ایسے کئی معروف سائبر گروپس ہیں جو روسی کمپنیوں سے فنڈز چرانے میں مہارت رکھتے ہیں۔ ہم نے حفاظتی خامیوں کا استعمال کرتے ہوئے حملے دیکھے ہیں جو ہدف کے نیٹ ورک تک رسائی کی اجازت دیتے ہیں۔ ایک بار جب وہ رسائی حاصل کر لیتے ہیں، حملہ آور تنظیم کے نیٹ ورک کے ڈھانچے کا مطالعہ کرتے ہیں اور فنڈز چرانے کے لیے اپنے ٹولز لگاتے ہیں۔ اس رجحان کی ایک بہترین مثال ہیکر گروپس بوہٹریپ، کوبالٹ اور کارکو ہیں۔
RTM گروپ جس پر یہ رپورٹ فوکس کرتی ہے اس رجحان کا حصہ ہے۔ اس میں خاص طور پر ڈیلفی میں لکھے گئے میلویئر کا استعمال کیا گیا ہے، جسے ہم مزید تفصیل سے مندرجہ ذیل حصوں میں دیکھیں گے۔ ESET ٹیلی میٹری سسٹم میں ان ٹولز کے پہلے نشانات 2015 کے آخر میں دریافت ہوئے تھے۔ ٹیم ضرورت کے مطابق مختلف نئے ماڈیولز کو متاثرہ سسٹمز پر لوڈ کرتی ہے۔ ان حملوں کا مقصد روس اور کچھ پڑوسی ممالک میں ریموٹ بینکنگ سسٹم استعمال کرنے والے ہیں۔
1. مقاصد
RTM مہم کا مقصد کارپوریٹ صارفین ہیں - یہ ان عملوں سے واضح ہے جن کا پتہ لگانے والے حملہ آور کسی سمجھوتہ شدہ نظام میں تلاش کرنے کی کوشش کرتے ہیں۔ ریموٹ بینکنگ سسٹم کے ساتھ کام کرنے کے لیے اکاؤنٹنگ سافٹ ویئر پر توجہ مرکوز کی گئی ہے۔
آر ٹی ایم میں دلچسپی کے عمل کی فہرست بوہٹریپ گروپ کی متعلقہ فہرست سے مشابہت رکھتی ہے، لیکن گروپوں میں انفیکشن ویکٹر مختلف ہوتے ہیں۔ اگر Buhtrap زیادہ کثرت سے جعلی صفحات کا استعمال کرتا ہے، تو RTM نے ڈرائیو کے ذریعے ڈاؤن لوڈ حملوں (براؤزر یا اس کے اجزاء پر حملے) اور ای میل کے ذریعے سپیمنگ کا استعمال کیا۔ ٹیلی میٹری ڈیٹا کے مطابق، اس خطرے کا مقصد روس اور کئی قریبی ممالک (یوکرین، قازقستان، جمہوریہ چیک، جرمنی) ہیں۔ تاہم، بڑے پیمانے پر تقسیم کے طریقہ کار کے استعمال کی وجہ سے، ہدف والے علاقوں سے باہر میلویئر کا پتہ لگانا حیران کن نہیں ہے۔
میلویئر کا پتہ لگانے کی کل تعداد نسبتاً کم ہے۔ دوسری طرف، آر ٹی ایم مہم پیچیدہ پروگراموں کا استعمال کرتی ہے، جو اس بات کی نشاندہی کرتی ہے کہ حملوں کو انتہائی ہدف بنایا گیا ہے۔
ہم نے RTM کے ذریعے استعمال ہونے والی متعدد ڈیکوی دستاویزات دریافت کی ہیں، بشمول غیر موجود معاہدے، رسیدیں یا ٹیکس اکاؤنٹنگ دستاویزات۔ لالچ کی نوعیت، حملے کے ذریعے نشانہ بنائے گئے سافٹ ویئر کی قسم کے ساتھ مل کر اس بات کی نشاندہی کرتی ہے کہ حملہ آور اکاؤنٹنگ ڈیپارٹمنٹ کے ذریعے روسی کمپنیوں کے نیٹ ورکس میں "داخل" ہو رہے ہیں۔ گروپ نے اسی اسکیم کے مطابق کام کیا۔ 2014-2015 میں
تحقیق کے دوران، ہم کئی C&C سرورز کے ساتھ بات چیت کرنے میں کامیاب رہے۔ ہم مندرجہ ذیل حصوں میں کمانڈز کی مکمل فہرست درج کریں گے، لیکن ابھی کے لیے ہم یہ کہہ سکتے ہیں کہ کلائنٹ keylogger سے ڈیٹا کو براہ راست حملہ آور سرور پر منتقل کرتا ہے، جہاں سے اضافی کمانڈز موصول ہوتے ہیں۔
تاہم، وہ دن جب آپ آسانی سے کمانڈ اور کنٹرول سرور سے جڑ سکتے تھے اور وہ تمام ڈیٹا اکٹھا کر سکتے تھے جن میں آپ کی دلچسپی تھی۔ سرور سے کچھ متعلقہ کمانڈز حاصل کرنے کے لیے ہم نے حقیقت پسندانہ لاگ فائلوں کو دوبارہ بنایا۔
ان میں سے پہلی فائل 1c_to_kl.txt کو منتقل کرنے کے لیے بوٹ سے درخواست ہے - 1C: انٹرپرائز 8 پروگرام کی ایک ٹرانسپورٹ فائل، جس کی ظاہری شکل RTM کے ذریعے فعال طور پر مانیٹر کی جاتی ہے۔ 1C ٹیکسٹ فائل میں آؤٹ گوئنگ ادائیگیوں پر ڈیٹا اپ لوڈ کرکے ریموٹ بینکنگ سسٹم کے ساتھ بات چیت کرتا ہے۔ اس کے بعد، فائل کو آٹومیشن اور ادائیگی کے آرڈر پر عملدرآمد کے لیے ریموٹ بینکنگ سسٹم کو بھیجا جاتا ہے۔
فائل میں ادائیگی کی تفصیلات شامل ہیں۔ اگر حملہ آور باہر جانے والی ادائیگیوں کے بارے میں معلومات کو تبدیل کرتے ہیں، تو منتقلی حملہ آوروں کے اکاؤنٹس میں غلط تفصیلات کا استعمال کرتے ہوئے بھیجی جائے گی۔
