Постоји неколико познатих сајбер група које су специјализоване за крађу средстава од руских компанија. Видели смо нападе који користе безбедносне рупе које омогућавају приступ мрежи циља. Када добију приступ, нападачи проучавају мрежну структуру организације и користе сопствене алате за крађу средстава. Класичан пример овог тренда су хакерске групе Бухтрап, Цобалт и Цорков.
РТМ група на коју се фокусира овај извештај је део овог тренда. Користи посебно дизајниран малвер написан у Делпхију, који ћемо детаљније погледати у наредним одељцима. Први трагови ових алата у ЕСЕТ телеметријском систему откривени су крајем 2015. године. Тим по потреби учитава различите нове модуле на заражене системе. Напади су усмерени на кориснике система даљинског банкарства у Русији и неким суседним земљама.
1. Циљеви
РТМ кампања је усмерена на корпоративне кориснике - то је очигледно из процеса које нападачи покушавају да открију у компромитованом систему. Фокус је на рачуноводственом софтверу за рад са системима за даљинско банкарство.
Листа процеса од интереса за РТМ подсећа на одговарајућу листу Бухтрап групе, али групе имају различите векторе инфекције. Ако је Бухтрап чешће користио лажне странице, онда је РТМ користио нападе преузимања (напади на претраживач или његове компоненте) и слање нежељене е-поште путем е-поште. Према телеметријским подацима, претња је усмерена на Русију и неколико оближњих земаља (Украјина, Казахстан, Чешка, Немачка). Међутим, због употребе механизама масовне дистрибуције, откривање малвера изван циљних региона није изненађујуће.
Укупан број откривања малвера је релативно мали. С друге стране, РТМ кампања користи сложене програме, што указује да су напади високо циљани.
Открили смо неколико лажних докумената које користи РТМ, укључујући непостојеће уговоре, фактуре или пореске рачуноводствене документе. Природа мамаца, у комбинацији са врстом софтвера који је циљ напада, указује на то да нападачи „улазе“ у мреже руских компанија преко рачуноводственог одељења. Група је деловала по истој шеми 2014-2015
Током истраживања, били смо у могућности да ступимо у интеракцију са неколико Ц&Ц сервера. Навешћемо пуну листу команди у наредним одељцима, али за сада можемо рећи да клијент преноси податке са кеилоггер-а директно на сервер који напада, са којег се затим примају додатне команде.
Међутим, прошли су дани када сте једноставно могли да се повежете са командним и контролним сервером и прикупите све податке који су вас занимали. Рекреирали смо реалистичне датотеке евиденције да бисмо добили неке релевантне команде са сервера.
Први од њих је захтев боту да пренесе датотеку 1ц_то_кл.ткт - транспортну датотеку програма 1Ц: Ентерприсе 8, чији изглед активно прати РТМ. 1Ц комуницира са системима даљинског банкарства тако што учитава податке о одлазним уплатама у текстуалну датотеку. Затим се датотека шаље у систем даљинског банкарства ради аутоматизације и извршења налога за плаћање.
Датотека садржи детаље о плаћању. Ако нападачи промене информације о одлазним уплатама, трансфер ће бити послат користећи лажне податке на налоге нападача.
Отприлике месец дана након што смо затражили ове датотеке од командног и контролног сервера, приметили смо да се нови додатак, 1ц_2_кл.длл, учитава на компромитовани систем. Модул (ДЛЛ) је дизајниран да аутоматски анализира датотеку за преузимање продирањем у процесе рачуноводственог софтвера. Детаљно ћемо га описати у наредним одељцима.
Занимљиво је да је ФинЦЕРТ Банке Русије крајем 2016. године издао билтен са упозорењем о сајбер криминалцима који користе 1ц_то_кл.ткт датотеке за отпремање. Програмери из 1Ц такође знају за ову шему, већ су дали званичну изјаву и навели мере предострожности.
Остали модули су такође учитани са командног сервера, посебно ВНЦ (његове 32 и 64-битне верзије). Подсећа на ВНЦ модул који је раније коришћен у Дридек тројанским нападима. Овај модул се наводно користи за даљинско повезивање са зараженим рачунаром и спровођење детаљне студије система. Затим, нападачи покушавају да се крећу по мрежи, извлачећи корисничке лозинке, прикупљају информације и обезбеђују стално присуство малвера.
