Rossiya kompaniyalaridan mablag'larni o'g'irlashga ixtisoslashgan bir qancha kiberguruhlar ma'lum. Biz nishon tarmog'iga kirish imkonini beruvchi xavfsizlik bo'shliqlari yordamida hujumlarni ko'rdik. Kirish imkoniyatiga ega bo'lgach, tajovuzkorlar tashkilotning tarmoq tuzilishini o'rganadilar va mablag'larni o'g'irlash uchun o'zlarining vositalarini qo'llaydilar. Ushbu tendentsiyaning klassik namunasi - Buhtrap, Cobalt va Corkow xakerlik guruhlari.
Ushbu hisobot e'tibor qaratadigan RTM guruhi ushbu tendentsiyaning bir qismidir. Bu Delphi-da yozilgan maxsus ishlab chiqilgan zararli dasturlardan foydalanadi, biz keyingi bo'limlarda batafsilroq ko'rib chiqamiz. ESET telemetriya tizimida ushbu vositalarning birinchi izlari 2015-yil oxirida topilgan. Jamoa turli xil yangi modullarni kerak bo'lganda zararlangan tizimlarga yuklaydi. Hujumlar Rossiya va ayrim qo‘shni mamlakatlardagi masofaviy bank tizimlari foydalanuvchilariga qaratilgan.
1. Maqsadlar
RTM kampaniyasi korporativ foydalanuvchilarga qaratilgan – bu tajovuzkorlar buzilgan tizimda aniqlashga urinayotgan jarayonlardan yaqqol ko‘rinadi. Asosiy e'tibor masofaviy bank tizimlari bilan ishlash uchun buxgalteriya dasturlariga qaratilgan.
RTM ni qiziqtiradigan jarayonlar ro'yxati Buhtrap guruhining tegishli ro'yxatiga o'xshaydi, ammo guruhlar turli infektsiya vektorlariga ega. Agar Buhtrap soxta sahifalarni tez-tez ishlatgan bo'lsa, RTM disk orqali yuklab olish hujumlaridan (brauzer yoki uning komponentlariga hujumlar) va elektron pochta orqali spam yuborishdan foydalangan. Telemetriya maʼlumotlariga koʻra, tahdid Rossiya va unga yaqin joylashgan bir qancha davlatlarga (Ukraina, Qozogʻiston, Chexiya, Germaniya) qaratilgan. Biroq, ommaviy tarqatish mexanizmlaridan foydalanish tufayli zararli dasturlarni maqsadli hududlardan tashqarida aniqlash ajablanarli emas.
Zararli dasturlarni aniqlashning umumiy soni nisbatan kichik. Boshqa tomondan, RTM kampaniyasi murakkab dasturlardan foydalanadi, bu esa hujumlarning yuqori maqsadli ekanligini ko'rsatadi.
Biz RTM tomonidan foydalaniladigan bir nechta hiyla-nayrang hujjatlarni, jumladan, mavjud bo'lmagan shartnomalar, schyot-fakturalar yoki soliq hisobi hujjatlarini topdik. Hujumga mo'ljallangan dasturiy ta'minot turi bilan birgalikda jozibalarning tabiati, tajovuzkorlar buxgalteriya bo'limi orqali Rossiya kompaniyalari tarmoqlariga "kirish" ekanligini ko'rsatadi. Guruh xuddi shu sxema bo'yicha harakat qildi 2014-2015 yillarda
Tadqiqot davomida biz bir nechta C&C serverlari bilan o'zaro aloqada bo'ldik. Biz buyruqlarning to'liq ro'yxatini keyingi bo'limlarda sanab o'tamiz, ammo hozircha shuni aytishimiz mumkinki, mijoz ma'lumotlarni keyloggerdan to'g'ridan-to'g'ri hujum qiluvchi serverga uzatadi va undan keyin qo'shimcha buyruqlar olinadi.
Biroq, siz shunchaki buyruq va boshqaruv serveriga ulanishingiz va sizni qiziqtirgan barcha ma'lumotlarni to'plashingiz mumkin bo'lgan kunlar o'tib ketdi. Biz serverdan tegishli buyruqlarni olish uchun real jurnal fayllarini qayta yaratdik.
Ulardan birinchisi botga 1c_to_kl.txt faylini o'tkazish so'rovi - 1C: Enterprise 8 dasturining transport fayli, uning ko'rinishi RTM tomonidan faol nazorat qilinadi. 1C matn fayliga chiquvchi to'lovlar haqidagi ma'lumotlarni yuklash orqali masofaviy bank tizimlari bilan o'zaro ishlaydi. Keyinchalik, fayl to'lov topshirig'ini avtomatlashtirish va bajarish uchun masofaviy bank tizimiga yuboriladi.
