Obstaja več znanih kibernetskih skupin, ki so specializirane za krajo sredstev ruskih podjetij. Videli smo napade z uporabo varnostnih vrzeli, ki omogočajo dostop do ciljnega omrežja. Ko napadalci pridobijo dostop, preučijo omrežno strukturo organizacije in uporabijo lastna orodja za krajo sredstev. Klasičen primer tega trenda so hekerske skupine Buhtrap, Cobalt in Corkow.
Skupina RTM, na katero se osredotoča to poročilo, je del tega trenda. Uporablja posebej zasnovano zlonamerno programsko opremo, napisano v Delphiju, ki si jo bomo podrobneje ogledali v naslednjih razdelkih. Prve sledi teh orodij v telemetričnem sistemu ESET so bile odkrite konec leta 2015. Ekipa po potrebi naloži različne nove module v okužene sisteme. Napadi so usmerjeni na uporabnike sistemov za oddaljeno bančništvo v Rusiji in nekaterih sosednjih državah.
1. Cilji
Kampanja RTM je namenjena korporativnim uporabnikom – to je očitno iz procesov, ki jih napadalci poskušajo zaznati v ogroženem sistemu. Poudarek je na računovodski programski opremi za delo s sistemi oddaljenega bančništva.
Seznam procesov, ki so zanimivi za RTM, je podoben ustreznemu seznamu skupine Buhtrap, vendar imajo skupine različne vektorje okužbe. Če je Buhtrap pogosteje uporabljal lažne strani, je RTM uporabljal napade s prenosom (napadi na brskalnik ali njegove komponente) in pošiljanje neželene e-pošte. Po podatkih telemetrije je grožnja uperjena proti Rusiji in več bližnjim državam (Ukrajina, Kazahstan, Češka, Nemčija). Vendar pa zaradi uporabe mehanizmov množične distribucije odkrivanje zlonamerne programske opreme zunaj ciljnih regij ni presenetljivo.
Skupno število odkritij zlonamerne programske opreme je relativno majhno. Po drugi strani pa RTM kampanja uporablja kompleksne programe, kar kaže na visoko ciljno usmerjenost napadov.
Odkrili smo več lažnih dokumentov, ki jih uporablja RTM, vključno z neobstoječimi pogodbami, računi ali davčnimi računovodskimi dokumenti. Narava vab v kombinaciji z vrsto programske opreme, ki je tarča napada, kaže, da napadalci "vstopajo" v mreže ruskih podjetij prek računovodskega oddelka. Skupina je delovala po isti shemi v letih 2014-2015
Med raziskavo smo lahko komunicirali z več C&C strežniki. Celoten seznam ukazov bomo navedli v naslednjih razdelkih, za zdaj pa lahko rečemo, da odjemalec prenese podatke iz keyloggerja neposredno na napadalni strežnik, od katerega nato prejme dodatne ukaze.
Vendar so časi, ko ste se lahko preprosto povezali s strežnikom za ukaze in nadzor ter zbirali vse podatke, ki so vas zanimali, minili. Poustvarili smo realistične dnevniške datoteke, da bi dobili nekaj ustreznih ukazov s strežnika.
Prva od njih je zahteva botu za prenos datoteke 1c_to_kl.txt - transportne datoteke programa 1C: Enterprise 8, katere videz aktivno spremlja RTM. 1C komunicira s sistemi oddaljenega bančništva tako, da podatke o odhodnih plačilih naloži v besedilno datoteko. Nato se datoteka pošlje v sistem oddaljenega bančništva za avtomatizacijo in izvedbo plačilnega naloga.
Datoteka vsebuje podatke o plačilu. Če napadalci spremenijo podatke o odhodnih plačilih, bo nakazilo poslano z lažnimi podatki na račune napadalcev.
Približno mesec dni po tem, ko smo te datoteke zahtevali od ukaznega in nadzornega strežnika, smo opazili, da se nov vtičnik 1c_2_kl.dll nalaga v ogroženi sistem. Modul (DLL) je zasnovan tako, da samodejno analizira preneseno datoteko s prodiranjem v procese računovodske programske opreme. Podrobno ga bomo opisali v naslednjih razdelkih.
Zanimivo je, da je FinCERT Banke Rusije konec leta 2016 izdal bilten z opozorilom o kiberkriminalcih, ki uporabljajo datoteke za nalaganje 1c_to_kl.txt. Za to shemo vedo tudi razvijalci iz 1C, ki so že podali uradno izjavo in navedli varnostne ukrepe.
