Kuna vikundi kadhaa vya mtandao vinavyojulikana ambavyo vina utaalam wa kuiba pesa kutoka kwa kampuni za Urusi. Tumeona mashambulizi kwa kutumia mianya ya usalama ambayo inaruhusu ufikiaji wa mtandao wa walengwa. Pindi tu wanapopata ufikiaji, wavamizi husoma muundo wa mtandao wa shirika na kupeleka zana zao wenyewe ili kuiba pesa. Mfano halisi wa mwelekeo huu ni vikundi vya wadukuzi Buhtrap, Cobalt na Corkow.
Kikundi cha RTM ambacho ripoti hii inazingatia ni sehemu ya mtindo huu. Inatumia programu hasidi iliyoundwa maalum iliyoandikwa huko Delphi, ambayo tutaiangalia kwa undani zaidi katika sehemu zifuatazo. Athari za kwanza za zana hizi katika mfumo wa telemetry wa ESET ziligunduliwa mwishoni mwa 2015. Timu hupakia moduli mbalimbali mpya kwenye mifumo iliyoambukizwa inapohitajika. Mashambulizi hayo yanalenga watumiaji wa mifumo ya benki ya mbali nchini Urusi na baadhi ya nchi jirani.
1. Malengo
Kampeni ya RTM inalenga watumiaji wa kampuni - hii ni dhahiri kutokana na michakato ambayo washambuliaji hujaribu kugundua katika mfumo ulioathiriwa. Lengo ni programu ya uhasibu kwa kufanya kazi na mifumo ya benki ya mbali.
Orodha ya michakato ya riba kwa RTM inafanana na orodha inayolingana ya kikundi cha Buhtrap, lakini vikundi vina vijidudu tofauti vya maambukizi. Ikiwa Buhtrap ilitumia kurasa ghushi mara nyingi zaidi, basi RTM ilitumia mashambulizi ya upakuaji kwa gari (mashambulizi kwenye kivinjari au vipengee vyake) na kutuma barua taka kwa barua pepe. Kulingana na data ya telemetry, tishio linalenga Urusi na nchi kadhaa za karibu (Ukraine, Kazakhstan, Jamhuri ya Czech, Ujerumani). Hata hivyo, kutokana na matumizi ya mifumo ya usambazaji wa wingi, kugundua programu hasidi nje ya maeneo lengwa haishangazi.
Jumla ya idadi ya ugunduzi wa programu hasidi ni ndogo. Kwa upande mwingine, kampeni ya RTM hutumia programu ngumu, ambayo inaonyesha kuwa mashambulizi yanalengwa sana.
Tumegundua hati kadhaa za udanganyifu zinazotumiwa na RTM, ikijumuisha mikataba ambayo haipo, ankara au hati za uhasibu wa kodi. Hali ya lures, pamoja na aina ya programu inayolengwa na mashambulizi, inaonyesha kwamba washambuliaji "wanaingia" mitandao ya makampuni ya Kirusi kupitia idara ya uhasibu. Kikundi kilifanya kulingana na mpango huo huo mwaka 2014-2015
Wakati wa utafiti, tuliweza kuingiliana na seva kadhaa za C&C. Tutaorodhesha orodha kamili ya amri katika sehemu zifuatazo, lakini kwa sasa tunaweza kusema kwamba mteja huhamisha data kutoka kwa keylogger moja kwa moja kwenye seva inayoshambulia, ambayo amri za ziada zinapokelewa.
Walakini, siku ambazo unaweza kuunganisha kwa seva ya amri na udhibiti na kukusanya data zote ulizopenda zimepita. Tuliunda upya faili za kumbukumbu za kweli ili kupata amri zinazofaa kutoka kwa seva.
Wa kwanza wao ni ombi kwa bot kuhamisha faili 1c_to_kl.txt - faili ya usafiri ya 1C: Programu ya Enterprise 8, kuonekana ambayo inafuatiliwa kikamilifu na RTM. 1C huingiliana na mifumo ya benki ya mbali kwa kupakia data ya malipo yanayotoka kwenye faili ya maandishi. Ifuatayo, faili inatumwa kwa mfumo wa benki ya mbali kwa otomatiki na utekelezaji wa agizo la malipo.
Faili ina maelezo ya malipo. Wavamizi wakibadilisha maelezo kuhusu malipo yanayotoka, uhamisho utatumwa kwa kutumia maelezo ya uongo kwenye akaunti za washambuliaji.