2. Вектори инфекције
Следећа слика приказује векторе инфекције откривене током периода истраживања кампање. Група користи широк спектар вектора, али углавном нападе преузимања и нежељену пошту. Ови алати су погодни за циљане нападе, јер у првом случају нападачи могу да бирају сајтове које посећују потенцијалне жртве, ау другом могу да шаљу мејлове са прилозима директно жељеним запосленима компаније.
Малвер се дистрибуира преко више канала, укључујући РИГ и Сундовн комплете за експлоатацију или нежељену пошту, што указује на везе између нападача и других сајбер нападача који нуде ове услуге.
2.1. Како су РТМ и Бухтрап повезани?
РТМ кампања је веома слична Бухтрапу. Природно питање је: како су они међусобно повезани?
У септембру 2016. приметили смо да се РТМ узорак дистрибуира помоћу Бухтрап отпремача. Поред тога, пронашли смо два дигитална сертификата која се користе у Бухтрапу и РТМ-у.
Први, наводно издат компанији ДНИСТЕР-М, коришћен је за дигитално потписивање другог Делпхи обрасца (СХА-1: 025Ц718БА31Е43ДБ1Б87ДЦ13Ф94А61А9338Ц11ЦЕ) и Бухтрап ДЛЛ-а (СХА-1: 1Е2642ЦФ454Б2Б889Д6). 41116).
Други, издат Бит-Тредј-у, коришћен је за потписивање Бухтрап утоваривача (СХА-1: 7Ц1Б6Б1713БД923ФЦ243ДФЕЦ80002ФЕ9Б93ЕБ292 и Б74Ф71560Е48488Д2153АЕ2ФБ51207А0), као и за преузимање компоненти РТМ206А2.
РТМ оператери користе сертификате који су заједнички за друге породице малвера, али имају и јединствени сертификат. Према ЕСЕТ телеметрији, она је издата Кит-СД и коришћена је само за потписивање неког РТМ малвера (СХА-1: 42А4Б04446А20993ДДАЕ98Б2БЕ6Д5А797376Д4Б6).
РТМ користи исти учитавач као и Бухтрап, РТМ компоненте се учитавају из Бухтрап инфраструктуре, тако да групе имају сличне мрежне индикаторе. Међутим, према нашим проценама, РТМ и Бухтрап су различите групе, барем зато што се РТМ дистрибуира на различите начине (не само помоћу „страног” преузимача).
Упркос томе, хакерске групе користе сличне принципе рада. Они циљају предузећа која користе рачуноводствени софтвер, на сличан начин прикупљају системске информације, траже читаче паметних картица и примењују низ злонамерних алата за шпијунирање жртава.
3. Еволуција
У овом одељку ћемо погледати различите верзије малвера пронађене током студије.
3.1. Версионинг
РТМ складишти конфигурационе податке у одељку регистратора, а најинтересантнији део је ботнет-префикс. Листа свих вредности које смо видели у узорцима које смо проучавали представљена је у табели испод.
Могуће је да се вредности могу користити за снимање верзија малвера. Међутим, нисмо приметили велику разлику између верзија као што су бит2 и бит3, 0.1.6.4 и 0.1.6.6. Штавише, један од префикса постоји од почетка и еволуирао је од типичног Ц&Ц домена до .бит домена, као што ће бити приказано у наставку.
3.2. Распоред
Користећи податке телеметрије, направили смо графикон појављивања узорака.
4. Техничка анализа
У овом одељку ћемо описати главне функције РТМ банкарског тројанца, укључујући механизме отпора, сопствену верзију РЦ4 алгоритма, мрежни протокол, шпијунирање и неке друге карактеристике. Посебно ћемо се фокусирати на СХА-1 узорке АА0ФА4584768ЦЕ9Е16Д67Д8Ц529233Е99ФФ1ББФ0 и 48БЦ113ЕЦ8БА20Б8Б80ЦД5Д4ДА92051А19Д1032Б.
