Có một số nhóm mạng nổi tiếng chuyên đánh cắp tiền từ các công ty Nga. Chúng tôi đã thấy các cuộc tấn công sử dụng các lỗ hổng bảo mật cho phép truy cập vào mạng của mục tiêu. Sau khi có được quyền truy cập, kẻ tấn công sẽ nghiên cứu cấu trúc mạng của tổ chức và triển khai các công cụ của riêng chúng để đánh cắp tiền. Một ví dụ điển hình cho xu hướng này là nhóm hacker Buhtrap, Cobalt và Corkow.
Nhóm RTM mà báo cáo này tập trung vào là một phần của xu hướng này. Nó sử dụng phần mềm độc hại được thiết kế đặc biệt được viết bằng Delphi, chúng ta sẽ xem xét chi tiết hơn trong các phần sau. Dấu vết đầu tiên của những công cụ này trong hệ thống đo từ xa ESET được phát hiện vào cuối năm 2015. Nhóm tải nhiều mô-đun mới khác nhau vào hệ thống bị nhiễm nếu cần. Các cuộc tấn công nhằm vào người dùng hệ thống ngân hàng từ xa ở Nga và một số nước lân cận.
1. Mục tiêu
Chiến dịch RTM nhắm đến người dùng doanh nghiệp - điều này thể hiện rõ qua các quy trình mà kẻ tấn công cố gắng phát hiện trong một hệ thống bị xâm nhập. Trọng tâm là phần mềm kế toán để làm việc với các hệ thống ngân hàng từ xa.
Danh sách các quy trình được RTM quan tâm giống với danh sách tương ứng của nhóm Buhtrap, nhưng các nhóm có vectơ lây nhiễm khác nhau. Nếu Buhtrap sử dụng các trang giả mạo thường xuyên hơn thì RTM sử dụng các cuộc tấn công tải xuống theo từng ổ đĩa (tấn công vào trình duyệt hoặc các thành phần của trình duyệt) và gửi thư rác qua email. Theo dữ liệu đo từ xa, mối đe dọa nhắm vào Nga và một số quốc gia lân cận (Ukraine, Kazakhstan, Cộng hòa Séc, Đức). Tuy nhiên, do sử dụng cơ chế phát tán hàng loạt nên việc phát hiện phần mềm độc hại bên ngoài vùng mục tiêu là điều không có gì đáng ngạc nhiên.
Tổng số lần phát hiện phần mềm độc hại là tương đối nhỏ. Mặt khác, chiến dịch RTM sử dụng các chương trình phức tạp, điều này cho thấy các cuộc tấn công có mục tiêu cao.
Chúng tôi đã phát hiện một số tài liệu giả được RTM sử dụng, bao gồm các hợp đồng, hóa đơn hoặc chứng từ kế toán thuế không tồn tại. Bản chất của mồi nhử, kết hợp với loại phần mềm mà cuộc tấn công nhắm tới, cho thấy những kẻ tấn công đang “xâm nhập” vào mạng của các công ty Nga thông qua bộ phận kế toán. Nhóm hành động theo cùng một kế hoạch năm 2014-2015
Trong quá trình nghiên cứu, chúng tôi có thể tương tác với một số máy chủ C&C. Chúng tôi sẽ liệt kê danh sách đầy đủ các lệnh trong các phần sau, nhưng hiện tại, chúng tôi có thể nói rằng máy khách chuyển dữ liệu từ keylogger trực tiếp đến máy chủ tấn công, từ đó nhận được các lệnh bổ sung.
Tuy nhiên, thời mà bạn có thể chỉ cần kết nối với máy chủ chỉ huy và điều khiển và thu thập tất cả dữ liệu mà bạn quan tâm đã không còn nữa. Chúng tôi đã tạo lại các tệp nhật ký thực tế để nhận một số lệnh liên quan từ máy chủ.
Đầu tiên trong số đó là yêu cầu bot chuyển tệp 1c_to_kl.txt - tệp truyền tải của chương trình 1C: Enterprise 8, sự xuất hiện của tệp này được RTM tích cực giám sát. 1C tương tác với các hệ thống ngân hàng từ xa bằng cách tải dữ liệu về các khoản thanh toán gửi đi lên tệp văn bản. Tiếp theo, tệp được gửi đến hệ thống ngân hàng từ xa để tự động hóa và thực hiện lệnh thanh toán.
Tệp chứa chi tiết thanh toán. Nếu kẻ tấn công thay đổi thông tin về các khoản thanh toán gửi đi, giao dịch chuyển tiền sẽ được gửi bằng thông tin sai lệch đến tài khoản của kẻ tấn công.