Takriban mwezi mmoja baada ya kuomba faili hizi kutoka kwa seva ya amri na udhibiti, tuliona programu-jalizi mpya, 1c_2_kl.dll, ikipakiwa kwenye mfumo ulioathiriwa. Moduli (DLL) imeundwa kuchambua faili ya upakuaji kiotomatiki kwa kupenya michakato ya programu ya uhasibu. Tutaelezea kwa undani katika sehemu zifuatazo.
Jambo la kufurahisha ni kwamba FinCERT ya Benki Kuu ya Urusi mwishoni mwa 2016 ilitoa onyo kuhusu wahalifu wa mtandao wanaotumia faili za upakiaji za 1c_to_kl.txt. Wasanidi programu kutoka 1C pia wanajua kuhusu mpango huu; tayari wametoa taarifa rasmi na kuorodhesha tahadhari.
Moduli zingine pia zilipakiwa kutoka kwa seva ya amri, haswa VNC (matoleo yake ya 32 na 64-bit). Inafanana na moduli ya VNC ambayo ilitumiwa hapo awali katika mashambulizi ya Dridex Trojan. Moduli hii inadaiwa kutumika kuunganisha kwa mbali kwa kompyuta iliyoambukizwa na kufanya utafiti wa kina wa mfumo. Ifuatayo, washambuliaji wanajaribu kuzunguka mtandao, kutoa nywila za mtumiaji, kukusanya habari na kuhakikisha uwepo wa mara kwa mara wa programu hasidi.
2. Vectors ya maambukizi
Kielelezo kifuatacho kinaonyesha vijidudu vya maambukizi vilivyogunduliwa wakati wa kipindi cha utafiti wa kampeni. Kikundi kinatumia anuwai ya vekta, lakini haswa mashambulizi ya kupakua na barua taka. Zana hizi ni rahisi kwa mashambulizi yaliyolengwa, kwa kuwa katika kesi ya kwanza, washambuliaji wanaweza kuchagua tovuti zilizotembelewa na waathirika wanaowezekana, na kwa pili, wanaweza kutuma barua pepe na viambatisho moja kwa moja kwa wafanyakazi wa kampuni inayotaka.
Programu hasidi inasambazwa kupitia chaneli nyingi, ikijumuisha vifaa vya matumizi mabaya ya RIG na Sundown au barua taka, kuonyesha miunganisho kati ya wavamizi na wavamizi wengine wa mtandao wanaotoa huduma hizi.
2.1. Je, RTM na Bhutrap zinahusiana vipi?
Kampeni ya RTM inafanana sana na Buhtrap. Swali la asili ni: zinahusiana vipi na kila mmoja?
Mnamo Septemba 2016, tuliona sampuli ya RTM ikisambazwa kwa kutumia kipakiaji cha Buhtrap. Zaidi ya hayo, tulipata vyeti viwili vya kidijitali vilivyotumika katika Buhtrap na RTM.
Ya kwanza, inayodaiwa kutolewa kwa kampuni Dnister-M, ilitumiwa kusaini fomu ya pili ya Delphi (SHA-1: 025C718BA31e43db1b87dc13f94a61a9338c11ce) na Buhtrap DLL (SHA-1: 1e2642a. 454).
Ya pili, iliyotolewa kwa Bit-Tredj, ilitumika kutia saini vipakiaji vya Buhtrap (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 na B74F71560E48488D2153AE2FB51207TM upakuaji wa RAC0 na kusakinisha vizuri na kusakinisha).
Waendeshaji wa RTM hutumia vyeti ambavyo ni vya kawaida kwa familia zingine zisizo na programu, lakini pia wana cheti cha kipekee. Kulingana na ESET telemetry, ilitolewa kwa Kit-SD na ilitumiwa tu kutia sahihi baadhi ya programu hasidi za RTM (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM hutumia kipakiaji sawa na Buhtrap, vipengele vya RTM hupakiwa kutoka kwa miundombinu ya Buhtrap, kwa hivyo vikundi vina viashirio sawa vya mtandao. Hata hivyo, kulingana na makadirio yetu, RTM na Buhtrap ni vikundi tofauti, angalau kwa sababu RTM inasambazwa kwa njia tofauti (sio tu kutumia kipakuzi cha "kigeni").
Licha ya hili, vikundi vya hacker hutumia kanuni sawa za uendeshaji. Wanalenga biashara zinazotumia programu ya uhasibu, kukusanya taarifa za mfumo vile vile, kutafuta visoma kadi mahiri, na kupeleka safu ya zana hasidi ili kupeleleza waathiriwa.
3. Mageuzi
Katika sehemu hii, tutaangalia matoleo tofauti ya programu hasidi yaliyopatikana wakati wa utafiti.
