Rus şirketlerinden fon çalma konusunda uzmanlaşmış bilinen birkaç siber grup var. Hedefin ağına erişime izin veren güvenlik açıklarını kullanan saldırılar gördük. Saldırganlar erişim sağladıktan sonra kuruluşun ağ yapısını inceliyor ve fonları çalmak için kendi araçlarını kullanıyor. Bu eğilimin klasik bir örneği Buhtrap, Cobalt ve Corkow hacker gruplarıdır.
Bu raporun odaklandığı RTM grubu bu eğilimin bir parçasıdır. Aşağıdaki bölümlerde daha ayrıntılı olarak inceleyeceğimiz, Delphi'de yazılmış özel olarak tasarlanmış kötü amaçlı yazılımları kullanır. Bu araçların ESET telemetri sistemindeki ilk izleri 2015 yılı sonunda keşfedildi. Ekip, gerektiğinde virüslü sistemlere çeşitli yeni modüller yüklüyor. Saldırılar, Rusya ve bazı komşu ülkelerdeki uzaktan bankacılık sistemi kullanıcılarını hedef alıyor.
1. Hedefler
RTM kampanyası kurumsal kullanıcılara yöneliktir; saldırganların güvenliği ihlal edilmiş bir sistemde tespit etmeye çalıştığı süreçlerden bu açıkça görülmektedir. Odak noktası, uzaktan bankacılık sistemleriyle çalışmaya yönelik muhasebe yazılımıdır.
RTM'nin ilgilendiği süreçlerin listesi Buhtrap grubunun karşılık gelen listesine benzemektedir ancak gruplar farklı enfeksiyon vektörlerine sahiptir. Buhtrap sahte sayfaları daha sık kullanıyorsa, RTM de arabadan indirme saldırılarını (tarayıcıya veya bileşenlerine yapılan saldırılar) ve e-posta yoluyla spam göndermeyi kullandı. Telemetri verilerine göre tehdit Rusya'yı ve yakınlardaki birkaç ülkeyi (Ukrayna, Kazakistan, Çek Cumhuriyeti, Almanya) hedef alıyor. Ancak toplu dağıtım mekanizmalarının kullanılması nedeniyle, kötü amaçlı yazılımların hedef bölgeler dışında tespit edilmesi şaşırtıcı değildir.
Kötü amaçlı yazılım tespitlerinin toplam sayısı nispeten azdır. Öte yandan RTM kampanyasında karmaşık programlar kullanılıyor, bu da saldırıların yüksek oranda hedefe yönelik olduğunu gösteriyor.
Var olmayan sözleşmeler, faturalar veya vergi muhasebesi belgeleri de dahil olmak üzere RTM tarafından kullanılan birçok sahte belge keşfettik. Yemlerin niteliği ve saldırının hedef aldığı yazılımın türü, saldırganların muhasebe departmanı aracılığıyla Rus şirketlerinin ağlarına "girdiğini" gösteriyor. Grup aynı şemaya göre hareket etti 2014-2015 içinde
Araştırma sırasında birçok C&C sunucusuyla etkileşime geçebildik. Komutların tam listesini ilerleyen bölümlerde listeleyeceğiz ancak şimdilik istemcinin keylogger'dan verileri doğrudan saldıran sunucuya aktardığını ve daha sonra ek komutların alındığını söyleyebiliriz.
Ancak bir komuta ve kontrol sunucusuna bağlanıp ilgilendiğiniz tüm verileri toplayabileceğiniz günler geride kaldı. Sunucudan bazı ilgili komutları almak için gerçekçi günlük dosyalarını yeniden oluşturduk.
Bunlardan ilki, bota, görünümü RTM tarafından aktif olarak izlenen 1C: Enterprise 1 programının bir aktarım dosyası olan 8c_to_kl.txt dosyasını aktarma talebidir. 1C, yapılan ödemelere ilişkin verileri bir metin dosyasına yükleyerek uzak bankacılık sistemleriyle etkileşime girer. Daha sonra dosya, ödeme emrinin otomasyonu ve yürütülmesi için uzak bankacılık sistemine gönderilir.
Dosya ödeme ayrıntılarını içerir. Saldırganların yapılan ödemelerle ilgili bilgileri değiştirmesi durumunda transfer, saldırganların hesaplarına sahte bilgiler kullanılarak gönderilecektir.