4.1. Инсталација и чување
4.1.1. Имплементација
РТМ језгро је ДЛЛ, библиотека се учитава на диск помоћу .ЕКСЕ. Извршна датотека је обично упакована и садржи ДЛЛ код. Када се покрене, извлачи ДЛЛ и покреће га помоћу следеће команде:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. ДЛЛ
Главни ДЛЛ се увек учитава на диск као винлогон.лнк у фасцикли %ПРОГРАМДАТА%Винлогон. Ова екстензија датотеке је обично повезана са пречицом, али датотека је заправо ДЛЛ написана у Делпхију, коју је програмер назвао цоре.длл, као што је приказано на слици испод.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Једном покренут, тројанац активира свој механизам отпора. Ово се може урадити на два различита начина, у зависности од привилегија жртве у систему. Ако имате администраторска права, тројанац додаје унос за Виндовс Упдате у регистар ХКЛМСОФТВАРЕМицрософтВиндовсЦуррентВерсионРун. Команде садржане у Виндовс Упдате-у ће се покренути на почетку сесије корисника.
ХКЛМСОФТВАРЕМицрософтВиндовсЦуррентВерсионРунВиндовс Упдате [РЕГ_СЗ] = рундлл32.еке “%ПРОГРАМДАТА%винлогон.лнк”,ДллГетЦлассОбјецт хост
Тројанац такође покушава да дода задатак у Виндовс Таск Сцхедулер. Задатак ће покренути винлогон.лнк ДЛЛ са истим параметрима као горе. Редовна корисничка права дозвољавају тројанцу да дода унос Виндовс Упдате са истим подацима у регистар ХКЦУСофтвареМицрософтВиндовсЦуррентВерсионРун:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Модификовани РЦ4 алгоритам
Упркос познатим недостацима, РЦ4 алгоритам редовно користе аутори малвера. Међутим, креатори РТМ-а су га мало модификовали, вероватно да би отежали задатак вирусним аналитичарима. Модификована верзија РЦ4 се широко користи у злонамерним РТМ алатима за шифровање стрингова, мрежних података, конфигурације и модула.
4.2.1. Разликама
Оригинални РЦ4 алгоритам укључује две фазе: иницијализацију с-блока (ака КСА - Кеи-Сцхедулинг Алгоритам) и генерисање псеудо-случајне секвенце (ПРГА - Псеудо-Рандом Генератион Алгоритам). Прва фаза укључује иницијализацију с-бокса помоћу кључа, ау другој фази се изворни текст обрађује помоћу с-бока за шифровање.
Аутори РТМ-а су додали средњи корак између иницијализације с-бока и шифровања. Додатни кључ је променљив и поставља се истовремено са подацима који се шифрују и дешифрују. Функција која обавља овај додатни корак је приказана на слици испод.
4.2.2. Стринг енкрипција
На први поглед, у главном ДЛЛ-у постоји неколико читљивих редова. Остатак се шифрује помоћу алгоритма описаног изнад, чија је структура приказана на следећој слици. Пронашли смо више од 25 различитих РЦ4 кључева за стринг енкрипцију у анализираним узорцима. Кључ КСОР је другачији за сваки ред. Вредност нумеричког поља које раздваја линије је увек 0кФФФФФФФФ.
На почетку извршавања, РТМ дешифрује стрингове у глобалну променљиву. Када је потребно да приступи стрингу, тројанац динамички израчунава адресу дешифрованих стрингова на основу основне адресе и офсета.
Низови садрже занимљиве информације о функцијама малвера. Неки примери низова су дати у одељку 6.8.
4.3. Мрежа
Начин на који РТМ малвер контактира Ц&Ц сервер разликује се од верзије до верзије. Прве модификације (октобар 2015 – април 2016) користиле су традиционална имена домена заједно са РСС феедом на ливејоурнал.цом за ажурирање листе команди.
Од априла 2016. видели смо прелазак на .бит домене у телеметријским подацима. То потврђује и датум регистрације домена – први РТМ домен фде05д0573да.бит регистрован је 13. марта 2016. године.
