Відомо кілька кібергруп, що спеціалізуються на крадіжці коштів у російських компаній. Ми спостерігали атаки із застосуванням лазівок у системах безпеки, що відкривають доступ у мережі цільових об'єктів. Отримавши доступ, атакуючі вивчають структуру мережі організації та розгортають власні інструменти крадіжки коштів. Класичний приклад цього тренду – хакерські угруповання Buhtrap, Cobalt та Corkow.
Група RTM, якій присвячено цей звіт, є частиною цього тренду. Вона використовує спеціально розроблені шкідливі програми, написані на Delphi, які ми розглянемо докладніше у наступних розділах. Перші сліди цих інструментів у системі телеметрії ESET виявлено наприкінці 2015 року. При необхідності група завантажує у заражені системи різні нові модулі. Атаки націлені на користувачів систем ДБО в Росії та деяких сусідніх країнах.
1. Цілі
Компанія RTM орієнтована на корпоративних користувачів – це очевидно з процесів, які атакуючі намагаються виявити у скомпрометованій системі. У фокусі бухгалтерське програмне забезпечення для роботи з системами дистанційного банкінгу.
Список процесів, що цікавлять RTM, нагадує відповідний список групи Buhtrap, але при цьому угруповань різняться вектори зараження. Якщо Buhtrap частіше використовувала підроблені сторінки, то RTM – атаки drive-by download (атаки на браузер або його компоненти) та розсилку спаму електронною поштою. За даними телеметрії, загроза націлена на Росію та кілька найближчих країн (Україну, Казахстан, Чехію, Німеччину). Проте у зв'язку з використанням механізмів масового поширення виявлення шкідливого ПЗ за межами цільових регіонів не дивує.
Загальна кількість виявлень шкідливого ПЗ порівняно невелика. З іншого боку, у кампанії RTM використовуються складні програми, що свідчить про високу націленість атак.
Ми виявили кілька документів-приманок, які використовуються RTM, включаючи неіснуючі контракти, рахунок-фактури або документи податкового обліку. Характер приманок у поєднанні з типом програмного забезпечення, на яке націлена атака, вказує на те, що атакуючі «заходять» у мережі російських компаній через бухгалтерію. За тією ж схемою діяла група в 2014-2015 рр.
У ході дослідження нам вдалося взаємодіяти з кількома С&С-серверами. Повний список команд перерахуємо в наступних розділах, а поки що можемо сказати, що клієнт передає дані з кейлоггера безпосередньо на сервер атакуючих, з якого надходять додаткові команди.
Тим не менш, дні, коли ви могли просто підключитися до командного сервера і зібрати всі дані, що цікавлять, пройшли. Ми відтворили реалістичні файли журналів, щоб отримати кілька релевантних команд від сервера.
Перша їх – запит боту передачі файла 1c_to_kl.txt – транспортного файлу програми «1С: Підприємство 8», поява якого активно відстежує RTM. 1С взаємодіє із системами ДБО шляхом вивантаження даних про вихідні платежі в текстовий файл. Далі файл спрямовується в систему ДБО для автоматизації та виконання платіжного доручення.
Файл містить платіжні реквізити. Якщо зловмисники змінять дані про вихідні платежі, перехід піде підробленими реквізитами на рахунки атакуючих.
Приблизно через місяць після запиту цих файлів із командного сервера ми спостерігали завантаження в скомпрометовану систему нового плагіна 1c_2_kl.dll. Модуль (бібліотека DLL) призначений для автоматичного аналізу файлу вивантаження шляхом проникнення у процеси бухгалтерського програмного забезпечення. Ми докладно опишемо його у наступних розділах.
Цікаво, що «ФінЦЕРТ» Банку Росії наприкінці 2016 року випустив бюлетень із попередженням про кіберзлочинців, які використовують файли вивантаження 1c_to_kl.txt. Розробники з 1С також знають про цю схему, вони вже виступили з офіційною заявою та перерахували запобіжні заходи.
З командного сервера завантажувалися й інші модулі, зокрема VNC (його 32 і 64-бітові версії). Він нагадує модуль VNC, який раніше використовувався в атаках із трояном Dridex. Цей модуль використовується для віддаленого підключення до зараженого комп'ютера і детального вивчення системи. Далі атакуючі намагаються переміщатися в мережі, виймаючи паролі користувачів, збирати інформацію та забезпечувати постійну присутність шкідливого програмного забезпечення.
