రష్యన్ కంపెనీల నుండి నిధులను దొంగిలించడంలో నైపుణ్యం కలిగిన అనేక సైబర్ సమూహాలు ఉన్నాయి. లక్ష్యం యొక్క నెట్వర్క్కు ప్రాప్యతను అనుమతించే భద్రతా లొసుగులను ఉపయోగించి దాడులను మేము చూశాము. వారు ప్రాప్యతను పొందిన తర్వాత, దాడి చేసేవారు సంస్థ యొక్క నెట్వర్క్ నిర్మాణాన్ని అధ్యయనం చేస్తారు మరియు నిధులను దొంగిలించడానికి వారి స్వంత సాధనాలను అమలు చేస్తారు. బుహ్ట్రాప్, కోబాల్ట్ మరియు కార్కో అనే హ్యాకర్ గ్రూపులు ఈ ట్రెండ్కి ఒక క్లాసిక్ ఉదాహరణ.
ఈ నివేదికపై దృష్టి సారించిన RTM సమూహం ఈ ధోరణిలో భాగం. ఇది డెల్ఫీలో వ్రాయబడిన ప్రత్యేకంగా రూపొందించబడిన మాల్వేర్ను ఉపయోగిస్తుంది, మేము ఈ క్రింది విభాగాలలో మరింత వివరంగా పరిశీలిస్తాము. ESET టెలిమెట్రీ సిస్టమ్లోని ఈ సాధనాల యొక్క మొదటి జాడలు 2015 చివరిలో కనుగొనబడ్డాయి. బృందం అవసరమైన విధంగా సోకిన సిస్టమ్లలోకి వివిధ కొత్త మాడ్యూళ్లను లోడ్ చేస్తుంది. రష్యా మరియు కొన్ని పొరుగు దేశాలలో రిమోట్ బ్యాంకింగ్ వ్యవస్థలను ఉపయోగించే వినియోగదారులపై దాడులు జరిగాయి.
RTM ప్రచారం కార్పొరేట్ వినియోగదారులను లక్ష్యంగా చేసుకుంది - దాడి చేసేవారు రాజీపడిన సిస్టమ్లో గుర్తించడానికి ప్రయత్నించే ప్రక్రియల నుండి ఇది స్పష్టంగా కనిపిస్తుంది. రిమోట్ బ్యాంకింగ్ సిస్టమ్లతో పని చేయడానికి అకౌంటింగ్ సాఫ్ట్వేర్పై దృష్టి కేంద్రీకరించబడింది.
RTMకి సంబంధించిన ప్రక్రియల జాబితా బుహ్ట్రాప్ సమూహం యొక్క సంబంధిత జాబితాను పోలి ఉంటుంది, అయితే సమూహాలు వేర్వేరు ఇన్ఫెక్షన్ వెక్టర్లను కలిగి ఉంటాయి. Buhtrap తరచుగా నకిలీ పేజీలను ఉపయోగిస్తుంటే, RTM డ్రైవ్-బై డౌన్లోడ్ దాడులను (బ్రౌజర్ లేదా దాని భాగాలపై దాడులు) మరియు ఇమెయిల్ ద్వారా స్పామింగ్ను ఉపయోగించింది. టెలిమెట్రీ డేటా ప్రకారం, ముప్పు రష్యా మరియు అనేక సమీప దేశాల (ఉక్రెయిన్, కజాఖ్స్తాన్, చెక్ రిపబ్లిక్, జర్మనీ) లక్ష్యంగా ఉంది. అయినప్పటికీ, మాస్ డిస్ట్రిబ్యూషన్ మెకానిజమ్ల ఉపయోగం కారణంగా, లక్ష్య ప్రాంతాల వెలుపల మాల్వేర్ను గుర్తించడంలో ఆశ్చర్యం లేదు.
మాల్వేర్ గుర్తింపుల సంఖ్య చాలా తక్కువగా ఉంది. మరోవైపు, RTM ప్రచారం సంక్లిష్టమైన ప్రోగ్రామ్లను ఉపయోగిస్తుంది, ఇది దాడులు ఎక్కువగా లక్ష్యంగా ఉన్నాయని సూచిస్తుంది.
మేము ఉనికిలో లేని ఒప్పందాలు, ఇన్వాయిస్లు లేదా పన్ను అకౌంటింగ్ డాక్యుమెంట్లతో సహా RTM ఉపయోగించే అనేక డికాయ్ డాక్యుమెంట్లను కనుగొన్నాము. ఎరల స్వభావం, దాడిని లక్ష్యంగా చేసుకున్న సాఫ్ట్వేర్ రకంతో కలిపి, దాడి చేసేవారు అకౌంటింగ్ విభాగం ద్వారా రష్యన్ కంపెనీల నెట్వర్క్లలోకి "ప్రవేశిస్తున్నారని" సూచిస్తుంది. సమూహం అదే పథకం ప్రకారం పనిచేసింది
పరిశోధన సమయంలో, మేము అనేక C&C సర్వర్లతో పరస్పర చర్య చేయగలిగాము. కింది విభాగాలలో మేము ఆదేశాల పూర్తి జాబితాను జాబితా చేస్తాము, కానీ ప్రస్తుతానికి క్లయింట్ కీలాగర్ నుండి నేరుగా దాడి చేసే సర్వర్కు డేటాను బదిలీ చేస్తుందని చెప్పగలం, దాని నుండి అదనపు ఆదేశాలు స్వీకరించబడతాయి.
అయితే, మీరు కేవలం కమాండ్ మరియు కంట్రోల్ సర్వర్కి కనెక్ట్ చేసి, మీకు ఆసక్తి ఉన్న మొత్తం డేటాను సేకరించే రోజులు పోయాయి. సర్వర్ నుండి కొన్ని సంబంధిత ఆదేశాలను పొందడానికి మేము వాస్తవిక లాగ్ ఫైల్లను పునఃసృష్టించాము.
వాటిలో మొదటిది 1c_to_kl.txt ఫైల్ను బదిలీ చేయమని బోట్కి చేసిన అభ్యర్థన - 1C: Enterprise 8 ప్రోగ్రామ్ యొక్క రవాణా ఫైల్, దీని రూపాన్ని RTM చురుకుగా పర్యవేక్షిస్తుంది. 1C టెక్స్ట్ ఫైల్కు అవుట్గోయింగ్ చెల్లింపుల డేటాను అప్లోడ్ చేయడం ద్వారా రిమోట్ బ్యాంకింగ్ సిస్టమ్లతో పరస్పర చర్య చేస్తుంది. తరువాత, ఫైల్ ఆటోమేషన్ మరియు చెల్లింపు ఆర్డర్ యొక్క అమలు కోసం రిమోట్ బ్యాంకింగ్ సిస్టమ్కు పంపబడుతుంది.
ఫైల్ చెల్లింపు వివరాలను కలిగి ఉంది. దాడి చేసేవారు అవుట్గోయింగ్ చెల్లింపుల గురించిన సమాచారాన్ని మార్చినట్లయితే, దాడి చేసేవారి ఖాతాలకు తప్పుడు వివరాలను ఉపయోగించి బదిలీ పంపబడుతుంది.