کمانڈ اینڈ کنٹرول سرور سے ان فائلوں کی درخواست کرنے کے تقریباً ایک ماہ بعد، ہم نے دیکھا کہ ایک نیا پلگ ان، 1c_2_kl.dll، جو سمجھوتہ شدہ سسٹم پر لوڈ ہو رہا ہے۔ ماڈیول (DLL) کو اکاؤنٹنگ سافٹ ویئر کے عمل کو گھس کر ڈاؤن لوڈ فائل کا خود بخود تجزیہ کرنے کے لیے ڈیزائن کیا گیا ہے۔ ہم اس کی تفصیل درج ذیل حصوں میں بیان کریں گے۔
دلچسپ بات یہ ہے کہ بینک آف روس کے FinCERT نے 2016 کے آخر میں 1c_to_kl.txt اپ لوڈ فائلوں کا استعمال کرتے ہوئے سائبر کرائمینلز کے بارے میں ایک بلیٹن وارننگ جاری کی۔ 1C کے ڈویلپرز بھی اس اسکیم کے بارے میں جانتے ہیں؛ انہوں نے پہلے ہی ایک سرکاری بیان دیا ہے اور احتیاطی تدابیر درج کی ہیں۔
دوسرے ماڈیولز بھی کمانڈ سرور سے لوڈ کیے گئے تھے، خاص طور پر VNC (اس کے 32 اور 64 بٹ ورژن)۔ یہ VNC ماڈیول سے مشابہت رکھتا ہے جو پہلے Dridex Trojan حملوں میں استعمال ہوا تھا۔ یہ ماڈیول قیاس کے طور پر کسی متاثرہ کمپیوٹر سے دور سے جڑنے اور سسٹم کا تفصیلی مطالعہ کرنے کے لیے استعمال کیا جاتا ہے۔ اس کے بعد، حملہ آور نیٹ ورک کے ارد گرد گھومنے کی کوشش کرتے ہیں، صارف کے پاس ورڈ نکالتے ہیں، معلومات جمع کرتے ہیں اور میلویئر کی مسلسل موجودگی کو یقینی بناتے ہیں۔
2. انفیکشن کے ویکٹر
مندرجہ ذیل اعداد و شمار مہم کے مطالعہ کے دوران پائے جانے والے انفیکشن ویکٹر کو ظاہر کرتا ہے۔ گروپ ویکٹرز کی ایک وسیع رینج کا استعمال کرتا ہے، لیکن بنیادی طور پر ڈرائیو کے ذریعے ڈاؤن لوڈ اٹیک اور سپیم۔ یہ ٹولز ٹارگٹڈ حملوں کے لیے آسان ہیں، کیونکہ پہلی صورت میں، حملہ آور ممکنہ متاثرین کی طرف سے دیکھی جانے والی سائٹس کو منتخب کر سکتے ہیں، اور دوسری صورت میں، وہ متعلقہ کمپنی کے ملازمین کو براہ راست اٹیچمنٹ کے ساتھ ای میل بھیج سکتے ہیں۔
میلویئر کو متعدد چینلز کے ذریعے تقسیم کیا جاتا ہے، بشمول RIG اور Sundown exploit kits یا سپام میلنگ، جو حملہ آوروں اور ان خدمات کی پیشکش کرنے والے دیگر سائبر حملہ آوروں کے درمیان روابط کی نشاندہی کرتے ہیں۔
2.1 RTM اور Buhtrap کا کیا تعلق ہے؟
RTM مہم بوہٹراپ سے بہت ملتی جلتی ہے۔ فطری سوال یہ ہے کہ ان کا ایک دوسرے سے کیا تعلق ہے؟
ستمبر 2016 میں، ہم نے مشاہدہ کیا کہ ایک RTM نمونہ بوہٹریپ اپ لوڈر کا استعمال کرتے ہوئے تقسیم کیا جا رہا ہے۔ مزید برآں، ہمیں بوہٹراپ اور RTM دونوں میں استعمال ہونے والے دو ڈیجیٹل سرٹیفکیٹس ملے۔
پہلا، مبینہ طور پر کمپنی DNISTER-M کو جاری کیا گیا، دوسرے ڈیلفی فارم (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) اور Buhtrap DLL (SHA-1: 1E2642B454CD2BD889BDL 6)۔
دوسرا ایک ، جس میں بٹ ٹریڈ جے کو جاری کیا گیا تھا ، بوہٹراپ لوڈرز پر دستخط کرنے کے لئے استعمال کیا گیا تھا (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 اور B74F71560E48488D2153AE2FB51207A0C206BFORT)۔
RTM آپریٹرز سرٹیفکیٹ استعمال کرتے ہیں جو دوسرے میلویئر خاندانوں کے لیے عام ہیں، لیکن ان کے پاس ایک منفرد سرٹیفکیٹ بھی ہے۔ ESET ٹیلی میٹری کے مطابق، یہ Kit-SD کو جاری کیا گیا تھا اور اسے صرف کچھ RTM میلویئر (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6) پر دستخط کرنے کے لیے استعمال کیا گیا تھا۔
RTM وہی لوڈر استعمال کرتا ہے جیسا کہ Buhtrap، RTM اجزاء بوہٹریپ کے بنیادی ڈھانچے سے لوڈ کیے جاتے ہیں، اس لیے گروپس کے نیٹ ورک کے اشارے ملتے جلتے ہیں۔ تاہم، ہمارے اندازوں کے مطابق، RTM اور Buhtrap مختلف گروپس ہیں، کم از کم اس لیے کہ RTM کو مختلف طریقوں سے تقسیم کیا جاتا ہے (نہ صرف "غیر ملکی" ڈاؤنلوڈر کا استعمال کرتے ہوئے)۔
