Якчанд гурӯҳҳои киберӣ маълуманд, ки ба дуздии маблағҳои ширкатҳои русӣ тахассус доранд. Мо ҳамлаҳоро бо истифода аз фосилаҳои амниятӣ дидем, ки дастрасӣ ба шабакаи ҳадафро фароҳам меорад. Вақте ки онҳо дастрасӣ пайдо мекунанд, ҳамлагарон сохтори шабакаи созмонро меомӯзанд ва асбобҳои худро барои дуздидани маблағ истифода мебаранд. Намунаи классикии ин тамоюл гурӯҳҳои ҳакерӣ Buhtrap, Cobalt ва Corkow мебошанд.
Гурӯҳи RTM, ки ин гузориш ба он тамаркуз мекунад, як қисми ин тамоюл аст. Он нармафзори махсуси тарҳрезишудаи зарароварро, ки дар Delphi навишта шудааст, истифода мебарад, ки мо онро дар бахшҳои минбаъда муфассалтар дида мебароем. Нахустин осори ин асбобҳо дар системаи телеметрии ESET дар охири соли 2015 кашф шуда буд. Даста дар ҳолати зарурӣ модулҳои нави навро ба системаҳои сироятшуда бор мекунад. Ҳадафи ҳамлаҳо ба корбарони системаҳои бонкии дурдаст дар Русия ва баъзе кишварҳои ҳамсоя нигаронида шудааст.
1. Ҳадафҳо
Маъракаи RTM ба корбарони корпоративӣ нигаронида шудааст - ин аз равандҳое маълум аст, ки ҳамлагарон кӯшиш мекунанд, ки дар системаи вайроншуда ошкор кунанд. Таваҷҷӯҳ ба нармафзори баҳисобгирии муҳосибӣ барои кор бо системаҳои бонкии дурдаст равона карда шудааст.
Рӯйхати равандҳои мавриди таваҷҷӯҳи RTM ба рӯйхати мувофиқи гурӯҳи Buhtrap шабоҳат дорад, аммо гурӯҳҳо векторҳои гуногуни сироят доранд. Агар Buhtrap бештар саҳифаҳои қалбакиро истифода барад, пас RTM ҳамлаҳои боргирӣ (ҳамлаҳо ба браузер ё ҷузъҳои он) ва спам тавассути почтаи электронӣ истифода мешуд. Тибқи маълумоти телеметрӣ, таҳдид ба Русия ва чанд кишвари ҳамсоя (Украина, Қазоқистон, Чехия, Олмон) нигаронида шудааст. Бо вуҷуди ин, аз сабаби истифодаи механизмҳои паҳнкунии оммавӣ, ошкор кардани нармафзори зараровар берун аз минтақаҳои мавриди ҳадаф тааҷҷубовар нест.
Шумораи умумии ошкоркунии нармафзори зараровар нисбатан кам аст. Аз тарафи дигар, маъракаи RTM барномаҳои мураккабро истифода мебарад, ки ин нишон медиҳад, ки ҳамлаҳо ҳадафи баланд доранд.
Мо якчанд ҳуҷҷатҳои фиребандаеро, ки RTM истифода мебарад, кашф кардем, аз ҷумла шартномаҳои мавҷуда, фактураҳо ё ҳуҷҷатҳои баҳисобгирии андоз. Хусусияти фитнаҳо дар якҷоягӣ бо навъи нармафзоре, ки ҳадафи ҳамла қарор гирифтааст, нишон медиҳад, ки ҳамлагарон тавассути шӯъбаи муҳосибӣ ба шабакаҳои ширкатҳои русӣ "даромадан" мешаванд. Гурух аз руи хамин схема амал мекард дар солҳои 2014-2015
Дар рафти тадқиқот мо тавонистем бо якчанд серверҳои C&C ҳамкорӣ кунем. Мо рӯйхати пурраи фармонҳоро дар бахшҳои зерин номбар мекунем, аммо ҳоло мо гуфта метавонем, ки муштарӣ маълумотро аз клавиатура мустақиман ба сервери ҳамлакунанда интиқол медиҳад, ки баъдан аз он фармонҳои иловагӣ гирифта мешаванд.
Бо вуҷуди ин, рӯзҳое, ки шумо метавонистед ба сервери фармон ва идора пайваст шавед ва ҳамаи маълумотеро, ки ба шумо таваҷҷӯҳ дошт, ҷамъ оваред, гузаштанд. Мо файлҳои воқеии гузоришро аз нав эҷод кардем, то аз сервер фармонҳои мувофиқро ба даст орем.
Якумин онҳо дархост ба бот барои интиқоли файли 1c_to_kl.txt - файли нақлиётии барномаи 1C: Enterprise 8 мебошад, ки намуди зоҳирии онро RTM фаъолона назорат мекунад. 1C бо системаҳои бонкии дурдаст тавассути бор кардани маълумот дар бораи пардохтҳои содиротӣ ба файли матнӣ ҳамкорӣ мекунад. Баъдан, файл барои автоматикунонӣ ва иҷрои супориши пардохт ба системаи дурдасти бонкӣ фиристода мешавад.