కమాండ్ మరియు కంట్రోల్ సర్వర్ నుండి ఈ ఫైల్లను అభ్యర్థించిన ఒక నెల తర్వాత, మేము ఒక కొత్త ప్లగ్ఇన్, 1c_2_kl.dll, కాంప్రమైజ్డ్ సిస్టమ్లో లోడ్ అవుతున్నట్లు గమనించాము. మాడ్యూల్ (DLL) అకౌంటింగ్ సాఫ్ట్వేర్ ప్రక్రియలలోకి చొచ్చుకుపోవడం ద్వారా డౌన్లోడ్ ఫైల్ను స్వయంచాలకంగా విశ్లేషించడానికి రూపొందించబడింది. మేము దానిని క్రింది విభాగాలలో వివరంగా వివరిస్తాము.
ఆసక్తికరంగా, 2016 చివరిలో బ్యాంక్ ఆఫ్ రష్యా యొక్క FinCERT 1c_to_kl.txt అప్లోడ్ ఫైల్లను ఉపయోగించి సైబర్ నేరగాళ్ల గురించి బులెటిన్ హెచ్చరికను జారీ చేసింది. 1C నుండి డెవలపర్లకు కూడా ఈ పథకం గురించి తెలుసు; వారు ఇప్పటికే అధికారిక ప్రకటన చేసారు మరియు జాగ్రత్తలను జాబితా చేసారు.
ఇతర మాడ్యూల్స్ కూడా కమాండ్ సర్వర్ నుండి లోడ్ చేయబడ్డాయి, ప్రత్యేకించి VNC (దాని 32 మరియు 64-బిట్ వెర్షన్లు). ఇది గతంలో డ్రిడెక్స్ ట్రోజన్ దాడులలో ఉపయోగించిన VNC మాడ్యూల్ను పోలి ఉంటుంది. ఈ మాడ్యూల్ సోకిన కంప్యూటర్కు రిమోట్గా కనెక్ట్ చేయడానికి మరియు సిస్టమ్ యొక్క వివరణాత్మక అధ్యయనాన్ని నిర్వహించడానికి ఉపయోగించబడుతుంది. తరువాత, దాడి చేసేవారు నెట్వర్క్ చుట్టూ తిరగడానికి ప్రయత్నిస్తారు, వినియోగదారు పాస్వర్డ్లను సంగ్రహిస్తారు, సమాచారాన్ని సేకరిస్తారు మరియు మాల్వేర్ యొక్క స్థిరమైన ఉనికిని నిర్ధారిస్తారు.
2. సంక్రమణ వెక్టర్స్
ప్రచారం యొక్క అధ్యయన కాలంలో కనుగొనబడిన ఇన్ఫెక్షన్ వెక్టర్లను క్రింది బొమ్మ చూపుతుంది. సమూహం విస్తృత శ్రేణి వెక్టర్లను ఉపయోగిస్తుంది, కానీ ప్రధానంగా డ్రైవ్-బై డౌన్లోడ్ దాడులు మరియు స్పామ్. లక్ష్య దాడులకు ఈ సాధనాలు సౌకర్యవంతంగా ఉంటాయి, మొదటి సందర్భంలో, దాడి చేసేవారు సంభావ్య బాధితులు సందర్శించే సైట్లను ఎంచుకోవచ్చు మరియు రెండవది, వారు కోరుకున్న కంపెనీ ఉద్యోగులకు నేరుగా జోడింపులతో ఇమెయిల్ పంపవచ్చు.
మాల్వేర్ RIG మరియు సన్డౌన్ ఎక్స్ప్లోయిట్ కిట్లు లేదా స్పామ్ మెయిలింగ్లతో సహా బహుళ ఛానెల్ల ద్వారా పంపిణీ చేయబడుతుంది, దాడి చేసేవారు మరియు ఈ సేవలను అందించే ఇతర సైబర్టాకర్ల మధ్య కనెక్షన్లను సూచిస్తుంది.
2.1 RTM మరియు Buhtrap ఎలా సంబంధం కలిగి ఉన్నాయి?
RTM ప్రచారం బుహ్ట్రాప్ని పోలి ఉంటుంది. సహజమైన ప్రశ్న: అవి ఒకదానికొకటి ఎలా సంబంధం కలిగి ఉన్నాయి?
సెప్టెంబర్ 2016లో, బుహ్ట్రాప్ అప్లోడర్ని ఉపయోగించి RTM నమూనా పంపిణీ చేయబడడాన్ని మేము గమనించాము. అదనంగా, మేము బుహ్ట్రాప్ మరియు RTM రెండింటిలోనూ ఉపయోగించిన రెండు డిజిటల్ సర్టిఫికేట్లను కనుగొన్నాము.
మొదటిది, DNISTER-M కంపెనీకి జారీ చేయబడిందని ఆరోపిస్తూ, రెండవ డెల్ఫీ ఫారమ్ (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) మరియు బుహ్ట్రాప్ DLL (SHA-1: 1E2642B454DCF2DCF889B6B41116B83B6B2B4890BXNUMXDCFXNUMX) XNUMXDXNUMX).
Bit-Tredjకి జారీ చేయబడిన రెండవది, బుహ్ట్రాప్ లోడర్లను సంతకం చేయడానికి ఉపయోగించబడింది (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 మరియు B74F71560E48488D2153AE2FB51207 వంటి కాంపోనెంట్లను డౌన్లోడ్ చేయండి మరియు అలాగే.
RTM ఆపరేటర్లు ఇతర మాల్వేర్ కుటుంబాలకు సాధారణమైన సర్టిఫికేట్లను ఉపయోగిస్తారు, కానీ వారికి ప్రత్యేక ప్రమాణపత్రం కూడా ఉంటుంది. ESET టెలిమెట్రీ ప్రకారం, ఇది Kit-SDకి జారీ చేయబడింది మరియు కొన్ని RTM మాల్వేర్పై సంతకం చేయడానికి మాత్రమే ఉపయోగించబడింది (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM Buhtrap వలె అదే లోడర్ను ఉపయోగిస్తుంది, RTM భాగాలు బుహ్ట్రాప్ ఇన్ఫ్రాస్ట్రక్చర్ నుండి లోడ్ చేయబడతాయి, కాబట్టి సమూహాలు ఒకే విధమైన నెట్వర్క్ సూచికలను కలిగి ఉంటాయి. అయినప్పటికీ, మా అంచనాల ప్రకారం, RTM మరియు Buhtrap వేర్వేరు సమూహాలు, కనీసం RTM వివిధ మార్గాల్లో పంపిణీ చేయబడినందున (“విదేశీ” డౌన్లోడ్ను ఉపయోగించడం మాత్రమే కాదు).
అయినప్పటికీ, హ్యాకర్ సమూహాలు ఇలాంటి ఆపరేటింగ్ సూత్రాలను ఉపయోగిస్తాయి. వారు అకౌంటింగ్ సాఫ్ట్వేర్ను ఉపయోగించి వ్యాపారాలను లక్ష్యంగా చేసుకుంటారు, అదేవిధంగా సిస్టమ్ సమాచారాన్ని సేకరించడం, స్మార్ట్ కార్డ్ రీడర్ల కోసం శోధించడం మరియు బాధితులపై గూఢచర్యం చేయడానికి హానికరమైన సాధనాల శ్రేణిని అమలు చేయడం.