اس کے باوجود، ہیکر گروپ اسی طرح کے آپریٹنگ اصول استعمال کرتے ہیں۔ وہ اکاؤنٹنگ سوفٹ ویئر کا استعمال کرتے ہوئے کاروباروں کو نشانہ بناتے ہیں، اسی طرح سسٹم کی معلومات جمع کرتے ہیں، سمارٹ کارڈ ریڈرز کی تلاش کرتے ہیں، اور متاثرین کی جاسوسی کے لیے بدنیتی پر مبنی ٹولز کی ایک صف کو تعینات کرتے ہیں۔
3. ارتقاء
اس حصے میں، ہم مطالعہ کے دوران پائے جانے والے میلویئر کے مختلف ورژن دیکھیں گے۔
3.1 ورژننگ
RTM کنفیگریشن ڈیٹا کو رجسٹری سیکشن میں اسٹور کرتا ہے، جس کا سب سے دلچسپ حصہ botnet-prefix ہے۔ ہم نے جن نمونوں کا مطالعہ کیا ان تمام اقدار کی فہرست ذیل کے جدول میں پیش کی گئی ہے۔
یہ ممکن ہے کہ قدروں کو میلویئر ورژن ریکارڈ کرنے کے لیے استعمال کیا جا سکے۔ تاہم، ہم نے bit2 اور bit3، 0.1.6.4 اور 0.1.6.6 جیسے ورژنز میں زیادہ فرق محسوس نہیں کیا۔ مزید برآں، ایک سابقہ شروع سے ہی موجود ہے اور ایک عام C&C ڈومین سے .bit ڈومین میں تبدیل ہوا ہے، جیسا کہ ذیل میں دکھایا جائے گا۔
3.2 شیڈول
ٹیلی میٹری ڈیٹا کا استعمال کرتے ہوئے، ہم نے نمونوں کی موجودگی کا گراف بنایا۔
4. تکنیکی تجزیہ
اس سیکشن میں، ہم RTM بینکنگ ٹروجن کے اہم افعال کو بیان کریں گے، بشمول مزاحمتی میکانزم، RC4 الگورتھم کا اپنا ورژن، نیٹ ورک پروٹوکول، جاسوسی کی فعالیت اور کچھ دیگر خصوصیات۔ خاص طور پر، ہم SHA-1 نمونے AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 اور 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B پر توجہ مرکوز کریں گے۔
4.1 تنصیب اور بچت
4.1.1 عمل درآمد
RTM کور ایک DLL ہے، لائبریری کو .EXE کا استعمال کرتے ہوئے ڈسک پر لوڈ کیا جاتا ہے۔ قابل عمل فائل عام طور پر پیک کی جاتی ہے اور اس میں DLL کوڈ ہوتا ہے۔ ایک بار لانچ ہونے کے بعد، یہ DLL نکالتا ہے اور اسے درج ذیل کمانڈ کا استعمال کرتے ہوئے چلاتا ہے۔
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2 ڈی ایل ایل
مین DLL کو ہمیشہ %PROGRAMDATA%Winlogon فولڈر میں winlogon.lnk کے بطور ڈسک پر لوڈ کیا جاتا ہے۔ یہ فائل ایکسٹینشن عام طور پر شارٹ کٹ سے منسلک ہوتی ہے، لیکن فائل دراصل ڈیلفی میں لکھی ہوئی ڈی ایل ایل ہے، جسے ڈویلپر نے core.dll کا نام دیا ہے، جیسا کہ نیچے دی گئی تصویر میں دکھایا گیا ہے۔
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
ایک بار لانچ ہونے کے بعد، ٹروجن اپنے مزاحمتی طریقہ کار کو چالو کرتا ہے۔ یہ دو مختلف طریقوں سے کیا جا سکتا ہے، نظام میں شکار کے مراعات پر منحصر ہے۔ اگر آپ کے پاس ایڈمنسٹریٹر کے حقوق ہیں، تو ٹروجن HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun رجسٹری میں ونڈوز اپ ڈیٹ کا اندراج شامل کرتا ہے۔ ونڈوز اپ ڈیٹ میں موجود کمانڈز صارف کے سیشن کے آغاز پر چلیں گی۔
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows اپ ڈیٹ [REG_SZ] = rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject ہوسٹ
ٹروجن ونڈوز ٹاسک شیڈیولر میں ٹاسک شامل کرنے کی بھی کوشش کرتا ہے۔ یہ کام winlogon.lnk DLL کو اوپر والے پیرامیٹرز کے ساتھ شروع کرے گا۔ باقاعدہ صارف کے حقوق ٹروجن کو HKCUSoftwareMicrosoftWindowsCurrentVersionRun رجسٹری میں اسی ڈیٹا کے ساتھ ونڈوز اپ ڈیٹ اندراج شامل کرنے کی اجازت دیتے ہیں:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2 ترمیم شدہ RC4 الگورتھم
اس کی معلوم خامیوں کے باوجود، RC4 الگورتھم کو میلویئر مصنفین باقاعدگی سے استعمال کرتے ہیں۔ تاہم، RTM کے تخلیق کاروں نے اس میں قدرے ترمیم کی، شاید وائرس کے تجزیہ کاروں کے کام کو مزید مشکل بنانے کے لیے۔ RC4 کا ایک ترمیم شدہ ورژن سٹرنگز، نیٹ ورک ڈیٹا، کنفیگریشن اور ماڈیولز کو خفیہ کرنے کے لیے نقصان دہ RTM ٹولز میں بڑے پیمانے پر استعمال ہوتا ہے۔
4.2.1 اختلافات