2. Вектори зараження
На наступному малюнку представлені вектори зараження, виявлені під час вивчення кампанії. Група використовує широкий спектр векторів, але переважно атаки drive-by download та спам. Ці інструменти зручні для таргетованих атак, оскільки в першому випадку атакуючі можуть вибирати сайти, які відвідувають потенційні жертви, у другому – відправляти електронну пошту з вкладеннями безпосередньо потрібним співробітникам компаній.
Шкідливе програмне забезпечення поширюється в декількох каналах, включаючи набори експлойтів RIG і Sundown або спам-розсилки, що вказує на зв'язки атакуючих з іншими кіберзловмисниками, що пропонують ці сервіси.
2.1. Як пов'язані RTM та Buhtrap?
Компанія RTM дуже схожа на компанію Buhtrap. Закономірне питання: як вони пов'язані один з одним?
У вересні 2016 року ми спостерігали поширення зразка RTM за допомогою завантажувача Buhtrap. Крім того, ми знайшли два цифрові сертифікати, які використовуються як у Buhtrap, так і RTM.
Перший, нібито виданий компанії DNISTER-M, використовувався для цифрового підпису другої форми Delphi (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) та DLL Buhtrap (SHA-1: 1E2642B454A2C889 ).
Другий виданий компанії Bit-Tredj використовувався для підпису завантажувачів Buhtrap ТМ.
Оператори RTM використовують сертифікати, спільні з іншими сімействами шкідливого ПЗ, але вони мають і унікальний сертифікат. За даними системи телеметрії ESET, він виданий компанії Kit-SD і використовувався тільки для підпису деяких шкідливих програм RTM (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM використовує такий самий як і у Buhtrap завантажувач, компоненти RTM завантажується з інфраструктури Buhtrap, тому групи мають схожі мережні індикатори. Тим не менш, за нашими оцінками, RTM і Buhtrap – різні угруповання, як мінімум, тому що RTM поширюється різними способами (не лише за допомогою «чужого» завантажувача).
Незважаючи на це, угруповання хакерів використовують схожі принципи роботи. Вони націлені на підприємства, що використовують бухгалтерське ПЗ, збирають інформацію про систему, шукають пристрої читання смарт-карт і розгортають масив шкідливих інструментів для стеження за жертвами.
3. Еволюція
У цьому розділі ми розглянемо різні версії шкідливого програмного забезпечення, виявлені в ході дослідження.
3.1. Версійність
RTM зберігає конфігураційні дані розділ реєстру, найбільш цікава частина botnet-prefix. Список усіх значень, які ми бачили у вивчених зразках, наведено в таблиці нижче.
Можливо, значення можуть використовуватися для запису версій шкідливої програми. Тим не менш, ми не помітили особливих відмінностей між версіями, такими як bit2 та bit3, 0.1.6.4 та 0.1.6.6. Більше того, один із префіксів існує з самого початку і перетворився з типового домену C&C на .bit домен, як буде показано далі.
3.2. Графік
Використовуючи дані телеметрії ми створили графік появи зразків.
4. Технічний аналіз
У цьому розділі ми опишемо основні функції банківського трояна RTM, включаючи механізми стійкості, власну версію алгоритму RC4, мережевий протокол, шпигунський функціонал та деякі інші можливості. Зокрема, ми зосередимося на зразках SHA-1 AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 та 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. Встановлення та збереження
4.1.1. Реалізація
Ядро RTM - DLL, бібліотека завантажується на диск за допомогою .EXE. Виконуваний файл зазвичай упакований і містить код DLL. Після запуску він витягує DLL і запускає її, використовуючи таку команду:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. DLL
Основна DLL завжди завантажується на диск як winlogon.lnk у папці %PROGRAMDATA%Winlogon. Це розширення файлу зазвичай пов'язане з ярликом, але файл насправді є DLL-бібліотекою, написаною на Delphi, названою розробником core.dll, як вказано на малюнку нижче.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Після запуску троян активує механізм сталості. Це можна реалізувати двома різними способами – залежно від привілеїв жертви у системі. За наявності прав адміністратора, троян додає запис Windows Update до реєстру HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun. Команди, що містяться в Update Windows, будуть виконуватися на початку сеансу користувача.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host
Троян також намагається додати завдання до Планувальник завдань Windows. Завдання запустить DLL-бібліотеку winlogon.lnk з тими самими параметрами, як зазначено вище. Права звичайного користувача дозволяють трояну додати запис Windows Update з тими самими даними до реєстру HKCUSoftwareMicrosoftWindowsCurrentVersionRun:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Модифікований алгоритм RC4
Незважаючи на відомі недоліки, алгоритм RC4 регулярно використовується авторами шкідливих програм. Тим не менш, творці RTM трохи видозмінили його - мабуть, щоб ускладнити завдання вірусних аналітиків. Модифікована версія RC4 широко використовується у шкідливих інструментах RTM для шифрування рядків, мережевих даних, конфігурації та модулів.
