Waxaa jira dhowr kooxood oo internetka oo caan ah oo ku takhasusay xatooyada lacagaha shirkadaha Ruushka. Waxaan aragnay weerarro loo adeegsaday daldaloolo amni oo u oggolaanaya gelitaanka shabakadda bartilmaameedka. Marka ay galaangal u yeeshaan, weeraryahanadu waxay bartaan qaab dhismeedka shabakada ururka oo ay geeyaan qalabkooda si ay u xadaan lacagaha. Tusaalaha caadiga ah ee isbedelkan waa kooxaha hackers Buhtrap, Cobalt iyo Corkow.
Kooxda RTM ee ay warbixintani diiradda saarayso waa qayb ka mid ah isbeddelladan. Waxay adeegsataa malware-ka si gaar ah loo qaabeeyey oo ku qoran Delphi, kaas oo aynu si faahfaahsan ugu eegi doono qaybaha soo socda. Raadadkii ugu horreeyay ee qalabkan ee nidaamka telemetry ee ESET waxa la helay dhammaadkii 2015. Kooxdu waxay ku shubtaa qaybo cusub oo kala duwan nidaamyada cudurka qaba haddii loo baahdo. Weerarada ayaa lagu bartilmaameedsanayaa dadka isticmaala nidaamka bangiyada fog ee Ruushka iyo qaar ka mid ah wadamada deriska ah.
1. Ujeedooyinka
Ololaha RTM-ka waxaa loogu talagalay isticmaalayaasha shirkadaha - tani waxay ka caddahay hababka ay weeraryahannadu isku dayaan inay ku ogaadaan nidaam la jabiyay. Diiradadu waa software xisaabaadka ee la shaqaynta nidaamyada bangiyada fog.
Liistada hababka xiisaha RTM waxay u egtahay liiska u dhigma ee kooxda Buhtrap, laakiin kooxuhu waxay leeyihiin caabuqyo kala duwan. Haddii Buhtrap uu isticmaalo bogag been abuur ah marar badan, ka dib RTM waxay isticmaashay weeraro wadid-by download (weerarada browserka ama qaybaha uu ka kooban yahay) iyo spaming by email. Sida laga soo xigtay xogta telemetry, khatarta ayaa loogu talagalay Ruushka iyo dhowr waddan oo u dhow (Ukraine, Kazakhstan, Czech Republic, Germany). Si kastaba ha ahaatee, iyadoo ay ugu wacan tahay isticmaalka hababka qaybinta tirada badan, ogaanshaha malware ee ka baxsan gobollada la beegsanayo maaha wax la yaab leh.
Tirada guud ee ogaanshaha malware-ka waa mid yar. Dhinaca kale, ololaha RTM-ku waxa uu isticmaalaa barnaamijyo kakan, kuwaas oo tilmaamaya in weerarrada si weyn loo bartilmaameedsado.
Waxaan helnay dhowr dukumeenti khiyaano ah oo ay adeegsato RTM, oo ay ku jiraan qandaraasyo aan jirin, qaansheegyo ama dukumeenti xisaabeedka canshuuraha. Dabeecadda jilicsanaanta, oo ay weheliso nooca software ee weerarka lagu bartilmaameedsaday, ayaa tilmaamaya in weeraryahannadu ay "soo galayaan" shabakadaha shirkadaha Ruushka iyada oo loo marayo waaxda xisaabaadka. Kooxdu waxay u dhaqmeen si waafaqsan nidaam isku mid ah 2014-2015
Intii cilmi-baadhistu socotay, waxaan awoodnay inaan la falgalno dhowr adeegayaasha C&C. Waxaan ku liis gareyn doonaa liiska buuxa ee amarrada qaybaha soo socda, laakiin hadda waxaan dhihi karnaa in macmiilku si toos ah uga wareejiyo xogta keylogger server-ka weerarka, kaas oo amarro dheeraad ah laga helayo.
Si kastaba ha ahaatee, maalmihii aad si fudud ugu xidhi lahayd taliska iyo xakamaynta server-ka oo aad ururin lahayd dhammaan xogta aad xiisaynayso way dhamaatay. Waxaan dib u abuurnay galalka log-ga dhabta ah si aan uga helno amarrada la xiriira server-ka.
Midka ugu horreeya ee iyaga ka mid ah waa codsi ku saabsan bot si loo wareejiyo faylka 1c_to_kl.txt - faylka gaadiidka ee 1C: Enterprise 8, muuqaalka kaas oo si firfircoon u kormeeraya RTM. 1C waxay la falgashaa nidaamyada bangiyada fog iyadoo ku shubaysa xogta lacag-bixinta baxaysa faylka qoraalka. Marka xigta, faylka waxaa loo diraa nidaamka bangiyada fog-fog si otomaatig ah iyo fulinta amarka lacag bixinta.
Faylka waxaa ku jira faahfaahinta lacag bixinta Haddii weerarradu beddelaan macluumaadka ku saabsan lacagaha baxaya, wareejinta waxaa loo diri doonaa iyadoo la isticmaalayo tafaasiil been ah akoonada weeraryahannada.
