Aya sababaraha grup cyber dipikawanoh anu husus dina maling dana ti pausahaan Rusia. Kami geus katempo serangan ngagunakeun loopholes kaamanan nu ngidinan aksés ka jaringan target urang. Sakali aranjeunna nampi aksés, panyerang mariksa struktur jaringan organisasi sareng nyebarkeun alat sorangan pikeun maok dana. Conto klasik tina tren ieu nyaéta grup hacker Buhtrap, Cobalt sareng Corkow.
Grup RTM anu difokuskeun laporan ieu mangrupikeun bagian tina tren ieu. Ngagunakeun malware dirancang husus ditulis dina Delphi, nu urang bakal kasampak di leuwih jéntré dina bagian handap. Ngambah mimiti alat ieu dina sistem telemétri ESET kapanggih dina ahir 2015. Tim éta ngamuat sababaraha modul énggal kana sistem anu katépaan upami diperyogikeun. Serangan ditujukeun pikeun pangguna sistem perbankan jauh di Rusia sareng sababaraha nagara tatangga.
1. Tujuan
Kampanye RTM ditujukeun pikeun pangguna perusahaan - ieu écés tina prosés anu panyerang nyobian ngadeteksi dina sistem anu dikompromi. Fokusna nyaéta parangkat lunak akuntansi pikeun damel sareng sistem perbankan jauh.
Daptar prosés anu dipikaresep ku RTM nyarupaan daptar saluyu sareng grup Buhtrap, tapi grup éta ngagaduhan vektor inféksi anu béda. Upami Buhtrap langkung sering nganggo halaman palsu, teras RTM nganggo serangan drive-by download (serangan dina browser atanapi komponénna) sareng spamming ku email. Numutkeun data telemétri, ancaman ditujukeun ka Rusia sareng sababaraha nagara caket dieu (Ukraina, Kazakhstan, Céko, Jérman). Sanajan kitu, alatan pamakéan mékanisme distribusi massa, deteksi malware di luar wewengkon target teu heran.
Jumlah total deteksi malware relatif leutik. Di sisi séjén, kampanye RTM ngagunakeun program kompléks, nu nunjukkeun yén serangan anu kacida sasaran.
Kami geus manggihan sababaraha dokumén decoy dipaké ku RTM, kaasup kontrak non-existent, invoices atawa dokumén akuntansi pajeg. Sifat lures, digabungkeun sareng jinis parangkat lunak anu disasarkeun ku serangan éta, nunjukkeun yén panyerang "ngalebetkeun" jaringan perusahaan Rusia ngalangkungan departemen akuntansi. Grup éta bertindak dumasar kana skéma anu sami taun 2014-2015
Salila panalungtikan, urang tiasa berinteraksi sareng sababaraha server C&C. Kami bakal daptar daptar paréntah lengkep dina bagian-bagian di handap ieu, tapi ayeuna urang tiasa nyarios yén klien mindahkeun data tina keylogger langsung ka server anu nyerang, dimana paréntah tambahan teras ditampi.
Nanging, dinten-dinten nalika anjeun ngan saukur tiasa nyambung ka server paréntah sareng kontrol sareng ngumpulkeun sadaya data anu anjeun pikahoyong leungit. Kami nyiptakeun deui file log anu realistis pikeun nampi sababaraha paréntah anu relevan tina server.
Anu mimiti nyaéta pamundut ka bot pikeun nransferkeun file 1c_to_kl.txt - file angkutan tina program 1C: Enterprise 8, penampilan anu diawaskeun sacara aktip ku RTM. 1C berinteraksi sareng sistem perbankan jauh ku unggah data dina pangmayaran kaluar ka file téks. Salajengna, file dikirim ka sistem perbankan jauh pikeun automation sareng palaksanaan pesenan pamayaran.
Berkas ngandung detil pamayaran. Upami panyerang ngarobih inpormasi ngeunaan pamayaran anu kaluar, transferna bakal dikirim nganggo detil palsu kana rekening panyerang.
