Ọpọlọpọ awọn ẹgbẹ cyber ti a mọ ti o ṣe amọja ni ji awọn owo lati awọn ile-iṣẹ Russia. A ti rii awọn ikọlu nipa lilo awọn loopholes aabo ti o gba iraye si nẹtiwọọki ibi-afẹde naa. Ni kete ti wọn ba ni iraye si, awọn ikọlu ṣe iwadi eto nẹtiwọọki ti ajo ati gbe awọn irinṣẹ tiwọn lọ lati ji awọn owo. Apeere Ayebaye ti aṣa yii ni awọn ẹgbẹ agbonaeburuwole Buhtrap, Cobalt ati Corkow.
Ẹgbẹ RTM ti ijabọ yii dojukọ jẹ apakan ti aṣa yii. O nlo malware ti a ṣe apẹrẹ pataki ti a kọ sinu Delphi, eyiti a yoo wo ni awọn alaye diẹ sii ni awọn apakan atẹle. Awọn itọpa akọkọ ti awọn irinṣẹ wọnyi ni eto telemetry ESET ni a ṣe awari ni opin ọdun 2015. Ẹgbẹ naa gbe ọpọlọpọ awọn modulu tuntun sori awọn eto ti o ni arun bi o ṣe nilo. Awọn ikọlu naa jẹ ifọkansi si awọn olumulo ti awọn eto ile-ifowopamọ latọna jijin ni Russia ati diẹ ninu awọn orilẹ-ede adugbo.
1. Awọn afojusun
Ipolongo RTM naa ni ifọkansi si awọn olumulo ile-iṣẹ - eyi han gbangba lati awọn ilana ti awọn ikọlu gbiyanju lati rii ni eto ti o gbogun. Idojukọ wa lori sọfitiwia ṣiṣe iṣiro fun ṣiṣẹ pẹlu awọn eto ile-ifowopamọ latọna jijin.
Atokọ ti awọn ilana ti iwulo si RTM dabi atokọ ti o baamu ti ẹgbẹ Buhtrap, ṣugbọn awọn ẹgbẹ ni awọn eegun ikolu ti o yatọ. Ti Buhtrap ba lo awọn oju-iwe iro ni igbagbogbo, lẹhinna RTM lo awọn ikọlu awakọ-nipasẹ igbasilẹ (awọn ikọlu ẹrọ aṣawakiri tabi awọn paati rẹ) ati spamming nipasẹ imeeli. Gẹgẹbi data telemetry, irokeke naa ni ifọkansi si Russia ati ọpọlọpọ awọn orilẹ-ede to wa nitosi (Ukraine, Kazakhstan, Czech Republic, Germany). Sibẹsibẹ, nitori lilo awọn ọna ṣiṣe pinpin kaakiri, wiwa malware ni ita awọn agbegbe ibi-afẹde kii ṣe iyalẹnu.
Nọmba apapọ ti awọn iwari malware jẹ kekere diẹ. Ni apa keji, ipolongo RTM nlo awọn eto idiju, eyiti o tọka si pe awọn ikọlu naa jẹ ifọkansi pupọ.
A ti ṣe awari ọpọlọpọ awọn iwe aṣẹ ẹtan ti a lo nipasẹ RTM, pẹlu awọn iwe adehun ti ko si, awọn risiti tabi awọn iwe iṣiro owo-ori. Iseda ti awọn lures, ni idapo pẹlu iru sọfitiwia ti a fojusi nipasẹ ikọlu, tọka si pe awọn olukolu “nwọle” awọn nẹtiwọki ti awọn ile-iṣẹ Russia nipasẹ ẹka iṣiro. Ẹgbẹ naa ṣe ni ibamu si ero kanna ni ọdun 2014-2015
Lakoko iwadii naa, a ni anfani lati ṣe ajọṣepọ pẹlu awọn olupin C&C pupọ. A yoo ṣe atokọ atokọ ni kikun ti awọn aṣẹ ni awọn apakan atẹle, ṣugbọn fun bayi a le sọ pe alabara gbe data lati keylogger taara si olupin ikọlu, lati eyiti o gba awọn aṣẹ afikun lẹhinna.
Sibẹsibẹ, awọn ọjọ nigbati o le sopọ nirọrun si aṣẹ ati olupin iṣakoso ati gba gbogbo data ti o nifẹ si ti lọ. A tun ṣe awọn faili log ojulowo lati gba diẹ ninu awọn aṣẹ ti o yẹ lati olupin naa.
Ni igba akọkọ ti wọn jẹ ibeere si bot lati gbe faili naa 1c_to_kl.txt - faili irinna ti eto 1C: Idawọlẹ 8, irisi eyiti o jẹ abojuto nipasẹ RTM. 1C ṣe ajọṣepọ pẹlu awọn eto ile-ifowopamọ latọna jijin nipa gbigbe data lori awọn sisanwo ti njade lọ si faili ọrọ kan. Nigbamii ti, faili naa ni a firanṣẹ si eto ile-ifowopamọ latọna jijin fun adaṣe ati ipaniyan ti aṣẹ isanwo.
Faili naa ni awọn alaye isanwo ninu. Ti awọn ikọlu ba yi alaye pada nipa awọn sisanwo ti njade, gbigbe naa yoo firanṣẹ ni lilo awọn alaye eke si awọn akọọlẹ awọn ikọlu naa.
