Mayroong ilang mga kilalang cyber group na dalubhasa sa pagnanakaw ng mga pondo mula sa mga kumpanyang Ruso. Nakakita kami ng mga pag-atake gamit ang mga butas sa seguridad na nagbibigay-daan sa pag-access sa network ng target. Kapag nakakuha na sila ng access, pinag-aaralan ng mga attacker ang istraktura ng network ng organisasyon at i-deploy ang sarili nilang mga tool para magnakaw ng mga pondo. Ang isang klasikong halimbawa ng trend na ito ay ang mga grupo ng hacker na Buhtrap, Cobalt at Corkow.
Ang pangkat ng RTM na pinagtutuunan ng ulat na ito ay bahagi ng kalakaran na ito. Gumagamit ito ng espesyal na idinisenyong malware na nakasulat sa Delphi, na titingnan natin nang mas detalyado sa mga sumusunod na seksyon. Ang mga unang bakas ng mga tool na ito sa ESET telemetry system ay natuklasan sa katapusan ng 2015. Ang koponan ay nag-load ng iba't ibang mga bagong module sa mga nahawaang sistema kung kinakailangan. Ang mga pag-atake ay naglalayong sa mga gumagamit ng malalayong sistema ng pagbabangko sa Russia at ilang kalapit na bansa.
1. Mga Layunin
Ang kampanya ng RTM ay naglalayon sa mga corporate na gumagamit - ito ay kitang-kita mula sa mga proseso na sinusubukang tuklasin ng mga umaatake sa isang nakompromisong sistema. Ang pokus ay sa accounting software para sa pagtatrabaho sa mga malalayong sistema ng pagbabangko.
Ang listahan ng mga proseso ng interes sa RTM ay kahawig ng kaukulang listahan ng pangkat ng Buhtrap, ngunit ang mga grupo ay may iba't ibang mga vector ng impeksyon. Kung mas madalas gumamit ng mga pekeng page ang Buhtrap, gumamit ang RTM ng mga pag-atake sa drive-by download (mga pag-atake sa browser o mga bahagi nito) at pag-spam sa pamamagitan ng email. Ayon sa data ng telemetry, ang banta ay naglalayong sa Russia at ilang mga kalapit na bansa (Ukraine, Kazakhstan, Czech Republic, Germany). Gayunpaman, dahil sa paggamit ng mga mekanismo ng malawakang pamamahagi, ang pagtuklas ng malware sa labas ng mga target na rehiyon ay hindi nakakagulat.
Ang kabuuang bilang ng mga pagtuklas ng malware ay medyo maliit. Sa kabilang banda, ang kampanya ng RTM ay gumagamit ng mga kumplikadong programa, na nagpapahiwatig na ang mga pag-atake ay lubos na naka-target.
Natuklasan namin ang ilang mga decoy na dokumento na ginagamit ng RTM, kabilang ang mga hindi umiiral na kontrata, mga invoice o mga dokumento sa accounting ng buwis. Ang likas na katangian ng mga pang-akit, na sinamahan ng uri ng software na na-target ng pag-atake, ay nagpapahiwatig na ang mga umaatake ay "pumasok" sa mga network ng mga kumpanyang Ruso sa pamamagitan ng departamento ng accounting. Ang grupo ay kumilos ayon sa parehong pamamaraan noong 2014-2015
Sa panahon ng pananaliksik, nakipag-ugnayan kami sa ilang C&C server. Ililista namin ang buong listahan ng mga utos sa mga sumusunod na seksyon, ngunit sa ngayon maaari naming sabihin na ang kliyente ay naglilipat ng data mula sa keylogger nang direkta sa umaatake na server, kung saan natatanggap ang mga karagdagang command.
Gayunpaman, ang mga araw kung kailan maaari kang kumonekta sa isang command at control server at kolektahin ang lahat ng data na interesado ka ay wala na. Muli kaming gumawa ng makatotohanang mga log file para makakuha ng ilang nauugnay na command mula sa server.
Ang una sa kanila ay isang kahilingan sa bot na ilipat ang file 1c_to_kl.txt - isang transport file ng 1C: Enterprise 8 program, ang hitsura nito ay aktibong sinusubaybayan ng RTM. Nakikipag-ugnayan ang 1C sa mga malayuang sistema ng pagbabangko sa pamamagitan ng pag-upload ng data sa mga papalabas na pagbabayad sa isang text file. Susunod, ang file ay ipinadala sa malayong sistema ng pagbabangko para sa automation at pagpapatupad ng order ng pagbabayad.