Sakitar sabulan saatos nyuhunkeun file ieu ti server paréntah sareng kontrol, kami ningali plugin énggal, 1c_2_kl.dll, dimuat kana sistem anu badé dikompromi. Modul (DLL) dirancang pikeun nganalisis file undeuran sacara otomatis ku cara nembus prosés parangkat lunak akuntansi. Kami bakal ngajelaskeun sacara rinci dina bagian-bagian di handap ieu.
Narikna, FinCERT Bank Rusia dina ahir 2016 ngaluarkeun peringatan buletin ngeunaan cybercriminals nganggo file unggah 1c_to_kl.txt. Pamekar ti 1C ogé terang ngeunaan skéma ieu; aranjeunna parantos ngadamel pernyataan resmi sareng daptar pancegahan.
Modul-modul sanésna ogé dimuat tina server paréntah, khususna VNC (versi 32 sareng 64-bit na). Ieu nyarupaan modul VNC nu saméméhna dipaké dina serangan Trojan Dridex. Modul ieu sakuduna dianggo pikeun nyambungkeun jarak jauh ka komputer anu katépaan sareng ngalaksanakeun kajian lengkep ngeunaan sistem éta. Salajengna, panyerang nyobian ngalih kana jaringan, ékstrak kecap akses pangguna, ngumpulkeun inpormasi sareng mastikeun ayana malware anu tetep.
2. Véktor inféksi
Gambar di handap ieu nunjukkeun véktor inféksi anu dideteksi salami periode diajar kampanye. Grup ieu ngagunakeun rupa-rupa vektor, tapi utamana ngajalankeun-ku serangan download jeung spam. Alat-alat ieu cocog pikeun serangan anu dituju, sabab dina kasus anu pertama, panyerang tiasa milih situs anu dilongok ku calon korban, sareng anu kadua, aranjeunna tiasa ngirim email sareng lampiran langsung ka karyawan perusahaan anu dipikahoyong.
Malware ieu disebarkeun ngaliwatan sababaraha saluran, kaasup RIG na Sundown mangpaatkeun kit atawa mailings spam, nunjukkeun sambungan antara panyerang jeung cyberattackers séjén nawarkeun jasa ieu.
2.1. Kumaha hubungan RTM sareng Buhtrap?
Kampanye RTM mirip pisan sareng Buhtrap. Patarosan alamiah nyaéta: kumaha hubunganana saling?
Dina Séptémber 2016, urang niténan sampel RTM anu disebarkeun maké uploader Buhtrap. Salaku tambahan, kami mendakan dua sertipikat digital anu dianggo dina Buhtrap sareng RTM.
Anu kahiji, disangka dikaluarkeun ka perusahaan DNISTER-M, dianggo pikeun nandatanganan sacara digital bentuk Delphi anu kadua (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) sareng Buhtrap DLL (SHA-1: 1E2642C454F2F889A6: 41116).
Anu kadua, dikaluarkeun ka Bit-Tredj, dipaké pikeun ngadaptarkeun loaders Buhtrap (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 sareng B74F71560E48488D2153AE2FB51207A0 sareng komponén RAD206AE2FBXNUMXAXNUMX sareng unduhan.
Operator RTM nganggo sertipikat anu umum pikeun kulawarga malware anu sanés, tapi aranjeunna ogé gaduh sertipikat anu unik. Numutkeun kana telemétri ESET, éta dikaluarkeun ka Kit-SD sareng ngan ukur dianggo pikeun ngadaptarkeun sababaraha malware RTM (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM nganggo loader anu sami sareng Buhtrap, komponén RTM dimuat tina infrastruktur Buhtrap, ku kituna grup gaduh indikator jaringan anu sami. Sanajan kitu, nurutkeun perkiraan urang, RTM na Buhtrap mangrupakeun grup béda, sahenteuna sabab RTM disebarkeun ku cara béda (teu ngan ngagunakeun "asing" Downloader).
