ரஷ்ய நிறுவனங்களிடமிருந்து நிதியைத் திருடுவதில் நிபுணத்துவம் பெற்ற பல அறியப்பட்ட சைபர் குழுக்கள் உள்ளன. இலக்கின் நெட்வொர்க்கை அணுக அனுமதிக்கும் பாதுகாப்பு ஓட்டைகளைப் பயன்படுத்தி தாக்குதல்களை நாங்கள் பார்த்திருக்கிறோம். அவர்கள் அணுகலைப் பெற்றவுடன், தாக்குபவர்கள் நிறுவனத்தின் நெட்வொர்க் கட்டமைப்பைப் படித்து, நிதியைத் திருட தங்கள் சொந்தக் கருவிகளைப் பயன்படுத்துவார்கள். இந்த போக்குக்கு ஒரு சிறந்த உதாரணம் புஹ்ட்ராப், கோபால்ட் மற்றும் கார்கோவ் ஆகிய ஹேக்கர் குழுக்கள்.
இந்த அறிக்கை கவனம் செலுத்தும் RTM குழு இந்தப் போக்கின் ஒரு பகுதியாகும். இது டெல்பியில் எழுதப்பட்ட பிரத்யேகமாக வடிவமைக்கப்பட்ட தீம்பொருளைப் பயன்படுத்துகிறது, இதைப் பின்வரும் பிரிவுகளில் விரிவாகப் பார்ப்போம். ESET டெலிமெட்ரி அமைப்பில் இந்த கருவிகளின் முதல் தடயங்கள் 2015 இன் இறுதியில் கண்டுபிடிக்கப்பட்டன. குழு பல்வேறு புதிய தொகுதிகளை தேவைக்கேற்ப பாதிக்கப்பட்ட கணினிகளில் ஏற்றுகிறது. ரஷ்யா மற்றும் சில அண்டை நாடுகளில் உள்ள ரிமோட் பேங்கிங் அமைப்புகளைப் பயன்படுத்துபவர்களை இலக்காகக் கொண்டு தாக்குதல்கள் நடத்தப்பட்டுள்ளன.
1. குறிக்கோள்கள்
RTM பிரச்சாரம் கார்ப்பரேட் பயனர்களை இலக்காகக் கொண்டது - தாக்குபவர்கள் சமரசம் செய்யப்பட்ட அமைப்பில் கண்டறிய முயற்சிக்கும் செயல்முறைகளிலிருந்து இது தெளிவாகத் தெரிகிறது. தொலை வங்கி அமைப்புகளுடன் பணிபுரிவதற்கான கணக்கியல் மென்பொருளில் கவனம் செலுத்தப்படுகிறது.
RTM க்கு ஆர்வமுள்ள செயல்முறைகளின் பட்டியல் Buhtrap குழுவின் தொடர்புடைய பட்டியலை ஒத்திருக்கிறது, ஆனால் குழுக்களில் வெவ்வேறு தொற்று திசையன்கள் உள்ளன. Buhtrap அடிக்கடி போலி பக்கங்களைப் பயன்படுத்தினால், RTM டிரைவ்-பை டவுன்லோட் தாக்குதல்கள் (உலாவி அல்லது அதன் கூறுகள் மீதான தாக்குதல்கள்) மற்றும் மின்னஞ்சல் மூலம் ஸ்பேம் செய்தல் ஆகியவற்றைப் பயன்படுத்தியது. டெலிமெட்ரி தரவுகளின்படி, அச்சுறுத்தல் ரஷ்யா மற்றும் பல அருகிலுள்ள நாடுகளை (உக்ரைன், கஜகஸ்தான், செக் குடியரசு, ஜெர்மனி) இலக்காகக் கொண்டுள்ளது. இருப்பினும், வெகுஜன விநியோக வழிமுறைகளின் பயன்பாடு காரணமாக, இலக்கு பகுதிகளுக்கு வெளியே தீம்பொருளைக் கண்டறிவது ஆச்சரியமல்ல.
தீம்பொருள் கண்டறிதல்களின் மொத்த எண்ணிக்கை ஒப்பீட்டளவில் சிறியது. மறுபுறம், RTM பிரச்சாரம் சிக்கலான நிரல்களைப் பயன்படுத்துகிறது, இது தாக்குதல்கள் அதிக இலக்கு கொண்டவை என்பதைக் குறிக்கிறது.
இல்லாத ஒப்பந்தங்கள், இன்வாய்ஸ்கள் அல்லது வரி கணக்கு ஆவணங்கள் உட்பட RTM ஆல் பயன்படுத்தப்படும் பல ஏமாற்று ஆவணங்களை நாங்கள் கண்டுபிடித்துள்ளோம். தாக்குதலால் குறிவைக்கப்பட்ட மென்பொருளின் வகையுடன் இணைந்த கவர்ச்சிகளின் தன்மை, தாக்குபவர்கள் கணக்கியல் துறையின் மூலம் ரஷ்ய நிறுவனங்களின் நெட்வொர்க்குகளுக்கு "நுழைகிறார்கள்" என்பதைக் குறிக்கிறது. குழு அதே திட்டத்தின் படி செயல்பட்டது 2014-2015 இல்
ஆராய்ச்சியின் போது, பல C&C சர்வர்களுடன் தொடர்பு கொள்ள முடிந்தது. பின்வரும் பிரிவுகளில் கட்டளைகளின் முழு பட்டியலையும் பட்டியலிடுவோம், ஆனால் இப்போது கிளையன்ட் கீலாக்கரிலிருந்து தரவை நேரடியாக தாக்கும் சேவையகத்திற்கு மாற்றுகிறது என்று கூறலாம், அதில் இருந்து கூடுதல் கட்டளைகள் பெறப்படுகின்றன.
இருப்பினும், நீங்கள் ஒரு கட்டளை மற்றும் கட்டுப்பாட்டு சேவையகத்துடன் இணைத்து, நீங்கள் ஆர்வமாக இருந்த எல்லா தரவையும் சேகரிக்கும் நாட்கள் போய்விட்டன. சர்வரிலிருந்து சில தொடர்புடைய கட்டளைகளைப் பெற, யதார்த்தமான பதிவுக் கோப்புகளை மீண்டும் உருவாக்கினோம்.
அவற்றில் முதலாவது, 1c_to_kl.txt கோப்பை மாற்ற bot க்கு ஒரு கோரிக்கை - 1C: Enterprise 8 நிரலின் போக்குவரத்து கோப்பு, இதன் தோற்றம் RTM ஆல் தீவிரமாக கண்காணிக்கப்படுகிறது. வெளிச்செல்லும் கட்டணங்கள் குறித்த தரவை உரைக் கோப்பில் பதிவேற்றுவதன் மூலம் தொலைநிலை வங்கி அமைப்புகளுடன் 1C தொடர்பு கொள்கிறது. அடுத்து, பணம் செலுத்தும் ஆர்டரை தானியக்கமாக்குவதற்கும் செயல்படுத்துவதற்கும் தொலைநிலை வங்கி அமைப்புக்கு கோப்பு அனுப்பப்படுகிறது.
கோப்பில் கட்டண விவரங்கள் உள்ளன. வெளிச்செல்லும் கட்டணங்கள் பற்றிய தகவலை தாக்குபவர்கள் மாற்றினால், தவறான விவரங்களைப் பயன்படுத்தி தாக்குபவர்களின் கணக்குகளுக்கு பரிமாற்றம் அனுப்பப்படும்.