4.2.1. Відмінності
Оригінальний алгоритм RC4 включає два етапи: ініціалізацію s-блоку (вона ж KSA – Key-Scheduling Algorithm) та генерацію псевдовипадкової послідовності (PRGA – Pseudo-Random Generation Algorithm). Перший етап передбачає ініціалізацію s-блоку з використанням ключа, на другому етапі вихідний текст обробляється за допомогою s-блоку для шифрування.
Автори RTM додали проміжний етап між ініціалізацією s-блоку та шифруванням. Додатковий ключ є змінною і задається в той же час, що й дані для шифрування та дешифрування. Функція, яка виконує цей додатковий крок, представлена нижче.
4.2.2. Шифрування рядків
На перший погляд, в основній бібліотеці DLL є кілька доступних для читання рядків. Інші зашифровані з використанням описаного вище алгоритму, структура якого показана на наступному малюнку. Ми знайшли більше 25 різних ключів RC4 для шифрування рядків у проаналізованих зразках. Ключ XOR відрізняється для кожного рядка. Значення цифрового поля, що розділяє рядки, завжди 0xFFFFFFFF.
На початку виконання RTM розшифровує рядки у глобальну змінну. Коли це необхідно для доступу до рядка, троян динамічно обчислює адресу розшифрованих рядків на основі базової адреси та усунення.
Рядки містять цікаву інформацію про функції шкідливого ПЗ. Деякі приклади рядків представлені у розділі 6.8.
4.3. Мережа
Спосіб контакту зловмисного програмного забезпечення RTM з командним сервером змінюється від версії до версії. Перші модифікації (жовтень 2015 – квітень 2016) використали для оновлення списку команд традиційні доменні імена разом із каналом RSS на livejournal.com.
З квітня 2016 року ми спостерігали у даних телеметрії перехід на домени .bit. Це підтверджує дата реєстрації доменів – перший домен RTM fde05d0573da.bit було зареєстровано 13 березня 2016 року.
Всі URL-адреси, які ми бачили під час спостереження за кампанією, мали спільний шлях: /r/z.php. Він досить незвичайний і це допоможе визначити запити RTM в мережевих потоках.
4.3.1. Канал для команд та управління
Старі зразки використовували цей канал для оновлення списку командних серверів. Хостинг знаходиться на livejournal.com, на момент підготовки звіту він залишався на URL-адресі hxxp://f72bba81c921(.)livejournal(.)com/data/rss.
Livejournal - російсько-американська компанія, що надає платформу для блогів. Оператори RTM створюють ЖЖ-блог, в якому розміщують статтю з кодованими командами – див. скріншот.
Рядки команд та управління кодуються за допомогою модифікованого алгоритму RC4 (розділ 4.2). Поточна версія (листопад 2016 року) каналу містить наступні адреси сервера команд та управління:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. Домени .bit
У більшості нових зразків RTM автори підключаються до С&С доменів, які використовують домен верхнього рівня TLD .bit. Його немає у списку доменів верхнього рівня ICANN (Корпорації з управління доменними іменами та IP-адресами). Натомість, він використовує систему Namecoin, побудовану на основі технології Bitcoin. Автори шкідливого програмного забезпечення не часто використовують TLD .bit для своїх доменів, хоча приклад такого використання раніше спостерігався у версії бот-мережі Necurs.
На відміну від Bitcoin користувачі розподіленої бази Namecoin мають можливість зберігати дані. Основне застосування цієї особливості – домен верхнього рівня. Можна реєструвати домени, які зберігатимуться у розподіленій базі даних. Відповідні записи бази містять IP-адреси, дозволені доменом. Цей TLD «стійкий до цензури», оскільки тільки реєструюча особа може змінити роздільну здатність домену .bit. Це означає, що припинити роботу шкідливого домену при використанні цього виду TLD набагато складніше.
Троян RTM не вбудовує програмне забезпечення, необхідне для прочитання розподіленої бази Namecoin. Він використовує центральні сервери DNS, такі як dns.dot-bit.org або сервери OpenNic для дозволу доменів .bit. Отже, він має таку ж стійкість, як і в серверів DNS. Ми спостерігали, що деякі командні домени перестали визначатися після згадування запису блогу.