Sanajan ieu, grup hacker ngagunakeun prinsip operasi sarupa. Aranjeunna nargétkeun usaha nganggo parangkat lunak akuntansi, sami-sami ngumpulkeun inpormasi sistem, milarian pamiarsa kartu pinter, sareng nyebarkeun sajumlah alat jahat pikeun nénjo korban.
3. Évolusi
Dina bagian ieu, urang bakal ningali vérsi anu béda tina malware anu dipendakan nalika diajar.
3.1. Versioning
RTM nyimpen data konfigurasi dina bagian pendaptaran, bagian paling narik keur botnet-awalan. Daptar sadaya nilai anu urang tingali dina conto anu urang pelajari dipidangkeun dina tabel di handap ieu.
Éta kamungkinan yén nilai-nilai éta tiasa dianggo pikeun ngarékam versi malware. Najan kitu, urang teu aya bewara jauh bédana antara versi kayaning bit2 na bit3, 0.1.6.4 jeung 0.1.6.6. Leuwih ti éta, salah sahiji awalan geus sabudeureun saprak mimiti na geus mekar ti domain C & C has kana domain .bit, sakumaha bakal ditémbongkeun di handap ieu.
3.2. Jadwal
Nganggo data telemétri, kami nyiptakeun grafik tina lumangsungna sampel.
4. Analisis teknis
Dina bagian ieu, urang bakal ngajelaskeun fungsi utama Trojan perbankan RTM, kaasup mékanisme lalawanan, versi sorangan tina algoritma RC4, protokol jaringan, fungsionalitas spionase sarta sababaraha fitur sejenna. Khususna, urang bakal difokuskeun conto SHA-1 AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 sareng 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. Pamasangan sareng nyimpen
4.1.1. Palaksanaan
Inti RTM nyaéta DLL, perpustakaan dimuat kana disk nganggo .EXE. Berkas anu tiasa dieksekusi biasana dibungkus sareng ngandung kode DLL. Sakali diluncurkeun, éta ékstrak DLL sareng ngajalankeunana nganggo paréntah di handap ieu:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. DLL
DLL utama sok dimuat kana disk sakumaha winlogon.lnk dina folder% PROGRAMDATA% Winlogon. extension file ieu biasana pakait sareng potong kompas, tapi file sabenerna mangrupa DLL ditulis dina Delphi, ngaranna core.dll ku pamekar, ditémbongkeun saperti dina gambar di handap ieu.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Sakali dibuka, Trojan ngaktifkeun mékanisme lalawanan na. Ieu tiasa dilakukeun ku dua cara, gumantung kana hak istimewa korban dina sistem. Upami anjeun gaduh hak administrator, Trojan nambihan éntri Windows Update kana pendaptaran HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun. Paréntah anu aya dina Windows Update bakal dijalankeun dina mimiti sési pangguna.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe "%PROGRAMDATA%winlogon.lnk",DllGetClassObject host
Trojan ogé nyobian nambihan tugas ka Penjadwal Tugas Windows. tugas bakal ngajalankeun winlogon.lnk DLL kalawan parameter sarua di luhur. Hak pamaké biasa ngidinan Trojan pikeun nambahkeun entri Windows Update kalawan data nu sarua kana pendaptaran HKCUSoftwareMicrosoftWindowsCurrentVersionRun:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Algoritma RC4 dirobah
Sanaos kakurangan anu dipikanyaho, algoritma RC4 sering dianggo ku pangarang malware. Sanajan kitu, pencipta RTM rada dirobah, meureun sangkan tugas analis virus beuki hésé. A versi dirobah tina RC4 loba dipaké dina parabot RTM jahat pikeun encrypt string, data jaringan, konfigurasi jeung modul.
4.2.1. Bedana
Algoritma RC4 aslina ngawengku dua tahap: s-blok initialization (alias KSA - Key-Scheduling Algoritma) jeung generasi runtuyan pseudo-acak (PRGA - Algoritma Generasi Pseudo-Acak). Tahap kahiji ngalibatkeun initializing s-kotak ngagunakeun konci, sarta dina tahap kadua téks sumber diolah ngagunakeun s-kotak pikeun enkripsi.