Дар файл тафсилоти пардохт мавҷуд аст. Агар ҳамлагарон маълумотро дар бораи пардохтҳои содиротӣ тағир диҳанд, интиқол бо истифода аз тафсилоти бардурӯғ ба ҳисобҳои ҳамлагарон фиристода мешавад.
Тақрибан як моҳ пас аз дархости ин файлҳо аз сервери фармон ва назорат, мо мушоҳида кардем, ки плагини нав 1c_2_kl.dll ба системаи осебдида бор карда мешавад. Модул (DLL) барои ба таври худкор таҳлили файли зеркашида тавассути ворид шудан ба равандҳои нармафзори ҳисобдорӣ тарҳрезӣ шудааст. Мо онро дар бобҳои минбаъда муфассал шарҳ медиҳем.
Ҷолиб он аст, ки FinCERT-и Бонки Русия дар охири соли 2016 бюллетенеро дар бораи киберҷинояткорон бо истифода аз файлҳои боркунии 1c_to_kl.txt ҳушдор дод. Таҳиягарони 1C низ дар бораи ин нақша медонанд; онҳо аллакай изҳороти расмӣ додаанд ва чораҳои эҳтиётиро номбар кардаанд.
Модулҳои дигар низ аз сервери фармон, махсусан VNC (версияҳои 32 ва 64-битии он) бор карда шуданд. Он ба модули VNC шабоҳат дорад, ки қаблан дар ҳамлаҳои троянии Dridex истифода мешуд. Ин модул гӯё барои пайвасти фосилавӣ ба компютери сироятшуда ва гузаронидани омӯзиши муфассали система истифода мешавад. Баъдан, ҳамлагарон кӯшиш мекунанд, ки дар атрофи шабака ҳаракат кунанд, паролҳои корбарро истихроҷ кунанд, маълумот ҷамъ кунанд ва мавҷудияти доимии нармафзори зарароварро таъмин кунанд.
2. Векторҳои сироят
Дар расми зерин векторҳои сирояти дар давраи омӯзиши маърака ошкоршуда нишон дода шудаанд. Гурӯҳ доираи васеи векторҳоро истифода мебарад, аммо асосан ҳамлаҳои боргирӣ ва спам. Ин воситаҳо барои ҳамлаҳои мақсаднок мувофиқанд, зеро дар ҳолати аввал ҳамлагарон метавонанд сайтҳоеро, ки қурбониёни эҳтимолӣ дидан мекунанд, интихоб кунанд ва дар дуюм, онҳо метавонанд тавассути почтаи электронӣ бо замимаҳо мустақиман ба кормандони дилхоҳи ширкат фиристанд.
Нармафзори зараровар тавассути каналҳои гуногун, аз ҷумла маҷмӯаҳои истисмори RIG ва Sundown ё ирсоли спам паҳн мешавад, ки робитаи байни ҳамлагарон ва дигар ҳамлаҳои киберҳуҷуми ин хидматҳоро пешниҳод мекунад.
2.1. RTM ва Buhtrap чӣ гуна алоқаманданд?
Маъракаи RTM ба Buhtrap хеле монанд аст. Саволи табии ин аст: онҳо бо ҳамдигар чӣ гуна робита доранд?
Моҳи сентябри соли 2016 мо мушоҳида кардем, ки намунаи RTM бо истифода аз боргузори Buhtrap паҳн карда мешавад. Илова бар ин, мо ду сертификати рақамиро пайдо кардем, ки ҳам дар Buhtrap ва ҳам RTM истифода мешаванд.
Аввалин, ки гӯё ба ширкати DNISTER-M дода шудааст, барои ба таври рақамӣ имзо кардани варақаи дуюми Delphi (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) ва Buhtrap DLL (SHA-1: 1E2642BACC454F) истифода шудааст. D2).
Дуюм, ки ба Bit-Tredj дода шудааст, барои имзои боркунакҳои Buhtrap (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 ва B74F71560E48488D2153AE2FB51207A0) ва инчунин насб кардани ҷузъҳои RB206E2 истифода мешуд.
Операторони RTM сертификатҳоеро истифода мебаранд, ки барои дигар оилаҳои нармафзори зараровар маъмуланд, аммо онҳо инчунин шаҳодатномаи беназир доранд. Тибқи телеметрияи ESET, он ба Kit-SD дода шудааст ва танҳо барои имзои баъзе нармафзори зараровар RTM истифода мешуд (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM ҳамон боркунаки Buhtrap-ро истифода мебарад, ҷузъҳои RTM аз инфрасохтори Buhtrap бор карда мешаванд, аз ин рӯ гурӯҳҳо нишондиҳандаҳои шабакавии шабеҳ доранд. Аммо, тибқи ҳисобҳои мо, RTM ва Buhtrap гурӯҳҳои гуногун мебошанд, ҳадди аққал аз он сабаб, ки RTM бо роҳҳои гуногун тақсим карда мешавад (на танҳо бо истифода аз зеркашӣкунандаи "хориҷӣ").