Khoảng một tháng sau khi yêu cầu các tệp này từ máy chủ chỉ huy và kiểm soát, chúng tôi quan sát thấy một plugin mới, 1c_2_kl.dll, đang được tải vào hệ thống bị xâm nhập. Mô-đun (DLL) được thiết kế để tự động phân tích tệp tải xuống bằng cách thâm nhập vào các quy trình phần mềm kế toán. Chúng tôi sẽ mô tả nó chi tiết trong các phần sau.
Điều thú vị là FinCERT của Ngân hàng Nga vào cuối năm 2016 đã đưa ra một bản tin cảnh báo về tội phạm mạng sử dụng tệp tải lên 1c_to_kl.txt. Các nhà phát triển từ 1C cũng biết về kế hoạch này; họ đã đưa ra tuyên bố chính thức và liệt kê các biện pháp phòng ngừa.
Các mô-đun khác cũng được tải từ máy chủ chỉ huy, đặc biệt là VNC (phiên bản 32 và 64-bit). Nó giống với mô-đun VNC trước đây được sử dụng trong các cuộc tấn công Trojan Dridex. Mô-đun này được cho là được sử dụng để kết nối từ xa với máy tính bị nhiễm và tiến hành nghiên cứu chi tiết về hệ thống. Tiếp theo, những kẻ tấn công cố gắng di chuyển khắp mạng, lấy mật khẩu người dùng, thu thập thông tin và đảm bảo sự hiện diện liên tục của phần mềm độc hại.
2. Vector lây nhiễm
Hình dưới đây cho thấy các vectơ lây nhiễm được phát hiện trong thời gian nghiên cứu của chiến dịch. Nhóm này sử dụng nhiều loại vectơ, nhưng chủ yếu là các cuộc tấn công tải xuống theo từng ổ đĩa và thư rác. Những công cụ này thuận tiện cho các cuộc tấn công có mục tiêu, vì trong trường hợp đầu tiên, kẻ tấn công có thể chọn các trang web mà nạn nhân tiềm năng đã truy cập và trong trường hợp thứ hai, chúng có thể gửi email có tệp đính kèm trực tiếp đến nhân viên công ty mong muốn.
Phần mềm độc hại được phân phối qua nhiều kênh, bao gồm bộ công cụ khai thác RIG và Sundown hoặc gửi thư rác, cho thấy mối liên hệ giữa những kẻ tấn công và những kẻ tấn công mạng khác cung cấp các dịch vụ này.
2.1. RTM và Buhtrap có liên quan như thế nào?
Chiến dịch RTM rất giống với Buhtrap. Câu hỏi tự nhiên là: chúng có liên quan với nhau như thế nào?
Vào tháng 2016 năm XNUMX, chúng tôi đã quan sát thấy một mẫu RTM được phân phối bằng trình tải lên Buhtrap. Ngoài ra, chúng tôi còn tìm thấy hai chứng chỉ kỹ thuật số được sử dụng trong cả Buhtrap và RTM.
Mẫu đầu tiên, được cho là do công ty DNISTER-M phát hành, được sử dụng để ký điện tử vào biểu mẫu Delphi thứ hai (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) và Buhtrap DLL (SHA-1: 1E2642B454A2C889B6D41116CCDBA83F6F2D4890).
Cái thứ hai, được cấp cho Bit-Tredj, được sử dụng để ký các bộ tải Buhtrap (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 và B74F71560E48488D2153AE2FB51207A0AC206E2B), cũng như tải xuống và cài đặt các thành phần RTM.
Các nhà khai thác RTM sử dụng các chứng chỉ phổ biến cho các dòng phần mềm độc hại khác nhưng họ cũng có một chứng chỉ duy nhất. Theo phép đo từ xa của ESET, nó đã được cấp cho Kit-SD và chỉ được sử dụng để ký một số phần mềm độc hại RTM (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM sử dụng cùng bộ nạp như Buhtrap, các thành phần RTM được tải từ cơ sở hạ tầng Buhtrap nên các nhóm có chỉ số mạng tương tự nhau. Tuy nhiên, theo ước tính của chúng tôi, RTM và Buhtrap là hai nhóm khác nhau, ít nhất là vì RTM được phân phối theo những cách khác nhau (không chỉ sử dụng trình tải xuống “nước ngoài”).