Bu dosyaları komuta ve kontrol sunucusundan talep ettikten yaklaşık bir ay sonra, ele geçirilen sisteme 1c_2_kl.dll adlı yeni bir eklentinin yüklendiğini gözlemledik. Modül (DLL), muhasebe yazılımı süreçlerine nüfuz ederek indirilen dosyayı otomatik olarak analiz etmek için tasarlanmıştır. Bunu aşağıdaki bölümlerde ayrıntılı olarak anlatacağız.
İlginçtir ki, Rusya Merkez Bankası'nın FinCERT'i 2016'nın sonunda 1c_to_kl.txt yükleme dosyalarını kullanan siber suçlular hakkında bir uyarı bülteni yayınladı. 1C geliştiricileri de bu plandan haberdar, zaten resmi bir açıklama yaptılar ve önlemleri sıraladılar.
Diğer modüller de komut sunucusundan, özellikle VNC'den (32 ve 64 bit sürümleri) yüklendi. Daha önce Dridex Trojan saldırılarında kullanılan VNC modülüne benziyor. Bu modülün virüs bulaşmış bir bilgisayara uzaktan bağlanmak ve sistem üzerinde ayrıntılı bir çalışma yürütmek için kullanıldığı iddia ediliyor. Daha sonra saldırganlar ağda dolaşmaya, kullanıcı şifrelerini ele geçirmeye, bilgi toplamaya ve kötü amaçlı yazılımların sürekli varlığını sağlamaya çalışıyor.
2. Enfeksiyon vektörleri
Aşağıdaki şekil kampanyanın çalışma döneminde tespit edilen enfeksiyon vektörlerini göstermektedir. Grup çok çeşitli vektörler kullanıyor, ancak çoğunlukla doğrudan indirme saldırıları ve spam kullanıyor. Bu araçlar hedefli saldırılar için uygundur, çünkü ilk durumda saldırganlar potansiyel kurbanların ziyaret ettiği siteleri seçebilir ve ikinci durumda ekleri olan e-postaları doğrudan istenen şirket çalışanlarına gönderebilirler.
Kötü amaçlı yazılım, RIG ve Sundown istismar kitleri veya spam postaları da dahil olmak üzere birden fazla kanal aracılığıyla dağıtılıyor ve bu da saldırganlar ile bu hizmetleri sunan diğer siber saldırganlar arasındaki bağlantıları gösteriyor.
2.1. RTM ve Buhtrap arasında nasıl bir ilişki var?
RTM kampanyası Buhtrap'e çok benzer. Doğal soru şudur: Birbirleriyle nasıl ilişkilidirler?
Eylül 2016'da Buhtrap yükleyici kullanılarak bir RTM örneğinin dağıtıldığını gözlemledik. Ayrıca hem Buhtrap hem de RTM'de kullanılan iki dijital sertifika bulduk.
DNISTER-M şirketine verildiği iddia edilen ilki, ikinci Delphi formunu (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) ve Buhtrap DLL'yi (SHA-1: 1E2642B454A2C889B6D41116CCDBA83F6F2D4890) dijital olarak imzalamak için kullanıldı.
Bit-Tredj'e verilen ikincisi, Buhtrap yükleyicilerini (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 ve B74F71560E48488D2153AE2FB51207A0AC206E2B) imzalamanın yanı sıra RTM bileşenlerini indirip yüklemek için kullanıldı.
RTM operatörleri, diğer kötü amaçlı yazılım ailelerinde ortak olan sertifikaları kullanır ancak aynı zamanda benzersiz bir sertifikaya da sahiptirler. ESET telemetrisine göre Kit-SD'ye verildi ve yalnızca bazı RTM kötü amaçlı yazılımlarını imzalamak için kullanıldı (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM, Buhtrap ile aynı yükleyiciyi kullanır, RTM bileşenleri Buhtrap altyapısından yüklenir, dolayısıyla gruplar benzer ağ göstergelerine sahiptir. Ancak tahminlerimize göre RTM ve Buhtrap, en azından RTM'nin farklı şekillerde dağıtılması nedeniyle (yalnızca "yabancı" bir indirici kullanılarak değil) farklı gruplardır.
Buna rağmen hacker grupları benzer çalışma prensiplerini kullanıyor. Muhasebe yazılımı kullanan, benzer şekilde sistem bilgilerini toplayan, akıllı kart okuyucularını arayan ve kurbanları gözetlemek için bir dizi kötü amaçlı araç kullanan işletmeleri hedef alıyorlar.