Faylda to'lov tafsilotlari mavjud. Agar tajovuzkorlar chiquvchi to'lovlar haqidagi ma'lumotlarni o'zgartirsa, pul o'tkazmasi tajovuzkorlarning hisoblariga noto'g'ri ma'lumotlar yordamida yuboriladi.
Ushbu fayllarni buyruq va boshqaruv serveridan so'raganidan taxminan bir oy o'tgach, biz yangi plagin, 1c_2_kl.dll buzilgan tizimga yuklanganini kuzatdik. Modul (DLL) buxgalteriya dasturlari jarayonlariga kirib, yuklab olingan faylni avtomatik ravishda tahlil qilish uchun mo'ljallangan. Biz buni keyingi bo'limlarda batafsil bayon qilamiz.
Qizig'i shundaki, Rossiya Bankining FinCERT 2016 yil oxirida 1c_to_kl.txt yuklash fayllaridan foydalangan holda kiberjinoyatchilar haqida ogohlantiruvchi byulleten chiqardi. 1C ishlab chiquvchilari ham ushbu sxema haqida bilishadi, ular allaqachon rasmiy bayonot berishgan va ehtiyot choralarini sanab o'tishgan.
Boshqa modullar ham buyruq serveridan, xususan VNC (uning 32 va 64 bitli versiyalari) dan yuklangan. U ilgari Dridex troyan hujumlarida ishlatilgan VNC moduliga o'xshaydi. Ushbu modul zararlangan kompyuterga masofadan ulanish va tizimni batafsil o'rganish uchun ishlatiladi. Keyinchalik, tajovuzkorlar tarmoq bo'ylab harakatlanishga, foydalanuvchi parollarini chiqarib olishga, ma'lumot to'plashga va zararli dasturlarning doimiy mavjudligini ta'minlashga harakat qilishadi.
2. Infektsiya vektorlari
Quyidagi rasmda kampaniyaning o'rganish davrida aniqlangan infektsiya vektorlari ko'rsatilgan. Guruh keng ko'lamli vektorlardan foydalanadi, lekin asosan yuklab olish hujumlari va spamlar. Ushbu vositalar maqsadli hujumlar uchun qulaydir, chunki birinchi holatda tajovuzkorlar potentsial qurbonlar tashrif buyurgan saytlarni tanlashlari mumkin, ikkinchidan esa ular kerakli kompaniya xodimlariga to'g'ridan-to'g'ri biriktirilgan elektron pochta xabarlarini yuborishlari mumkin.
Zararli dastur bir nechta kanallar, jumladan, RIG va Sundown ekspluatatsiya to'plamlari yoki spam jo'natmalari orqali tarqatiladi, bu tajovuzkorlar va ushbu xizmatlarni taklif qiluvchi boshqa kiberhujumchilar o'rtasidagi aloqalarni ko'rsatadi.
2.1. RTM va Buhtrap qanday bog'liq?
RTM kampaniyasi Buhtrapga juda o'xshaydi. Tabiiy savol tug'iladi: ular bir-biri bilan qanday bog'liq?
2016-yil sentabr oyida RTM namunasi Buhtrap yuklovchisi yordamida tarqatilayotganini kuzatdik. Bundan tashqari, biz Buhtrap va RTM da ishlatiladigan ikkita raqamli sertifikatni topdik.
Birinchisi, DNISTER-M kompaniyasiga berilgan, ikkinchi Delphi shaklini raqamli imzolash uchun ishlatilgan (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) va Buhtrap DLL (SHA-1: 1E2642DC454B) D2).
Bit-Tredj-ga chiqarilgan ikkinchisi Buhtrap yuklagichlarini imzolash uchun ishlatilgan (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 va B74F71560E48488D2153AE2FB51207E0), shuningdek R206FB2AXNUMX komponentlarini yuklab olish va o'rnatish.
RTM operatorlari boshqa zararli dasturlar oilalari uchun umumiy bo'lgan sertifikatlardan foydalanadilar, ammo ularda noyob sertifikat ham mavjud. ESET telemetriyasiga ko'ra, u Kit-SD uchun chiqarilgan va faqat ba'zi RTM zararli dasturlarini imzolash uchun ishlatilgan (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM Buhtrap bilan bir xil yuklagichdan foydalanadi, RTM komponentlari Buhtrap infratuzilmasidan yuklanadi, shuning uchun guruhlar o'xshash tarmoq ko'rsatkichlariga ega. Biroq, bizning hisob-kitoblarga ko'ra, RTM va Buhtrap turli guruhlardir, hech bo'lmaganda, RTM turli yo'llar bilan taqsimlanganligi sababli (faqat "xorijiy" yuklab oluvchi yordamida emas).
