Ka disa grupe të njohura kibernetike që specializohen në vjedhjen e fondeve nga kompanitë ruse. Ne kemi parë sulme duke përdorur boshllëqe sigurie që lejojnë aksesin në rrjetin e objektivit. Pasi të kenë akses, sulmuesit studiojnë strukturën e rrjetit të organizatës dhe vendosin mjetet e tyre për të vjedhur fondet. Një shembull klasik i këtij trendi janë grupet e hakerëve Buhtrap, Cobalt dhe Corkow.
Grupi RTM ku fokusohet ky raport është pjesë e këtij trendi. Ai përdor malware të dizajnuar posaçërisht të shkruar në Delphi, të cilin do ta shikojmë më në detaje në seksionet e mëposhtme. Gjurmët e para të këtyre mjeteve në sistemin e telemetrisë ESET u zbuluan në fund të vitit 2015. Ekipi ngarkon module të ndryshme të reja në sisteme të infektuara sipas nevojës. Sulmet kanë për qëllim përdoruesit e sistemeve bankare në distancë në Rusi dhe disa vende fqinje.
1. Golat
Fushata RTM ka për qëllim përdoruesit e korporatave - kjo është e qartë nga proceset që sulmuesit përpiqen të zbulojnë në një sistem të komprometuar. Fokusi është në softuerin e kontabilitetit për të punuar me sistemet bankare në distancë.
Lista e proceseve me interes për RTM i ngjan listës përkatëse të grupit Buhtrap, por grupet kanë vektorë të ndryshëm infeksioni. Nëse Buhtrap përdorte më shpesh faqe të rreme, atëherë RTM përdorte sulme të shkarkimit nga drive-by (sulme ndaj shfletuesit ose përbërësve të tij) dhe spamming me email. Sipas të dhënave të telemetrisë, kërcënimi ka për qëllim Rusinë dhe disa vende të afërta (Ukrainë, Kazakistan, Republikën Çeke, Gjermani). Megjithatë, për shkak të përdorimit të mekanizmave të shpërndarjes masive, zbulimi i malware jashtë rajoneve të synuara nuk është befasues.
Numri i përgjithshëm i zbulimeve të malware është relativisht i vogël. Nga ana tjetër, fushata RTM përdor programe komplekse, gjë që tregon se sulmet janë shumë të synuara.
Ne kemi zbuluar disa dokumente mashtrimi të përdorura nga RTM, duke përfshirë kontrata, fatura apo dokumente kontabiliteti tatimor inekzistente. Natyra e joshjeve, e kombinuar me llojin e softuerit të synuar nga sulmi, tregon se sulmuesit po "hyjnë" në rrjetet e kompanive ruse përmes departamentit të kontabilitetit. Grupi veproi sipas të njëjtës skemë në 2014-2015
Gjatë hulumtimit, ne ishim në gjendje të ndërvepronim me disa serverë C&C. Ne do të listojmë listën e plotë të komandave në seksionet e mëposhtme, por tani për tani mund të themi se klienti transferon të dhënat nga keylogger direkt në serverin sulmues, nga i cili më pas merren komanda shtesë.
Megjithatë, ditët kur thjesht mund të lidheshe me një server komandimi dhe kontrolli dhe të mbledhësh të gjitha të dhënat që të interesonin kanë ikur. Ne rikrijuam skedarë realistë të regjistrave për të marrë disa komanda përkatëse nga serveri.
E para prej tyre është një kërkesë drejtuar botit për të transferuar skedarin 1c_to_kl.txt - një skedar transporti i programit 1C: Enterprise 8, pamja e të cilit monitorohet në mënyrë aktive nga RTM. 1C ndërvepron me sistemet bankare në distancë duke ngarkuar të dhëna për pagesat dalëse në një skedar teksti. Më pas, skedari dërgohet në sistemin bankar në distancë për automatizimin dhe ekzekutimin e urdhërpagesës.
Skedari përmban detajet e pagesës. Nëse sulmuesit ndryshojnë informacionin në lidhje me pagesat dalëse, transferimi do të dërgohet duke përdorur detaje të rreme në llogaritë e sulmuesve.
