Det finns flera kända cybergrupper som är specialiserade på att stjäla pengar från ryska företag. Vi har sett attacker med kryphål i säkerheten som tillåter åtkomst till målets nätverk. När de väl får åtkomst undersöker angriparna organisationens nätverksstruktur och använder sina egna verktyg för att stjäla pengar. Ett klassiskt exempel på denna trend är hackergrupperna Buhtrap, Cobalt och Corkow.
RTM-gruppen som denna rapport fokuserar på är en del av denna trend. Den använder specialdesignad skadlig programvara skriven i Delphi, som vi kommer att titta på mer i detalj i följande avsnitt. De första spåren av dessa verktyg i ESETs telemetrisystem upptäcktes i slutet av 2015. Teamet laddar olika nya moduler på infekterade system efter behov. Attackerna riktar sig mot användare av avlägsna banksystem i Ryssland och vissa grannländer.
1. Mål
RTM-kampanjen riktar sig till företagsanvändare - detta är uppenbart från de processer som angripare försöker upptäcka i ett komprometterat system. Fokus ligger på bokföringsprogram för att arbeta med fjärrbanksystem.
Listan över processer av intresse för RTM liknar motsvarande lista för Buhtrap-gruppen, men grupperna har olika infektionsvektorer. Om Buhtrap använde falska sidor oftare, använde RTM drive-by download attacker (attacker på webbläsaren eller dess komponenter) och spam via e-post. Enligt telemetridata är hotet riktat mot Ryssland och flera närliggande länder (Ukraina, Kazakstan, Tjeckien, Tyskland). Men på grund av användningen av massdistributionsmekanismer är upptäckt av skadlig programvara utanför målregionerna inte förvånande.
Det totala antalet upptäckter av skadlig programvara är relativt litet. Å andra sidan använder RTM-kampanjen komplexa program, vilket indikerar att attackerna är mycket riktade.
Vi har upptäckt flera lockdokument som används av RTM, inklusive obefintliga kontrakt, fakturor eller skatteredovisningsdokument. Betenens natur, i kombination med den typ av programvara som attacken riktar mot, indikerar att angriparna "träder in" i ryska företags nätverk genom redovisningsavdelningen. Gruppen agerade enligt samma schema 2014-2015
Under forskningen kunde vi interagera med flera C&C-servrar. Vi kommer att lista hela listan med kommandon i följande avsnitt, men för närvarande kan vi säga att klienten överför data från keyloggern direkt till den attackerande servern, från vilken ytterligare kommandon sedan tas emot.
Men de dagar då du helt enkelt kunde ansluta till en kommando- och kontrollserver och samla in all data du var intresserad av är borta. Vi återskapade realistiska loggfiler för att få några relevanta kommandon från servern.
Den första av dem är en begäran till boten att överföra filen 1c_to_kl.txt - en transportfil för programmet 1C: Enterprise 8, vars utseende aktivt övervakas av RTM. 1C interagerar med fjärrbanksystem genom att ladda upp data om utgående betalningar till en textfil. Därefter skickas filen till fjärrbanksystemet för automatisering och utförande av betalningsordern.
Filen innehåller betalningsinformation. Om angripare ändrar informationen om utgående betalningar kommer överföringen att skickas med falska uppgifter till angriparnas konton.
Ungefär en månad efter att ha begärt dessa filer från kommando- och kontrollservern såg vi att en ny plugin, 1c_2_kl.dll, laddades in på det komprometterade systemet. Modulen (DLL) är utformad för att automatiskt analysera nedladdningsfilen genom att penetrera redovisningsprogramvarans processer. Vi kommer att beskriva det i detalj i följande avsnitt.
Intressant nog utfärdade FinCERT från Bank of Russia i slutet av 2016 en bulletinvarning om cyberbrottslingar som använder 1c_to_kl.txt uppladdningsfiler. Utvecklare från 1C känner också till detta system; de har redan gjort ett officiellt uttalande och listat försiktighetsåtgärder.