கட்டளை மற்றும் கட்டுப்பாட்டு சேவையகத்திலிருந்து இந்தக் கோப்புகளைக் கோரிய ஒரு மாதத்திற்குப் பிறகு, 1c_2_kl.dll என்ற புதிய செருகுநிரல் சமரசம் செய்யப்பட்ட கணினியில் ஏற்றப்படுவதைக் கண்டோம். தொகுதி (DLL) கணக்கியல் மென்பொருள் செயல்முறைகளை ஊடுருவி பதிவிறக்கம் கோப்பை தானாக பகுப்பாய்வு செய்ய வடிவமைக்கப்பட்டுள்ளது. பின்வரும் பிரிவுகளில் அதை விரிவாக விவரிப்போம்.
சுவாரஸ்யமாக, 2016 ஆம் ஆண்டின் இறுதியில், பாங்க் ஆஃப் ரஷ்யாவின் FinCERT, 1c_to_kl.txt பதிவேற்றக் கோப்புகளைப் பயன்படுத்தும் சைபர் கிரைமினல்களைப் பற்றிய எச்சரிக்கையை வெளியிட்டது. 1C இலிருந்து டெவலப்பர்களும் இந்தத் திட்டத்தைப் பற்றி அறிந்திருக்கிறார்கள்; அவர்கள் ஏற்கனவே அதிகாரப்பூர்வ அறிக்கையை வெளியிட்டு முன்னெச்சரிக்கை நடவடிக்கைகளைப் பட்டியலிட்டுள்ளனர்.
பிற தொகுதிகள் கட்டளை சேவையகத்திலிருந்து ஏற்றப்பட்டன, குறிப்பாக VNC (அதன் 32 மற்றும் 64-பிட் பதிப்புகள்). இது முன்பு டிரைடெக்ஸ் ட்ரோஜன் தாக்குதல்களில் பயன்படுத்தப்பட்ட VNC தொகுதியை ஒத்திருக்கிறது. இந்த தொகுதியானது பாதிக்கப்பட்ட கணினியுடன் தொலைவிலிருந்து இணைக்கவும், கணினியின் விரிவான ஆய்வை மேற்கொள்ளவும் பயன்படுத்தப்படுகிறது. அடுத்து, தாக்குபவர்கள் நெட்வொர்க்கைச் சுற்றி நகர்த்த முயற்சிக்கிறார்கள், பயனர் கடவுச்சொற்களைப் பிரித்தெடுக்கிறார்கள், தகவல்களைச் சேகரித்து தீம்பொருளின் நிலையான இருப்பை உறுதி செய்கிறார்கள்.
2. நோய்த்தொற்றின் திசையன்கள்
பிரச்சாரத்தின் ஆய்வுக் காலத்தில் கண்டறியப்பட்ட தொற்று வெக்டர்களை பின்வரும் படம் காட்டுகிறது. குழு பரந்த அளவிலான திசையன்களைப் பயன்படுத்துகிறது, ஆனால் முக்கியமாக டிரைவ்-பை பதிவிறக்க தாக்குதல்கள் மற்றும் ஸ்பேம். இந்த கருவிகள் இலக்கு தாக்குதல்களுக்கு வசதியானவை, ஏனெனில் முதல் வழக்கில், தாக்குபவர்கள் சாத்தியமான பாதிக்கப்பட்டவர்கள் பார்வையிடும் தளங்களைத் தேர்ந்தெடுக்கலாம், இரண்டாவதாக, அவர்கள் விரும்பிய நிறுவன ஊழியர்களுக்கு நேரடியாக இணைப்புகளுடன் மின்னஞ்சலை அனுப்பலாம்.
தீம்பொருள் RIG மற்றும் சன்டவுன் சுரண்டல் கருவிகள் அல்லது ஸ்பேம் அஞ்சல்கள் உட்பட பல சேனல்கள் மூலம் விநியோகிக்கப்படுகிறது, இது தாக்குபவர்களுக்கும் இந்த சேவைகளை வழங்கும் பிற சைபர் தாக்குபவர்களுக்கும் இடையிலான தொடர்பைக் குறிக்கிறது.
2.1 RTM மற்றும் Buhtrap எவ்வாறு தொடர்புடையது?
ஆர்டிஎம் பிரச்சாரம் புஹ்ட்ராப்பைப் போலவே உள்ளது. இயற்கையான கேள்வி: அவை ஒருவருக்கொருவர் எவ்வாறு தொடர்புடையவை?
செப்டம்பர் 2016 இல், Buhtrap பதிவேற்றியைப் பயன்படுத்தி RTM மாதிரி விநியோகிக்கப்படுவதைக் கண்டோம். கூடுதலாக, Buhtrap மற்றும் RTM இரண்டிலும் பயன்படுத்தப்படும் இரண்டு டிஜிட்டல் சான்றிதழ்களைக் கண்டறிந்தோம்.
DNISTER-M நிறுவனத்திற்கு வழங்கப்பட்டதாகக் கூறப்படும் முதலாவது, இரண்டாவது டெல்பி படிவத்தில் (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) மற்றும் புஹ்ட்ராப் DLL (SHA-1: 1E2642B454BCCF2B889B6B41116B83B6B2B4890BXNUMXBXNUMXBXNUMXBXNUMXBXNUMXBAXNUMX) XNUMXDXNUMX).
Bit-Tredj க்கு வழங்கப்பட்ட இரண்டாவது, Buhtrap ஏற்றிகளில் கையொப்பமிடப் பயன்படுத்தப்பட்டது (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 மற்றும் B74F71560E48488D2153AE2FB51207 எனப் பதிவிறக்கவும்.
RTM ஆபரேட்டர்கள் மற்ற மால்வேர் குடும்பங்களுக்குப் பொதுவான சான்றிதழ்களைப் பயன்படுத்துகின்றனர், ஆனால் அவர்களுக்கும் ஒரு தனிப்பட்ட சான்றிதழும் உள்ளது. ESET டெலிமெட்ரியின் படி, இது கிட்-எஸ்டிக்கு வழங்கப்பட்டது மற்றும் சில RTM மால்வேரில் கையொப்பமிட மட்டுமே பயன்படுத்தப்பட்டது (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM ஆனது Buhtrap இன் அதே ஏற்றியைப் பயன்படுத்துகிறது, RTM கூறுகள் Buhtrap உள்கட்டமைப்பிலிருந்து ஏற்றப்படுகின்றன, எனவே குழுக்களுக்கு ஒரே மாதிரியான பிணைய குறிகாட்டிகள் உள்ளன. எவ்வாறாயினும், எங்கள் மதிப்பீடுகளின்படி, RTM மற்றும் Buhtrap ஆகியவை வெவ்வேறு குழுக்களாக இருக்கின்றன, ஏனெனில் RTM வெவ்வேறு வழிகளில் விநியோகிக்கப்படுகிறது ("வெளிநாட்டு" பதிவிறக்கியைப் பயன்படுத்துவது மட்டும் அல்ல).