Iz ukaznega strežnika so bili naloženi tudi drugi moduli, zlasti VNC (njegova 32- in 64-bitna različica). Podoben je modulu VNC, ki je bil prej uporabljen v napadih trojancev Dridex. Ta modul naj bi se uporabljal za oddaljeno povezavo z okuženim računalnikom in podrobno študijo sistema. Nato se napadalci poskušajo premikati po omrežju, pridobivajo uporabniška gesla, zbirajo informacije in zagotavljajo stalno prisotnost zlonamerne programske opreme.
2. Vektorji okužbe
Naslednja slika prikazuje vektorje okužbe, odkrite v študijskem obdobju kampanje. Skupina uporablja široko paleto vektorjev, predvsem pa napade s prenosom in neželeno pošto. Ta orodja so primerna za ciljane napade, saj lahko v prvem primeru napadalci izberejo mesta, ki jih obiščejo morebitne žrtve, v drugem primeru pa lahko pošljejo elektronsko pošto s priponkami neposredno želenim zaposlenim v podjetju.
Zlonamerna programska oprema se distribuira prek več kanalov, vključno s kompleti za izkoriščanje RIG in Sundown ali neželeno pošto, kar kaže na povezave med napadalci in drugimi kibernetskimi napadalci, ki ponujajo te storitve.
2.1. Kako sta RTM in Buhtrap povezana?
Kampanja RTM je zelo podobna Buhtrapu. Naravno vprašanje je: kako so povezani drug z drugim?
Septembra 2016 smo opazili distribucijo vzorca RTM s programom za nalaganje Buhtrap. Poleg tega smo našli dve digitalni potrdili, ki se uporabljata v Buhtrap in RTM.
Prvi, domnevno izdan podjetju DNISTER-M, je bil uporabljen za digitalno podpisovanje drugega obrazca Delphi (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) in Buhtrap DLL (SHA-1: 1E2642B454A2C889B6D41116CCDBA83F6F2D4890). XNUMX).
Drugi, izdan Bit-Tredju, je bil uporabljen za podpisovanje nalagalnikov Buhtrap (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 in B74F71560E48488D2153AE2FB51207A0AC206E2B), kot tudi za prenos in namestitev komponent RTM.
Operaterji RTM uporabljajo potrdila, ki so skupna drugim družinam zlonamerne programske opreme, vendar imajo tudi edinstveno potrdilo. Glede na telemetrijo ESET je bil izdan Kit-SD in je bil uporabljen samo za podpisovanje nekatere zlonamerne programske opreme RTM (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM uporablja isti nalagalnik kot Buhtrap, komponente RTM se naložijo iz infrastrukture Buhtrap, zato imajo skupine podobne omrežne indikatorje. Vendar sta po naših ocenah RTM in Buhtrap različni skupini, vsaj zato, ker se RTM distribuira na različne načine (ne le s pomočjo “tujega” downloaderja).
Kljub temu hekerske skupine uporabljajo podobne principe delovanja. Ciljajo na podjetja, ki uporabljajo računovodsko programsko opremo, podobno zbirajo sistemske informacije, iščejo čitalnike pametnih kartic in uporabljajo vrsto zlonamernih orodij za vohunjenje za žrtvami.
3. Evolucija
V tem razdelku si bomo ogledali različne različice zlonamerne programske opreme, odkrite med študijo.
3.1. Versioning
RTM hrani konfiguracijske podatke v razdelku registra, najbolj zanimiv del pa je predpona botneta. Seznam vseh vrednosti, ki smo jih videli v vzorcih, ki smo jih proučevali, je predstavljen v spodnji tabeli.
Možno je, da bi se vrednosti lahko uporabile za beleženje različic zlonamerne programske opreme. Nismo pa opazili velike razlike med različicami, kot so bit2 in bit3, 0.1.6.4 in 0.1.6.6. Poleg tega je ena od predpon prisotna že od začetka in se je razvila iz tipične domene C&C v domeno .bit, kot bo prikazano spodaj.
3.2. Urnik
S pomočjo telemetričnih podatkov smo izdelali graf pojavljanja vzorcev.