اصل RC4 الگورتھم میں دو مراحل شامل ہیں: s-block ابتداء (عرف KSA - Key-Seduling Algorithm) اور pseudo-random sequence generation (PRGA - Pseudo-Random Generation Algorithm)۔ پہلے مرحلے میں کلید کا استعمال کرتے ہوئے ایس باکس کو شروع کرنا شامل ہے، اور دوسرے مرحلے میں ایس باکس کو خفیہ کاری کے لیے استعمال کرتے ہوئے سورس ٹیکسٹ پر کارروائی کی جاتی ہے۔
RTM مصنفین نے s-box کی ابتدا اور خفیہ کاری کے درمیان ایک درمیانی مرحلہ شامل کیا۔ اضافی کلید متغیر ہے اور اسی وقت سیٹ کی گئی ہے جس طرح ڈیٹا کو خفیہ اور ڈکرپٹ کیا جانا ہے۔ اس اضافی قدم کو انجام دینے والا فنکشن نیچے دی گئی تصویر میں دکھایا گیا ہے۔
4.2.2 اسٹرنگ کی خفیہ کاری
پہلی نظر میں، مین DLL میں کئی پڑھنے کے قابل لائنیں ہیں۔ باقی کو اوپر بیان کردہ الگورتھم کا استعمال کرتے ہوئے انکرپٹ کیا گیا ہے، جس کی ساخت مندرجہ ذیل تصویر میں دکھائی گئی ہے۔ ہمیں تجزیہ کردہ نمونوں میں سٹرنگ انکرپشن کے لیے 25 سے زیادہ مختلف RC4 کیز ملی ہیں۔ XOR کلید ہر قطار کے لیے مختلف ہے۔ عددی فیلڈ کو الگ کرنے والی لائنوں کی قدر ہمیشہ 0xFFFFFFFFF ہوتی ہے۔
عملدرآمد کے آغاز میں، RTM تاروں کو عالمی متغیر میں ڈیکرپٹ کرتا ہے۔ جب کسی سٹرنگ تک رسائی کے لیے ضروری ہو، ٹروجن متحرک طور پر بنیادی ایڈریس اور آفسیٹ کی بنیاد پر ڈکرپٹڈ سٹرنگز کے پتے کا حساب لگاتا ہے۔
تاروں میں میلویئر کے افعال کے بارے میں دلچسپ معلومات ہیں۔ کچھ مثال کے تار سیکشن 6.8 میں فراہم کیے گئے ہیں۔
4.3. نیٹ ورک
RTM میلویئر کا C&C سرور سے رابطہ کرنے کا طریقہ ورژن سے دوسرے ورژن میں مختلف ہوتا ہے۔ پہلی ترمیم (اکتوبر 2015 - اپریل 2016) نے کمانڈز کی فہرست کو اپ ڈیٹ کرنے کے لیے livejournal.com پر RSS فیڈ کے ساتھ روایتی ڈومین ناموں کا استعمال کیا۔
اپریل 2016 سے، ہم نے ٹیلی میٹری ڈیٹا میں .bit ڈومینز میں تبدیلی دیکھی ہے۔ اس کی تصدیق ڈومین رجسٹریشن کی تاریخ سے ہوتی ہے - پہلا RTM ڈومین fde05d0573da.bit 13 مارچ 2016 کو رجسٹر ہوا تھا۔
مہم کی نگرانی کے دوران ہم نے جتنے یو آر ایل دیکھے ان کا ایک مشترکہ راستہ تھا: /r/z.php۔ یہ کافی غیر معمولی ہے اور یہ نیٹ ورک کے بہاؤ میں RTM درخواستوں کی شناخت میں مدد کرے گا۔
4.3.1 کمانڈز اور کنٹرول کے لیے چینل
پرانی مثالوں نے اس چینل کو اپنے کمانڈ اور کنٹرول سرورز کی فہرست کو اپ ڈیٹ کرنے کے لیے استعمال کیا۔ ہوسٹنگ livejournal.com پر واقع ہے، رپورٹ لکھنے کے وقت یہ URL hxxp://f72bba81c921(.)livejournal(.)com/data/rss پر موجود تھی۔
Livejournal ایک روسی-امریکی کمپنی ہے جو بلاگنگ پلیٹ فارم مہیا کرتی ہے۔ RTM آپریٹرز ایک LJ بلاگ بناتے ہیں جس میں وہ کوڈڈ کمانڈز کے ساتھ ایک مضمون پوسٹ کرتے ہیں - اسکرین شاٹ دیکھیں۔
کمانڈ اور کنٹرول لائنز کو ایک ترمیم شدہ RC4 الگورتھم (سیکشن 4.2) کا استعمال کرتے ہوئے انکوڈ کیا گیا ہے۔ چینل کا موجودہ ورژن (نومبر 2016) درج ذیل کمانڈ اور کنٹرول سرور ایڈریس پر مشتمل ہے:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2 .bit ڈومینز
حالیہ RTM نمونوں میں، مصنفین .bit TLD ٹاپ لیول ڈومین کا استعمال کرتے ہوئے C&C ڈومینز سے جڑتے ہیں۔ یہ ICANN (ڈومین نام اور انٹرنیٹ کارپوریشن) اعلی درجے کے ڈومینز کی فہرست میں نہیں ہے۔ اس کے بجائے، یہ Namecoin سسٹم کا استعمال کرتا ہے، جو Bitcoin ٹیکنالوجی کے اوپر بنایا گیا ہے۔ مالویئر مصنفین اکثر اپنے ڈومینز کے لیے .bit TLD استعمال نہیں کرتے ہیں، حالانکہ اس طرح کے استعمال کی ایک مثال پہلے Necurs botnet کے ورژن میں دیکھی گئی ہے۔