Rreth një muaj pasi kërkuam këto skedarë nga serveri i komandës dhe kontrollit, ne vumë re një shtesë të re, 1c_2_kl.dll, duke u ngarkuar në sistemin e komprometuar. Moduli (DLL) është krijuar për të analizuar automatikisht skedarin e shkarkimit duke depërtuar në proceset e softuerit të kontabilitetit. Ne do ta përshkruajmë atë në detaje në seksionet në vijim.
Është interesante që FinCERT i Bankës së Rusisë në fund të vitit 2016 lëshoi një buletin paralajmërues për kriminelët kibernetikë që përdorin skedarët e ngarkimit 1c_to_kl.txt. Zhvilluesit nga 1C gjithashtu dinë për këtë skemë ata tashmë kanë bërë një deklaratë zyrtare dhe kanë renditur masat paraprake.
Module të tjera u ngarkuan gjithashtu nga serveri i komandës, veçanërisht VNC (versionet e tij 32 dhe 64-bit). Ai i ngjan modulit VNC që është përdorur më parë në sulmet e Dridex Trojan. Ky modul supozohet se përdoret për t'u lidhur në distancë me një kompjuter të infektuar dhe për të kryer një studim të detajuar të sistemit. Më pas, sulmuesit përpiqen të lëvizin nëpër rrjet, duke nxjerrë fjalëkalimet e përdoruesve, duke mbledhur informacione dhe duke siguruar praninë e vazhdueshme të malware.
2. Vektorët e infeksionit
Figura e mëposhtme tregon vektorët e infeksionit të zbuluar gjatë periudhës së studimit të fushatës. Grupi përdor një gamë të gjerë vektorësh, por kryesisht sulme nga shkarkimi dhe mesazhe të padëshiruara. Këto mjete janë të përshtatshme për sulme të synuara, pasi në rastin e parë, sulmuesit mund të zgjedhin faqet e vizituara nga viktimat e mundshme, dhe në të dytën, ata mund të dërgojnë email me bashkëngjitje direkt te punonjësit e kompanisë së dëshiruar.
Malware shpërndahet përmes kanaleve të shumta, duke përfshirë pajisjet e shfrytëzimit të RIG dhe Sundown ose postimet e padëshiruara, duke treguar lidhjet midis sulmuesve dhe sulmuesve të tjerë kibernetikë që ofrojnë këto shërbime.
2.1. Si lidhen RTM dhe Buhtrap?
Fushata RTM është shumë e ngjashme me Buhtrap. Pyetja e natyrshme është: si kanë lidhje me njëri-tjetrin?
Në shtator 2016, ne vëzhguam një mostër RTM duke u shpërndarë duke përdorur ngarkuesin Buhtrap. Për më tepër, ne gjetëm dy certifikata dixhitale të përdorura si në Buhtrap ashtu edhe në RTM.
E para, që supozohet se i është lëshuar kompanisë DNISTER-M, është përdorur për të nënshkruar në mënyrë dixhitale formularin e dytë Delphi (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) dhe Buhtrap DLL (SHA-1BCD1FDB2642:454:2FDF: F889D6).
E dyta, e lëshuar për Bit-Tredj, u përdor për të nënshkruar ngarkuesit Buhtrap (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 dhe B74F71560E48488D2153AE2FB51207 si dhe për të instaluar komponentët RB0AE206FB2).
Operatorët RTM përdorin certifikata që janë të zakonshme për familjet e tjera të malware, por ata gjithashtu kanë një certifikatë unike. Sipas telemetrisë ESET, ai u lëshua në Kit-SD dhe u përdor vetëm për të nënshkruar disa malware RTM (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM përdor të njëjtin ngarkues si Buhtrap, komponentët RTM ngarkohen nga infrastruktura Buhtrap, kështu që grupet kanë tregues të ngjashëm të rrjetit. Megjithatë, sipas vlerësimeve tona, RTM dhe Buhtrap janë grupe të ndryshme, të paktën sepse RTM shpërndahet në mënyra të ndryshme (jo vetëm duke përdorur një shkarkues "të huaj").
Pavarësisht kësaj, grupet e hakerëve përdorin parime të ngjashme operimi. Ata synojnë bizneset që përdorin softuer të kontabilitetit, në mënyrë të ngjashme duke mbledhur informacione të sistemit, duke kërkuar lexues të kartave inteligjente dhe duke vendosur një sërë mjetesh me qëllim të keq për të spiunuar viktimat.