4. Tehnična analiza
V tem razdelku bomo opisali glavne funkcije bančnega trojanca RTM, vključno z mehanizmi odpornosti, lastno različico algoritma RC4, omrežnim protokolom, funkcijo vohunjenja in nekaterimi drugimi funkcijami. Še posebej se bomo osredotočili na vzorce SHA-1 AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 in 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. Namestitev in shranjevanje
4.1.1. Izvedba
Jedro RTM je DLL, knjižnica se naloži na disk z uporabo .EXE. Izvršljiva datoteka je običajno zapakirana in vsebuje kodo DLL. Ko se zažene, ekstrahira DLL in ga zažene z naslednjim ukazom:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. DLL
Glavni DLL je vedno naložen na disk kot winlogon.lnk v mapi %PROGRAMDATA%Winlogon. Ta pripona datoteke je običajno povezana z bližnjico, vendar je datoteka dejansko DLL, napisan v Delphiju, ki ga je razvijalec poimenoval core.dll, kot je prikazano na spodnji sliki.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Po zagonu trojanec aktivira svoj odporni mehanizem. To je mogoče storiti na dva različna načina, odvisno od privilegijev žrtve v sistemu. Če imate skrbniške pravice, trojanec doda vnos Windows Update v register HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun. Ukazi, ki jih vsebuje Windows Update, se bodo zagnali na začetku uporabnikove seje.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject gostitelj
Trojanec prav tako poskuša dodati nalogo v Windows Task Scheduler. Naloga bo zagnala DLL winlogon.lnk z enakimi parametri kot zgoraj. Običajne uporabniške pravice trojancu omogočajo dodajanje vnosa Windows Update z istimi podatki v register HKCUSoftwareMicrosoftWindowsCurrentVersionRun:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Spremenjen algoritem RC4
Kljub znanim pomanjkljivostim algoritem RC4 redno uporabljajo avtorji zlonamerne programske opreme. Ustvarjalci RTM-ja pa so ga nekoliko spremenili, verjetno zato, da bi otežili nalogo virusnih analitikov. Spremenjena različica RC4 se pogosto uporablja v zlonamernih orodjih RTM za šifriranje nizov, omrežnih podatkov, konfiguracije in modulov.
4.2.1. razlike
Izvirni algoritem RC4 vključuje dve stopnji: inicializacijo s-bloka (alias KSA - Key-Scheduling Algorithm) in generiranje psevdonaključnega zaporedja (PRGA - Pseudo-Random Generation Algorithm). Prva stopnja vključuje inicializacijo s-boxa s ključem, v drugi fazi pa se izvorno besedilo obdela s s-boxom za šifriranje.
Avtorji RTM so dodali vmesni korak med inicializacijo s-boxa in šifriranjem. Dodatni ključ je spremenljiv in se nastavi istočasno s podatki, ki jih je treba šifrirati in dešifrirati. Funkcija, ki izvede ta dodatni korak, je prikazana na spodnji sliki.
4.2.2. Šifriranje nizov
Na prvi pogled je v glavnem DLL več berljivih vrstic. Ostali so šifrirani z zgoraj opisanim algoritmom, katerega struktura je prikazana na naslednji sliki. V analiziranih vzorcih smo našli več kot 25 različnih ključev RC4 za šifriranje nizov. Tipka XOR je za vsako vrstico drugačna. Vrednost številskega polja, ki ločuje vrstice, je vedno 0xFFFFFFFF.
Na začetku izvajanja RTM dešifrira nize v globalno spremenljivko. Ko je treba dostopati do niza, trojanec dinamično izračuna naslov dešifriranih nizov na podlagi osnovnega naslova in odmika.
Nizi vsebujejo zanimive informacije o funkcijah zlonamerne programske opreme. Nekaj primerov nizov je navedenih v razdelku 6.8.
4.3. Omrežje
Način, kako zlonamerna programska oprema RTM vzpostavi stik s strežnikom C&C, se razlikuje od različice do različice. Prve spremembe (oktober 2015 – april 2016) so uporabile tradicionalna imena domen skupaj z virom RSS na livejournal.com za posodobitev seznama ukazov.
Od aprila 2016 smo v telemetričnih podatkih opazili prehod na domene .bit. To potrjuje datum registracije domene – prva RTM domena fde05d0573da.bit je bila registrirana 13.
Vsi URL-ji, ki smo jih videli med spremljanjem kampanje, so imeli skupno pot: /r/z.php. To je precej nenavadno in bo pomagalo prepoznati zahteve RTM v omrežnih tokovih.