Ang file ay naglalaman ng mga detalye ng pagbabayad. Kung babaguhin ng mga umaatake ang impormasyon tungkol sa mga papalabas na pagbabayad, ipapadala ang paglilipat gamit ang mga maling detalye sa mga account ng mga umaatake.
Humigit-kumulang isang buwan pagkatapos humiling ng mga file na ito mula sa command at control server, nakita namin ang isang bagong plugin, 1c_2_kl.dll, na nilo-load sa nakompromisong system. Ang module (DLL) ay idinisenyo upang awtomatikong suriin ang pag-download ng file sa pamamagitan ng pagtagos sa mga proseso ng accounting software. Ilalarawan namin ito nang detalyado sa mga sumusunod na seksyon.
Kapansin-pansin, naglabas ang FinCERT ng Bank of Russia sa pagtatapos ng 2016 ng babala sa bulletin tungkol sa mga cybercriminal na gumagamit ng 1c_to_kl.txt na mga file sa pag-upload. Alam din ng mga developer mula sa 1C ang tungkol sa scheme na ito; nakagawa na sila ng opisyal na pahayag at nakalistang mga pag-iingat.
Ang iba pang mga module ay na-load din mula sa command server, sa partikular na VNC (mga 32 at 64-bit na bersyon nito). Ito ay kahawig ng VNC module na dating ginamit sa Dridex Trojan attacks. Ang module na ito ay dapat na ginagamit upang malayuang kumonekta sa isang nahawaang computer at magsagawa ng isang detalyadong pag-aaral ng system. Susunod, sinusubukan ng mga umaatake na gumalaw sa network, kumukuha ng mga password ng user, nangongolekta ng impormasyon at tinitiyak ang patuloy na pagkakaroon ng malware.
2. Mga vector ng impeksyon
Ipinapakita ng sumusunod na figure ang mga vector ng impeksyon na nakita sa panahon ng pag-aaral ng kampanya. Gumagamit ang grupo ng malawak na hanay ng mga vectors, ngunit higit sa lahat ay drive-by download attacks at spam. Ang mga tool na ito ay maginhawa para sa mga naka-target na pag-atake, dahil sa unang kaso, ang mga umaatake ay maaaring pumili ng mga site na binisita ng mga potensyal na biktima, at sa pangalawa, maaari silang magpadala ng email na may mga attachment nang direkta sa nais na mga empleyado ng kumpanya.
Ang malware ay ipinamamahagi sa pamamagitan ng maraming channel, kabilang ang RIG at Sundown exploit kit o spam mail, na nagpapahiwatig ng mga koneksyon sa pagitan ng mga umaatake at iba pang cyberattacker na nag-aalok ng mga serbisyong ito.
2.1. Paano nauugnay ang RTM at Buhtrap?
Ang kampanya ng RTM ay halos kapareho sa Buhtrap. Ang natural na tanong ay: paano sila nauugnay sa isa't isa?
Noong Setyembre 2016, naobserbahan namin ang isang sample ng RTM na ipinamamahagi gamit ang Buhtrap uploader. Bukod pa rito, nakakita kami ng dalawang digital na sertipiko na ginagamit sa parehong Buhtrap at RTM.
Ang una, na sinasabing inisyu sa kumpanyang DNISTER-M, ay ginamit para pirmahan nang digital ang pangalawang form ng Delphi (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) at ang Buhtrap DLL (SHA-1: 1E2642C454D2F889B6A41116B83B6B2A 4890).
Ang pangalawa, na ibinigay sa Bit-Tredj, ay ginamit para pirmahan ang mga Buhtrap loader (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 at B74F71560E48488D2153AE2FB51207A0 at pati na rin ang mga bahagi ng RTM.
Gumagamit ang mga operator ng RTM ng mga certificate na karaniwan sa ibang mga pamilya ng malware, ngunit mayroon din silang natatanging certificate. Ayon sa telemetry ng ESET, ito ay inisyu sa Kit-SD at ginamit lamang para pirmahan ang ilang RTM malware (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
Ginagamit ng RTM ang parehong loader gaya ng Buhtrap, ang mga bahagi ng RTM ay nilo-load mula sa imprastraktura ng Buhtrap, kaya ang mga grupo ay may katulad na mga tagapagpahiwatig ng network. Gayunpaman, ayon sa aming mga pagtatantya, ang RTM at Buhtrap ay magkaibang grupo, kahit man lang dahil ang RTM ay ipinamamahagi sa iba't ibang paraan (hindi lamang gumagamit ng "banyagang" downloader).
Sa kabila nito, ang mga grupo ng hacker ay gumagamit ng mga katulad na prinsipyo ng pagpapatakbo. Tina-target nila ang mga negosyong gumagamit ng software ng accounting, katulad ng pagkolekta ng impormasyon ng system, paghahanap ng mga smart card reader, at pag-deploy ng isang hanay ng mga malisyosong tool upang tiktikan ang mga biktima.