Mặc dù vậy, các nhóm hacker vẫn sử dụng nguyên tắc hoạt động tương tự. Chúng nhắm mục tiêu vào các doanh nghiệp sử dụng phần mềm kế toán, thu thập thông tin hệ thống tương tự, tìm kiếm đầu đọc thẻ thông minh và triển khai một loạt công cụ độc hại để theo dõi nạn nhân.
3. Sự tiến hóa
Trong phần này, chúng ta sẽ xem xét các phiên bản phần mềm độc hại khác nhau được tìm thấy trong quá trình nghiên cứu.
3.1. Phiên bản
RTM lưu trữ dữ liệu cấu hình trong phần đăng ký, phần thú vị nhất là tiền tố botnet. Danh sách tất cả các giá trị chúng tôi thấy trong các mẫu mà chúng tôi nghiên cứu được trình bày trong bảng bên dưới.
Có thể các giá trị này có thể được sử dụng để ghi lại các phiên bản phần mềm độc hại. Tuy nhiên, chúng tôi không nhận thấy nhiều sự khác biệt giữa các phiên bản như bit2 và bit3, 0.1.6.4 và 0.1.6.6. Hơn nữa, một trong các tiền tố đã xuất hiện ngay từ đầu và đã phát triển từ miền C&C điển hình sang miền .bit, như sẽ được hiển thị bên dưới.
3.2. Lịch trình
Sử dụng dữ liệu đo từ xa, chúng tôi đã tạo ra một biểu đồ về sự xuất hiện của các mẫu.
4. Phân tích kỹ thuật
Trong phần này, chúng tôi sẽ mô tả các chức năng chính của Trojan ngân hàng RTM, bao gồm các cơ chế kháng cự, phiên bản thuật toán RC4 riêng của nó, giao thức mạng, chức năng gián điệp và một số tính năng khác. Đặc biệt, chúng tôi sẽ tập trung vào các mẫu SHA-1 AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 và 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. Cài đặt và lưu
4.1.1. Thực hiện
Lõi RTM là một DLL, thư viện được tải vào đĩa bằng .EXE. Tệp thực thi thường được đóng gói và chứa mã DLL. Sau khi khởi chạy, nó trích xuất DLL và chạy nó bằng lệnh sau:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. ĐLL
DLL chính luôn được tải vào đĩa dưới dạng winlogon.lnk trong thư mục %PROGRAMDATA%Winlogon. Phần mở rộng tệp này thường được liên kết với một phím tắt, nhưng tệp thực sự là một DLL được viết bằng Delphi, được nhà phát triển đặt tên là core.dll, như trong hình bên dưới.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Sau khi được tung ra, Trojan sẽ kích hoạt cơ chế kháng cự của nó. Điều này có thể được thực hiện theo hai cách khác nhau, tùy thuộc vào đặc quyền của nạn nhân trong hệ thống. Nếu bạn có quyền quản trị viên, Trojan sẽ thêm mục Windows Update vào sổ đăng ký HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun. Các lệnh có trong Windows Update sẽ chạy khi bắt đầu phiên của người dùng.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe “%PROGRAMDATA%winlogon.lnk”,máy chủ DllGetClassObject
Trojan cũng cố gắng thêm một tác vụ vào Bộ lập lịch tác vụ Windows. Tác vụ sẽ khởi chạy DLL winlogon.lnk với các tham số tương tự như trên. Quyền người dùng thông thường cho phép Trojan thêm mục Windows Update có cùng dữ liệu vào sổ đăng ký HKCUSoftwareMicrosoftWindowsCurrentVersionRun:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Thuật toán RC4 đã sửa đổi
Bất chấp những thiếu sót đã biết, thuật toán RC4 vẫn thường xuyên được các tác giả phần mềm độc hại sử dụng. Tuy nhiên, những người tạo ra RTM đã sửa đổi nó một chút, có lẽ để làm cho nhiệm vụ của các nhà phân tích virus trở nên khó khăn hơn. Phiên bản sửa đổi của RC4 được sử dụng rộng rãi trong các công cụ RTM độc hại để mã hóa chuỗi, dữ liệu mạng, cấu hình và mô-đun.
4.2.1. Sự khác biệt
Thuật toán RC4 ban đầu bao gồm hai giai đoạn: khởi tạo khối s (còn gọi là KSA - Thuật toán lập lịch khóa) và tạo chuỗi giả ngẫu nhiên (PRGA - Thuật toán tạo ngẫu nhiên giả). Giai đoạn đầu tiên liên quan đến việc khởi tạo hộp s bằng khóa và trong giai đoạn thứ hai, văn bản nguồn được xử lý bằng hộp s để mã hóa.