بٹ کوائن کے برعکس، تقسیم شدہ Namecoin ڈیٹا بیس کے صارفین ڈیٹا کو محفوظ کرنے کی صلاحیت رکھتے ہیں۔ اس خصوصیت کا بنیادی اطلاق .bit ٹاپ لیول ڈومین ہے۔ آپ ڈومینز رجسٹر کر سکتے ہیں جو تقسیم شدہ ڈیٹا بیس میں محفوظ ہوں گے۔ ڈیٹا بیس میں متعلقہ اندراجات ڈومین کے ذریعے حل کیے گئے IP پتے پر مشتمل ہوتے ہیں۔ یہ TLD "سنسرشپ کے خلاف مزاحم" ہے کیونکہ صرف رجسٹر کرنے والا ہی .bit ڈومین کی ریزولوشن تبدیل کر سکتا ہے۔ اس کا مطلب ہے کہ اس قسم کے TLD کا استعمال کرتے ہوئے نقصان دہ ڈومین کو روکنا زیادہ مشکل ہے۔
RTM ٹروجن تقسیم شدہ Namecoin ڈیٹا بیس کو پڑھنے کے لیے ضروری سافٹ ویئر کو سرایت نہیں کرتا ہے۔ یہ .bit ڈومینز کو حل کرنے کے لیے مرکزی DNS سرورز جیسے dns.dot-bit.org یا OpenNic سرورز کا استعمال کرتا ہے۔ لہذا، اس میں DNS سرورز کے طور پر ایک ہی استحکام ہے. ہم نے مشاہدہ کیا کہ بلاگ پوسٹ میں ذکر کیے جانے کے بعد کچھ ٹیم ڈومینز کا مزید پتہ نہیں چلا۔
ہیکرز کے لیے .bit TLD کا ایک اور فائدہ لاگت ہے۔ ڈومین رجسٹر کرنے کے لیے، آپریٹرز کو صرف 0,01 NK ادا کرنے کی ضرورت ہے، جو کہ $0,00185 کے مساوی ہے (5 دسمبر 2016 تک)۔ مقابلے کے لیے، domain.com کی قیمت کم از کم $10 ہے۔
4.3.3 پروٹوکول
کمانڈ اور کنٹرول سرور کے ساتھ بات چیت کرنے کے لیے، RTM ایک حسب ضرورت پروٹوکول کا استعمال کرتے ہوئے فارمیٹ کردہ ڈیٹا کے ساتھ HTTP POST درخواستوں کا استعمال کرتا ہے۔ پاتھ ویلیو ہمیشہ /r/z.php ہوتی ہے۔ Mozilla/5.0 صارف ایجنٹ (مطابق؛ MSIE 9.0؛ Windows NT 6.1؛ Trident/5.0)۔ سرور کی درخواستوں میں، ڈیٹا کو مندرجہ ذیل فارمیٹ کیا جاتا ہے، جہاں آفسیٹ ویلیوز کو بائٹس میں ظاہر کیا جاتا ہے:
بائٹس 0 سے 6 کو انکوڈ نہیں کیا گیا ہے۔ 6 سے شروع ہونے والے بائٹس کو ایک ترمیم شدہ RC4 الگورتھم کا استعمال کرتے ہوئے انکوڈ کیا جاتا ہے۔ C&C رسپانس پیکٹ کی ساخت آسان ہے۔ بائٹس کو 4 سے پیکٹ سائز تک انکوڈ کیا گیا ہے۔
ممکنہ ایکشن بائٹ ویلیوز کی فہرست ذیل کے جدول میں پیش کی گئی ہے۔
میلویئر ہمیشہ ڈکرپٹڈ ڈیٹا کے CRC32 کا حساب لگاتا ہے اور اس کا موازنہ پیکٹ میں موجود ڈیٹا سے کرتا ہے۔ اگر وہ مختلف ہوتے ہیں، تو ٹروجن پیکٹ کو گرا دیتا ہے۔
اضافی ڈیٹا میں مختلف اشیاء شامل ہو سکتی ہیں، بشمول ایک PE فائل، فائل سسٹم میں تلاش کی جانے والی فائل، یا نئے کمانڈ URLs۔
4.3.4 پینل
ہم نے دیکھا کہ RTM C&C سرورز پر ایک پینل استعمال کرتا ہے۔ ذیل میں اسکرین شاٹ:
4.4 خصوصیت کی علامت
RTM ایک عام بینکنگ ٹروجن ہے۔ یہ کوئی تعجب کی بات نہیں ہے کہ آپریٹرز متاثرہ کے نظام کے بارے میں معلومات چاہتے ہیں۔ ایک طرف، بوٹ OS کے بارے میں عمومی معلومات اکٹھا کرتا ہے۔ دوسری طرف، اس سے پتہ چلتا ہے کہ آیا سمجھوتہ کرنے والے نظام میں روسی ریموٹ بینکنگ سسٹم سے وابستہ صفات موجود ہیں۔
4.4.1. عمومی معلومات
جب ریبوٹ کے بعد میلویئر انسٹال یا لانچ کیا جاتا ہے، تو کمانڈ اینڈ کنٹرول سرور کو ایک رپورٹ بھیجی جاتی ہے جس میں عمومی معلومات شامل ہیں:
- ٹائم زون؛
- پہلے سے طے شدہ نظام کی زبان؛
- مجاز صارف کی اسناد؛
- عمل کی سالمیت کی سطح؛
- صارف نام؛
- کمپیوٹر کا نام؛
- OS ورژن؛
- اضافی نصب ماڈیولز؛
- نصب اینٹی وائرس پروگرام؛
- سمارٹ کارڈ ریڈرز کی فہرست۔
4.4.2 ریموٹ بینکنگ سسٹم
ایک عام ٹروجن ہدف ایک ریموٹ بینکنگ سسٹم ہے، اور RTM اس سے مستثنیٰ نہیں ہے۔ پروگرام کے ماڈیولز میں سے ایک TBdo کہلاتا ہے، جو مختلف کام انجام دیتا ہے، بشمول ڈسکوں کی اسکیننگ اور براؤزنگ ہسٹری۔
ڈسک کو اسکین کرکے، ٹروجن چیک کرتا ہے کہ آیا مشین پر بینکنگ سافٹ ویئر انسٹال ہے۔ ہدف کے پروگراموں کی مکمل فہرست نیچے دی گئی جدول میں ہے۔ دلچسپی کی فائل کا پتہ لگانے کے بعد، پروگرام کمانڈ سرور کو معلومات بھیجتا ہے۔ اگلی کارروائیاں کمانڈ سینٹر (C&C) الگورتھم کی طرف سے بیان کردہ منطق پر منحصر ہیں۔