Nu nulis RTM ditambahkeun hiji hambalan panengah antara initialization s-kotak jeung enkripsi. Konci tambahan nyaéta variabel sareng disetél dina waktos anu sami sareng data anu bakal énkripsi sareng dekripsi. Fungsi anu ngalakukeun léngkah tambahan ieu dipidangkeun dina gambar di handap ieu.
4.2.2. Énkripsi string
Dina glance kahiji, aya sababaraha garis dibaca dina DLL utama. Sésana énkripsi nganggo algoritma anu dijelaskeun di luhur, strukturna dipidangkeun dina gambar di handap ieu. Kami mendakan langkung ti 25 konci RC4 anu béda pikeun énkripsi string dina sampel anu dianalisis. Konci XOR béda pikeun tiap baris. Nilai widang numerik garis misahkeun salawasna 0xFFFFFFFF.
Dina awal palaksanaan, RTM ngadekrip string kana variabel global. Lamun perlu ngakses string a, nu Trojan dinamis ngitung alamat tina string decrypted dumasar kana alamat dasar na offset.
Senar ngandung inpormasi anu pikaresepeun ngeunaan pungsi malware. Sababaraha conto string disadiakeun dina Bagian 6.8.
4.3. Jaringan
Cara malware RTM ngahubungi server C&C beda-beda ti versi ka versi. Modifikasi munggaran (Oktober 2015 - April 2016) nganggo nami domain tradisional sareng feed RSS dina livejournal.com pikeun ngapdet daptar paréntah.
Kusabab April 2016, urang geus katempo shift kana domain .bit dina data telemetry. Ieu dikonfirmasi ku tanggal pendaptaran domain - domain RTM munggaran fde05d0573da.bit didaptarkeun dina 13 Maret 2016.
Sadaya URL anu urang tingali nalika ngawaskeun kampanye ngagaduhan jalur anu umum: /r/z.php. Éta henteu biasa sareng éta bakal ngabantosan ngaidentipikasi pamundut RTM dina aliran jaringan.
4.3.1. Saluran pikeun paréntah sareng kontrol
Conto warisan ngagunakeun saluran ieu pikeun ngapdet daptar paréntah sareng server kontrol. Hosting perenahna di livejournal.com, dina waktos nyerat laporan éta tetep dina URL hxxp://f72bba81c921(.)livejournal(.)com/ data/rss.
Livejournal mangrupikeun perusahaan Rusia-Amérika anu nyayogikeun platform blogging. Operator RTM nyiptakeun blog LJ dimana aranjeunna masangkeun tulisan nganggo paréntah anu disandi - tingali screenshot.
Komando sareng garis kontrol disandi nganggo algoritma RC4 anu dirobih (Bagian 4.2). Versi ayeuna (Nopémber 2016) saluran ngandung paréntah di handap ieu sareng alamat server kontrol:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. domain .bit
Dina sampel RTM panganyarna, pangarang nyambung ka domain C&C ngagunakeun .bit TLD domain tingkat luhur. Henteu aya dina daptar ICANN (Domain Name and Internet Corporation) tina domain tingkat luhur. Gantina, eta ngagunakeun sistem Namecoin, nu diwangun dina luhureun téhnologi Bitcoin. Pangarang malware henteu sering nganggo .bit TLD pikeun domainna, sanaos conto pamakean sapertos kitu parantos dititénan dina versi botnet Necurs.
Teu kawas Bitcoin, pamaké tina database Namecoin disebarkeun mibanda kamampuhan pikeun nyimpen data. Aplikasi utama fitur ieu nyaéta domain tingkat luhur .bit. Anjeun tiasa ngadaptarkeun domain anu bakal disimpen dina database anu disebarkeun. Éntri anu aya dina pangkalan data ngandung alamat IP anu direngsekeun ku domain. TLD Ieu "sensorship-tahan" sabab ngan registrant nu bisa ngarobah resolusi domain .bit. Ieu ngandung harti yén éta leuwih hese pikeun ngeureunkeun domain jahat ngagunakeun tipe ieu TLD.