Ni bii oṣu kan lẹhin ti o beere awọn faili wọnyi lati aṣẹ ati olupin iṣakoso, a ṣe akiyesi ohun itanna tuntun kan, 1c_2_kl.dll, ti a kojọpọ sori ẹrọ ti o gbogun. Module naa (DLL) jẹ apẹrẹ lati ṣe itupalẹ faili igbasilẹ laifọwọyi nipa titẹ si awọn ilana sọfitiwia iṣiro. A yoo ṣe apejuwe rẹ ni awọn alaye ni awọn apakan atẹle.
O yanilenu, FinCERT ti Bank of Russia ni opin ọdun 2016 ṣe ikilọ itẹjade kan nipa awọn ọdaràn cyber nipa lilo awọn faili ikojọpọ 1c_to_kl.txt. Awọn olupilẹṣẹ lati 1C tun mọ nipa ero yii; wọn ti ṣe alaye osise tẹlẹ ati awọn iṣọra ti a ṣe akojọ.
Awọn modulu miiran tun kojọpọ lati olupin aṣẹ, ni pataki VNC (awọn ẹya 32 ati 64-bit rẹ). O jọ module VNC ti a ti lo tẹlẹ ninu awọn ikọlu Dridex Tirojanu. A ṣe pe module yii jẹ lilo lati sopọ latọna jijin si kọnputa ti o ni akoran ati ṣe iwadii alaye ti eto naa. Nigbamii ti, awọn ikọlu gbiyanju lati gbe ni ayika nẹtiwọọki, yiyo awọn ọrọ igbaniwọle olumulo, gbigba alaye ati idaniloju wiwa malware nigbagbogbo.
2. Vectors ti ikolu
Nọmba ti o tẹle yii fihan awọn eegun ikolu ti a rii lakoko akoko ikẹkọ ti ipolongo naa. Awọn ẹgbẹ nlo kan jakejado ibiti o ti fekito, sugbon o kun wakọ-nipasẹ download ku ati àwúrúju. Awọn irinṣẹ wọnyi jẹ rọrun fun awọn ikọlu ti a fojusi, nitori ninu ọran akọkọ, awọn ikọlu le yan awọn aaye ti o ṣabẹwo nipasẹ awọn olufaragba ti o pọju, ati ni keji, wọn le fi imeeli ranṣẹ pẹlu awọn asomọ taara si awọn oṣiṣẹ ile-iṣẹ ti o fẹ.
malware ti pin nipasẹ awọn ikanni lọpọlọpọ, pẹlu RIG ati Sundown awọn ohun elo lo nilokulo tabi awọn ifiweranṣẹ àwúrúju, ti n tọka awọn isopọ laarin awọn ikọlu ati awọn cyberattackers miiran ti n pese awọn iṣẹ wọnyi.
2.1. Bawo ni RTM ati Buhtrap ṣe ni ibatan?
Ipolowo RTM jọra si Buhtrap. Ibeere adayeba ni: bawo ni wọn ṣe ni ibatan si ara wọn?
Ni Oṣu Kẹsan ọdun 2016, a ṣakiyesi apẹẹrẹ RTM kan ti a pin kaakiri nipa lilo agberu Buhtrap. Ni afikun, a rii awọn iwe-ẹri oni-nọmba meji ti a lo ninu mejeeji Buhtrap ati RTM.
Ni akọkọ, ti a fi ẹsun ti a fiweranṣẹ si ile-iṣẹ DNISTER-M, ni a lo lati forukọsilẹ ni oni nọmba fọọmu Delphi keji (SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) ati Buhtrap DLL (SHA-1: 1E2642B454B2FD889F6D41116B83F6D2F4890DXNUMXAXNUMXFCXNUMXDXNUMXDXNUMXAXNUMXFD ).
Ekeji, ti a fun ni Bit-Tredj, ni a lo lati fowo si awọn agberu Buhtrap (SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 ati B74F71560E48488D2153AE2FB51207A0AC206 bi daradara bi igbasilẹ ati RTM)
Awọn oniṣẹ RTM lo awọn iwe-ẹri ti o wọpọ si awọn idile malware miiran, ṣugbọn wọn tun ni ijẹrisi alailẹgbẹ kan. Gẹgẹbi telemetry ESET, o ti gbejade si Kit-SD ati pe o kan lo lati fowo si diẹ ninu awọn malware RTM (SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6).
RTM nlo agberu kanna bi Buhtrap, awọn paati RTM ti kojọpọ lati awọn amayederun Buhtrap, nitorinaa awọn ẹgbẹ ni awọn afihan nẹtiwọọki kanna. Sibẹsibẹ, ni ibamu si awọn iṣiro wa, RTM ati Buhtrap yatọ si awọn ẹgbẹ, o kere ju nitori RTM ti pin ni awọn ọna oriṣiriṣi (kii ṣe lilo olugbasilẹ “ajeji” nikan).