3. Evolucioni
Në këtë seksion, ne do të shikojmë versionet e ndryshme të malware të gjetura gjatë studimit.
3.1. Versionimi
RTM ruan të dhënat e konfigurimit në një seksion regjistri, pjesa më interesante është prefiksi botnet. Një listë e të gjitha vlerave që kemi parë në mostrat që kemi studiuar është paraqitur në tabelën më poshtë.
Është e mundur që vlerat të mund të përdoren për të regjistruar versionet e malware. Sidoqoftë, nuk kemi vërejtur shumë dallime midis versioneve të tilla si bit2 dhe bit3, 0.1.6.4 dhe 0.1.6.6. Për më tepër, një nga prefikset ka ekzistuar që në fillim dhe ka evoluar nga një domen tipik C&C në një domen .bit, siç do të tregohet më poshtë.
3.2. Orari
Duke përdorur të dhënat e telemetrisë, ne krijuam një grafik të shfaqjes së mostrave.
4. Analiza teknike
Në këtë seksion, ne do të përshkruajmë funksionet kryesore të Trojanit bankar RTM, duke përfshirë mekanizmat e rezistencës, versionin e tij të algoritmit RC4, protokollin e rrjetit, funksionalitetin e spiunimit dhe disa veçori të tjera. Në veçanti, ne do të përqendrohemi në mostrat SHA-1 AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 dhe 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. Instalimi dhe ruajtja
4.1.1. Zbatimi
Bërthama RTM është një DLL, biblioteka ngarkohet në disk duke përdorur .EXE. Skedari i ekzekutueshëm zakonisht është i paketuar dhe përmban kodin DLL. Pasi të lansohet, ai nxjerr DLL dhe e drejton atë duke përdorur komandën e mëposhtme:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. DLL
DLL-ja kryesore ngarkohet gjithmonë në disk si winlogon.lnk në dosjen %PROGRAMDATA%Winlogon. Kjo shtesë skedari zakonisht shoqërohet me një shkurtore, por skedari është në të vërtetë një DLL i shkruar në Delphi, i quajtur core.dll nga zhvilluesi, siç tregohet në imazhin më poshtë.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Pasi të lëshohet, Trojani aktivizon mekanizmin e tij të rezistencës. Kjo mund të bëhet në dy mënyra të ndryshme, në varësi të privilegjeve të viktimës në sistem. Nëse keni të drejta administratori, Trojani shton një hyrje të Windows Update në regjistrin HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun. Komandat e përfshira në Windows Update do të ekzekutohen në fillim të sesionit të përdoruesit.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host
Trojani gjithashtu përpiqet të shtojë një detyrë në Programin e detyrave të Windows. Detyra do të nisë winlogon.lnk DLL me të njëjtat parametra si më sipër. Të drejtat e rregullta të përdoruesit lejojnë që Trojan të shtojë një hyrje të Windows Update me të njëjtat të dhëna në regjistrin HKCUSoftwareMicrosoftWindowsCurrentVersionRun:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Algoritmi i modifikuar RC4
Pavarësisht mangësive të njohura, algoritmi RC4 përdoret rregullisht nga autorët e malware. Sidoqoftë, krijuesit e RTM e modifikuan pak, ndoshta për ta bërë më të vështirë detyrën e analistëve të viruseve. Një version i modifikuar i RC4 përdoret gjerësisht në mjetet me qëllim të keq RTM për të enkriptuar vargjet, të dhënat e rrjetit, konfigurimin dhe modulet.
4.2.1. Dallimet
Algoritmi origjinal RC4 përfshin dy faza: inicializimi i bllokut s (aka KSA - Algoritmi i planifikimit të çelësave) dhe gjenerimi i sekuencave pseudo të rastësishme (PRGA - Pseudo-Random Generation Algorithm). Faza e parë përfshin inicializimin e s-box duke përdorur çelësin, dhe në fazën e dytë teksti burimor përpunohet duke përdorur kutinë s për enkriptim.
Autorët e RTM shtuan një hap të ndërmjetëm midis inicializimit të s-box dhe enkriptimit. Çelësi shtesë është i ndryshueshëm dhe vendoset në të njëjtën kohë me të dhënat që do të enkriptohen dhe deshifrohen. Funksioni që kryen këtë hap shtesë është paraqitur në figurën më poshtë.