Andra moduler laddades också från kommandoservern, särskilt VNC (dess 32- och 64-bitarsversioner). Den liknar VNC-modulen som tidigare användes i Dridex trojanska attacker. Den här modulen ska användas för att fjärransluta till en infekterad dator och genomföra en detaljerad studie av systemet. Därefter försöker angriparna att flytta runt i nätverket, extrahera användarlösenord, samla in information och säkerställa den konstanta närvaron av skadlig programvara.
2. Vektorer av infektion
Följande figur visar de infektionsvektorer som upptäckts under kampanjens studieperiod. Gruppen använder ett brett utbud av vektorer, men främst drive-by-nedladdningsattacker och spam. Dessa verktyg är praktiska för riktade attacker, eftersom angripare i det första fallet kan välja webbplatser som besöks av potentiella offer, och i det andra kan de skicka e-post med bilagor direkt till önskade företagsanställda.
Skadlig programvara distribueras genom flera kanaler, inklusive RIG- och Sundown-exploatsatser eller spam-utskick, vilket indikerar kopplingar mellan angriparna och andra cyberattackare som erbjuder dessa tjänster.
2.1. Hur är RTM och Buhtrap relaterade?
RTM-kampanjen är mycket lik Buhtrap. Den naturliga frågan är: hur är de relaterade till varandra?
I september 2016 observerade vi att ett RTM-prov distribuerades med Buhtrap-uppladdningsprogrammet. Dessutom hittade vi två digitala certifikat som används i både Buhtrap och RTM.
Den första, som påstås ha utfärdats till företaget DNISTER-M, användes för att digitalt signera det andra Delphi-formuläret (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) och Buhtrap DLL (SHA-1: 1E2642B454FCC2C889C6C41116C83D 6).
Den andra, utfärdad till Bit-Tredj, användes för att signera Buhtrap-lastare (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 och B74F71560E48488D2153AE2FB51207A0), installera samt komponenter för RTM och nedladdning och nedladdning206.
RTM-operatörer använder certifikat som är gemensamma för andra skadliga programfamiljer, men de har också ett unikt certifikat. Enligt ESET-telemetri utfärdades den till Kit-SD och användes endast för att signera viss RTM-skadlig kod (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM använder samma lastare som Buhtrap, RTM-komponenter laddas från Buhtraps infrastruktur, så grupperna har liknande nätverksindikatorer. Men enligt våra uppskattningar är RTM och Buhtrap olika grupper, åtminstone för att RTM distribueras på olika sätt (inte bara med hjälp av en "utländsk" nedladdare).
Trots detta använder hackergrupper liknande operativa principer. De riktar sig till företag som använder bokföringsprogram, samlar på samma sätt systeminformation, söker efter smartkortsläsare och använder en rad skadliga verktyg för att spionera på offer.
3. Evolution
I det här avsnittet kommer vi att titta på de olika versionerna av skadlig programvara som hittades under studien.
3.1. Versionering
RTM lagrar konfigurationsdata i en registersektion, den mest intressanta delen är botnet-prefix. En lista över alla värden vi såg i proverna vi studerade presenteras i tabellen nedan.
Det är möjligt att värdena kan användas för att spela in skadliga versioner. Vi märkte dock inte så stor skillnad mellan versioner som bit2 och bit3, 0.1.6.4 och 0.1.6.6. Dessutom har ett av prefixen funnits sedan starten och har utvecklats från en typisk C&C-domän till en .bit-domän, som kommer att visas nedan.
3.2. Schema
Med hjälp av telemetridata skapade vi en graf över förekomsten av prover.