3. పరిణామం
ఈ విభాగంలో, మేము అధ్యయనం సమయంలో కనుగొనబడిన మాల్వేర్ యొక్క విభిన్న సంస్కరణలను పరిశీలిస్తాము.
3.1 సంస్కరణ
RTM కాన్ఫిగరేషన్ డేటాను రిజిస్ట్రీ విభాగంలో నిల్వ చేస్తుంది, అత్యంత ఆసక్తికరమైన భాగం బోట్నెట్-ప్రిఫిక్స్. మేము అధ్యయనం చేసిన నమూనాలలో మేము చూసిన అన్ని విలువల జాబితా క్రింది పట్టికలో ప్రదర్శించబడింది.
మాల్వేర్ సంస్కరణలను రికార్డ్ చేయడానికి విలువలు ఉపయోగించబడే అవకాశం ఉంది. అయినప్పటికీ, మేము bit2 మరియు bit3, 0.1.6.4 మరియు 0.1.6.6 వంటి సంస్కరణల మధ్య చాలా తేడాను గమనించలేదు. అంతేకాకుండా, ఉపసర్గలలో ఒకటి ప్రారంభం నుండి ఉంది మరియు దిగువ చూపిన విధంగా సాధారణ C&C డొమైన్ నుండి .bit డొమైన్గా అభివృద్ధి చెందింది.
3.2 షెడ్యూల్
టెలిమెట్రీ డేటాను ఉపయోగించి, మేము నమూనాల సంభవించిన గ్రాఫ్ను సృష్టించాము.
4. సాంకేతిక విశ్లేషణ
ఈ విభాగంలో, మేము ప్రతిఘటన మెకానిజమ్లు, దాని స్వంత RC4 అల్గారిథమ్, నెట్వర్క్ ప్రోటోకాల్, గూఢచర్యం కార్యాచరణ మరియు కొన్ని ఇతర లక్షణాలతో సహా RTM బ్యాంకింగ్ ట్రోజన్ యొక్క ప్రధాన విధులను వివరిస్తాము. ప్రత్యేకించి, మేము SHA-1 నమూనాలను AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 మరియు 48BC113EC8BA20B8B80CD5D4DA92051A19D1032Bపై దృష్టి పెడతాము.
4.1 సంస్థాపన మరియు పొదుపు
4.1.1 అమలు
RTM కోర్ DLL, లైబ్రరీ .EXE ఉపయోగించి డిస్క్లోకి లోడ్ చేయబడుతుంది. ఎక్జిక్యూటబుల్ ఫైల్ సాధారణంగా ప్యాక్ చేయబడుతుంది మరియు DLL కోడ్ని కలిగి ఉంటుంది. ప్రారంభించిన తర్వాత, ఇది DLLని సంగ్రహిస్తుంది మరియు కింది ఆదేశాన్ని ఉపయోగించి దాన్ని అమలు చేస్తుంది:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host
4.1.2 DLL
ప్రధాన DLL ఎల్లప్పుడూ %PROGRAMDATA%Winlogon ఫోల్డర్లో winlogon.lnk వలె డిస్క్కి లోడ్ చేయబడుతుంది. ఈ ఫైల్ పొడిగింపు సాధారణంగా షార్ట్కట్తో అనుబంధించబడుతుంది, అయితే ఫైల్ వాస్తవానికి డెల్ఫీలో వ్రాయబడిన DLL, డెవలపర్ ద్వారా core.dll అని పేరు పెట్టబడింది, ఈ క్రింది చిత్రంలో చూపబడింది.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
ప్రారంభించిన తర్వాత, ట్రోజన్ దాని నిరోధక యంత్రాంగాన్ని సక్రియం చేస్తుంది. వ్యవస్థలో బాధితుని అధికారాలను బట్టి ఇది రెండు రకాలుగా చేయవచ్చు. మీకు నిర్వాహక హక్కులు ఉంటే, HKLMSOFTWAREMmicrosoftWindowsCurrentVersionRun రిజిస్ట్రీకి ట్రోజన్ విండోస్ అప్డేట్ ఎంట్రీని జోడిస్తుంది. విండోస్ అప్డేట్లో ఉన్న కమాండ్లు యూజర్ సెషన్ ప్రారంభంలో రన్ అవుతాయి.
HKLMSOFTWAREMmicrosoftWindowsCurrentVersionRunWindows నవీకరణ [REG_SZ] = rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject హోస్ట్
ట్రోజన్ విండోస్ టాస్క్ షెడ్యూలర్కు టాస్క్ను జోడించడానికి కూడా ప్రయత్నిస్తుంది. టాస్క్ పైన పేర్కొన్న అదే పారామితులతో winlogon.lnk DLLని ప్రారంభిస్తుంది. సాధారణ వినియోగదారు హక్కులు HKCUSoftwareMicrosoftWindowsCurrentVersionRun రిజిస్ట్రీకి అదే డేటాతో విండోస్ అప్డేట్ ఎంట్రీని జోడించడానికి ట్రోజన్ను అనుమతిస్తాయి:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host
4.2 సవరించిన RC4 అల్గోరిథం
తెలిసిన లోపాలు ఉన్నప్పటికీ, RC4 అల్గోరిథం మాల్వేర్ రచయితలచే క్రమం తప్పకుండా ఉపయోగించబడుతుంది. అయినప్పటికీ, RTM సృష్టికర్తలు దీన్ని కొద్దిగా సవరించారు, బహుశా వైరస్ విశ్లేషకుల పనిని మరింత కష్టతరం చేయడానికి. స్ట్రింగ్స్, నెట్వర్క్ డేటా, కాన్ఫిగరేషన్ మరియు మాడ్యూల్లను గుప్తీకరించడానికి హానికరమైన RTM సాధనాల్లో RC4 యొక్క సవరించిన సంస్కరణ విస్తృతంగా ఉపయోగించబడుతుంది.
4.2.1 తేడాలు
అసలు RC4 అల్గోరిథం రెండు దశలను కలిగి ఉంటుంది: s-బ్లాక్ ఇనిషియలైజేషన్ (అకా KSA - కీ-షెడ్యూలింగ్ అల్గోరిథం) మరియు సూడో-రాండమ్ సీక్వెన్స్ జనరేషన్ (PRGA - సూడో-రాండమ్ జనరేషన్ అల్గోరిథం). మొదటి దశలో కీని ఉపయోగించి s-బాక్స్ను ప్రారంభించడం ఉంటుంది మరియు రెండవ దశలో గుప్తీకరణ కోసం s-బాక్స్ని ఉపయోగించి మూల వచనం ప్రాసెస్ చేయబడుతుంది.
RTM రచయితలు s-బాక్స్ ప్రారంభీకరణ మరియు గుప్తీకరణ మధ్య మధ్యంతర దశను జోడించారు. అదనపు కీ వేరియబుల్ మరియు డేటా ఎన్క్రిప్ట్ మరియు డీక్రిప్ట్ చేయాల్సిన సమయంలోనే సెట్ చేయబడుతుంది. ఈ అదనపు దశను చేసే ఫంక్షన్ క్రింది చిత్రంలో చూపబడింది.