Qiyaastii hal bil kadib markii aan ka codsanay faylalkan taliska iyo kontoroolka server-ka, waxaan aragnay plugin cusub, 1c_2_kl.dll, oo lagu shubayo nidaamka la jabsaday. Module (DLL) waxaa loogu talagalay in uu si toos ah u falanqeeyo faylka la soo dajiyay iyada oo la dhex galinayo hababka software xisaabinta. Waxaan si faahfaahsan ugu qeexi doonaa qaybaha soo socda.
Waxa xiisaha lihi leh, FinCERT ee Baanka Ruushka dhamaadkii 2016 ayaa soo saartay digniin wargelin ah oo ku saabsan dambiilayaasha internetka oo isticmaalaya 1c_to_kl.txt galalka geliyaan. Soo-saareyaasha 1C sidoo kale way ogyihiin qorshahan; waxay horay u sameeyeen bayaan rasmi ah waxayna taxday taxaddarro.
Qaybaha kale ayaa sidoo kale laga soo raray server-ka taliska, gaar ahaan VNC (nooca 32 iyo 64-bit). Waxay u egtahay moduleka VNC ee horay loogu isticmaalay weerarrada Dridex Trojan. Qaybtan waxa loo malaynayaa in loo isticmaalo in meel fog laga xidho kombuyuutar cudurka qaba oo lagu sameeyo daraasad faahfaahsan oo ku saabsan nidaamka. Marka xigta, weerarradu waxay isku dayaan inay ku wareegaan shabakada, soo saarista ereyada sirta ah ee isticmaala, ururinta macluumaadka iyo hubinta joogitaanka joogtada ah ee malware.
2. Vectors of infections
Jaantuskan soo socdaa waxa uu tusinayaa xididdada caabuqa ee la ogaaday muddada daraasadda ololaha. Kooxdu waxay isticmaashaa noocyo kala duwan oo vectors ah, laakiin badiyaa wadida lagu soo dejiyo weerarada iyo spamka. Qalabyadani waxay ku habboon yihiin weerarrada la beegsanayo, tan iyo markii ugu horreysay, weerarradu waxay dooran karaan goobaha ay soo booqdaan dhibanayaasha suurtagalka ah, iyo tan labaad, waxay u diri karaan email leh lifaaqyo si toos ah shaqaalaha shirkadda ee la doonayo.
Malware-ka waxaa lagu qaybiyaa kanaalo badan, oo ay ku jiraan RIG iyo Sundown xirmooyinka ka faa'iidaysiga ama fariimaha spamka ah, taasoo tusinaysa xidhiidhka ka dhexeeya weeraryahannada iyo kuwa kale ee internetka soo weerara ee bixiya adeegyadan.
2.1. Sidee bay isku xidhan yihiin RTM iyo Buhtrap?
Ololaha RTM wuxuu aad ugu eg yahay Buhtrap. Su'aasha dabiiciga ah waxay tahay: sidee ayay isku xidhan yihiin?
Bishii Sebtembar 2016, waxaanu aragnay muunad RTM ah oo la qaybinayo iyada oo la isticmaalayo Buhtrap soo-saariyaha. Intaa waxaa dheer, waxaan helnay labo shahaado oo dhijitaal ah oo loo adeegsaday Buhtrap iyo RTM labadaba.
The first, allegedly issued to the company DNISTER-M, was used to digitally sign the second Delphi form (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) and the Buhtrap DLL (SHA-1: 1E2642B454A2C889B6D41116CCDBA83F6F2D4890).
Midda labaad, oo la siiyay Bit-Tredj, ayaa loo isticmaalay in lagu saxeexo loaders Buhtrap (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 iyo B74F71560E48488D2153AE2FB51207A0AC206 iyo si fiican u rakibo sida RTM.
Hawl-wadeennada RTM-ku waxay isticmaalaan shahaadooyin ay wadaagaan qoysaska kale ee malware, laakiin sidoo kale waxay haystaan ββshahaado gaar ah. Marka loo eego telemetry ESET, waxaa la siiyay Kit-SD waxaana kaliya loo isticmaalay in lagu saxiixo qaar ka mid ah malware-ka RTM (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM waxay isticmaashaa xamuul isku mid ah sida Buhtrap, qaybaha RTM waxaa laga soo raray kaabayaasha Buhtrap, markaa kooxuhu waxay leeyihiin tilmaamayaasha shabakad isku mid ah. Si kastaba ha ahaatee, marka loo eego qiyaasahayada, RTM iyo Buhtrap waa kooxo kala duwan, ugu yaraan sababtoo ah RTM waxaa loo qaybiyaa siyaabo kala duwan (ma aha oo kaliya isticmaalka soo dejinta "ajnebiga").
Iyadoo taasi jirto, kooxaha hackers-ku waxay isticmaalaan mabaadi'da hawlgalka ee la midka ah. Waxay bartilmaameedsadaan ganacsiyada iyagoo isticmaalaya software xisaabaadka, si la mid ah ururinta macluumaadka nidaamka, raadinta akhristayaasha kaararka smart, iyo geynta qalabyo xunxun si ay u basaasaan dhibanayaasha.
3. Evolution
Qaybtan, waxaan ku eegi doonaa noocyada kala duwan ee malware-ka la helay intii lagu jiray daraasadda.