The RTM Trojan teu embed software diperlukeun pikeun maca database Namecoin disebarkeun. Éta ngagunakeun server DNS sentral sapertos dns.dot-bit.org atanapi server OpenNic pikeun ngabéréskeun domain .bit. Ku alatan éta, éta boga durability sarua salaku server DNS. Urang katalungtik yén sababaraha domain tim anu henteu deui kauninga sanggeus disebutkeun dina pos blog.
Kauntungan sejen tina .bit TLD pikeun hacker nyaeta ongkos. Pikeun ngadaptar domain a, operator kudu mayar ngan 0,01 NK, nu pakait jeung $0,00185 (sakumaha 5 Desember 2016). Pikeun babandingan, domain.com hargana sahenteuna $10.
4.3.3. Protokol
Pikeun komunikasi sareng server paréntah sareng kontrol, RTM nganggo pamundut HTTP POST kalayan data anu diformat nganggo protokol khusus. Nilai jalur salawasna /r/z.php; Agén pamaké Mozilla/5.0 (cocog; MSIE 9.0; Windows NT 6.1; Trident/5.0). Dina pamundut ka server, data diformat saperti kieu, dimana nilai offset dinyatakeun dina bait:
Bait 0 nepi ka 6 teu disandi; bait mimitian ti 6 disandikeun ngagunakeun algoritma RC4 dirobah. Struktur pakét respon C&C leuwih basajan. Bait disandikeun tina 4 dugi ka ukuran pakét.
Daptar nilai bait tindakan anu mungkin dipidangkeun dina tabel di handap ieu:
Malware sok ngitung CRC32 tina data anu didekripsi sareng ngabandingkeunana sareng naon anu aya dina pakét. Mun aranjeunna béda, nu Trojan pakait pakét.
Data tambahan tiasa ngandung rupa-rupa objék, kalebet file PE, file anu badé dipilarian dina sistem file, atanapi URL paréntah énggal.
4.3.4. Panel
Kami perhatikeun yén RTM nganggo panel dina server C&C. Screenshot di handap:
4.4. Tanda ciri
RTM mangrupakeun Trojan perbankan has. Éta henteu heran yén operator hoyong inpormasi ngeunaan sistem korban. Di hiji sisi, bot ngumpulkeun inpormasi umum ngeunaan OS. Di sisi séjén, éta manggihan naha sistem compromised ngandung atribut pakait sareng sistem perbankan jauh Rusia.
4.4.1. Inpo umum
Nalika malware dipasang atanapi diluncurkeun saatos reboot, laporan dikirim ka server paréntah sareng kontrol anu ngandung inpormasi umum kalebet:
- Zona waktu;
- basa sistem standar;
- kredensial pamaké otorisasi;
- tingkat integritas prosés;
- Ngaran pamaké;
- ngaran komputer;
- Vérsi OS;
- modul dipasang tambahan;
- program antipirus dipasang;
- daptar pamiarsa kartu pinter.
4.4.2 Sistim perbankan jauh
Target Trojan has nyaéta sistem perbankan jauh, sareng RTM henteu aya pengecualian. Salah sahiji modul program disebut TBdo, anu ngalaksanakeun sababaraha pancén, kalebet nyeken disk sareng sajarah browsing.
Ku nyeken disk, Trojan mariksa naha parangkat lunak perbankan dipasang dina mesin. Daptar lengkep program target aya dina tabel di handap ieu. Saatos mendakan file anu dipikaresep, program ngirim inpormasi ka server paréntah. Laku lampah salajengna gumantung kana logika anu ditangtukeun ku algoritma pusat paréntah (C&C).
RTM ogé milarian pola URL dina sajarah panyungsi anjeun sareng tab kabuka. Sajaba ti éta, program nalungtik pamakéan fungsi FindNextUrlCacheEntryA jeung FindFirstUrlCacheEntryA, sarta ogé pariksa unggal entri pikeun cocog URL kana salah sahiji pola handap:
Saatos mendakan tab anu kabuka, Trojan ngahubungi Internet Explorer atanapi Firefox ngalangkungan mékanisme Dynamic Data Exchange (DDE) pikeun mariksa naha tab éta cocog sareng polana.