இருப்பினும், ஹேக்கர் குழுக்கள் இதே போன்ற செயல்பாட்டுக் கொள்கைகளைப் பயன்படுத்துகின்றன. அவர்கள் கணக்கியல் மென்பொருளைப் பயன்படுத்தி வணிகங்களை குறிவைக்கின்றனர், அதேபோன்று கணினித் தகவலைச் சேகரித்து, ஸ்மார்ட் கார்டு ரீடர்களைத் தேடுகின்றனர் மற்றும் பாதிக்கப்பட்டவர்களை உளவு பார்க்க தீங்கிழைக்கும் கருவிகளின் வரிசையைப் பயன்படுத்துகின்றனர்.
3. பரிணாமம்
இந்த பிரிவில், ஆய்வின் போது கண்டறியப்பட்ட தீம்பொருளின் வெவ்வேறு பதிப்புகளைப் பார்ப்போம்.
3.1 பதிப்பு
RTM ஒரு பதிவேட்டில் உள்ளமைவுத் தரவைச் சேமிக்கிறது, இதில் மிகவும் சுவாரஸ்யமான பகுதி botnet-prefix ஆகும். நாங்கள் ஆய்வு செய்த மாதிரிகளில் நாம் பார்த்த அனைத்து மதிப்புகளின் பட்டியல் கீழே உள்ள அட்டவணையில் வழங்கப்படுகிறது.
தீம்பொருள் பதிப்புகளைப் பதிவுசெய்ய மதிப்புகள் பயன்படுத்தப்படலாம். இருப்பினும், பிட்2 மற்றும் பிட்3, 0.1.6.4 மற்றும் 0.1.6.6 போன்ற பதிப்புகளுக்கு இடையே அதிக வித்தியாசத்தை நாங்கள் கவனிக்கவில்லை. மேலும், முன்னொட்டுகளில் ஒன்று ஆரம்பத்திலிருந்தே உள்ளது மற்றும் கீழே காட்டப்பட்டுள்ளபடி, வழக்கமான C&C டொமைனில் இருந்து .bit டொமைனாக பரிணமித்துள்ளது.
3.2 அட்டவணை
டெலிமெட்ரி தரவைப் பயன்படுத்தி, மாதிரிகள் நிகழ்வின் வரைபடத்தை உருவாக்கினோம்.
4. தொழில்நுட்ப பகுப்பாய்வு
இந்த பிரிவில், RTM வங்கி ட்ரோஜனின் முக்கிய செயல்பாடுகளை விவரிப்போம், இதில் எதிர்ப்பு வழிமுறைகள், அதன் சொந்த பதிப்பு RC4 அல்காரிதம், நெட்வொர்க் புரோட்டோகால், உளவு செயல்பாடு மற்றும் வேறு சில அம்சங்கள் ஆகியவை அடங்கும். குறிப்பாக, SHA-1 மாதிரிகள் AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 மற்றும் 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B ஆகியவற்றில் கவனம் செலுத்துவோம்.
4.1 நிறுவல் மற்றும் சேமிப்பு
4.1.1. செயல்படுத்தல்
RTM கோர் ஒரு DLL ஆகும், நூலகம் .EXE ஐப் பயன்படுத்தி வட்டில் ஏற்றப்படுகிறது. இயங்கக்கூடிய கோப்பு பொதுவாக தொகுக்கப்பட்டு DLL குறியீட்டைக் கொண்டுள்ளது. தொடங்கப்பட்டதும், அது DLL ஐ பிரித்தெடுத்து பின்வரும் கட்டளையைப் பயன்படுத்தி இயக்குகிறது:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. டிஎல்எல்
முக்கிய DLL ஆனது எப்போதும் %PROGRAMDATA%Winlogon கோப்புறையில் winlogon.lnk ஆக வட்டில் ஏற்றப்படும். இந்த கோப்பு நீட்டிப்பு பொதுவாக குறுக்குவழியுடன் தொடர்புடையது, ஆனால் கோப்பு உண்மையில் டெல்பியில் எழுதப்பட்ட DLL ஆகும், இது கீழே உள்ள படத்தில் காட்டப்பட்டுள்ளபடி டெவலப்பரால் core.dll என்று பெயரிடப்பட்டது.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
தொடங்கப்பட்டதும், ட்ரோஜன் அதன் எதிர்ப்பு பொறிமுறையை செயல்படுத்துகிறது. கணினியில் பாதிக்கப்பட்டவரின் சலுகைகளைப் பொறுத்து, இது இரண்டு வெவ்வேறு வழிகளில் செய்யப்படலாம். உங்களிடம் நிர்வாகி உரிமைகள் இருந்தால், HKLMSOFTWAREMmicrosoftWindowsCurrentVersionRun பதிவேட்டில் ட்ரோஜன் விண்டோஸ் புதுப்பிப்பு உள்ளீட்டைச் சேர்க்கிறது. விண்டோஸ் புதுப்பிப்பில் உள்ள கட்டளைகள் பயனரின் அமர்வின் தொடக்கத்தில் இயங்கும்.
HKLMSOFTWAREMmicrosoftWindowsCurrentVersionRunWindows புதுப்பிப்பு [REG_SZ] = rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject ஹோஸ்ட்
ட்ரோஜன் விண்டோஸ் டாஸ்க் ஷெட்யூலரில் ஒரு பணியைச் சேர்க்க முயற்சிக்கிறது. பணியானது winlogon.lnk DLL ஐ மேலே உள்ள அதே அளவுருக்களுடன் தொடங்கும். வழக்கமான பயனர் உரிமைகள், HKCUSoftwareMicrosoftWindowsCurrentVersionRun பதிவேட்டில் அதே தரவுகளுடன் விண்டோஸ் புதுப்பிப்பு உள்ளீட்டைச் சேர்க்க ட்ரோஜனை அனுமதிக்கின்றன:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2 மாற்றியமைக்கப்பட்ட RC4 அல்காரிதம்
அறியப்பட்ட குறைபாடுகள் இருந்தபோதிலும், RC4 அல்காரிதம் தீம்பொருள் ஆசிரியர்களால் தொடர்ந்து பயன்படுத்தப்படுகிறது. இருப்பினும், RTM உருவாக்கியவர்கள் வைரஸ் ஆய்வாளர்களின் பணியை மிகவும் கடினமாக்கும் வகையில், அதை சிறிது மாற்றியமைத்துள்ளனர். RC4 இன் மாற்றியமைக்கப்பட்ட பதிப்பு சரங்கள், பிணைய தரவு, கட்டமைப்பு மற்றும் தொகுதிகள் ஆகியவற்றை குறியாக்க தீங்கிழைக்கும் RTM கருவிகளில் பரவலாகப் பயன்படுத்தப்படுகிறது.
4.2.1. வேறுபாடுகள்
அசல் RC4 அல்காரிதம் இரண்டு நிலைகளை உள்ளடக்கியது: s-பிளாக் துவக்கம் (KSA - Key-Scheduling Algorithm) மற்றும் போலி-சீரற்ற வரிசை உருவாக்கம் (PRGA - Pseudo-Random Generation Algorithm). முதல் கட்டத்தில், விசையைப் பயன்படுத்தி s-பாக்ஸைத் துவக்குவதும், இரண்டாவது கட்டத்தில், குறியாக்கத்திற்கான s-பாக்ஸைப் பயன்படுத்தி மூல உரை செயலாக்கப்படும்.
