有几个已知的网络组织专门从俄罗斯公司窃取资金。 我们已经看到利用允许访问目标网络的安全漏洞的攻击。 一旦获得访问权限,攻击者就会研究组织的网络结构并部署自己的工具来窃取资金。 这一趋势的典型例子是黑客组织 Buhtrap、Cobalt 和 Corkow。
本报告重点关注的RTM群体就是这一趋势的一部分。 它使用用 Delphi 编写的专门设计的恶意软件,我们将在以下部分中更详细地了解。 2015 年底,人们在 ESET 遥测系统中首次发现了这些工具的踪迹。 该团队根据需要将各种新模块加载到受感染的系统上。 这些攻击针对俄罗斯和一些邻国的远程银行系统用户。
1. 目标
RTM 活动针对企业用户 - 从攻击者试图在受感染系统中检测的过程中可以明显看出这一点。 重点是用于远程银行系统的会计软件。
RTM 感兴趣的进程列表类似于 Buhtrap 组的相应列表,但这些组具有不同的感染媒介。 如果说 Buhtrap 更频繁地使用虚假页面,那么 RTM 则使用偷渡式下载攻击(对浏览器或其组件的攻击)和通过电子邮件发送垃圾邮件。 根据遥测数据,威胁针对的是俄罗斯和几个周边国家(乌克兰、哈萨克斯坦、捷克共和国、德国)。 然而,由于使用了大规模分发机制,在目标区域之外检测到恶意软件并不奇怪。
检测到的恶意软件总数相对较少。 另一方面,RTM活动使用了复杂的程序,这表明攻击具有很强的针对性。
我们发现了 RTM 使用的一些诱饵文件,包括不存在的合同、发票或税务会计文件。 诱饵的性质以及攻击目标软件的类型表明,攻击者正在通过会计部门“进入”俄罗斯公司的网络。 该小组按照相同的计划行事 在2014-2015中
在研究过程中,我们能够与多个 C&C 服务器进行交互。 我们将在以下部分列出完整的命令列表,但现在我们可以说客户端将数据从键盘记录器直接传输到攻击服务器,然后从攻击服务器接收其他命令。
然而,您只需连接到命令和控制服务器并收集您感兴趣的所有数据的日子已经一去不复返了。 我们重新创建了真实的日志文件以从服务器获取一些相关命令。
第一个请求是向机器人传输文件 1c_to_kl.txt - 1C: Enterprise 8 程序的传输文件,其外观由 RTM 主动监控。 1C 通过将付款数据上传到文本文件来与远程银行系统进行交互。 接下来,该文件被发送到远程银行系统,以自动执行付款订单。
该文件包含付款详细信息。 如果攻击者更改有关付款的信息,转账将使用虚假详细信息发送到攻击者的帐户。
从命令和控制服务器请求这些文件大约一个月后,我们观察到一个新插件 1c_2_kl.dll 被加载到受感染的系统上。 该模块(DLL)旨在通过穿透会计软件进程来自动分析下载文件。 我们将在以下部分详细描述它。
有趣的是,俄罗斯央行FinCERT曾于2016年底发布过关于网络犯罪分子使用1c_to_kl.txt上传文件的公告警告。 1C的开发者也知道这个方案,他们已经做出了官方声明并列出了注意事项。
其他模块也从命令服务器加载,特别是 VNC(其 32 位和 64 位版本)。 它类似于之前在 Dridex 木马攻击中使用的 VNC 模块。 该模块据称用于远程连接到受感染的计算机并对系统进行详细研究。 接下来,攻击者尝试在网络中移动,提取用户密码,收集信息并确保恶意软件的持续存在。
2. 感染媒介
下图显示了该活动研究期间检测到的感染媒介。 该组织使用多种媒介,但主要是偷渡式下载攻击和垃圾邮件。 这些工具对于有针对性的攻击很方便,因为在第一种情况下,攻击者可以选择潜在受害者访问的站点,而在第二种情况下,他们可以直接向所需的公司员工发送带有附件的电子邮件。
该恶意软件通过多种渠道分发,包括 RIG 和 Sundown 漏洞利用工具包或垃圾邮件,表明攻击者与提供这些服务的其他网络攻击者之间存在联系。
2.1. RTM 和 Buhtrap 有什么关系?
RTM 活动与 Buhtrap 非常相似。 自然的问题是:它们之间有何关系?