Mariksa sajarah browsing anjeun sareng tab kabuka dilakukeun dina loop WHILE (loop sareng prasyarat) kalayan istirahat 1 detik antara cék. Data sejenna anu diawaskeun sacara real waktos bakal dibahas dina bagian 4.5.
Upami pola kapanggih, program ngalaporkeun ieu ka server paréntah nganggo daptar senar tina tabel ieu:
4.5 Ngawaskeun
Nalika Trojan dijalankeun, inpormasi ngeunaan fitur karakteristik sistem anu kainféksi (kalebet inpormasi ngeunaan ayana parangkat lunak perbankan) dikirim ka server paréntah sareng kontrol. Sidik ramo lumangsung nalika RTM mimiti ngajalankeun sistem monitoring langsung saatos scan OS awal.
4.5.1. Perbankan jauh
Modul TBdo ogé tanggung jawab pikeun ngawas prosés anu aya hubunganana sareng perbankan. Éta ngagunakeun bursa data dinamis pikeun mariksa tab dina Firefox sareng Internet Explorer salami scan awal. modul TShell sejen dipaké pikeun ngawas paréntah windows (Internet Explorer atawa File Explorer).
Modul ieu nganggo antarmuka COM IShellWindows, iWebBrowser, DWebBrowserEvents2 sareng IConnectionPointContainer pikeun ngawas windows. Nalika pangguna napigasi ka halaman wéb énggal, malware éta nyatet ieu. Éta teras ngabandingkeun URL halaman sareng pola di luhur. Saatos mendakan pertandingan, Trojan nyandak genep Potret layar padeukeut kalayan interval 5 detik sareng dikirim ka server paréntah C&S. Program éta ogé pariksa sababaraha ngaran jandela anu aya hubunganana sareng parangkat lunak perbankan - daptar lengkepna di handap ieu:
4.5.2. Kartu pinter
RTM ngidinan Anjeun pikeun ngawas pamiarsa kartu pinter disambungkeun ka komputer kainféksi. Alat-alat ieu dianggo di sababaraha nagara pikeun reconcile pesenan pembayaran. Lamun jenis ieu alat geus napel komputer, eta bisa nunjukkeun ka Trojan yén mesin keur dipake keur transaksi perbankan.
Beda sareng Trojan perbankan sanés, RTM henteu tiasa berinteraksi sareng kartu pinter sapertos kitu. Panginten fungsionalitas ieu kalebet dina modul tambahan anu teu acan urang tingali.
4.5.3. Keylogger
Bagian penting pikeun ngawas PC anu katépaan nyaéta nyandak ketukan kenop. Sigana nu pamekar RTM teu leungit informasi wae, sabab ngawas teu ukur kenop biasa, tapi ogé keyboard virtual na clipboard.
Jang ngalampahkeun ieu, paké fungsi SetWindowsHookExA. Panyerang log kenop nu dipencet atawa kenop pakait jeung keyboard virtual, babarengan jeung ngaran jeung tanggal program. panyangga ieu lajeng dikirim ka server paréntah C & C.
Fungsi SetClipboardViewer dipaké pikeun ngahalangan clipboard. Peretas log eusi clipboard nalika datana téks. Ngaran sareng tanggal ogé dilogam sateuacan panyangga dikirim ka server.
4.5.4. Potret layar
Pungsi RTM sejen nyaeta screenshot interception. Fitur ieu diterapkeun nalika modul ngawaskeun jandela ngadeteksi situs atanapi parangkat lunak perbankan anu dipikaresep. Potret layar dicandak nganggo perpustakaan gambar grafis sareng ditransfer ka server paréntah.