3. Evrim
Bu bölümde, çalışma sırasında bulunan kötü amaçlı yazılımların farklı sürümlerine bakacağız.
3.1. Sürüm oluşturma
RTM, yapılandırma verilerini bir kayıt defteri bölümünde saklar; en ilginç kısım botnet önekidir. İncelediğimiz örneklerde gördüğümüz tüm değerlerin listesi aşağıdaki tabloda sunulmaktadır.
Değerlerin kötü amaçlı yazılım sürümlerini kaydetmek için kullanılması mümkündür. Ancak bit2 ve bit3, 0.1.6.4 ve 0.1.6.6 gibi versiyonlar arasında pek bir fark göremedik. Üstelik öneklerden biri başlangıçtan beri mevcut ve aşağıda gösterileceği gibi tipik bir C&C alanından .bit alanına evrildi.
3.2. Takvim
Telemetri verilerini kullanarak örneklerin oluşum grafiğini oluşturduk.
4. Teknik analiz
Bu bölümde, direnç mekanizmaları, RC4 algoritmasının kendi versiyonu, ağ protokolü, casusluk işlevselliği ve diğer bazı özellikler dahil olmak üzere RTM bankacılık Truva Atı'nın ana işlevlerini açıklayacağız. Özellikle AA1FA0CE4584768E9D16D67C8E529233FF99BBF1 ve 0BC48EC113BA8B20B8CD80D5DA4A92051D19B SHA-1032 örneklerine odaklanacağız.
4.1. Kurulum ve kaydetme
4.1.1. Uygulama
RTM çekirdeği bir DLL'dir, kitaplık .EXE kullanılarak diske yüklenir. Yürütülebilir dosya genellikle paketlenmiştir ve DLL kodunu içerir. Başlatıldıktan sonra DLL'yi çıkarır ve aşağıdaki komutu kullanarak çalıştırır:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2.DLL
Ana DLL her zaman diske %PROGRAMDATA%Winlogon klasöründe winlogon.lnk olarak yüklenir. Bu dosya uzantısı genellikle bir kısayol ile ilişkilendirilir, ancak dosya aslında aşağıdaki resimde gösterildiği gibi geliştirici tarafından core.dll olarak adlandırılan, Delphi'de yazılmış bir DLL'dir.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Truva atı başlatıldığında direnç mekanizmasını etkinleştirir. Bu, mağdurun sistemdeki ayrıcalıklarına bağlı olarak iki farklı şekilde yapılabilir. Yönetici haklarınız varsa Truva Atı, HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun kayıt defterine bir Windows Update girişi ekler. Windows Update'in içerdiği komutlar, kullanıcının oturumunun başlangıcında çalışacaktır.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host
Truva atı ayrıca Windows Görev Zamanlayıcı'ya bir görev eklemeye çalışır. Görev, winlogon.lnk DLL dosyasını yukarıdakiyle aynı parametrelerle başlatacaktır. Normal kullanıcı hakları, Truva atının HKCUSoftwareMicrosoftWindowsCurrentVersionRun kayıt defterine aynı verileri içeren bir Windows Update girişi eklemesine olanak tanır:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Değiştirilmiş RC4 algoritması
Bilinen eksikliklerine rağmen RC4 algoritması, kötü amaçlı yazılım yazarları tarafından düzenli olarak kullanılmaktadır. Ancak RTM'nin yaratıcıları, muhtemelen virüs analistlerinin işini zorlaştırmak için onu biraz değiştirdiler. RC4'ün değiştirilmiş bir sürümü, kötü amaçlı RTM araçlarında dizeleri, ağ verilerini, yapılandırmayı ve modülleri şifrelemek için yaygın olarak kullanılmaktadır.
4.2.1. Farklılıklar
Orijinal RC4 algoritması iki aşama içerir: s-blok başlatma (diğer adıyla KSA - Anahtar Planlama Algoritması) ve sözde rastgele dizi oluşturma (PRGA - Pseudo-Random Generation Algorithm). İlk aşama, anahtar kullanılarak s-box'ın başlatılmasını içerir ve ikinci aşamada, kaynak metin, şifreleme için s-box kullanılarak işlenir.
RTM yazarları, s-box başlatma ve şifreleme arasına bir ara adım ekledi. Ek anahtar değişkendir ve şifrelenecek ve şifresi çözülecek verilerle aynı anda ayarlanır. Bu ek adımı gerçekleştiren fonksiyon aşağıdaki şekilde gösterilmektedir.