4.2.2 స్ట్రింగ్ ఎన్క్రిప్షన్
మొదటి చూపులో, ప్రధాన DLLలో అనేక రీడబుల్ లైన్లు ఉన్నాయి. మిగిలినవి పైన వివరించిన అల్గోరిథం ఉపయోగించి గుప్తీకరించబడ్డాయి, దీని నిర్మాణం క్రింది చిత్రంలో చూపబడింది. మేము విశ్లేషించబడిన నమూనాలలో స్ట్రింగ్ ఎన్క్రిప్షన్ కోసం 25 కంటే ఎక్కువ విభిన్న RC4 కీలను కనుగొన్నాము. XOR కీ ప్రతి అడ్డు వరుసకు భిన్నంగా ఉంటుంది. సంఖ్యా క్షేత్రాన్ని వేరుచేసే పంక్తుల విలువ ఎల్లప్పుడూ 0xFFFFFFFF.
అమలు ప్రారంభంలో, RTM స్ట్రింగ్లను గ్లోబల్ వేరియబుల్గా డీక్రిప్ట్ చేస్తుంది. స్ట్రింగ్ను యాక్సెస్ చేయడానికి అవసరమైనప్పుడు, బేస్ అడ్రస్ మరియు ఆఫ్సెట్ ఆధారంగా డీక్రిప్టెడ్ స్ట్రింగ్ల చిరునామాను ట్రోజన్ డైనమిక్గా లెక్కిస్తుంది.
స్ట్రింగ్లు మాల్వేర్ ఫంక్షన్ల గురించి ఆసక్తికరమైన సమాచారాన్ని కలిగి ఉంటాయి. కొన్ని ఉదాహరణ స్ట్రింగ్లు విభాగం 6.8లో అందించబడ్డాయి.
4.3. నెట్వర్క్
RTM మాల్వేర్ C&C సర్వర్ని సంప్రదించే విధానం వెర్షన్ నుండి వెర్షన్కు మారుతుంది. మొదటి సవరణలు (అక్టోబర్ 2015 - ఏప్రిల్ 2016) కమాండ్ల జాబితాను నవీకరించడానికి livejournal.comలో RSS ఫీడ్తో పాటు సాంప్రదాయ డొమైన్ పేర్లను ఉపయోగించాయి.
ఏప్రిల్ 2016 నుండి, మేము టెలిమెట్రీ డేటాలో .bit డొమైన్లకు మారడాన్ని చూశాము. ఇది డొమైన్ నమోదు తేదీ ద్వారా నిర్ధారించబడింది - మొదటి RTM డొమైన్ fde05d0573da.bit మార్చి 13, 2016న నమోదు చేయబడింది.
ప్రచారాన్ని పర్యవేక్షిస్తున్నప్పుడు మేము చూసిన అన్ని URLలు ఉమ్మడి మార్గాన్ని కలిగి ఉన్నాయి: /r/z.php. ఇది చాలా అసాధారణమైనది మరియు ఇది నెట్వర్క్ ప్రవాహాలలో RTM అభ్యర్థనలను గుర్తించడంలో సహాయపడుతుంది.
4.3.1 ఆదేశాలు మరియు నియంత్రణ కోసం ఛానెల్
లెగసీ ఉదాహరణలు వారి కమాండ్ మరియు కంట్రోల్ సర్వర్ల జాబితాను నవీకరించడానికి ఈ ఛానెల్ని ఉపయోగించాయి. హోస్టింగ్ livejournal.comలో ఉంది, నివేదిక వ్రాసే సమయంలో అది URL hxxp://f72bba81c921(.)livejournal(.)com/ data/rssలో ఉంది.
Livejournal అనేది బ్లాగింగ్ ప్లాట్ఫారమ్ను అందించే రష్యన్-అమెరికన్ కంపెనీ. RTM ఆపరేటర్లు LJ బ్లాగ్ని సృష్టిస్తారు, అందులో వారు కోడ్ చేసిన ఆదేశాలతో కథనాన్ని పోస్ట్ చేస్తారు - స్క్రీన్షాట్ చూడండి.
కమాండ్ మరియు నియంత్రణ పంక్తులు సవరించబడిన RC4 అల్గోరిథం (విభాగం 4.2) ఉపయోగించి ఎన్కోడ్ చేయబడతాయి. ఛానెల్ యొక్క ప్రస్తుత వెర్షన్ (నవంబర్ 2016) కింది కమాండ్ మరియు కంట్రోల్ సర్వర్ చిరునామాలను కలిగి ఉంది:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2 .బిట్ డొమైన్లు
ఇటీవలి RTM నమూనాలలో, రచయితలు .bit TLD టాప్-లెవల్ డొమైన్ని ఉపయోగించి C&C డొమైన్లకు కనెక్ట్ చేస్తారు. ఇది టాప్-లెవల్ డొమైన్ల ICANN (డొమైన్ పేరు మరియు ఇంటర్నెట్ కార్పొరేషన్) జాబితాలో లేదు. బదులుగా, ఇది నేమ్కాయిన్ సిస్టమ్ను ఉపయోగిస్తుంది, ఇది బిట్కాయిన్ టెక్నాలజీ పైన నిర్మించబడింది. మాల్వేర్ రచయితలు తరచుగా తమ డొమైన్ల కోసం .bit TLDని ఉపయోగించరు, అయితే అలాంటి వినియోగానికి ఉదాహరణ గతంలో Necurs botnet సంస్కరణలో గమనించబడింది.
Bitcoin కాకుండా, పంపిణీ చేయబడిన Namecoin డేటాబేస్ యొక్క వినియోగదారులు డేటాను సేవ్ చేయగల సామర్థ్యాన్ని కలిగి ఉంటారు. ఈ ఫీచర్ యొక్క ప్రధాన అప్లికేషన్ .bit టాప్-లెవల్ డొమైన్. పంపిణీ చేయబడిన డేటాబేస్లో నిల్వ చేయబడే డొమైన్లను మీరు నమోదు చేసుకోవచ్చు. డేటాబేస్లోని సంబంధిత ఎంట్రీలు డొమైన్ ద్వారా పరిష్కరించబడిన IP చిరునామాలను కలిగి ఉంటాయి. ఈ TLD "సెన్సార్షిప్-నిరోధకత" ఎందుకంటే .bit డొమైన్ యొక్క రిజల్యూషన్ను రిజిస్ట్రెంట్ మాత్రమే మార్చగలరు. ఈ రకమైన TLDని ఉపయోగించి హానికరమైన డొమైన్ను ఆపడం చాలా కష్టం అని దీని అర్థం.
పంపిణీ చేయబడిన Namecoin డేటాబేస్ను చదవడానికి అవసరమైన సాఫ్ట్వేర్ను RTM ట్రోజన్ పొందుపరచదు. ఇది .bit డొమైన్లను పరిష్కరించడానికి dns.dot-bit.org లేదా OpenNic సర్వర్ల వంటి సెంట్రల్ DNS సర్వర్లను ఉపయోగిస్తుంది. అందువల్ల, ఇది DNS సర్వర్ల వలె అదే మన్నికను కలిగి ఉంటుంది. బ్లాగ్ పోస్ట్లో పేర్కొన్న తర్వాత కొన్ని టీమ్ డొమైన్లు గుర్తించబడలేదని మేము గమనించాము.