4.2.2. Kriptimi i vargut
Në shikim të parë, ka disa rreshta të lexueshëm në DLL-në kryesore. Pjesa tjetër është e koduar duke përdorur algoritmin e përshkruar më sipër, struktura e të cilit tregohet në figurën e mëposhtme. Ne gjetëm më shumë se 25 çelësa të ndryshëm RC4 për enkriptimin e vargjeve në mostrat e analizuara. Tasti XOR është i ndryshëm për çdo rresht. Vlera e linjave ndarëse të fushës numerike është gjithmonë 0xFFFFFFFF.
Në fillim të ekzekutimit, RTM deshifron vargjet në një ndryshore globale. Kur është e nevojshme për të hyrë në një varg, Trojani llogarit në mënyrë dinamike adresën e vargjeve të deshifruara bazuar në adresën bazë dhe kompensimin.
Vargjet përmbajnë informacion interesant rreth funksioneve të malware. Disa vargje shembuj janë dhënë në seksionin 6.8.
4.3. Rrjeti
Mënyra se si malware RTM kontakton serverin C&C ndryshon nga versioni në version. Modifikimet e para (tetor 2015 – prill 2016) përdorën emra tradicionalë të domain-it së bashku me një burim RSS në livejournal.com për të përditësuar listën e komandave.
Që nga prilli 2016, ne kemi parë një zhvendosje në domenet .bit në të dhënat e telemetrisë. Kjo konfirmohet nga data e regjistrimit të domenit - domeni i parë RTM fde05d0573da.bit u regjistrua më 13 mars 2016.
Të gjitha URL-të që pamë gjatë monitorimit të fushatës kishin një rrugë të përbashkët: /r/z.php. Është mjaft e pazakontë dhe do të ndihmojë në identifikimin e kërkesave RTM në rrjedhat e rrjetit.
4.3.1. Kanal për komanda dhe kontroll
Shembujt e vjetër e përdorën këtë kanal për të përditësuar listën e serverëve të komandës dhe kontrollit. Pritja ndodhet në livejournal.com, në kohën e shkrimit të raportit mbeti në URL-në hxxp://f72bba81c921(.)livejournal(.)com/ data/rss.
Livejournal është një kompani ruso-amerikane që ofron një platformë blogimi. Operatorët RTM krijojnë një blog LJ në të cilin postojnë një artikull me komanda të koduara - shikoni pamjen e ekranit.
Linjat e komandës dhe të kontrollit janë të koduara duke përdorur një algoritëm të modifikuar RC4 (Seksioni 4.2). Versioni aktual (nëntor 2016) i kanalit përmban adresat e serverit të komandës dhe kontrollit të mëposhtëm:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. domenet .bit
Në mostrat më të fundit të RTM, autorët lidhen me domenet C&C duke përdorur domenin .bit TLD të nivelit të lartë. Nuk është në listën e domeneve të nivelit të lartë ICANN (Emri i Domenit dhe Korporata e Internetit). Në vend të kësaj, ai përdor sistemin Namecoin, i cili është ndërtuar në krye të teknologjisë Bitcoin. Autorët e malware nuk përdorin shpesh .bit TLD për domenet e tyre, megjithëse një shembull i një përdorimi të tillë është vërejtur më parë në një version të botnet-it Necurs.
Ndryshe nga Bitcoin, përdoruesit e bazës së të dhënave të shpërndarë Namecoin kanë aftësinë të ruajnë të dhëna. Aplikimi kryesor i kësaj veçorie është domeni i nivelit të lartë .bit. Ju mund të regjistroni domene që do të ruhen në një bazë të dhënash të shpërndarë. Regjistrimet përkatëse në bazën e të dhënave përmbajnë adresa IP të zgjidhura nga domeni. Ky TLD është "rezistent ndaj censurës" sepse vetëm regjistruesi mund të ndryshojë rezolucionin e domenit .bit. Kjo do të thotë se është shumë më e vështirë të ndalosh një domen me qëllim të keq duke përdorur këtë lloj TLD.