4.2.2. Dize şifreleme
İlk bakışta ana DLL'de birkaç okunabilir satır vardır. Geri kalanı, yapısı aşağıdaki şekilde gösterilen, yukarıda açıklanan algoritma kullanılarak şifrelenir. Analiz edilen örneklerde dize şifreleme için 25'ten fazla farklı RC4 anahtarı bulduk. XOR anahtarı her satır için farklıdır. Satırları ayıran sayısal alanın değeri her zaman 0xFFFFFFFF'dir.
Yürütmenin başlangıcında RTM, dizelerin şifresini çözerek genel bir değişkene dönüştürür. Bir dizeye erişmeniz gerektiğinde Truva atı, temel adrese ve uzaklığa dayalı olarak şifresi çözülmüş dizelerin adresini dinamik olarak hesaplar.
Dizeler, kötü amaçlı yazılımın işlevleri hakkında ilginç bilgiler içeriyor. Bazı örnek diziler Bölüm 6.8'de verilmiştir.
4.3. Ağ
RTM kötü amaçlı yazılımının C&C sunucusuyla iletişim kurma şekli sürümden sürüme değişir. İlk değişikliklerde (Ekim 2015 - Nisan 2016), komut listesini güncellemek için livejournal.com'daki RSS beslemesinin yanı sıra geleneksel alan adları da kullanıldı.
Nisan 2016'dan bu yana telemetri verilerinde .bit alanlarına doğru bir geçiş görüyoruz. Bu, alan adı kayıt tarihiyle doğrulanır - ilk RTM alanı fde05d0573da.bit, 13 Mart 2016'da kaydedildi.
Kampanyayı izlerken gördüğümüz tüm URL'lerin ortak bir yolu vardı: /r/z.php. Oldukça alışılmadık bir durum ve ağ akışlarındaki RTM isteklerinin belirlenmesine yardımcı olacak.
4.3.1. Komutlar ve kontrol için kanal
Eski örnekler, komuta ve kontrol sunucularının listesini güncellemek için bu kanalı kullandı. Barındırma livejournal.com adresinde bulunmaktadır, raporun yazıldığı sırada hxxp://f72bba81c921(.)livejournal(.)com/ data/rss URL'sinde kalmıştır.
Livejournal, blog platformu sağlayan bir Rus-Amerikan şirketidir. RTM operatörleri, kodlanmış komutlar içeren bir makale yayınladıkları bir LJ blogu oluştururlar - ekran görüntüsüne bakın.
Komuta ve kontrol hatları, değiştirilmiş bir RC4 algoritması kullanılarak kodlanmıştır (Bölüm 4.2). Kanalın mevcut sürümü (Kasım 2016) aşağıdaki komut ve kontrol sunucusu adreslerini içerir:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. .bit alanları
En yeni RTM örneklerinde yazarlar, .bit TLD üst düzey alanını kullanarak C&C alan adlarına bağlanır. ICANN'in (Alan Adı ve İnternet Şirketi) üst düzey alan adları listesinde yer almaz. Bunun yerine Bitcoin teknolojisi üzerine kurulu Namecoin sistemini kullanıyor. Kötü amaçlı yazılım yazarları, alanları için genellikle .bit TLD'yi kullanmazlar, ancak bu tür bir kullanımın bir örneği daha önce Necurs botnet'in bir sürümünde gözlemlenmiştir.
Bitcoin'in aksine, dağıtılmış Namecoin veritabanının kullanıcıları veri kaydetme olanağına sahiptir. Bu özelliğin ana uygulaması .bit üst düzey etki alanıdır. Dağıtılmış bir veritabanında saklanacak alan adlarını kaydedebilirsiniz. Veritabanındaki ilgili girişler, etki alanı tarafından çözümlenen IP adreslerini içerir. Bu TLD "sansüre dayanıklıdır" çünkü .bit alanının çözünürlüğünü yalnızca kaydeden kişi değiştirebilir. Bu, kötü amaçlı bir etki alanını bu tür TLD kullanarak durdurmanın çok daha zor olduğu anlamına gelir.
RTM Truva Atı, dağıtılmış Namecoin veritabanını okumak için gerekli yazılımı içermiyor. .bit alan adlarını çözümlemek için dns.dot-bit.org veya OpenNic sunucuları gibi merkezi DNS sunucularını kullanır. Bu nedenle DNS sunucuları ile aynı dayanıklılığa sahiptir. Bir blog yazısında bahsedildikten sonra bazı ekip etki alanlarının artık algılanmadığını gözlemledik.