2016 年 XNUMX 月,我们观察到使用 Buhtrap 上传器分发 RTM 样本。 此外,我们还发现 Buhtrap 和 RTM 中都使用了两个数字证书。
第一个据称是发给 DNISTER-M 公司的,用于对第二个 Delphi 表单(SHA-1:025C718BA31E43DB1B87DC13F94A61A9338C11CE)和 Buhtrap DLL(SHA-1:1E2642B454A2C889B6D41116CCDBA83F6F2D4890)进行数字签名。
第二个发布给 Bit-Tredj,用于签署 Buhtrap 加载程序(SHA-1:7C1B6B1713BD923FC243DFEC80002FE9B93EB292 和 B74F71560E48488D2153AE2FB51207A0AC206E2B),以及下载和安装 RTM 组件。
RTM 操作者使用其他恶意软件家族通用的证书,但他们也有一个独特的证书。 根据ESET遥测,它被发布给Kit-SD,仅用于签署一些RTM恶意软件(SHA-1:42A4B04446A20993DDAE98B2BE6D5A797376D4B6)。
RTM 使用与 Buhtrap 相同的加载器,RTM 组件是从 Buhtrap 基础设施加载的,因此这些组具有相似的网络指标。 然而,根据我们的估计,RTM 和 Buhtrap 是不同的群体,至少因为 RTM 的分发方式不同(不仅使用“外国”下载器)。
尽管如此,黑客组织仍然使用类似的操作原理。 他们针对使用会计软件的企业,同样收集系统信息,搜索智能卡读卡器,并部署一系列恶意工具来监视受害者。
3. 进化
在本节中,我们将了解研究期间发现的不同版本的恶意软件。
3.1. 版本控制
RTM 将配置数据存储在注册表部分中,最有趣的部分是僵尸网络前缀。 下表列出了我们在研究的样本中看到的所有值。
这些值有可能用于记录恶意软件版本。 然而,我们并没有注意到bit2和bit3、0.1.6.4和0.1.6.6等版本之间有太大区别。 此外,其中一个前缀从一开始就存在,并已从典型的 C&C 域演变为 .bit 域,如下所示。
3.2. 日程
使用遥测数据,我们创建了样本出现情况的图表。
一、技术分析
在本节中,我们将描述RTM银行木马的主要功能,包括抵抗机制、其自己版本的RC4算法、网络协议、间谍功能和其他一些功能。 我们将特别关注 SHA-1 样本 AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 和 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B。
4.1. 安装与保存
4.1.1. 实施
RTM 核心是一个 DLL,该库使用 .EXE 加载到磁盘上。 可执行文件通常被打包并包含DLL代码。 启动后,它会提取 DLL 并使用以下命令运行它:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. 动态链接库
主 DLL 始终作为 %PROGRAMDATA%Winlogon 文件夹中的 winlogon.lnk 加载到磁盘。 这个文件扩展名通常与快捷方式相关联,但该文件实际上是一个用Delphi编写的DLL,被开发人员命名为core.dll,如下图所示。
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
一旦启动,木马就会激活其抵抗机制。 这可以通过两种不同的方式来完成,具体取决于受害者在系统中的权限。 如果您具有管理员权限,该特洛伊木马会将 Windows Update 条目添加到 HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun 注册表中。 Windows 更新中包含的命令将在用户会话开始时运行。