3.1. Inatayarisha
RTM huhifadhi data ya usanidi katika sehemu ya usajili, sehemu inayovutia zaidi ikiwa ni kiambishi awali cha botnet. Orodha ya maadili yote tuliyoona kwenye sampuli tulizosoma imewasilishwa kwenye jedwali hapa chini.
Inawezekana kwamba maadili yanaweza kutumika kurekodi matoleo ya programu hasidi. Hata hivyo, hatukuona tofauti kubwa kati ya matoleo kama vile bit2 na bit3, 0.1.6.4 na 0.1.6.6. Zaidi ya hayo, kiambishi awali kimoja kimekuwepo tangu mwanzo na kimebadilika kutoka kikoa cha kawaida cha C&C hadi kikoa cha .bit, kama itakavyoonyeshwa hapa chini.
3.2. Ratiba
Kwa kutumia data ya telemetry, tuliunda grafu ya tukio la sampuli.
4. Uchambuzi wa kiufundi
Katika sehemu hii, tutaelezea kazi kuu za Trojan ya benki ya RTM, ikiwa ni pamoja na mifumo ya upinzani, toleo lake la algorithm ya RC4, itifaki ya mtandao, utendaji wa upelelezi na vipengele vingine. Hasa, tutazingatia sampuli za SHA-1 AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 na 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B .
4.1. Ufungaji na uhifadhi
4.1.1. Utekelezaji
Msingi wa RTM ni DLL, maktaba hupakiwa kwenye diski kwa kutumia .EXE. Faili inayoweza kutekelezwa kawaida huwekwa kwenye vifurushi na ina msimbo wa DLL. Mara baada ya kuzinduliwa, hutoa DLL na kuiendesha kwa kutumia amri ifuatayo:
rundll32.exe β%PROGRAMDATA%Winlogonwinlogon.lnkβ,DllGetClassObject host4.1.2. DLL
DLL kuu daima hupakiwa kwenye diski kama winlogon.lnk kwenye folda ya %PROGRAMDATA%Winlogon. Kiendelezi hiki cha faili kwa kawaida huhusishwa na njia ya mkato, lakini faili kwa hakika ni DLL iliyoandikwa katika Delphi, inayoitwa core.dll na msanidi, kama inavyoonyeshwa kwenye picha hapa chini.
ΠΡΠΈΠΌΠ΅Ρ Π½Π°Π·Π²Π°Π½ΠΈΡ DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Mara baada ya kuzinduliwa, Trojan inawasha utaratibu wake wa upinzani. Hii inaweza kufanywa kwa njia mbili tofauti, kulingana na marupurupu ya mwathirika katika mfumo. Ikiwa una haki za msimamizi, Trojan inaongeza ingizo la Usasisho wa Windows kwenye sajili ya HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun. Amri zilizomo kwenye Usasishaji wa Windows zitaendeshwa mwanzoni mwa kipindi cha mtumiaji.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe β%PROGRAMDATA%winlogon.lnkβ,DllGetClassObject host
Trojan pia inajaribu kuongeza kazi kwa Kiratibu Task Windows. Kazi itazindua winlogon.lnk DLL na vigezo sawa na hapo juu. Haki za mtumiaji za kawaida huruhusu Trojan kuongeza ingizo la Usasisho wa Windows na data sawa kwenye sajili ya HKCUSoftwareMicrosoftWindowsCurrentVersionRun:
rundll32.exe β%PROGRAMDATA%winlogon.lnkβ,DllGetClassObject host4.2. Algorithm ya RC4 iliyorekebishwa
Licha ya mapungufu yake yanayojulikana, algorithm ya RC4 hutumiwa mara kwa mara na waandishi wa programu hasidi. Walakini, waundaji wa RTM waliibadilisha kidogo, labda kufanya kazi ya wachambuzi wa virusi kuwa ngumu zaidi. Toleo lililorekebishwa la RC4 linatumika sana katika zana hasidi za RTM ili kusimba mifuatano, data ya mtandao, usanidi na moduli kwa njia fiche.
4.2.1. Tofauti
Kanuni ya awali ya RC4 inajumuisha hatua mbili: uanzishaji wa s-block (yajulikanayo kama KSA - Algorithm ya Upangaji Ufunguo) na kizazi cha mfuatano wa pseudo-nasibu (PRGA - Algorithm ya Kizazi-Pseudo-Nasibu). Hatua ya kwanza inahusisha kuanzisha s-sanduku kwa kutumia ufunguo, na katika hatua ya pili maandishi ya chanzo yanachakatwa kwa kutumia kisanduku cha s kwa usimbaji fiche.