3. Ebolusyon
Sa seksyong ito, titingnan natin ang iba't ibang bersyon ng malware na natuklasan sa panahon ng pag-aaral.
3.1. Pag-bersyon
Ang RTM ay nag-iimbak ng data ng pagsasaayos sa isang seksyon ng pagpapatala, ang pinakakawili-wiling bahagi ay botnet-prefix. Ang isang listahan ng lahat ng mga halaga na nakita namin sa mga sample na aming pinag-aralan ay ipinakita sa talahanayan sa ibaba.
Posible na ang mga halaga ay maaaring gamitin upang i-record ang mga bersyon ng malware. Gayunpaman, hindi namin napansin ang malaking pagkakaiba sa pagitan ng mga bersyon tulad ng bit2 at bit3, 0.1.6.4 at 0.1.6.6. Higit pa rito, ang isa sa mga prefix ay umiikot na mula pa noong una at umunlad mula sa isang tipikal na C&C domain patungo sa isang .bit na domain, tulad ng ipapakita sa ibaba.
3.2. Iskedyul
Gamit ang data ng telemetry, gumawa kami ng graph ng paglitaw ng mga sample.
4. Pagsusuri sa teknikal
Sa seksyong ito, ilalarawan namin ang mga pangunahing function ng RTM banking Trojan, kabilang ang mga mekanismo ng paglaban, sarili nitong bersyon ng RC4 algorithm, network protocol, spying functionality at ilang iba pang feature. Sa partikular, tututuon tayo sa mga sample ng SHA-1 na AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 at 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. Pag-install at pag-save
4.1.1. Pagpapatupad
Ang RTM core ay isang DLL, ang library ay na-load sa disk gamit ang .EXE. Ang executable file ay karaniwang nakabalot at naglalaman ng DLL code. Sa sandaling inilunsad, kinukuha nito ang DLL at pinapatakbo ito gamit ang sumusunod na utos:
rundll32.exe β%PROGRAMDATA%Winlogonwinlogon.lnkβ,DllGetClassObject host4.1.2. DLL
Ang pangunahing DLL ay palaging nilo-load sa disk bilang winlogon.lnk sa %PROGRAMDATA%Winlogon folder. Ang extension ng file na ito ay karaniwang nauugnay sa isang shortcut, ngunit ang file ay talagang isang DLL na nakasulat sa Delphi, na pinangalanang core.dll ng developer, tulad ng ipinapakita sa larawan sa ibaba.
ΠΡΠΈΠΌΠ΅Ρ Π½Π°Π·Π²Π°Π½ΠΈΡ DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Sa sandaling inilunsad, ang Trojan ay nagpapagana ng mekanismo ng paglaban nito. Magagawa ito sa dalawang magkaibang paraan, depende sa mga pribilehiyo ng biktima sa system. Kung mayroon kang mga karapatan ng administrator, ang Trojan ay nagdaragdag ng Windows Update entry sa HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun registry. Ang mga utos na nilalaman sa Windows Update ay tatakbo sa simula ng session ng user.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe β%PROGRAMDATA%winlogon.lnkβ,DllGetClassObject host
Sinusubukan din ng Trojan na magdagdag ng gawain sa Windows Task Scheduler. Ilulunsad ng gawain ang winlogon.lnk DLL na may parehong mga parameter tulad ng nasa itaas. Ang mga regular na karapatan ng user ay nagpapahintulot sa Trojan na magdagdag ng Windows Update entry na may parehong data sa HKCUSoftwareMicrosoftWindowsCurrentVersionRun registry:
rundll32.exe β%PROGRAMDATA%winlogon.lnkβ,DllGetClassObject host4.2. Binagong RC4 algorithm
Sa kabila ng mga kilalang pagkukulang nito, ang RC4 algorithm ay regular na ginagamit ng mga may-akda ng malware. Gayunpaman, bahagyang binago ito ng mga tagalikha ng RTM, marahil upang gawing mas mahirap ang gawain ng mga analyst ng virus. Ang isang binagong bersyon ng RC4 ay malawakang ginagamit sa mga nakakahamak na tool ng RTM upang i-encrypt ang mga string, data ng network, configuration at mga module.
4.2.1. Mga Pagkakaiba
Ang orihinal na RC4 algorithm ay may kasamang dalawang yugto: s-block initialization (aka KSA - Key-Scheduling Algorithm) at pseudo-random sequence generation (PRGA - Pseudo-Random Generation Algorithm). Ang unang yugto ay nagsasangkot ng pagsisimula ng s-box gamit ang susi, at sa pangalawang yugto ang pinagmulang teksto ay pinoproseso gamit ang s-box para sa pag-encrypt.