4.6. Uninstallation
Server C&C tiasa ngeureunkeun malware tina ngajalankeun sareng ngabersihan komputer anjeun. Paréntah ngamungkinkeun anjeun mupus file sareng éntri pendaptaran anu didamel nalika RTM dijalankeun. DLL teras dianggo pikeun ngahapus malware sareng file winlogon, saatos paréntahna mareuman komputer. Ditémbongkeun saperti dina gambar di handap ieu, DLL dihapus ku pamekar ngagunakeun erase.dll.
Server bisa ngirim Trojan paréntah uninstall-konci destructive. Dina hal ieu, upami anjeun gaduh hak administrator, RTM bakal ngahapus séktor boot MBR dina hard drive. Upami ieu gagal, Trojan bakal nyobian mindahkeun séktor boot MBR ka séktor acak - teras komputer moal tiasa boot OS saatos pareum. Ieu bisa ngakibatkeun hiji reinstallation lengkep OS, nu hartina karuksakan bukti.
Tanpa hak istimewa administrator, malware nulis .EXE disandikeun dina dasar RTM DLL. The executable executes kodeu diperlukeun pikeun mareuman komputer tur ngadaptar modul dina konci pendaptaran HKCUCurrentVersionRun. Unggal waktos pangguna ngamimitian sési, komputer langsung pareum.
4.7. File konfigurasi
Sacara standar, RTM ampir teu aya file konfigurasi, tapi paréntah sareng server kontrol tiasa ngirim nilai konfigurasi anu bakal disimpen dina pendaptaran sareng dianggo ku program. Daptar konci konfigurasi dibere dina tabel di handap ieu:
Konfigurasi disimpen dina konci pendaptaran Software [Senar pseudo-acak]. Unggal nilai pakait jeung salah sahiji baris dibere dina tabel saméméhna. Nilai sareng data disandi nganggo algoritma RC4 dina RTM.
Datana mibanda struktur anu sarua jeung jaringan atawa senar. Tombol XOR opat-bait ditambahkeun dina awal data disandikeun. Pikeun nilai konfigurasi, konci XOR béda jeung gumantung kana ukuran nilai. Ieu bisa diitung kieu:
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)
4.8. fitur séjén
Salajengna, hayu urang tingali fungsi séjén nu RTM ngarojong.
4.8.1. modul tambahan
Trojan kalebet modul tambahan, nyaéta file DLL. Modul dikirim ti C & C server paréntah bisa dieksekusi salaku program éksternal, reflected dina RAM sarta dibuka dina threads anyar. Pikeun neundeun, modul disimpen dina file .dtt jeung disandikeun ngagunakeun algoritma RC4 jeung konci sarua dipaké pikeun komunikasi jaringan.
Sajauh ieu kami parantos ningali pamasangan modul VNC (8966319882494077C21F66A8354E2CBCA0370464), modul ékstraksi data browser (03DE8622BE6B2F75A364A275995C3411626C4C9D1E2F_1C562D1E) FC69FBA6 B58BE88753D7B0E3CFAB).
Pikeun ngamuat modul VNC, C & C server ngaluarkeun paréntah requesting sambungan ka server VNC dina alamat IP husus dina port 44443. The browser data dimeunangkeun plugins TBrowserDataCollector, nu bisa maca sajarah browsing IE. Teras ngirimkeun daptar lengkep URL anu didatangan ka server paréntah C&C.
modul panungtungan kapanggih disebut 1c_2_kl. Éta tiasa berinteraksi sareng pakét parangkat lunak 1C Enterprise. modul nu ngawengku dua bagian: bagian utama - DLL na dua agén (32 jeung 64 bit), nu bakal nyuntik kana unggal prosés, ngadaptar hiji mengikat WH_CBT. Sanggeus diwanohkeun kana prosés 1C, modul ngabeungkeut fungsi CreateFile sareng WriteFile. Iraha fungsi kabeungkeut CreateFile disebut, nyimpen modul jalur file 1c_to_kl.txt dina mémori. Saatos intercepting panggero WriteFile, nelepon fungsi WriteFile sarta ngirimkeun jalur file 1c_to_kl.txt kana modul DLL utama, ngalirkeun eta pesen WM_COPYDATA Windows crafted.
