记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

透视RTM:一个瞄准俄罗斯金融机构的黑客组织(上)

2017-06-13 02:55

有几个黑客组织,专门瞄准俄罗斯的企业进行网络攻击活动。最近我们发现,这些攻击活动有一个趋势,犯罪分子通常会利用简单的工具入侵目标,一旦获得访问权限,之后的工作都是手工完成的,攻击者会慢慢的了解网络架构,并针对这些受害目标的情况定制特定的用于窃取资金的工具。使用这种攻击方式的比较有名的组织有:Buhtrap, Cobalt 和Corkow。这份报告中,主要探讨一下另一个新的组织,我们称之为RTM。RTM 组织使用Delphi语言编写定制的的恶意软件,这个我们在稍后章节中会详细介绍。第一次检测到RTM的活动可以追溯到2015年,这个组织会在它们的目标系统上部署好几个定制的不同的模块。该组织主要关注远程银行系统(remote banking systems,RBS)的用户,目标范围是俄罗斯及其周边的国家。

本报告中,我们会详细介绍RTM的攻击目标、使用的工具,同时对他们正在执行的操作类型进行解析。

1.攻击目标

从RTM黑客组织寻找入侵目标的过程,就可以明显的看出他们主要针对企业进行攻击。这个组织会专门寻找那些安装了会计软件的计算机,例如远程银行或协助处理应付账款的软件。完整的目标列表在4.4.2章节有详细介绍。

虽然RTM和Buhtrap 组织寻找目标的过程相似,到那时他们使用完全不同的传染媒介。目前大多数犯罪活动使用鱼叉式网络钓鱼的方式进行恶意软件的传播,不过RTM组织主要通过下载驱动个和垃圾邮件这些传统的渠道传播其恶意软件。对我们检测到数据进行分析,RTM组织的目标主要集中在俄罗斯及其周边国家,也有几次其他地方的攻击记录。由于使用大规模的扩散机制,检测到重要目标范围之外的记录也并不奇怪。

我们检测到这类威胁活动的数量不多,但是恶意软件的复杂度很高,这表明该组织主要针对俄罗斯地区的特定的高价值的目标。

事实上,我们检测到最近一次RTM恶意软件的活动包含了一些有趣的欺诈文件,如下图所示:

 

RTM组织会使用几种诸如合同、发票或税务表单之类的欺诈文件。这些欺诈文件的性质和这个组织所针对的软件类型像结合,是我们更加确定他们正在跟踪俄罗斯企业的会计部门。2014~2015年期间,这些目标也被Buhtrap组织攻击过。

在研究RTM组织时,我们能够与它的一些C&C服务器(完整列表见下文)进行交互,受感染的客户端会向C&C服务器直接发送键盘记录程序的日志信息,还会返回一些附加命令。当然,现在这些C&C服务器基本上都失效了。客户端必须提供实际的日志,才回从C&C服务器接收到命令,我们成功尝试获取到了几个返回命令:

第一个是让僵尸程序提交一个特定的文件:1c_to_kl.txt。这个文件是从一个流行的会计软件(名为“1C: Enterprise 8” )导出的,它是僵尸程序积极寻找的文件之一.“1C: Enterprise 8” 这个软件可以与不同的远程银行系统(RBS)协同工作,将传输数据导出成文本文件,然后将此文本文件导入到RBS中,完成自动支付订单的功能,如下图所示:

“ 1c_to_kl.txt ” 这个文件中包含着传递的信息,如果修改这些信息,攻击者就可能从受害者那里窃取到资金。下图为“ 1c_to_kl.txt ”文件的一个样例:

C&C服务器获取到上述文件,大概一个月之后,我们检测到一个新的模块:1c_2_kl.dll,这个模块作为一个插件被推送到受感染的系统上,它能够将自身注入到会计软件的进程中从而自动解析导出的文件。

俄罗斯专门负责打击金融网络犯罪的机构FinCERT在2016年曾发表声明,警示潜在的受害者小心犯罪分子利用1c_to_kl.txt导出文件。此外,“1C: Enterprise 8”系统的开发者也意识到了这个图谋,发布了一份声明,确认了问题并提供了一些用户可以采取的保护措施,以防止这种攻击。