Waandishi wa RTM waliongeza hatua ya kati kati ya uanzishaji wa s-box na usimbaji fiche. Ufunguo wa ziada unabadilika na umewekwa kwa wakati mmoja na data itakayosimbwa na kusimbwa. Kazi ambayo hufanya hatua hii ya ziada imeonyeshwa kwenye takwimu hapa chini.
4.2.2. Usimbaji wa kamba
Kwa mtazamo wa kwanza, kuna mistari kadhaa inayoweza kusomeka katika DLL kuu. Zingine zimesimbwa kwa kutumia algorithm iliyoelezwa hapo juu, muundo ambao umeonyeshwa kwenye takwimu ifuatayo. Tulipata zaidi ya funguo 25 tofauti za RC4 za usimbaji fiche wa kamba katika sampuli zilizochanganuliwa. Kitufe cha XOR ni tofauti kwa kila safu. Thamani ya mistari inayotenganisha uga wa nambari daima ni 0xFFFFFFFF.
Mwanzoni mwa utekelezaji, RTM hutenganisha mifuatano kuwa kigezo cha kimataifa. Inapohitajika kufikia mfuatano, Trojan hukokotoa kwa nguvu anwani ya mifuatano iliyosimbwa kulingana na anwani ya msingi na mkato.
Mifuatano ina maelezo ya kuvutia kuhusu utendakazi wa programu hasidi. Baadhi ya mifuatano ya mifano imetolewa katika Sehemu ya 6.8.
4.3. Mtandao
Jinsi programu hasidi ya RTM inavyowasiliana na seva ya C&C inatofautiana kutoka toleo hadi toleo. Marekebisho ya kwanza (Oktoba 2015 - Aprili 2016) yalitumia majina ya jadi ya vikoa pamoja na mlisho wa RSS kwenye livejournal.com kusasisha orodha ya amri.
Tangu Aprili 2016, tumeona mabadiliko kwa vikoa vya .bit katika data ya telemetry. Hii inathibitishwa na tarehe ya usajili wa kikoa - kikoa cha kwanza cha RTM fde05d0573da.bit kilisajiliwa mnamo Machi 13, 2016.
URL zote tulizoziona tulipokuwa tukifuatilia kampeni zilikuwa na njia ya kawaida: /r/z.php. Si kawaida kabisa na itasaidia kutambua maombi ya RTM katika mtiririko wa mtandao.
4.3.1. Kituo cha amri na udhibiti
Mifano ya urithi ilitumia kituo hiki kusasisha orodha yao ya seva za amri na udhibiti. Hosting iko kwenye livejournal.com, wakati wa kuandika ripoti ilibaki kwenye URL hxxp://f72bba81c921(.)livejournal(.)com/ data/rss.
Livejournal ni kampuni ya Kirusi-Amerika ambayo hutoa jukwaa la kublogi. Waendeshaji wa RTM huunda blogu ya LJ ambamo wanachapisha makala yenye amri zenye msimbo - tazama picha ya skrini.
Mistari ya amri na udhibiti husimbwa kwa kutumia algoriti ya RC4 iliyorekebishwa (Sehemu ya 4.2). Toleo la sasa (Novemba 2016) la kituo lina amri zifuatazo na anwani za seva za udhibiti:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. .vikoa kidogo
Katika sampuli za hivi majuzi za RTM, waandishi huunganisha kwenye vikoa vya C&C kwa kutumia kikoa cha kiwango cha juu cha .bit TLD. Haiko kwenye orodha ya ICANN (Jina la Kikoa na Shirika la Mtandao) ya vikoa vya kiwango cha juu. Badala yake, hutumia mfumo wa Namecoin, ambao umejengwa juu ya teknolojia ya Bitcoin. Waandishi wa programu hasidi hawatumii .bit TLD mara kwa mara kwa vikoa vyao, ingawa mfano wa matumizi kama hayo umezingatiwa hapo awali katika toleo la botnet ya Necurs.
Tofauti na Bitcoin, watumiaji wa hifadhidata ya Namecoin iliyosambazwa wana uwezo wa kuhifadhi data. Utumizi mkuu wa kipengele hiki ni kikoa cha kiwango cha juu cha .bit. Unaweza kusajili vikoa ambavyo vitahifadhiwa kwenye hifadhidata iliyosambazwa. Maingizo yanayolingana katika hifadhidata yana anwani za IP zilizotatuliwa na kikoa. TLD hii "inastahimili udhibiti" kwa sababu ni mtu aliyesajiliwa pekee anayeweza kubadilisha azimio la kikoa cha .bit. Hii ina maana kwamba ni vigumu zaidi kusimamisha kikoa hasidi kutumia aina hii ya TLD.