హ్యాకర్ల కోసం .bit TLD యొక్క మరొక ప్రయోజనం ధర. డొమైన్ను నమోదు చేయడానికి, ఆపరేటర్లు 0,01 NK మాత్రమే చెల్లించాలి, ఇది $0,00185 (డిసెంబర్ 5, 2016 నాటికి)కి అనుగుణంగా ఉంటుంది. పోలిక కోసం, domain.com ధర కనీసం $10.
4.3.3 ప్రోటోకాల్
కమాండ్ మరియు కంట్రోల్ సర్వర్తో కమ్యూనికేట్ చేయడానికి, RTM కస్టమ్ ప్రోటోకాల్ని ఉపయోగించి ఫార్మాట్ చేయబడిన డేటాతో HTTP POST అభ్యర్థనలను ఉపయోగిస్తుంది. మార్గం విలువ ఎల్లప్పుడూ /r/z.php; మొజిల్లా/5.0 వినియోగదారు ఏజెంట్ (అనుకూలమైనది; MSIE 9.0; Windows NT 6.1; ట్రైడెంట్/5.0). సర్వర్కు చేసిన అభ్యర్థనలలో, డేటా ఈ క్రింది విధంగా ఫార్మాట్ చేయబడింది, ఇక్కడ ఆఫ్సెట్ విలువలు బైట్లలో వ్యక్తీకరించబడతాయి:
బైట్లు 0 నుండి 6 వరకు ఎన్కోడ్ చేయబడలేదు; 6 నుండి ప్రారంభమయ్యే బైట్లు సవరించిన RC4 అల్గారిథమ్ని ఉపయోగించి ఎన్కోడ్ చేయబడతాయి. C&C ప్రతిస్పందన ప్యాకెట్ నిర్మాణం సరళమైనది. బైట్లు 4 నుండి ప్యాకెట్ పరిమాణానికి ఎన్కోడ్ చేయబడ్డాయి.
సాధ్యమయ్యే చర్య బైట్ విలువల జాబితా క్రింది పట్టికలో ప్రదర్శించబడింది:
మాల్వేర్ ఎల్లప్పుడూ డీక్రిప్ట్ చేయబడిన డేటా యొక్క CRC32ని గణిస్తుంది మరియు ప్యాకెట్లో ఉన్న దానితో పోలుస్తుంది. అవి భిన్నంగా ఉంటే, ట్రోజన్ ప్యాకెట్ను పడిపోతుంది.
అదనపు డేటాలో PE ఫైల్, ఫైల్ సిస్టమ్లో శోధించాల్సిన ఫైల్ లేదా కొత్త కమాండ్ URLలతో సహా వివిధ వస్తువులు ఉండవచ్చు.
4.3.4 ప్యానెల్
C&C సర్వర్లలో RTM ప్యానెల్ని ఉపయోగిస్తుందని మేము గమనించాము. దిగువ స్క్రీన్షాట్:
4.4 లక్షణ సంకేతం
RTM అనేది ఒక సాధారణ బ్యాంకింగ్ ట్రోజన్. ఆపరేటర్లు బాధితుల సిస్టమ్ గురించి సమాచారాన్ని కోరుకోవడంలో ఆశ్చర్యం లేదు. ఒక వైపు, బోట్ OS గురించి సాధారణ సమాచారాన్ని సేకరిస్తుంది. మరోవైపు, రాజీపడిన సిస్టమ్ రష్యన్ రిమోట్ బ్యాంకింగ్ సిస్టమ్లతో అనుబంధించబడిన లక్షణాలను కలిగి ఉందో లేదో కనుగొంటుంది.
4.4.1 సాధారణ సమాచారం
మాల్వేర్ ఇన్స్టాల్ చేయబడినప్పుడు లేదా రీబూట్ చేసిన తర్వాత ప్రారంభించబడినప్పుడు, దీనితో సహా సాధారణ సమాచారాన్ని కలిగి ఉన్న కమాండ్ మరియు కంట్రోల్ సర్వర్కు నివేదిక పంపబడుతుంది:
- సమయమండలం;
- డిఫాల్ట్ సిస్టమ్ భాష;
- అధీకృత వినియోగదారు ఆధారాలు;
- ప్రక్రియ సమగ్రత స్థాయి;
- వినియోగదారు పేరు;
- కంప్యూటర్ పేరు;
- OS వెర్షన్;
- అదనపు ఇన్స్టాల్ మాడ్యూల్స్;
- ఇన్స్టాల్ చేయబడిన యాంటీవైరస్ ప్రోగ్రామ్;
- స్మార్ట్ కార్డ్ రీడర్ల జాబితా.
4.4.2 రిమోట్ బ్యాంకింగ్ వ్యవస్థ
ఒక సాధారణ ట్రోజన్ లక్ష్యం రిమోట్ బ్యాంకింగ్ వ్యవస్థ, మరియు RTM కూడా దీనికి మినహాయింపు కాదు. ప్రోగ్రామ్ యొక్క మాడ్యూల్లలో ఒకటి TBdo అని పిలువబడుతుంది, ఇది డిస్క్లను స్కానింగ్ చేయడం మరియు బ్రౌజింగ్ చరిత్రతో సహా వివిధ పనులను చేస్తుంది.
డిస్క్ను స్కాన్ చేయడం ద్వారా, బ్యాంకింగ్ సాఫ్ట్వేర్ మెషీన్లో ఇన్స్టాల్ చేయబడిందో లేదో ట్రోజన్ తనిఖీ చేస్తుంది. లక్ష్య ప్రోగ్రామ్ల పూర్తి జాబితా క్రింది పట్టికలో ఉంది. ఆసక్తి ఉన్న ఫైల్ను గుర్తించిన తరువాత, ప్రోగ్రామ్ సమాచారాన్ని కమాండ్ సర్వర్కు పంపుతుంది. తదుపరి చర్యలు కమాండ్ సెంటర్ (C&C) అల్గారిథమ్లు పేర్కొన్న లాజిక్పై ఆధారపడి ఉంటాయి.
RTM మీ బ్రౌజర్ చరిత్ర మరియు ఓపెన్ ట్యాబ్లలో URL నమూనాల కోసం కూడా చూస్తుంది. అదనంగా, ప్రోగ్రామ్ FindNextUrlCacheEntryA మరియు FindFirstUrlCacheEntryA ఫంక్షన్ల వినియోగాన్ని పరిశీలిస్తుంది మరియు క్రింది నమూనాలలో ఒకదానికి URLని సరిపోల్చడానికి ప్రతి ఎంట్రీని కూడా తనిఖీ చేస్తుంది:
ఓపెన్ ట్యాబ్లను గుర్తించిన తర్వాత, ట్రోజన్ డైనమిక్ డేటా ఎక్స్ఛేంజ్ (DDE) మెకానిజం ద్వారా ఇంటర్నెట్ ఎక్స్ప్లోరర్ లేదా ఫైర్ఫాక్స్ను సంప్రదిస్తుంది, ట్యాబ్ నమూనాతో సరిపోలుతుందో లేదో తనిఖీ చేస్తుంది.