ஆர்டிஎம் ஆசிரியர்கள் எஸ்-பாக்ஸ் துவக்கத்திற்கும் குறியாக்கத்திற்கும் இடையில் ஒரு இடைநிலை படியைச் சேர்த்துள்ளனர். கூடுதல் விசை மாறக்கூடியது மற்றும் தரவு குறியாக்கம் மற்றும் மறைகுறியாக்கம் செய்யப்பட வேண்டிய அதே நேரத்தில் அமைக்கப்படுகிறது. இந்த கூடுதல் படியைச் செய்யும் செயல்பாடு கீழே உள்ள படத்தில் காட்டப்பட்டுள்ளது.
4.2.2. சரம் குறியாக்கம்
முதல் பார்வையில், முக்கிய DLL இல் படிக்கக்கூடிய பல வரிகள் உள்ளன. மீதமுள்ளவை மேலே விவரிக்கப்பட்ட வழிமுறையைப் பயன்படுத்தி குறியாக்கம் செய்யப்படுகின்றன, அதன் அமைப்பு பின்வரும் படத்தில் காட்டப்பட்டுள்ளது. பகுப்பாய்வு செய்யப்பட்ட மாதிரிகளில் சரம் குறியாக்கத்திற்கான 25 க்கும் மேற்பட்ட வெவ்வேறு RC4 விசைகளைக் கண்டறிந்தோம். ஒவ்வொரு வரிசைக்கும் XOR விசை வேறுபட்டது. எண் புலத்தைப் பிரிக்கும் கோடுகளின் மதிப்பு எப்போதும் 0xFFFFFFFF ஆக இருக்கும்.
செயல்பாட்டின் தொடக்கத்தில், RTM ஆனது சரங்களை உலகளாவிய மாறியாக டிக்ரிப்ட் செய்கிறது. ஒரு சரத்தை அணுக வேண்டிய அவசியம் ஏற்பட்டால், அடிப்படை முகவரி மற்றும் ஆஃப்செட் ஆகியவற்றின் அடிப்படையில் ட்ரோஜன் டிக்ரிப்ட் செய்யப்பட்ட சரங்களின் முகவரியை மாறும் வகையில் கணக்கிடுகிறது.
தீம்பொருளின் செயல்பாடுகள் பற்றிய சுவாரஸ்யமான தகவல்கள் சரங்களில் உள்ளன. சில எடுத்துக்காட்டு சரங்கள் பிரிவு 6.8 இல் வழங்கப்பட்டுள்ளன.
4.3. நெட்வொர்க்
RTM மால்வேர் C&C சர்வரைத் தொடர்பு கொள்ளும் விதம் பதிப்புக்கு பதிப்பு மாறுபடும். முதல் மாற்றங்கள் (அக்டோபர் 2015 - ஏப்ரல் 2016) கட்டளைகளின் பட்டியலைப் புதுப்பிக்க livejournal.com இல் RSS ஊட்டத்துடன் பாரம்பரிய டொமைன் பெயர்களைப் பயன்படுத்தியது.
ஏப்ரல் 2016 முதல், டெலிமெட்ரி தரவுகளில் .bit டொமைன்களுக்கு மாறுவதைக் கண்டோம். இது டொமைன் பதிவு தேதியால் உறுதிப்படுத்தப்பட்டுள்ளது - முதல் RTM டொமைன் fde05d0573da.bit மார்ச் 13, 2016 அன்று பதிவு செய்யப்பட்டது.
பிரச்சாரத்தை கண்காணிக்கும் போது நாங்கள் பார்த்த அனைத்து URL களுக்கும் பொதுவான பாதை உள்ளது: /r/z.php. இது மிகவும் அசாதாரணமானது மற்றும் நெட்வொர்க் ஓட்டங்களில் RTM கோரிக்கைகளை அடையாளம் காண உதவும்.
4.3.1. கட்டளைகள் மற்றும் கட்டுப்பாட்டுக்கான சேனல்
மரபுவழி எடுத்துக்காட்டுகள் இந்த சேனலைப் பயன்படுத்தி தங்கள் கட்டளை மற்றும் கட்டுப்பாட்டு சேவையகங்களின் பட்டியலைப் புதுப்பிக்கின்றன. ஹோஸ்டிங் livejournal.com இல் உள்ளது, அறிக்கையை எழுதும் போது அது URL hxxp://f72bba81c921(.)livejournal(.)com/ data/rss இல் இருந்தது.
லைவ்ஜர்னல் என்பது ஒரு பிளாக்கிங் தளத்தை வழங்கும் ரஷ்ய-அமெரிக்க நிறுவனமாகும். RTM ஆபரேட்டர்கள் ஒரு LJ வலைப்பதிவை உருவாக்குகிறார்கள், அதில் குறியிடப்பட்ட கட்டளைகளுடன் ஒரு கட்டுரையை வெளியிடுகிறார்கள் - ஸ்கிரீன்ஷாட்டைப் பார்க்கவும்.
கட்டளை மற்றும் கட்டுப்பாட்டு கோடுகள் மாற்றியமைக்கப்பட்ட RC4 அல்காரிதம் (பிரிவு 4.2) ஐப் பயன்படுத்தி குறியாக்கம் செய்யப்படுகின்றன. சேனலின் தற்போதைய பதிப்பு (நவம்பர் 2016) பின்வரும் கட்டளை மற்றும் கட்டுப்பாட்டு சேவையக முகவரிகளைக் கொண்டுள்ளது:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. .பிட் டொமைன்கள்
மிகச் சமீபத்திய RTM மாதிரிகளில், .bit TLD உயர்மட்ட டொமைனைப் பயன்படுத்தி ஆசிரியர்கள் C&C டொமைன்களை இணைக்கின்றனர். இது உயர்மட்ட டொமைன்களின் ICANN (டொமைன் பெயர் மற்றும் இணைய நிறுவனம்) பட்டியலில் இல்லை. அதற்கு பதிலாக, இது பிட்காயின் தொழில்நுட்பத்தின் மேல் கட்டமைக்கப்பட்ட நேம்காயின் அமைப்பைப் பயன்படுத்துகிறது. மால்வேர் ஆசிரியர்கள் தங்கள் டொமைன்களுக்கு .bit TLD ஐ அடிக்கடி பயன்படுத்துவதில்லை, இருப்பினும் அத்தகைய பயன்பாட்டின் உதாரணம் முன்பு Necurs botnet பதிப்பில் காணப்பட்டது.
Bitcoin போலல்லாமல், விநியோகிக்கப்பட்ட Namecoin தரவுத்தளத்தின் பயனர்கள் தரவைச் சேமிக்கும் திறனைக் கொண்டுள்ளனர். இந்த அம்சத்தின் முக்கிய பயன்பாடு .bit உயர்மட்ட டொமைன் ஆகும். விநியோகிக்கப்பட்ட தரவுத்தளத்தில் சேமிக்கப்படும் டொமைன்களை நீங்கள் பதிவு செய்யலாம். தரவுத்தளத்தில் தொடர்புடைய உள்ளீடுகள் டொமைனால் தீர்க்கப்பட்ட IP முகவரிகளைக் கொண்டிருக்கின்றன. இந்த TLD "தணிக்கை-எதிர்ப்பு" ஏனெனில் .bit டொமைனின் தீர்மானத்தை பதிவு செய்தவர் மட்டுமே மாற்ற முடியும். இந்த வகை TLD ஐப் பயன்படுத்தி தீங்கிழைக்கும் டொமைனை நிறுத்துவது மிகவும் கடினம் என்பதே இதன் பொருள்.
