O lo'o i ai le tele o fa'alapotopotoga i luga ole laiga e fa'apitoa i le gaoia o tupe mai kamupani Rusia. Ua matou vaʻai i osofaʻiga e faʻaogaina ai le puipuiga malu e mafai ai ona maua le fesoʻotaʻiga a le sini. O le taimi lava latou te maua ai le avanoa, e suʻesuʻe e tagata osofaʻi le fausaga o fesoʻotaʻiga a le faʻalapotopotoga ma faʻapipiʻi a latou lava meafaigaluega e gaoi ai tupe. O se faʻataʻitaʻiga masani o lenei faʻataʻitaʻiga o le vaega hacker Buhtrap, Cobalt ma Corkow.
O le vaega a le RTM o loʻo taulaʻi i ai lenei lipoti o se vaega o lenei tulaga. E faʻaogaina faʻapitoa faʻapipiʻi mea leaga na tusia i Delphi, lea o le a tatou vaʻavaʻai atili i ai i vaega nei. O fa'ailoga muamua o nei meafaigaluega i le ESET telemetry system na maua i le fa'ai'uga o le 2015. E utaina e le 'au ni module fou eseese i luga o faiga fa'ama'i pe a mana'omia. O osofaʻiga o loʻo faʻatatau i tagata faʻaoga o faiga tau faletupe mamao i Rusia ma nisi o atunuu tuaoi.
1. Sini
O le faʻaupuga a le RTM e faʻatatau i tagata faʻapipiʻi faʻapisinisi - o loʻo manino mai i faiga o loʻo taumafai tagata osofaʻi e iloa i se faiga faʻafefe. O lo'o taula'i atu i polokalame fa'akomepiuta mo le galulue fa'atasi ma faiga tau faletupe mamao.
O le lisi o faiga e fiafia i ai i le RTM e foliga tutusa ma le lisi o le vaega Buhtrap, ae o vaega e eseese faʻamaʻi pipisi. Afai e masani ona faʻaaogaina e Buhtrap itulau pepelo, ona faʻaaogaina lea e le RTM le faʻaogaina o osofaʻiga (osofaʻiga i luga o le suʻega poʻo ona vaega) ma spamming ile imeli. E tusa ai ma faʻamatalaga telemetry, o le faʻamataʻu e faʻatatau ia Rusia ma nisi o atunuu lata ane (Ukraine, Kazakhstan, Czech Republic, Siamani). Ae ui i lea, ona o le faʻaogaina o le tele o faʻasalalauga, o le suʻesuʻeina o mea leaga i fafo atu o itulagi faʻamoemoe e le o se mea e ofo ai.
Ole aofa'i ole su'esu'ega ole malware e la'ititi lava. I le isi itu, o loʻo faʻaaogaina e le RTM polokalame faʻalavelave, lea e faʻaalia ai o osofaʻiga e maualuga le taulai.
Ua matou mauaina le tele o pepa fa'a'ole'ole na fa'aaogaina e le RTM, e aofia ai konekarate e le'i iai, pili po'o pepa fa'amaumauga tau lafoga. O le natura o maunu, faʻatasi ma le ituaiga polokalama faʻapipiʻi e le osofaʻiga, o loʻo faʻaalia ai o le au osofaʻi o loʻo "ulufale" i fesoʻotaʻiga a kamupani Rusia e ala i le matagaluega o tausitusi. Na faatino e le vaega lea lava fuafuaga i le 2014-2015
I le taimi o suʻesuʻega, sa mafai ona matou fegalegaleai ma le tele o sapalai C&C. O le a matou lisiina le lisi atoa o poloaiga i vaega o loʻo mulimuli mai, ae mo le taimi nei e mafai ona matou fai atu o le kalani e faʻafeiloaʻi faʻamatalaga mai le keylogger saʻo i le osofaʻiga osofaʻi, lea e maua mai ai isi poloaiga.
Ae ui i lea, o aso e mafai ai ona e faʻafesoʻotaʻi i se faʻatonuga ma pulea le server ma aoina uma faʻamatalaga e te fiafia i ai ua leai. Na matou toe faia faila ogalaau moni e maua ai ni tulafono talafeagai mai le server.
O le mea muamua oi latou o se talosaga i le bot e faʻafeiloaʻi le faila 1c_to_kl.txt - o se faila felauaiga o le 1C: Enterprise 8 polokalame, o foliga vaaia o loʻo mataʻituina e le RTM. 1C fegalegaleai ma faiga faletupe mamao e ala i le tuʻuina atu o faʻamatalaga i luga o tupe totogi i se faila faila. Le isi, o le faila e auina atu i le faiga o teugatupe mamao mo le masini ma le faʻatinoina o le faʻatonuga o le totogiina.
O le faila o loʻo i ai faʻamatalaga o totogi. Afai e suia e le au osofaʻi faʻamatalaga e uiga i tupe totogi, o le a lafoina le fesiitaiga e faʻaaoga ai faʻamatalaga sese i faʻamatalaga a le au osofaʻi.