RTM آپ کے براؤزر کی سرگزشت اور کھلے ٹیبز میں URL پیٹرن بھی تلاش کرتا ہے۔ اس کے علاوہ، پروگرام FindNextUrlCacheEntryA اور FindFirstUrlCacheEntryA فنکشنز کے استعمال کا جائزہ لیتا ہے، اور یو آر ایل کو درج ذیل نمونوں میں سے کسی ایک سے ملانے کے لیے ہر اندراج کو بھی چیک کرتا ہے۔
کھلے ٹیبز کا پتہ لگانے کے بعد، ٹروجن ڈائنامک ڈیٹا ایکسچینج (DDE) میکانزم کے ذریعے انٹرنیٹ ایکسپلورر یا فائر فاکس سے رابطہ کرتا ہے تاکہ یہ چیک کیا جا سکے کہ آیا ٹیب پیٹرن سے میل کھاتا ہے۔
آپ کی براؤزنگ ہسٹری اور اوپن ٹیبز کی جانچ پڑتال کے درمیان 1 سیکنڈ کے وقفے کے ساتھ WHILE لوپ (پیشگی شرط کے ساتھ ایک لوپ) میں کیا جاتا ہے۔ دیگر اعداد و شمار جن کی حقیقی وقت میں نگرانی کی جاتی ہے سیکشن 4.5 میں زیر بحث آئے گی۔
اگر کوئی نمونہ پایا جاتا ہے، تو پروگرام مندرجہ ذیل جدول کے تاروں کی فہرست کا استعمال کرتے ہوئے کمانڈ سرور کو اس کی اطلاع دیتا ہے۔
4.5 نگرانی
جب ٹروجن چل رہا ہوتا ہے، متاثرہ نظام کی خصوصیات کے بارے میں معلومات (بشمول بینکنگ سافٹ ویئر کی موجودگی کے بارے میں معلومات) کمانڈ اور کنٹرول سرور کو بھیجی جاتی ہیں۔ فنگر پرنٹنگ اس وقت ہوتی ہے جب RTM ابتدائی OS اسکین کے فوراً بعد مانیٹرنگ سسٹم چلاتا ہے۔
4.5.1 ریموٹ بینکنگ
TBdo ماڈیول بینکنگ سے متعلقہ عمل کی نگرانی کے لیے بھی ذمہ دار ہے۔ یہ ابتدائی اسکین کے دوران فائر فاکس اور انٹرنیٹ ایکسپلورر میں ٹیبز کو چیک کرنے کے لیے ڈائنامک ڈیٹا ایکسچینج کا استعمال کرتا ہے۔ ایک اور TShell ماڈیول کمانڈ ونڈوز (انٹرنیٹ ایکسپلورر یا فائل ایکسپلورر) کی نگرانی کے لیے استعمال کیا جاتا ہے۔
ماڈیول ونڈوز کی نگرانی کے لیے COM انٹرفیس IShellWindows، iWebBrowser، DWebBrowserEvents2 اور IConnectionPointContainer کا استعمال کرتا ہے۔ جب کوئی صارف کسی نئے ویب صفحہ پر جاتا ہے تو میلویئر اسے نوٹ کرتا ہے۔ اس کے بعد یہ صفحہ کے یو آر ایل کا مندرجہ بالا نمونوں سے موازنہ کرتا ہے۔ میچ کا پتہ لگانے کے بعد، ٹروجن 5 سیکنڈ کے وقفے کے ساتھ لگاتار چھ اسکرین شاٹس لیتا ہے اور انہیں C&C کمانڈ سرور کو بھیجتا ہے۔ یہ پروگرام بینکنگ سافٹ ویئر سے متعلق کچھ ونڈو کے ناموں کو بھی چیک کرتا ہے - مکمل فہرست ذیل میں ہے:
4.5.2 سمارٹ کارڈ
RTM آپ کو متاثرہ کمپیوٹرز سے منسلک سمارٹ کارڈ ریڈرز کی نگرانی کرنے کی اجازت دیتا ہے۔ یہ آلات کچھ ممالک میں ادائیگی کے آرڈرز کو ملانے کے لیے استعمال کیے جاتے ہیں۔ اگر اس قسم کا آلہ کمپیوٹر سے منسلک ہے، تو یہ ٹروجن کو اشارہ دے سکتا ہے کہ مشین بینکنگ لین دین کے لیے استعمال ہو رہی ہے۔
دوسرے بینکنگ ٹروجنز کے برعکس، RTM ایسے سمارٹ کارڈز کے ساتھ تعامل نہیں کر سکتا۔ شاید یہ فعالیت ایک اضافی ماڈیول میں شامل ہے جسے ہم نے ابھی تک نہیں دیکھا۔
4.5.3 کیلاگر
متاثرہ پی سی کی نگرانی کا ایک اہم حصہ کی اسٹروک کیپچر کرنا ہے۔ ایسا لگتا ہے کہ آر ٹی ایم ڈویلپرز کے پاس کوئی معلومات غائب نہیں ہیں، کیونکہ وہ نہ صرف باقاعدہ کیز بلکہ ورچوئل کی بورڈ اور کلپ بورڈ کی بھی نگرانی کرتے ہیں۔
ایسا کرنے کے لیے، SetWindowsHookExA فنکشن استعمال کریں۔ حملہ آور پروگرام کے نام اور تاریخ کے ساتھ، دبائی گئی چابیاں یا ورچوئل کی بورڈ سے متعلقہ کیز کو لاگ ان کرتے ہیں۔ بفر پھر C&C کمانڈ سرور کو بھیجا جاتا ہے۔
SetClipboardViewer فنکشن کلپ بورڈ کو روکنے کے لیے استعمال کیا جاتا ہے۔ جب ڈیٹا ٹیکسٹ ہوتا ہے تو ہیکرز کلپ بورڈ کے مواد کو لاگ ان کرتے ہیں۔ بفر کو سرور پر بھیجنے سے پہلے نام اور تاریخ بھی لاگ ان ہوتی ہے۔
4.5.4 اسکرین شاٹس
ایک اور RTM فنکشن اسکرین شاٹ انٹرسیپشن ہے۔ یہ خصوصیت اس وقت لاگو ہوتی ہے جب ونڈو مانیٹرنگ ماڈیول دلچسپی کی سائٹ یا بینکنگ سافٹ ویئر کا پتہ لگاتا ہے۔ گرافک امیجز کی لائبریری کا استعمال کرتے ہوئے اسکرین شاٹس لیے جاتے ہیں اور کمانڈ سرور پر منتقل کیے جاتے ہیں۔