விநியோகிக்கப்பட்ட Namecoin தரவுத்தளத்தைப் படிக்க தேவையான மென்பொருளை RTM Trojan உட்பொதிக்கவில்லை. இது .bit டொமைன்களைத் தீர்க்க dns.dot-bit.org அல்லது OpenNic சேவையகங்கள் போன்ற மத்திய DNS சேவையகங்களைப் பயன்படுத்துகிறது. எனவே, இது டிஎன்எஸ் சேவையகங்களைப் போலவே நீடித்திருக்கும். வலைப்பதிவு இடுகையில் குறிப்பிடப்பட்ட பிறகு சில குழு டொமைன்கள் கண்டறியப்படவில்லை என்பதை நாங்கள் கவனித்தோம்.
ஹேக்கர்களுக்கான .bit TLD இன் மற்றொரு நன்மை செலவு ஆகும். டொமைனைப் பதிவு செய்ய, ஆபரேட்டர்கள் 0,01 NK மட்டுமே செலுத்த வேண்டும், இது $0,00185 (டிசம்பர் 5, 2016 நிலவரப்படி). ஒப்பிடுகையில், domain.com குறைந்தது $10 செலவாகும்.
4.3.3. நெறிமுறை
கட்டளை மற்றும் கட்டுப்பாட்டு சேவையகத்துடன் தொடர்பு கொள்ள, தனிப்பயன் நெறிமுறையைப் பயன்படுத்தி வடிவமைக்கப்பட்ட தரவுகளுடன் HTTP POST கோரிக்கைகளை RTM பயன்படுத்துகிறது. பாதை மதிப்பு எப்போதும் /r/z.php; Mozilla/5.0 பயனர் முகவர் (இணக்கமானது; MSIE 9.0; Windows NT 6.1; Trident/5.0). சேவையகத்திற்கான கோரிக்கைகளில், தரவு பின்வருமாறு வடிவமைக்கப்பட்டுள்ளது, அங்கு ஆஃப்செட் மதிப்புகள் பைட்டுகளில் வெளிப்படுத்தப்படுகின்றன:
பைட்டுகள் 0 முதல் 6 வரை குறியாக்கம் செய்யப்படவில்லை; 6 இலிருந்து தொடங்கும் பைட்டுகள் மாற்றியமைக்கப்பட்ட RC4 அல்காரிதம் மூலம் குறியாக்கம் செய்யப்படுகின்றன. C&C மறுமொழி பாக்கெட்டின் அமைப்பு எளிமையானது. பைட்டுகள் 4 முதல் பாக்கெட் அளவு வரை குறியாக்கம் செய்யப்பட்டுள்ளன.
சாத்தியமான செயல் பைட் மதிப்புகளின் பட்டியல் கீழே உள்ள அட்டவணையில் வழங்கப்படுகிறது:
தீம்பொருள் எப்போதும் மறைகுறியாக்கப்பட்ட தரவின் CRC32 ஐக் கணக்கிட்டு, பாக்கெட்டில் உள்ளவற்றுடன் ஒப்பிடுகிறது. அவை வேறுபட்டால், ட்ரோஜன் பாக்கெட்டைக் கைவிடுகிறது.
கூடுதல் தரவுகளில் PE கோப்பு, கோப்பு முறைமையில் தேட வேண்டிய கோப்பு அல்லது புதிய கட்டளை URLகள் உட்பட பல்வேறு பொருள்கள் இருக்கலாம்.
4.3.4. குழு
C&C சர்வர்களில் RTM ஒரு பேனலைப் பயன்படுத்துவதை நாங்கள் கவனித்தோம். கீழே உள்ள ஸ்கிரீன்ஷாட்:
4.4 சிறப்பியல்பு அடையாளம்
RTM ஒரு பொதுவான வங்கி ட்ரோஜன் ஆகும். ஆபரேட்டர்கள் பாதிக்கப்பட்டவரின் அமைப்பைப் பற்றிய தகவல்களை விரும்புவதில் ஆச்சரியமில்லை. ஒருபுறம், போட் OS பற்றிய பொதுவான தகவல்களை சேகரிக்கிறது. மறுபுறம், சமரசம் செய்யப்பட்ட அமைப்பில் ரஷ்ய தொலை வங்கி அமைப்புகளுடன் தொடர்புடைய பண்புக்கூறுகள் உள்ளதா என்பதைக் கண்டறியும்.
4.4.1. பொதுவான தகவல்
மறுதொடக்கத்திற்குப் பிறகு தீம்பொருள் நிறுவப்பட்டால் அல்லது தொடங்கப்பட்டால், கட்டளை மற்றும் கட்டுப்பாட்டு சேவையகத்திற்கு ஒரு அறிக்கை அனுப்பப்படும், இதில் பின்வருவன அடங்கும்:
- நேரம் மண்டலம்;
- இயல்புநிலை கணினி மொழி;
- அங்கீகரிக்கப்பட்ட பயனர் சான்றுகள்;
- செயல்முறை ஒருமைப்பாடு நிலை;
- பயனர் பெயர்;
- கணினி பெயர்;
- OS பதிப்பு;
- கூடுதல் நிறுவப்பட்ட தொகுதிகள்;
- நிறுவப்பட்ட வைரஸ் தடுப்பு நிரல்;
- ஸ்மார்ட் கார்டு வாசகர்களின் பட்டியல்.
4.4.2 தொலை வங்கி அமைப்பு
ஒரு பொதுவான ட்ரோஜன் இலக்கு தொலைநிலை வங்கி அமைப்பு, மற்றும் RTM விதிவிலக்கல்ல. நிரலின் தொகுதிகளில் ஒன்று TBdo என்று அழைக்கப்படுகிறது, இது வட்டுகளை ஸ்கேன் செய்தல் மற்றும் உலாவுதல் வரலாறு உட்பட பல்வேறு பணிகளைச் செய்கிறது.
வட்டை ஸ்கேன் செய்வதன் மூலம், இயந்திரத்தில் வங்கி மென்பொருள் நிறுவப்பட்டுள்ளதா என்பதை ட்ரோஜன் சரிபார்க்கிறது. இலக்கு நிரல்களின் முழு பட்டியல் கீழே உள்ள அட்டவணையில் உள்ளது. ஆர்வமுள்ள கோப்பைக் கண்டறிந்த பிறகு, நிரல் கட்டளை சேவையகத்திற்கு தகவலை அனுப்புகிறது. அடுத்த செயல்கள் கட்டளை மையம் (C&C) அல்காரிதம்களால் குறிப்பிடப்பட்ட தர்க்கத்தைப் பொறுத்தது.
உங்கள் உலாவி வரலாறு மற்றும் திறந்த தாவல்களில் URL வடிவங்களையும் RTM தேடுகிறது. கூடுதலாக, நிரல் FindNextUrlCacheEntryA மற்றும் FindFirstUrlCacheEntryA செயல்பாடுகளின் பயன்பாட்டை ஆராய்கிறது, மேலும் பின்வரும் வடிவங்களில் ஒன்றிற்கு URL ஐப் பொருத்த ஒவ்வொரு உள்ளீட்டையும் சரிபார்க்கிறது:
திறந்த தாவல்களைக் கண்டறிந்த பிறகு, ட்ரோஜன் டைனமிக் டேட்டா எக்ஸ்சேஞ்ச் (டிடிஇ) பொறிமுறையின் மூலம் இன்டர்நெட் எக்ஸ்ப்ளோரர் அல்லது பயர்பாக்ஸைத் தொடர்புகொண்டு தாவல் வடிவத்துடன் பொருந்துகிறதா என்பதைச் சரிபார்க்கிறது.