3.1. Versioning
RTM waxay ku kaydisaa xogta qaabeynta qaybta diiwaanka, qaybta ugu xiisaha badan waa botnet-prefix. Liiska dhammaan qiyamka aan ku aragnay shaybaarrada aan baranay ayaa lagu soo bandhigay shaxda hoose.
Waxaa suurtogal ah in qiyamka loo isticmaali karo in lagu duubo noocyada malware. Si kastaba ha ahaatee, ma aanan ogaanin farqi weyn oo u dhexeeya noocyada sida bit2 iyo bit3, 0.1.6.4 iyo 0.1.6.6. Waxaa intaa dheer, mid ka mid ah horgalayaasha ayaa jiray tan iyo bilowgii oo ka soo baxay domain C&C caadiga ah una gudub .bit, sida hoos lagu muujin doono.
3.2. Jadwalka
Isticmaalka xogta telemetry, waxaanu samaynay garaaf ku saabsan dhacdada shaybaarada.
4. Falanqaynta farsamada
Qeybtaan, waxaan ku tilmaami doonaa shaqooyinka ugu muhiimsan ee RTM-ka Trojan, oo ay ku jiraan hababka iska caabbinta, nooca u gaarka ah ee RC4 algorithm, nidaamka shabakada, shaqeynta basaasnimada iyo sifooyin kale. Gaar ahaan, waxaan diiradda saari doonaa shaybaarrada SHA-1 AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 iyo 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. Rakibaadda iyo kaydinta
4.1.1. Hirgelinta
Xudunta RTM waa DLL, maktabadda waxaa lagu shubaa saxanka iyadoo la isticmaalayo .EXE. Faylka la fulin karo inta badan waa baakad wuxuuna ka kooban yahay koodka DLL. Marka la bilaabo, waxay soo saartaa DLL waxayna ku shaqeysaa iyadoo la adeegsanayo amarka soo socda:
rundll32.exe β%PROGRAMDATA%Winlogonwinlogon.lnkβ,DllGetClassObject host4.1.2. DLL
DLL-ga ugu weyn ayaa had iyo jeer lagu shubaa diskka sida winlogon.lnk ee %PROGRAMDATA%Winlogon folder. Fidinta faylkan waxaa badanaa lala xiriiriyaa jid-gaaban, laakiin fayku dhab ahaantii waa DLL ku qoran Delphi, oo loo yaqaan core.dll horumariyaha, sida ka muuqata sawirka hoose.
ΠΡΠΈΠΌΠ΅Ρ Π½Π°Π·Π²Π°Π½ΠΈΡ DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Marka la bilaabo, Trojan-ku wuxuu dhaqaajiyaa habka iska caabinta. Tan waxaa loo samayn karaa laba siyaabood oo kala duwan, iyadoo ku xidhan mudnaanta dhibbanaha ee nidaamka. Haddii aad leedahay xuquuqaha maamulaha, Trojan-gu wuxuu ku darayaa gelitaanka Cusboonaysiinta Windows ee HKLMSOFTWAREMIcrosoftWindowsCurrentVersionRun diiwaanka. Awaamiirta ku jirta Cusbooneysiinta Windows waxay socon doonaan bilowga kulanka isticmaalaha.
HKLMSOFTWAREMIcrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe "% PROGRAMDATA%winlogon.lnk", DllGetClassObject martigeliyaha
Trojan-ku wuxuu kaloo isku dayaa inuu hawl ku daro Jadwalka Hawsha Windows. Hawshu waxay bilaabi doontaa winlogon.lnk DLL oo leh cabbirro la mid ah kuwa sare. Xuquuqda isticmaale ee joogtada ah waxay u ogolaataa Trojan inuu ku daro gelida Cusboonaysiinta Windows oo wata xog isku mid ah diiwaanka HKCUSoftwareMicrosoftWindowsCurrentVersionRun:
rundll32.exe β%PROGRAMDATA%winlogon.lnkβ,DllGetClassObject host4.2. Wax ka beddelka RC4 algorithm
In kasta oo ay cilladaha la yaqaan, RC4 algorithm waxaa si joogto ah u isticmaala qorayaasha malware. Si kastaba ha ahaatee, abuurayaasha RTM ayaa waxyar ka beddelay, malaha si ay hawsha falanqeeyayaasha fayraska uga dhigaan mid adag. Nooca RC4 ee wax laga beddelay ayaa si weyn loogu isticmaalaa aaladaha RTM-ga xaasidnimada leh si loo xafido xargaha, xogta shabakadda, qaabeynta iyo qaybaha.
4.2.1. Kala duwanaanshaha
Algorithm-ka asalka ah ee RC4 waxa ku jira laba marxaladood: bilowga s-block (loo yaqaan KSA - Algorithm-ku-qorsheynta furaha) iyo jiilka isku xigxiga- random-ka (PRGA-Pseudo-Random Algorithm). Marxaladda koowaad waxay ku lug leedahay bilawga s-box iyadoo la adeegsanayo furaha, iyo marxaladda labaad qoraalka isha waxaa lagu farsameeyaa iyadoo la isticmaalayo s-box si loo xafido.