4. Teknisk analys
I det här avsnittet kommer vi att beskriva huvudfunktionerna hos RTM-banktrojanen, inklusive motståndsmekanismer, dess egen version av RC4-algoritmen, nätverksprotokoll, spionfunktionalitet och några andra funktioner. I synnerhet kommer vi att fokusera på SHA-1-proverna AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 och 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. Installation och sparande
4.1.1. Genomförande
RTM-kärnan är en DLL, biblioteket läses in på disken med .EXE. Den körbara filen är vanligtvis paketerad och innehåller DLL-kod. När den har startat extraherar den DLL:n och kör den med följande kommando:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. DLL
Huvud-DLL:n laddas alltid till disken som winlogon.lnk i mappen %PROGRAMDATA%Winlogon. Detta filtillägg är vanligtvis associerat med en genväg, men filen är faktiskt en DLL skriven i Delphi, kallad core.dll av utvecklaren, som visas i bilden nedan.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
När trojanen väl har lanserats aktiverar den sin motståndsmekanism. Detta kan göras på två olika sätt, beroende på offrets privilegier i systemet. Om du har administratörsrättigheter lägger trojanen till en Windows Update-post i HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun-registret. Kommandona i Windows Update körs i början av användarens session.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject-värd
Trojanen försöker också lägga till en uppgift till Windows Task Scheduler. Uppgiften kommer att starta winlogon.lnk DLL med samma parametrar som ovan. Med vanliga användarrättigheter kan trojanen lägga till en Windows Update-post med samma data till HKCUSoftwareMicrosoftWindowsCurrentVersionRun-registret:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Modifierad RC4-algoritm
Trots sina kända brister används RC4-algoritmen regelbundet av författare av skadlig programvara. Men skaparna av RTM modifierade det något, förmodligen för att göra uppgiften för virusanalytiker svårare. En modifierad version av RC4 används ofta i skadliga RTM-verktyg för att kryptera strängar, nätverksdata, konfiguration och moduler.
4.2.1. Skillnader
Den ursprungliga RC4-algoritmen inkluderar två steg: s-blockinitiering (alias KSA - Key-Scheduling Algorithm) och pseudo-slumpmässig sekvensgenerering (PRGA - Pseudo-Random Generation Algorithm). Det första steget innebär att s-boxen initieras med nyckeln, och i det andra steget bearbetas källtexten med hjälp av s-boxen för kryptering.
RTM-författarna lade till ett mellansteg mellan initiering av s-box och kryptering. Tilläggsnyckeln är variabel och ställs in samtidigt som data som ska krypteras och dekrypteras. Funktionen som utför detta ytterligare steg visas i figuren nedan.
4.2.2. Strängkryptering
Vid första anblicken finns det flera läsbara rader i huvud-DLL:n. Resten krypteras med den algoritm som beskrivs ovan, vars struktur visas i följande figur. Vi hittade mer än 25 olika RC4-nycklar för strängkryptering i de analyserade proverna. XOR-tangenten är olika för varje rad. Värdet på de numeriska fältsepareringslinjerna är alltid 0xFFFFFFFF.
I början av körningen dekrypterar RTM strängarna till en global variabel. När det är nödvändigt för att komma åt en sträng, beräknar trojanen dynamiskt adressen för de dekrypterade strängarna baserat på basadressen och offset.
Strängarna innehåller intressant information om skadlig programvaras funktioner. Några exempelsträngar finns i avsnitt 6.8.
4.3. Nätverk
Hur RTM skadlig programvara kontaktar C&C-servern varierar från version till version. De första ändringarna (oktober 2015 – april 2016) använde traditionella domännamn tillsammans med ett RSS-flöde på livejournal.com för att uppdatera listan med kommandon.
Sedan april 2016 har vi sett ett skifte till .bit-domäner i telemetridata. Detta bekräftas av domänregistreringsdatumet - den första RTM-domänen fde05d0573da.bit registrerades den 13 mars 2016.
Alla webbadresser vi såg när vi övervakade kampanjen hade en gemensam sökväg: /r/z.php. Det är ganska ovanligt och det kommer att hjälpa till att identifiera RTM-förfrågningar i nätverksflöden.