உங்கள் உலாவல் வரலாறு மற்றும் திறந்த தாவல்களைச் சரிபார்ப்பது, காசோலைகளுக்கு இடையே 1 வினாடி இடைவெளியுடன் ஒரு WHILE லூப்பில் (முன்நிபந்தனையுடன் கூடிய வளையம்) செய்யப்படுகிறது. நிகழ்நேரத்தில் கண்காணிக்கப்படும் பிற தரவு பிரிவு 4.5 இல் விவாதிக்கப்படும்.
ஒரு முறை கண்டுபிடிக்கப்பட்டால், நிரல் பின்வரும் அட்டவணையில் இருந்து சரங்களின் பட்டியலைப் பயன்படுத்தி கட்டளை சேவையகத்திற்கு இதைப் புகாரளிக்கிறது:
4.5 கண்காணிப்பு
ட்ரோஜன் இயங்கும் போது, பாதிக்கப்பட்ட அமைப்பின் சிறப்பியல்பு அம்சங்கள் பற்றிய தகவல் (வங்கி மென்பொருளின் இருப்பு பற்றிய தரவு உட்பட) கட்டளை மற்றும் கட்டுப்பாட்டு சேவையகத்திற்கு அனுப்பப்படும். ஆரம்ப OS ஸ்கேன் செய்த உடனேயே RTM முதலில் கண்காணிப்பு அமைப்பை இயக்கும் போது கைரேகை நிகழ்கிறது.
4.5.1. தொலை வங்கி
வங்கி தொடர்பான செயல்முறைகளை கண்காணிப்பதற்கும் TBdo தொகுதி பொறுப்பாகும். ஆரம்ப ஸ்கேன் செய்யும் போது பயர்பாக்ஸ் மற்றும் இன்டர்நெட் எக்ஸ்ப்ளோரரில் உள்ள தாவல்களைச் சரிபார்க்க இது டைனமிக் தரவு பரிமாற்றத்தைப் பயன்படுத்துகிறது. கட்டளை சாளரங்களை கண்காணிக்க மற்றொரு TShell தொகுதி பயன்படுத்தப்படுகிறது (இன்டர்நெட் எக்ஸ்ப்ளோரர் அல்லது கோப்பு எக்ஸ்ப்ளோரர்).
தொகுதியானது COM இடைமுகங்களான IShellWindows, iWebBrowser, DWebBrowserEvents2 மற்றும் IConnectionPointContainer ஆகியவற்றை விண்டோக்களை கண்காணிக்க பயன்படுத்துகிறது. ஒரு பயனர் புதிய வலைப்பக்கத்திற்கு செல்லும்போது, தீம்பொருள் இதைக் குறிப்பிடுகிறது. இது மேலே உள்ள வடிவங்களுடன் பக்க URL ஐ ஒப்பிடுகிறது. ஒரு பொருத்தத்தை கண்டறிந்த பிறகு, ட்ரோஜன் 5 வினாடிகள் இடைவெளியில் தொடர்ச்சியாக ஆறு திரைக்காட்சிகளை எடுத்து அவற்றை C&S கட்டளை சேவையகத்திற்கு அனுப்புகிறது. நிரல் வங்கி மென்பொருள் தொடர்பான சில சாளர பெயர்களையும் சரிபார்க்கிறது - முழு பட்டியல் கீழே உள்ளது:
4.5.2. ஸ்மார்ட் கார்டு
பாதிக்கப்பட்ட கணினிகளுடன் இணைக்கப்பட்ட ஸ்மார்ட் கார்டு ரீடர்களைக் கண்காணிக்க RTM உங்களை அனுமதிக்கிறது. இந்தச் சாதனங்கள் சில நாடுகளில் பேமெண்ட் ஆர்டர்களை சீரமைக்கப் பயன்படுத்தப்படுகின்றன. இந்த வகையான சாதனம் ஒரு கணினியுடன் இணைக்கப்பட்டிருந்தால், அது வங்கி பரிவர்த்தனைகளுக்கு இயந்திரம் பயன்படுத்தப்படுவதை ட்ரோஜனுக்குக் குறிக்கும்.
மற்ற வங்கி ட்ரோஜான்களைப் போலல்லாமல், RTM போன்ற ஸ்மார்ட் கார்டுகளுடன் தொடர்பு கொள்ள முடியாது. ஒருவேளை இந்த செயல்பாடு நாம் இதுவரை பார்க்காத கூடுதல் தொகுதியில் சேர்க்கப்பட்டுள்ளது.
4.5.3. கீலாக்கர்
பாதிக்கப்பட்ட கணினியைக் கண்காணிப்பதில் முக்கியப் பகுதி விசை அழுத்தங்களைக் கைப்பற்றுவதாகும். ஆர்டிஎம் டெவலப்பர்கள் வழக்கமான விசைகளை மட்டுமல்ல, மெய்நிகர் விசைப்பலகை மற்றும் கிளிப்போர்டையும் கண்காணிப்பதால், அவர்கள் எந்த தகவலையும் இழக்கவில்லை என்று தெரிகிறது.
இதைச் செய்ய, SetWindowsHookExA செயல்பாட்டைப் பயன்படுத்தவும். தாக்குபவர்கள் அழுத்தப்பட்ட விசைகள் அல்லது விர்ச்சுவல் விசைப்பலகையுடன் தொடர்புடைய விசைகளை நிரலின் பெயர் மற்றும் தேதியுடன் பதிவு செய்கிறார்கள். இடையகமானது பின்னர் C&C கட்டளை சேவையகத்திற்கு அனுப்பப்படும்.
கிளிப்போர்டை இடைமறிக்க SetClipboardViewer செயல்பாடு பயன்படுத்தப்படுகிறது. தரவு உரையாக இருக்கும்போது ஹேக்கர்கள் கிளிப்போர்டின் உள்ளடக்கங்களை பதிவு செய்கிறார்கள். இடையகம் சேவையகத்திற்கு அனுப்பப்படுவதற்கு முன்பு பெயர் மற்றும் தேதியும் பதிவு செய்யப்பட்டுள்ளது.
4.5.4. ஸ்கிரீன்ஷாட்கள்
மற்றொரு RTM செயல்பாடு ஸ்கிரீன்ஷாட் இடைமறிப்பு ஆகும். சாளர கண்காணிப்பு தொகுதி ஆர்வமுள்ள தளம் அல்லது வங்கி மென்பொருளைக் கண்டறியும் போது இந்த அம்சம் பயன்படுத்தப்படுகிறது. கிராஃபிக் படங்களின் நூலகத்தைப் பயன்படுத்தி ஸ்கிரீன் ஷாட்கள் எடுக்கப்பட்டு கட்டளை சேவையகத்திற்கு மாற்றப்படும்.