.bit TLD'nin bilgisayar korsanları için bir diğer avantajı ise maliyettir. Bir alan adını kaydetmek için operatörlerin yalnızca 0,01 NK ödemesi gerekir; bu da 0,00185 ABD Dolarına karşılık gelir (5 Aralık 2016 itibarıyla). Karşılaştırma için, domain.com'un maliyeti en az 10 ABD dolarıdır.
4.3.3. Protokol
Komuta ve kontrol sunucusuyla iletişim kurmak için RTM, özel bir protokol kullanılarak biçimlendirilmiş verilerle HTTP POST isteklerini kullanır. Yol değeri her zaman /r/z.php'dir; Mozilla/5.0 kullanıcı aracısı (uyumlu; MSIE 9.0; Windows NT 6.1; Trident/5.0). Sunucuya yapılan isteklerde veriler aşağıdaki şekilde biçimlendirilir; burada ofset değerleri bayt cinsinden ifade edilir:
0'dan 6'ya kadar olan baytlar kodlanmamıştır; 6'dan başlayan baytlar, değiştirilmiş bir RC4 algoritması kullanılarak kodlanır. C&C yanıt paketinin yapısı daha basittir. Baytlar 4'ten paket boyutuna kadar kodlanır.
Olası eylem bayt değerlerinin listesi aşağıdaki tabloda sunulmaktadır:
Kötü amaçlı yazılım her zaman şifresi çözülen verilerin CRC32'sini hesaplar ve bunu pakette mevcut olanla karşılaştırır. Farklı olmaları durumunda Truva Atı paketi bırakır.
Ek veriler, bir PE dosyası, dosya sisteminde aranacak bir dosya veya yeni komut URL'leri dahil olmak üzere çeşitli nesneler içerebilir.
4.3.4. Panel
RTM'nin C&C sunucularında bir panel kullandığını fark ettik. Aşağıdaki ekran görüntüsü:
4.4. Karakteristik işaret
RTM tipik bir bankacılık Truva atıdır. Operatörlerin kurbanın sistemi hakkında bilgi istemesi sürpriz değil. Bir yandan bot, işletim sistemi hakkında genel bilgiler topluyor. Öte yandan, ele geçirilen sistemin Rus uzaktan bankacılık sistemleriyle ilişkili özellikleri içerip içermediğini de tespit ediyor.
4.4.1. Genel bilgiler
Kötü amaçlı yazılım yüklendiğinde veya yeniden başlatmanın ardından başlatıldığında, komuta ve kontrol sunucusuna aşağıdakileri içeren genel bilgileri içeren bir rapor gönderilir:
- Saat dilimi;
- varsayılan sistem dili;
- yetkili kullanıcı kimlik bilgileri;
- süreç bütünlüğü düzeyi;
- Kullanıcı adı;
- bilgisayar adı;
- OS sürümü;
- ek yüklü modüller;
- yüklü antivirüs programı;
- akıllı kart okuyucularının listesi.
4.4.2 Uzaktan bankacılık sistemi
Tipik bir Truva Atı hedefi uzak bankacılık sistemidir ve RTM de bir istisna değildir. Programın modüllerinden birine TBdo adı verilir ve bu modül, diskleri taramak ve geçmişe göz atmak da dahil olmak üzere çeşitli görevleri gerçekleştirir.
Truva atı, diski tarayarak makinede bankacılık yazılımının yüklü olup olmadığını kontrol eder. Hedef programların tam listesi aşağıdaki tablodadır. İlgilenilen bir dosya tespit eden program, bilgileri komut sunucusuna gönderir. Sonraki eylemler, komuta merkezi (C&C) algoritmaları tarafından belirlenen mantığa bağlıdır.
RTM ayrıca tarayıcı geçmişinizdeki ve açık sekmelerinizdeki URL modellerini de arar. Program ayrıca FindNextUrlCacheEntryA ve FindFirstUrlCacheEntryA işlevlerinin kullanımını inceler ve ayrıca her girişin URL'nin aşağıdaki kalıplardan biriyle eşleşip eşleşmediğini kontrol eder:
Açık sekmeleri tespit eden Truva Atı, sekmenin kalıpla eşleşip eşleşmediğini kontrol etmek için Dinamik Veri Değişimi (DDE) mekanizması aracılığıyla Internet Explorer veya Firefox ile bağlantı kurar.