Trojan RTM nuk fut softuerin e nevojshëm për të lexuar bazën e të dhënave të shpërndarë Namecoin. Ai përdor serverë qendrorë DNS si serverët dns.dot-bit.org ose OpenNic për të zgjidhur domenet .bit. Prandaj, ka të njëjtën qëndrueshmëri si serverët DNS. Ne vumë re se disa domene ekipi nuk u zbuluan më pasi u përmendën në një postim në blog.
Një avantazh tjetër i .bit TLD për hakerat është kostoja. Për të regjistruar një domen, operatorët duhet të paguajnë vetëm 0,01 NK, që korrespondon me 0,00185 dollarë (që nga 5 dhjetori 2016). Për krahasim, domain.com kushton të paktën 10 dollarë.
4.3.3. Protokolli
Për të komunikuar me serverin e komandës dhe kontrollit, RTM përdor kërkesat HTTP POST me të dhëna të formatuara duke përdorur një protokoll të personalizuar. Vlera e rrugës është gjithmonë /r/z.php; Agjenti i përdoruesit Mozilla/5.0 (i pajtueshëm; MSIE 9.0; Windows NT 6.1; Trident/5.0). Në kërkesat për serverin, të dhënat formatohen si më poshtë, ku vlerat e kompensimit shprehen në bajt:
Bajt 0 deri 6 nuk janë të koduara; bajtet duke filluar nga 6 kodohen duke përdorur një algoritëm të modifikuar RC4. Struktura e paketës së përgjigjes C&C është më e thjeshtë. Bajtet janë të koduara nga 4 në madhësinë e paketës.
Lista e vlerave të mundshme të bajtit të veprimit është paraqitur në tabelën më poshtë:
Malware gjithmonë llogarit CRC32 të të dhënave të deshifruara dhe e krahason atë me atë që është e pranishme në paketë. Nëse ndryshojnë, Trojani e lëshon paketën.
Të dhënat shtesë mund të përmbajnë objekte të ndryshme, duke përfshirë një skedar PE, një skedar për t'u kërkuar në sistemin e skedarëve ose URL të reja komanduese.
4.3.4. Paneli
Ne vumë re se RTM përdor një panel në serverët C&C. Pamja e ekranit më poshtë:
4.4. Shenjë karakteristike
RTM është një trojan tipik bankar. Nuk është çudi që operatorët duan informacion në lidhje me sistemin e viktimës. Nga njëra anë, bot mbledh informacione të përgjithshme rreth sistemit operativ. Nga ana tjetër, zbulon nëse sistemi i komprometuar përmban atribute që lidhen me sistemet ruse bankare në distancë.
4.4.1. Informacion i përgjithshëm
Kur malware është instaluar ose nisur pas një rindezjeje, një raport i dërgohet serverit të komandës dhe kontrollit që përmban informacione të përgjithshme duke përfshirë:
- Zona kohore;
- gjuha e parazgjedhur e sistemit;
- kredencialet e autorizuara të përdoruesit;
- niveli i integritetit të procesit;
- Emri i përdoruesit;
- emri i kompjuterit;
- versioni i OS;
- module shtesë të instaluara;
- program i instaluar antivirus;
- lista e lexuesve të kartave inteligjente.
4.4.2 Sistemi bankar në distancë
Një objektiv tipik trojan është një sistem bankar në distancë dhe RTM nuk bën përjashtim. Një nga modulet e programit quhet TBdo, i cili kryen detyra të ndryshme, duke përfshirë skanimin e disqeve dhe historinë e shfletimit.
Duke skanuar diskun, Trojani kontrollon nëse softueri bankar është i instaluar në makinë. Lista e plotë e programeve të synuara është në tabelën e mëposhtme. Pasi ka zbuluar një skedar me interes, programi dërgon informacion në serverin e komandës. Veprimet e ardhshme varen nga logjika e specifikuar nga algoritmet e qendrës së komandës (C&C).
RTM kërkon gjithashtu modele URL në historinë tuaj të shfletuesit dhe skedat e hapura. Përveç kësaj, programi shqyrton përdorimin e funksioneve FindNextUrlCacheEntryA dhe FindFirstUrlCacheEntryA, dhe gjithashtu kontrollon çdo hyrje që të përputhet me URL-në me një nga modelet e mëposhtme:
Pasi ka zbuluar skeda të hapura, Trojan kontakton Internet Explorer ose Firefox përmes mekanizmit Dinamik të Shkëmbimit të të Dhënave (DDE) për të kontrolluar nëse skeda përputhet me modelin.