4.3.1. Kanal för kommandon och kontroll
Äldre exempel använde den här kanalen för att uppdatera sin lista över kommando- och kontrollservrar. Hosting finns på livejournal.com, när rapporten skrevs låg den kvar på URL:en hxxp://f72bba81c921(.)livejournal(.)com/data/rss.
Livejournal är ett rysk-amerikanskt företag som tillhandahåller en bloggplattform. RTM-operatörer skapar en LJ-blogg där de lägger upp en artikel med kodade kommandon – se skärmdump.
Kommando- och kontrollrader kodas med en modifierad RC4-algoritm (avsnitt 4.2). Den aktuella versionen (november 2016) av kanalen innehåller följande kommando- och kontrollserveradresser:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. .bit-domäner
I de senaste RTM-exemplen ansluter författare till C&C-domäner med .bit TLD-toppdomänen. Det finns inte på ICANN (Domain Name and Internet Corporation) lista över toppdomäner. Istället använder den Namecoin-systemet, som är byggt ovanpå Bitcoin-teknologin. Författare av skadlig programvara använder inte ofta .bit TLD för sina domäner, även om ett exempel på sådan användning tidigare har observerats i en version av Necurs botnät.
Till skillnad från Bitcoin har användare av den distribuerade Namecoin-databasen möjligheten att spara data. Huvudapplikationen för den här funktionen är .bit-toppdomänen. Du kan registrera domäner som kommer att lagras i en distribuerad databas. Motsvarande poster i databasen innehåller IP-adresser som lösts av domänen. Denna toppdomän är "censurbeständig" eftersom endast registranten kan ändra upplösningen för .bit-domänen. Detta innebär att det är mycket svårare att stoppa en skadlig domän med denna typ av toppdomän.
RTM-trojanen bäddar inte in den programvara som behövs för att läsa den distribuerade Namecoin-databasen. Den använder centrala DNS-servrar som dns.dot-bit.org eller OpenNic-servrar för att lösa .bit-domäner. Därför har den samma hållbarhet som DNS-servrar. Vi observerade att vissa teamdomäner inte längre upptäcktes efter att ha nämnts i ett blogginlägg.
En annan fördel med .bit TLD för hackare är kostnaden. För att registrera en domän behöver operatörer endast betala 0,01 NK, vilket motsvarar $0,00185 (per den 5 december 2016). Som jämförelse kostar domain.com minst $10.
4.3.3. Protokoll
För att kommunicera med kommando- och kontrollservern använder RTM HTTP POST-förfrågningar med data formaterade med ett anpassat protokoll. Sökvägsvärdet är alltid /r/z.php; Mozilla/5.0 användaragent (kompatibel; MSIE 9.0; Windows NT 6.1; Trident/5.0). I förfrågningar till servern formateras data enligt följande, där offsetvärdena uttrycks i byte:
Byte 0 till 6 är inte kodade; bytes som börjar från 6 kodas med en modifierad RC4-algoritm. Strukturen för C&C-svarspaketet är enklare. Byte kodas från 4 till paketstorlek.
Listan över möjliga åtgärdsbytevärden presenteras i tabellen nedan:
Skadlig programvara beräknar alltid CRC32 för den dekrypterade datan och jämför den med vad som finns i paketet. Om de skiljer sig, tappar trojanen paketet.
Ytterligare data kan innehålla olika objekt, inklusive en PE-fil, en fil som ska sökas i filsystemet eller nya kommando-URL:er.
4.3.4. Panel
Vi märkte att RTM använder en panel på C&C-servrar. Skärmdump nedan:
4.4. Karakteristiskt tecken
RTM är en typisk banktrojan. Det är ingen överraskning att operatörer vill ha information om offrets system. Å ena sidan samlar boten in allmän information om operativsystemet. Å andra sidan tar den reda på om det komprometterade systemet innehåller attribut som är associerade med ryska fjärrbanksystem.