Nagdagdag ang mga may-akda ng RTM ng isang intermediate na hakbang sa pagitan ng s-box initialization at encryption. Ang karagdagang key ay variable at nakatakda kasabay ng data na ie-encrypt at i-decrypt. Ang function na nagsasagawa ng karagdagang hakbang na ito ay ipinapakita sa figure sa ibaba.
4.2.2. String encryption
Sa unang sulyap, may ilang nababasang linya sa pangunahing DLL. Ang natitira ay naka-encrypt gamit ang algorithm na inilarawan sa itaas, ang istraktura nito ay ipinapakita sa sumusunod na figure. Nakakita kami ng higit sa 25 iba't ibang RC4 key para sa pag-encrypt ng string sa mga nasuri na sample. Ang XOR key ay iba para sa bawat row. Ang halaga ng mga linyang naghihiwalay sa numeric na field ay palaging 0xFFFFFFFF.
Sa simula ng pagpapatupad, idini-decrypt ng RTM ang mga string sa isang pandaigdigang variable. Kung kinakailangan upang ma-access ang isang string, dynamic na kinakalkula ng Trojan ang address ng mga naka-decrypt na string batay sa base address at offset.
Ang mga string ay naglalaman ng kawili-wiling impormasyon tungkol sa mga function ng malware. Ang ilang halimbawang string ay ibinigay sa Seksyon 6.8.
4.3. Network
Ang paraan ng pakikipag-ugnayan ng malware ng RTM sa server ng C&C ay nag-iiba-iba sa bawat bersyon. Ang mga unang pagbabago (Oktubre 2015 β Abril 2016) ay gumamit ng mga tradisyonal na domain name kasama ng isang RSS feed sa livejournal.com upang i-update ang listahan ng mga command.
Mula noong Abril 2016, nakita namin ang pagbabago sa mga .bit na domain sa data ng telemetry. Kinumpirma ito ng petsa ng pagpaparehistro ng domain - ang unang RTM domain na fde05d0573da.bit ay nairehistro noong Marso 13, 2016.
Ang lahat ng mga URL na nakita namin habang sinusubaybayan ang kampanya ay may isang karaniwang landas: /r/z.php. Ito ay medyo hindi pangkaraniwan at makakatulong ito na matukoy ang mga kahilingan sa RTM sa mga daloy ng network.
4.3.1. Channel para sa mga utos at kontrol
Ginamit ng mga legacy na halimbawa ang channel na ito para i-update ang kanilang listahan ng mga command at control server. Ang pagho-host ay matatagpuan sa livejournal.com, sa oras ng pagsulat ng ulat ay nanatili ito sa URL na hxxp://f72bba81c921(.)livejournal(.)com/ data/rss.
Ang Livejournal ay isang kumpanyang Ruso-Amerikano na nagbibigay ng platform sa pag-blog. Ang mga operator ng RTM ay lumikha ng isang LJ blog kung saan sila ay nagpo-post ng isang artikulo na may mga naka-code na command - tingnan ang screenshot.
Ang mga command at control lines ay naka-encode gamit ang isang binagong RC4 algorithm (Seksyon 4.2). Ang kasalukuyang bersyon (Nobyembre 2016) ng channel ay naglalaman ng mga sumusunod na command at control server address:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. .bit na mga domain
Sa pinakabagong mga sample ng RTM, kumokonekta ang mga may-akda sa mga C&C domain gamit ang .bit TLD top-level na domain. Wala ito sa listahan ng ICANN (Domain Name and Internet Corporation) ng mga top-level na domain. Sa halip, ginagamit nito ang Namecoin system, na binuo sa ibabaw ng teknolohiya ng Bitcoin. Ang mga may-akda ng malware ay hindi madalas na gumagamit ng .bit TLD para sa kanilang mga domain, bagama't ang isang halimbawa ng naturang paggamit ay dati nang naobserbahan sa isang bersyon ng Necurs botnet.
Hindi tulad ng Bitcoin, ang mga gumagamit ng ibinahagi na database ng Namecoin ay may kakayahang mag-save ng data. Ang pangunahing aplikasyon ng tampok na ito ay ang .bit na top-level na domain. Maaari kang magrehistro ng mga domain na maiimbak sa isang distributed database. Ang kaukulang mga entry sa database ay naglalaman ng mga IP address na naresolba ng domain. Ang TLD na ito ay "lumalaban sa censorship" dahil ang nagparehistro lamang ang maaaring magbago ng resolution ng .bit na domain. Nangangahulugan ito na mas mahirap ihinto ang isang nakakahamak na domain gamit ang ganitong uri ng TLD.