Сви УРЛ-ови које смо видели током праћења кампање имали су заједничку путању: /р/з.пхп. То је прилично необично и помоћи ће да се идентификују РТМ захтеви у мрежним токовима.
4.3.1. Канал за команде и контролу
Застарели примери су користили овај канал да ажурирају своју листу командних и контролних сервера. Хостинг се налази на ливејоурнал.цом, у време писања извештаја остао је на УРЛ адреси хккп://ф72бба81ц921(.)ливејоурнал(.)цом/дата/рсс.
Ливејоурнал је руско-америчка компанија која пружа платформу за блоговање. РТМ оператери креирају Љ блог у којем објављују чланак са кодираним командама - погледајте снимак екрана.
Командне и контролне линије су кодиране коришћењем модификованог РЦ4 алгоритма (одељак 4.2). Тренутна верзија (новембар 2016) канала садржи следеће адресе командног и контролног сервера:
- хккп://цаинмоон(.)нет/р/з.пхп
- хккп://ртм(.)дев/0-3/з.пхп
- хккп://впнтап(.)топ/р/з.пхп
4.3.2. .бит домени
У најновијим РТМ узорцима, аутори се повезују на Ц&Ц домене користећи .бит ТЛД домен највишег нивоа. Није на ИЦАНН (Име домена и Интернет корпорација) листи домена највишег нивоа. Уместо тога, користи систем Намецоин, који је изграђен на врху Битцоин технологије. Аутори злонамерног софтвера не користе често .бит ТЛД за своје домене, иако је пример такве употребе раније примећен у верзији Нецурс ботнета.
За разлику од биткоина, корисници дистрибуиране базе података Намецоин имају могућност чувања података. Главна примена ове функције је .бит домен највишег нивоа. Можете регистровати домене који ће бити ускладиштени у дистрибуираној бази података. Одговарајући уноси у бази података садрже ИП адресе разрешене доменом. Овај ТЛД је „отпоран на цензуру“ јер само регистрант може да промени резолуцију .бит домена. То значи да је много теже зауставити злонамерни домен коришћењем овог типа ТЛД-а.
РТМ тројанац не уграђује софтвер неопходан за читање дистрибуиране Намецоин базе података. Користи централне ДНС сервере као што су днс.дот-бит.орг или ОпенНиц сервери за решавање .бит домена. Због тога има исту издржљивост као и ДНС сервери. Приметили смо да неки тимски домени више нису откривени након што су поменути у посту на блогу.
Још једна предност .бит ТЛД-а за хакере је цена. Да би регистровали домен, оператери треба да плате само 0,01 НК, што одговара 0,00185 долара (од 5. децембра 2016). Поређења ради, домаин.цом кошта најмање 10 долара.
4.3.3. Протокол
За комуникацију са командним и контролним сервером, РТМ користи ХТТП ПОСТ захтеве са подацима форматираним коришћењем прилагођеног протокола. Вредност путање је увек /р/з.пхп; Мозилла/5.0 кориснички агент (компатибилан; МСИЕ 9.0; Виндовс НТ 6.1; Тридент/5.0). У захтевима ка серверу, подаци се форматирају на следећи начин, где су вредности помака изражене у бајтовима:
Бајтови од 0 до 6 нису кодирани; бајтови који почињу од 6 су кодирани коришћењем модификованог РЦ4 алгоритма. Структура Ц&Ц пакета одговора је једноставнија. Бајтови су кодирани од 4 до величине пакета.
Листа могућих вредности бајтова акције је представљена у табели испод:
Малвер увек израчунава ЦРЦ32 дешифрованих података и упоређује га са оним што је присутно у пакету. Ако се разликују, тројанац испушта пакет.
Додатни подаци могу да садрже различите објекте, укључујући ПЕ датотеку, датотеку коју треба претраживати у систему датотека или нове УРЛ-ове команди.
4.3.4. Панел
Приметили смо да РТМ користи панел на Ц&Ц серверима. Снимак екрана испод:
4.4. Карактеристичан знак
РТМ је типичан банкарски тројанац. Није изненађење да оператери желе информације о систему жртве. С једне стране, бот прикупља опште информације о ОС-у. Са друге стране, открива да ли компромитовани систем садржи атрибуте повезане са руским системима за даљинско банкарство.