Pe a ma le masina talu ona talosagaina nei faila mai le command and control server, na matou matauina se plugin fou, 1c_2_kl.dll, o loʻo faʻapipiʻiina i luga o le faiga faʻafefe. O le module (DLL) ua mamanuina e otometi ona suʻesuʻeina le faila download e ala i le faʻaogaina o faʻagasologa o polokalama faakomepiuta. O le a matou faamatalaina auiliili i vaega nei.
O le mea e malie ai, o le FinCERT o le Faletupe o Rusia i le faaiuga o le 2016 na tuʻuina atu se lapataiga faʻasalalau e uiga i tagata solitulafono i luga o le initaneti e faʻaaoga ai faila faila 1c_to_kl.txt. E iloa foi e le au atiaʻe mai le 1C lenei polokalame ua uma ona latou faia se faʻamatalaga aloaia ma le lisi o puipuiga.
O isi modules na utaina foi mai le server command, aemaise VNC (ona 32 ma 64-bit versions). E pei o le VNC module na faʻaaogaina muamua i osofaiga a Dridex Trojan. O lenei module e faʻapea e faʻaogaina e fesoʻotaʻi mamao atu i se komepiuta ua pisia ma faia se suʻesuʻega auiliili o le faiga. O le isi, o le au osofaʻi e taumafai e feoai solo i luga o le upega tafaʻilagi, faʻapipiʻi upu faʻaoga tagata, aoina faʻamatalaga ma faʻamautinoa le i ai pea o malware.
2. Vectors o fa'ama'i
Ole fa'atusa o lo'o i lalo o lo'o fa'aalia ai fa'ama'i pipisi na maua ile taimi ole su'esu'ega ole fa'asalalauga. O lo'o fa'aogaina e le vaega le tele o vectors, ae e masani lava ona fa'aoso-e ala i osofa'iga ma spam. O nei meafaigaluega e faigofie mo osofaʻiga faʻatatau, talu ai i le tulaga muamua, e mafai e tagata osofaʻi ona filifili nofoaga e asia e tagata e ono afaina, ma i le lona lua, e mafai ona latou lafoina imeli ma faʻapipiʻi saʻo i tagata faigaluega a le kamupani.
O le malware e tufatufaina atu i le tele o auala, e aofia ai le RIG ma le Sundown exploit kits poʻo le spam meli, e faʻaalia ai fesoʻotaʻiga i le va o tagata osofaʻi ma isi cyberattackers o loʻo ofoina atu nei auaunaga.
2.1. E fa'afefea ona feso'ota'i le RTM ma le Buhtrap?
O le faʻasalalauga RTM e talitutusa lava ma Buhtrap. O le fesili masani o le: e faapefea ona latou fesootai le tasi i le isi?
Ia Setema 2016, na matou matauina ai se faʻataʻitaʻiga RTM o loʻo tufatufaina e faʻaaoga ai le Buhtrap uploader. E le gata i lea, na matou mauaina ni tusi fa'akomepiuta se lua o lo'o fa'aogaina i le Buhtrap ma le RTM.
O le muamua, na tu'ua'ia na tu'uina atu i le kamupani DNISTER-M, na fa'aaogaina e saini fa'akomepiuta le fomu Delphi lona lua (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) ma le Buhtrap DLL (SHA-1: 1E2642C454F2B889F6D41116F83D6F2B4890FXNUMXFXNUMXBXNUMXFXNUMXFXNUMXBXNUMXFXNUMXBXNUMXFXNUMXFXNUMXFXNUMXA. XNUMX).
O le lona lua, na tuʻuina atu ia Bit-Tredj, na faʻaaogaina e saini ai Buhtrap loaders (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 ma B74F71560E48488D2153AE2FB51207A0), faʻapipiʻi faʻapipiʻi ma vaega RV206FB2AXNUMX.
O lo'o fa'aogaina e le aufaipisinisi RTM tusipasi e masani ai isi aiga leaga, ae e iai fo'i a latou tusi fa'ailoga tulaga ese. E tusa ai ma le ESET telemetry, na tuʻuina atu i le Kit-SD ma naʻo le faʻaaogaina e sainia ai nisi RTM malware (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
E faʻaaogaina e le RTM le loader tutusa e pei o Buhtrap, o vaega RTM o loʻo faʻapipiʻiina mai le atinaʻe Buhtrap, o lea e iai faʻailoga fesoʻotaʻiga tutusa a vaega. Ae ui i lea, e tusa ai ma a matou tala faʻatatau, o le RTM ma le Buhtrap o ni vaega eseese, a itiiti mai ona o le RTM o loʻo tufatufa atu i auala eseese (e le gata i le faʻaaogaina o se "tagata ese" downloader).