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe“%PROGRAMDATA%winlogon.lnk”,DllGetClassObject 主机
该特洛伊木马还尝试将任务添加到 Windows 任务计划程序中。 该任务将使用与上述相同的参数启动 winlogon.lnk DLL。 常规用户权限允许特洛伊木马将具有相同数据的 Windows Update 条目添加到 HKCUSoftwareMicrosoftWindowsCurrentVersionRun 注册表中:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. 修改后的RC4算法
尽管存在已知的缺点,RC4 算法仍被恶意软件作者经常使用。 然而,RTM 的创建者对其进行了轻微修改,可能是为了使病毒分析人员的任务变得更加困难。 RC4 的修改版本广泛用于恶意 RTM 工具中,用于加密字符串、网络数据、配置和模块。
4.2.1. 差异
原始的 RC4 算法包括两个阶段:s 块初始化(又名 KSA - 密钥调度算法)和伪随机序列生成(PRGA - 伪随机生成算法)。 第一阶段涉及使用密钥初始化 s-box,第二阶段使用 s-box 处理源文本以进行加密。
RTM 作者在 s-box 初始化和加密之间添加了一个中间步骤。 附加密钥是可变的并且与要加密和解密的数据同时设置。 执行此附加步骤的函数如下图所示。
4.2.2. 字符串加密
乍一看,主 DLL 中有几行可读的行。 其余部分使用上述算法进行加密,其结构如下图所示。 我们在分析的样本中发现了超过 25 个用于字符串加密的不同 RC4 密钥。 每行的 XOR 键都不同。 分隔线的数字字段的值始终为 0xFFFFFFFF。
在执行开始时,RTM 将字符串解密到全局变量中。 当需要访问字符串时,木马会根据基地址和偏移量动态计算解密字符串的地址。
这些字符串包含有关恶意软件功能的有趣信息。 第 6.8 节提供了一些示例字符串。
4.3. 网络
RTM 恶意软件联系 C&C 服务器的方式因版本而异。 第一次修改(2015 年 2016 月至 XNUMX 年 XNUMX 月)使用传统域名以及 livejournal.com 上的 RSS 提要来更新命令列表。
自 2016 年 05 月以来,我们发现遥测数据已转向 .bit 域。 域名注册日期证实了这一点 - 第一个 RTM 域名 fde0573d13da.bit 于 2016 年 XNUMX 月 XNUMX 日注册。
我们在监控活动时看到的所有 URL 都有一个共同的路径:/r/z.php。 这是非常不寻常的,它将有助于识别网络流中的 RTM 请求。
4.3.1. 命令和控制通道
旧示例使用此通道来更新其命令和控制服务器列表。 托管位于 livejournal.com,在撰写报告时,其 URL 仍为 hxxp://f72bba81c921(.)livejournal(.)com/data/rss。
Livejournal 是一家提供博客平台的俄裔美国公司。 RTM 操作员创建了一个 LJ 博客,他们在其中发布了一篇包含编码命令的文章 - 请参阅屏幕截图。
命令和控制线使用修改后的 RC4 算法进行编码(第 4.2 节)。 该通道的当前版本(2016 年 XNUMX 月)包含以下命令和控制服务器地址:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. .bit 域
在最新的 RTM 示例中,作者使用 .bit TLD 顶级域连接到 C&C 域。 它不在 ICANN(域名和互联网公司)的顶级域名列表中。 相反,它使用的是建立在比特币技术之上的 Namecoin 系统。 恶意软件作者并不经常在其域名中使用 .bit TLD,尽管此前已在 Necurs 僵尸网络的某个版本中观察到此类使用的示例。