我们还注意到,一旦僵尸程序向C&C服务器传送了报告,客户端就会下载更多的模块,例如VNC模块。RTM组织利用的VNC模块有32-bits和64-bits两类变种,这种情况与Dridex的攻击活动相似。我们推测,一旦僵尸程序安装了这个VNC模块,犯罪分子将会用它远程连接到受感染的主机,并进一步摸索针对该系统的全面攻击计划。这些犯罪组织通车会在网络间横向移动,通过诸如mimikatz之类的工具恢复账号密码,或者使用其他战术了解更多的网络详情,以便于更持续的保持活性。

2.感染载体

根据我们的检测,将不同的感染载体首次发现的时间进行排序,结果如下图所示:

 

RTM组织使用了大量的感染载体,以下载驱动和垃圾邮件为主,这些渠道非常适合发动针对性的攻击。采用下载驱动的方式,网络犯罪分子可以选择潜在目标可能访问的网站;采用垃圾邮件的方式可以直接向企业或个人发送带有恶意附件的邮件进行网络攻击。

事实上,这些恶意软件通过几种不同的渠道被传播,比如RIG [4] 和Sundown漏洞利用套件或垃圾邮件,这也意味着RTM组织与地下市场销售这些服务的犯罪分子联系紧密。

2.1 恶意软件是否与Buhtrap组织有关?

RTM组织的某些操作与我们看到的Buhtrap组织的有些操作非常类似,这不由得让人怀疑两者之间是否存在关联。

2016年9月份,我们看到一个buhtrap下载器传播了一个RTM的样本。同时我们观测到有两个代码签名证书同时用于Buhtrap 和 RTM样本的签名。第一个签名证书颁发者的公司名称为TOV DNISTER-M,被用于签名一个Delphi第二阶段的程序(SHA-1: 025C718BA31E43DB1B87DC13F94A61A9338C11CE) 和一个Buhtrap DLL(SHA-1: 1E2642B454A2C889B6D41116CCDBA83F6F2D4890)。证书信息如下图所示:

第二个签名证书颁发者的名称为Bit-Tredj,被用于Buhtrap 下载器(SHA-1: 7C1B6B1713BD923FC243DFEC80002FE9B93EB292 和B74F71560E48488D2153AE2FB51207A0AC206E2B) ,可以获取并安装RTM载荷。下表1 中浅蓝色背景部分显示了这些证书的关键特征。

虽然RTM会与其他恶意软件家族共享代码签名证书,但是据我们的检测,他们也有独立的证书,只供他们自己使用,证书颁布者的名称为Kit-SD,为一些RTM恶意软件做了签名(如:SHA-1: 42A4B04446A20993DDAE98B2BE6D5A797376D4B6)。

由于RTM载荷可以通过Buhtrap基础设施被下载到,导致他们的恶意软件使用了相同的Buhtrap下载器,进而也会共享一个网络指标。之前提到过,RTM使用了几个不同的方式来传播他们的恶意软件,Buhtrap只是其中之一,虽然他们使用的作案手法类似,针对的目标都是使用会计软件的企业,感兴趣目标的指纹识别系统也相似,都会搜索智能卡阅读器,最后也都会在受害者主机上部署一系列的恶意软件以便于监控,但是,我们相信这两个恶意家族背后的组织是两个不一样的群体。

3.进化

在本节中,我们将讲述一下检测到的恶意软件的不同版本,不过首先我们需要定义一种方式来跟踪它的进化过程。

3.1 版本控制

RTM 在注册表键值中存储配置信息,其中又一个特别有趣的信息,名为“ botnet-prefix ” (僵尸网络前缀),下表中列举了我们检测到的样本中的“ botnet-prefix ”值的信息:

我们不确定这个值的用途,大概他被用来记录恶意软件的版本好。然而我们观察到连续的版本(如bit2 和bit3 ;或者0.1.6.4 和0.1.6.6)之间的变化微乎其微,此外,其中一个名为 “main”的前缀从一开始就存在,甚至跨越了C&C域名和 .bit域名的进化(这个问题我们在4.3章节会做解释)。

3.2 时间线

根据检测到的数据,我们创建了目前已知的样本第一次出现的时间线,如下图所示:

 

未完需待续,下篇更精彩。

*参考来源:ESET,转载请注明来自MottoIN

知识来源: www.mottoin.com/102838.html

阅读:86919 | 评论:0 | 标签:安全报告 Buhtrap RTM 黑客组织

想收藏或者和大家分享这篇好文章→复制链接地址

“透视RTM:一个瞄准俄罗斯金融机构的黑客组织(上)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词