E ui lava i lea, e faʻaaogaina e vaega faʻapipiʻi faiga faʻavae tutusa. Latou te tulimataʻia pisinisi e faʻaaoga ai polokalama faʻakomepiuta, faʻapea foʻi le aoina o faʻamatalaga faʻamatalaga, suʻesuʻe mo tagata faitau kata atamai, ma faʻapipiʻiina le tele o meafaigaluega leaga e sipai ai tagata afaina.
3. Evolution
I lenei vaega, o le a tatou vaʻavaʻai i ituaiga eseese o malware na maua i le taimi o suʻesuʻega.
3.1. Fa'aliliuga
O loʻo teuina e le RTM faʻamaumauga faʻamaumauga i totonu o se vaega resitala, o le vaega sili ona manaia o le botnet-prefix. O se lisi o mea taua uma na matou vaʻaia i faʻataʻitaʻiga na matou suʻesuʻeina o loʻo tuʻuina atu i le laulau i lalo.
E ono mafai ona faʻaaogaina ia tau e faʻamaumau ai faʻamatalaga malware. Ae ui i lea, matou te leʻi matauina le tele o le eseesega i le va o lomiga e pei o le bit2 ma le bit3, 0.1.6.4 ma le 0.1.6.6. E le gata i lea, o se tasi o prefix sa i ai talu mai le amataga ma ua tupu mai i se vaega masani C&C i le .bit domain, e pei ona faaalia i lalo.
3.2. Fa'atonuga
I le faʻaaogaina o faʻamatalaga telemetry, na matou fatuina ai se kalafi o le tupuga o faʻataʻitaʻiga.
4. Su'esu'ega fa'apitoa
I totonu o lenei vaega, o le a matou faʻamatalaina galuega autu a le RTM banking Trojan, e aofia ai faiga tetee, lona lava faʻasologa o le RC4 algorithm, fesoʻotaʻiga fesoʻotaʻiga, galuega faʻatautaia ma isi vaega. Aemaise lava, o le a tatou taulai atu i faʻataʻitaʻiga SHA-1 AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 ma 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. Fa'apipi'i ma fa'asaoina
4.1.1. Fa'atinoga
O le autu o le RTM o le DLL, o le faletusi o loʻo faʻapipiʻiina i luga o le disk e faʻaaoga ai le .EXE. O le faila faila e masani ona afifi ma e iai le code DLL. A maeʻa ona faʻalauiloa, e aveese mai le DLL ma faʻaaogaina e faʻaaoga ai le poloaiga lenei:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. DLL
O le DLL autu e masani lava ona utaina i le disk e pei o winlogon.lnk i le %PROGRAMDATA%Winlogon folder. O lenei faʻalauteleina o faila e masani ona fesoʻotaʻi ma se ala pupuu, ae o le faila o le DLL o loʻo tusia i Delphi, e igoa ia core.dll e le tagata faʻapipiʻi, e pei ona faʻaalia i le ata o loʻo i lalo.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
O le taimi lava e faʻalauiloa ai, o le Trojan e faʻagaoioia lona faiga tetee. E mafai ona faia lenei mea i ni auala eseese se lua, e faalagolago i avanoa o le tagata manua i le faiga. Afai e iai sau pule fa'atonu, e fa'aopoopo e le Trojan se fa'aulufalega a le Windows Update ile HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun resitara. O faʻatonuga o loʻo i totonu o le Windows Update o le a taʻavale i le amataga o le vasega a le tagata faʻaoga.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host
E taumafai foi le Trojan e faaopoopo se galuega i le Windows Task Scheduler. O le galuega o le a faʻalauiloa le winlogon.lnk DLL faʻatasi ma faʻamaufaʻailoga tutusa e pei ona i luga. O aia tatau a tagata fa'aoga masani e fa'atagaina ai le Trojan e fa'aopoopo se fa'amaumauga a le Windows Update fa'atasi ma fa'amaumauga tutusa i le resitara HKCUSoftwareMicrosoftWindowsCurrentVersionRun:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Suia RC4 algorithm
E ui i ona faʻaletonu masani, o le RC4 algorithm e masani ona faʻaaogaina e tusitala leaga. Ae ui i lea, o le au na faia le RTM na suia teisi, masalo ina ia sili atu ona faigata le galuega a le au suʻesuʻe siama. O se faʻaliliuga faʻaleleia o le RC4 o loʻo faʻaaogaina lautele i meafaigaluega leaga RTM e faʻapipiʻi ai manoa, faʻamaumauga o fesoʻotaiga, faʻatulagaina ma modules.
4.2.1. Eseesega
O le uluai RC4 algorithm e aofia ai vaega e lua: s-block initialization (aka KSA - Key-Scheduling Algorithm) ma pseudo-random sequeration generation (PRGA - Pseudo-Random Generation Algorithm). O le laasaga muamua e aofia ai le amataina o le s-pusa e faʻaaoga ai le ki, ma i le laasaga lona lua e faʻaogaina ai le faʻamatalaga autu e faʻaaoga ai le s-pusa mo faʻamatalaga.