Інша перевага TLD .bit для хакерів – ціна. Щоб зареєструвати домен, операторам потрібно заплатити лише 0,01 ПК, що відповідає 0,00185 доларів (на 5 грудня 2016 року). Для порівняння: домен.com коштує щонайменше 10 доларів.
4.3.3. Протокол
Для зв'язку з командним сервером RTM використовує запити HTTP POST з даними, форматованими за допомогою протоколу користувача. Значення шляху завжди є /r/z.php; користувальницький агент Mozilla/5.0 (сумісний; MSIE 9.0; Windows NT 6.1; Trident/5.0). У запитах на сервер дані форматуються, як слід далі, де значення усунення виражаються в байтах:
Байти з 0 до 6 не кодуються; байти, починаючи з 6 кодуються за допомогою модифікованого алгоритму RC4. Структура пакета відповідей командного сервера простіша. Кодуються байти з 4 до розміру пакета.
Список можливих значень байтів дії наведено в таблиці нижче:
Шкідлива програма завжди обчислює CRC32 розшифрованих даних та порівнює отримане з тим, що представлене в пакеті. Якщо вони відрізняються, троян скидає пакунок.
Додаткові дані можуть містити різні об'єкти, включаючи файл РЕ, файл пошуку в файловій системі або нові командні URL.
4.3.4. Панель
Ми зауважили, що RTM використовує панель на командних серверах. Скріншот нижче:
4.4. Характерна ознака
RTM – типовий банківський троян. Не дивно, що операторам потрібна інформація щодо системи жертви. З одного боку, робот збирає загальні відомості про ОС. З іншого – з'ясовує, чи скомпрометована система містить атрибути, пов'язані з російськими системами ДБО.
4.4.1. Загальна інформація
Коли зловмисне програмне забезпечення встановлено або запущено після перезавантаження, на командний сервер йде звіт, що містить загальну інформацію, включаючи:
- часовий пояс;
- мова системи за замовчуванням;
- повноваження авторизованого користувача;
- рівень цілісності процесу;
- Ім'я користувача;
- ім'я комп'ютера;
- версію ОС;
- додаткові встановлені модулі;
- встановлену антивірусну програму;
- список зчитувачів смарт-карток.
4.4.2 Система дистанційного банківського обслуговування
Типова мета трояна – система ДБО, та RTM – не виняток. Один із модулів програми називається TBdo, він виконує різні завдання, включаючи сканування дисків та історії відвідувань.
Скануючи диск, троян перевіряє, чи встановлено машиною банківське ПЗ. Повний список цільових програм – у таблиці нижче. Виявивши файл, що цікавить, програма відправляє інформацію на командний сервер. Наступні дії залежать від логіки, заданої алгоритмами командного центру (С&С).
RTM шукає також шаблони URL-адрес в історії відвідувань браузера та у відкритих вкладках. Крім того, програма вивчає використання функцій FindNextUrlCacheEntryA та FindFirstUrlCacheEntryA, а також перевіряє кожен вхід на відповідність URL адресам одному з наведених нижче шаблонів:
Виявивши відкриті вкладки, троян звертається до Internet Explorer або Firefox через механізм динамічного обміну даними (DDE), щоб перевірити, чи вкладка шаблону відповідає.
Перевірка історії відвідувань та відкритих вкладок виконується у циклі WHILE (цикл з передумовою) з перервою в 1 секунду між перевірками. Інші дані, що відстежуються в режимі реального часу, розглянемо у розділі 4.5.
Якщо шаблон знайдено, програма повідомляє про це командний сервер за допомогою списку рядків з наступної таблиці:
4.5 Моніторинг
Під час роботи трояна інформація про характерні особливості зараженої системи (включаючи дані про наявність банківського програмного забезпечення) відправляється на командний сервер. Зняття цифрових відбитків відбувається, коли RTM вперше запускає систему моніторингу відразу після сканування ОС.
4.5.1. Дистанційне банківське обслуговування
Модуль TBdo також відповідає за моніторинг процесів, пов'язаних із банкінгом. Він використовує динамічний обмін даними, щоб у момент початкового сканування перевірити вкладки Firefox і Internet Explorer. Інший модуль TShell використовується для моніторингу командних вікон (Internet Explorer чи провідника).