4.3.1. Kanal za ukaze in nadzor
Podedovani primeri so uporabili ta kanal za posodobitev svojega seznama ukaznih in nadzornih strežnikov. Gostovanje se nahaja na livejournal.com, v času pisanja poročila pa je ostalo na naslovu hxxp://f72bba81c921(.)livejournal(.)com/data/rss.
Livejournal je rusko-ameriško podjetje, ki ponuja platformo za bloganje. Operaterji RTM ustvarijo LJ blog, v katerem objavijo članek s kodiranimi ukazi - glej posnetek zaslona.
Ukazne in nadzorne vrstice so kodirane s spremenjenim algoritmom RC4 (razdelek 4.2). Trenutna različica (november 2016) kanala vsebuje naslednje naslove ukaznega in nadzornega strežnika:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. .bit domene
V najnovejših vzorcih RTM se avtorji povezujejo z domenami C&C z uporabo vrhnje domene .bit TLD. Ni na seznamu domen najvišje ravni ICANN (Domain Name and Internet Corporation). Namesto tega uporablja sistem Namecoin, ki je zgrajen na vrhu tehnologije Bitcoin. Avtorji zlonamerne programske opreme pogosto ne uporabljajo vrhnje domene .bit za svoje domene, čeprav je bil primer takšne uporabe prej opažen v različici botneta Necurs.
Za razliko od Bitcoina imajo uporabniki porazdeljene baze podatkov Namecoin možnost shranjevanja podatkov. Glavna uporaba te funkcije je domena najvišje ravni .bit. Registrirate lahko domene, ki bodo shranjene v distribuirani bazi podatkov. Ustrezni vnosi v zbirki podatkov vsebujejo naslove IP, ki jih razreši domena. Ta TLD je »odporen na cenzuro«, ker lahko samo registrant spremeni ločljivost domene .bit. To pomeni, da je veliko težje zaustaviti zlonamerno domeno s to vrsto TLD.
Trojanec RTM ne vgrajuje programske opreme, ki je potrebna za branje distribuirane baze podatkov Namecoin. Za razreševanje domen .bit uporablja osrednje strežnike DNS, kot sta dns.dot-bit.org ali strežniki OpenNic. Zato ima enako vzdržljivost kot strežniki DNS. Opazili smo, da nekatere domene ekipe niso bile več zaznane, potem ko so bile omenjene v objavi v spletnem dnevniku.
Druga prednost .bit TLD za hekerje je cena. Za registracijo domene morajo operaterji plačati le 0,01 NK, kar ustreza 0,00185 USD (od 5. decembra 2016). Za primerjavo, domain.com stane najmanj 10 USD.
4.3.3. Protokol
Za komunikacijo s strežnikom za ukaze in nadzor RTM uporablja zahteve HTTP POST s podatki, oblikovanimi s protokolom po meri. Vrednost poti je vedno /r/z.php; Uporabniški agent Mozilla/5.0 (združljiv; MSIE 9.0; Windows NT 6.1; Trident/5.0). V zahtevah strežniku so podatki oblikovani na naslednji način, kjer so vrednosti odmikov izražene v bajtih:
Bajti od 0 do 6 niso kodirani; bajti, ki se začnejo s 6, so kodirani z uporabo spremenjenega algoritma RC4. Struktura odzivnega paketa C&C je preprostejša. Bajti so kodirani od 4 do velikosti paketa.
Seznam možnih vrednosti akcijskega bajta je predstavljen v spodnji tabeli:
Zlonamerna programska oprema vedno izračuna CRC32 dešifriranih podatkov in jih primerja s tistimi, ki so prisotni v paketu. Če se razlikujejo, trojanec odvrže paket.
Dodatni podatki lahko vsebujejo različne predmete, vključno z datoteko PE, datoteko za iskanje v datotečnem sistemu ali URL-ji novih ukazov.
4.3.4. Panel
Opazili smo, da RTM uporablja ploščo na strežnikih C&C. Posnetek zaslona spodaj:
4.4. Značilen znak
RTM je tipičen bančni trojanec. Ni presenetljivo, da operaterji želijo informacije o sistemu žrtve. Po eni strani bot zbira splošne informacije o OS. Po drugi strani pa ugotovi, ali ogroženi sistem vsebuje atribute, povezane z ruskimi sistemi za oddaljeno bančništvo.