Shunga qaramay, xakerlik guruhlari xuddi shunday ishlash tamoyillaridan foydalanadilar. Ular buxgalteriya dasturiy ta'minotidan foydalangan holda, tizim ma'lumotlarini to'plash, smart-kartani o'quvchilarni qidirish va jabrlanuvchilarga josuslik qilish uchun bir qator zararli vositalarni qo'llash orqali korxonalarni nishonga oladi.
3. Evolyutsiya
Ushbu bo'limda biz tadqiqot davomida topilgan zararli dasturlarning turli versiyalarini ko'rib chiqamiz.
3.1. Versiyalash
RTM konfiguratsiya ma'lumotlarini ro'yxatga olish bo'limida saqlaydi, eng qiziqarli qismi botnet-prefiksdir. Biz o'rgangan namunalarda ko'rgan barcha qiymatlar ro'yxati quyidagi jadvalda keltirilgan.
Ehtimol, qiymatlar zararli dastur versiyalarini yozish uchun ishlatilishi mumkin. Biroq, biz bit2 va bit3, 0.1.6.4 va 0.1.6.6 kabi versiyalar o'rtasida katta farqni sezmadik. Bundan tashqari, prefikslardan biri boshidan beri mavjud bo'lib, quyida ko'rsatilganidek, odatdagi C&C domenidan .bit domeniga aylandi.
3.2. Jadval
Telemetriya ma'lumotlaridan foydalanib, biz namunalar paydo bo'lishining grafigini yaratdik.
4. Texnik tahlil
Ushbu bo'limda biz RTM bank troyanining asosiy funktsiyalarini, jumladan qarshilik mexanizmlarini, RC4 algoritmining o'z versiyasini, tarmoq protokolini, josuslik funksiyasini va boshqa ba'zi xususiyatlarni tasvirlab beramiz. Xususan, biz AA1FA0CE4584768E9D16D67C8E529233FF99BBF1 va 0BC48EC113BA8B20B8CD80D5DA4A92051D19B SHA-1032 namunalariga e'tibor qaratamiz.
4.1. O'rnatish va saqlash
4.1.1. Amalga oshirish
RTM yadrosi DLL bo'lib, kutubxona diskga .EXE yordamida yuklanadi. Bajariladigan fayl odatda paketlanadi va DLL kodini o'z ichiga oladi. Ishga tushgandan so'ng, u DLL-ni chiqaradi va uni quyidagi buyruq yordamida ishga tushiradi:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. DLL
Asosiy DLL har doim %PROGRAMDATA%Winlogon papkasida winlogon.lnk sifatida diskka yuklanadi. Ushbu fayl kengaytmasi odatda yorliq bilan bog'lanadi, lekin fayl aslida Delphida yozilgan DLL bo'lib, quyidagi rasmda ko'rsatilganidek, ishlab chiquvchi tomonidan core.dll deb nomlangan.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Ishga tushgandan so'ng, troyan o'zining qarshilik mexanizmini faollashtiradi. Bu jabrlanuvchining tizimdagi imtiyozlariga qarab ikki xil usulda amalga oshirilishi mumkin. Agar sizda administrator huquqlari bo'lsa, troyan HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun registriga Windows Update yozuvini qo'shadi. Windows Update tarkibidagi buyruqlar foydalanuvchi seansining boshida ishlaydi.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject xosti
Troyan, shuningdek, Windows Task Scheduler-ga vazifa qo'shishga harakat qiladi. Vazifa yuqoridagi kabi parametrlar bilan winlogon.lnk DLL-ni ishga tushiradi. Oddiy foydalanuvchi huquqlari troyanga HKCUSoftwareMicrosoftWindowsCurrentVersionRun registriga bir xil ma'lumotlarga ega Windows Update yozuvini qo'shish imkonini beradi:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. O'zgartirilgan RC4 algoritmi
Ma'lum bo'lgan kamchiliklariga qaramay, RC4 algoritmi zararli dastur mualliflari tomonidan muntazam ravishda qo'llaniladi. Biroq, RTM yaratuvchilari virus tahlilchilarining vazifasini qiyinlashtirish uchun uni biroz o'zgartirdilar. RC4 ning o'zgartirilgan versiyasi strings, tarmoq ma'lumotlari, konfiguratsiya va modullarni shifrlash uchun zararli RTM vositalarida keng qo'llaniladi.
4.2.1. Farqlar
Asl RC4 algoritmi ikki bosqichni o'z ichiga oladi: s-blokni ishga tushirish (aka KSA - Key-Scheduling Algoritm) va psevdo-tasodifiy ketma-ketlikni yaratish (PRGA - Pseudo-Random Generation Algorithm). Birinchi bosqich kalit yordamida s-boxni ishga tushirishni o'z ichiga oladi va ikkinchi bosqichda shifrlash uchun s-box yordamida manba matni qayta ishlanadi.