4.4.1. Опште информације
Када се малвер инсталира или покрене након поновног покретања, на командни и контролни сервер се шаље извештај који садржи опште информације укључујући:
- Временска зона;
- подразумевани системски језик;
- ауторизовани кориснички акредитиви;
- ниво интегритета процеса;
- Корисничко име;
- назив рачунара;
- ОС верзија;
- додатни инсталирани модули;
- инсталиран антивирусни програм;
- листа читача паметних картица.
4.4.2 Систем даљинског банкарства
Типична мета тројана је систем даљинског банкарства, а РТМ није изузетак. Један од модула програма се зове ТБдо, који обавља различите задатке, укључујући скенирање дискова и историју прегледања.
Скенирањем диска, тројанац проверава да ли је банкарски софтвер инсталиран на машини. Комплетна листа циљних програма налази се у табели испод. Након што је открио датотеку од интереса, програм шаље информације командном серверу. Следеће акције зависе од логике коју одређују алгоритми командног центра (Ц&Ц).
РТМ такође тражи УРЛ обрасце у историји прегледача и отвореним картицама. Поред тога, програм испитује употребу функција ФиндНектУрлЦацхеЕнтриА и ФиндФирстУрлЦацхеЕнтриА, а такође проверава да ли сваки унос одговара УРЛ адреси са једним од следећих образаца:
Након што открије отворене картице, тројанац контактира Интернет Екплорер или Фирефок преко механизма динамичке размене података (ДДЕ) да провери да ли картица одговара шаблону.
Провера ваше историје прегледања и отворених картица се врши у ВХИЛЕ петљи (петља са предусловом) са паузом од 1 секунде између провера. Остали подаци који се прате у реалном времену биће разматрани у одељку 4.5.
Ако се пронађе образац, програм о томе извештава командни сервер користећи листу стрингова из следеће табеле:
4.5 Мониторинг
Док је тројанац покренут, информације о карактеристичним карактеристикама зараженог система (укључујући информације о присуству банкарског софтвера) шаљу се на командни и контролни сервер. Отисак прста се јавља када РТМ први пут покрене систем за надзор одмах након почетног скенирања ОС-а.
4.5.1. Банкарство на даљину
ТБдо модул је такође одговоран за праћење процеса везаних за банкарство. Користи динамичку размену података за проверу картица у Фирефок-у и Интернет Екплорер-у током почетног скенирања. Други ТСхелл модул се користи за надгледање командних прозора (Интернет Екплорер или Филе Екплорер).
Модул користи ЦОМ интерфејсе ИСхеллВиндовс, иВебБровсер, ДВебБровсерЕвентс2 и ИЦоннецтионПоинтЦонтаинер за надгледање прозора. Када корисник оде на нову веб страницу, малвер то бележи. Затим упоређује УРЛ странице са горњим обрасцима. Након што је открио подударање, тројанац прави шест узастопних снимака екрана у интервалу од 5 секунди и шаље их Ц&С командном серверу. Програм такође проверава неке називе прозора који се односе на банкарски софтвер - пуна листа је испод:
4.5.2. Смарт картица
РТМ вам омогућава да надгледате читаче паметних картица повезаних са зараженим рачунарима. Ови уређаји се у неким земљама користе за усаглашавање налога за плаћање. Ако је овај тип уређаја повезан са рачунаром, то може да укаже на Тројанца да се машина користи за банкарске трансакције.
За разлику од других банкарских тројанаца, РТМ не може да комуницира са таквим паметним картицама. Можда је ова функционалност укључена у додатни модул који још нисмо видели.
4.5.3. Кеилоггер
Важан део праћења зараженог рачунара је снимање притисака на тастере. Чини се да програмери РТМ-а не пропуштају никакве информације, јер прате не само обичне тастере, већ и виртуелну тастатуру и клипборд.
Да бисте то урадили, користите функцију СетВиндовсХоокЕкА. Нападачи евидентирају притиснуте тастере или тастере који одговарају виртуелној тастатури, заједно са називом и датумом програма. Бафер се затим шаље на Ц&Ц командни сервер.