4.4.1. Splošne informacije
Ko je po vnovičnem zagonu nameščena ali zagnana zlonamerna programska oprema, se strežniku za ukaze in nadzor pošlje poročilo, ki vsebuje splošne informacije, vključno z:
- Časovni pas;
- privzeti jezik sistema;
- poverilnice pooblaščenega uporabnika;
- stopnja integritete procesa;
- uporabniško ime;
- ime računalnika;
- različica OS;
- dodatni nameščeni moduli;
- nameščen protivirusni program;
- seznam čitalcev pametnih kartic.
4.4.2 Sistem bančništva na daljavo
Tipičen trojanski cilj je sistem oddaljenega bančništva in RTM ni izjema. Eden od modulov programa se imenuje TBdo, ki opravlja različne naloge, vključno s skeniranjem diskov in zgodovino brskanja.
S skeniranjem diska trojanec preveri, ali je na napravi nameščen bančni program. Celoten seznam ciljnih programov je v spodnji tabeli. Ko zazna datoteko, ki vas zanima, program pošlje informacije ukaznemu strežniku. Naslednja dejanja so odvisna od logike, ki jo določajo algoritmi ukaznega centra (C&C).
RTM išče tudi vzorce URL-jev v zgodovini vašega brskalnika in odprtih zavihkih. Poleg tega program preuči uporabo funkcij FindNextUrlCacheEntryA in FindFirstUrlCacheEntryA ter preveri vsak vnos, da se URL ujema z enim od naslednjih vzorcev:
Ko trojanec odkrije odprte zavihke, vzpostavi stik z Internet Explorerjem ali Firefoxom prek mehanizma za dinamično izmenjavo podatkov (DDE), da preveri, ali se zavihek ujema z vzorcem.
Preverjanje zgodovine brskanja in odprtih zavihkov se izvede v zanki WHILE (zanka s predpogojem) z 1 sekundnim premorom med preverjanji. Drugi podatki, ki se spremljajo v realnem času, bodo obravnavani v razdelku 4.5.
Če je vzorec najden, program to sporoči ukaznemu strežniku s seznamom nizov iz naslednje tabele:
4.5 Spremljanje
Med delovanjem trojanca se informacije o značilnih lastnostih okuženega sistema (vključno s podatki o prisotnosti bančne programske opreme) pošljejo ukazno-nadzornemu strežniku. Prstni odtis se pojavi, ko RTM prvič zažene nadzorni sistem takoj po začetnem skeniranju OS.
4.5.1. Bančništvo na daljavo
Modul TBdo skrbi tudi za spremljanje bančnih procesov. Uporablja dinamično izmenjavo podatkov za preverjanje zavihkov v Firefoxu in Internet Explorerju med začetnim skeniranjem. Drugi modul TShell se uporablja za nadzor ukaznih oken (Internet Explorer ali File Explorer).
Modul za nadzor oken uporablja vmesnike COM IShellWindows, iWebBrowser, DWebBrowserEvents2 in IConnectionPointContainer. Ko se uporabnik pomakne na novo spletno stran, zlonamerna programska oprema to zabeleži. Nato primerja URL strani z zgornjimi vzorci. Ko trojanec zazna ujemanje, naredi šest zaporednih posnetkov zaslona v intervalu 5 sekund in jih pošlje ukaznemu strežniku C&S. Program preveri tudi nekatera imena oken, povezanih z bančno programsko opremo - celoten seznam je spodaj:
4.5.2. Pametna kartica
RTM omogoča spremljanje bralnikov pametnih kartic, povezanih z okuženimi računalniki. Te naprave se v nekaterih državah uporabljajo za usklajevanje plačilnih nalogov. Če je ta vrsta naprave priključena na računalnik, lahko trojancu nakazuje, da se naprava uporablja za bančne transakcije.
Za razliko od drugih bančnih trojancev RTM ne more komunicirati s takšnimi pametnimi karticami. Morda je ta funkcionalnost vključena v dodatni modul, ki ga še nismo videli.
4.5.3. Keylogger
Pomemben del spremljanja okuženega računalnika je zajemanje pritiskov tipk. Zdi se, da razvijalci RTM ne pogrešajo nobenih informacij, saj ne spremljajo le običajnih tipk, temveč tudi virtualno tipkovnico in odložišče.