Göz atma geçmişinizi ve açık sekmelerinizi kontrol etmek, kontroller arasında 1 saniyelik bir ara ile bir WHILE döngüsünde (ön koşullu bir döngü) gerçekleştirilir. Gerçek zamanlı olarak izlenen diğer veriler bölüm 4.5'te tartışılacaktır.
Bir model bulunursa program, aşağıdaki tablodaki dizelerin listesini kullanarak bunu komut sunucusuna bildirir:
4.5 İzleme
Truva Atı çalışırken, etkilenen sistemin karakteristik özelliklerine ilişkin bilgiler (bankacılık yazılımının varlığına ilişkin bilgiler dahil) komuta ve kontrol sunucusuna gönderilir. Parmak izi alma, RTM ilk işletim sistemi taramasından hemen sonra izleme sistemini ilk kez çalıştırdığında gerçekleşir.
4.5.1. Uzaktan bankacılık
TBdo modülü aynı zamanda bankacılıkla ilgili süreçlerin takibinden de sorumludur. İlk tarama sırasında Firefox ve Internet Explorer'daki sekmeleri kontrol etmek için dinamik veri alışverişini kullanır. Komut pencerelerini (Internet Explorer veya Dosya Gezgini) izlemek için başka bir TShell modülü kullanılır.
Modül, pencereleri izlemek için IShellWindows, iWebBrowser, DWebBrowserEvents2 ve IConnectionPointContainer COM arayüzlerini kullanır. Bir kullanıcı yeni bir web sayfasına gittiğinde, kötü amaçlı yazılım bunu not eder. Daha sonra sayfanın URL'sini yukarıdaki kalıplarla karşılaştırır. Bir eşleşme tespit eden Truva Atı, 5 saniye arayla art arda altı ekran görüntüsü alır ve bunları C&C komut sunucusuna gönderir. Program ayrıca bankacılık yazılımıyla ilgili bazı pencere adlarını da kontrol eder; tam liste aşağıdadır:
4.5.2. Akıllı kart
RTM, virüslü bilgisayarlara bağlı akıllı kart okuyucularını izlemenize olanak tanır. Bu cihazlar bazı ülkelerde ödeme emirlerinin mutabakatını sağlamak için kullanılır. Bu tür bir cihazın bir bilgisayara bağlanması, bir Truva Atı'na makinenin bankacılık işlemleri için kullanıldığını gösterebilir.
Diğer bankacılık Truva atlarından farklı olarak RTM, bu tür akıllı kartlarla etkileşime giremez. Belki de bu işlevsellik henüz görmediğimiz ek bir modüle dahil edilmiştir.
4.5.3. Keylogger
Virüs bulaşmış bir bilgisayarı izlemenin önemli bir kısmı tuş vuruşlarını yakalamaktır. Görünüşe göre RTM geliştiricileri yalnızca normal tuşları değil aynı zamanda sanal klavyeyi ve panoyu da izledikleri için hiçbir bilgiyi kaçırmıyorlar.
Bunu yapmak için SetWindowsHookExA işlevini kullanın. Saldırganlar, basılan tuşları veya sanal klavyeye karşılık gelen tuşları, programın adı ve tarihiyle birlikte günlüğe kaydeder. Tampon daha sonra C&C komut sunucusuna gönderilir.
SetClipboardViewer işlevi panoya müdahale etmek için kullanılır. Veriler metin olduğunda bilgisayar korsanları panonun içeriğini günlüğe kaydeder. Arabellek sunucuya gönderilmeden önce ad ve tarih de günlüğe kaydedilir.
4.5.4. Ekran görüntüleri
Başka bir RTM işlevi ekran görüntüsünün ele geçirilmesidir. Bu özellik, pencere izleme modülü ilgilenilen bir siteyi veya bankacılık yazılımını tespit ettiğinde uygulanır. Ekran görüntüleri bir grafik görüntü kitaplığı kullanılarak alınır ve komut sunucusuna aktarılır.
4.6. Kaldırma
C&C sunucusu kötü amaçlı yazılımın çalışmasını durdurabilir ve bilgisayarınızı temizleyebilir. Komut, RTM çalışırken oluşturulan dosyaları ve kayıt defteri girişlerini temizlemenize olanak tanır. DLL daha sonra kötü amaçlı yazılımı ve winlogon dosyasını kaldırmak için kullanılır ve ardından komut bilgisayarı kapatır. Aşağıdaki resimde gösterildiği gibi DLL, geliştiriciler tarafından delete.dll kullanılarak kaldırılır.