Ang RTM Trojan ay hindi naka-embed ng software na kinakailangan upang mabasa ang ipinamahagi na database ng Namecoin. Gumagamit ito ng mga sentral na DNS server gaya ng dns.dot-bit.org o OpenNic server upang malutas ang mga .bit na domain. Samakatuwid, ito ay may parehong tibay ng mga DNS server. Napansin namin na ang ilang mga domain ng koponan ay hindi na natukoy pagkatapos na mabanggit sa isang post sa blog.
Ang isa pang bentahe ng .bit TLD para sa mga hacker ay ang gastos. Para magparehistro ng domain, kailangan lang magbayad ng mga operator ng 0,01 NK, na katumbas ng $0,00185 (mula noong Disyembre 5, 2016). Para sa paghahambing, ang domain.com ay nagkakahalaga ng hindi bababa sa $10.
4.3.3. Protocol
Para makipag-ugnayan sa command at control server, gumagamit ang RTM ng mga kahilingan sa HTTP POST na may data na naka-format gamit ang custom na protocol. Ang halaga ng path ay palaging /r/z.php; Mozilla/5.0 user agent (katugma; MSIE 9.0; Windows NT 6.1; Trident/5.0). Sa mga kahilingan sa server, ang data ay naka-format tulad ng sumusunod, kung saan ang mga halaga ng offset ay ipinahayag sa mga byte:
Ang mga byte 0 hanggang 6 ay hindi naka-encode; Ang mga byte na nagsisimula sa 6 ay naka-encode gamit ang isang binagong RC4 algorithm. Ang istraktura ng C&C response packet ay mas simple. Ang mga byte ay naka-encode mula 4 hanggang sa laki ng packet.
Ang listahan ng mga posibleng halaga ng byte ng aksyon ay ipinakita sa talahanayan sa ibaba:
Palaging kinakalkula ng malware ang CRC32 ng na-decrypt na data at inihahambing ito sa kung ano ang nasa packet. Kung magkaiba sila, ibinabagsak ng Trojan ang packet.
Ang karagdagang data ay maaaring maglaman ng iba't ibang bagay, kabilang ang isang PE file, isang file na hahanapin sa file system, o mga bagong command URL.
4.3.4. Panel
Napansin namin na gumagamit ang RTM ng panel sa mga server ng C&C. Screenshot sa ibaba:
4.4. Katangiang tanda
Ang RTM ay isang tipikal na Trojan sa pagbabangko. Hindi nakakagulat na gusto ng mga operator ng impormasyon tungkol sa sistema ng biktima. Sa isang banda, kinokolekta ng bot ang pangkalahatang impormasyon tungkol sa OS. Sa kabilang banda, malalaman nito kung ang nakompromisong sistema ay naglalaman ng mga katangiang nauugnay sa mga remote banking system ng Russia.
4.4.1. Pangkalahatang impormasyon
Kapag na-install o inilunsad ang malware pagkatapos ng pag-reboot, ipapadala ang isang ulat sa command at control server na naglalaman ng pangkalahatang impormasyon kabilang ang:
- Timezone;
- default na wika ng system;
- mga awtorisadong kredensyal ng gumagamit;
- antas ng integridad ng proseso;
- Username;
- pangalan ng computer;
- bersyon ng OS;
- karagdagang naka-install na mga module;
- naka-install na antivirus program;
- listahan ng mga smart card reader.
4.4.2 Remote banking system
Ang karaniwang target ng Trojan ay isang malayuang sistema ng pagbabangko, at ang RTM ay walang pagbubukod. Ang isa sa mga module ng programa ay tinatawag na TBdo, na gumaganap ng iba't ibang mga gawain, kabilang ang pag-scan ng mga disk at kasaysayan ng pagba-browse.
Sa pamamagitan ng pag-scan sa disk, sinusuri ng Trojan kung naka-install ang banking software sa makina. Ang buong listahan ng mga target na programa ay nasa talahanayan sa ibaba. Ang pagkakaroon ng nakitang isang file ng interes, ang programa ay nagpapadala ng impormasyon sa command server. Ang mga susunod na aksyon ay nakadepende sa logic na tinukoy ng command center (C&C) algorithm.