RTM Trojan haipachiki programu muhimu ili kusoma hifadhidata ya Namecoin iliyosambazwa. Inatumia seva kuu za DNS kama vile dns.dot-bit.org au seva za OpenNic kutatua vikoa vya .bit. Kwa hiyo, ina uimara sawa na seva za DNS. Tuliona kuwa baadhi ya vikoa vya timu havikutambuliwa tena baada ya kutajwa kwenye chapisho la blogu.
Faida nyingine ya .bit TLD kwa wadukuzi ni gharama. Ili kusajili kikoa, waendeshaji wanahitaji kulipa tu 0,01 NK, ambayo inalingana na $ 0,00185 (kuanzia Desemba 5, 2016). Kwa kulinganisha, domain.com inagharimu angalau $10.
4.3.3. Itifaki
Ili kuwasiliana na seva ya amri na udhibiti, RTM hutumia maombi ya HTTP POST yenye data iliyoumbizwa kwa kutumia itifaki maalum. Thamani ya njia ni daima /r/z.php; Wakala wa mtumiaji wa Mozilla/5.0 (sambamba; MSIE 9.0; Windows NT 6.1; Trident/5.0). Katika maombi kwa seva, data imeundwa kama ifuatavyo, ambapo maadili ya kukabiliana yanaonyeshwa kwa byte:
Byte 0 hadi 6 hazijasimbwa; baiti kuanzia 6 zimesimbwa kwa kutumia algorithm iliyorekebishwa ya RC4. Muundo wa pakiti ya majibu ya C&C ni rahisi zaidi. Byte zimesimbwa kutoka 4 hadi saizi ya pakiti.
Orodha ya maadili yanayowezekana ya hatua imewasilishwa kwenye jedwali hapa chini:
Programu hasidi hukokotoa CRC32 ya data iliyosimbwa na kuilinganisha na ile iliyopo kwenye pakiti. Ikiwa zinatofautiana, Trojan huangusha pakiti.
Data ya ziada inaweza kuwa na vitu mbalimbali, ikiwa ni pamoja na faili ya PE, faili ya kutafutwa katika mfumo wa faili, au URL mpya za amri.
4.3.4. Paneli
Tuligundua kuwa RTM hutumia paneli kwenye seva za C&C. Picha ya skrini hapa chini:
4.4. Ishara ya tabia
RTM ni Trojan ya kawaida ya benki. Haishangazi kwamba waendeshaji wanataka habari kuhusu mfumo wa mwathirika. Kwa upande mmoja, bot hukusanya taarifa za jumla kuhusu OS. Kwa upande mwingine, inagundua ikiwa mfumo ulioathiriwa una sifa zinazohusiana na mifumo ya benki ya mbali ya Kirusi.
4.4.1. Habari za jumla
Programu hasidi inaposakinishwa au kuzinduliwa baada ya kuwashwa upya, ripoti hutumwa kwa seva ya amri na udhibiti iliyo na maelezo ya jumla ikiwa ni pamoja na:
- Saa za eneo;
- lugha ya mfumo chaguo-msingi;
- vitambulisho vya mtumiaji vilivyoidhinishwa;
- kiwango cha uadilifu wa mchakato;
- Jina la mtumiaji;
- jina la kompyuta;
- toleo la OS;
- moduli za ziada zilizowekwa;
- imewekwa programu ya antivirus;
- orodha ya wasomaji wa kadi smart.
4.4.2 Mfumo wa benki ya mbali
Lengo la kawaida la Trojan ni mfumo wa benki wa mbali, na RTM sio ubaguzi. Moja ya moduli za programu inaitwa TBdo, ambayo hufanya kazi mbalimbali, ikiwa ni pamoja na diski za skanning na historia ya kuvinjari.
Kwa kuchanganua diski, Trojan huangalia ikiwa programu ya benki imewekwa kwenye mashine. Orodha kamili ya programu lengwa iko kwenye jedwali hapa chini. Baada ya kugundua faili ya kupendeza, programu hutuma habari kwa seva ya amri. Vitendo vifuatavyo hutegemea mantiki iliyobainishwa na algoriti za kituo cha amri (C&C).