O tusitala RTM na faʻaopoopoina se laʻasaga vavalalata i le va o le s-box initialization ma le faʻailoga. O le ki fa'aopoopo e fesuia'i ma fa'atulaga i le taimi lava e tasi e fa'amauina ai fa'amatalaga ma decrypted. O le galuega e faia ai lenei laasaga faaopoopo o loʻo faʻaalia i le ata o loʻo i lalo.
4.2.2. Fa'ailoga fa'ailoga
I le tepa muamua, e tele laina e mafai ona faitau i le DLL autu. O isi o loʻo faʻailogaina e faʻaaoga ai le algorithm o loʻo faʻamatalaina i luga, o lona fausaga o loʻo faʻaalia i le ata o loʻo i lalo. Na matou mauaina le sili atu i le 25 ki eseese RC4 mo le faʻailoga manoa i faʻataʻitaʻiga suʻesuʻe. Ole ki XOR e ese mo laina ta'itasi. Ole tau ole laina ole laina ole numera ole 0xFFFFFFFF.
I le amataga o le faʻatinoga, o le RTM e faʻamalo le manoa i se fesuiaiga o le lalolagi. Pe a manaʻomia le faʻaogaina o se manoa, e faʻatatau e le Trojan le tuatusi o manoa faʻasalalau e faʻavae i luga o le tuatusi faʻavae ma le faʻasalaga.
O manoa o loʻo iai faʻamatalaga manaia e uiga i galuega a le malware. O nisi faʻataʻitaʻiga manoa o loʻo tuʻuina atu i le Vaega 6.8.
4.3. Fesootaiga
Ole auala ole RTM malware e fa'afeso'ota'i ai le C&C server e eseese mai lea fa'asologa i lea fa'asologa. O suiga muamua (Oketopa 2015 - Aperila 2016) na faʻaogaina ai igoa faʻaleaganuʻu faʻatasi ma se fafaga RSS i livejournal.com e faʻafouina ai le lisi o poloaiga.
Talu mai Aperila 2016, ua matou vaʻaia se suiga i .bit domains i faʻamatalaga telemetry. E fa'amaonia lenei mea i le aso resitala o le domain - o le RTM domain muamua fde05d0573da.bit na resitalaina ia Mati 13, 2016.
O URL uma na matou vaʻaia aʻo mataʻituina le faʻasalalauga sa i ai se ala masani: /r/z.php. E le masani ai ma o le a fesoasoani e iloa ai talosaga RTM i fesoʻotaʻiga fesoʻotaʻiga.
4.3.1. Auala mo poloaiga ma le pulea
O fa'ata'ita'iga fa'aleaganu'u na fa'aogaina le alalaupapa lea e fa'afou ai la latou lisi o fa'atonuga ma fa'atonu sau. O loʻo iai le talimalo ile livejournal.com, ile taimi na tusia ai le lipoti na tumau ile URL hxxp://f72bba81c921(.)livejournal(.)com/data/rss.
Livejournal o se kamupani Rusia-Amerika o loʻo tuʻuina atu se faʻasalalauga blog. O lo'o faia e le aufaipisinisi RTM se blog LJ latou te tu'uina atu ai se tala fa'atasi ai ma tulafono fa'ailoga - va'ai fa'amalama.
O laina faʻatonu ma faʻatonuga o loʻo faʻaogaina i le faʻaogaina o le RC4 algorithm (Vaega 4.2). O le lomiga o loʻo iai nei (Novema 2016) o le alalaupapa o loʻo i ai le faʻatonuga ma faʻatonu tuatusi tuatusi:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. .bit domains
I le tele o fa'ata'ita'iga RTM lata mai, e fa'afeso'ota'i e tusitala ile vaega ole C&C ile fa'aogaina ole .bit TLD pito i luga ole laiga. E le o iai ile lisi ole ICANN (Domain Name and Internet Corporation) ole pito i luga ole laiga. Nai lo lena, e faʻaaogaina le Namecoin system, lea e fausia i luga ole tekonolosi Bitcoin. E le masani ona faʻaaogaina e le au tusitala Malware le .bit TLD mo a latou vaega, e ui lava o se faʻataʻitaʻiga o lea faʻaoga na matauina muamua i se lomiga o le Necurs botnet.
E le pei o Bitcoin, o loʻo i ai i tagata faʻaoga o le Namecoin database le mafai ona faʻasaoina faʻamaumauga. O le fa'aoga autu o lenei vaega o le .bit pito i luga-tulaga vaega. E mafai ona e resitalaina domains o le a teuina i totonu o se faʻamaumauga tuʻufaʻatasia. O fa'amaumauga tutusa i totonu o fa'amaumauga o lo'o i ai tuatusi IP na fa'amalieina e le vaega. O lenei TLD e "fa'asa'o-fa'asa" ona e na'o le tagata resitala e mafai ona suia le fa'ai'uga o le .bit domain. O lona uiga e sili atu le faigata ona taofi se vaega leaga e faʻaaoga ai lenei ituaiga TLD.