Модуль використовує інтерфейси COM IShellWindows, iWebBrowser, DWebBrowserEvents2 та IConnectionPointContainer для моніторингу вікон. Коли користувач переходить на нову веб-сторінку, шкідлива програма вказує на це. Потім вона порівнює URL-адресу сторінки з вищезазначеними шаблонами. Виявивши збіг, троян робить шість послідовних скріншотів з інтервалом 5 секунд і відправляє їх на командний сервер С&С. Програма також перевіряє деякі назви вікон, що належать до банківського програмного забезпечення – повний список нижче:
4.5.2. Смарт-картка
RTM дозволяє моніторити зчитувачі смарт-карток, з'єднаних із зараженими комп'ютерами. Ці пристрої використовуються в деяких країнах для звірки платіжних доручень. Якщо пристрої цього типу приєднуються до комп'ютера, для трояна це може вказувати на використання машини для банківських транзакцій.
На відміну від інших банківських троянів, RTM не може взаємодіяти з такими смарт-картками. Можливо, цей функціонал входить у додатковий модуль, який ми поки що не бачили.
4.5.3. Клавіатурний шпигун
Важлива частина моніторингу зараженого ПК – перехоплення натискання клавіш. Складається враження, що розробники RTM не пропускають жодної інформації, оскільки відстежують не лише звичайні клавіші, а й віртуальну клавіатуру та буфер обміну.
Для цього використовується функція SetWindowsHookExA. Атакуючі реєструють натиснені клавіші або клавіші, що відповідають віртуальній клавіатурі, разом із ім'ям та датою програми. Потім буфер прямує на командний C&C сервер.
Для перехоплення буфера обміну використається функція SetClipboardViewer. Хакери реєструють вміст буфера обміну, коли дані є текстом. Перед надсиланням буфера на сервер також реєструється ім'я та дата.
4.5.4. Скриншоти
Ще одна функція RTM – перехоплення скріншотів. Можливість застосовується, коли модуль моніторингу вікон виявляє сайт або банківське ПЗ, що цікавить. Скріншоти виконуються за допомогою бібліотеки графічних зображень та передаються на командний сервер.
4.6. Деінсталяція
C&C сервер може призупинити роботу шкідливого програмного забезпечення та очистити комп'ютер. Команда дозволяє очистити файли та записи реєстру, створені під час роботи RTM. Потім за допомогою DLL-бібліотеки здійснюється видалення шкідливого програмного забезпечення та файлу winlogon, після чого команда вимикає комп'ютер. Як показано нижче, DLL-бібліотека видаляється розробниками за допомогою erase.dll.
Сервер може надіслати трояну деструктивну команду uninstall-lock. У цьому випадку за наявності прав адміністратора RTM видалити завантажувальний сектор MBR на жорсткому диску. Якщо це не вийде, троян спробує змістити завантажувальний сектор MBR на випадковий сектор – тоді комп'ютер після вимкнення не зможе завантажити ОС. Це може призвести до повної переустановки ОС, тобто знищення доказів.
Без повноважень адміністратора шкідливе ПЗ записує .EXE, закодований в основній бібліотеці DLL RTM. Виконуваний файл виконує код, необхідний для вимкнення комп'ютера, та реєструє модуль у розділі реєстру HKCUCurrentVersionRun. Щоразу, коли користувач починає сесію, комп'ютер негайно вимикається.
4.7. Файл конфігурації
За замовчуванням, RTM майже не має конфігураційного файлу, але командний сервер може надіслати значення конфігурації, які будуть зберігатися в реєстрі і використовуватися програмою. Список ключів конфігурації представлений у таблиці нижче:
Конфігурація зберігається у ключі реєстру Software[Pseudo-random string]. Кожне значення відповідає одному з рядків, представлених у попередній таблиці. Значення та дані кодуються за допомогою алгоритму RC4 RTM.
Дані мають ту саму структуру, що мережа чи рядки. Чотирьохбайтний ключ XOR додається на початку кодованих даних. Для конфігураційних значень ключ XOR відрізняється і залежить від розміру значення. Він може обчислюватися так:
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)
4.8. Інші функції
Далі розглянемо інші функції, що підтримує RTM.
4.8.1. Додаткові модулі
Троян включає додаткові модулі файлів DLL. Модулі, що відправляються з командного C&C сервера, можуть виконуватися як зовнішні програми, відображатись в оперативній пам'яті та запускатися у нових потоках. Для зберігання модулі зберігаються у файлах .dtt та кодуються за допомогою алгоритму RC4 з тим самим ключем, який використовується для комунікацій мережі.