Bi o ti lẹ jẹ pe eyi, awọn ẹgbẹ agbonaeburuwole lo awọn ilana ṣiṣe kanna. Wọn ṣe ifọkansi awọn iṣowo nipa lilo sọfitiwia iṣiro, bakanna gbigba alaye eto, wiwa fun awọn oluka kaadi smart, ati gbigbe ọpọlọpọ awọn irinṣẹ irira lati ṣe amí lori awọn olufaragba.
3. itankalẹ
Ni apakan yii, a yoo wo awọn ẹya oriṣiriṣi ti malware ti a rii lakoko iwadii naa.
3.1. Ti ikede
RTM n tọju data iṣeto ni apakan iforukọsilẹ, apakan ti o nifẹ julọ ni botnet-prefix. Atokọ ti gbogbo awọn iye ti a rii ninu awọn apẹẹrẹ ti a ṣe iwadi ni a gbekalẹ ninu tabili ni isalẹ.
O ṣee ṣe pe awọn iye le ṣee lo lati ṣe igbasilẹ awọn ẹya malware. Sibẹsibẹ, a ko ṣe akiyesi iyatọ pupọ laarin awọn ẹya bii bit2 ati bit3, 0.1.6.4 ati 0.1.6.6. Pẹlupẹlu, ọkan ninu awọn asọtẹlẹ ti wa ni ayika lati ibẹrẹ ati pe o ti wa lati agbegbe C&C aṣoju si aaye .bit kan, bi yoo ṣe han ni isalẹ.
3.2. Iṣeto
Lilo data telemetry, a ṣẹda aworan kan ti iṣẹlẹ ti awọn ayẹwo.
4. Imọ onínọmbà
Ni apakan yii, a yoo ṣe apejuwe awọn iṣẹ akọkọ ti Tirojanu ile-ifowopamọ RTM, pẹlu awọn ilana resistance, ẹya tirẹ ti RC4 algorithm, ilana nẹtiwọọki, iṣẹ ṣiṣe amí ati diẹ ninu awọn ẹya miiran. Ni pato, a yoo dojukọ lori awọn ayẹwo SHA-1 AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 ati 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B.
4.1. Fifi sori ẹrọ ati fifipamọ
4.1.1. imuse
RTM mojuto ni a DLL, awọn ìkàwé ti wa ni ti kojọpọ pẹlẹpẹlẹ disk lilo .EXE. Faili ti o le ṣiṣẹ nigbagbogbo jẹ akopọ ati pe koodu DLL ni ninu. Ni kete ti a ṣe ifilọlẹ, o yọ DLL jade ati ṣiṣe ni lilo aṣẹ atẹle:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. DLL
DLL akọkọ ni a kojọpọ nigbagbogbo si disk bi winlogon.lnk ninu% PROGRAMDATA% Winlogon folda. Ifaagun faili yii maa n ni nkan ṣe pẹlu ọna abuja, ṣugbọn faili naa jẹ DLL ti a kọ ni Delphi, ti a npè ni core.dll nipasẹ olupilẹṣẹ, bi o ṣe han ninu aworan ni isalẹ.
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
Ni kete ti o ti ṣe ifilọlẹ, Tirojanu naa mu ẹrọ idabobo rẹ ṣiṣẹ. Eyi le ṣee ṣe ni awọn ọna oriṣiriṣi meji, da lori awọn anfani ti olufaragba ninu eto naa. Ti o ba ni awọn ẹtọ alabojuto, Tirojanu naa ṣafikun titẹsi Imudojuiwọn Windows si iforukọsilẹ HKLMSOFTWAREMIcrosoftWindowsCurrentVersionRun. Awọn aṣẹ ti o wa ninu Imudojuiwọn Windows yoo ṣiṣẹ ni ibẹrẹ ti igba olumulo.
HKLMSOFTWAREMIcrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject agbalejo
Tirojanu naa tun n gbiyanju lati ṣafikun iṣẹ-ṣiṣe kan si Iṣeto Iṣẹ-ṣiṣe Windows. Iṣẹ naa yoo ṣe ifilọlẹ winlogon.lnk DLL pẹlu awọn paramita kanna bi loke. Awọn ẹtọ olumulo deede gba Tirojanu laaye lati ṣafikun titẹsi Imudojuiwọn Windows pẹlu data kanna si iforukọsilẹ HKCUSoftwareMicrosoftWindowsCurrentVersionRun:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. Atunṣe RC4 algorithm
Pelu awọn ailagbara ti a mọ, RC4 algorithm nigbagbogbo lo nipasẹ awọn onkọwe malware. Sibẹsibẹ, awọn olupilẹṣẹ ti RTM ṣe atunṣe diẹ, boya lati jẹ ki iṣẹ-ṣiṣe ti awọn atunnkanka ọlọjẹ nira sii. Ẹya ti a ṣe atunṣe ti RC4 jẹ lilo pupọ ni awọn irinṣẹ RTM irira lati ṣe fifipamọ awọn okun, data nẹtiwọki, iṣeto ni ati awọn modulu.
4.2.1. Awọn iyatọ
Algorithm RC4 atilẹba pẹlu awọn ipele meji: s-block initialization (aka KSA – Key-Scheduling Algorithm) ati iran ti o tẹle-ipinnu (PRGA - Alugoridimu Ipilẹ-itumọ). Ipele akọkọ jẹ bibẹrẹ s-apoti nipa lilo bọtini, ati ni ipele keji ọrọ orisun ti ni ilọsiwaju nipa lilo apoti s fun fifi ẹnọ kọ nkan.