4.6 ان انسٹال کرنا
C&C سرور میلویئر کو چلنے سے روک سکتا ہے اور آپ کے کمپیوٹر کو صاف کر سکتا ہے۔ کمانڈ آپ کو آر ٹی ایم کے چلنے کے دوران تخلیق کردہ فائلوں اور رجسٹری اندراجات کو صاف کرنے کی اجازت دیتی ہے۔ پھر ڈی ایل ایل کو میلویئر اور ون لاگون فائل کو ہٹانے کے لیے استعمال کیا جاتا ہے، جس کے بعد کمانڈ کمپیوٹر کو بند کر دیتی ہے۔ جیسا کہ نیچے دی گئی تصویر میں دکھایا گیا ہے، ڈی ایل ایل کو ڈیولپرز نے erase.dll کا استعمال کرتے ہوئے ہٹا دیا ہے۔
سرور ٹروجن کو ایک تباہ کن ان انسٹال لاک کمانڈ بھیج سکتا ہے۔ اس صورت میں، اگر آپ کے پاس منتظم کے حقوق ہیں، تو RTM ہارڈ ڈرائیو پر MBR بوٹ سیکٹر کو حذف کر دے گا۔ اگر یہ ناکام ہو جاتا ہے تو، ٹروجن MBR بوٹ سیکٹر کو بے ترتیب سیکٹر میں منتقل کرنے کی کوشش کرے گا - پھر کمپیوٹر بند ہونے کے بعد OS کو بوٹ نہیں کر سکے گا۔ یہ OS کی مکمل دوبارہ تنصیب کا باعث بن سکتا ہے، جس کا مطلب ہے ثبوت کی تباہی۔
منتظم کے استحقاق کے بغیر، میلویئر بنیادی RTM DLL میں انکوڈ شدہ .EXE لکھتا ہے۔ ایگزیکیوٹیبل کمپیوٹر کو بند کرنے کے لیے درکار کوڈ پر عملدرآمد کرتا ہے اور ماڈیول کو HKCUCurrentVersionRun رجسٹری کلید میں رجسٹر کرتا ہے۔ جب بھی صارف سیشن شروع کرتا ہے، کمپیوٹر فوراً بند ہو جاتا ہے۔
4.7 کنفیگریشن فائل
پہلے سے طے شدہ طور پر، RTM میں تقریباً کوئی کنفیگریشن فائل نہیں ہوتی، لیکن کمانڈ اینڈ کنٹرول سرور کنفیگریشن ویلیوز بھیج سکتا ہے جو رجسٹری میں محفوظ ہوں گی اور پروگرام کے ذریعے استعمال ہوں گی۔ کنفیگریشن کیز کی فہرست درج ذیل جدول میں پیش کی گئی ہے۔
کنفیگریشن کو سافٹ ویئر [Pseudo-random string] رجسٹری کلید میں محفوظ کیا جاتا ہے۔ ہر قدر پچھلے جدول میں پیش کی گئی قطاروں میں سے ایک سے مساوی ہے۔ اقدار اور ڈیٹا کو RTM میں RC4 الگورتھم کا استعمال کرتے ہوئے انکوڈ کیا جاتا ہے۔
ڈیٹا کا ڈھانچہ نیٹ ورک یا سٹرنگز جیسا ہوتا ہے۔ انکوڈ شدہ ڈیٹا کے شروع میں ایک چار بائٹ XOR کلید شامل کی جاتی ہے۔ ترتیب کی قدروں کے لیے، XOR کلید مختلف ہوتی ہے اور قدر کے سائز پر منحصر ہوتی ہے۔ اس کا حساب اس طرح لگایا جا سکتا ہے:
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)
4.8. دیگر افعال
اگلا، آئیے دوسرے فنکشنز کو دیکھتے ہیں جو RTM سپورٹ کرتا ہے۔
4.8.1 اضافی ماڈیولز
ٹروجن میں اضافی ماڈیولز شامل ہیں، جو کہ DLL فائلیں ہیں۔ C&C کمانڈ سرور سے بھیجے گئے ماڈیولز کو بیرونی پروگراموں کے طور پر عمل میں لایا جا سکتا ہے، RAM میں جھلکتا ہے اور نئے تھریڈز میں لانچ کیا جا سکتا ہے۔ اسٹوریج کے لیے، ماڈیولز کو .dtt فائلوں میں محفوظ کیا جاتا ہے اور نیٹ ورک کمیونیکیشنز کے لیے استعمال ہونے والی اسی کلید کے ساتھ RC4 الگورتھم کا استعمال کرتے ہوئے انکوڈ کیا جاتا ہے۔
اب تک ہم نے VNC ماڈیول (8966319882494077C21F66A8354E2CBCA0370464) کی تنصیب کا مشاہدہ کیا ہے، براؤزر ڈیٹا نکالنے کا ماڈیول (03DE8622BE6B2F75A364A275995C3411626_module) 4E9F1EFC2FBA1 B562BE1D69B6E58CFAB)۔
VNC ماڈیول کو لوڈ کرنے کے لیے، C&C سرور پورٹ 44443 پر ایک مخصوص IP ایڈریس پر VNC سرور سے کنکشن کی درخواست کرنے کے لیے ایک کمانڈ جاری کرتا ہے۔ پھر یہ ملاحظہ کیے گئے URLs کی مکمل فہرست C&C کمانڈ سرور کو بھیجتا ہے۔
دریافت کردہ آخری ماڈیول کو 1c_2_kl کہا جاتا ہے۔ یہ 1C انٹرپرائز سافٹ ویئر پیکج کے ساتھ تعامل کر سکتا ہے۔ ماڈیول میں دو حصے شامل ہیں: اہم حصہ - DLL اور دو ایجنٹس (32 اور 64 بٹ)، جو WH_CBT کے پابند ہونے کے ساتھ ہر عمل میں داخل کیے جائیں گے۔ 1C عمل میں متعارف کرائے جانے کے بعد، ماڈیول CreateFile اور WriteFile فنکشنز کو پابند کرتا ہے۔ جب بھی CreateFile باؤنڈ فنکشن کو کال کیا جاتا ہے، ماڈیول فائل پاتھ 1c_to_kl.txt کو میموری میں اسٹور کرتا ہے۔ WriteFile کال کو روکنے کے بعد، یہ WriteFile فنکشن کو کال کرتا ہے اور فائل پاتھ 1c_to_kl.txt کو مین DLL ماڈیول کو بھیجتا ہے، اسے تیار کردہ Windows WM_COPYDATA پیغام پاس کرتا ہے۔