Поки ми спостерігали встановлення модуля VNC (8966319882494077C21F66A8354E2CBCA0370464), модуля вилучення даних браузера (03DE8622BE6B2F75A364A275995C3411626 4F9EFC1FBA2B1BE562D1B69E6CFAB).
Для завантаження модуля VNC командний сервер спрямовує команду, запитуючи з'єднання з сервером VNC за певною IP-адресою в порті 44443. Плагін вилучення даних браузера виконує TBrowserDataCollector, який може зчитувати історію відвідувань IE. Потім відправляє повний список відвіданих URL-адрес на командний С&C сервер.
Останній виявлений модуль називається 1c_2_kl. Він може взаємодіяти з програмним пакетом 1C Підприємство. Модуль включає дві частини: основну частину - DLL і два агенти (32-х і 64-х бітні), які будуть впроваджуватися в кожен процес, реєструючи прив'язку до WH_CBT. Впровадившись у процес 1C, модуль прив'язує функції CreateFile та WriteFile. Коли б не викликалася функція CreateFile, модуль зберігає в пам'яті шлях файлу 1c_to_kl.txt. Після перехоплення виклику WriteFile він викликає функцію WriteFile і відправляє шлях файлу 1c_to_kl.txt на основний модуль DLL, передаючи йому створене повідомлення Windows WM_COPYDATA.
Основний модуль DLL відкриває та аналізує файл для визначення платіжних доручень. Він розпізнає суму та номер транзакцій, що містяться у файлі. Ця інформація надсилається на командний сервер. Ми вважаємо, що цей модуль в даний момент перебуває в розробці, оскільки він містить повідомлення про налагодження і не може автоматично модифікувати 1c_to_kl.txt.
4.8.2. Підвищення привілеїв
RTM може намагатися підвищити привілеї, показуючи помилкові повідомлення про помилку. Малвар імітує перевірку реєстру (див. малюнок нижче) або використовує справжню іконку редактора реєстру. Зверніть увагу на помилку у написанні wait – whait. Через кілька секунд сканування програма виводить помилкове повідомлення про помилку.
Помилкове повідомлення легко обдурить звичайного користувача, незважаючи на граматичні помилки. Якщо користувач натисне одну з двох посилань, RTM спробує підвищити свої привілеї в системі.
Після вибору одного з двох варіантів відновлення троян запускає DLL за допомогою опції runas у функції ShellExecute з повноваженнями адміністратора. Користувач побачить цей запит Windows (див. малюнок нижче) про підвищення повноважень. Якщо користувач надасть необхідні дозволи, троян працюватиме з привілеями адміністратора.
Залежно від стандартної мови, встановленої в системі, троян показує повідомлення про помилку російською або англійською.
4.8.3. Сертифікат
RTM може додавати сертифікати у Windows Store та підтверджувати надійність додавання автоматичним натисканням на кнопку «так» у діалоговому вікні csrss.exe. Така поведінка не є новою, наприклад, банківський троян Retefe теж самостійно підтверджує встановлення нового сертифікату.
4.8.4. Зворотне з'єднання
Автори RTM також створили тунель Backconnect TCP. Поки що ми не бачили функцію в експлуатації, але вона призначена для дистанційного контролю заражених ПК.
4.8.5. Керування файлом вузла
Командний C&C сервер може надсилати трояну команду модифікувати файл вузла Windows. Файл вузла використовується для створення дозволів користувача DNS.
4.8.6. Знайти та надіслати файл
Сервер може запросити пошук та завантаження файлу в зараженій системі. Наприклад, під час дослідження ми отримали запит файлу 1c_to_kl.txt. Як описано раніше, цей файл генерує система бухгалтерського обліку 1C: Підприємство 8.
4.8.7. Оновлення
Нарешті, автори RTM можуть оновлювати програмне забезпечення, відправляючи новий DLL на зміну поточної версії.
5. висновок
Дослідження RTM показує, що російська банківська система досі приваблює кіберзловмисників. Такі угруповання як Buhtrap, Corkow та Carbanak успішно крадуть гроші у фінансових установ та їхніх клієнтів у Росії. RTM - новий гравець у цій індустрії.
За даними телеметрії ESET, шкідливі інструменти RTM використовуються як мінімум з кінця 2015 року. Програма має повний діапазон шпигунських можливостей, включаючи читання смарт-карт, перехоплення натискання клавіш та моніторинг банківських операцій, а також пошук транспортних файлів 1C: Підприємство 8.
Використання децентралізованого домену, що нецензурується, верхнього рівня .bit забезпечує високу стійкість інфраструктури.
Джерело: habr.com