Naghahanap din ang RTM ng mga pattern ng URL sa history ng iyong browser at mga bukas na tab. Bilang karagdagan, sinusuri ng program ang paggamit ng mga function ng FindNextUrlCacheEntryA at FindFirstUrlCacheEntryA, at sinusuri din ang bawat entry upang itugma ang URL sa isa sa mga sumusunod na pattern:
Ang pagkakaroon ng natukoy na mga bukas na tab, ang Trojan ay nakikipag-ugnayan sa Internet Explorer o Firefox sa pamamagitan ng Dynamic Data Exchange (DDE) na mekanismo upang suriin kung ang tab ay tumutugma sa pattern.
Ang pagsuri sa iyong kasaysayan ng pagba-browse at mga bukas na tab ay isinasagawa sa isang WHILE loop (isang loop na may paunang kondisyon) na may 1 segundong pahinga sa pagitan ng mga pagsusuri. Ang iba pang data na sinusubaybayan sa real time ay tatalakayin sa seksyon 4.5.
Kung may nakitang pattern, iuulat ito ng program sa command server gamit ang isang listahan ng mga string mula sa sumusunod na talahanayan:
4.5 Pagsubaybay
Habang tumatakbo ang Trojan, ang impormasyon tungkol sa mga tampok na katangian ng nahawaang sistema (kabilang ang impormasyon tungkol sa pagkakaroon ng software sa pagbabangko) ay ipinapadala sa command at control server. Nagaganap ang fingerprinting kapag unang pinatakbo ng RTM ang monitoring system kaagad pagkatapos ng paunang pag-scan ng OS.
4.5.1. Malayong pagbabangko
Ang TBdo module ay responsable din sa pagsubaybay sa mga prosesong nauugnay sa pagbabangko. Gumagamit ito ng dynamic na palitan ng data upang suriin ang mga tab sa Firefox at Internet Explorer sa panahon ng paunang pag-scan. Ang isa pang TShell module ay ginagamit upang subaybayan ang mga command windows (Internet Explorer o File Explorer).
Ginagamit ng module ang mga interface ng COM na IShellWindows, iWebBrowser, DWebBrowserEvents2 at IConnectionPointContainer upang subaybayan ang mga bintana. Kapag nag-navigate ang isang user sa isang bagong web page, napapansin ito ng malware. Pagkatapos ay inihahambing nito ang URL ng pahina sa mga pattern sa itaas. Ang pagkakaroon ng nakitang tugma, ang Trojan ay kumukuha ng anim na magkakasunod na screenshot na may pagitan ng 5 segundo at ipinapadala ang mga ito sa C&S command server. Sinusuri din ng program ang ilang pangalan ng window na nauugnay sa software ng pagbabangko - nasa ibaba ang buong listahan:
4.5.2. Smart card
Binibigyang-daan ka ng RTM na subaybayan ang mga smart card reader na konektado sa mga nahawaang computer. Ginagamit ang mga device na ito sa ilang bansa para i-reconcile ang mga order sa pagbabayad. Kung ang ganitong uri ng device ay naka-attach sa isang computer, maaari itong magpahiwatig sa isang Trojan na ang makina ay ginagamit para sa mga transaksyon sa pagbabangko.
Hindi tulad ng ibang mga Trojan sa pagbabangko, hindi maaaring makipag-ugnayan ang RTM sa mga ganitong smart card. Marahil ang pagpapaandar na ito ay kasama sa isang karagdagang module na hindi pa natin nakikita.
4.5.3. Keylogger
Ang isang mahalagang bahagi ng pagsubaybay sa isang nahawaang PC ay ang pagkuha ng mga keystroke. Tila ang mga developer ng RTM ay hindi nawawala ang anumang impormasyon, dahil sinusubaybayan nila hindi lamang ang mga regular na key, kundi pati na rin ang virtual na keyboard at clipboard.
Upang gawin ito, gamitin ang SetWindowsHookExA function. I-log ng mga attacker ang mga key na pinindot o ang mga key na naaayon sa virtual na keyboard, kasama ang pangalan at petsa ng programa. Ang buffer ay ipapadala sa C&C command server.
Ang SetClipboardViewer function ay ginagamit upang harangin ang clipboard. Ini-log ng mga hacker ang mga nilalaman ng clipboard kapag ang data ay text. Naka-log din ang pangalan at petsa bago ipadala ang buffer sa server.
4.5.4. Mga screenshot
Ang isa pang function ng RTM ay screenshot interception. Ang feature ay inilalapat kapag ang window monitoring module ay nakakita ng isang site o banking software ng interes. Kinukuha ang mga screenshot gamit ang library ng mga graphic na larawan at inilipat sa command server.
4.6. Pag-uninstall
Maaaring ihinto ng server ng C&C ang malware sa pagtakbo at paglilinis ng iyong computer. Binibigyang-daan ka ng command na i-clear ang mga file at mga entry sa registry na nilikha habang tumatakbo ang RTM. Ang DLL ay pagkatapos ay ginagamit upang alisin ang malware at ang winlogon file, pagkatapos nito ay pinasara ng command ang computer. Gaya ng ipinapakita sa larawan sa ibaba, ang DLL ay inalis ng mga developer gamit ang erase.dll.