4.4.1. Allmän information
När skadlig programvara installeras eller startas efter en omstart skickas en rapport till kommando- och kontrollservern med allmän information inklusive:
- Tidszon;
- standardsystemspråk;
- auktoriserade användaruppgifter;
- processintegritetsnivå;
- Användarnamn;
- datornamn;
- OS-version;
- ytterligare installerade moduler;
- installerat antivirusprogram;
- lista över smartkortläsare.
4.4.2 Banksystem på avstånd
Ett typiskt trojanskt mål är ett fjärrbanksystem, och RTM är inget undantag. En av programmets moduler heter TBdo, som utför olika uppgifter, bland annat skanna diskar och surfhistorik.
Genom att skanna disken kontrollerar trojanen om bankprogramvara är installerad på maskinen. Den fullständiga listan över målprogram finns i tabellen nedan. Efter att ha upptäckt en fil av intresse skickar programmet information till kommandoservern. Nästa åtgärder beror på logiken som specificeras av kommandocentrets (C&C) algoritmer.
RTM letar också efter URL-mönster i din webbläsarhistorik och öppna flikar. Dessutom undersöker programmet användningen av funktionerna FindNextUrlCacheEntryA och FindFirstUrlCacheEntryA, och kontrollerar även varje post för att matcha URL:en med något av följande mönster:
Efter att ha upptäckt öppna flikar kontaktar trojanen Internet Explorer eller Firefox via mekanismen Dynamic Data Exchange (DDE) för att kontrollera om fliken matchar mönstret.
Att kontrollera din webbhistorik och öppna flikar utförs i en WHILE-loop (en loop med en förutsättning) med en paus på 1 sekund mellan kontrollerna. Övriga data som övervakas i realtid kommer att diskuteras i avsnitt 4.5.
Om ett mönster hittas rapporterar programmet detta till kommandoservern med hjälp av en lista med strängar från följande tabell:
4.5 Övervakning
Medan trojanen körs skickas information om de karakteristiska egenskaperna hos det infekterade systemet (inklusive information om närvaron av bankprogramvara) till kommando- och kontrollservern. Fingeravtryck uppstår när RTM först kör övervakningssystemet omedelbart efter den första OS-skanningen.
4.5.1. Fjärrbank
TBdo-modulen ansvarar också för att övervaka bankrelaterade processer. Den använder dynamiskt datautbyte för att kontrollera flikar i Firefox och Internet Explorer under den första genomsökningen. En annan TShell-modul används för att övervaka kommandofönster (Internet Explorer eller File Explorer).
Modulen använder COM-gränssnitten IShellWindows, iWebBrowser, DWebBrowserEvents2 och IConnectionPointContainer för att övervaka fönster. När en användare navigerar till en ny webbsida noterar skadlig programvara detta. Den jämför sedan webbadressen till sidan med mönstren ovan. Efter att ha upptäckt en matchning tar trojanen sex på varandra följande skärmdumpar med ett intervall på 5 sekunder och skickar dem till C&S kommandoserver. Programmet kontrollerar också några fönsternamn relaterade till bankprogramvara - hela listan är nedan:
4.5.2. Smart kort
Med RTM kan du övervaka smartkortläsare som är anslutna till infekterade datorer. Dessa enheter används i vissa länder för att stämma av betalningsorder. Om den här typen av enhet är ansluten till en dator kan det indikera för en trojan att maskinen används för banktransaktioner.
Till skillnad från andra banktrojaner kan RTM inte interagera med sådana smarta kort. Kanske ingår denna funktionalitet i en extra modul som vi inte har sett ännu.
4.5.3. Keylogger
En viktig del av att övervaka en infekterad dator är att fånga tangenttryckningar. Det verkar som att RTM-utvecklarna inte saknar någon information, eftersom de övervakar inte bara vanliga nycklar, utan också det virtuella tangentbordet och urklippet.
För att göra detta, använd SetWindowsHookExA-funktionen. Angripare loggar de nedtryckta tangenterna eller tangenterna som motsvarar det virtuella tangentbordet, tillsammans med programmets namn och datum. Bufferten skickas sedan till C&C-kommandoservern.