与比特币不同,分布式 Namecoin 数据库的用户具有保存数据的能力。 该功能的主要应用是.bit顶级域。 您可以注册将存储在分布式数据库中的域。 数据库中的相应条目包含由域解析的 IP 地址。 该 TLD 具有“抗审查性”,因为只有注册人才能更改 .bit 域的分辨率。 这意味着阻止使用此类 TLD 的恶意域要困难得多。
RTM 木马没有嵌入读取分布式 Namecoin 数据库所需的软件。 它使用中央 DNS 服务器(例如 dns.dot-bit.org 或 OpenNic 服务器)来解析 .bit 域。 因此,它具有与 DNS 服务器相同的耐用性。 我们观察到,一些团队域在博客文章中提及后不再被检测到。
对于黑客而言,.bit TLD 的另一个优势是成本。 要注册一个域名,运营商只需支付 0,01 NK,相当于 0,00185 美元(截至 5 年 2016 月 10 日)。 相比之下,domain.com 的成本至少为 XNUMX 美元。
4.3.3. 协议
为了与命令和控制服务器进行通信,RTM 使用 HTTP POST 请求以及使用自定义协议格式化的数据。 路径值始终为/r/z.php; Mozilla/5.0 用户代理(兼容;MSIE 9.0;Windows NT 6.1;Trident/5.0)。 在向服务器发出的请求中,数据格式如下,其中偏移值以字节表示:
字节0到6不编码; 从 6 开始的字节使用修改后的 RC4 算法进行编码。 C&C响应报文的结构更加简单。 字节编码从 4 到数据包大小。
下表列出了可能的操作字节值:
恶意软件始终计算解密数据的 CRC32,并将其与数据包中存在的内容进行比较。 如果它们不同,则特洛伊木马会丢弃该数据包。
附加数据可以包含各种对象,包括PE文件、要在文件系统中搜索的文件或者新的命令URL。
4.3.4. 控制板
我们注意到 RTM 在 C&C 服务器上使用面板。 截图如下:
4.4. 特色标志
RTM是典型的银行木马。 运营商想要有关受害者系统的信息也就不足为奇了。 一方面,机器人收集有关操作系统的一般信息。 另一方面,它查明受感染的系统是否包含与俄罗斯远程银行系统相关的属性。
4.4.1. 一般信息
当恶意软件在重新启动后安装或启动时,系统会向命令和控制服务器发送一份报告,其中包含一般信息,包括:
- 时区;
- 默认系统语言;
- 授权用户凭证;
- 流程完整性级别;
- 用户名;
- 计算机名称;
- 操作系统版本;
- 额外安装的模块;
- 安装了防病毒程序;
- 智能卡读卡器列表。
4.4.2 远程银行系统
典型的木马目标是远程银行系统,RTM 也不例外。 该程序的模块之一称为 TBdo,它执行各种任务,包括扫描磁盘和浏览历史记录。
木马通过扫描磁盘来检查机器上是否安装了银行软件。 目标计划的完整列表如下表所示。 检测到感兴趣的文件后,程序将信息发送到命令服务器。 接下来的操作取决于命令中心 (C&C) 算法指定的逻辑。
RTM 还会在浏览器历史记录和打开的选项卡中查找 URL 模式。 此外,该程序还检查 FindNextUrlCacheEntryA 和 FindFirstUrlCacheEntryA 函数的使用,并检查每个条目以将 URL 与以下模式之一相匹配:
检测到打开的选项卡后,木马会通过动态数据交换 (DDE) 机制联系 Internet Explorer 或 Firefox,以检查选项卡是否与模式匹配。
检查浏览历史记录和打开的选项卡是在 WHILE 循环(带有前提条件的循环)中执行的,检查之间有 1 秒的休息时间。 其他实时监控的数据将在 4.5 节中讨论。
如果找到模式,程序会使用下表中的字符串列表将此情况报告给命令服务器:
4.5 监控
当木马运行时,有关受感染系统特征的信息(包括有关银行软件存在的信息)被发送到命令和控制服务器。 当 RTM 在初始操作系统扫描后立即首次运行监控系统时,会发生指纹识别。
4.5.1. 远程银行