Бо вуҷуди ин, гурӯҳҳои ҳакерӣ принсипҳои амалиёти шабеҳро истифода мебаранд. Онҳо тиҷоратҳоро бо истифода аз нармафзори муҳосибӣ, ба ин монанд ҷамъоварии иттилооти система, ҷустуҷӯи хонандагони кортҳои смарт ва истиқрори як қатор абзорҳои зараровар барои ҷосусии қурбониён ҳадаф қарор медиҳанд.
3. Эволютсия
Дар ин бахш мо версияҳои гуногуни нармафзори зарароварро, ки дар рафти омӯзиш пайдо шудаанд, дида мебароем.
3.1. Версиясозӣ
RTM маълумоти конфигуратсияро дар бахши реестр нигоҳ медорад, ки ҷолибтарин қисми ботнет-префикс мебошад. Рӯйхати ҳамаи арзишҳое, ки мо дар намунаҳое, ки мо омӯхтаем, дар ҷадвали зер оварда шудаанд.
Эҳтимол аст, ки арзишҳо метавонанд барои сабти версияҳои нармафзори зараровар истифода шаванд. Бо вуҷуди ин, мо фарқияти зиёдро байни версияҳо ба монанди bit2 ва bit3, 0.1.6.4 ва 0.1.6.6 мушоҳида накардем. Гузашта аз ин, яке аз префиксҳо аз ибтидо вуҷуд дорад ва аз домени маъмулии C&C ба домени .bit табдил ёфтааст, тавре ки дар зер нишон дода мешавад.
3.2. Ҷадвал
Бо истифода аз маълумотҳои телеметрӣ, мо графики пайдоиши намунаҳоро сохтем.
4. Таҳлили техникӣ
Дар ин бахш мо вазифаҳои асосии трояни бонкии RTM, аз ҷумла механизмҳои муқовимат, версияи худи алгоритми RC4, протоколи шабакавӣ, функсияи ҷосусӣ ва баъзе хусусиятҳои дигарро тавсиф хоҳем кард. Аз ҷумла, мо ба намунаҳои SHA-1 AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 ва 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B тамаркуз хоҳем кард.
4.1. Насб ва сарфа
4.1.1. Амалй
Асоси RTM як DLL мебошад, китобхона бо истифода аз .EXE ба диск бор карда мешавад. Файли иҷрошаванда одатан бастабандӣ карда мешавад ва рамзи DLL-ро дар бар мегирад. Пас аз оғоз шудан, он DLL-ро хориҷ мекунад ва онро бо фармони зерин иҷро мекунад:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. DLL
DLL-и асосӣ ҳамеша ба диск ҳамчун winlogon.lnk дар ҷузвдони %PROGRAMDATA%Winlogon бор карда мешавад. Ин васеъкунии файл одатан бо миёнабур алоқаманд аст, аммо ин файл дар асл як DLL аст, ки дар Delphi навишта шудааст, ки онро таҳиякунанда core.dll номидааст, тавре ки дар тасвири зер нишон дода шудааст.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Пас аз оғоз шудан, троян механизми муқовимати худро фаъол мекунад. Ин метавонад бо ду роҳи гуногун, вобаста ба имтиёзҳои ҷабрдида дар система анҷом дода шавад. Агар шумо ҳуқуқи администратор дошта бошед, троян ба феҳристи HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun сабти Windows Update илова мекунад. Фармонҳое, ки дар Windows Update мавҷуданд, дар оғози ҷаласаи корбар иҷро мешаванд.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe “%PROGRAMDATA%winlogon.lnk”, мизбони DllGetClassObject
Троян инчунин кӯшиш мекунад, ки ба ҷадвали Вазифаҳои Windows супориш илова кунад. Вазифаи winlogon.lnk DLL-ро бо ҳамон параметрҳои дар боло зикршуда оғоз мекунад. Ҳуқуқҳои муқаррарии корбар ба Троян имкон медиҳанд, ки сабти Windows Update-ро бо ҳамон маълумот ба феҳристи HKCUSoftwareMicrosoftWindowsCurrentVersionRun илова кунад:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Алгоритми тағирёфтаи RC4
Бо вуҷуди камбудиҳои маълумаш, алгоритми RC4 аз ҷониби муаллифони нармафзори зараровар мунтазам истифода мешавад. Бо вуҷуди ин, созандагони RTM онро каме тағир доданд, шояд вазифаи таҳлилгарони вирусро душвортар кунад. Версияи тағирёфтаи RC4 дар асбобҳои зараровар RTM барои рамзгузории сатрҳо, маълумоти шабакавӣ, конфигуратсия ва модулҳо васеъ истифода мешавад.
4.2.1. Тафовут
Алгоритми аслии RC4 ду марҳиларо дар бар мегирад: оғозкунии s-block (aka KSA - Algorithm Key-Scheduling) ва тавлиди пайдарпайии псевдо-тасодуфӣ (PRGA - Algorithm насли псевдо-тасодуфӣ). Марҳилаи аввал оғозкунии s-box бо истифода аз калидро дар бар мегирад ва дар марҳилаи дуюм матни манбаъ бо истифода аз s-box барои рамзгузорӣ коркард мешавад.
