Funkciu sme ešte nevideli, ale je určená na vzdialené monitorovanie infikovaných počítačov.
4.8.5. Správa hostiteľských súborov
Server C&C môže poslať trójskemu koňovi príkaz na úpravu hostiteľského súboru Windows. Hostiteľský súbor sa používa na vytváranie vlastných rozlíšení DNS.
4.8.6. Nájdite a odošlite súbor
Server môže požiadať o vyhľadanie a stiahnutie súboru v infikovanom systéme. Počas výskumu sme napríklad dostali požiadavku na súbor 1c_to_kl.txt. Ako už bolo popísané vyššie, tento súbor generuje účtovný systém 1C: Enterprise 8.
4.8.7. Aktualizácia
Nakoniec, autori RTM môžu aktualizovať softvér odoslaním novej knižnice DLL, ktorá nahradí aktuálnu verziu.
5. záver
Výskum RTM ukazuje, že ruský bankový systém stále priťahuje kybernetických útočníkov. Skupiny ako Buhtrap, Corkow a Carbanak úspešne kradnú peniaze od finančných inštitúcií a ich klientov v Rusku. RTM je novým hráčom v tomto odvetví.
Podľa telemetrie spoločnosti ESET sa škodlivé nástroje RTM používajú minimálne od konca roku 2015. Program má celý rad možností špionáže, vrátane čítania smart kariet, zachytávania stlačenia klávesov a monitorovania bankových transakcií, ako aj vyhľadávania transportných súborov 1C: Enterprise 8.
Použitie decentralizovanej, necenzurovanej domény najvyššej úrovne .bit zaisťuje vysoko odolnú infraštruktúru.
Zdroj: hab.com