TBdo 模块还负责监控银行相关流程。 它在初始扫描期间使用动态数据交换来检查 Firefox 和 Internet Explorer 中的选项卡。 另一个 TShell 模块用于监视命令窗口(Internet Explorer 或文件资源管理器)。
该模块使用 COM 接口 IShellWindows、iWebBrowser、DWebBrowserEvents2 和 IConnectionPointContainer 来监视窗口。 当用户导航到新网页时,恶意软件会注意到这一点。 然后,它将页面 URL 与上述模式进行比较。 检测到匹配后,木马会以 5 秒的间隔连续截取 XNUMX 张屏幕截图,并将其发送到 C&S 命令服务器。 该程序还检查一些与银行软件相关的窗口名称 - 完整列表如下:
4.5.2. 智能卡
RTM 允许您监控连接到受感染计算机的智能卡读卡器。 这些设备在一些国家/地区用于核对付款订单。 如果这种类型的设备连接到计算机,它可能会向特洛伊木马表明该计算机正在用于银行交易。
与其他银行木马不同,RTM 无法与此类智能卡交互。 也许这个功能包含在我们还没有见过的附加模块中。
4.5.3. 键盘记录器
监控受感染电脑的一个重要部分是捕获击键。 看来RTM开发人员并没有遗漏任何信息,因为他们不仅监控常规按键,还监控虚拟键盘和剪贴板。
为此,请使用 SetWindowsHookExA 函数。 攻击者记录按下的按键或与虚拟键盘相对应的按键,以及程序的名称和日期。 然后缓冲区被发送到 C&C 命令服务器。
SetClipboardViewer函数用于拦截剪贴板。 当数据是文本时,黑客会记录剪贴板的内容。 在将缓冲区发送到服务器之前,还会记录名称和日期。
4.5.4. 截图
RTM的另一个功能是截图拦截。 当窗口监控模块检测到感兴趣的站点或银行软件时,应用该功能。 使用图形图像库截取屏幕截图并将其传输到命令服务器。
4.6. 卸载
C&C 服务器可以阻止恶意软件运行并清理您的计算机。 该命令允许您清除 RTM 运行时创建的文件和注册表项。 然后,该 DLL 用于删除恶意软件和 winlogon 文件,之后该命令将关闭计算机。 如下图所示,开发人员使用erase.dll删除了该DLL。
服务器可以向木马发送破坏性卸载锁定命令。 在这种情况下,如果您具有管理员权限,RTM 将删除硬盘上的 MBR 引导扇区。 如果失败,木马会尝试将 MBR 引导扇区转移到随机扇区 - 那么计算机在关机后将无法引导操作系统。 这可能导致操作系统完全重新安装,这意味着证据被破坏。
如果没有管理员权限,恶意软件会在底层 RTM DLL 中写入编码的 .EXE。 可执行文件执行关闭计算机所需的代码,并在 HKCUCurrentVersionRun 注册表项中注册该模块。 每次用户启动会话时,计算机都会立即关闭。
4.7. 配置文件
默认情况下,RTM几乎没有配置文件,但是命令和控制服务器可以发送配置值,这些配置值将存储在注册表中并由程序使用。 配置键列表如下表所示:
配置存储在 Software[Pseudo-random string] 注册表项中。 每个值对应于上表中显示的一行。 RTM中使用RC4算法对值和数据进行编码。
数据具有与网络或字符串相同的结构。 在编码数据的开头添加一个四字节 XOR 密钥。 对于配置值,XOR 键是不同的,并且取决于值的大小。 可以按下式计算:
xor_key = (len(配置值) << 24) | (len(配置值) << 16)
| 长度(配置值)| (len(配置值) << 8)
4.8.其他功能
接下来我们看看RTM支持的其他功能。
4.8.1. 附加模块
该特洛伊木马包含附加模块,即 DLL 文件。 从 C&C 命令服务器发送的模块可以作为外部程序执行,反映在 RAM 中并在新线程中启动。 对于存储,模块保存在 .dtt 文件中,并使用 RC4 算法和用于网络通信的相同密钥进行编码。