Sunucu, Truva atına yıkıcı bir kaldırma kilitleme komutu gönderebilir. Bu durumda yönetici haklarına sahipseniz RTM, sabit sürücüdeki MBR önyükleme sektörünü silecektir. Bu başarısız olursa, Truva atı MBR önyükleme sektörünü rastgele bir sektöre kaydırmaya çalışacaktır; bu durumda bilgisayar kapatıldıktan sonra işletim sistemini önyükleyemez. Bu, işletim sisteminin tamamen yeniden kurulmasına yol açabilir, bu da kanıtların yok edilmesi anlamına gelir.
Yönetici ayrıcalıkları olmadan, kötü amaçlı yazılım, temeldeki RTM DLL dosyasında kodlanmış bir .EXE dosyası yazar. Yürütülebilir dosya, bilgisayarı kapatmak için gereken kodu yürütür ve modülü HKCUCurrentVersionRun kayıt defteri anahtarına kaydeder. Kullanıcı her oturum başlattığında bilgisayar hemen kapanır.
4.7. Yapılandırma dosyası
Varsayılan olarak, RTM'de neredeyse hiç yapılandırma dosyası yoktur, ancak komut ve kontrol sunucusu, kayıt defterinde saklanacak ve program tarafından kullanılacak yapılandırma değerlerini gönderebilir. Yapılandırma anahtarlarının listesi aşağıdaki tabloda sunulmaktadır:
Yapılandırma, Yazılım[Sözde rastgele dize] kayıt defteri anahtarında saklanır. Her değer, önceki tabloda sunulan satırlardan birine karşılık gelir. Değerler ve veriler RTM'de RC4 algoritması kullanılarak kodlanır.
Veriler bir ağ veya dizelerle aynı yapıya sahiptir. Kodlanan verinin başına dört baytlık bir XOR anahtarı eklenir. Yapılandırma değerleri için XOR anahtarı farklıdır ve değerin boyutuna bağlıdır. Aşağıdaki şekilde hesaplanabilir:
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (uzunluk(yapılandırma_değeri) << 8)
4.8. Diğer özellikler
Şimdi RTM'nin desteklediği diğer işlevlere bakalım.
4.8.1. Ek modüller
Truva Atı, DLL dosyaları olan ek modüller içerir. C&C komut sunucusundan gönderilen modüller harici programlar olarak çalıştırılabilir, RAM'e yansıtılabilir ve yeni iş parçacıklarında başlatılabilir. Depolama için modüller .dtt dosyalarına kaydedilir ve ağ iletişimleri için kullanılan anahtarın aynısıyla RC4 algoritması kullanılarak kodlanır.
Şu ana kadar VNC modülünün (8966319882494077C21F66A8354E2CBCA0370464), tarayıcı veri çıkarma modülünün (03DE8622BE6B2F75A364A275995C3411626C4D9F) ve 1c_2_kl modülünün (B1EE562E1F69EFC6) kurulumunu gözlemledik. FBA58B88753 7BE0D3B4EXNUMXCFAB).
VNC modülünü yüklemek için C&C sunucusu, 44443 numaralı bağlantı noktasındaki belirli bir IP adresindeki VNC sunucusuna bağlantı isteyen bir komut verir. Tarayıcı veri alma eklentisi, IE tarama geçmişini okuyabilen TBrowserDataCollector'ı çalıştırır. Daha sonra ziyaret edilen URL'lerin tam listesini C&C komut sunucusuna gönderir.
Keşfedilen son modülün adı 1c_2_kl'dir. 1C Enterprise yazılım paketiyle etkileşime girebilir. Modül iki bölümden oluşur: ana bölüm - DLL ve her işleme enjekte edilecek ve WH_CBT'ye bağlanmayı kaydeden iki aracı (32 ve 64 bit). 1C sürecine dahil edilen modül, CreateFile ve WriteFile işlevlerini bağlar. CreateFile bağlı işlevi her çağrıldığında, modül 1c_to_kl.txt dosya yolunu bellekte saklar. WriteFile çağrısını kestikten sonra WriteFile işlevini çağırır ve 1c_to_kl.txt dosya yolunu ana DLL modülüne göndererek buna hazırlanmış Windows WM_COPYDATA iletisini iletir.