اہم DLL ماڈیول ادائیگی کے آرڈرز کا تعین کرنے کے لیے فائل کو کھولتا اور پارس کرتا ہے۔ یہ فائل میں موجود رقم اور ٹرانزیکشن نمبر کو پہچانتا ہے۔ یہ معلومات کمانڈ سرور کو بھیجی جاتی ہے۔ ہمیں یقین ہے کہ یہ ماڈیول فی الحال ترقی کے مراحل میں ہے کیونکہ اس میں ایک ڈیبگ پیغام ہے اور یہ خود بخود 1c_to_kl.txt میں ترمیم نہیں کر سکتا۔
4.8.2 استحقاق میں اضافہ
RTM غلط غلطی کے پیغامات دکھا کر استحقاق کو بڑھانے کی کوشش کر سکتا ہے۔ میلویئر رجسٹری چیک کی نقل کرتا ہے (نیچے تصویر دیکھیں) یا حقیقی رجسٹری ایڈیٹر آئیکن استعمال کرتا ہے۔ براہ کرم نوٹ کریں کہ غلط املا انتظار کریں - کیا ہے۔ اسکیننگ کے چند سیکنڈ کے بعد، پروگرام غلط غلطی کا پیغام دکھاتا ہے۔
گرامر کی غلطیوں کے باوجود غلط پیغام عام صارف کو آسانی سے دھوکہ دے گا۔ اگر صارف دو لنکس میں سے کسی ایک پر کلک کرتا ہے، تو RTM سسٹم میں اپنے مراعات کو بڑھانے کی کوشش کرے گا۔
ریکوری کے دو اختیارات میں سے ایک کو منتخب کرنے کے بعد، ٹروجن ایڈمنسٹریٹر کی مراعات کے ساتھ ShellExecute فنکشن میں runas آپشن کا استعمال کرتے ہوئے DLL لانچ کرتا ہے۔ صارف کو بلندی کے لیے ایک حقیقی ونڈوز پرامپٹ نظر آئے گا (نیچے تصویر دیکھیں)۔ اگر صارف ضروری اجازت دیتا ہے، تو ٹروجن ایڈمنسٹریٹر کی مراعات کے ساتھ چلے گا۔
سسٹم پر نصب ڈیفالٹ زبان پر منحصر ہے، ٹروجن روسی یا انگریزی میں غلطی کے پیغامات دکھاتا ہے۔
4.8.3 سرٹیفیکیٹ
RTM ونڈوز سٹور میں سرٹیفکیٹ شامل کر سکتا ہے اور csrss.exe ڈائیلاگ باکس میں خود بخود "ہاں" بٹن پر کلک کر کے اضافے کے قابل اعتماد ہونے کی تصدیق کر سکتا ہے۔ یہ رویہ نیا نہیں ہے؛ مثال کے طور پر، بینکنگ Trojan Retefe بھی آزادانہ طور پر نئے سرٹیفکیٹ کی تنصیب کی تصدیق کرتا ہے۔
4.8.4 ریورس کنکشن
RTM مصنفین نے بیک کنیکٹ TCP سرنگ بھی بنائی۔ ہم نے ابھی تک اس فیچر کو استعمال میں نہیں دیکھا ہے، لیکن یہ متاثرہ پی سی کو دور سے مانیٹر کرنے کے لیے ڈیزائن کیا گیا ہے۔
4.8.5 میزبان فائل مینجمنٹ
C&C سرور ونڈوز ہوسٹ فائل میں ترمیم کرنے کے لیے ٹروجن کو کمانڈ بھیج سکتا ہے۔ میزبان فائل کو اپنی مرضی کے مطابق DNS قراردادیں بنانے کے لیے استعمال کیا جاتا ہے۔
4.8.6 فائل تلاش کریں اور بھیجیں۔
سرور متاثرہ سسٹم پر فائل تلاش کرنے اور ڈاؤن لوڈ کرنے کی درخواست کر سکتا ہے۔ مثال کے طور پر، تحقیق کے دوران ہمیں فائل 1c_to_kl.txt کے لیے ایک درخواست موصول ہوئی۔ جیسا کہ پہلے بیان کیا گیا ہے، یہ فائل 1C: انٹرپرائز 8 اکاؤنٹنگ سسٹم کے ذریعے تیار کی گئی ہے۔
4.8.7. اپ ڈیٹ کریں۔
آخر میں، RTM مصنفین موجودہ ورژن کو تبدیل کرنے کے لیے ایک نیا DLL جمع کر کے سافٹ ویئر کو اپ ڈیٹ کر سکتے ہیں۔
5. نتیجہ
RTM کی تحقیق سے پتہ چلتا ہے کہ روسی بینکنگ سسٹم اب بھی سائبر حملہ آوروں کو اپنی طرف متوجہ کرتا ہے۔ بوہٹراپ، کارکو اور کاربناک جیسے گروپ روس میں مالیاتی اداروں اور ان کے گاہکوں سے کامیابی سے رقم چوری کرتے ہیں۔ RTM اس صنعت میں ایک نیا کھلاڑی ہے۔
ESET ٹیلی میٹری کے مطابق، نقصان دہ RTM ٹولز کم از کم 2015 کے آخر سے استعمال ہو رہے ہیں۔ اس پروگرام میں جاسوسی کی صلاحیتوں کی مکمل رینج ہے، بشمول سمارٹ کارڈز کو پڑھنا، کی اسٹروکس کو روکنا اور بینکنگ لین دین کی نگرانی کرنا، نیز 1C: Enterprise 8 ٹرانسپورٹ فائلوں کو تلاش کرنا۔
ایک وکندریقرت، غیر سینسر شدہ .bit ٹاپ لیول ڈومین کا استعمال انتہائی لچکدار انفراسٹرکچر کو یقینی بناتا ہے۔
ماخذ: www.habr.com