Awọn onkọwe RTM ṣafikun igbesẹ agbedemeji laarin ibẹrẹ s-apoti ati fifi ẹnọ kọ nkan. Bọtini afikun jẹ oniyipada ati pe o ṣeto ni akoko kanna bi data lati jẹ fifipamọ ati decrypted. Iṣẹ ti o ṣe igbesẹ afikun yii ni a fihan ni aworan ni isalẹ.
4.2.2. Ìsekóòdù okun
Ni wiwo akọkọ, ọpọlọpọ awọn laini kika ni DLL akọkọ. Awọn iyokù ti wa ni fifi ẹnọ kọ nkan nipa lilo algorithm ti a ṣalaye loke, eto eyiti o han ni nọmba atẹle. A ri diẹ sii ju awọn bọtini RC25 oriṣiriṣi 4 fun fifi ẹnọ kọ nkan okun ni awọn ayẹwo ti a ṣe atupale. Bọtini XOR yatọ fun ila kọọkan. Iye ti aaye nomba yiya sọtọ awọn ila jẹ nigbagbogbo 0xFFFFFFFF.
Ni ibẹrẹ ti ipaniyan, RTM decrypts awọn okun sinu oniyipada agbaye. Nigbati o ba jẹ dandan lati wọle si okun kan, Tirojanu naa ṣe iṣiro adiresi ti awọn gbolohun ọrọ ti o da lori ipilẹ adirẹsi ati aiṣedeede.
Awọn okun ni alaye ti o nifẹ ninu nipa awọn iṣẹ malware naa. Diẹ ninu awọn okun apẹẹrẹ ti pese ni Abala 6.8.
4.3. Nẹtiwọọki
Ọna ti RTM malware ṣe kan si olupin C&C yatọ lati ẹya si ẹya. Awọn iyipada akọkọ (Oṣu Kẹwa 2015 - Oṣu Kẹrin ọdun 2016) lo awọn orukọ agbegbe ibile pẹlu kikọ sii RSS lori livejournal.com lati ṣe imudojuiwọn atokọ ti awọn aṣẹ.
Lati Oṣu Kẹrin ọdun 2016, a ti rii iyipada si awọn ibugbe .bit ni data telemetry. Eyi jẹ idaniloju nipasẹ ọjọ iforukọsilẹ agbegbe - aaye RTM akọkọ fde05d0573da.bit ti forukọsilẹ ni Oṣu Kẹta Ọjọ 13, Ọdun 2016.
Gbogbo awọn URL ti a rii lakoko ibojuwo ipolongo naa ni ọna ti o wọpọ: /r/z.php. O jẹ ohun dani ati pe yoo ṣe iranlọwọ idanimọ awọn ibeere RTM ni awọn ṣiṣan nẹtiwọọki.
4.3.1. Ikanni fun awọn aṣẹ ati iṣakoso
Awọn apẹẹrẹ Legacy lo ikanni yii lati ṣe imudojuiwọn atokọ wọn ti aṣẹ ati olupin iṣakoso. Alejo wa ni livejournal.com, ni akoko kikọ ijabọ naa o wa ni URL hxxp://f72bba81c921(.)livejournal(.)com/ data/rss.
Livejournal jẹ ile-iṣẹ ara ilu Russia-Amẹrika ti o pese pẹpẹ bulọọgi kan. Awọn oniṣẹ RTM ṣẹda bulọọgi LJ kan ninu eyiti wọn fi nkan ranṣẹ pẹlu awọn aṣẹ koodu - wo sikirinifoto.
Aṣẹ ati awọn laini iṣakoso ti wa ni koodu nipa lilo algorithm RC4 ti a ti yipada (Abala 4.2). Ẹya lọwọlọwọ (Oṣu kọkanla 2016) ti ikanni naa ni aṣẹ atẹle ati awọn adirẹsi olupin iṣakoso:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. .bit ibugbe
Ni awọn ayẹwo RTM aipẹ julọ, awọn onkọwe sopọ si awọn ibugbe C&C ni lilo agbegbe ipele oke-oke .bit TLD. Kii ṣe lori atokọ ICANN (Orukọ-ašẹ ati Intanẹẹti Corporation) ti awọn ibugbe ipele oke. Dipo, o nlo eto Namecoin, eyiti a ṣe lori oke imọ-ẹrọ Bitcoin. Awọn onkọwe Malware ko nigbagbogbo lo .bit TLD fun awọn ibugbe wọn, botilẹjẹpe apẹẹrẹ ti iru lilo ti ni iṣaaju ti ṣe akiyesi ni ẹya Necurs botnet.
Ko dabi Bitcoin, awọn olumulo ti ibi ipamọ data Namecoin pinpin ni agbara lati fi data pamọ. Ohun elo akọkọ ti ẹya yii ni .bit oke-ašẹ. O le forukọsilẹ awọn ibugbe ti yoo wa ni ipamọ sinu ibi ipamọ data pinpin. Awọn titẹ sii ti o baamu ni ibi ipamọ data ni awọn adirẹsi IP ti o yanju nipasẹ agbegbe naa. TLD yii jẹ “sooro ihamon” nitori pe olufoorukọsilẹ nikan le yi ipinnu ti agbegbe .bit pada. Eyi tumọ si pe o nira pupọ lati da agbegbe irira duro nipa lilo iru TLD yii.