RTM pia hutafuta ruwaza za URL katika historia ya kivinjari chako na vichupo wazi. Kwa kuongezea, programu inachunguza matumizi ya kazi za FindNextUrlCacheEntryA na FindFirstUrlCacheEntryA, na pia hukagua kila ingizo ili kulinganisha URL na mojawapo ya ruwaza zifuatazo:
Baada ya kugundua vichupo vilivyofunguliwa, Trojan huwasiliana na Internet Explorer au Firefox kupitia utaratibu wa Dynamic Data Exchange (DDE) ili kuangalia kama kichupo kinalingana na mchoro.
Kuangalia historia yako ya kuvinjari na vichupo vilivyofunguliwa hufanywa kwa kitanzi cha WHILE (kitanzi kilicho na sharti la awali) na mapumziko ya sekunde 1 kati ya ukaguzi. Data nyingine ambayo inafuatiliwa kwa wakati halisi itajadiliwa katika sehemu ya 4.5.
Ikiwa muundo utapatikana, programu inaripoti hii kwa seva ya amri kwa kutumia orodha ya mifuatano kutoka kwa jedwali lifuatalo:
4.5 Ufuatiliaji
Wakati Trojan inaendesha, habari kuhusu sifa za mfumo wa kuambukizwa (ikiwa ni pamoja na taarifa kuhusu kuwepo kwa programu ya benki) inatumwa kwa seva ya amri na udhibiti. Uwekaji alama za vidole hutokea wakati RTM inapoendesha mfumo wa ufuatiliaji mara tu baada ya utambazaji wa awali wa Mfumo wa Uendeshaji.
4.5.1. Benki ya mbali
Moduli ya TBdo pia ina jukumu la kufuatilia michakato inayohusiana na benki. Inatumia ubadilishanaji wa data unaobadilika ili kuangalia vichupo katika Firefox na Internet Explorer wakati wa uchanganuzi wa kwanza. Moduli nyingine ya TShell hutumiwa kufuatilia madirisha ya amri (Internet Explorer au File Explorer).
Moduli hutumia violesura vya COM IShellWindows, iWebBrowser, DWebBrowserEvents2 na IConnectionPointContainer kufuatilia madirisha. Mtumiaji anapoelekea kwenye ukurasa mpya wa wavuti, programu hasidi hubainisha hili. Kisha inalinganisha URL ya ukurasa na ruwaza zilizo hapo juu. Baada ya kugundua mechi, Trojan inachukua picha sita za skrini mfululizo na muda wa sekunde 5 na kuzituma kwa seva ya amri ya C&S. Programu pia hukagua baadhi ya majina ya madirisha yanayohusiana na programu ya benki - orodha kamili iko hapa chini:
4.5.2. Smart kadi
RTM hukuruhusu kufuatilia visoma kadi mahiri vilivyounganishwa kwenye kompyuta zilizoambukizwa. Vifaa hivi hutumika katika baadhi ya nchi kupatanisha maagizo ya malipo. Ikiwa aina hii ya kifaa imeambatishwa kwenye kompyuta, inaweza kuashiria Trojan kwamba mashine inatumika kwa shughuli za benki.
Tofauti na Trojans zingine za benki, RTM haiwezi kuingiliana na kadi smart kama hizo. Labda utendakazi huu umejumuishwa katika moduli ya ziada ambayo bado hatujaiona.
4.5.3. Keylogger
Sehemu muhimu ya ufuatiliaji wa PC iliyoambukizwa ni kunasa vibonye. Inaonekana kwamba watengenezaji wa RTM hawakose habari yoyote, kwa kuwa wao hufuatilia sio funguo za kawaida tu, bali pia kibodi na ubao wa kunakili.
Ili kufanya hivyo, tumia kazi ya SetWindowsHookExA. Wavamizi huweka funguo zilizobonyezwa au vitufe vinavyolingana na kibodi pepe, pamoja na jina na tarehe ya programu. Kisha bafa hutumwa kwa seva ya amri ya C&C.
Kitendaji cha SetClipboardViewer kinatumika kukatiza ubao wa kunakili. Wahasibu huweka yaliyomo kwenye ubao wa kunakili wakati data ni maandishi. Jina na tarehe pia huwekwa kabla ya bafa kutumwa kwa seva.
4.5.4. Picha za skrini
Kitendaji kingine cha RTM ni kukataza picha ya skrini. Kipengele hiki hutumika wakati moduli ya ufuatiliaji wa dirisha inapogundua tovuti au programu ya benki inayovutia. Picha za skrini zinachukuliwa kwa kutumia maktaba ya picha za picha na kuhamishiwa kwenye seva ya amri.