Če želite to narediti, uporabite funkcijo SetWindowsHookExA. Napadalci beležijo pritisnjene tipke ali tipke, ki ustrezajo virtualni tipkovnici, skupaj z imenom in datumom programa. Medpomnilnik se nato pošlje ukaznemu strežniku C&C.
Funkcija SetClipboardViewer se uporablja za prestrezanje odložišča. Hekerji beležijo vsebino odložišča, ko so podatki besedilo. Ime in datum se tudi zabeležita, preden se medpomnilnik pošlje strežniku.
4.5.4. Posnetki zaslona
Druga funkcija RTM je prestrezanje posnetka zaslona. Funkcija se uporabi, ko modul za nadzor okna zazna zanimivo spletno mesto ali bančno programsko opremo. Posnetki zaslona so posneti s pomočjo knjižnice grafičnih slik in preneseni na ukazni strežnik.
4.6. Odstranitev
Strežnik C&C lahko prepreči delovanje zlonamerne programske opreme in očisti vaš računalnik. Ukaz vam omogoča brisanje datotek in vnosov v register, ustvarjenih med izvajanjem RTM. DLL se nato uporabi za odstranitev zlonamerne programske opreme in datoteke winlogon, nato pa ukaz izklopi računalnik. Kot je prikazano na spodnji sliki, DLL odstranijo razvijalci z erase.dll.
Strežnik lahko trojancu pošlje uničujoč ukaz uninstall-lock. V tem primeru, če imate skrbniške pravice, bo RTM izbrisal zagonski sektor MBR na trdem disku. Če to ne uspe, bo trojanec poskušal premakniti zagonski sektor MBR v naključni sektor - potem računalnik po zaustavitvi ne bo mogel zagnati operacijskega sistema. To lahko privede do popolne ponovne namestitve OS, kar pomeni uničenje dokazov.
Brez skrbniških pravic zlonamerna programska oprema zapiše datoteko .EXE, kodirano v osnovni DLL RTM. Izvršljiva datoteka izvede kodo, potrebno za zaustavitev računalnika, in registrira modul v registrskem ključu HKCUCurrentVersionRun. Vsakič, ko uporabnik začne sejo, se računalnik takoj izklopi.
4.7. Konfiguracijska datoteka
Privzeto RTM nima skoraj nobene konfiguracijske datoteke, vendar lahko ukazni in nadzorni strežnik pošlje konfiguracijske vrednosti, ki bodo shranjene v registru in uporabljene v programu. Seznam konfiguracijskih ključev je predstavljen v spodnji tabeli:
Konfiguracija je shranjena v registrskem ključu Software[psevdonaključni niz]. Vsaka vrednost ustreza eni od vrstic, predstavljenih v prejšnji tabeli. Vrednosti in podatki so kodirani z uporabo algoritma RC4 v RTM.
Podatki imajo enako strukturo kot omrežje ali nizi. Štiribajtni ključ XOR je dodan na začetku kodiranih podatkov. Za konfiguracijske vrednosti je ključ XOR drugačen in odvisen od velikosti vrednosti. Izračuna se lahko na naslednji način:
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)
4.8. Druge lastnosti
Nato si poglejmo druge funkcije, ki jih RTM podpira.
4.8.1. Dodatni moduli
Trojanec vključuje dodatne module, ki so datoteke DLL. Moduli, poslani iz ukaznega strežnika C&C, se lahko izvajajo kot zunanji programi, odražajo v RAM-u in zaženejo v novih nitih. Za shranjevanje so moduli shranjeni v datotekah .dtt in kodirani z uporabo algoritma RC4 z istim ključem, ki se uporablja za omrežne komunikacije.
Doslej smo opazili namestitev modula VNC (8966319882494077C21F66A8354E2CBCA0370464), modula za ekstrakcijo podatkov brskalnika (03DE8622BE6B2F75A364A275995C3411626C4D9F) in modula 1c_2_kl (B1EE562E1 F69EFC6FBA58 B88753BE7D0B3E4CFAB).
Za nalaganje modula VNC strežnik C&C izda ukaz, ki zahteva povezave s strežnikom VNC na določenem naslovu IP na vratih 44443. Vtičnik za pridobivanje podatkov brskalnika izvede TBrowserDataCollector, ki lahko bere zgodovino brskanja IE. Nato pošlje celoten seznam obiskanih URL-jev strežniku ukazov C&C.