Funktionen SetClipboardViewer används för att fånga upp urklippet. Hackare loggar innehållet i klippbordet när data är text. Namnet och datumet loggas också innan bufferten skickas till servern.
4.5.4. Skärmdumpar
En annan RTM-funktion är avlyssning av skärmdumpar. Funktionen tillämpas när fönsterövervakningsmodulen upptäcker en webbplats eller bankprogramvara av intresse. Skärmbilder tas med hjälp av ett bibliotek med grafiska bilder och överförs till kommandoservern.
4.6. Avinstallation
C&C-servern kan stoppa skadlig programvara från att köras och rensa din dator. Kommandot låter dig rensa filer och registerposter som skapats medan RTM körs. DLL:n används sedan för att ta bort skadlig programvara och winlogon-filen, varefter kommandot stänger av datorn. Som visas i bilden nedan tas DLL bort av utvecklare som använder erase.dll.
Servern kan skicka ett destruktivt uninstall-lock kommando till trojanen. I det här fallet, om du har administratörsrättigheter, kommer RTM att ta bort MBR-startsektorn på hårddisken. Om detta misslyckas kommer trojanen att försöka flytta MBR-startsektorn till en slumpmässig sektor - då kommer datorn inte att kunna starta operativsystemet efter avstängning. Detta kan leda till en fullständig ominstallation av operativsystemet, vilket innebär att bevis förstörs.
Utan administratörsbehörighet skriver skadlig programvara en .EXE kodad i den underliggande RTM DLL. Den körbara exekverar koden som behövs för att stänga av datorn och registrerar modulen i registernyckeln HKCUCurrentVersionRun. Varje gång användaren startar en session stängs datorn omedelbart av.
4.7. Konfigurationsfilen
Som standard har RTM nästan ingen konfigurationsfil, men kommando- och kontrollservern kan skicka konfigurationsvärden som kommer att lagras i registret och användas av programmet. Listan över konfigurationsnycklar presenteras i tabellen nedan:
Konfigurationen lagras i registernyckeln Software[Pseudo-random string]. Varje värde motsvarar en av raderna i föregående tabell. Värden och data kodas med RC4-algoritmen i RTM.
Data har samma struktur som ett nätverk eller strängar. En fyra-byte XOR-nyckel läggs till i början av den kodade datan. För konfigurationsvärden är XOR-nyckeln annorlunda och beror på värdets storlek. Det kan beräknas enligt följande:
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)
4.8. Andra funktioner
Låt oss sedan titta på andra funktioner som RTM stöder.
4.8.1. Ytterligare moduler
Trojanen innehåller ytterligare moduler, som är DLL-filer. Moduler som skickas från C&C-kommandoservern kan exekveras som externa program, reflekteras i RAM och lanseras i nya trådar. För lagring sparas moduler i .dtt-filer och kodas med hjälp av RC4-algoritmen med samma nyckel som används för nätverkskommunikation.
Hittills har vi observerat installationen av VNC-modulen (8966319882494077C21F66A8354E2CBCA0370464), webbläsarens dataextraheringsmodul (03DE8622BE6B2F75A364A275995C3411626C4D) 9EFF-modulen 1EF2C1D (562EF1F) och 69EF6F C58FBA88753 B7BE0D3B4EXNUMXCFAB).
För att ladda VNC-modulen, utfärdar C&C-servern ett kommando som begär anslutningar till VNC-servern på en specifik IP-adress på port 44443. Insticksprogrammet för webbläsardatahämtning kör TBrowserDataCollector, som kan läsa IE-webbhistorik. Sedan skickar den hela listan över besökta webbadresser till C&C-kommandoservern.