O le RTM Trojan e le fa'apipi'iina le polokalama e mana'omia e faitau ai le fa'amaumauga tu'ufa'atasia Namecoin. E fa'aaogaina sa'u DNS tutotonu e pei o le dns.dot-bit.org po'o le OpenNic servers e foia ai .bit domains. O le mea lea, e tutusa lava le tumau e pei o DNS servers. Na matou matauina o nisi vaega o 'au e le o toe iloa ina ua uma ona taʻua i se blog post.
O le isi avanoa o le .bit TLD mo tagata taʻavale o le tau. Ina ia resitalaina se domain, e manaʻomia e le au faʻatautaia le totogi naʻo le 0,01 NK, e tutusa ma le $0,00185 (e oʻo mai ia Tesema 5, 2016). Mo fa'atusatusaga, domain.com tau a itiiti ifo $10.
4.3.3. Polokalama
Ina ia fesoʻotaʻi ma le faʻatonuga ma le faʻatonuina o le server, e faʻaaogaina e le RTM talosaga HTTP POST ma faʻamaumauga faʻapipiʻiina e faʻaaoga ai se faʻasologa masani. Ole tau ole auala e masani lava /r/z.php; Mozilla/5.0 sui fa'aoga (fesoasoani; MSIE 9.0; Pupuni NT 6.1; Trident/5.0). I talosaga i le 'auʻaunaga, o faʻamaumauga o loʻo faʻapipiʻiina e pei ona taua i lalo, lea o loʻo faʻaalia ai le tau o le offset i bytes:
Paita 0 i le 6 e le o fa'ailoga; paita e amata mai i le 6 o loʻo faʻapipiʻiina e faʻaaoga ai se suiga RC4 algorithm. O le fausaga o le pusa tali C&C e sili atu ona faigofie. Bytes e fa'ailoga mai le 4 i le lapo'a o le pa'u.
O le lisi o mea e mafai ona faia e le byte o loʻo tuʻuina atu i le laulau i lalo:
O le malware e fa'atatau i taimi uma le CRC32 o fa'amaumauga fa'asalaina ma fa'atusatusa i mea o lo'o iai i totonu o le afifi. Afai latou te eseese, e lafo e le Trojan le pepa.
O faʻamatalaga faʻaopoopo e mafai ona aofia ai mea eseese, e aofia ai se faila PE, se faila e suʻe i le faila faila, poʻo ni tulafono fou URL.
4.3.4. Panela
Na matou matauina o loʻo faʻaogaina e le RTM se laulau i luga o sapalai C&C. Ata i lalo:
4.4. Faailoga uiga
O le RTM o se Trojan faletupe masani. E le o se mea e ofo ai le mana'omia e le aufaipisinisi fa'amatalaga e uiga i le faiga a le tagata manua. I le tasi itu, o le bot e aoina faʻamatalaga lautele e uiga i le OS. I le isi itu, e maua ai pe o le faiga faʻafefeteina o loʻo i ai uiga e fesoʻotaʻi ma faiga faʻatupe mamao a Rusia.
4.4.1. fa'amatalaga lautele
A faʻapipiʻi pe faʻalauiloa mea leaga pe a maeʻa le toe faʻafouina, e tuʻuina atu se lipoti i le faʻatonuga ma le pule o loʻo i ai faʻamatalaga lautele e aofia ai:
- Sone taimi;
- gagana fa'aletonu;
- fa'ailoga fa'atagaina tagata fa'aoga;
- tulaga fa'amaoni o faiga;
- Username;
- igoa komepiuta;
- OS version;
- fa'aopoopo fa'apipi'i modules;
- fa'apipi'i polokalame antivirus;
- lisi o tagata faitau kata atamai.
4.4.2 faiga tau faletupe mamao
O se fa'amoemoega masani a Trojan o se faiga fa'atupe mamao, ma o le RTM e leai se fa'alavelave. O se tasi o modules o le polokalame e taʻua o le TBdo, lea e faia ai galuega eseese, e aofia ai le suʻeina o tisiki ma le suʻesuʻeina o talafaasolopito.
I le su'esu'eina o le tisiki, e siaki ai e le Trojan pe fa'apipi'i polokalama fa'akomepiuta i luga o le masini. O le lisi atoa o polokalame fa'atatau o lo'o i le laulau i lalo. I le mauaina o se faila e fiafia i ai, e auina atu e le polokalame faʻamatalaga i le faʻatonuga o le server. O isi gaioiga e fa'alagolago i le fa'atonuga o lo'o fa'atonuina e le nofoaga autu o fa'atonuga (C&C) algorithms.
E su'e fo'i e le RTM fa'asologa o URL i lau su'esu'ega tala'aga ma fa'amau fa'amau. E le gata i lea, o loʻo suʻesuʻeina e le polokalame le faʻaogaina o le FindNextUrlCacheEntryA ma FindFirstUrlCacheEntryA galuega, ma siaki faʻamatalaga taʻitasi e fetaui ma le URL i se tasi o mamanu nei:
I le mauaina o faʻamaufaʻailoga matala, e faʻafesoʻotaʻi e le Trojan Internet Explorer poʻo Firefox e ala i le Dynamic Data Exchange (DDE) masini e siaki pe fetaui le laupepa ma le mamanu.