Zadnji odkriti modul se imenuje 1c_2_kl. Lahko komunicira s programskim paketom 1C Enterprise. Modul vključuje dva dela: glavni del - DLL in dva agenta (32 in 64 bitna), ki bosta vstavljena v vsak proces in registrirata vezavo na WH_CBT. Modul, ki je bil uveden v proces 1C, povezuje funkciji CreateFile in WriteFile. Kadarkoli se pokliče vezana funkcija CreateFile, modul shrani pot datoteke 1c_to_kl.txt v pomnilnik. Po prestrezanju klica WriteFile pokliče funkcijo WriteFile in pošlje pot datoteke 1c_to_kl.txt glavnemu modulu DLL ter mu posreduje izdelano sporočilo Windows WM_COPYDATA.
Glavni modul DLL odpre in razčleni datoteko za določitev plačilnih nalogov. Prepozna znesek in številko transakcije v datoteki. Te informacije se pošljejo ukaznemu strežniku. Menimo, da je ta modul trenutno v razvoju, ker vsebuje sporočilo o odpravljanju napak in ne more samodejno spremeniti 1c_to_kl.txt.
4.8.2. Stopnjevanje privilegijev
RTM lahko poskuša povečati privilegije s prikazovanjem lažnih sporočil o napakah. Zlonamerna programska oprema simulira preverjanje registra (glejte sliko spodaj) ali uporablja pravo ikono urejevalnika registra. Prosimo, upoštevajte napačno črkovanje čakati – whait. Po nekaj sekundah skeniranja program prikaže lažno sporočilo o napaki.
Lažno sporočilo bo kljub slovničnim napakam zlahka zavedlo povprečnega uporabnika. Če uporabnik klikne eno od obeh povezav, bo RTM poskušal povečati svoje privilegije v sistemu.
Po izbiri ene od dveh možnosti obnovitve trojanec zažene DLL z uporabo možnosti runas v funkciji ShellExecute s skrbniškimi pravicami. Uporabnik bo videl pravi poziv sistema Windows (glejte spodnjo sliko) za dvig. Če uporabnik da potrebna dovoljenja, bo trojanec deloval s skrbniškimi pravicami.
Odvisno od privzetega jezika, nameščenega v sistemu, trojanec prikaže sporočila o napakah v ruskem ali angleškem jeziku.
4.8.3. Certifikat
RTM lahko doda potrdila v trgovino Windows in potrdi zanesljivost dodajanja s samodejnim klikom na gumb »da« v pogovornem oknu csrss.exe. To vedenje ni novost, bančni trojanec Retefe na primer tudi samostojno potrdi namestitev novega certifikata.
4.8.4. Povratna povezava
Avtorji RTM so ustvarili tudi Backconnect TCP tunel. Funkcije še nismo videli v uporabi, vendar je zasnovana za oddaljeno spremljanje okuženih osebnih računalnikov.
4.8.5. Upravljanje gostiteljskih datotek
C&C strežnik lahko trojancu pošlje ukaz za spremembo gostiteljske datoteke Windows. Gostiteljska datoteka se uporablja za ustvarjanje resolucij DNS po meri.
4.8.6. Poiščite in pošljite datoteko
Strežnik lahko zahteva iskanje in prenos datoteke v okuženem sistemu. Med raziskavo smo na primer prejeli zahtevo za datoteko 1c_to_kl.txt. Kot je bilo že opisano, to datoteko ustvari računovodski sistem 1C: Enterprise 8.
4.8.7. Posodobite
Nazadnje lahko avtorji RTM posodobijo programsko opremo tako, da predložijo nov DLL, ki nadomesti trenutno različico.
5. Zaključek
RTM-jeva raziskava kaže, da ruski bančni sistem še vedno privlači kibernetske napadalce. Skupine, kot so Buhtrap, Corkow in Carbanak, uspešno kradejo denar finančnim institucijam in njihovim strankam v Rusiji. RTM je nov igralec v tej industriji.
Po podatkih telemetrije ESET so zlonamerna orodja RTM v uporabi vsaj od konca leta 2015. Program ima celoten obseg vohunskih zmogljivosti, vključno z branjem pametnih kartic, prestrezanjem pritiskov na tipke in spremljanjem bančnih transakcij ter iskanjem transportnih datotek 1C: Enterprise 8.
Uporaba decentralizirane, necenzurirane vrhnje domene .bit zagotavlja visoko prožno infrastrukturo.
Vir: www.habr.com