Муаллифони RTM як қадами фосилавӣ байни оғозкунии s-box ва рамзгузорӣ илова карданд. Калиди иловагӣ тағирёбанда аст ва дар як вақт бо маълумоте, ки рамзгузорӣ ва рамзкушоӣ карда мешавад, муқаррар карда мешавад. Функсияе, ки ин қадами иловагиро иҷро мекунад, дар расми зер нишон дода шудааст.
4.2.2. Рамзгузории сатр
Дар назари аввал, дар DLL-и асосӣ якчанд сатрҳои хондашаванда мавҷуданд. Қисми боқимонда бо истифода аз алгоритми дар боло тавсифшуда рамзгузорӣ карда мешаванд, ки сохтори он дар расми зерин нишон дода шудааст. Мо дар намунаҳои таҳлилшуда зиёда аз 25 калидҳои гуногуни RC4-ро барои рамзгузории сатр пайдо кардем. Калиди XOR барои ҳар як сатр гуногун аст. Қимати сатрҳои ҷудокунандаи майдони рақамӣ ҳамеша 0xFFFFFFFF аст.
Дар оғози иҷро, RTM сатрҳоро ба тағирёбандаи глобалӣ рамзкушо мекунад. Ҳангоми зарурат барои дастрасӣ ба сатр, троян суроғаи сатрҳои рамзкушошударо дар асоси суроғаи асосӣ ва офсет динамикӣ ҳисоб мекунад.
Сатрҳо дорои маълумоти ҷолиб дар бораи вазифаҳои нармафзори зараровар мебошанд. Баъзе сатрҳои мисол дар фасли 6.8 оварда шудаанд.
4.3. Шабака
Тарзи тамоси нармафзори зараровари RTM бо сервери C&C аз версия ба версия фарқ мекунад. Тағироти аввал (октябри 2015 - апрели 2016) номҳои домейнҳои анъанавиро дар якҷоягӣ бо канали RSS дар livejournal.com барои нав кардани рӯйхати фармонҳо истифода бурданд.
Аз апрели соли 2016 мо дар маълумоти телеметрия гузариш ба доменҳои .bit дидем. Инро санаи бақайдгирии домен тасдиқ мекунад - аввалин домени RTM fde05d0573da.bit 13 марти соли 2016 ба қайд гирифта шудааст.
Ҳама URL-ҳое, ки мо ҳангоми мониторинги маърака дидем, як роҳи умумӣ доштанд: /r/z.php. Ин хеле ғайриоддӣ аст ва он барои муайян кардани дархостҳои RTM дар ҷараёни шабака кӯмак хоҳад кард.
4.3.1. Канал барои фармонҳо ва назорат
Намунаҳои кӯҳна ин каналро барои нав кардани рӯйхати серверҳои фармон ва назорат истифода бурданд. Хостинг дар livejournal.com ҷойгир аст, ҳангоми навиштани гузориш он дар URL hxxp://f72bba81c921(.)livejournal(.)com/data/rss боқӣ монд.
Livejournal як ширкати русиву амрикоист, ки платформаи блогнависиро пешкаш мекунад. Операторони RTM блоги LJ эҷод мекунанд, ки дар он онҳо мақоларо бо фармонҳои рамзӣ нашр мекунанд - ба тасвири скриншот нигаред.
Хатҳои фармон ва идора бо истифода аз алгоритми тағирёфтаи RC4 рамзгузорӣ карда мешаванд (Қисми 4.2). Версияи кунунии канал (ноябри 2016) дорои суроғаҳои сервери фармон ва идоракунандаи зерин мебошад:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. доменҳои .bit
Дар намунаҳои охирини RTM, муаллифон ба доменҳои C&C бо истифода аз домени сатҳи болоии .bit TLD пайваст мешаванд. Он дар рӯйхати доменҳои сатҳи боло дар ICANN (Номи Домен ва Корпоратсияи Интернет) нест. Ба ҷои ин, он системаи Namecoin-ро истифода мебарад, ки дар болои технологияи Bitcoin сохта шудааст. Муаллифони нармафзори зараровар аксар вақт .bit TLD-ро барои доменҳои худ истифода намебаранд, гарчанде ки намунаи чунин истифода қаблан дар версияи ботнети Necurs мушоҳида шуда буд.
Баръакси Bitcoin, корбарони махзани тақсимшудаи Namecoin қобилияти нигоҳ доштани маълумотро доранд. Барномаи асосии ин хусусият домени сатҳи болоии .bit мебошад. Шумо метавонед доменҳоро қайд кунед, ки дар пойгоҳи додаҳои тақсимшуда нигоҳ дошта мешаванд. Сабтҳои мувофиқ дар пойгоҳи додаҳо суроғаҳои IP-ро дар бар мегиранд, ки аз ҷониби домен ҳал карда шудаанд. Ин TLD "ба сензура тобовар" аст, зеро танҳо ба қайдгиранда метавонад ҳалли домени .bit-ро тағир диҳад. Ин маънои онро дорад, ки боздоштани домени шубҳанок бо истифода аз ин навъи TLD хеле мушкилтар аст.