Kontrollimi i historikut tuaj të shfletimit dhe skedave të hapura kryhet në një cikli WHILE (një cikli me një parakusht) me një ndërprerje 1 sekondë midis kontrolleve. Të dhëna të tjera që monitorohen në kohë reale do të diskutohen në seksionin 4.5.
Nëse gjendet një model, programi e raporton këtë në serverin e komandës duke përdorur një listë vargjesh nga tabela e mëposhtme:
4.5 Monitorimi
Ndërsa trojani po funksionon, informacioni në lidhje me tiparet karakteristike të sistemit të infektuar (përfshirë informacionin për praninë e softuerit bankar) dërgohet në serverin e komandës dhe kontrollit. Gjurmët e gishtave ndodhin kur RTM drejton për herë të parë sistemin e monitorimit menjëherë pas skanimit fillestar të OS.
4.5.1. Bankar në distancë
Moduli TBdo është gjithashtu përgjegjës për monitorimin e proceseve bankare. Ai përdor shkëmbimin dinamik të të dhënave për të kontrolluar skedat në Firefox dhe Internet Explorer gjatë skanimit fillestar. Një tjetër modul TShell përdoret për të monitoruar dritaret e komandës (Internet Explorer ose File Explorer).
Moduli përdor ndërfaqet COM IShellWindows, iWebBrowser, DWebBrowserEvents2 dhe IConnectionPointContainer për të monitoruar dritaret. Kur një përdorues lundron në një faqe të re ueb, malware e vëren këtë. Më pas krahason URL-në e faqes me modelet e mësipërme. Pasi ka zbuluar një ndeshje, Trojan merr gjashtë pamje të njëpasnjëshme të ekranit me një interval prej 5 sekondash dhe i dërgon ato në serverin e komandës C&S. Programi kontrollon gjithashtu disa emra dritaresh që lidhen me softuerin bankar - lista e plotë është më poshtë:
4.5.2. Kartë inteligjente
RTM ju lejon të monitoroni lexuesit e kartave inteligjente të lidhur me kompjuterë të infektuar. Këto pajisje përdoren në disa vende për të harmonizuar urdhërpagesat. Nëse ky lloj pajisjeje është i bashkangjitur me një kompjuter, mund t'i tregojë një trojan se makina po përdoret për transaksione bankare.
Ndryshe nga trojanët e tjerë bankar, RTM nuk mund të ndërveprojë me karta të tilla inteligjente. Ndoshta ky funksionalitet është përfshirë në një modul shtesë që nuk e kemi parë ende.
4.5.3. Keylogger
Një pjesë e rëndësishme e monitorimit të një kompjuteri të infektuar është kapja e goditjeve të tasteve. Duket se zhvilluesve të RTM nuk u mungon asnjë informacion, pasi ata monitorojnë jo vetëm çelësat e rregullt, por edhe tastierën virtuale dhe clipboard.
Për ta bërë këtë, përdorni funksionin SetWindowsHookExA. Sulmuesit regjistrojnë butonat e shtypur ose butonat që korrespondojnë me tastierën virtuale, së bashku me emrin dhe datën e programit. Buferi më pas dërgohet në serverin e komandës C&C.
Funksioni SetClipboardViewer përdoret për të përgjuar tabelën e fragmenteve. Hakerët regjistrojnë përmbajtjen e kujtesës kur të dhënat janë tekst. Emri dhe data regjistrohen gjithashtu përpara se buferi të dërgohet në server.
4.5.4. Pamjet e ekranit
Një tjetër funksion RTM është përgjimi i pamjeve të ekranit. Veçoria zbatohet kur moduli i monitorimit të dritares zbulon një sajt ose softuer bankar me interes. Pamjet e ekranit merren duke përdorur një bibliotekë imazhesh grafike dhe transferohen në serverin e komandës.
4.6. Çinstalimi
Serveri C&C mund të ndalojë funksionimin e malware dhe të pastrojë kompjuterin tuaj. Komanda ju lejon të pastroni skedarët dhe shënimet e regjistrit të krijuar ndërsa RTM është duke u ekzekutuar. DLL përdoret më pas për të hequr malware dhe skedarin winlogon, pas së cilës komanda mbyll kompjuterin. Siç tregohet në imazhin më poshtë, DLL hiqet nga zhvilluesit duke përdorur erase.dll.