Tirojanu RTM ko ṣe ifibọ sọfitiwia pataki lati ka ibi ipamọ data Namecoin ti o pin. O nlo awọn olupin DNS aarin gẹgẹbi dns.dot-bit.org tabi awọn olupin OpenNic lati yanju awọn ibugbe .bit. Nitorinaa, o ni agbara kanna bi awọn olupin DNS. A ṣe akiyesi pe diẹ ninu awọn ibugbe ẹgbẹ ni a ko rii lẹhin ti mẹnuba ninu ifiweranṣẹ bulọọgi kan.
Anfani miiran ti .bit TLD fun awọn olosa jẹ iye owo. Lati forukọsilẹ agbegbe kan, awọn oniṣẹ nilo lati san 0,01 NK nikan, eyiti o baamu $ 0,00185 (bi ti Oṣu kejila ọjọ 5, ọdun 2016). Fun lafiwe, domain.com iye owo o kere ju $10.
4.3.3. Ilana
Lati ṣe ibasọrọ pẹlu aṣẹ ati olupin iṣakoso, RTM nlo awọn ibeere HTTP POST pẹlu data ti a ṣe akoonu nipa lilo ilana aṣa. Iye ipa ọna nigbagbogbo /r/z.php; Aṣoju olumulo Mozilla/5.0 (ibaramu; MSIE 9.0; Windows NT 6.1; Trident/5.0). Ni awọn ibeere si olupin, data ti wa ni ọna kika bi atẹle, nibiti awọn iye aiṣedeede ti ṣafihan ni awọn baiti:
Awọn baiti 0 si 6 ko ni koodu; Awọn baiti ti o bẹrẹ lati 6 ti wa ni koodu nipa lilo algorithm RC4 ti a ṣe atunṣe. Ilana ti apo idahun C&C jẹ rọrun. Awọn baiti ti wa ni koodu lati 4 si iwọn apo.
Atokọ ti awọn iye baiti iṣe ti o ṣeeṣe ti gbekalẹ ninu tabili ni isalẹ:
Awọn malware nigbagbogbo ṣe iṣiro CRC32 ti data ti a ti pa akoonu ati ṣe afiwe rẹ pẹlu ohun ti o wa ninu apo. Ti wọn ba yatọ, Tirojanu ju apo naa silẹ.
Awọn afikun data le ni orisirisi awọn nkan, pẹlu faili PE, faili kan lati wa ninu eto faili, tabi awọn URL aṣẹ titun.
4.3.4. Igbimọ
A ṣe akiyesi pe RTM nlo nronu lori awọn olupin C&C. Sikirinifoto ni isalẹ:
4.4. Ami abuda
RTM jẹ Tirojanu ti ile-ifowopamọ aṣoju. Kii ṣe iyalẹnu pe awọn oniṣẹ fẹ alaye nipa eto olufaragba naa. Ni apa kan, bot n gba alaye gbogbogbo nipa OS naa. Ni apa keji, o rii boya eto ti o gbogun ni awọn abuda ti o ni nkan ṣe pẹlu awọn eto ifowopamọ latọna jijin Russia.
4.4.1. Gbogbogbo alaye
Nigbati a ba fi malware sori ẹrọ tabi ṣe ifilọlẹ lẹhin atunbere, a firanṣẹ ijabọ kan si aṣẹ ati olupin iṣakoso ti o ni alaye gbogbogbo pẹlu:
- Aago akoko;
- ede eto aiyipada;
- awọn iwe-ẹri olumulo ti a fun ni aṣẹ;
- ipele iyege ilana;
- Orukọ olumulo;
- orukọ kọmputa;
- OS version;
- afikun ti fi sori ẹrọ modulu;
- ti fi sori ẹrọ eto antivirus;
- akojọ ti awọn smati kaadi onkawe.
4.4.2 Latọna ile-ifowopamọ eto
Aṣoju Tirojanu aṣoju jẹ eto ile-ifowopamọ latọna jijin, ati RTM kii ṣe iyatọ. Ọkan ninu awọn modulu eto naa ni a pe ni TBdo, eyiti o ṣe awọn iṣẹ ṣiṣe lọpọlọpọ, pẹlu awọn disiki ọlọjẹ ati itan lilọ kiri ayelujara.
Nipa wíwo disiki naa, Tirojanu ṣayẹwo boya o ti fi software ifowopamọ sori ẹrọ naa. Atokọ kikun ti awọn eto ibi-afẹde wa ninu tabili ni isalẹ. Lẹhin ti o ti rii faili ti iwulo, eto naa firanṣẹ alaye si olupin aṣẹ. Awọn iṣe atẹle da lori ọgbọn ti a sọ nipasẹ awọn algoridimu ile-iṣẹ aṣẹ (C&C).