Трояни RTM нармафзори заруриро барои хондани пойгоҳи додаи Namecoin тақсим намекунад. Он серверҳои марказии DNS ба монанди dns.dot-bit.org ё серверҳои OpenNic барои ҳалли доменҳои .bit истифода мебарад. Аз ин рӯ, он ҳамон устувории серверҳои DNS дорад. Мо мушоҳида кардем, ки баъзе доменҳои даста пас аз зикр дар як пости блог дигар ошкор карда нашуданд.
Бартарии дигари .bit TLD барои ҳакерҳо ин арзиш аст. Барои бақайдгирии домен, операторҳо бояд танҳо 0,01 NK пардохт кунанд, ки ба 0,00185 доллар мувофиқат мекунад (то 5 декабри соли 2016). Барои муқоиса, domain.com ҳадди аққал $ 10 арзиш дорад.
4.3.3. Протокол
Барои муошират бо сервери фармон ва идоракунӣ, RTM дархостҳои HTTP POST-ро бо додаҳои бо истифода аз протоколи фармоишӣ форматшуда истифода мебарад. Қимати роҳ ҳамеша /r/z.php аст; Агенти корбар Mozilla/5.0 (мувофиқ; MSIE 9.0; Windows NT 6.1; Trident/5.0). Дар дархостҳо ба сервер, маълумот ба таври зерин формат карда мешавад, ки дар он арзишҳои офсет бо байт ифода карда мешаванд:
Байтҳои 0 то 6 рамзгузорӣ нашудаанд; байтҳое, ки аз 6 сар мешаванд, бо истифода аз алгоритми тағирёфтаи RC4 рамзгузорӣ карда мешаванд. Сохтори пакети ҷавобии C&C соддатар аст. Байтҳо аз 4 то андозаи пакет рамзгузорӣ карда мешаванд.
Рӯйхати арзишҳои байтҳои амал дар ҷадвали зер оварда шудааст:
Барномаи зараровар ҳамеша CRC32-и маълумоти рамзкушошударо ҳисоб мекунад ва онро бо он чизе, ки дар баста мавҷуд аст, муқоиса мекунад. Агар онҳо фарқ кунанд, троянӣ бастаро мепартояд.
Маълумоти иловагӣ метавонад дорои объектҳои гуногун, аз ҷумла файли PE, файле, ки дар системаи файлӣ ҷустуҷӯ карда мешавад ё URL-ҳои нави фармонро дар бар гирад.
4.3.4. Панел
Мо пай бурдем, ки RTM панелро дар серверҳои C&C истифода мебарад. Скриншот дар зер:
4.4. Аломати хос
RTM як трояни маъмулии бонкӣ мебошад. Ин тааҷҷубовар нест, ки операторон мехоҳанд маълумот дар бораи системаи ҷабрдида. Аз як тараф, бот маълумоти умумиро дар бораи ОС ҷамъ мекунад. Аз тарафи дигар, он муайян мекунад, ки оё системаи вайроншуда дорои атрибутҳои марбут ба системаҳои бонкии дурдасти Русия аст.
4.4.1. Маълумоти умумӣ
Вақте ки нармафзори зараровар пас аз бозоғозӣ насб ё ба кор андохта мешавад, ба сервери фармон ва идора гузориш фиристода мешавад, ки дорои маълумоти умумӣ мебошад, аз ҷумла:
- Минтақаи вақт;
- забони пешфарзи система;
- маълумоти корбари ваколатдор;
- сатҳи якпорчагии раванд;
- Номи корбар;
- номи компютер;
- Версияи OS;
- модулҳои иловагии насбшуда;
- барномаи антивирус насбшуда;
- рӯйхати хонандагони корти смарт.
4.4.2 Системаи бонкии дурдаст
Ҳадафи маъмулии троянӣ системаи бонкии дурдаст аст ва RTM истисно нест. Яке аз модулҳои барнома TBdo ном дорад, ки вазифаҳои гуногун, аз ҷумла сканкунии дискҳо ва таърихи диданро иҷро мекунад.
Бо сканкунии диск, троян тафтиш мекунад, ки оё нармафзори бонкӣ дар мошин насб шудааст ё не. Рӯйхати пурраи барномаҳои мақсаднок дар ҷадвали зер оварда шудааст. Пас аз ошкор кардани файли таваҷҷӯҳ, барнома маълумотро ба сервери фармон мефиристад. Амалҳои навбатӣ аз мантиқи муайянкардаи алгоритмҳои маркази фармон (C&C) вобастаанд.