4.6 நிறுவல் நீக்கம்
C&C சர்வர் மால்வேர் இயங்குவதை நிறுத்தி உங்கள் கணினியை சுத்தம் செய்யும். ஆர்டிஎம் இயங்கும் போது உருவாக்கப்பட்ட கோப்புகள் மற்றும் பதிவேட்டில் உள்ளீடுகளை அழிக்க கட்டளை உங்களை அனுமதிக்கிறது. DLL ஆனது தீம்பொருள் மற்றும் வின்லோகன் கோப்பை அகற்ற பயன்படுகிறது, அதன் பிறகு கட்டளை கணினியை மூடுகிறது. கீழே உள்ள படத்தில் காட்டப்பட்டுள்ளபடி, erase.dll ஐப் பயன்படுத்தி டெவலப்பர்களால் DLL அகற்றப்பட்டது.
சேவையகம் ட்ரோஜனுக்கு ஒரு அழிவுகரமான நிறுவல் நீக்க-பூட்டு கட்டளையை அனுப்ப முடியும். இந்த வழக்கில், உங்களிடம் நிர்வாகி உரிமைகள் இருந்தால், வன்வட்டில் உள்ள MBR துவக்கத் துறையை RTM நீக்கும். இது தோல்வியுற்றால், ட்ரோஜன் MBR துவக்கத் துறையை ஒரு சீரற்ற துறைக்கு மாற்ற முயற்சிக்கும் - பின்னர் பணிநிறுத்தத்திற்குப் பிறகு கணினி OS ஐ துவக்க முடியாது. இது OS இன் முழுமையான மறுநிறுவலுக்கு வழிவகுக்கும், அதாவது ஆதாரங்களின் அழிவு.
நிர்வாகி சலுகைகள் இல்லாமல், தீம்பொருள் அடிப்படை RTM DLL இல் குறியிடப்பட்ட .EXE ஐ எழுதுகிறது. இயங்கக்கூடியது கணினியை மூடுவதற்கு தேவையான குறியீட்டை செயல்படுத்துகிறது மற்றும் HKCUCurrentVersionRun ரெஜிஸ்ட்ரி விசையில் தொகுதியை பதிவு செய்கிறது. பயனர் ஒரு அமர்வைத் தொடங்கும் ஒவ்வொரு முறையும், கணினி உடனடியாக நிறுத்தப்படும்.
4.7. கட்டமைப்பு கோப்பு
இயல்பாக, RTM இல் கிட்டத்தட்ட உள்ளமைவு கோப்பு இல்லை, ஆனால் கட்டளை மற்றும் கட்டுப்பாட்டு சேவையகம் உள்ளமைவு மதிப்புகளை அனுப்ப முடியும், அவை பதிவேட்டில் சேமிக்கப்பட்டு நிரலால் பயன்படுத்தப்படும். உள்ளமைவு விசைகளின் பட்டியல் கீழே உள்ள அட்டவணையில் வழங்கப்படுகிறது:
உள்ளமைவு மென்பொருள்[சூடோ-ரேண்டம் சரம்] பதிவேட்டில் சேமிக்கப்படுகிறது. ஒவ்வொரு மதிப்பும் முந்தைய அட்டவணையில் வழங்கப்பட்ட வரிசைகளில் ஒன்றுக்கு ஒத்திருக்கிறது. மதிப்புகள் மற்றும் தரவு RTM இல் RC4 அல்காரிதம் பயன்படுத்தி குறியாக்கம் செய்யப்படுகின்றன.
தரவு நெட்வொர்க் அல்லது சரங்களைப் போன்ற அதே அமைப்பைக் கொண்டுள்ளது. குறியிடப்பட்ட தரவின் தொடக்கத்தில் நான்கு பைட் XOR விசை சேர்க்கப்படுகிறது. உள்ளமைவு மதிப்புகளுக்கு, XOR விசை வேறுபட்டது மற்றும் மதிப்பின் அளவைப் பொறுத்தது. அதை பின்வருமாறு கணக்கிடலாம்:
xor_key = (len(config_value) << 24) | (லென்(config_value) << 16)
| len(config_value)| (லென்(config_value) << 8)
4.8. மற்ற அம்சங்கள்
அடுத்து, RTM ஆதரிக்கும் பிற செயல்பாடுகளைப் பார்ப்போம்.
4.8.1. கூடுதல் தொகுதிகள்
ட்ரோஜனில் கூடுதல் தொகுதிகள் உள்ளன, அவை DLL கோப்புகள். C&C கட்டளை சேவையகத்திலிருந்து அனுப்பப்படும் தொகுதிகள் வெளிப்புற நிரல்களாக செயல்படுத்தப்படலாம், RAM இல் பிரதிபலிக்கப்பட்டு புதிய த்ரெட்களில் தொடங்கப்படும். சேமிப்பகத்திற்காக, தொகுதிகள் .dtt கோப்புகளில் சேமிக்கப்பட்டு, பிணையத் தொடர்புகளுக்குப் பயன்படுத்தப்படும் அதே விசையுடன் RC4 அல்காரிதத்தைப் பயன்படுத்தி குறியாக்கம் செய்யப்படுகின்றன.
இதுவரை VNC தொகுதி (8966319882494077C21F66A8354E2CBCA0370464), உலாவி தரவுப் பிரித்தெடுக்கும் தொகுதி (03DE8622BE6B2F75A364A275995C3411626C4C9C1C2C1C562C1C69C6 58E88753F7EFC0FBA3 B4BEXNUMXDXNUMXBXNUMXEXNUMXCFAB).
VNC தொகுதியை ஏற்றுவதற்கு, C&C சேவையகம் போர்ட் 44443 இல் உள்ள ஒரு குறிப்பிட்ட IP முகவரியில் VNC சேவையகத்திற்கான இணைப்புகளைக் கோரும் கட்டளையை வழங்குகிறது. உலாவி தரவு மீட்டெடுப்பு செருகுநிரல் TBrowserDataCollector ஐ இயக்குகிறது, இது IE உலாவல் வரலாற்றைப் படிக்க முடியும். பின்னர் பார்வையிட்ட URLகளின் முழுப் பட்டியலையும் C&C கட்டளை சேவையகத்திற்கு அனுப்புகிறது.
கடைசியாக கண்டுபிடிக்கப்பட்ட தொகுதி 1c_2_kl என்று அழைக்கப்படுகிறது. இது 1C எண்டர்பிரைஸ் மென்பொருள் தொகுப்புடன் தொடர்பு கொள்ளலாம். தொகுதி இரண்டு பகுதிகளை உள்ளடக்கியது: முக்கிய பகுதி - DLL மற்றும் இரண்டு முகவர்கள் (32 மற்றும் 64 பிட்), இது ஒவ்வொரு செயல்முறையிலும் உட்செலுத்தப்படும், WH_CBT உடன் பிணைப்பை பதிவு செய்யும். 1C செயல்முறையில் அறிமுகப்படுத்தப்பட்ட பின்னர், தொகுதி CreateFile மற்றும் WriteFile செயல்பாடுகளை பிணைக்கிறது. CreateFile bound செயல்பாடு அழைக்கப்படும் போதெல்லாம், தொகுதி 1c_to_kl.txt கோப்பு பாதையை நினைவகத்தில் சேமிக்கிறது. WriteFile அழைப்பை இடைமறித்த பிறகு, அது WriteFile செயல்பாட்டை அழைக்கிறது மற்றும் கோப்பு பாதை 1c_to_kl.txt ஐ முதன்மை DLL தொகுதிக்கு அனுப்புகிறது, இது வடிவமைக்கப்பட்ட Windows WM_COPYDATA செய்தியை அனுப்புகிறது.