Serveri mund t'i dërgojë Trojanit një komandë shkatërruese uninstall-lock. Në këtë rast, nëse keni të drejta administratori, RTM do të fshijë sektorin e nisjes MBR në hard disk. Nëse kjo nuk funksionon, Trojani do të përpiqet të zhvendosë sektorin e nisjes MBR në një sektor të rastësishëm - atëherë kompjuteri nuk do të jetë në gjendje të nisë OS pas mbylljes. Kjo mund të çojë në një riinstalim të plotë të OS, që nënkupton shkatërrimin e provave.
Pa privilegje administratori, malware shkruan një .EXE të koduar në RTM DLL. Ekzekutuesi ekzekuton kodin e nevojshëm për mbylljen e kompjuterit dhe regjistron modulin në çelësin e regjistrit HKCUCurrentVersionRun. Sa herë që përdoruesi fillon një seancë, kompjuteri fiket menjëherë.
4.7. Skedari i konfigurimit
Si parazgjedhje, RTM nuk ka pothuajse asnjë skedar konfigurimi, por serveri i komandës dhe kontrollit mund të dërgojë vlerat e konfigurimit që do të ruhen në regjistër dhe do të përdoren nga programi. Lista e çelësave të konfigurimit është paraqitur në tabelën e mëposhtme:
Konfigurimi ruhet në çelësin e regjistrit Software [Pseudo-random string]. Çdo vlerë korrespondon me një nga rreshtat e paraqitur në tabelën e mëparshme. Vlerat dhe të dhënat janë të koduara duke përdorur algoritmin RC4 në RTM.
Të dhënat kanë të njëjtën strukturë si një rrjet ose vargje. Një çelës XOR me katër bajtë shtohet në fillim të të dhënave të koduara. Për vlerat e konfigurimit, tasti XOR është i ndryshëm dhe varet nga madhësia e vlerës. Mund të llogaritet si më poshtë:
çelësi_xor = (len(konfigurimi_vlera) << 24) | (len (konfigurimi_vlera) << 16)
| len(config_value)| (len(konfig_vlera) << 8)
4.8. Funksione të tjera
Më pas, le të shohim funksionet e tjera që mbështet RTM.
4.8.1. Module shtesë
Trojan përfshin module shtesë, të cilat janë skedarë DLL. Modulet e dërguara nga serveri i komandës C&C mund të ekzekutohen si programe të jashtme, të pasqyrohen në RAM dhe të lëshohen në tema të reja. Për ruajtjen, modulet ruhen në skedarë .dtt dhe kodohen duke përdorur algoritmin RC4 me të njëjtin çelës që përdoret për komunikimet në rrjet.
Deri më tani kemi vëzhguar instalimin e modulit VNC (8966319882494077C21F66A8354E2CBCA0370464), modulit për nxjerrjen e të dhënave të shfletuesit (03DE8622BE6B2F75A364A275995C3411626E) dhe modulin 4E9E1E2E1E562E FC1FBA69B 6BE58D88753B7E0CFAB).
Për të ngarkuar modulin VNC, serveri C&C lëshon një komandë që kërkon lidhje me serverin VNC në një adresë IP specifike në portën 44443. Shtojca e marrjes së të dhënave të shfletuesit ekzekuton TBrowserDataCollector, i cili mund të lexojë historinë e shfletimit IE. Pastaj dërgon listën e plotë të URL-ve të vizituara në serverin e komandës C&C.
Moduli i fundit i zbuluar quhet 1c_2_kl. Mund të ndërveprojë me paketën e softuerit 1C Enterprise. Moduli përfshin dy pjesë: pjesën kryesore - DLL dhe dy agjentë (32 dhe 64 bit), të cilët do të injektohen në secilin proces, duke regjistruar një lidhje me WH_CBT. Pasi është futur në procesin 1C, moduli lidh funksionet CreateFile dhe WriteFile. Sa herë që thirret funksioni i lidhur CreateFile, moduli ruan shtegun e skedarit 1c_to_kl.txt në memorie. Pas kapjes së thirrjes WriteFile, ai thërret funksionin WriteFile dhe dërgon shtegun e skedarit 1c_to_kl.txt në modulin kryesor DLL, duke i kaluar mesazhin e krijuar Windows WM_COPYDATA.