RTM инчунин намунаҳои URL-ро дар таърихи браузери шумо ва ҷадвалҳои кушода ҷустуҷӯ мекунад. Илова бар ин, барнома истифодаи функсияҳои FindNextUrlCacheEntryA ва FindFirstUrlCacheEntryA-ро месанҷад ва инчунин ҳар як вурудро месанҷад, то URL ба яке аз намунаҳои зерин мувофиқат кунад:
Пас аз ошкор кардани ҷадвалҳои кушода, троян бо Internet Explorer ё Firefox тавассути механизми мубодилаи маълумотҳои динамикӣ (DDE) тамос мегирад, то тафтиш кунад, ки оё ҷадвал ба намуна мувофиқат мекунад.
Санҷиши таърихи дидан ва ҷадвалҳои кушодаи шумо дар даври WHILE (давра бо шарти пешакӣ) бо танаффуси 1 сония байни чекҳо анҷом дода мешавад. Дигар маълумоте, ки дар вақти воқеӣ назорат карда мешаванд, дар боби 4.5 баррасӣ карда мешаванд.
Агар намуна пайдо шавад, барнома дар ин бора ба сервери фармон бо истифода аз рӯйхати сатрҳои ҷадвали зерин хабар медиҳад:
4.5 Мониторинг
Ҳангоми кор кардани Троян, маълумот дар бораи хусусиятҳои хоси системаи сироятшуда (аз ҷумла маълумот дар бораи мавҷудияти нармафзори бонкӣ) ба сервери фармондиҳӣ ва идоракунӣ фиристода мешавад. Изи ангуштон вақте рух медиҳад, ки RTM бори аввал системаи мониторингро фавран пас аз сканкунии ибтидоии ОС кор мекунад.
4.5.1. Бонкдории дурдаст
Модули TBdo инчунин барои мониторинги равандҳои марбут ба бонк масъул аст. Он мубодилаи динамикии маълумотро барои тафтиши ҷадвалҳо дар Firefox ва Internet Explorer ҳангоми сканкунии аввал истифода мебарад. Модули дигари TShell барои назорат кардани тирезаҳои фармон (Internet Explorer ё File Explorer) истифода мешавад.
Модул барои назорат кардани тирезаҳо интерфейсҳои COM-ро истифода мебарад IShellWindows, iWebBrowser, DWebBrowserEvents2 ва IConnectionPointContainer. Вақте ки корбар ба саҳифаи веби нав мегузарад, зараровар инро қайд мекунад. Он гоҳ URL-и саҳифаро бо намунаҳои дар боло зикршуда муқоиса мекунад. Пас аз муайян кардани мувофиқат, троян шаш скриншотҳои пайдарпайро бо фосилаи 5 сония мегирад ва онҳоро ба сервери фармони C&S мефиристад. Барнома инчунин баъзе номҳои равзанаи марбут ба нармафзори бонкиро месанҷад - рӯйхати пурра дар зер оварда шудааст:
4.5.2. Корти смарт
RTM ба шумо имкон медиҳад, ки хонандагони корти смарт, ки ба компютерҳои сироятшуда пайвастанд, назорат кунед. Ин дастгоҳҳо дар баъзе кишварҳо барои мувофиқ кардани супоришҳои пардохт истифода мешаванд. Агар ин навъи дастгоҳ ба компютер пайваст карда шавад, он метавонад ба Троян нишон диҳад, ки мошин барои амалиёти бонкӣ истифода мешавад.
Баръакси дигар троянҳои бонкӣ, RTM наметавонад бо чунин кортҳои смарт ҳамкорӣ кунад. Шояд ин функсия ба модули иловагӣ дохил карда шудааст, ки мо то ҳол надидаем.
4.5.3. Keylogger
Қисми муҳими мониторинги компютери сироятшуда сабти клавиатура мебошад. Чунин ба назар мерасад, ки таҳиягарони RTM ягон маълумотро аз даст надодаанд, зеро онҳо на танҳо калидҳои муқаррарӣ, балки клавиатура ва буфери виртуалиро низ назорат мекунанд.
Барои ин, функсияи SetWindowsHookExA -ро истифода баред. Ҳамлагарон калидҳои пахшшуда ё калидҳои мувофиқи клавиатураи виртуалиро ҳамроҳ бо ном ва санаи барнома сабт мекунанд. Сипас буфер ба сервери фармони C&C фиристода мешавад.
Функсияи SetClipboardViewer барои боздоштани буфер истифода мешавад. Вақте ки маълумот матн аст, ҳакерҳо мундариҷаи буферро сабт мекунанд. Ном ва сана инчунин пеш аз фиристодани буфер ба сервер сабт карда мешавад.
4.5.4. Скриншотҳо
Функсияи дигари RTM боздоштани скриншот мебошад. Ин хусусият вақте истифода мешавад, ки модули мониторинги тиреза сайт ё нармафзори бонкии мавриди таваҷҷӯҳро ошкор мекунад. Скриншотҳо бо истифода аз китобхонаи тасвирҳои графикӣ гирифта мешаванд ва ба сервери фармон интиқол дода мешаванд.