Các tác giả RTM đã thêm một bước trung gian giữa khởi tạo hộp s và mã hóa. Khóa bổ sung có thể thay đổi và được đặt cùng lúc với dữ liệu được mã hóa và giải mã. Chức năng thực hiện bước bổ sung này được hiển thị trong hình bên dưới.
4.2.2. Mã hóa chuỗi
Thoạt nhìn, có một số dòng có thể đọc được trong DLL chính. Phần còn lại được mã hóa bằng thuật toán được mô tả ở trên, cấu trúc của thuật toán này được hiển thị trong hình sau. Chúng tôi đã tìm thấy hơn 25 khóa RC4 khác nhau để mã hóa chuỗi trong các mẫu được phân tích. Khóa XOR khác nhau đối với mỗi hàng. Giá trị của các dòng phân cách trường số luôn là 0xFFFFFFFF.
Khi bắt đầu thực thi, RTM giải mã chuỗi thành biến toàn cục. Khi cần truy cập một chuỗi, Trojan sẽ tự động tính toán địa chỉ của chuỗi được giải mã dựa trên địa chỉ cơ sở và độ lệch.
Các chuỗi chứa thông tin thú vị về chức năng của phần mềm độc hại. Một số chuỗi ví dụ được cung cấp trong Phần 6.8.
4.3. Mạng
Cách phần mềm độc hại RTM liên hệ với máy chủ C&C khác nhau tùy theo phiên bản. Những sửa đổi đầu tiên (tháng 2015 năm 2016 – tháng XNUMX năm XNUMX) đã sử dụng tên miền truyền thống cùng với nguồn cấp dữ liệu RSS trên livejournal.com để cập nhật danh sách lệnh.
Kể từ tháng 2016 năm 05, chúng tôi đã thấy sự thay đổi sang miền .bit trong dữ liệu đo từ xa. Điều này được xác nhận bởi ngày đăng ký tên miền - tên miền RTM đầu tiên fde0573d13da.bit được đăng ký vào ngày 2016 tháng XNUMX năm XNUMX.
Tất cả các URL chúng tôi thấy khi theo dõi chiến dịch đều có đường dẫn chung: /r/z.php. Điều này khá bất thường và nó sẽ giúp xác định các yêu cầu RTM trong luồng mạng.
4.3.1. Kênh cho các lệnh và điều khiển
Các ví dụ cũ đã sử dụng kênh này để cập nhật danh sách máy chủ chỉ huy và điều khiển của họ. Hosting được đặt tại livejournal.com, tại thời điểm viết báo cáo nó vẫn ở URL hxxp://f72bba81c921(.)livejournal(.)com/ data/rss.
Livejournal là một công ty Nga-Mỹ cung cấp nền tảng viết blog. Những người vận hành RTM tạo một blog LJ trong đó họ đăng một bài viết với các lệnh được mã hóa - xem ảnh chụp màn hình.
Các dòng lệnh và điều khiển được mã hóa bằng thuật toán RC4 đã sửa đổi (Phần 4.2). Phiên bản hiện tại (tháng 2016 năm XNUMX) của kênh chứa các địa chỉ máy chủ lệnh và điều khiển sau:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. miền .bit
Trong hầu hết các mẫu RTM gần đây, tác giả kết nối với miền C&C bằng miền cấp cao nhất .bit TLD. Nó không có trong danh sách các tên miền cấp cao nhất của ICANN (Domain Name and Internet Corporation). Thay vào đó, nó sử dụng hệ thống Namecoin, được xây dựng dựa trên công nghệ Bitcoin. Tác giả phần mềm độc hại thường không sử dụng TLD .bit cho tên miền của họ, mặc dù một ví dụ về việc sử dụng như vậy trước đây đã được quan sát thấy trong một phiên bản của mạng botnet Necurs.
Không giống như Bitcoin, người dùng cơ sở dữ liệu Namecoin phân tán có khả năng lưu dữ liệu. Ứng dụng chính của tính năng này là tên miền cấp cao nhất .bit. Bạn có thể đăng ký các miền sẽ được lưu trữ trong cơ sở dữ liệu phân tán. Các mục tương ứng trong cơ sở dữ liệu chứa địa chỉ IP được phân giải theo tên miền. TLD này có khả năng “chống kiểm duyệt” vì chỉ người đăng ký mới có thể thay đổi độ phân giải của miền .bit. Điều này có nghĩa là việc ngăn chặn một miền độc hại sử dụng loại TLD này sẽ khó khăn hơn nhiều.