Qorayaasha RTM-ku waxay ku dareen tallaabo dhex dhexaad ah oo u dhaxaysa bilawga s-box iyo sirta. Furaha dheeriga ah waa doorsooma waxaana la dejiyay isla waqtiga xogta la sireynayo oo la kala saarayo. Shaqada fulinaysa tallaabadan dheeraadka ah ayaa lagu muujiyay sawirka hoose.
4.2.2. Sirta xargaha
Jaleecada hore, waxaa jira dhowr xariiq oo la akhriyi karo DLL-ta ugu weyn. Inta soo hartay waxaa lagu sir ah iyadoo la isticmaalayo algorithm-ka sare lagu sharraxay, qaab-dhismeedka kaas oo lagu muujiyey shaxanka soo socda. Waxaan ka helnay in ka badan 25 furayaal RC4 oo kala duwan oo loogu talagalay sirta xargaha muunadaha la falanqeeyay. Furaha XOR waa ka duwan yahay saf kasta. Qiimaha xariiqyada kala soocida goobta tirada had iyo jeer waa 0xFFFFFFFF.
Bilawga fulinta, RTM waxay kala saartaa xadhkaha doorsoome caalami ah. Marka ay lagama maarmaan noqoto in la galo xargaha, Trojan-ku si firfircoon ayuu u xisaabiyaa ciwaanka xargaha la furay iyadoo lagu salaynayo ciwaanka salka iyo kabista.
Xadhkaha waxaa ku jira macluumaad xiiso leh oo ku saabsan hawlaha malware-ka. Xadhig tusaale ah ayaa lagu bixiyay Qaybta 6.8.
4.3. Shabakadda
Habka RTM malware ula xiriiro server-ka C&C way ku kala duwan tahay nooc ilaa nooc. Wax ka beddelkii ugu horreeyay (Oktoobar 2015 - Abriil 2016) waxay adeegsadeen magacyo domain dhaqameed oo ay weheliyaan quudinta RSS ee livejournal.com si loo cusbooneysiiyo liiska amarrada.
Laga soo bilaabo Abriil 2016, waxaan aragnay beddelka .bit domains ee xogta telemetry. Tan waxaa lagu xaqiijiyay taariikhda diiwaangelinta goobta - domainkii ugu horreeyay ee RTM fde05d0573da.bit waxaa la diiwaangeliyay Maarso 13, 2016.
Dhammaan URL-yada aan aragnay markii aan la soconay ololaha waxay lahaayeen waddo guud: /r/z.php. Waa arrin aan caadi ahayn oo waxay kaa caawin doontaa in la aqoonsado codsiyada RTM ee qulqulka shabakadda.
4.3.1. Kanaalka amarrada iyo xakamaynta
Tusaalooyinka dhaxalka ah waxay isticmaaleen kanaalkan si ay u cusboonaysiiyaan liiskooda amarrada iyo xakamaynta serferada. Hosting waxa ay ku taalaa livejournal.com, wakhtiga warbixinta la qorayo waxa ay ku hadhay URL hxxp://f72bba81c921(.)livejournal(.)com/ data/rss.
Livejournal waa shirkad Ruush-Maraykan ah oo bixisa madal blogging ah. Hawl-wadeennada RTM-ku waxay abuuraan baloog LJ ah kaas oo ay ku dhejiyaan maqaal leh amarro sumadeysan - eeg shaashadda.
Khadadka taliska iyo kantaroolka waxaa lagu koodhiyay iyadoo la adeegsanayo RC4 algorithmeedka la beddelay (Qaybta 4.2). Nooca hadda (Noofambar 2016) ee kanaalka wuxuu ka kooban yahay taliska soo socda iyo cinwaannada serverka:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. .goobo yar
Muunooyinkii ugu dambeeyay ee RTM-yada, qorayaashu waxay ku xidhaan xayndaabka C&C iyaga oo isticmaalaya .bit TLD domain-ka heerka sare. Kuma jiro ICANN (Magaca Domain iyo Internet Corporation) ee liiska meelaha ugu sarreeya. Taa baddalkeeda, waxay isticmaashaa nidaamka Namecoin, kaas oo lagu dhisay sare ee tiknoolajiyada Bitcoin. Qorayaasha Malware inta badan uma isticmaalaan .bit TLD xayndaabkooda, in kasta oo tusaale ahaan isticmaalka noocaas ah horay loogu arkay nooca Necurs botnet.
Si ka duwan Bitcoin, dadka isticmaala kaydinta Namecoin ee la qaybiyey waxay awood u leeyihiin inay kaydiyaan xogta. Codsiga ugu weyn ee sifadan waa .bit-ka heerka sare. Waxaad iska diiwaan gelin kartaa domains lagu kaydin doono kaydka xogta la qaybiyey. Gelida u dhiganta ee kaydka xogta waxay ka kooban tahay ciwaanada IP-ga ee lagu xalliyo goobta. TLD-gani waa "faafreeb u adkaysta" sababtoo ah xirfadlaha kaliya ayaa bedeli kara xallinta bogga .bit. Tani waxay ka dhigan tahay inay aad u adag tahay in la joojiyo domain xaasidnimo ah iyadoo la adeegsanayo nooca TLD.