4.6. Насбкунӣ
Сервери C&C метавонад нармафзори зарароварро аз кор боздорад ва компютери шуморо тоза кунад. Фармон ба шумо имкон медиҳад, ки файлҳо ва сабтҳои сабтро, ки ҳангоми кор кардани RTM сохта шудаанд, тоза кунед. Сипас DLL барои нест кардани нармафзори зараровар ва файли winlogon истифода мешавад, ки пас аз он фармон компютерро хомӯш мекунад. Тавре ки дар тасвири зер нишон дода шудааст, DLL аз ҷониби таҳиягарон бо истифода аз erase.dll хориҷ карда мешавад.
Сервер метавонад ба Троян фармони харобиовари uninstall-lock фиристад. Дар ин ҳолат, агар шумо ҳуқуқҳои администратор дошта бошед, RTM бахши пурборкунандаи MBR-ро дар диски сахт нест мекунад. Агар ин кор наояд, троянӣ кӯшиш мекунад, ки бахши пурборкунандаи MBR-ро ба бахши тасодуфӣ гузаронад - пас компютер пас аз хомӯш шудан ОС-ро бор карда наметавонад. Ин метавонад ба пурра аз нав насб кардани ОС оварда расонад, ки маънои нобуд кардани далелҳоро дорад.
Бе имтиёзҳои администратор, нармафзори зараровар .EXE-ро менависад, ки дар RTM DLL-и аслӣ рамзгузорӣ шудааст. Барномаи иҷрошаванда рамзи лозимиро барои хомӯш кардани компютер иҷро мекунад ва модулро дар калиди реестри HKCUCurrentVersionRun сабт мекунад. Ҳар дафъае, ки корбар сессияро оғоз мекунад, компютер фавран хомӯш мешавад.
4.7. Файли конфигуратсия
Бо нобаёнӣ, RTM қариб ягон файли конфигуратсия надорад, аммо сервери фармон ва идора метавонад арзишҳои конфигуратсияро фиристад, ки дар реестр нигоҳ дошта мешаванд ва аз ҷониби барнома истифода мешаванд. Рӯйхати калидҳои конфигуратсия дар ҷадвали зер оварда шудааст:
Конфигуратсия дар калиди реестри Software[string pseudo-tasodifi] нигоҳ дошта мешавад. Ҳар як арзиш ба яке аз сатрҳои дар ҷадвали қаблӣ овардашуда мувофиқат мекунад. Арзишҳо ва додаҳо бо истифода аз алгоритми RC4 дар RTM рамзгузорӣ карда мешаванд.
Маълумот дорои сохтори якхела бо шабака ё сатр мебошад. Калиди чор-байтии XOR дар оғози маълумоти рамзгузорӣ илова карда мешавад. Барои арзишҳои конфигуратсия, калиди XOR гуногун аст ва аз андозаи арзиш вобаста аст. Онро ба таври зерин ҳисоб кардан мумкин аст:
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)
4.8. Дигар хусусиятҳо
Минбаъд, биёед ба дигар вазифаҳое, ки RTM дастгирӣ мекунанд, бубинем.
4.8.1. Модулҳои иловагӣ
Троян дорои модулҳои иловагӣ мебошад, ки файлҳои DLL мебошанд. Модулҳое, ки аз сервери фармони C&C фиристода мешаванд, метавонанд ҳамчун барномаҳои беруна иҷро шаванд, ки дар RAM инъикос карда мешаванд ва дар риштаҳои нав оғоз карда мешаванд. Барои нигоҳдорӣ, модулҳо дар файлҳои .dtt захира карда мешаванд ва бо истифода аз алгоритми RC4 бо ҳамон калид, ки барои алоқаи шабакавӣ истифода мешавад, рамзгузорӣ карда мешаванд.
То ба ҳол мо насби модули VNC (8966319882494077C21F66A8354E2CBCA0370464), модули истихроҷи додаҳои браузер (03DE8622BE6B2F75A364A275995C3411626C4C9C1C2D) ва модули VNC-ро мушоҳида кардем. 1EFC562FBA1 B69BE6D58B88753E7CFAB).
Барои бор кардани модули VNC, сервери C&C фармон медиҳад, ки пайвастшавӣ ба сервери VNC дар суроғаи мушаххаси IP дар бандари 44443 дархост мекунад. Васлкунаки ҷустуҷӯи маълумотҳои браузер TBrowserDataCollector-ро иҷро мекунад, ки метавонад таърихи дидани IE-ро хонад. Сипас он рӯйхати пурраи URL-ҳои боздидшударо ба сервери фармони C&C мефиристад.
Модули охирини кашфшуда 1c_2_kl номида мешавад. Он метавонад бо бастаи нармафзори 1C Enterprise ҳамкорӣ кунад. Модул ду қисмро дар бар мегирад: қисми асосӣ - DLL ва ду агент (32 ва 64 бит), ки ба ҳар як раванд ворид карда мешаванд, ки пайвастшавиро ба WH_CBT сабт мекунанд. Пас аз ворид шудан ба раванди 1C, модул функсияҳои CreateFile ва WriteFile -ро мепайвандад. Ҳар вақте ки функсияи CreateFile пайваст мешавад, модул роҳи файли 1c_to_kl.txt-ро дар хотира нигоҳ медорад. Пас аз боздоштани занги WriteFile, он функсияи WriteFile-ро даъват мекунад ва роҳи файли 1c_to_kl.txt-ро ба модули асосии DLL мефиристад ва ба он паёми таҳияшудаи Windows WM_COPYDATA мефиристад.