O le siakiina o lau su'esu'ega tala'aga ma ta'iala tatala e faia ile WHILE matasele (se matasele e iai se fa'atonuga muamua) fa'atasi ai ma le 1 lona lua malolo ile va o siaki. O isi fa'amaumauga o lo'o mata'ituina ile taimi moni ole a talanoaina ile vaega 4.5.
Afai e maua se faʻataʻitaʻiga, e lipoti atu e le polokalame lenei mea i le faʻatonuga o le faʻaogaina o se lisi o manoa mai le laulau o loʻo i lalo:
4.5 Mata'ituina
Aʻo faʻagasolo le Trojan, o faʻamatalaga e uiga i uiga faʻapitoa o le faʻamaʻi pipisi (e aofia ai faʻamatalaga e uiga i le i ai o polokalama faakomepiuta) e auina atu i le faʻatonuga ma le faʻatonuina o le server. E tupu le lolomi tamatamailima pe a fa'agasolo muamua e le RTM le faiga mata'ituina i le mae'a ai o le su'esu'ega muamua o le OS.
4.5.1. Faletupe mamao
O le TBdo module e nafa foʻi ma le mataʻituina o faiga faʻatupe. E fa'aogaina le fa'aliliuina fa'amatalaga malosi e siaki ai fa'amau i Firefox ma Internet Explorer i le taimi o le su'esu'ega muamua. O le isi TShell module e faʻaaogaina e mataʻituina ai le faʻatonuga windows (Internet Explorer poʻo File Explorer).
E fa'aogaina e le module le COM interfaces IShellWindows, iWebBrowser, DWebBrowserEvents2 ma IConnectionPointContainer e mata'ituina ai faamalama. A fa'afeiloa'i se tagata fa'aoga i se itulau fou, o lo'o matauina e le malware lenei mea. Ona fa'atusatusa lea o le itulau URL ma mamanu o lo'o i luga. I le mauaina o se fetaui, o le Trojan e ono faʻamalama faʻasolosolo faʻatasi ma se vaeluaga o le 5 sekone ma auina atu i le C&S command server. E siaki fo'i e le polokalame nisi o igoa fa'amalama e feso'ota'i ma polokalama fa'akomepiuta - o le lisi atoa o lo'o i lalo:
4.5.2. Kata atamai
O le RTM e mafai ai e oe ona mata'ituina le au faitau kata atamai e feso'ota'i i komepiuta ua pisia. O nei masini o loʻo faʻaogaina i nisi o atunuʻu e faʻafetaui ai poloaiga o totogi. Afai o lenei ituaiga masini e faʻapipiʻi i se komepiuta, e mafai ona faʻaalia i se Trojan o loʻo faʻaogaina le masini mo fefaʻatauaiga o teugatupe.
E le pei o isi Trojans faletupe, e le mafai e le RTM ona fegalegaleai ma ia kata atamai. Masalo o lenei faʻatinoga o loʻo aofia i totonu o se isi module tatou te leʻi vaʻaia.
4.5.3. Keylogger
O se vaega taua o le mata'ituina o se PC ua pisia o le pu'eina o ki. E foliga mai e le o misia e le au atinaʻe RTM soʻo se faʻamatalaga, talu ai latou te mataʻituina e le gata o ki masani, ae faʻapea foʻi ma le komepiuta komepiuta ma le kilipa laupapa.
Ina ia faia lenei mea, faʻaaoga le SetWindowsHookExA galuega. O lo'o fa'amauina e le au osofa'i ki oomi po'o ki e fetaui ma le virtual keyboard, fa'atasi ai ma le igoa ma le aso o le polokalama. Ona lafo atu lea o le pa'u ile C&C command server.
O le SetClipboardViewer galuega e faʻaaogaina e faʻalavelave ai le kilipa laupapa. E fa'amauina e tagata ta'avale mea o lo'o i totonu o le laupapa kilipa pe a fai o fa'amaumauga o tusitusiga. O le igoa ma le aso o loʻo faʻamauina foi aʻo leʻi tuʻuina atu le paʻu i le server.
4.5.4. Ata pue
O le isi galuega RTM o le faʻamalama faʻamalama. E fa'aogaina le fa'aaliga pe a iloa e le fa'amalama mata'ituina se nofoaga po'o se polokalama fa'akomepiuta o tului. O ata e pu'eina e fa'aaoga ai se faletusi o ata fa'akalafi ma tu'uina atu i le fa'atonuga o le server.