RTM-ka Trojan-ku ma darin software-ka lagama maarmaanka u ah in la akhriyo xogta la qaybiyey ee Namecoin. Waxay isticmaashaa server-yada dhexe ee DNS sida dns.dot-bit.org ama OpenNic servers si loo xalliyo .bit domains. Sidaa darteed, waxay leedahay adkeysi la mid ah server-yada DNS. Waxaan aragnay in qaar ka mid ah xayndaabka kooxda aan la ogaan karin ka dib markii lagu sheegay boostada blog.
Faa'iidada kale ee .bit TLD ee haakarisku waa kharash. Si loo diiwaangeliyo domain, hawl-wadeenadu waxay u baahan yihiin inay bixiyaan kaliya 0,01 NK, taas oo u dhiganta $0,00185 (laga bilaabo Diisambar 5, 2016). Marka la barbardhigo, domain.com waa ugu yaraan $10.
4.3.3. Baratakoolka
Si loola xidhiidho taliska iyo xakamaynta serverka, RTM waxay isticmaashaa codsiyada HTTP POST oo wata xog la habeeyey iyadoo la isticmaalayo hab-maamuus gaar ah. Qiimaha waddada had iyo jeer waa /r/z.php; Mozilla/5.0 wakiilka isticmaale (ku habboon; MSIE 9.0; Windows NT 6.1; Trident/5.0). Codsiyada server-ka, xogta waxaa loo qaabeeyey sida soo socota, halkaasoo qiyamka la dhimay lagu muujiyey bytes:
Bytes 0 ilaa 6 lama qarin; Bytes laga bilaabo 6 ayaa lagu dhejiyay iyadoo la adeegsanayo algorithm RC4 oo la beddelay. Qaab dhismeedka xirmada jawaabta C&C ayaa ka fudud. Bytes waxaa lagu calaamadeeyay min 4 ilaa cabbirka baakidhka.
Liiska qiimaha byte ee suurtogalka ah ayaa lagu soo bandhigay shaxda hoose:
Malware-ku wuxuu had iyo jeer xisaabiyaa CRC32 ee xogta la furay oo wuxuu barbar dhigayaa waxa ku jira xirmada. Haddii ay kala duwan yihiin, Trojan-ka ayaa hoos u dhigaya xirmada.
Xogta dheeriga ah waxaa ku jiri kara walxo kala duwan, oo ay ku jiraan faylka PE, faylka lagu baadho nidaamka faylka, ama URLs cusub.
4.3.4. Guddi
Waxaan ogaanay in RTM ay isticmaasho guddi ku saabsan server-yada C&C. Sawirka hoose:
4.4. Calaamadaha sifada
RTM waa Trojan bangi oo caadi ah. La yaab maaha in hawlwadeenadu ay rabaan macluumaadka ku saabsan nidaamka dhibbanaha. Dhinaca kale, botku waxa uu ururiyaa macluumaadka guud ee OS-ka. Dhanka kale, waxay ogaaneysaa in nidaamka la jabsaday uu ka kooban yahay sifooyin la xiriira nidaamyada bangiyada fog ee Ruushka.
4.4.1. Xog guud
Marka malware la rakibo ama la bilaabo dib-u-bilow ka dib, warbixin ayaa loo diraa taliska iyo server-ka kantaroolka oo ka kooban macluumaad guud oo ay ku jiraan:
- Aagga waqtiga;
- luqadda nidaamka caadiga ah;
- aqoonsiga isticmaalaha la oggolaaday;
- habka daacadnimada heerka;
- Magaca isticmaalaha;
- magaca kombiyuutarka;
- Nooca OS;
- qaybo dheeraad ah oo lagu rakibay;
- barnaamijka antivirus rakibay;
- liiska akhristayaasha kaararka smart.
4.4.2 Nidaamka bangiyada fog
Bartilmaameedka caadiga ah ee Trojan waa nidaam bangi oo fog, RTM-na kama reebo. Mid ka mid ah qaybaha barnaamijka waxaa lagu magacaabaa TBdo, kaas oo qabta hawlo kala duwan, oo ay ku jiraan sawirada sawirada iyo taariikhda browsing.
Marka la baadho saxanka, Trojan-ku waxa uu hubinayaa in software bangigu ku rakiban yahay mishiinka. Liiska buuxa ee barnaamijyada bartilmaameedka ayaa ku jira shaxda hoose. Markii la ogaaday fayl xiiso leh, barnaamijku wuxuu u diraa macluumaadka server-ka taliska. Ficilada soo socdaa waxay ku xiran yihiin macquulnimada ay qeexday xarunta taliska (C&C) algorithms.
RTM waxay kaloo raadisaa qaababka URL taariikhda browserkaaga iyo tabsiyada furan. Intaa waxaa dheer, barnaamijku wuxuu baari doonaa isticmaalka FindNextUrlCacheEntryA iyo FindFirstUrlCacheEntryA, oo sidoo kale hubiyaa gelitaan kasta si uu ugu dhigmo URL mid ka mid ah qaababka soo socda:
Ka dib markii la ogaaday tabs furan, Trojan-ku wuxuu la xiriiraa Internet Explorer ama Firefox iyada oo loo marayo habka Dynamic Data Exchange (DDE) si loo hubiyo in tabku la mid yahay qaabka.