RTM mualliflari s-boxni ishga tushirish va shifrlash o'rtasida oraliq bosqichni qo'shdilar. Qo'shimcha kalit o'zgaruvchan bo'lib, shifrlangan va shifrlangan ma'lumotlar bilan bir vaqtda o'rnatiladi. Ushbu qo'shimcha qadamni bajaradigan funktsiya quyidagi rasmda ko'rsatilgan.
4.2.2. String shifrlash
Bir qarashda, asosiy DLL-da bir nechta o'qilishi mumkin bo'lgan qatorlar mavjud. Qolganlari yuqorida tavsiflangan algoritm yordamida shifrlangan, uning tuzilishi quyidagi rasmda ko'rsatilgan. Biz tahlil qilingan namunalarda string shifrlash uchun 25 dan ortiq turli RC4 kalitlarini topdik. XOR kaliti har bir qator uchun har xil. Raqamli maydonni ajratuvchi satrlarning qiymati har doim 0xFFFFFFFF.
Amalga oshirishning boshida RTM satrlarni global o'zgaruvchiga aylantiradi. Agar satrga kirish kerak bo'lsa, troyan shifrlangan satrlarning manzilini asosiy manzil va ofset asosida dinamik ravishda hisoblab chiqadi.
Satrlar zararli dasturning funksiyalari haqida qiziqarli ma'lumotlarni o'z ichiga oladi. Ba'zi misol qatorlari 6.8-bo'limda keltirilgan.
4.3. Tarmoq
RTM zararli dasturining C&C serveri bilan aloqa qilish usuli versiyadan versiyaga farq qiladi. Birinchi o'zgartirishlar (2015 yil oktyabr - 2016 yil aprel) buyruqlar ro'yxatini yangilash uchun livejournal.com saytidagi RSS tasmasi bilan birga an'anaviy domen nomlaridan foydalangan.
2016-yil aprel oyidan boshlab biz telemetriya maʼlumotlarida .bit domenlariga oʻtishni koʻrdik. Buni domenni ro'yxatdan o'tkazish sanasi tasdiqlaydi - birinchi RTM domeni fde05d0573da.bit 13 yil 2016 martda ro'yxatga olingan.
Kampaniyani kuzatishda biz ko'rgan barcha URL manzillar umumiy yo'lga ega edi: /r/z.php. Bu juda g'ayrioddiy va u tarmoq oqimlarida RTM so'rovlarini aniqlashga yordam beradi.
4.3.1. Buyruqlar va boshqarish uchun kanal
Eski misollar bu kanaldan buyruq va boshqaruv serverlari roʻyxatini yangilash uchun foydalangan. Xosting livejournal.com saytida joylashgan bo'lib, hisobotni yozish paytida u hxxp://f72bba81c921(.)livejournal(.)com/data/rss manzilida qoldi.
Livejournal - bu bloglar platformasini ta'minlovchi rus-amerika kompaniyasi. RTM operatorlari kodlangan buyruqlar bilan maqola joylashtirgan LJ blogini yaratadilar - skrinshotga qarang.
Buyruqlar va nazorat chiziqlari o'zgartirilgan RC4 algoritmi yordamida kodlangan (4.2-bo'lim). Kanalning joriy versiyasi (2016 yil noyabr) quyidagi buyruq va boshqaruv server manzillarini o'z ichiga oladi:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. .bit domenlari
Eng so'nggi RTM namunalarida mualliflar .bit TLD yuqori darajali domenidan foydalangan holda C&C domenlariga ulanadilar. U ICANN (Domen nomi va Internet korporatsiyasi) yuqori darajadagi domenlar ro'yxatida emas. Buning o'rniga u Bitcoin texnologiyasi asosida qurilgan Namecoin tizimidan foydalanadi. Zararli dasturiy ta'minot mualliflari o'z domenlari uchun .bit TLD dan tez-tez foydalanmaydilar, garchi bunday foydalanish misoli avvalroq Necurs botnet versiyasida kuzatilgan.
Bitcoindan farqli o'laroq, taqsimlangan Namecoin ma'lumotlar bazasi foydalanuvchilari ma'lumotlarni saqlash imkoniyatiga ega. Ushbu xususiyatning asosiy ilovasi .bit yuqori darajali domeni hisoblanadi. Siz tarqatilgan ma'lumotlar bazasida saqlanadigan domenlarni ro'yxatdan o'tkazishingiz mumkin. Ma'lumotlar bazasidagi tegishli yozuvlar domen tomonidan hal qilingan IP manzillarni o'z ichiga oladi. Ushbu TLD "tsenzuraga chidamli", chunki faqat ro'yxatdan o'tgan shaxs .bit domenining ruxsatini o'zgartirishi mumkin. Bu shuni anglatadiki, ushbu turdagi TLD yordamida zararli domenni to'xtatish ancha qiyin.