4.6. Uondoaji
Seva ya C&C inaweza kuzuia programu hasidi kufanya kazi na kusafisha kompyuta yako. Amri hukuruhusu kufuta faili na maingizo ya Usajili yaliyoundwa wakati RTM inaendesha. Kisha DLL hutumiwa kuondoa programu hasidi na faili ya winlogon, baada ya hapo amri inazima kompyuta. Kama inavyoonyeshwa kwenye picha hapa chini, DLL inaondolewa na watengenezaji kwa kutumia erase.dll.
Seva inaweza kutuma Trojan amri ya uharibifu ya kufuta-kufuli. Katika kesi hii, ikiwa una haki za msimamizi, RTM itafuta sekta ya boot ya MBR kwenye gari ngumu. Ikiwa hii haifanyi kazi, Trojan itajaribu kuhamisha sekta ya boot ya MBR kwenye sekta ya random - basi kompyuta haitaweza kuanzisha OS baada ya kuzima. Hii inaweza kusababisha uwekaji upya kamili wa OS, ambayo inamaanisha uharibifu wa ushahidi.
Bila upendeleo wa msimamizi, programu hasidi huandika .EXE iliyosimbwa katika RTM DLL ya msingi. Inayoweza kutekelezeka hutekeleza msimbo unaohitajika ili kuzima kompyuta na kusajili moduli katika ufunguo wa usajili wa HKCUCurrentVersionRun. Kila wakati mtumiaji anapoanzisha kipindi, kompyuta huzima mara moja.
4.7. Faili ya usanidi
Kwa msingi, RTM haina karibu faili ya usanidi, lakini seva ya amri na udhibiti inaweza kutuma maadili ya usanidi ambayo yatahifadhiwa kwenye Usajili na kutumiwa na programu. Orodha ya funguo za usanidi zimewasilishwa kwenye jedwali hapa chini:
Mipangilio imehifadhiwa katika ufunguo wa kusajili wa Programu[Pseudo-random]. Kila thamani inalingana na safu mlalo moja iliyowasilishwa kwenye jedwali lililotangulia. Thamani na data husimbwa kwa kutumia algoriti ya RC4 katika RTM.
Data ina muundo sawa na mtandao au mifuatano. Kitufe cha XOR cha baiti nne huongezwa mwanzoni mwa data iliyosimbwa. Kwa maadili ya usanidi, ufunguo wa XOR ni tofauti na inategemea ukubwa wa thamani. Inaweza kuhesabiwa kama ifuatavyo:
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)
4.8. Vipengele vingine
Ifuatayo, hebu tuangalie vitendaji vingine ambavyo RTM inasaidia.
4.8.1. Moduli za ziada
Trojan inajumuisha moduli za ziada, ambazo ni faili za DLL. Moduli zinazotumwa kutoka kwa seva ya amri ya C&C zinaweza kutekelezwa kama programu za nje, zikionyeshwa kwenye RAM na kuzinduliwa katika mazungumzo mapya. Kwa hifadhi, moduli huhifadhiwa katika faili za .dtt na kusimba kwa kutumia algoriti ya RC4 na ufunguo sawa unaotumika kwa mawasiliano ya mtandao.
Kufikia sasa tumeona usakinishaji wa moduli ya VNC (8966319882494077C21F66A8354E2CBCA0370464), moduli ya uchimbaji wa data ya kivinjari (03DE8622BE6B2F75A364A275995C3411626C4D9E1C2D1F na moduli ya 562C1D69F6C58D88753E7) FC0FBA3 B4BEXNUMXDXNUMXBXNUMXEXNUMXCFAB).
Ili kupakia moduli ya VNC, seva ya C&C inatoa amri ikiomba miunganisho kwenye seva ya VNC kwenye anwani mahususi ya IP kwenye mlango wa 44443. Programu-jalizi ya kurejesha data ya kivinjari hutekeleza TBrowserDataCollector, ambayo inaweza kusoma historia ya kuvinjari ya IE. Kisha hutuma orodha kamili ya URL zilizotembelewa kwa seva ya amri ya C&C.
Moduli ya mwisho iliyogunduliwa inaitwa 1c_2_kl. Inaweza kuingiliana na kifurushi cha programu cha 1C Enterprise. Moduli inajumuisha sehemu mbili: sehemu kuu - DLL na mawakala wawili (32 na 64 bit), ambayo itaingizwa katika kila mchakato, kusajili kisheria kwa WH_CBT. Baada ya kuletwa katika mchakato wa 1C, moduli hufunga vitendaji vya CreateFile na AndikaFile. Wakati wowote kitendakazi cha kufunga Faili kinapoitwa, moduli huhifadhi njia ya faili 1c_to_kl.txt kwenye kumbukumbu. Baada ya kukata simu ya AndikaFile, huita kitendakazi cha AndikaFile na kutuma njia ya faili 1c_to_kl.txt kwenye moduli kuu ya DLL, ikipitisha ujumbe wa Windows WM_COPYDATA uliotengenezwa.