RTM tun n wa awọn ilana URL ninu itan aṣawakiri rẹ ati ṣiṣi awọn taabu. Ni afikun, eto naa ṣe ayẹwo lilo FindNextUrlCacheEntryA ati FindFirstUrlCacheEntryA awọn iṣẹ, ati tun ṣayẹwo titẹ sii kọọkan lati baamu URL si ọkan ninu awọn ilana atẹle:
Lẹhin ti o ti rii awọn taabu ṣiṣi, Tirojanu awọn olubasọrọ Internet Explorer tabi Firefox nipasẹ ẹrọ Yiyiyi Data Exchange (DDE) lati ṣayẹwo boya taabu naa baamu ilana naa.
Ṣiṣayẹwo itan lilọ kiri ayelujara rẹ ati awọn taabu ṣiṣi ni a ṣe ni igba kan (loop kan pẹlu ipo iṣaaju) pẹlu isinmi iṣẹju 1 kan laarin awọn sọwedowo. Awọn data miiran ti o ṣe abojuto ni akoko gidi ni yoo jiroro ni apakan 4.5.
Ti o ba rii apẹẹrẹ kan, eto naa ṣe ijabọ eyi si olupin aṣẹ nipa lilo atokọ ti awọn okun lati tabili atẹle:
4.5 Abojuto
Lakoko ti Tirojanu nṣiṣẹ, alaye nipa awọn ẹya abuda ti eto ti o ni arun (pẹlu alaye nipa wiwa ti sọfitiwia ifowopamọ) ti firanṣẹ si aṣẹ ati olupin iṣakoso. Fingerprinting waye nigbati RTM kọkọ nṣiṣẹ eto ibojuwo lẹsẹkẹsẹ lẹhin ọlọjẹ OS akọkọ.
4.5.1. Latọna ile-ifowopamọ
Module TBdo tun jẹ iduro fun abojuto awọn ilana ti o jọmọ ile-ifowopamọ. O nlo paṣipaarọ data ti o ni agbara lati ṣayẹwo awọn taabu ni Firefox ati Internet Explorer lakoko ọlọjẹ akọkọ. Module TShell miiran ni a lo lati ṣe atẹle awọn window aṣẹ (Internet Explorer tabi Oluṣakoso faili).
Module naa nlo awọn atọkun COM IShellWindows, iWebBrowser, DWebBrowserEvents2 ati IConnectionPointContainer lati ṣe atẹle awọn window. Nigbati olumulo kan ba lọ kiri si oju-iwe wẹẹbu tuntun, malware ṣe akiyesi eyi. Lẹhinna o ṣe afiwe oju-iwe URL pẹlu awọn ilana ti o wa loke. Lẹhin ti o ti rii ibaamu kan, Tirojanu gba awọn sikirinisoti itẹlera mẹfa pẹlu aarin iṣẹju 5 ati firanṣẹ si olupin aṣẹ C&S. Eto naa tun ṣayẹwo diẹ ninu awọn orukọ window ti o jọmọ sọfitiwia ile-ifowopamọ - atokọ ni kikun wa ni isalẹ:
4.5.2. Smart kaadi
RTM gba ọ laaye lati ṣe atẹle awọn oluka kaadi smart ti o sopọ si awọn kọnputa ti o ni arun. Awọn ẹrọ wọnyi ni a lo ni diẹ ninu awọn orilẹ-ede lati ṣe atunṣe awọn ibere isanwo. Ti iru ẹrọ yii ba ni asopọ si kọnputa, o le tọka si Tirojanu kan pe ẹrọ naa nlo fun awọn iṣowo ile-ifowopamọ.
Ko dabi awọn Trojans banki miiran, RTM ko le ṣe ajọṣepọ pẹlu iru awọn kaadi smati bẹ. Boya iṣẹ ṣiṣe yii wa ninu afikun module ti a ko tii rii sibẹsibẹ.
4.5.3. Keylogger
Apakan pataki ti ibojuwo PC ti o ni akoran jẹ gbigba awọn bọtini bọtini. O dabi pe awọn olupilẹṣẹ RTM ko padanu alaye eyikeyi, nitori wọn ṣe atẹle kii ṣe awọn bọtini deede nikan, ṣugbọn tun bọtini itẹwe foju ati agekuru agekuru.
Lati ṣe eyi, lo iṣẹ SetWindowsHookExA. Awọn ikọlu wọle awọn bọtini ti a tẹ tabi awọn bọtini ti o baamu si keyboard foju, pẹlu orukọ ati ọjọ ti eto naa. Ifipamọ naa yoo ranṣẹ si olupin pipaṣẹ C&C.
Iṣẹ SetClipboardViewer ni a lo lati ṣe idilọwọ awọn agekuru agekuru. Awọn olosa komputa wọle awọn akoonu ti agekuru agekuru nigbati data jẹ ọrọ. Orukọ ati ọjọ naa tun jẹ ibuwolu wọle ṣaaju fifiranṣẹ ifipamọ si olupin naa.
4.5.4. Awọn sikirinisoti
Iṣẹ RTM miiran jẹ interception sikirinifoto. Ẹya naa ti lo nigbati module ibojuwo window ṣe iwari aaye kan tabi sọfitiwia ile-ifowopamọ ti iwulo. A ya awọn sikirinisoti ni lilo ile-ikawe ti awọn aworan ayaworan ati gbe lọ si olupin aṣẹ.