Hubinta taariikhdaada wax baadhista iyo tabsiyada furan waxa lagu qabtaa WHILE loop (loop leh shuruudi hore) oo leh 1 ilbiriqsi oo u dhexeeya jeegaga. Xogta kale ee lala socdo wakhtiga dhabta ah waxa lagaga hadli doonaa qaybta 4.5.
Haddii qaab la helo, barnaamijku wuxuu tan u sheegay server-ka taliska isagoo isticmaalaya liis xadhkaha miiska soo socda:
4.5 Korjoogteynta
Inta uu Trojan-ku socdo, macluumaadka ku saabsan sifooyinka sifada nidaamka cudurka (oo ay ku jiraan macluumaadka ku saabsan joogitaanka software-ka bangiyada) ayaa loo diraa taliska iyo server-ka. Fingerprinting waxay dhacdaa marka ugu horeysa ee RTM ay maamusho nidaamka la socodka isla markiiba ka dib iskaanka OS-ga ee bilowga ah.
4.5.1. Bangiyada fog
Qaybta TBdo sidoo kale waxay mas'uul ka tahay la socodka hababka bangiyada la xiriira. Waxay isticmaashaa xog isdhaafsi firfircoon si ay u hubiso tabsyada Firefox iyo Internet Explorer inta lagu jiro iskaanka bilowga ah. Qayb kale oo TShell ah ayaa loo isticmaalaa si loola socdo amarka daaqadaha (Internet Explorer ama File Explorer).
Module-ku waxa uu isticmaalayaa isku xidhka COM IShellWindows, iWebBrowser, DWebBrowserEvents2 iyo IConnectionPointContainer si uu ula socdo daaqadaha. Marka isticmaaluhu u socdo bog shabakad cusub, malware-ku waxa uu xusayaa tan. Waxay markaa isbarbardhigeysaa URL bogga iyo qaababka kore. Markii la ogaaday ciyaar, Trojan-ku wuxuu qaataa lix shaashadood oo isku xigta oo leh 5 ilbiriqsi wuxuuna u diraa server-ka taliska C&S. Barnaamijku wuxuu kaloo hubinayaa qaar ka mid ah magacyada daaqadaha ee la xiriira software-ka bangiyada - liiska oo dhan waa hoos:
4.5.2. Kaarka casriga ah
RTM waxay kuu ogolaaneysaa inaad la socoto akhristayaasha kaararka smart ee ku xiran kombiyuutarada cudurka qaba. Aaladahaan waxaa loo isticmaalaa wadamada qaar si ay u heshiiyaan amarada lacag bixinta. Haddii qalabka noocaan ah uu ku xiran yahay kombuyuutar, waxay u muujin kartaa Trojan-ka in mishiinka loo isticmaalo wax kala iibsiga bangiyada.
Si ka duwan Trojans-ka bangiyada kale, RTM ma la falgali karto kaadhadhka casriga ah ee noocaas ah. Waxaa laga yaabaa in shaqadani ay ku jirto module dheeraad ah oo aynaan weli arag.
4.5.3. Keylogger
Qayb muhiim ah oo ka mid ah la socodka PC-ga cudurka qaba waa qabashada furayaasha furaha. Waxay u muuqataa in horumarinta RTM-yada aysan ka maqnaan wax macluumaad ah, maadaama ay kormeerayaan kaliya maaha furayaasha caadiga ah, laakiin sidoo kale kumbuyuutarka casriga ah iyo kiliboodhka.
Si tan loo sameeyo, isticmaal SetWindowsHookExA function. Weeraryahanadu waxay galaan furayaasha la riixay ama furayaasha u dhigma kiiboodhka farsamada, oo ay la socdaan magaca iyo taariikhda barnaamijka. Badbaadiyaha ayaa markaa loo diraa server-ka taliska C&C.
Hawsha SetClipboardViewer waxa loo isticmaalaa in lagu dhex geliyo sabuuradda. Hackers-ku waxay galaan waxa ku jira kilib-boodhka marka xogtu tahay qoraal. Magaca iyo taariikhda sidoo kale waa la diiwaan geliyay ka hor inta aan kaydiyaha loo dirin seerfarka.
4.5.4. Sawir-qaadis
Shaqada kale ee RTM waa dhexda shaashadda. Sifada waxa lagu dabaqaa marka moduleka la socodka daaqada uu ogaado goob ama software bangi oo xiiso leh. Sawirada sawirada waxaa lagu qaadaa iyadoo la isticmaalayo maktabad sawiro garaaf ah waxaana lagu wareejiyaa server-ka taliska.
4.6. Uninstallation
Adeegga C&C wuxuu joojin karaa malware-ka inuu socdo oo uu nadiifiyo kombiyuutarkaaga. Amarka wuxuu kuu ogolaanayaa inaad nadiifiso faylasha iyo diiwaan gelinta la abuuray inta RTM uu socdo. DLL ayaa markaa loo isticmaalaa in laga saaro malware-ka iyo faylka winlogon, ka dib amarku wuxuu xirayaa kombiyuutarka. Sida ka muuqata sawirka hoose, DLL-ga waxa meesha ka saaraya horumariyayaashu iyaga oo isticmaalaya erase.dll.