到目前为止,我们已经观察到VNC模块(8966319882494077C21F66A8354E2CBCA0370464)、浏览器数据提取模块(03DE8622BE6B2F75A364A275995C3411626C4D9F)和1c_2_kl模块(B1EE562E1F69EF)的安装C6FBA58 B88753BE7D0B3E4CFAB)。
为了加载 VNC 模块,C&C 服务器发出命令,请求连接到端口 44443 上特定 IP 地址的 VNC 服务器。浏览器数据检索插件执行 TBrowserDataCollector,它可以读取 IE 浏览历史记录。 然后,它将访问过的 URL 的完整列表发送到 C&C 命令服务器。
最后发现的模块称为 1c_2_kl。 它可以与1C Enterprise软件包交互。 该模块包括两部分:主要部分 - DLL 和两个代理(32 位和 64 位),这两个代理将被注入到每个进程中,注册到 WH_CBT 的绑定。 该模块被引入1C流程后,绑定了CreateFile和WriteFile函数。 每当调用 CreateFile 绑定函数时,模块都会将文件路径 1c_to_kl.txt 存储在内存中。 拦截 WriteFile 调用后,它调用 WriteFile 函数并将文件路径 1c_to_kl.txt 发送到主 DLL 模块,并向其传递精心设计的 Windows WM_COPYDATA 消息。
主 DLL 模块打开并解析文件以确定付款顺序。 它识别文件中包含的金额和交易编号。 该信息被发送到命令服务器。 我们认为该模块目前正在开发中,因为它包含调试消息并且无法自动修改 1c_to_kl.txt。
4.8.2. 权限提升
RTM 可能会尝试通过显示虚假错误消息来升级权限。 该恶意软件模拟注册表检查(见下图)或使用真实的注册表编辑器图标。 请注意拼写错误 wait – whait。 扫描几秒钟后,程序会显示一条错误消息。
尽管存在语法错误,但虚假消息很容易欺骗普通用户。 如果用户单击两个链接之一,RTM 将尝试提升其在系统中的权限。
选择两个恢复选项之一后,木马会使用管理员权限的 ShellExecute 函数中的 runas 选项启动 DLL。 用户将看到真实的 Windows 提升提示(见下图)。 如果用户授予必要的权限,木马将以管理员权限运行。
根据系统上安装的默认语言,该特洛伊木马会以俄语或英语显示错误消息。
4.8.3. 证书
RTM 可以将证书添加到 Windows 应用商店,并通过自动单击 csrss.exe 对话框中的“是”按钮来确认添加的可靠性。 这种行为并不新鲜;例如,银行木马 Retefe 也会独立确认新证书的安装。
4.8.4. 反接
RTM 作者还创建了 Backconnect TCP 隧道。 我们还没有看到该功能投入使用,但它旨在远程监控受感染的电脑。
4.8.5。 主机文件管理
C&C服务器可以向木马发送命令来修改Windows主机文件。 主机文件用于创建自定义 DNS 解析。
4.8.6。 查找并发送文件
服务器可能会请求搜索并下载受感染系统上的文件。 例如,在研究过程中,我们收到了对文件 1c_to_kl.txt 的请求。 如前所述,该文件由 1C:Enterprise 8 会计系统生成。
4.8.7. 更新
最后,RTM 作者可以通过提交新的 DLL 来替换当前版本来更新软件。
5。 结论
RTM 的研究表明,俄罗斯银行系统仍然吸引着网络攻击者。 Buhtrap、Corkow 和 Carbanak 等团伙成功从俄罗斯的金融机构及其客户那里窃取资金。 RTM 是这个行业的新参与者。
根据 ESET 遥测数据,恶意 RTM 工具至少从 2015 年底就开始使用。 该程序具有全方位的间谍功能,包括读取智能卡、拦截击键和监控银行交易,以及搜索 1C: Enterprise 8 传输文件。
使用去中心化、未经审查的 .bit 顶级域可确保基础设施具有高度弹性。
来源: habr.com