4.6. Yiyokuro
Olupin C&C le da malware duro lati ṣiṣẹ ati nu kọmputa rẹ di mimọ. Aṣẹ naa gba ọ laaye lati ko awọn faili kuro ati awọn titẹ sii iforukọsilẹ ti o ṣẹda lakoko ti RTM nṣiṣẹ. DLL naa ni a lo lati yọ malware ati faili winlogon kuro, lẹhin eyi aṣẹ naa ti pa kọmputa naa. Gẹgẹbi aworan ti o wa ni isalẹ, DLL ti yọkuro nipasẹ awọn olupilẹṣẹ nipa lilo erase.dll.
Olupin naa le fi Tirojanu ranṣẹ pipaṣẹ aifi si-tiipa iparun. Ni idi eyi, ti o ba ni awọn ẹtọ alakoso, RTM yoo pa ẹka bata MBR rẹ lori dirafu lile. Ti eyi ba kuna, Tirojanu yoo gbiyanju lati yi eka bata MBR pada si eka laileto - lẹhinna kọnputa kii yoo ni anfani lati bata OS lẹhin tiipa. Eyi le ja si fifi sori ẹrọ ni pipe ti OS, eyiti o tumọ si iparun ti ẹri.
Laisi awọn anfani alabojuto, malware naa kọ koodu .EXE kan ninu RTM DLL ti o wa labẹ. Iṣiṣẹ naa ṣiṣẹ koodu ti o nilo lati ku kọnputa naa silẹ ati forukọsilẹ module ni bọtini iforukọsilẹ HKCUCurrentVersionRun. Ni gbogbo igba ti olumulo ba bẹrẹ igba, kọnputa naa yoo wa ni pipa lẹsẹkẹsẹ.
4.7. Faili iṣeto ni
Nipa aiyipada, RTM ko ni faili atunto, ṣugbọn aṣẹ ati olupin iṣakoso le firanṣẹ awọn iye atunto ti yoo wa ni fipamọ sinu iforukọsilẹ ati lilo nipasẹ eto naa. Atokọ awọn bọtini iṣeto ni a gbekalẹ ninu tabili ni isalẹ:
Iṣeto ni a fipamọ sinu bọtini iforukọsilẹ Software[okun afarape]. Iye kọọkan ni ibamu si ọkan ninu awọn ori ila ti a gbekalẹ ninu tabili ti tẹlẹ. Awọn iye ati data ti wa ni koodu nipa lilo algorithm RC4 ni RTM.
Awọn data ni eto kanna bi nẹtiwọki tabi awọn okun. Bọtini XOR oni-baiti mẹrin ti wa ni afikun ni ibẹrẹ data ti a fi koodu pamọ. Fun awọn iye atunto, bọtini XOR yatọ ati da lori iwọn iye naa. O le ṣe iṣiro bi atẹle:
xor_key = (len(config_value) << 24) | (len(config_value) << 16)
| lẹnsi (config_value)| (len(config_value) << 8)
4.8. Awọn ẹya ara ẹrọ miiran
Nigbamii, jẹ ki a wo awọn iṣẹ miiran ti RTM ṣe atilẹyin.
4.8.1. Awọn afikun modulu
Tirojanu naa pẹlu awọn modulu afikun, eyiti o jẹ awọn faili DLL. Awọn modulu ti a firanṣẹ lati ọdọ olupin aṣẹ C&C le ṣee ṣe bi awọn eto ita, ti o farahan ni Ramu ati ṣe ifilọlẹ ni awọn okun tuntun. Fun ibi ipamọ, awọn modulu ti wa ni fipamọ ni awọn faili .dtt ati fifi koodu sii nipa lilo algorithm RC4 pẹlu bọtini kanna ti a lo fun awọn ibaraẹnisọrọ nẹtiwọki.
Nitorinaa a ti ṣe akiyesi fifi sori ẹrọ ti module VNC (8966319882494077C21F66A8354E2CBCA0370464), module isediwon data ẹrọ aṣawakiri (03DE8622BE6B2F75A364A275995C3411626C4D9F) 1FBA2 B1BE562D1B69E6CFAB).
Lati fifuye module VNC, olupin C&C n funni ni aṣẹ kan ti o beere awọn asopọ si olupin VNC ni adiresi IP kan pato lori ibudo 44443. Ohun itanna igbapada data ẹrọ aṣawakiri ṣiṣẹ TBrowserDataCollector, eyiti o le ka itan lilọ kiri IE. Lẹhinna o firanṣẹ atokọ kikun ti awọn URL ti o ṣabẹwo si olupin aṣẹ C&C.
Awọn ti o kẹhin module awari ni a npe ni 1c_2_kl. O le ṣe ajọṣepọ pẹlu package sọfitiwia Idawọlẹ 1C. Module naa pẹlu awọn ẹya meji: apakan akọkọ - DLL ati awọn aṣoju meji (32 ati 64 bit), eyiti yoo jẹ itasi sinu ilana kọọkan, fiforukọṣilẹ abuda kan si WH_CBT. Lẹhin ti a ti ṣafihan sinu ilana 1C, module naa sopọ awọn iṣẹ CreateFile ati WriteFile. Nigbakugba ti CreateFile dè iṣẹ ni a npe ni, tọjú module ona faili 1c_to_kl.txt ni iranti. Lẹhin kikọlu ipe WriteFile, o pe iṣẹ WriteFile ati firanṣẹ ọna faili 1c_to_kl.txt si module DLL akọkọ, ti o kọja ifiranṣẹ Windows WM_COPYDATA ti a ṣe.