Modul DLL utama muka sareng nga-parses file pikeun nangtukeun pesenan pamayaran. Éta ngakuan jumlah sareng nomer transaksi anu aya dina file. Inpo ieu dikirim ka server paréntah. Simkuring yakin modul ieu ayeuna dina ngembangkeun sabab ngandung pesen debug tur moal bisa otomatis ngaropéa 1c_to_kl.txt.
4.8.2. Escalation hak husus
RTM tiasa nyobian ngagedekeun hak istimewa ku cara nampilkeun pesen kasalahan palsu. Malware nu simulates cek pendaptaran (tingali gambar di handap) atawa ngagunakeun ikon redaktur pendaptaran nyata. Punten perhatikeun salah ejaan ngantosan - whait. Saatos sababaraha detik scanning, program mintonkeun pesen kasalahan palsu.
Pesen palsu bakal gampang nipu pangguna rata-rata, sanaos kasalahan gramatikal. Upami pangguna ngaklik salah sahiji tina dua tautan, RTM bakal nyobian ngagedekeun hak-hakna dina sistem.
Sanggeus milih salah sahiji dua pilihan recovery, Trojan nu ngajalankeun DLL ngagunakeun pilihan runas dina fungsi ShellExecute kalawan hak husus administrator. Pamaké bakal ningali ajakan Windows nyata (tingali gambar di handap) pikeun élévasi. Lamun pamaké méré idin diperlukeun, Trojan bakal ngajalankeun kalawan hak husus administrator.
Gumantung kana basa standar anu dipasang dina sistem, Trojan nampilkeun pesen kasalahan dina basa Rusia atanapi Inggris.
4.8.3. Sertipikat
RTM tiasa nambihan sertipikat kana Windows Store sareng mastikeun reliabilitas tambihan ku otomatis ngaklik tombol "enya" dina kotak dialog csrss.exe. Paripolah ieu sanés énggal; contona, perbankan Trojan Retefe ogé sacara mandiri mastikeun pamasangan sertipikat énggal.
4.8.4. Sambungan ngabalikeun
Panulis RTM ogé nyiptakeun torowongan Backconnect TCP. Kami henteu acan ningali fitur anu dianggo, tapi dirancang pikeun ngawas jarak jauh PC anu katépaan.
4.8.5. Manajemén file host
Server C&C tiasa ngirim paréntah ka Trojan pikeun ngarobih file host Windows. File host dianggo pikeun nyiptakeun résolusi DNS khusus.
4.8.6. Panggihan tur kirimkeun file
Pangladén tiasa nyuhunkeun milarian sareng ngaunduh file dina sistem anu kainféksi. Contona, salila panalungtikan kami narima pamundut pikeun file 1c_to_kl.txt. Sakumaha ditétélakeun saméméhna, file ieu dihasilkeun ku 1C: Enterprise 8 sistem akuntansi.
4.8.7. Ngamutahirkeun
Tungtungna, pangarang RTM tiasa ngapdet parangkat lunak ku ngalebetkeun DLL énggal pikeun ngagentos vérsi ayeuna.
5. Kacindekan
Panaliti RTM nunjukkeun yén sistem perbankan Rusia masih narik panyerang cyber. Grup sapertos Buhtrap, Corkow sareng Carbanak hasil maok artos ti lembaga keuangan sareng klienna di Rusia. RTM mangrupakeun pamaén anyar dina industri ieu.
Alat RTM jahat parantos dianggo saprak sahenteuna telat 2015, numutkeun telemétri ESET. Program ieu ngagaduhan sajumlah kamampuan spionase, kalebet maca kartu pinter, nyegat keystrokes sareng ngawas transaksi perbankan, ogé milarian file angkutan 1C: Enterprise 8.
Pamakéan hiji desentralisasi, uncensored .bit domain tingkat luhur ensures infrastruktur kacida tahan banting.
sumber: www.habr.com