Функција СетЦлипбоардВиевер се користи за пресретање међуспремника. Хакери евидентирају садржај међуспремника када су подаци текст. Име и датум се такође евидентирају пре него што се бафер пошаље на сервер.
4.5.4. Сцреенсхотс
Још једна РТМ функција је пресретање снимка екрана. Ова функција се примењује када модул за надгледање прозора открије сајт или банкарски софтвер од интереса. Снимци екрана се праве помоћу библиотеке графичких слика и преносе на командни сервер.
4.6. Деинсталација
Ц&Ц сервер може зауставити покретање малвера и очистити ваш рачунар. Команда вам омогућава да обришете датотеке и уносе у регистратору креиране док је РТМ покренут. ДЛЛ се затим користи за уклањање малвера и винлогон датотеке, након чега команда искључује рачунар. Као што је приказано на слици испод, програмери уклањају ДЛЛ користећи ерасе.длл.
Сервер може послати тројанцу деструктивну наредбу за закључавање деинсталације. У овом случају, ако имате администраторска права, РТМ ће избрисати МБР сектор за покретање на чврстом диску. Ако ово не успе, тројанац ће покушати да помери МБР сектор за покретање у насумични сектор - тада рачунар неће моћи да покрене ОС након искључивања. Ово може довести до потпуне поновне инсталације ОС-а, што значи уништавање доказа.
Без администраторских привилегија, малвер пише .ЕКСЕ кодиран у основном РТМ ДЛЛ-у. Извршна датотека извршава код потребан за гашење рачунара и региструје модул у кључу регистратора ХКЦУЦуррентВерсионРун. Сваки пут када корисник започне сесију, рачунар се одмах искључује.
4.7. Конфигурациони фајл
Подразумевано, РТМ скоро да нема конфигурациону датотеку, али командни и контролни сервер може да пошаље конфигурационе вредности које ће бити ускладиштене у регистру и које ће програм користити. Листа конфигурационих кључева је представљена у табели испод:
Конфигурација се чува у кључу регистра софтвера [Псеудо-случајни стринг]. Свака вредност одговара једном од редова представљених у претходној табели. Вредности и подаци су кодирани помоћу РЦ4 алгоритма у РТМ-у.
Подаци имају исту структуру као мрежа или стрингови. Четворобајтни КСОР кључ се додаје на почетак кодираних података. За вредности конфигурације, кључ КСОР је другачији и зависи од величине вредности. Може се израчунати на следећи начин:
кор_кеи = (лен(цонфиг_валуе) << 24) | (лен(цонфиг_валуе) << 16)
| лен(цонфиг_валуе)| (лен(цонфиг_валуе) << 8)
4.8. Остале карактеристике
Затим, погледајмо друге функције које РТМ подржава.
4.8.1. Додатни модули
Тројанац укључује додатне модуле, који су ДЛЛ датотеке. Модули послати са Ц&Ц командног сервера могу се извршавати као екстерни програми, одражавати се у РАМ-у и покретати у новим нитима. За складиштење, модули се чувају у .дтт датотекама и кодирају помоћу РЦ4 алгоритма са истим кључем који се користи за мрежну комуникацију.
До сада смо приметили инсталацију ВНЦ модула (8966319882494077Ц21Ф66А8354Е2ЦБЦА0370464), модула за екстракцију података претраживача (03ДЕ8622БЕ6Б2Ф75А364А275995Ц3411626Ц4Ц9Ц) и 1Е2Б1 562ЕФЦ1ФБА69Б 6БЕ58Д88753Б7Е0ЦФАБ).
Да би учитао ВНЦ модул, Ц&Ц сервер издаје команду која захтева конекцију са ВНЦ сервером на одређеној ИП адреси на порту 44443. Додатак за преузимање података претраживача извршава ТБровсерДатаЦоллецтор, који може да чита историју прегледања ИЕ. Затим шаље комплетну листу посећених УРЛ адреса на Ц&Ц командни сервер.