Moduli kryesor DLL hap dhe analizon skedarin për të përcaktuar urdhërpagesat. Ai njeh shumën dhe numrin e transaksionit që përmban skedari. Ky informacion dërgohet në serverin e komandës. Ne besojmë se ky modul është aktualisht në zhvillim, sepse përmban një mesazh korrigjimi dhe nuk mund të modifikojë automatikisht 1c_to_kl.txt.
4.8.2. Përshkallëzimi i privilegjeve
RTM mund të përpiqet të përshkallëzojë privilegjet duke shfaqur mesazhe të rreme gabimi. Malware simulon një kontroll regjistri (shih foton më poshtë) ose përdor një ikonë të vërtetë të redaktuesit të regjistrit. Ju lutemi vini re pritjen e gabimit drejtshkrimor - whait. Pas disa sekondash skanimi, programi shfaq një mesazh gabimi të rremë.
Një mesazh i rremë do të mashtrojë lehtësisht përdoruesin mesatar, pavarësisht gabimeve gramatikore. Nëse përdoruesi klikon në njërën nga dy lidhjet, RTM do të përpiqet të përshkallëzojë privilegjet e tij në sistem.
Pas zgjedhjes së një prej dy opsioneve të rimëkëmbjes, trojani lëshon DLL duke përdorur opsionin runas në funksionin ShellExecute me privilegje administratori. Përdoruesi do të shohë një kërkesë të vërtetë të Windows (shih imazhin më poshtë) për lartësi. Nëse përdoruesi jep lejet e nevojshme, Trojani do të funksionojë me privilegje administratori.
Në varësi të gjuhës së paracaktuar të instaluar në sistem, Trojan shfaq mesazhe gabimi në Rusisht ose Anglisht.
4.8.3. Certifikata
RTM mund të shtojë certifikata në Dyqanin e Windows dhe të konfirmojë besueshmërinë e shtesës duke klikuar automatikisht butonin "po" në kutinë e dialogut csrss.exe. Kjo sjellje nuk është e re, për shembull, Trojan Retefe konfirmon në mënyrë të pavarur instalimin e një certifikate të re.
4.8.4. Lidhja e kundërt
Autorët e RTM krijuan gjithashtu tunelin Backconnect TCP. Nuk e kemi parë ende funksionin në përdorim, por është krijuar për të monitoruar nga distanca kompjuterët e infektuar.
4.8.5. Menaxhimi i skedarëve të hostit
Serveri C&C mund t'i dërgojë një komandë Trojanit për të modifikuar skedarin pritës të Windows. Skedari pritës përdoret për të krijuar rezolucione të personalizuara DNS.
4.8.6. Gjeni dhe dërgoni një skedar
Serveri mund të kërkojë të kërkojë dhe shkarkojë një skedar në sistemin e infektuar. Për shembull, gjatë hulumtimit kemi marrë një kërkesë për skedarin 1c_to_kl.txt. Siç përshkruhet më parë, ky skedar gjenerohet nga sistemi i kontabilitetit 1C: Enterprise 8.
4.8.7. Përditëso
Më në fund, autorët e RTM mund të përditësojnë softuerin duke paraqitur një DLL të ri për të zëvendësuar versionin aktual.
5. përfundim
Hulumtimi i RTM tregon se sistemi bankar rus ende tërheq sulmues kibernetikë. Grupe të tilla si Buhtrap, Corkow dhe Carbanak vjedhin me sukses para nga institucionet financiare dhe klientët e tyre në Rusi. RTM është një lojtar i ri në këtë industri.
Mjetet e dëmshme RTM kanë qenë në përdorim që nga fundi i vitit 2015, sipas telemetrisë ESET. Programi ka një gamë të plotë të aftësive të spiunazhit, duke përfshirë leximin e kartave inteligjente, përgjimin e goditjeve të tasteve dhe monitorimin e transaksioneve bankare, si dhe kërkimin e skedarëve të transportit 1C: Enterprise 8.
Përdorimi i një domeni të nivelit të lartë .bit të decentralizuar dhe të pacensuruar siguron infrastrukturë shumë elastike.
Burimi: www.habr.com