మీ బ్రౌజింగ్ చరిత్ర మరియు ఓపెన్ ట్యాబ్లను తనిఖీ చేయడం తనిఖీల మధ్య 1 సెకను విరామంతో WHILE లూప్లో (ముందస్తు షరతులతో కూడిన లూప్) నిర్వహించబడుతుంది. నిజ సమయంలో పర్యవేక్షించబడే ఇతర డేటా విభాగం 4.5లో చర్చించబడుతుంది.
నమూనా కనుగొనబడితే, ప్రోగ్రామ్ కింది పట్టిక నుండి స్ట్రింగ్ల జాబితాను ఉపయోగించి కమాండ్ సర్వర్కు దీన్ని నివేదిస్తుంది:
4.5 పర్యవేక్షణ
ట్రోజన్ నడుస్తున్నప్పుడు, సోకిన సిస్టమ్ యొక్క లక్షణ లక్షణాల గురించి సమాచారం (బ్యాంకింగ్ సాఫ్ట్వేర్ ఉనికి గురించి సమాచారంతో సహా) కమాండ్ మరియు కంట్రోల్ సర్వర్కు పంపబడుతుంది. ప్రారంభ OS స్కాన్ తర్వాత వెంటనే RTM మానిటరింగ్ సిస్టమ్ను అమలు చేసినప్పుడు వేలిముద్ర జరుగుతుంది.
4.5.1 రిమోట్ బ్యాంకింగ్
TBdo మాడ్యూల్ బ్యాంకింగ్-సంబంధిత ప్రక్రియలను పర్యవేక్షించడానికి కూడా బాధ్యత వహిస్తుంది. ప్రారంభ స్కాన్ సమయంలో Firefox మరియు Internet Explorerలో ట్యాబ్లను తనిఖీ చేయడానికి ఇది డైనమిక్ డేటా మార్పిడిని ఉపయోగిస్తుంది. కమాండ్ విండోలను పర్యవేక్షించడానికి మరొక TShell మాడ్యూల్ ఉపయోగించబడుతుంది (ఇంటర్నెట్ ఎక్స్ప్లోరర్ లేదా ఫైల్ ఎక్స్ప్లోరర్).
విండోలను పర్యవేక్షించడానికి మాడ్యూల్ COM ఇంటర్ఫేస్లు IShellWindows, iWebBrowser, DWebBrowserEvents2 మరియు IConnectionPointContainerని ఉపయోగిస్తుంది. వినియోగదారు కొత్త వెబ్ పేజీకి నావిగేట్ చేసినప్పుడు, మాల్వేర్ దీన్ని గమనిస్తుంది. ఇది పేజీ URLని పై నమూనాలతో సరిపోల్చుతుంది. మ్యాచ్ని గుర్తించిన తర్వాత, ట్రోజన్ 5 సెకన్ల విరామంతో వరుసగా ఆరు స్క్రీన్షాట్లను తీసి వాటిని C&S కమాండ్ సర్వర్కు పంపుతుంది. ప్రోగ్రామ్ బ్యాంకింగ్ సాఫ్ట్వేర్కు సంబంధించిన కొన్ని విండో పేర్లను కూడా తనిఖీ చేస్తుంది - పూర్తి జాబితా క్రింద ఉంది:
4.5.2 స్మార్ట్ కార్డ్
సోకిన కంప్యూటర్లకు కనెక్ట్ చేయబడిన స్మార్ట్ కార్డ్ రీడర్లను పర్యవేక్షించడానికి RTM మిమ్మల్ని అనుమతిస్తుంది. చెల్లింపు ఆర్డర్లను సరిచేయడానికి ఈ పరికరాలు కొన్ని దేశాల్లో ఉపయోగించబడతాయి. ఈ రకమైన పరికరాన్ని కంప్యూటర్కు జోడించినట్లయితే, అది బ్యాంకింగ్ లావాదేవీల కోసం యంత్రాన్ని ఉపయోగిస్తున్నట్లు ట్రోజన్కు సూచించవచ్చు.
ఇతర బ్యాంకింగ్ ట్రోజన్ల మాదిరిగా కాకుండా, RTM అటువంటి స్మార్ట్ కార్డ్లతో పరస్పర చర్య చేయదు. బహుశా ఈ కార్యాచరణ మేము ఇంకా చూడని అదనపు మాడ్యూల్లో చేర్చబడి ఉండవచ్చు.
4.5.3 కీలాగర్
సోకిన PCని పర్యవేక్షించడంలో ముఖ్యమైన భాగం కీస్ట్రోక్లను సంగ్రహించడం. RTM డెవలపర్లు సాధారణ కీలను మాత్రమే కాకుండా, వర్చువల్ కీబోర్డ్ మరియు క్లిప్బోర్డ్ను కూడా పర్యవేక్షిస్తున్నందున వారు ఎటువంటి సమాచారాన్ని కోల్పోలేదని తెలుస్తోంది.
దీన్ని చేయడానికి, SetWindowsHookExA ఫంక్షన్ను ఉపయోగించండి. దాడి చేసేవారు ప్రోగ్రామ్ పేరు మరియు తేదీతో పాటు నొక్కిన కీలను లేదా వర్చువల్ కీబోర్డ్కు సంబంధించిన కీలను లాగ్ చేస్తారు. బఫర్ C&C కమాండ్ సర్వర్కు పంపబడుతుంది.
క్లిప్బోర్డ్ను అడ్డగించడానికి SetClipboardViewer ఫంక్షన్ ఉపయోగించబడుతుంది. డేటా టెక్స్ట్ అయినప్పుడు హ్యాకర్లు క్లిప్బోర్డ్లోని కంటెంట్లను లాగ్ చేస్తారు. బఫర్ సర్వర్కు పంపబడటానికి ముందు పేరు మరియు తేదీ కూడా లాగ్ చేయబడతాయి.
4.5.4 స్క్రీన్షాట్లు
మరొక RTM ఫంక్షన్ స్క్రీన్షాట్ ఇంటర్సెప్షన్. విండో మానిటరింగ్ మాడ్యూల్ ఆసక్తి ఉన్న సైట్ లేదా బ్యాంకింగ్ సాఫ్ట్వేర్ను గుర్తించినప్పుడు ఫీచర్ వర్తించబడుతుంది. స్క్రీన్షాట్లు గ్రాఫిక్ చిత్రాల లైబ్రరీని ఉపయోగించి తీయబడతాయి మరియు కమాండ్ సర్వర్కు బదిలీ చేయబడతాయి.