Модули асосии DLL файлро барои муайян кардани супоришҳои пардохт мекушояд ва таҳлил мекунад. Он маблағ ва рақами амалиёти дар файл мавҷудбударо эътироф мекунад. Ин маълумот ба сервери фармон фиристода мешавад. Мо боварӣ дорем, ки ин модул дар ҳоли таҳия аст, зеро он дорои паёми дебаг аст ва наметавонад ба таври худкор 1c_to_kl.txt тағир диҳад.
4.8.2. Баланд бардоштани имтиёз
RTM метавонад кӯшиш кунад, ки имтиёзҳоро тавассути нишон додани паёмҳои хатогии бардурӯғ афзоиш диҳад. Барномаи зараровар санҷиши реестрро тақлид мекунад (ба расми зер нигаред) ё тасвири муҳаррири реестри воқеиро истифода мебарад. Лутфан интизории хатои имлоро қайд кунед - whait. Пас аз чанд сонияи скан, барнома паёми хатогии бардурӯғро нишон медиҳад.
Паёми бардурӯғ сарфи назар аз хатогиҳои грамматикӣ корбари миёнаро ба осонӣ фиреб медиҳад. Агар корбар яке аз ду истинодро клик кунад, RTM кӯшиш мекунад, ки имтиёзҳои худро дар система афзоиш диҳад.
Пас аз интихоби яке аз ду имконоти барқарорсозӣ, троян DLL-ро бо истифода аз имконоти runas дар функсияи ShellExecute бо имтиёзҳои администратор оғоз мекунад. Истифодабаранда як дархости воқеии Windows-ро (нигаред ба тасвири зер) барои баландӣ хоҳад дид. Агар корбар иҷозатҳои заруриро диҳад, троян бо имтиёзҳои администратор кор мекунад.
Вобаста аз забони пешфарз, ки дар система насб шудааст, троян паёмҳои хатогиро бо забони русӣ ё англисӣ нишон медиҳад.
4.8.3. Шаҳодатнома
RTM метавонад ба Дӯкони Windows сертификатҳо илова кунад ва эътимоднокии иловаро тавассути пахш кардани тугмаи "ҳа" ба таври худкор дар қуттии муколамаи csrss.exe тасдиқ кунад. Ин рафтор нав нест; масалан, бонкии Trojan Retefe низ мустақилона насб кардани шаҳодатномаи навро тасдиқ мекунад.
4.8.4. Пайвастшавии баръакс
Муаллифони RTM инчунин нақби Backconnect TCP-ро сохтанд. Мо ҳоло ин хусусиятро дар истифода надидаем, аммо он барои назорати фосилавии компютерҳои сироятшуда пешбинӣ шудааст.
4.8.5. Идоракунии файли ҳост
Сервери C&C метавонад ба Троян фармон фиристад, то файли хости Windows-ро тағир диҳад. Файли мизбон барои эҷоди қарорҳои фармоишии DNS истифода мешавад.
4.8.6. Файлро ёбед ва фиристед
Сервер метавонад барои ҷустуҷӯ ва зеркашии файл дар системаи сироятшуда дархост кунад. Масалан, ҳангоми тадқиқот мо барои файли 1c_to_kl.txt дархост гирифтем. Тавре ки қаблан тавсиф шудааст, ин файл аз ҷониби системаи баҳисобгирии 1C: Enterprise 8 тавлид мешавад.
4.8.7. Навсозӣ
Дар ниҳоят, муаллифони RTM метавонанд нармафзорро тавассути пешниҳоди DLL-и нав барои иваз кардани версияи ҷорӣ навсозӣ кунанд.
5. Хулоса
Тадқиқоти RTM нишон медиҳад, ки низоми бонкии Русия то ҳол ҳамлаҳои кибериро ҷалб мекунад. Гурӯҳҳо ба монанди Buhtrap, Corkow ва Carbanak бомуваффақият пул аз муассисаҳои молиявӣ ва мизоҷони онҳо дар Русия дуздида мешаванд. RTM як бозигари нав дар ин соҳа аст.
Мувофиқи маълумоти телеметрии ESET, асбобҳои зараровар RTM ҳадди аққал аз охири соли 2015 истифода мешаванд. Барнома дорои маҷмӯи пурраи қобилиятҳои ҷосусӣ, аз ҷумла хондани кортҳои смарт, боздоштани пахши клавиатура ва мониторинги амалиёти бонкӣ, инчунин ҷустуҷӯи файлҳои нақлиётии 1C: Enterprise 8.
Истифодаи домени сатҳи болоии ғайримарказонидашудаи .bit инфрасохтори устуворро таъмин мекунад.
Манбаъ: will.com