RTM troyan tarqatilgan Namecoin ma'lumotlar bazasini o'qish uchun zarur bo'lgan dasturiy ta'minotni o'rnatmaydi. U .bit domenlarini hal qilish uchun dns.dot-bit.org yoki OpenNic serverlari kabi markaziy DNS serverlaridan foydalanadi. Shuning uchun u DNS serverlari bilan bir xil chidamlilikka ega. Ba'zi jamoa domenlari blog postida aytib o'tilgandan keyin endi aniqlanmaganini kuzatdik.
Hackerlar uchun .bit TLD ning yana bir afzalligi - bu narx. Domenni ro'yxatdan o'tkazish uchun operatorlar atigi 0,01 NK to'lashlari kerak, bu 0,00185 dollarga to'g'ri keladi (5 yil 2016 dekabr holatiga ko'ra). Taqqoslash uchun, domain.com kamida 10 dollar turadi.
4.3.3. Protokol
Buyruqlar va boshqaruv serverlari bilan bog'lanish uchun RTM maxsus protokol yordamida formatlangan ma'lumotlarga ega HTTP POST so'rovlaridan foydalanadi. Yo'l qiymati har doim /r/z.php; Mozilla/5.0 foydalanuvchi agenti (mos keladi; MSIE 9.0; Windows NT 6.1; Trident/5.0). Serverga so'rovlarda ma'lumotlar quyidagicha formatlanadi, bunda ofset qiymatlari baytlarda ifodalanadi:
0 dan 6 gacha baytlar kodlanmagan; 6 dan boshlanadigan baytlar o'zgartirilgan RC4 algoritmi yordamida kodlangan. C&C javob paketining tuzilishi oddiyroq. Baytlar 4 dan paket hajmigacha kodlangan.
Harakat baytlarining mumkin bo'lgan qiymatlari ro'yxati quyidagi jadvalda keltirilgan:
Zararli dastur har doim shifrlangan ma'lumotlarning CRC32 ni hisoblab chiqadi va uni paketdagi mavjud narsalar bilan taqqoslaydi. Agar ular farq qilsa, troyan paketni tashlab yuboradi.
Qo'shimcha ma'lumotlar turli xil ob'ektlarni, shu jumladan PE faylini, fayl tizimida qidiriladigan faylni yoki yangi buyruq URL manzillarini o'z ichiga olishi mumkin.
4.3.4. Panel
Biz RTM C&C serverlarida paneldan foydalanishini payqadik. Quyidagi skrinshot:
4.4. Xarakterli belgi
RTM odatiy bank troyanidir. Operatorlar jabrlanuvchining tizimi haqida ma'lumot olishni xohlashlari ajablanarli emas. Bir tomondan, bot OT haqida umumiy ma'lumotlarni to'playdi. Boshqa tomondan, buzilgan tizimda Rossiyaning masofaviy bank tizimlari bilan bog'liq atributlar mavjudligini aniqlaydi.
4.4.1. Umumiy ma’lumotlar
Zararli dastur o'rnatilgan yoki qayta ishga tushirilgandan so'ng ishga tushirilganda, buyruq va boshqaruv serveriga umumiy ma'lumotlarni o'z ichiga olgan hisobot yuboriladi, jumladan:
- Vaqt zonasi;
- standart tizim tili;
- avtorizatsiya qilingan foydalanuvchi hisob ma'lumotlari;
- jarayonning yaxlitlik darajasi;
- Foydalanuvchi nomi;
- kompyuter nomi;
- OS versiyasi;
- qo'shimcha o'rnatilgan modullar;
- o'rnatilgan antivirus dasturi;
- smart-karta o'quvchilar ro'yxati.
4.4.2 Masofaviy bank tizimi
Oddiy troyan maqsadi masofaviy bank tizimidir va RTM bundan mustasno emas. Dasturning modullaridan biri TBdo deb ataladi, u turli vazifalarni, jumladan disklarni skanerlash va ko'rish tarixini bajaradi.
Diskni skanerlash orqali troyan kompyuterda bank dasturlari o'rnatilganligini tekshiradi. Maqsadli dasturlarning to'liq ro'yxati quyidagi jadvalda keltirilgan. Qiziqarli faylni aniqlagandan so'ng, dastur ma'lumotni buyruq serveriga yuboradi. Keyingi harakatlar buyruqlar markazi (C&C) algoritmlari tomonidan belgilangan mantiqqa bog'liq.