Trojan RTM không nhúng phần mềm cần thiết để đọc cơ sở dữ liệu Namecoin được phân phối. Nó sử dụng các máy chủ DNS trung tâm như máy chủ dns.dot-bit.org hoặc OpenNic để phân giải các miền .bit. Vì vậy, nó có độ bền tương đương với các máy chủ DNS. Chúng tôi nhận thấy rằng một số miền của nhóm không còn được phát hiện sau khi được đề cập trong một bài đăng trên blog.
Một ưu điểm khác của TLD .bit đối với tin tặc là chi phí. Để đăng ký miền, các nhà khai thác chỉ cần trả 0,01 NK, tương ứng với 0,00185 USD (tính đến ngày 5 tháng 2016 năm 10). Để so sánh, domain.com có giá ít nhất là XNUMX USD.
4.3.3. Giao thức
Để giao tiếp với máy chủ chỉ huy và điều khiển, RTM sử dụng các yêu cầu HTTP POST với dữ liệu được định dạng bằng giao thức tùy chỉnh. Giá trị đường dẫn luôn là /r/z.php; Tác nhân người dùng Mozilla/5.0 (tương thích; MSIE 9.0; Windows NT 6.1; Trident/5.0). Trong các yêu cầu tới máy chủ, dữ liệu được định dạng như sau, trong đó các giá trị offset được biểu thị bằng byte:
Byte từ 0 đến 6 không được mã hóa; byte bắt đầu từ 6 được mã hóa bằng thuật toán RC4 đã sửa đổi. Cấu trúc của gói phản hồi C&C đơn giản hơn. Byte được mã hóa từ 4 đến kích thước gói.
Danh sách các giá trị byte hành động có thể được trình bày trong bảng bên dưới:
Phần mềm độc hại luôn tính toán CRC32 của dữ liệu được giải mã và so sánh nó với dữ liệu có trong gói. Nếu chúng khác nhau, Trojan sẽ loại bỏ gói tin.
Dữ liệu bổ sung có thể chứa nhiều đối tượng khác nhau, bao gồm tệp PE, tệp cần tìm kiếm trong hệ thống tệp hoặc URL lệnh mới.
4.3.4. bảng điều khiển
Chúng tôi nhận thấy rằng RTM sử dụng bảng điều khiển trên máy chủ C&C. Ảnh chụp màn hình bên dưới:
4.4. Dấu hiệu đặc trưng
RTM là một Trojan ngân hàng điển hình. Không có gì ngạc nhiên khi các nhà điều hành muốn có thông tin về hệ thống của nạn nhân. Một mặt, bot thu thập thông tin chung về HĐH. Mặt khác, nó sẽ tìm hiểu xem liệu hệ thống bị xâm nhập có chứa các thuộc tính liên quan đến hệ thống ngân hàng từ xa của Nga hay không.
4.4.1. Thông tin chung
Khi phần mềm độc hại được cài đặt hoặc khởi chạy sau khi khởi động lại, một báo cáo sẽ được gửi đến máy chủ chỉ huy và kiểm soát chứa thông tin chung bao gồm:
- Múi giờ;
- ngôn ngữ hệ thống mặc định;
- thông tin xác thực của người dùng được ủy quyền;
- mức độ toàn vẹn của quy trình;
- Tên tài khoản;
- tên máy tính;
- Phiên bản của hệ điều hành;
- các mô-đun được cài đặt bổ sung;
- chương trình chống vi-rút được cài đặt;
- danh sách đầu đọc thẻ thông minh
4.4.2 Hệ thống ngân hàng từ xa
Mục tiêu điển hình của Trojan là hệ thống ngân hàng từ xa và RTM cũng không ngoại lệ. Một trong những mô-đun của chương trình được gọi là TBdo, thực hiện nhiều tác vụ khác nhau, bao gồm quét đĩa và lịch sử duyệt web.
Bằng cách quét đĩa, Trojan sẽ kiểm tra xem phần mềm ngân hàng có được cài đặt trên máy hay không. Danh sách đầy đủ các chương trình mục tiêu có trong bảng dưới đây. Sau khi phát hiện một tập tin quan tâm, chương trình sẽ gửi thông tin đến máy chủ lệnh. Các hành động tiếp theo phụ thuộc vào logic được chỉ định bởi thuật toán của trung tâm chỉ huy (C&C).
RTM cũng tìm kiếm các mẫu URL trong lịch sử trình duyệt và các tab đang mở của bạn. Ngoài ra, chương trình còn kiểm tra việc sử dụng các hàm FindNextUrlCacheEntryA và FindFirstUrlCacheEntryA, đồng thời kiểm tra từng mục nhập để khớp URL với một trong các mẫu sau:
Sau khi phát hiện các tab đang mở, Trojan liên hệ với Internet Explorer hoặc Firefox thông qua cơ chế Dynamic Data Exchange (DDE) để kiểm tra xem tab có khớp với mẫu hay không.