Последњи откривени модул се зове 1ц_2_кл. Може да комуницира са софтверским пакетом 1Ц Ентерприсе. Модул садржи два дела: главни део - ДЛЛ и два агента (32 и 64 битна), који ће бити убачени у сваки процес, региструјући везивање за ВХ_ЦБТ. Након што је уведен у процес 1Ц, модул повезује функције ЦреатеФиле и ВритеФиле. Кад год се позове везана функција ЦреатеФиле, модул складишти путању датотеке 1ц_то_кл.ткт у меморију. Након што пресретне позив ВритеФиле, он позива функцију ВритеФиле и шаље путању датотеке 1ц_то_кл.ткт главном ДЛЛ модулу, прослеђујући му направљену Виндовс ВМ_ЦОПИДАТА поруку.
Главни ДЛЛ модул се отвара и анализира датотеку да би одредио налоге за плаћање. Препознаје износ и број трансакције садржане у датотеци. Ова информација се шаље командном серверу. Верујемо да је овај модул тренутно у развоју јер садржи поруку за отклањање грешака и не може аутоматски да мења 1ц_то_кл.ткт.
4.8.2. Ескалација привилегија
РТМ може покушати да ескалира привилегије приказивањем лажних порука о грешци. Малвер симулира проверу регистра (погледајте слику испод) или користи праву икону уређивача регистра. Имајте на уму грешку у писању причекајте – шта. Након неколико секунди скенирања, програм приказује лажну поруку о грешци.
Лажна порука ће лако преварити просечног корисника, упркос граматичким грешкама. Ако корисник кликне на једну од две везе, РТМ ће покушати да ескалира своје привилегије у систему.
Након избора једне од две опције опоравка, тројанац покреће ДЛЛ користећи опцију рунас у функцији СхеллЕкецуте са администраторским привилегијама. Корисник ће видети прави Виндовс промпт (погледајте слику испод) за елевацију. Ако корисник да потребне дозволе, тројанац ће се покренути са администраторским привилегијама.
У зависности од подразумеваног језика инсталираног на систему, Тројанац приказује поруке о грешци на руском или енглеском.
4.8.3. Потврда
РТМ може додати сертификате у Виндовс продавницу и потврдити поузданост додатка аутоматским кликом на дугме „да“ у оквиру за дијалог цсрсс.еке. Ово понашање није ново, на пример, банкарски тројанац Ретефе такође независно потврђује инсталацију новог сертификата.
4.8.4. Реверзна веза
Аутори РТМ-а су такође креирали Бацкцоннецт ТЦП тунел. Још нисмо видели ову функцију у употреби, али је дизајнирана да даљински надгледа заражене рачунаре.
4.8.5. Управљање датотекама домаћина
Ц&Ц сервер може послати команду тројанцу да измени Виндовс хост фајл. Датотека хоста се користи за креирање прилагођених ДНС резолуција.
4.8.6. Пронађите и пошаљите датотеку
Сервер може захтевати претрагу и преузимање датотеке на зараженом систему. На пример, током истраживања добили смо захтев за датотеку 1ц_то_кл.ткт. Као што је претходно описано, ову датотеку генерише рачуноводствени систем 1Ц: Ентерприсе 8.
4.8.7. Упдате
Коначно, РТМ аутори могу да ажурирају софтвер тако што ће послати нову ДЛЛ датотеку која ће заменити тренутну верзију.
5. Закључак
Истраживање РТМ-а показује да руски банкарски систем и даље привлачи сајбер нападаче. Групе као што су Бухтрап, Цорков и Царбанак успешно краду новац од финансијских институција и њихових клијената у Русији. РТМ је нови играч у овој индустрији.
Злонамерни РТМ алати су у употреби најмање од краја 2015, према ЕСЕТ телеметрији. Програм има читав низ могућности шпијунирања, укључујући читање паметних картица, пресретање притисака на тастере и праћење банкарских трансакција, као и тражење транспортних датотека 1Ц: Ентерприсе 8.
Коришћење децентрализованог, нецензурисаног .бит домена највишег нивоа обезбеђује високо отпорну инфраструктуру.
Извор: ввв.хабр.цом