4.6. Ave'esea
E mafai e le 'au'aunaga C&C ona taofia le malware mai le fa'agaoioia ma fa'amama lau komepiuta. O le fa'atonuga e mafai ai ona e fa'amama faila ma fa'amaumauga resitala na faia a'o fa'agasolo le RTM. Ona faʻaaogaina lea o le DLL, o le malware ma le faila winlogon e aveese, a maeʻa ona tapunia e le poloaiga le komepiuta. E pei ona faʻaalia i le ata o loʻo i lalo, o le DLL e aveese e le au atinaʻe e faʻaaoga ai erase.dll.
E mafai e le 'auʻaunaga ona tuʻuina atu i le Trojan se faʻatonuga faʻaleagaina-loka. I le tulaga lea, afai e iai sau pule fa'atonu, o le a tape e le RTM le MBR boot sector i luga o le malo. Afai e le manuia lenei mea, o le a taumafai le Trojan e sui le MBR boot sector i se vaega faʻafuaseʻi - ona le mafai lea e le komepiuta ona faʻaosoina le OS pe a uma ona tapunia. O lenei mea e mafai ona taʻitaʻia ai le toe faʻaleleia atoatoa o le OS, o lona uiga o le faʻaleagaina o faʻamaoniga.
A aunoa ma le pule fa'apitoa, e tusia e le malware se .EXE fa'ailoga i totonu ole RTM DLL. O le fa'atonu e fa'atino le fa'ailoga e mana'omia e tapuni ai le komipiuta ma fa'amauina le module i le ki resitala HKCUCurrentVersionRun. Soo se taimi lava e amata ai e le tagata faʻaoga se vasega, e tapuni loa le komepiuta.
4.7. Le faila faatulagaina
E le mafai, RTM e toetoe lava a leai se faila faʻatulagaina, ae o le faʻatonuga ma le faʻatonuina o le server e mafai ona tuʻuina atu tulaga faʻatulagaina o le a teuina i le resitala ma faʻaaogaina e le polokalama. O le lisi o ki faʻatulagaina o loʻo tuʻuina atu i le laulau o loʻo i lalo:
O lo'o fa'aputuina le fa'atonuga i totonu o le Software [Pseudo-random string] resitala ki. O tau ta'itasi e fetaui ma se tasi o laina o lo'o tu'uina atu i le laulau muamua. O tau ma faʻamaumauga o loʻo faʻaogaina e faʻaaoga ai le RC4 algorithm i le RTM.
O faʻamaumauga o loʻo i ai le fausaga tutusa e pei o se fesoʻotaʻiga poʻo se manoa. E fa-byte XOR ki e faʻaopoopo i le amataga o faʻamaumauga faʻamaonia. Mo tulaga faʻatulagaina, o le XOR key e ese ma faʻalagolago i le tele o le tau. E mafai ona fuafuaina e pei ona taua i lalo:
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)
4.8. Isi vaega
Le isi, se'i o tatou va'ai i isi galuega e lagolagoina e le RTM.
4.8.1. Module fa'aopoopo
O le Trojan e aofia ai isi modules, o faila DLL. O modules na lafoina mai le C&C command server e mafai ona faʻatinoina e pei o polokalame fafo, faʻaalia i le RAM ma faʻalauiloa i filo fou. Mo le teuina, o loʻo faʻasaoina modules i faila .dtt ma faʻailoga e faʻaaoga ai le RC4 algorithm faʻatasi ai ma le ki tutusa e faʻaaogaina mo fesoʻotaʻiga fesoʻotaʻiga.
E oʻo mai i le taimi nei ua matou matauina le faʻapipiʻiina o le VNC module (8966319882494077C21F66A8354E2CBCA0370464), le suʻesuʻega faʻamatalaga faʻapipiʻi module (03DE8622BE6B2F75A364A275995C3411626C4C9D1F2E) ma le kl 1F562C1D69E6B_E58F88753E 7FBA0B 3BE4DXNUMXBXNUMXEXNUMXCFAB).
Ina ia utaina le VNC module, o le C&C server e tuʻuina atu se faʻatonuga e talosagaina fesoʻotaʻiga i le VNC server i se tuatusi IP patino i luga o le taulaga 44443. O le masini suʻesuʻe faʻamatalaga faʻapipiʻi e faʻatino TBrowserDataCollector, lea e mafai ona faitau IE suʻesuʻega talafaasolopito. Ona auina atu lea o le lisi atoa o URL asiasi i le C&C command server.
Ole vaega mulimuli na maua e ta'ua ole 1c_2_kl. E mafai ona fegalegaleai ma le 1C Enterprise software package. O le module e aofia ai vaega e lua: o le vaega autu - DLL ma sui e lua (32 ma le 64 bit), lea o le a tui i faiga taʻitasi, resitalaina o le fusifusia i le WH_CBT. I le faʻaofiina i le 1C process, o le module e fusifusia ai galuega CreateFile ma WriteFile. So'o se taimi lava e vala'au ai le galuega fa'amautu CreateFile, e teuina e le module le ala faila 1c_to_kl.txt i le manatua. Ina ua uma ona faalavelaveina le valaau WriteFile, e valaau le galuega WriteFile ma auina atu le ala faila 1c_to_kl.txt i le module DLL autu, pasia ai le crafted Windows WM_COPYDATA savali.