Ang server ay maaaring magpadala sa Trojan ng isang mapanirang uninstall-lock na utos. Sa kasong ito, kung mayroon kang mga karapatan ng administrator, tatanggalin ng RTM ang MBR boot sector sa hard drive. Kung nabigo ito, susubukan ng Trojan na ilipat ang sektor ng boot ng MBR sa isang random na sektor - pagkatapos ay hindi magagawang i-boot ng computer ang OS pagkatapos ng shutdown. Ito ay maaaring humantong sa isang kumpletong muling pag-install ng OS, na nangangahulugan ng pagkasira ng ebidensya.
Nang walang mga pribilehiyo ng administrator, nagsusulat ang malware ng isang .EXE na naka-encode sa pinagbabatayan na RTM DLL. Isinasagawa ng executable ang code na kailangan upang isara ang computer at irerehistro ang module sa HKCUCurrentVersionRun registry key. Sa tuwing magsisimula ang user ng isang session, agad na nagsasara ang computer.
4.7. Ang configuration file
Bilang default, ang RTM ay halos walang configuration file, ngunit ang command at control server ay maaaring magpadala ng mga halaga ng configuration na maiimbak sa registry at gagamitin ng program. Ang listahan ng mga configuration key ay ipinakita sa talahanayan sa ibaba:
Ang configuration ay nakaimbak sa Software[Pseudo-random string] registry key. Ang bawat halaga ay tumutugma sa isa sa mga row na ipinakita sa nakaraang talahanayan. Ang mga halaga at data ay naka-encode gamit ang RC4 algorithm sa RTM.
Ang data ay may parehong istraktura bilang isang network o mga string. Ang isang four-byte na XOR key ay idinagdag sa simula ng naka-encode na data. Para sa mga value ng configuration, iba ang XOR key at depende sa laki ng value. Maaari itong kalkulahin tulad ng sumusunod:
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)
4.8. Iba pang mga tampok
Susunod, tingnan natin ang iba pang mga function na sinusuportahan ng RTM.
4.8.1. Mga karagdagang module
Kasama sa Trojan ang mga karagdagang module, na mga DLL file. Ang mga module na ipinadala mula sa C&C command server ay maaaring isagawa bilang mga panlabas na programa, na makikita sa RAM at inilunsad sa mga bagong thread. Para sa storage, ang mga module ay sine-save sa mga .dtt file at naka-encode gamit ang RC4 algorithm na may parehong key na ginagamit para sa mga komunikasyon sa network.
Sa ngayon, napagmasdan namin ang pag-install ng VNC module (8966319882494077C21F66A8354E2CBCA0370464), ang browser data extraction module (03DE8622BE6B2F75A364A275995C3411626C4D9E1C2D1E562C1D69E6C58D88753E7C0D3C4FXNUMXCXNUMXDXNUMXEXNUMXF_XNUMXCXNUMXDXNUMXEXNUMXF_XNUMXCXNUMXDXNUMXEXNUMXF_XNUMXEE) FCXNUMXFBAXNUMX BXNUMXBEXNUMXDXNUMXBXNUMXEXNUMXCFAB).
Upang i-load ang VNC module, ang C&C server ay nag-isyu ng command na humihiling ng mga koneksyon sa VNC server sa isang partikular na IP address sa port 44443. Ang browser data retrieval plugin ay nagpapatupad ng TBrowserDataCollector, na maaaring magbasa ng IE browsing history. Pagkatapos ay ipinapadala nito ang buong listahan ng mga binisita na URL sa C&C command server.
Ang huling module na natuklasan ay tinatawag na 1c_2_kl. Maaari itong makipag-ugnayan sa 1C Enterprise software package. Kasama sa module ang dalawang bahagi: ang pangunahing bahagi - DLL at dalawang ahente (32 at 64 bit), na ilalagay sa bawat proseso, na magrerehistro ng isang pagbubuklod sa WH_CBT. Ang pagkakaroon ng ipinakilala sa proseso ng 1C, ang module ay nagbubuklod sa CreateFile at WriteFile function. Sa tuwing tinatawag ang CreateFile bound function, iniimbak ng module ang file path na 1c_to_kl.txt sa memorya. Pagkatapos ma-intercept ang tawag sa WriteFile, tinatawagan nito ang function na WriteFile at ipinapadala ang path ng file na 1c_to_kl.txt sa pangunahing module ng DLL, na ipinapasa ito sa ginawang mensahe ng Windows WM_COPYDATA.