Ana DLL modülü, ödeme emirlerini belirlemek için dosyayı açar ve ayrıştırır. Dosyanın içerdiği tutarı ve işlem numarasını tanır. Bu bilgi komut sunucusuna gönderilir. Bu modülün şu anda geliştirilme aşamasında olduğuna inanıyoruz çünkü bir hata ayıklama mesajı içeriyor ve 1c_to_kl.txt dosyasını otomatik olarak değiştiremiyor.
4.8.2. Ayrıcalık artışı
RTM, yanlış hata mesajları görüntüleyerek ayrıcalıkları yükseltmeye çalışabilir. Kötü amaçlı yazılım, bir kayıt defteri kontrolünü simüle eder (aşağıdaki resme bakın) veya gerçek bir kayıt defteri düzenleyici simgesi kullanır. Lütfen yazım hatasına dikkat edin, bekleyin – ne kadar. Birkaç saniyelik taramanın ardından program yanlış bir hata mesajı görüntüler.
Yanlış bir mesaj, dilbilgisi hatalarına rağmen ortalama kullanıcıyı kolayca aldatacaktır. Kullanıcı iki bağlantıdan birine tıklarsa, RTM sistemdeki ayrıcalıklarını yükseltmeye çalışacaktır.
İki kurtarma seçeneğinden birini seçtikten sonra Truva atı, yönetici ayrıcalıklarına sahip ShellExecute işlevindeki runas seçeneğini kullanarak DLL'yi başlatır. Kullanıcı yükseltme için gerçek bir Windows istemi görecektir (aşağıdaki resme bakın). Kullanıcı gerekli izinleri verirse Truva atı yönetici ayrıcalıklarıyla çalışacaktır.
Truva atı, sistemde yüklü olan varsayılan dile bağlı olarak hata mesajlarını Rusça veya İngilizce olarak görüntüler.
4.8.3. Sertifika
RTM, Windows Mağazası'na sertifika ekleyebilir ve csrss.exe iletişim kutusundaki "evet" düğmesini otomatik olarak tıklatarak eklemenin güvenilirliğini doğrulayabilir. Bu davranış yeni değil; örneğin, bankacılık Truva Atı Retefe ayrıca yeni bir sertifikanın kurulumunu bağımsız olarak onaylıyor.
4.8.4. Ters bağlantı
RTM yazarları ayrıca Backconnect TCP tünelini de oluşturdu. Bu özelliğin kullanımda olduğunu henüz görmedik ancak virüs bulaşmış bilgisayarları uzaktan izlemek için tasarlandı.
4.8.5. Ana bilgisayar dosya yönetimi
C&C sunucusu, Windows ana bilgisayar dosyasını değiştirmek için Truva atına bir komut gönderebilir. Ana bilgisayar dosyası, özel DNS çözümlemeleri oluşturmak için kullanılır.
4.8.6. Dosya bulma ve gönderme
Sunucu, virüslü sistemdeki bir dosyayı aramayı ve indirmeyi isteyebilir. Örneğin araştırma sırasında 1c_to_kl.txt dosyası için bir istek aldık. Daha önce açıklandığı gibi, bu dosya 1C: Enterprise 8 muhasebe sistemi tarafından oluşturulmuştur.
4.8.7. Güncelleme
Son olarak, RTM yazarları mevcut sürümün yerini alacak yeni bir DLL göndererek yazılımı güncelleyebilirler.
5. Sonuç
RTM'nin araştırması, Rus bankacılık sisteminin hâlâ siber saldırganların ilgisini çektiğini gösteriyor. Buhtrap, Corkow ve Carbanak gibi gruplar Rusya'daki finans kuruluşlarından ve onların müşterilerinden başarıyla para çalıyor. RTM bu sektörde yeni bir oyuncu.
ESET telemetrisine göre kötü amaçlı RTM araçları en az 2015'in sonlarından beri kullanılıyor. Program, akıllı kartları okumak, tuş vuruşlarını ele geçirmek ve bankacılık işlemlerini izlemek ve ayrıca 1C: Enterprise 8 aktarım dosyalarını aramak da dahil olmak üzere çok çeşitli casusluk yeteneklerine sahiptir.
Merkezi olmayan, sansürsüz bir .bit üst düzey alan adının kullanılması, oldukça dayanıklı bir altyapı sağlar.
Kaynak: habr.com