O le DLL autu autu e tatala ma faʻasalalau le faila e fuafua ai poloaiga totogi. E iloa ai le aofaʻi ma le numera o fefaʻatauaiga o loʻo i totonu o le faila. O lenei faʻamatalaga e lafo i le faʻatonuga server. Matou te talitonu o lo'o fa'atupuina nei le module ona o lo'o i ai se fe'au debug ma e le mafai ona otometi ona suia le 1c_to_kl.txt.
4.8.2. Fa'ateleina avanoa
E mafai e le RTM ona taumafai e faʻateleina avanoa e ala i le faʻaalia o feʻau sese sese. O le malware e faʻataʻitaʻiina se siaki resitala (silasila i le ata i lalo) poʻo le faʻaaogaina o se faʻamaufaʻailoga faʻamaumauga moni. Fa'amolemole matau le fa'atali sese o le sipelaga – whait. A maeʻa ni nai sekone o suʻesuʻega, e faʻaalia e le polokalame se feʻau sese sese.
O se savali sese o le a faigofie ona faaseseina le averesi o tagata faaaoga, e ui lava i sese o le kalama. Afai e kiliki e le tagata faʻaoga se tasi o soʻotaga e lua, o le a taumafai le RTM e faʻateleina ona avanoa i totonu o le polokalama.
A maeʻa ona filifilia se tasi o filifiliga toe faʻaleleia e lua, e faʻalauiloa e le Trojan le DLL e faʻaaoga ai le filifiliga runas i le ShellExecute galuega ma pule faʻapitoa. O le a va'aia e le tagata fa'aoga se fa'amatalaga moni a le Windows (silasila i le ata i lalo) mo le maualuga. Afai e tuʻuina atu e le tagata faʻaoga faʻatagaga talafeagai, o le Trojan o le a tamoʻe ma pule faʻapitoa.
Faʻalagolago i le gagana le faʻaogaina o loʻo faʻapipiʻiina i luga o le polokalama, o le Trojan e faʻaalia savali sese i le gagana Rusia poʻo le Igilisi.
4.8.3. Tusi Faamaonia
E mafai e le RTM ona faʻaopoopo tusi faamaonia i le Faleoloa Windows ma faʻamaonia le faʻamaoni o le faʻaopoopoga e ala i le otometi ona kiliki le "ioe" faʻamau i le csrss.exe dialog box. O lenei amioga e le fou; mo se faʻataʻitaʻiga, o le faletupe o Trojan Retefe e faʻamaonia tutoʻatasi le faʻapipiʻiina o se tusi faamaonia fou.
4.8.4. Feso'ota'iga fa'afeagai
Na faia foi e le au tusitala RTM le Backconnect TCP tunnel. Matou te leʻi vaʻai i le faʻaoga o loʻo faʻaogaina, ae ua mamanuina e mataʻituina mamao PC ua aʻafia.
4.8.5. Pulea faila talimalo
E mafai e le 'au'aunaga a le C&C ona tu'uina atu se fa'atonuga i le Trojan e sui ai le faila talimalo a le Windows. O le faila talimalo e faʻaaogaina e fatu ai faʻamatalaga DNS masani.
4.8.6. Su'e ma lafo se faila
E mafai e le 'au'aunaga ona talosaga e su'e ma la'u mai se faila i luga o le faiga fa'ama'i. Mo se faʻataʻitaʻiga, i le taimi o suʻesuʻega na matou maua ai se talosaga mo le faila 1c_to_kl.txt. E pei ona faamatalaina muamua, o lenei faila e gaosia e le 1C: Enterprise 8 accounting system.
4.8.7. Fa'afouina
Mulimuli ane, e mafai e tusitala RTM ona faʻafouina le polokalama e ala i le tuʻuina atu o se DLL fou e sui ai le lomiga o loʻo iai nei.
5. Faaiuga
O suʻesuʻega a le RTM o loʻo faʻaalia ai o loʻo faʻaalia pea e le faiga o teugatupe a Rusia le au osofaʻi i luga ole laiga. O vaega e pei o Buhtrap, Corkow ma Carbanak ua manuia gaoia tupe mai faalapotopotoga tau tupe ma a latou tagata faatau i Rusia. O le RTM o se tagata fou i lenei pisinisi.
O mea faigaluega leaga RTM ua faʻaaogaina talu mai le tuai o le 2015, e tusa ai ma le ESET telemetry. O le polokalame o loʻo i ai le atoaga o le mafai gafatia, e aofia ai le faitauina o kata atamai, faʻalavelave ki ma mataʻituina fefaʻatauaiga o faletupe, faʻapea foʻi ma le suʻeina o faila felauaiga 1C: Enterprise 8.
O le fa'aogaina o se vaega fa'atauva'a, le fa'asalaina .bit pito i luga e fa'amautinoa ai le fa'atumauina o atina'e tetele.
puna: www.habr.com