Den senast upptäckta modulen heter 1c_2_kl. Den kan interagera med mjukvarupaketet 1C Enterprise. Modulen innehåller två delar: huvuddelen - DLL och två agenter (32 och 64 bitar), som kommer att injiceras i varje process och registrerar en bindning till WH_CBT. Efter att ha introducerats i 1C-processen binder modulen CreateFile- och WriteFile-funktionerna. Närhelst funktionen CreateFile bound anropas, lagrar modulen filsökvägen 1c_to_kl.txt i minnet. Efter att ha avlyssnat WriteFile-anropet anropar den WriteFile-funktionen och skickar filsökvägen 1c_to_kl.txt till DLL-huvudmodulen och skickar det skapade Windows WM_COPYDATA-meddelandet till den.
DLL-huvudmodulen öppnas och analyserar filen för att fastställa betalningsorder. Den känner igen beloppet och transaktionsnumret som finns i filen. Denna information skickas till kommandoservern. Vi tror att den här modulen för närvarande är under utveckling eftersom den innehåller ett felsökningsmeddelande och inte automatiskt kan ändra 1c_to_kl.txt.
4.8.2. Privilegiumupptrappning
RTM kan försöka eskalera privilegier genom att visa falska felmeddelanden. Skadlig programvara simulerar en registerkontroll (se bilden nedan) eller använder en riktig registerredigeringsikon. Observera felstavningen vänta – whaiit. Efter några sekunders skanning visar programmet ett falskt felmeddelande.
Ett falskt meddelande kommer lätt att lura den genomsnittliga användaren, trots grammatiska fel. Om användaren klickar på en av de två länkarna kommer RTM att försöka eskalera sina privilegier i systemet.
Efter att ha valt ett av två återställningsalternativ, startar trojanen DLL:n med alternativet runas i ShellExecute-funktionen med administratörsbehörighet. Användaren kommer att se en riktig Windows-prompt (se bilden nedan) för höjd. Om användaren ger nödvändiga behörigheter kommer trojanen att köras med administratörsbehörighet.
Beroende på vilket standardspråk som är installerat på systemet visar trojanen felmeddelanden på ryska eller engelska.
4.8.3. Certifikat
RTM kan lägga till certifikat till Windows Store och bekräfta tillförlitligheten genom att automatiskt klicka på "ja"-knappen i csrss.exe-dialogrutan. Detta beteende är inte nytt, till exempel bekräftar banktrojanen Retefe självständigt installationen av ett nytt certifikat.
4.8.4. Omvänd anslutning
RTM-författarna skapade också Backconnect TCP-tunneln. Vi har inte sett funktionen användas ännu, men den är designad för att fjärrövervaka infekterade datorer.
4.8.5. Host filhantering
C&C-servern kan skicka ett kommando till trojanen för att ändra Windows-värdfilen. Värdfilen används för att skapa anpassade DNS-upplösningar.
4.8.6. Hitta och skicka en fil
Servern kan begära att söka och ladda ner en fil på det infekterade systemet. Under forskningen fick vi till exempel en begäran om filen 1c_to_kl.txt. Som tidigare beskrivits genereras denna fil av redovisningssystemet 1C: Enterprise 8.
4.8.7. Uppdatera
Slutligen kan RTM-författare uppdatera programvaran genom att skicka in en ny DLL för att ersätta den nuvarande versionen.
5. slutsats
RTM:s forskning visar att det ryska banksystemet fortfarande attraherar cyberangripare. Grupper som Buhtrap, Corkow och Carbanak stjäl framgångsrikt pengar från finansiella institutioner och deras kunder i Ryssland. RTM är en ny aktör i denna bransch.
Skadliga RTM-verktyg har använts sedan åtminstone slutet av 2015, enligt ESET telemetri. Programmet har ett komplett utbud av spionfunktioner, inklusive läsning av smartkort, avlyssning av tangenttryckningar och övervakning av banktransaktioner, samt sökning efter 1C: Enterprise 8-transportfiler.
Användningen av en decentraliserad, ocensurerad .bit-toppdomän säkerställer en mycket motståndskraftig infrastruktur.
Källa: will.com