Việc kiểm tra lịch sử duyệt web và các tab đang mở của bạn được thực hiện trong vòng lặp WHILE (vòng lặp có điều kiện tiên quyết) với thời gian nghỉ 1 giây giữa các lần kiểm tra. Các dữ liệu khác được theo dõi theo thời gian thực sẽ được thảo luận trong phần 4.5.
Nếu tìm thấy một mẫu, chương trình sẽ báo cáo điều này cho máy chủ lệnh bằng cách sử dụng danh sách các chuỗi từ bảng sau:
4.5 Giám sát
Trong khi Trojan đang chạy, thông tin về các tính năng đặc trưng của hệ thống bị nhiễm (bao gồm thông tin về sự hiện diện của phần mềm ngân hàng) sẽ được gửi đến máy chủ chỉ huy và kiểm soát. Dấu vân tay xảy ra khi RTM lần đầu tiên chạy hệ thống giám sát ngay sau lần quét hệ điều hành đầu tiên.
4.5.1. Ngân hàng từ xa
Mô-đun TBdo cũng chịu trách nhiệm giám sát các quy trình liên quan đến ngân hàng. Nó sử dụng trao đổi dữ liệu động để kiểm tra các tab trong Firefox và Internet Explorer trong lần quét đầu tiên. Một mô-đun TShell khác được sử dụng để giám sát các cửa sổ lệnh (Internet Explorer hoặc File Explorer).
Mô-đun này sử dụng các giao diện COM IShellWindows, iWebBrowser, DWebBrowserEvents2 và IConnectionPointContainer để giám sát các cửa sổ. Khi người dùng điều hướng đến một trang web mới, phần mềm độc hại sẽ ghi lại điều này. Sau đó, nó so sánh URL trang với các mẫu trên. Sau khi phát hiện sự trùng khớp, Trojan sẽ chụp sáu ảnh chụp màn hình liên tiếp với khoảng thời gian 5 giây và gửi chúng đến máy chủ lệnh C&S. Chương trình cũng kiểm tra một số tên cửa sổ liên quan đến phần mềm ngân hàng - danh sách đầy đủ bên dưới:
4.5.2. Thẻ thông minh
RTM cho phép bạn giám sát đầu đọc thẻ thông minh được kết nối với máy tính bị nhiễm virus. Những thiết bị này được sử dụng ở một số quốc gia để đối chiếu các lệnh thanh toán. Nếu loại thiết bị này được gắn vào máy tính, nó có thể cho Trojan biết rằng máy đang được sử dụng cho các giao dịch ngân hàng.
Không giống như các Trojan ngân hàng khác, RTM không thể tương tác với các thẻ thông minh như vậy. Có lẽ chức năng này được bao gồm trong một mô-đun bổ sung mà chúng tôi chưa thấy.
4.5.3. Keylogger
Một phần quan trọng trong việc giám sát PC bị nhiễm là ghi lại các thao tác gõ phím. Có vẻ như các nhà phát triển RTM không bỏ sót bất kỳ thông tin nào vì họ không chỉ giám sát các phím thông thường mà còn cả bàn phím ảo và bảng nhớ tạm.
Để thực hiện việc này, hãy sử dụng hàm SetWindowsHookExA. Kẻ tấn công ghi lại các phím được nhấn hoặc các phím tương ứng với bàn phím ảo, cùng với tên và ngày của chương trình. Bộ đệm sau đó được gửi đến máy chủ lệnh C&C.
Chức năng SetClipboardViewer được sử dụng để chặn clipboard. Tin tặc ghi lại nội dung của bảng ghi tạm khi dữ liệu là văn bản. Tên và ngày cũng được ghi lại trước khi bộ đệm được gửi đến máy chủ.
4.5.4. Ảnh chụp màn hình
Một chức năng RTM khác là chặn ảnh chụp màn hình. Tính năng này được áp dụng khi mô-đun giám sát cửa sổ phát hiện một trang web hoặc phần mềm ngân hàng quan tâm. Ảnh chụp màn hình được chụp bằng thư viện hình ảnh đồ họa và được chuyển đến máy chủ lệnh.