Seerfarku wuxuu soo diri karaa Trojan-ka amarka qufulka uninstall-ka burburinaya. Xaaladdan oo kale, haddii aad leedahay xuquuqda maamulaha, RTM waxay tirtiri doontaa qaybta kabaha MBR ee darawalka adag. Haddii tani ay ku guul darreysato, Trojan-gu wuxuu isku dayi doonaa inuu u beddelo qaybta kabaha MBR si uu u noqdo qayb aan kala sooc lahayn - ka dib kombuyuutarku ma awoodi doono inuu xidho OS ka dib marka la xiro. Tani waxay u horseedi kartaa dib u rakibid dhamaystiran oo OS ah, taas oo macnaheedu yahay burburinta caddaynta.
La'aanteed mudnaanta maamulaha, malware-ku wuxuu qoraa .EXE oo ku dhejisan RTM DLL ee hoose. Fulintu waxa ay fulisaa koodka loo baahan yahay si loo damiyo kombiyuutarka oo waxa uu ka diiwaan galiyaa moduleka furaha diiwaanka ee HKCUCurrentVersionRun. Mar kasta oo isticmaaluhu bilaabo fadhiga, kombuyuutarku isla markiiba wuu xidhaa.
4.7. Faylka qaabeynta
Sida caadiga ah, RTM waxay leedahay ku dhawaad ββββfayl qaabeyn ah, laakiin taliska iyo server-ka kantaroolku wuxuu soo diri karaa qiimaha qaabeynta kaas oo lagu keydin doono diiwaanka oo uu adeegsan doono barnaamijka. Liiska furayaasha qaabeynta ayaa lagu soo bandhigay shaxda hoose:
Qaabaynta waxa lagu kaydiyaa furaha diiwaanka Software[seudo-random string]. Qiime kastaa wuxuu u dhigmaa mid ka mid ah safafka lagu soo bandhigay shaxda hore. Qiimaha iyo xogta waxaa lagu kaydiyaa iyadoo la isticmaalayo RC4 algorithm ee RTM.
Xogtu waxay leedahay qaab isku mid ah sida shabakad ama xargaha. Furaha afar-byte XOR ayaa lagu daraa bilowga xogta la calaamadeeyay. Qiimaha qaabeynta, furaha XOR waa ka duwan yahay wuxuuna ku xiran yahay cabbirka qiimaha. Waxaa loo xisaabin karaa sida soo socota:
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)
4.8. Shaqooyinka kale
Marka xigta, aan eegno hawlaha kale ee RTM ay taageerto.
4.8.1. Qaybaha dheeriga ah
Trojan waxaa ku jira qaybo dheeraad ah, kuwaas oo ah faylasha DLL. Modules laga soo diro server-ka taliska C&C waxaa loo fulin karaa sidii barnaamijyo dibadda ah, oo ka tarjumaya RAM oo lagu bilaabay taxane cusub. Kaydinta, modulesyada waxaa lagu kaydiyaa .dtt faylalka waxaana lagu dhejiyay iyadoo la isticmaalayo RC4 algorithm oo leh isla furaha loo isticmaalo isgaarsiinta shabakada.
Ilaa hadda waxaanu aragnay rakibaadda moduleka VNC (8966319882494077C21F66A8354E2CBCA0370464), moduleka soo saarista xogta browserka (03DE8622BE6B2F75A364A275995C3411626C4D9F)1klE 2FBA1 B562BE1D69B6E58CFAB).
Si loo soo geliyo moduleka VNC, server-ka C&C wuxuu soo saara amar uu ku codsanayo isku xirka server-ka VNC ee ciwaanka IP-ga ee gaarka ah ee ku yaal dekedda 44443. Xogta dib u soo celinta browserka waxay fulisaa TBrowserDataCollector, taas oo akhrin karta taariikhda IE. Kadib waxay u dirtaa liiska buuxa ee URL-yada la booqday server-ka taliska C&C.
Cutubka ugu dambeeya ee la helay waxaa loo yaqaan 1c_2_kl. Waxay la falgali kartaa xirmada software-ka 1C Enterprise. Qalabka waxaa ku jira laba qaybood: qaybta ugu weyn - DLL iyo laba wakiil (32 iyo 64 bit), kuwaas oo lagu duri doono nidaam kasta, diiwaangelinta xidhitaanka WH_CBT. Ka dib markii lagu soo bandhigay habka 1C, cutubku wuxuu xidhaa hawlaha CreateFile iyo WriteFile. Mar kasta oo shaqada xidhitaanka CreateFile la yiraahdo, moduleku wuxuu kaydiyaa dariiqa faylka 1c_to_kl.txt ee xusuusta. Ka dib markay dhexda ka galaan WriteFile wicida, waxay wacdaa shaqada WriteFile oo waxay u dirtaa dariiqa faylka 1c_to_kl.txt moduleka ugu muhiimsan ee DLL, isagoo u gudbinaya fariinta la farsameeyey ee Windows WM_COPYDATA.