RTM shuningdek, brauzer tarixi va ochiq yorliqlardagi URL namunalarini qidiradi. Bundan tashqari, dastur FindNextUrlCacheEntryA va FindFirstUrlCacheEntryA funksiyalaridan foydalanishni tekshiradi, shuningdek, har bir yozuvni URL manzilini quyidagi naqshlardan biriga mos kelishini tekshiradi:
Ochiq yorliqlarni aniqlagandan so'ng, troyan yorliq naqshga mos kelishini tekshirish uchun Dynamic Data Exchange (DDE) mexanizmi orqali Internet Explorer yoki Firefox bilan bog'lanadi.
Ko'rib chiqish tarixi va ochiq yorliqlarni tekshirish WHILE siklida (oldingi shartga ega bo'lgan tsikl) tekshiruvlar orasida 1 soniya tanaffus bilan amalga oshiriladi. Haqiqiy vaqtda nazorat qilinadigan boshqa ma'lumotlar 4.5-bo'limda muhokama qilinadi.
Agar naqsh topilsa, dastur bu haqda buyruq serveriga quyidagi jadvaldagi satrlar ro'yxatidan foydalangan holda xabar beradi:
4.5 Monitoring
Troyan ishlayotgan vaqtda, zararlangan tizimning xarakterli xususiyatlari to'g'risidagi ma'lumotlar (shu jumladan, bank dasturlari mavjudligi haqidagi ma'lumotlar) buyruq va boshqaruv serveriga yuboriladi. Barmoq izlari RTM OS dastlabki skanerlashdan so'ng darhol monitoring tizimini birinchi marta ishga tushirganda paydo bo'ladi.
4.5.1. Masofaviy bank xizmatlari
TBdo moduli bank bilan bog'liq jarayonlarni kuzatish uchun ham javobgardir. Dastlabki skanerlash vaqtida Firefox va Internet Explorer yorliqlarini tekshirish uchun dinamik ma'lumotlar almashinuvidan foydalanadi. Boshqa TShell moduli buyruq oynalarini (Internet Explorer yoki File Explorer) kuzatish uchun ishlatiladi.
Modul oynalarni kuzatish uchun IShellWindows, iWebBrowser, DWebBrowserEvents2 va IConnectionPointContainer COM interfeyslaridan foydalanadi. Foydalanuvchi yangi veb-sahifaga kirganda, zararli dastur buni qayd qiladi. Keyin sahifaning URL manzilini yuqoridagi naqshlar bilan taqqoslaydi. Moslikni aniqlagandan so'ng, troyan 5 soniya oralig'ida ketma-ket oltita skrinshot oladi va ularni C&S buyruq serveriga yuboradi. Dastur shuningdek, bank dasturlari bilan bog'liq ba'zi oyna nomlarini tekshiradi - to'liq ro'yxat quyida keltirilgan:
4.5.2. Smart karta
RTM zararlangan kompyuterlarga ulangan smart-karta o'quvchilarini kuzatish imkonini beradi. Ushbu qurilmalar ba'zi mamlakatlarda to'lov topshiriqlarini solishtirish uchun ishlatiladi. Agar ushbu turdagi qurilma kompyuterga ulangan bo'lsa, bu troyanga mashina bank operatsiyalari uchun foydalanilayotganligini ko'rsatishi mumkin.
Boshqa bank troyanlaridan farqli o'laroq, RTM bunday smart-kartalar bilan o'zaro aloqada bo'lolmaydi. Ehtimol, bu funksiya biz hali ko'rmagan qo'shimcha modulga kiritilgan.
4.5.3. Keylogger
Infektsiyalangan kompyuterni kuzatishning muhim qismi bu tugmachalarni bosishdir. Ko'rinishidan, RTM ishlab chiquvchilari hech qanday ma'lumotni yo'qotmaganga o'xshaydi, chunki ular nafaqat oddiy tugmachalarni, balki virtual klaviatura va clipboardni ham kuzatadilar.
Buning uchun SetWindowsHookExA funksiyasidan foydalaning. Hujumchilar bosilgan tugmalarni yoki virtual klaviaturaga mos keladigan tugmalarni dasturning nomi va sanasi bilan birga qayd qiladi. Keyin bufer C&C buyruqlar serveriga yuboriladi.
Buferni ushlab turish uchun SetClipboardViewer funksiyasidan foydalaniladi. Ma'lumotlar matn bo'lganda xakerlar clipboard tarkibini qayd qiladi. Bufer serverga yuborilishidan oldin nom va sana ham qayd qilinadi.
4.5.4. Skrinshotlar
Yana bir RTM funktsiyasi skrinshotni ushlab turishdir. Bu xususiyat oyna monitoringi moduli sayt yoki bank dasturini qiziqtirganda qo'llaniladi. Skrinshotlar grafik tasvirlar kutubxonasi yordamida olinadi va buyruq serveriga uzatiladi.