4.6 అన్ఇన్స్టాలేషన్
C&C సర్వర్ మాల్వేర్ను రన్ చేయకుండా ఆపగలదు మరియు మీ కంప్యూటర్ను శుభ్రం చేస్తుంది. RTM నడుస్తున్నప్పుడు సృష్టించబడిన ఫైల్లు మరియు రిజిస్ట్రీ ఎంట్రీలను క్లియర్ చేయడానికి ఆదేశం మిమ్మల్ని అనుమతిస్తుంది. DLL మాల్వేర్ మరియు విన్లాగాన్ ఫైల్ను తీసివేయడానికి ఉపయోగించబడుతుంది, ఆ తర్వాత కమాండ్ కంప్యూటర్ను ఆపివేస్తుంది. దిగువ చిత్రంలో చూపిన విధంగా, erase.dllని ఉపయోగించి డెవలపర్లచే DLL తీసివేయబడుతుంది.
సర్వర్ ట్రోజన్కు విధ్వంసక అన్ఇన్స్టాల్-లాక్ ఆదేశాన్ని పంపగలదు. ఈ సందర్భంలో, మీకు నిర్వాహక హక్కులు ఉంటే, RTM హార్డ్ డ్రైవ్లోని MBR బూట్ సెక్టార్ను తొలగిస్తుంది. ఇది విఫలమైతే, ట్రోజన్ MBR బూట్ సెక్టార్ను యాదృచ్ఛిక రంగానికి మార్చడానికి ప్రయత్నిస్తుంది - అప్పుడు షట్డౌన్ తర్వాత కంప్యూటర్ OSని బూట్ చేయదు. ఇది OS యొక్క పూర్తి పునఃస్థాపనకు దారి తీస్తుంది, అంటే సాక్ష్యం నాశనం అవుతుంది.
నిర్వాహక అధికారాలు లేకుండా, మాల్వేర్ అంతర్లీన RTM DLLలో ఎన్కోడ్ చేసిన .EXEని వ్రాస్తుంది. ఎక్జిక్యూటబుల్ కంప్యూటర్ను షట్ డౌన్ చేయడానికి అవసరమైన కోడ్ను అమలు చేస్తుంది మరియు మాడ్యూల్ను HKCUCurrentVersionRun రిజిస్ట్రీ కీలో నమోదు చేస్తుంది. వినియోగదారు సెషన్ను ప్రారంభించిన ప్రతిసారీ, కంప్యూటర్ వెంటనే ఆపివేయబడుతుంది.
4.7 కాన్ఫిగరేషన్ ఫైల్
డిఫాల్ట్గా, RTMకి దాదాపు కాన్ఫిగరేషన్ ఫైల్ లేదు, కానీ కమాండ్ మరియు కంట్రోల్ సర్వర్ రిజిస్ట్రీలో నిల్వ చేయబడే మరియు ప్రోగ్రామ్ ద్వారా ఉపయోగించబడే కాన్ఫిగరేషన్ విలువలను పంపగలదు. కాన్ఫిగరేషన్ కీల జాబితా క్రింది పట్టికలో ప్రదర్శించబడింది:
కాన్ఫిగరేషన్ సాఫ్ట్వేర్[సూడో-రాండమ్ స్ట్రింగ్] రిజిస్ట్రీ కీలో నిల్వ చేయబడుతుంది. ప్రతి విలువ మునుపటి పట్టికలో అందించిన అడ్డు వరుసలలో ఒకదానికి అనుగుణంగా ఉంటుంది. RTMలో RC4 అల్గోరిథం ఉపయోగించి విలువలు మరియు డేటా ఎన్కోడ్ చేయబడతాయి.
డేటా నెట్వర్క్ లేదా స్ట్రింగ్ల మాదిరిగానే నిర్మాణాన్ని కలిగి ఉంటుంది. ఎన్కోడ్ చేయబడిన డేటా ప్రారంభంలో నాలుగు-బైట్ XOR కీ జోడించబడింది. కాన్ఫిగరేషన్ విలువల కోసం, XOR కీ భిన్నంగా ఉంటుంది మరియు విలువ పరిమాణంపై ఆధారపడి ఉంటుంది. దీనిని ఈ క్రింది విధంగా లెక్కించవచ్చు:
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)
4.8. ఇతర లక్షణాలు
తర్వాత, RTM మద్దతిచ్చే ఇతర ఫంక్షన్లను చూద్దాం.
4.8.1 అదనపు మాడ్యూల్స్
ట్రోజన్ అదనపు మాడ్యూల్లను కలిగి ఉంటుంది, అవి DLL ఫైల్లు. C&C కమాండ్ సర్వర్ నుండి పంపబడిన మాడ్యూల్స్ బాహ్య ప్రోగ్రామ్ల వలె అమలు చేయబడతాయి, RAMలో ప్రతిబింబిస్తాయి మరియు కొత్త థ్రెడ్లలో ప్రారంభించబడతాయి. నిల్వ కోసం, మాడ్యూల్స్ .dtt ఫైల్లలో సేవ్ చేయబడతాయి మరియు నెట్వర్క్ కమ్యూనికేషన్ల కోసం ఉపయోగించే అదే కీతో RC4 అల్గారిథమ్ని ఉపయోగించి ఎన్కోడ్ చేయబడతాయి.
ఇప్పటి వరకు మేము VNC మాడ్యూల్ (8966319882494077C21F66A8354E2CBCA0370464), బ్రౌజర్ డేటా ఎక్స్ట్రాక్షన్ మాడ్యూల్ (03DE8622BE6B2F75A364A275995C3411626C4C9C1C2C1C562) 1E69F6EFC58FBA88753 B7BE0D3B4EXNUMXCFAB).
VNC మాడ్యూల్ను లోడ్ చేయడానికి, C&C సర్వర్ పోర్ట్ 44443లోని నిర్దిష్ట IP చిరునామాలో VNC సర్వర్కు కనెక్షన్లను అభ్యర్థిస్తూ ఆదేశాన్ని జారీ చేస్తుంది. బ్రౌజర్ డేటా రిట్రీవల్ ప్లగ్ఇన్ TBrowserDataCollectorని అమలు చేస్తుంది, ఇది IE బ్రౌజింగ్ చరిత్రను చదవగలదు. అప్పుడు అది సందర్శించిన URLల పూర్తి జాబితాను C&C కమాండ్ సర్వర్కు పంపుతుంది.
చివరిగా కనుగొనబడిన మాడ్యూల్ను 1c_2_kl అంటారు. ఇది 1C ఎంటర్ప్రైజ్ సాఫ్ట్వేర్ ప్యాకేజీతో పరస్పర చర్య చేయగలదు. మాడ్యూల్ రెండు భాగాలను కలిగి ఉంటుంది: ప్రధాన భాగం - DLL మరియు రెండు ఏజెంట్లు (32 మరియు 64 బిట్), ఇది ప్రతి ప్రక్రియలో ఇంజెక్ట్ చేయబడుతుంది, WH_CBTకి బంధాన్ని నమోదు చేస్తుంది. 1C ప్రక్రియలో ప్రవేశపెట్టిన తరువాత, మాడ్యూల్ CreateFile మరియు WriteFile ఫంక్షన్లను బంధిస్తుంది. CreateFile బౌండ్ ఫంక్షన్ని పిలిచినప్పుడల్లా, మాడ్యూల్ 1c_to_kl.txt ఫైల్ పాత్ను మెమరీలో నిల్వ చేస్తుంది. WriteFile కాల్ను అడ్డగించిన తర్వాత, ఇది WriteFile ఫంక్షన్కు కాల్ చేస్తుంది మరియు ఫైల్ పాత్ 1c_to_kl.txtని ప్రధాన DLL మాడ్యూల్కు పంపుతుంది, ఇది రూపొందించిన Windows WM_COPYDATA సందేశాన్ని పంపుతుంది.