Module DLL akọkọ ṣii ati ṣiparọ faili naa lati pinnu awọn aṣẹ isanwo. O mọ iye ati nọmba idunadura ti o wa ninu faili naa. Alaye yii ni a fi ranṣẹ si olupin aṣẹ. A gbagbọ pe module yii wa ni idagbasoke lọwọlọwọ nitori pe o ni ifiranṣẹ yokokoro ninu ati pe ko le yipada laifọwọyi 1c_to_kl.txt.
4.8.2. Igbega anfani
RTM le gbiyanju lati mu awọn anfani pọ si nipa fifihan awọn ifiranṣẹ aṣiṣe eke. Awọn malware ṣe simulates ayẹwo iforukọsilẹ (wo aworan ni isalẹ) tabi nlo aami olootu iforukọsilẹ gidi kan. Jọwọ ṣakiyesi idaduro aiṣedeede – kini. Lẹhin iṣẹju diẹ ti ọlọjẹ, eto naa ṣafihan ifiranṣẹ aṣiṣe eke kan.
Ifiranṣẹ eke yoo tàn olumulo apapọ jẹ ni rọọrun, laibikita awọn aṣiṣe girama. Ti olumulo ba tẹ ọkan ninu awọn ọna asopọ meji, RTM yoo gbiyanju lati mu awọn anfani rẹ pọ si ninu eto naa.
Lẹhin yiyan ọkan ninu awọn aṣayan imularada meji, Tirojanu ṣe ifilọlẹ DLL nipa lilo aṣayan runas ni iṣẹ ShellExecute pẹlu awọn anfani alakoso. Olumulo yoo rii itọsi Windows gidi kan (wo aworan ni isalẹ) fun igbega. Ti olumulo ba fun ni awọn igbanilaaye pataki, Tirojanu yoo ṣiṣẹ pẹlu awọn anfani alabojuto.
Ti o da lori ede aiyipada ti a fi sori ẹrọ, Tirojanu n ṣafihan awọn ifiranṣẹ aṣiṣe ni Russian tabi Gẹẹsi.
4.8.3. Iwe-ẹri
RTM le ṣafikun awọn iwe-ẹri si Ile-itaja Windows ki o jẹrisi igbẹkẹle afikun nipa titẹ bọtini “bẹẹni” laifọwọyi ninu apoti ibaraẹnisọrọ csrss.exe. Ihuwasi yii kii ṣe tuntun; fun apẹẹrẹ, Tirojanu Retefe ti ile-ifowopamọ tun jẹrisi ni ominira fifi sori ẹrọ ijẹrisi tuntun kan.
4.8.4. Yipada asopọ
Awọn onkọwe RTM tun ṣẹda oju eefin TCP Backconnect. A ko tii rii ẹya ti o wa ni lilo sibẹsibẹ, ṣugbọn o jẹ apẹrẹ lati ṣe atẹle latọna jijin awọn PC ti o ni akoran.
4.8.5. Gbalejo faili isakoso
Olupin C&C le fi aṣẹ ranṣẹ si Tirojanu lati yi faili agbalejo Windows pada. Faili agbalejo naa ni a lo lati ṣẹda awọn ipinnu DNS aṣa.
4.8.6. Wa ki o fi faili ranṣẹ
Olupin naa le beere lati wa ati ṣe igbasilẹ faili kan lori eto ti o ni akoran. Fun apẹẹrẹ, lakoko iwadii a gba ibeere fun faili 1c_to_kl.txt. Gẹgẹbi a ti ṣalaye tẹlẹ, faili yii jẹ ipilẹṣẹ nipasẹ eto iṣiro 1C: Enterprise 8.
4.8.7. Imudojuiwọn
Lakotan, awọn onkọwe RTM le ṣe imudojuiwọn sọfitiwia naa nipa fifisilẹ DLL tuntun lati rọpo ẹya lọwọlọwọ.
5. Ipari
Iwadi RTM fihan pe eto ile-ifowopamọ Russia tun ṣe ifamọra awọn ikọlu cyber. Awọn ẹgbẹ bii Buhtrap, Corkow ati Carbanak ṣaṣeyọri ji owo lati awọn ile-iṣẹ inawo ati awọn alabara wọn ni Russia. RTM jẹ oṣere tuntun ni ile-iṣẹ yii.
Awọn irinṣẹ RTM irira ti wa ni lilo lati o kere ju ọdun 2015, ni ibamu si telemetry ESET. Eto naa ni iwọn kikun ti awọn agbara amí, pẹlu kika awọn kaadi smati, kikọlu awọn bọtini bọtini ati ṣiṣe abojuto awọn iṣowo ile-ifowopamọ, ati wiwa awọn faili irinna 1C: Idawọlẹ 8.
Lilo agbegbe ti a ti sọ di mimọ, ti a ko ni igbọwọ .bit oke-ipele ašẹ ṣe idaniloju awọn amayederun ti o ga julọ.
orisun: www.habr.com