4.6. Oʻchirish
C&C serveri zararli dasturlarning ishlashini to'xtatishi va kompyuteringizni tozalashi mumkin. Buyruq RTM ishlayotgan vaqtda yaratilgan fayllar va ro'yxatga olish kitobi yozuvlarini tozalash imkonini beradi. Keyin DLL zararli dastur va winlogon faylini olib tashlash uchun ishlatiladi, shundan so'ng buyruq kompyuterni o'chiradi. Quyidagi rasmda ko'rsatilganidek, DLL erase.dll yordamida ishlab chiquvchilar tomonidan o'chiriladi.
Server troyanga halokatli uninstall-lock buyrug'ini yuborishi mumkin. Bunday holda, administrator huquqlariga ega bo'lsangiz, RTM qattiq diskdagi MBR yuklash sektorini o'chiradi. Agar bu bajarilmasa, troyan MBR yuklash sektorini tasodifiy sektorga o'tkazishga harakat qiladi - keyin kompyuter o'chirilgandan keyin OTni yuklay olmaydi. Bu OTning to'liq qayta o'rnatilishiga olib kelishi mumkin, bu dalillarni yo'q qilishni anglatadi.
Administrator imtiyozlarisiz zararli dastur asosiy RTM DLL-da kodlangan .EXE faylini yozadi. Bajariladigan dastur kompyuterni o'chirish uchun zarur bo'lgan kodni bajaradi va modulni HKCUCurrentVersionRun ro'yxatga olish kitobi kalitida ro'yxatdan o'tkazadi. Har safar foydalanuvchi sessiyani boshlaganida, kompyuter darhol o'chadi.
4.7. Konfiguratsiya fayli
Odatiy bo'lib, RTM deyarli konfiguratsiya fayliga ega emas, ammo buyruq va boshqaruv serveri ro'yxatga olish kitobida saqlanadigan va dastur tomonidan ishlatiladigan konfiguratsiya qiymatlarini yuborishi mumkin. Konfiguratsiya kalitlari ro'yxati quyidagi jadvalda keltirilgan:
Konfiguratsiya Software[Pseudo-tasodifiy string] registr kalitida saqlanadi. Har bir qiymat oldingi jadvalda keltirilgan qatorlardan biriga mos keladi. Qiymatlar va ma'lumotlar RTM da RC4 algoritmi yordamida kodlangan.
Ma'lumotlar tarmoq yoki satrlar bilan bir xil tuzilishga ega. To'rt baytli XOR kaliti kodlangan ma'lumotlarning boshida qo'shiladi. Konfiguratsiya qiymatlari uchun XOR kaliti boshqacha va qiymatning o'lchamiga bog'liq. Uni quyidagicha hisoblash mumkin:
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)
4.8. Boshqa funktsiyalar
Keyinchalik, RTM qo'llab-quvvatlaydigan boshqa funktsiyalarni ko'rib chiqaylik.
4.8.1. Qo'shimcha modullar
Troyan DLL fayllari bo'lgan qo'shimcha modullarni o'z ichiga oladi. C&C buyruq serveridan yuborilgan modullar tashqi dasturlar sifatida bajarilishi, RAMda aks etishi va yangi oqimlarda ishga tushirilishi mumkin. Saqlash uchun modullar .dtt fayllarida saqlanadi va tarmoq aloqalari uchun ishlatiladigan bir xil kalit bilan RC4 algoritmi yordamida kodlanadi.
Hozirgacha biz VNC moduli (8966319882494077C21F66A8354E2CBCA0370464), brauzer ma'lumotlarini olish moduli (03DE8622BE6B2F75A364A275995C3411626C4C va modul) o'rnatilishini kuzatdik. 9EFC1FBA2 B1BE562D1B69E6CFAB).
VNC modulini yuklash uchun C&C serveri VNC serveriga 44443-portdagi ma'lum IP-manzilda ulanishni so'rab buyruq beradi. Brauzer ma'lumotlarini qidirish plagini IE ko'rib chiqish tarixini o'qiy oladigan TBrowserDataCollector-ni bajaradi. Keyin u tashrif buyurilgan URL manzillarining to'liq ro'yxatini C&C buyruq serveriga yuboradi.
Oxirgi topilgan modul 1c_2_kl deb nomlanadi. U 1C Enterprise dasturiy ta'minot to'plami bilan o'zaro aloqada bo'lishi mumkin. Modul ikkita qismni o'z ichiga oladi: asosiy qism - DLL va ikkita agent (32 va 64 bit), ular har bir jarayonga kiritilib, WH_CBT bilan bog'lanishni qayd etadi. 1C jarayoniga kiritilgan modul CreateFile va WriteFile funktsiyalarini bog'laydi. CreateFile bog'langan funksiyasi chaqirilganda modul 1c_to_kl.txt fayl yo'lini xotirada saqlaydi. WriteFile qo'ng'irog'ini to'xtatgandan so'ng, u WriteFile funksiyasini chaqiradi va 1c_to_kl.txt fayl yo'lini asosiy DLL moduliga yuboradi va unga tayyorlangan Windows WM_COPYDATA xabarini uzatadi.