Ang pangunahing module ng DLL ay nagbubukas at nag-parse ng file upang matukoy ang mga order sa pagbabayad. Kinikilala nito ang halaga at numero ng transaksyon na nakapaloob sa file. Ang impormasyong ito ay ipinadala sa command server. Naniniwala kami na kasalukuyang ginagawa ang module na ito dahil naglalaman ito ng mensahe sa pag-debug at hindi maaaring awtomatikong baguhin ang 1c_to_kl.txt.
4.8.2. Pagtaas ng pribilehiyo
Maaaring subukan ng RTM na palakihin ang mga pribilehiyo sa pamamagitan ng pagpapakita ng mga maling mensahe ng error. Ginagaya ng malware ang isang registry check (tingnan ang larawan sa ibaba) o gumagamit ng tunay na icon ng registry editor. Pakitandaan ang maling spelling ng paghihintay β whait. Pagkatapos ng ilang segundo ng pag-scan, ang programa ay nagpapakita ng isang maling mensahe ng error.
Ang isang maling mensahe ay madaling linlangin ang karaniwang gumagamit, sa kabila ng mga pagkakamali sa gramatika. Kung mag-click ang user sa isa sa dalawang link, susubukan ng RTM na palakihin ang mga pribilehiyo nito sa system.
Pagkatapos pumili ng isa sa dalawang opsyon sa pagbawi, ilulunsad ng Trojan ang DLL gamit ang opsyon na runas sa function ng ShellExecute na may mga pribilehiyo ng administrator. Makakakita ang user ng totoong Windows prompt (tingnan ang larawan sa ibaba) para sa elevation. Kung ang gumagamit ay nagbibigay ng mga kinakailangang pahintulot, ang Trojan ay tatakbo na may mga pribilehiyo ng administrator.
Depende sa default na wika na naka-install sa system, ang Trojan ay nagpapakita ng mga mensahe ng error sa Russian o English.
4.8.3. Sertipiko
Maaaring magdagdag ng mga certificate ang RTM sa Windows Store at kumpirmahin ang pagiging maaasahan ng karagdagan sa pamamagitan ng awtomatikong pag-click sa button na βooβ sa dialog box ng csrss.exe. Ang pag-uugali na ito ay hindi bago, halimbawa, ang pagbabangko Trojan Retefe ay nakapag-iisa ring kinukumpirma ang pag-install ng isang bagong sertipiko.
4.8.4. Baliktad na koneksyon
Ang mga may-akda ng RTM ay lumikha din ng Backconnect TCP tunnel. Hindi pa namin nakikita ang feature na ginagamit, ngunit idinisenyo ito upang malayuang subaybayan ang mga nahawaang PC.
4.8.5. Pamamahala ng file ng host
Ang C&C server ay maaaring magpadala ng command sa Trojan upang baguhin ang Windows host file. Ang host file ay ginagamit para gumawa ng mga custom na DNS resolution.
4.8.6. Maghanap at magpadala ng file
Maaaring humiling ang server na maghanap at mag-download ng file sa nahawaang system. Halimbawa, sa panahon ng pananaliksik nakatanggap kami ng kahilingan para sa file na 1c_to_kl.txt. Gaya ng naunang inilarawan, ang file na ito ay nabuo ng 1C: Enterprise 8 accounting system.
4.8.7. Update
Sa wakas, maaaring i-update ng mga may-akda ng RTM ang software sa pamamagitan ng pagsusumite ng bagong DLL upang palitan ang kasalukuyang bersyon.
5. Konklusyon
Ang pananaliksik ng RTM ay nagpapakita na ang Russian banking system ay umaakit pa rin ng mga cyber attacker. Ang mga grupo tulad ng Buhtrap, Corkow at Carbanak ay matagumpay na nagnakaw ng pera mula sa mga institusyong pinansyal at kanilang mga kliyente sa Russia. Ang RTM ay isang bagong manlalaro sa industriyang ito.
Ang mga nakakahamak na tool sa RTM ay ginagamit mula pa noong huling bahagi ng 2015, ayon sa telemetry ng ESET. Ang programa ay may buong hanay ng mga kakayahan sa pag-espiya, kabilang ang pagbabasa ng mga smart card, pagharang ng mga keystroke at pagsubaybay sa mga transaksyon sa pagbabangko, pati na rin ang paghahanap para sa 1C: Enterprise 8 transport file.
Ang paggamit ng isang desentralisado, hindi na-censor na .bit na top-level na domain ay nagsisiguro ng lubos na nababanat na imprastraktura.
Pinagmulan: www.habr.com