Moduli kuu ya DLL inafungua na kuchanganua faili ili kuamua maagizo ya malipo. Inatambua kiasi na nambari ya muamala iliyo kwenye faili. Habari hii inatumwa kwa seva ya amri. Tunaamini sehemu hii inatengenezwa kwa sasa kwa sababu ina ujumbe wa utatuzi na haiwezi kurekebisha 1c_to_kl.txt kiotomatiki.
4.8.2. Kupanda kwa upendeleo
RTM inaweza kujaribu kuongeza upendeleo kwa kuonyesha ujumbe wa makosa ya uwongo. Programu hasidi huiga ukaguzi wa sajili (tazama picha hapa chini) au hutumia ikoni halisi ya kihariri cha usajili. Tafadhali kumbuka kusubiri kwa tahajia isiyo sahihi - whait. Baada ya sekunde chache za skanning, programu inaonyesha ujumbe wa makosa ya uwongo.
Ujumbe wa uwongo utamdanganya mtumiaji wa kawaida kwa urahisi, licha ya makosa ya kisarufi. Mtumiaji akibofya kwenye mojawapo ya viungo viwili, RTM itajaribu kuongeza upendeleo wake katika mfumo.
Baada ya kuchagua moja ya chaguo mbili za kurejesha, Trojan inazindua DLL kwa kutumia chaguo la runas katika kazi ya ShellExecute na marupurupu ya msimamizi. Mtumiaji ataona haraka ya Windows (tazama picha hapa chini) kwa mwinuko. Ikiwa mtumiaji atatoa ruhusa zinazohitajika, Trojan itaendesha na haki za msimamizi.
Kulingana na lugha ya msingi iliyowekwa kwenye mfumo, Trojan inaonyesha ujumbe wa makosa katika Kirusi au Kiingereza.
4.8.3. Cheti
RTM inaweza kuongeza vyeti kwenye Duka la Windows na kuthibitisha kutegemewa kwa nyongeza kwa kubofya kiotomatiki kitufe cha "ndiyo" katika kisanduku cha mazungumzo cha csrss.exe. Tabia hii si mpya; kwa mfano, Trojan Retefe ya benki pia inathibitisha kwa kujitegemea usakinishaji wa cheti kipya.
4.8.4. Muunganisho wa nyuma
Waandishi wa RTM pia waliunda handaki ya Backconnect TCP. Bado hatujaona kipengele kinachotumika, lakini kimeundwa kufuatilia Kompyuta zilizoambukizwa kwa mbali.
4.8.5. Usimamizi wa faili mwenyeji
Seva ya C&C inaweza kutuma amri kwa Trojan ili kurekebisha faili ya mwenyeji wa Windows. Faili ya seva pangishi inatumika kuunda maazimio maalum ya DNS.
4.8.6. Tafuta na utume faili
Seva inaweza kuomba kutafuta na kupakua faili kwenye mfumo ulioambukizwa. Kwa mfano, wakati wa utafiti tulipokea ombi la faili 1c_to_kl.txt. Kama ilivyoelezwa hapo awali, faili hii inatolewa na mfumo wa uhasibu wa 1C: Enterprise 8.
4.8.7. Sasisha
Hatimaye, waandishi wa RTM wanaweza kusasisha programu kwa kuwasilisha DLL mpya kuchukua nafasi ya toleo la sasa.
5. Hitimisho
Utafiti wa RTM unaonyesha kuwa mfumo wa benki wa Urusi bado unavutia washambuliaji wa mtandao. Vikundi kama vile Buhtrap, Corkow na Carbanak vilifanikiwa kuiba pesa kutoka kwa mashirika ya fedha na wateja wao nchini Urusi. RTM ni mchezaji mpya katika tasnia hii.
Zana za RTM hasidi zimekuwa zikitumika tangu angalau mwishoni mwa 2015, kulingana na telemetry ya ESET. Programu hii ina uwezo kamili wa ujasusi, ikijumuisha kusoma kadi mahiri, kukatiza vibonye na kufuatilia shughuli za benki, pamoja na kutafuta 1C: Faili 8 za usafirishaji za Enterprise.
Utumiaji wa kikoa kilichogatuliwa, kisichodhibitiwa na kiwango cha juu cha .bit huhakikisha miundombinu inayostahimili hali ya juu.
Chanzo: mapenzi.com