4.6. Gỡ cài đặt
Máy chủ C&C có thể ngăn phần mềm độc hại chạy và dọn dẹp máy tính của bạn. Lệnh này cho phép bạn xóa các tệp và mục đăng ký được tạo trong khi RTM đang chạy. Sau đó, DLL được sử dụng để loại bỏ phần mềm độc hại và tệp winlogon, sau đó lệnh sẽ tắt máy tính. Như trong hình bên dưới, DLL bị các nhà phát triển loại bỏ bằng cách sử dụng eras.dll.
Máy chủ có thể gửi cho Trojan một lệnh khóa gỡ cài đặt mang tính phá hoại. Trong trường hợp này, nếu bạn có quyền quản trị viên, RTM sẽ xóa khu vực khởi động MBR trên ổ cứng. Nếu điều này không thành công, Trojan sẽ cố gắng chuyển khu vực khởi động MBR sang một khu vực ngẫu nhiên - khi đó máy tính sẽ không thể khởi động hệ điều hành sau khi tắt máy. Điều này có thể dẫn đến việc cài đặt lại hoàn toàn hệ điều hành, đồng nghĩa với việc tiêu hủy bằng chứng.
Nếu không có đặc quyền của quản trị viên, phần mềm độc hại sẽ ghi một tệp .EXE được mã hóa trong RTM DLL cơ bản. Tệp thực thi sẽ thực thi mã cần thiết để tắt máy tính và đăng ký mô-đun trong khóa đăng ký HKCUCurrentVersionRun. Mỗi khi người dùng bắt đầu một phiên, máy tính sẽ tắt ngay lập tức.
4.7. Tập tin cấu hình
Theo mặc định, RTM hầu như không có tệp cấu hình, nhưng máy chủ chỉ huy và điều khiển có thể gửi các giá trị cấu hình sẽ được lưu trữ trong sổ đăng ký và được chương trình sử dụng. Danh sách các phím cấu hình được trình bày trong bảng dưới đây:
Cấu hình được lưu trữ trong khóa đăng ký Phần mềm [chuỗi giả ngẫu nhiên]. Mỗi giá trị tương ứng với một trong các hàng được trình bày trong bảng trước. Các giá trị và dữ liệu được mã hóa bằng thuật toán RC4 trong RTM.
Dữ liệu có cấu trúc giống như mạng hoặc chuỗi. Khóa XOR bốn byte được thêm vào đầu dữ liệu được mã hóa. Đối với các giá trị cấu hình, khóa XOR khác nhau và phụ thuộc vào kích thước của giá trị. Nó có thể được tính như sau:
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| len(config_value)| (len(config_value) << 8)
4.8. Các chức năng khác
Tiếp theo, hãy xem các chức năng khác mà RTM hỗ trợ.
4.8.1. Các mô-đun bổ sung
Trojan bao gồm các mô-đun bổ sung là các tệp DLL. Các mô-đun được gửi từ máy chủ lệnh C&C có thể được thực thi dưới dạng chương trình bên ngoài, được phản ánh trong RAM và khởi chạy trong các luồng mới. Để lưu trữ, các mô-đun được lưu trong tệp .dtt và được mã hóa bằng thuật toán RC4 với cùng khóa được sử dụng cho giao tiếp mạng.
Cho đến nay chúng ta đã quan sát quá trình cài đặt mô-đun VNC (8966319882494077C21F66A8354E2CBCA0370464), mô-đun trích xuất dữ liệu trình duyệt (03DE8622BE6B2F75A364A275995C3411626C4D9F) và mô-đun 1c_2_kl (B1EE562E1F69EFC6 FBA58B 88753BE7D0B3E4CFAB).
Để tải mô-đun VNC, máy chủ C&C đưa ra lệnh yêu cầu kết nối với máy chủ VNC tại một địa chỉ IP cụ thể trên cổng 44443. Plugin truy xuất dữ liệu trình duyệt thực thi TBrowserDataCollector, có thể đọc lịch sử duyệt IE. Sau đó, nó sẽ gửi danh sách đầy đủ các URL đã truy cập đến máy chủ lệnh C&C.
Mô-đun cuối cùng được phát hiện có tên là 1c_2_kl. Nó có thể tương tác với gói phần mềm 1C Enterprise. Mô-đun này bao gồm hai phần: phần chính - DLL và hai tác nhân (32 và 64 bit), sẽ được đưa vào mỗi quy trình, đăng ký liên kết với WH_CBT. Sau khi được đưa vào quy trình 1C, mô-đun này liên kết các hàm CreateFile và WriteFile. Bất cứ khi nào hàm liên kết CreateFile được gọi, mô-đun sẽ lưu đường dẫn tệp 1c_to_kl.txt vào bộ nhớ. Sau khi chặn lệnh gọi WriteFile, nó gọi hàm WriteFile và gửi đường dẫn tệp 1c_to_kl.txt đến mô-đun DLL chính, chuyển cho nó thông báo WM_COPYDATA được tạo thủ công của Windows.