చెల్లింపు ఆర్డర్లను గుర్తించడానికి ప్రధాన DLL మాడ్యూల్ ఫైల్ను తెరుస్తుంది మరియు అన్వయిస్తుంది. ఇది ఫైల్లో ఉన్న మొత్తం మరియు లావాదేవీ సంఖ్యను గుర్తిస్తుంది. ఈ సమాచారం కమాండ్ సర్వర్కు పంపబడుతుంది. డీబగ్ సందేశాన్ని కలిగి ఉన్నందున మరియు 1c_to_kl.txtని స్వయంచాలకంగా సవరించలేనందున ఈ మాడ్యూల్ ప్రస్తుతం అభివృద్ధిలో ఉందని మేము విశ్వసిస్తున్నాము.
4.8.2 ప్రివిలేజ్ పెంపు
RTM తప్పుడు దోష సందేశాలను ప్రదర్శించడం ద్వారా అధికారాలను పెంచడానికి ప్రయత్నించవచ్చు. మాల్వేర్ రిజిస్ట్రీ తనిఖీని అనుకరిస్తుంది (క్రింద ఉన్న చిత్రాన్ని చూడండి) లేదా నిజమైన రిజిస్ట్రీ ఎడిటర్ చిహ్నాన్ని ఉపయోగిస్తుంది. దయచేసి అక్షరదోషాలు వేచి ఉండడాన్ని గమనించండి - whait. కొన్ని సెకన్ల స్కానింగ్ తర్వాత, ప్రోగ్రామ్ తప్పుడు దోష సందేశాన్ని ప్రదర్శిస్తుంది.
వ్యాకరణ లోపాలు ఉన్నప్పటికీ, తప్పుడు సందేశం సాధారణ వినియోగదారుని సులభంగా మోసం చేస్తుంది. వినియోగదారు రెండు లింక్లలో ఒకదానిపై క్లిక్ చేస్తే, RTM సిస్టమ్లో దాని అధికారాలను పెంచడానికి ప్రయత్నిస్తుంది.
రెండు పునరుద్ధరణ ఎంపికలలో ఒకదాన్ని ఎంచుకున్న తర్వాత, ట్రోజన్ నిర్వాహక అధికారాలతో ShellExecute ఫంక్షన్లో runas ఎంపికను ఉపయోగించి DLLని ప్రారంభిస్తుంది. వినియోగదారు ఎలివేషన్ కోసం నిజమైన Windows ప్రాంప్ట్ (క్రింద ఉన్న చిత్రాన్ని చూడండి) చూస్తారు. వినియోగదారు అవసరమైన అనుమతులను ఇస్తే, ట్రోజన్ నిర్వాహక అధికారాలతో రన్ అవుతుంది.
సిస్టమ్లో ఇన్స్టాల్ చేయబడిన డిఫాల్ట్ భాషపై ఆధారపడి, ట్రోజన్ రష్యన్ లేదా ఆంగ్లంలో దోష సందేశాలను ప్రదర్శిస్తుంది.
4.8.3 సర్టిఫికేట్
RTM విండోస్ స్టోర్కు సర్టిఫికేట్లను జోడించవచ్చు మరియు csrss.exe డైలాగ్ బాక్స్లోని “అవును” బటన్ను స్వయంచాలకంగా క్లిక్ చేయడం ద్వారా అదనంగా విశ్వసనీయతను నిర్ధారించవచ్చు. ఈ ప్రవర్తన కొత్తది కాదు; ఉదాహరణకు, బ్యాంకింగ్ ట్రోజన్ రెటెఫే కూడా స్వతంత్రంగా కొత్త సర్టిఫికేట్ యొక్క ఇన్స్టాలేషన్ను నిర్ధారిస్తుంది.
4.8.4 రివర్స్ కనెక్షన్
RTM రచయితలు బ్యాక్కనెక్ట్ TCP టన్నెల్ను కూడా సృష్టించారు. మేము ఇంకా ఉపయోగంలో ఫీచర్ని చూడలేదు, కానీ ఇది సోకిన PCలను రిమోట్గా పర్యవేక్షించడానికి రూపొందించబడింది.
4.8.5 హోస్ట్ ఫైల్ నిర్వహణ
C&C సర్వర్ Windows హోస్ట్ ఫైల్ను సవరించడానికి ట్రోజన్కు ఆదేశాన్ని పంపగలదు. అనుకూల DNS రిజల్యూషన్లను సృష్టించడానికి హోస్ట్ ఫైల్ ఉపయోగించబడుతుంది.
4.8.6 ఫైల్ను కనుగొని పంపండి
సోకిన సిస్టమ్లో ఫైల్ను శోధించడానికి మరియు డౌన్లోడ్ చేయడానికి సర్వర్ అభ్యర్థించవచ్చు. ఉదాహరణకు, పరిశోధన సమయంలో మేము 1c_to_kl.txt ఫైల్ కోసం అభ్యర్థనను స్వీకరించాము. గతంలో వివరించినట్లుగా, ఈ ఫైల్ 1C: Enterprise 8 అకౌంటింగ్ సిస్టమ్ ద్వారా రూపొందించబడింది.
4.8.7. నవీకరణ
చివరగా, RTM రచయితలు ప్రస్తుత సంస్కరణను భర్తీ చేయడానికి కొత్త DLLని సమర్పించడం ద్వారా సాఫ్ట్వేర్ను నవీకరించవచ్చు.
5. ముగింపు
RTM యొక్క పరిశోధన రష్యన్ బ్యాంకింగ్ వ్యవస్థ ఇప్పటికీ సైబర్ దాడి చేసేవారిని ఆకర్షిస్తుంది. Buhtrap, Corkow మరియు Carbanak వంటి సమూహాలు రష్యాలోని ఆర్థిక సంస్థలు మరియు వారి ఖాతాదారుల నుండి డబ్బును విజయవంతంగా దొంగిలించాయి. RTM ఈ పరిశ్రమలో కొత్త ఆటగాడు.
ESET టెలిమెట్రీ ప్రకారం, హానికరమైన RTM సాధనాలు కనీసం 2015 చివరి నుండి వాడుకలో ఉన్నాయి. ప్రోగ్రామ్ స్మార్ట్ కార్డ్లను చదవడం, కీస్ట్రోక్లను అడ్డగించడం మరియు బ్యాంకింగ్ లావాదేవీలను పర్యవేక్షించడం, అలాగే 1C: Enterprise 8 రవాణా ఫైల్ల కోసం శోధించడం వంటి పూర్తి స్థాయి గూఢచర్య సామర్థ్యాలను కలిగి ఉంది.
వికేంద్రీకరించబడిన, సెన్సార్ చేయని .bit టాప్-లెవల్ డొమైన్ యొక్క ఉపయోగం అత్యంత స్థితిస్థాపకమైన మౌలిక సదుపాయాలను నిర్ధారిస్తుంది.
మూలం: www.habr.com