பிரதான DLL தொகுதியானது கட்டண ஆர்டர்களைத் தீர்மானிக்க கோப்பைத் திறந்து பாகுபடுத்துகிறது. இது கோப்பில் உள்ள தொகை மற்றும் பரிவர்த்தனை எண்ணை அங்கீகரிக்கிறது. இந்த தகவல் கட்டளை சேவையகத்திற்கு அனுப்பப்படுகிறது. பிழைத்திருத்தச் செய்தியைக் கொண்டிருப்பதால், 1c_to_kl.txt ஐ தானாக மாற்ற முடியாது என்பதால், இந்த தொகுதி தற்போது உருவாக்கத்தில் உள்ளது என நம்புகிறோம்.
4.8.2. சிறப்புரிமை அதிகரிப்பு
RTM தவறான பிழை செய்திகளைக் காண்பிப்பதன் மூலம் சலுகைகளை அதிகரிக்க முயற்சி செய்யலாம். தீம்பொருள் ஒரு பதிவேட்டில் சரிபார்ப்பை உருவகப்படுத்துகிறது (கீழே உள்ள படத்தைப் பார்க்கவும்) அல்லது உண்மையான ரெஜிஸ்ட்ரி எடிட்டர் ஐகானைப் பயன்படுத்துகிறது. எழுத்துப்பிழை காத்திரு - வாயிட் என்பதை நினைவில் கொள்ளவும். ஸ்கேன் செய்த சில வினாடிகளுக்குப் பிறகு, நிரல் தவறான பிழை செய்தியைக் காட்டுகிறது.
இலக்கணப் பிழைகள் இருந்தாலும் ஒரு தவறான செய்தி சராசரி பயனரை எளிதில் ஏமாற்றிவிடும். பயனர் இரண்டு இணைப்புகளில் ஒன்றைக் கிளிக் செய்தால், RTM கணினியில் அதன் சிறப்புரிமைகளை அதிகரிக்க முயற்சிக்கும்.
இரண்டு மீட்டெடுப்பு விருப்பங்களில் ஒன்றைத் தேர்ந்தெடுத்த பிறகு, ட்ரோஜன் நிர்வாக சலுகைகளுடன் ஷெல்எக்சிக்யூட் செயல்பாட்டில் ரன்ஸ் விருப்பத்தைப் பயன்படுத்தி DLL ஐத் தொடங்குகிறது. பயனர் உயரத்திற்கான உண்மையான விண்டோஸ் வரியில் (கீழே உள்ள படத்தைப் பார்க்கவும்) பார்ப்பார். பயனர் தேவையான அனுமதிகளை வழங்கினால், ட்ரோஜன் நிர்வாகி உரிமைகளுடன் இயங்கும்.
கணினியில் நிறுவப்பட்ட இயல்புநிலை மொழியைப் பொறுத்து, ட்ரோஜன் ரஷ்ய அல்லது ஆங்கிலத்தில் பிழை செய்திகளைக் காட்டுகிறது.
4.8.3. சான்றிதழ்
RTM ஆனது Windows Store இல் சான்றிதழ்களைச் சேர்க்கலாம் மற்றும் csrss.exe உரையாடல் பெட்டியில் உள்ள "ஆம்" பொத்தானைத் தானாகக் கிளிக் செய்வதன் மூலம் கூடுதலாக நம்பகத்தன்மையை உறுதிப்படுத்தலாம். இந்த நடத்தை புதியது அல்ல; எடுத்துக்காட்டாக, வங்கி Trojan Retefe ஒரு புதிய சான்றிதழை நிறுவுவதை சுயாதீனமாக உறுதிப்படுத்துகிறது.
4.8.4. தலைகீழ் இணைப்பு
RTM ஆசிரியர்கள் Backconnect TCP சுரங்கப்பாதையையும் உருவாக்கினர். பயன்பாட்டில் உள்ள அம்சத்தை நாங்கள் இன்னும் பார்க்கவில்லை, ஆனால் இது பாதிக்கப்பட்ட PCகளை தொலைவிலிருந்து கண்காணிக்க வடிவமைக்கப்பட்டுள்ளது.
4.8.5. ஹோஸ்ட் கோப்பு மேலாண்மை
விண்டோஸ் ஹோஸ்ட் கோப்பை மாற்றுவதற்கு C&C சர்வர் ட்ரோஜனுக்கு ஒரு கட்டளையை அனுப்ப முடியும். தனிப்பயன் DNS தீர்மானங்களை உருவாக்க ஹோஸ்ட் கோப்பு பயன்படுத்தப்படுகிறது.
4.8.6. ஒரு கோப்பைக் கண்டுபிடித்து அனுப்பவும்
பாதிக்கப்பட்ட கணினியில் கோப்பைத் தேட மற்றும் பதிவிறக்க சேவையகம் கோரலாம். எடுத்துக்காட்டாக, ஆராய்ச்சியின் போது 1c_to_kl.txt கோப்பிற்கான கோரிக்கையைப் பெற்றோம். முன்பு விவரித்தபடி, இந்தக் கோப்பு 1C: Enterprise 8 கணக்கியல் அமைப்பால் உருவாக்கப்படுகிறது.
4.8.7. புதுப்பிக்கவும்
இறுதியாக, RTM ஆசிரியர்கள் தற்போதைய பதிப்பிற்குப் பதிலாக புதிய DLLஐச் சமர்ப்பிப்பதன் மூலம் மென்பொருளைப் புதுப்பிக்கலாம்.
5. முடிவுக்கு
RTM இன் ஆராய்ச்சி ரஷ்ய வங்கி அமைப்பு இன்னும் சைபர் தாக்குபவர்களை ஈர்க்கிறது என்பதைக் காட்டுகிறது. Buhtrap, Corkow மற்றும் Carbanak போன்ற குழுக்கள் ரஷ்யாவில் உள்ள நிதி நிறுவனங்கள் மற்றும் அவர்களது வாடிக்கையாளர்களிடமிருந்து பணத்தை வெற்றிகரமாக திருடுகின்றன. RTM இந்த துறையில் ஒரு புதிய வீரர்.
ESET டெலிமெட்ரியின் படி, தீங்கிழைக்கும் RTM கருவிகள் குறைந்தது 2015 இன் பிற்பகுதியிலிருந்து பயன்பாட்டில் உள்ளன. ஸ்மார்ட் கார்டுகளைப் படிப்பது, விசை அழுத்தங்களை இடைமறிப்பது மற்றும் வங்கிப் பரிவர்த்தனைகளைக் கண்காணிப்பது, அத்துடன் 1C: எண்டர்பிரைஸ் 8 டிரான்ஸ்போர்ட் கோப்புகளைத் தேடுவது உள்ளிட்ட முழு அளவிலான உளவு திறன்களை நிரல் கொண்டுள்ளது.
ஒரு பரவலாக்கப்பட்ட, தணிக்கை செய்யப்படாத .பிட் உயர்மட்ட டொமைனின் பயன்பாடு மிகவும் மீள்தன்மையுடைய உள்கட்டமைப்பை உறுதி செய்கிறது.
ஆதாரம்: www.habr.com