Asosiy DLL moduli to'lov topshiriqlarini aniqlash uchun faylni ochadi va tahlil qiladi. U fayldagi summa va tranzaksiya raqamini taniydi. Ushbu ma'lumot buyruq serveriga yuboriladi. Ushbu modul hozirda ishlab chiqilmoqda, chunki unda disk raskadrovka xabari mavjud va 1c_to_kl.txt faylini avtomatik ravishda o‘zgartira olmaydi.
4.8.2. Imtiyozlarni oshirish
RTM noto'g'ri xato xabarlarini ko'rsatish orqali imtiyozlarni oshirishga urinishi mumkin. Zararli dastur ro'yxatga olish kitobini tekshirishni taqlid qiladi (quyidagi rasmga qarang) yoki haqiqiy ro'yxatga olish kitobi muharriri belgisidan foydalanadi. Iltimos, noto'g'ri kutishga e'tibor bering - whait. Bir necha soniya skanerlashdan so'ng, dastur noto'g'ri xato xabarini ko'rsatadi.
Noto'g'ri xabar, grammatik xatolarga qaramay, oddiy foydalanuvchini osongina aldaydi. Agar foydalanuvchi ikkita havoladan birini bossa, RTM tizimdagi imtiyozlarini oshirishga harakat qiladi.
Ikki tiklash variantidan birini tanlagandan so'ng, troyan administrator imtiyozlari bilan ShellExecute funksiyasidagi runas opsiyasidan foydalangan holda DLL-ni ishga tushiradi. Foydalanuvchi balandlik uchun haqiqiy Windows so'rovini ko'radi (quyidagi rasmga qarang). Agar foydalanuvchi kerakli ruxsatlarni bersa, troyan administrator imtiyozlari bilan ishlaydi.
Tizimda o'rnatilgan standart tilga qarab, troyan rus yoki ingliz tillarida xato xabarlarini ko'rsatadi.
4.8.3. Sertifikat
RTM Windows do'koniga sertifikatlar qo'shishi va csrss.exe muloqot oynasidagi "ha" tugmasini avtomatik ravishda bosish orqali qo'shimchaning ishonchliligini tasdiqlashi mumkin. Bu xatti-harakat yangi emas, masalan, bank troyan Retefe yangi sertifikat o'rnatilishini mustaqil ravishda tasdiqlaydi.
4.8.4. Teskari ulanish
RTM mualliflari Backconnect TCP tunnelini ham yaratdilar. Biz hali foydalanilayotgan funksiyani ko‘rmadik, lekin u zararlangan shaxsiy kompyuterlarni masofadan turib kuzatish uchun mo‘ljallangan.
4.8.5. Xost fayllarni boshqarish
C&C serveri troyanga Windows xost faylini o'zgartirish buyrug'ini yuborishi mumkin. Xost fayli maxsus DNS ruxsatlarini yaratish uchun ishlatiladi.
4.8.6. Faylni toping va yuboring
Server virusli tizimda faylni qidirish va yuklab olishni so'rashi mumkin. Misol uchun, tadqiqot davomida biz 1c_to_kl.txt fayliga so'rov oldik. Yuqorida aytib o'tilganidek, ushbu fayl 1C: Enterprise 8 buxgalteriya tizimi tomonidan yaratilgan.
4.8.7. Yangilash
Va nihoyat, RTM mualliflari joriy versiyani almashtirish uchun yangi DLL yuborish orqali dasturiy ta'minotni yangilashlari mumkin.
5. Xulosa
RTM tadqiqoti shuni ko‘rsatadiki, Rossiya bank tizimi hali ham kiberhujumchilarni o‘ziga tortadi. Buhtrap, Corkow va Carbanak kabi guruhlar Rossiyadagi moliya institutlari va ularning mijozlaridan muvaffaqiyatli pul o'g'irlashadi. RTM - bu sanoatning yangi o'yinchisi.
ESET telemetriyasiga ko‘ra, zararli RTM vositalari kamida 2015-yil oxiridan beri qo‘llanilmoqda. Dastur josuslik imkoniyatlarining to'liq to'plamiga ega, jumladan, smart-kartalarni o'qish, tugmachalarni bosish va bank operatsiyalarini kuzatish, shuningdek, 1C: Enterprise 8 transport fayllarini qidirish.
Markazlashtirilmagan, tsenzurasiz .bit yuqori darajadagi domendan foydalanish yuqori darajadagi chidamli infratuzilmani ta'minlaydi.
Manba: www.habr.com