Qaybta ugu weyn ee DLL ayaa furta oo kala saarta faylka si loo go'aamiyo amarada lacag bixinta. Waxay aqoonsanaysaa cadadka iyo lambarka wax kala iibsiga ee ku jira faylka. Macluumaadkan waxaa loo diraa server-ka taliska. Waxaan rumaysanahay in cutubkani uu hadda socdo sababtoo ah waxa uu ka kooban yahay fariinta cilladaha oo si toos ah uma beddeli karo 1c_to_kl.txt.
4.8.2. Kordhinta mudnaanta
RTM waxa laga yaabaa in ay isku daydo in ay kordhiso mudnaanta iyaga oo soo bandhigaya farriimaha khaldan ee beenta ah. Malware-ku wuxuu matalaa jeegga diiwaanka (fiiri sawirka hoose) ama wuxuu adeegsadaa astaanta tafatiraha diiwaanka dhabta ah. Fadlan ogow sugitaanka higaada khaldan - waa maxay. Dhowr ilbiriqsi ka dib iskaanka, barnaamijku wuxuu soo bandhigayaa fariin qalad ah.
Farriinta beenta ah waxay si fudud u khiyaami doontaa celceliska isticmaalaha, inkastoo khaladaadka naxwe ahaaneed. Haddii isticmaaluhu uu taago mid ka mid ah labada xiriiriye, RTM waxay isku dayi doontaa inay kordhiso mudnaanta ay ku leedahay nidaamka.
Ka dib markii la doorto mid ka mid ah laba ikhtiyaar oo soo kabashada, Trojan wuxuu bilaabay DLL isagoo isticmaalaya ikhtiyaarka runas ee shaqada ShellExecute oo leh mudnaanta maamulaha. Isticmaaluhu wuxuu arki doonaa degdega Windows-ka dhabta ah (fiiri sawirka hoose) sare u qaadista. Haddii isticmaaluhu uu bixiyo oggolaanshaha lagama maarmaanka ah, Trojan-ku wuxuu la socon doonaa mudnaanta maamulaha.
Iyadoo ku xiran luqadda caadiga ah ee lagu rakibay nidaamka, Trojan-ku wuxuu soo bandhigayaa farriimaha khaldan ee Ruushka ama Ingiriisiga.
4.8.3. Shahaado
RTM waxay ku dari kartaa shahaadooyin Bakhaarka Windows oo waxay xaqiijin kartaa isku halaynta wax-ku-darka adigoo si toos ah u gujinaya "haa" badhanka csrss.exe sanduuqa wada hadalka. Dhaqankani maaha mid cusub; tusaale ahaan, Trojan Retefe bangiga ayaa sidoo kale si madaxbanaan u xaqiijinaya rakibidda shahaado cusub.
4.8.4. Isku xirka gadaal
Qorayaasha RTM waxay sidoo kale sameeyeen tunnel-ka Backconnect TCP. Wali maanu arag sifada la isticmaalo, laakiin waxa loo qorsheeyay in meel fog lagala socdo kombayutarada cudurka qaba.
4.8.5. Maamulka faylka martida loo yahay
Adeegga C&C wuxuu amar u diri karaa Trojan-ka si uu wax uga beddelo faylka martida loo yahay ee Windows. Faylka martida loo yahay waxaa loo isticmaalaa in lagu abuuro qaraarada DNS ee caadiga ah.
4.8.6. Soo hel oo dir fayl
Seerfarku waxa laga yaabaa inuu codsado inuu baadho oo soo dejiyo faylka nidaamka cudurka qaba. Tusaale ahaan, intii cilmi-baadhistu socotay waxaan helnay codsi faylka 1c_to_kl.txt. Sidii hore loo sharraxay, faylkan waxaa soo saaray 1C: Enterprise 8 nidaamka xisaabinta.
4.8.7. Cusbooneysii
Ugu dambeyntii, qorayaasha RTM waxay cusbooneysiin karaan software-ka iyagoo soo gudbinaya DLL cusub si ay u beddelaan nooca hadda jira.
5. Gunaanad
Cilmi-baarista RTM waxay muujineysaa in nidaamka bangiyada Ruushka uu wali soo jiito weeraryahannada internetka. Kooxaha sida Buhtrap, Corkow iyo Carbanak ayaa si guul leh u xaday lacagta hay'adaha maaliyadeed iyo macaamiishooda Ruushka. RTM waa ciyaaryahan ku cusub warshadahan.
Aaladaha RTM ee xaasidnimada leh ayaa la isticmaalayey ilaa ugu yaraan dabayaaqadii 2015, marka loo eego telemetry ESET. Barnaamijku waxa uu leeyahay awoodo basaasnimo oo kala duwan, oo ay ku jiraan akhrinta kaadhadhka smart, ka joojinta furayaasha furaha iyo la socodka macaamilka bangiyada, iyo sidoo kale raadinta 1C: Enterprise 8 galalka gaadiidka.
Isticmaalka baahinta heerka sare ee .bit aan la faafreebnayn ayaa hubisa kaabayaasha aadka u adkeysanaya.
Source: www.habr.com