Mô-đun DLL chính mở và phân tích tệp để xác định lệnh thanh toán. Nó nhận ra số tiền và số giao dịch có trong tệp. Thông tin này được gửi đến máy chủ chỉ huy. Chúng tôi tin rằng mô-đun này hiện đang được phát triển vì nó chứa thông báo gỡ lỗi và không thể tự động sửa đổi 1c_to_kl.txt.
4.8.2. Leo thang đặc quyền
RTM có thể cố gắng nâng cao đặc quyền bằng cách hiển thị thông báo lỗi sai. Phần mềm độc hại mô phỏng quá trình kiểm tra sổ đăng ký (xem hình bên dưới) hoặc sử dụng biểu tượng trình chỉnh sửa sổ đăng ký thực. Vui lòng lưu ý lỗi chính tả chờ – cái gì. Sau vài giây quét, chương trình hiển thị thông báo lỗi sai.
Một thông báo sai sẽ dễ dàng đánh lừa người dùng bình thường, bất chấp lỗi ngữ pháp. Nếu người dùng nhấp vào một trong hai liên kết, RTM sẽ cố gắng nâng cao đặc quyền của mình trong hệ thống.
Sau khi chọn một trong hai tùy chọn khôi phục, Trojan sẽ khởi chạy DLL bằng tùy chọn runas trong hàm ShellExecute với đặc quyền của quản trị viên. Người dùng sẽ thấy lời nhắc Windows thực sự (xem hình ảnh bên dưới) về độ cao. Nếu người dùng cấp các quyền cần thiết, Trojan sẽ chạy với quyền quản trị viên.
Tùy thuộc vào ngôn ngữ mặc định được cài đặt trên hệ thống, Trojan hiển thị thông báo lỗi bằng tiếng Nga hoặc tiếng Anh.
4.8.3. Giấy chứng nhận
RTM có thể thêm chứng chỉ vào Windows Store và xác nhận độ tin cậy của việc bổ sung bằng cách tự động nhấp vào nút “có” trong hộp thoại csrss.exe. Hành vi này không phải là mới; ví dụ: Trojan ngân hàng Retefe cũng xác nhận độc lập việc cài đặt chứng chỉ mới.
4.8.4. Kết nối ngược
Các tác giả RTM cũng đã tạo đường hầm Backconnect TCP. Chúng tôi chưa thấy tính năng này được sử dụng nhưng nó được thiết kế để giám sát từ xa các PC bị nhiễm.
4.8.5. Quản lý tập tin máy chủ
Máy chủ C&C có thể gửi lệnh tới Trojan để sửa đổi tệp máy chủ Windows. Tệp máy chủ được sử dụng để tạo độ phân giải DNS tùy chỉnh.
4.8.6. Tìm và gửi một tập tin
Máy chủ có thể yêu cầu tìm kiếm và tải xuống một tệp trên hệ thống bị nhiễm. Ví dụ: trong quá trình nghiên cứu, chúng tôi đã nhận được yêu cầu về tệp 1c_to_kl.txt. Như đã mô tả trước đây, tệp này được tạo bởi hệ thống kế toán 1C: Enterprise 8.
4.8.7. Cập nhật
Cuối cùng, tác giả RTM có thể cập nhật phần mềm bằng cách gửi một DLL mới để thay thế phiên bản hiện tại.
5. Kết luận
Nghiên cứu của RTM cho thấy hệ thống ngân hàng Nga vẫn thu hút những kẻ tấn công mạng. Các nhóm như Buhtrap, Corkow và Carbanak đã đánh cắp thành công tiền từ các tổ chức tài chính và khách hàng của họ ở Nga. RTM là một người chơi mới trong ngành này.
Theo ESET, các công cụ RTM độc hại đã được sử dụng ít nhất từ cuối năm 2015. Chương trình có đầy đủ các khả năng gián điệp, bao gồm đọc thẻ thông minh, chặn thao tác gõ phím và giám sát các giao dịch ngân hàng, cũng như tìm kiếm các tệp truyền tải 1C: Enterprise 8.
Việc sử dụng miền cấp cao nhất .bit phi tập trung, không bị kiểm duyệt sẽ đảm bảo cơ sở hạ tầng có khả năng phục hồi cao.
Nguồn: www.habr.com