Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Kampania "Madi". Część 1.

Dodany 18 lipca 2012, 15:47 CEST
Tagi:

Od prawie roku trwa kampania infiltracji systemów komputerowych na całym Bliskim Wschodzie, wymierzona w wyselekcjonowane jednostki w Iranie, Izraelu, Afganistanie i w określone cele rozproszone po całym świecie.

Wraz z naszym partnerem, firmą Seculert, dokładnie zbadaliśmy tę operację i nadaliśmy jej nazwę "Madi", opierając się na pewnych ciągach tekstowych wykorzystywanych przez napastników. Wyniki badania dotyczącego kampanii "Madi", przeprowadzonego przez Seculert można znaleźć tutaj.

Kampania opiera się na kilku znanych, prostych technikach ataku, co pozwoliło na określenie profilu ofiar. Duże ilości zbieranych danych ujawniły koncentrację kampanii na krytycznej infrastrukturze bliskowschodnich firm inżynieryjnych, agencji rządowych, instytucji finansowych i akademickich. Poszczególne jednostki w obrębie puli ofiar były przez dłuższy okres czasu selekcjonowane do wzmożonych kontroli.

Ten artykuł ma na celu zbadanie technik używanych do rozprzestrzeniania złośliwego oprogramowania Madi i wykorzystywanych narzędzi szpiegowskich, a także ukazanie pewnych osobliwości towarzyszących całej kampanii. W niektórych przypadkach, organizacje, które padły ofiarą ataku, nie chcą udzielać dalszych informacji o naruszeniach ich bezpieczeństwa, więc niektóre wątki naszego dochodzenia będą mocno ograniczone.

 

 

Rozpowszechnianie

Socjotechnika wykorzystywana do ładowania i uruchamiania oprogramowania szpiegowskiego

Do dystrybucji swojego oprogramowania szpiegującego agresorzy Madi wykorzystali głównie sztuczki inżynierii społecznej:

 

Pierwszym z dwóch schematów socjotechnicznych, które określają wektor rozprzestrzeniania dla tej kampanii, było użycie atrakcyjnych obrazów i kontrowersyjnych tematów w pokazach slajdów aplikacji PowerPoint, które tak naprawdę zawierały wbudowane downloadery trojana Madi. Efekt "aktywnej zawartości" w aplikacji PowerPoint umożliwiał automatyczne uruchamianie treści szkodliwych załączników. Wbudowane downloadery trojana z kolei pobierały i instalowały usługę typu backdoor, która rozpoczynała "magazynowanie" plików danych w systemie ofiary. Dla przykładu, prezentacja "Magic_Machine1123.pps" dostarcza osadzony plik wykonywalny w zagadce matematycznej (w pokazie slajdów aplikacji PowerPoint), która przytłacza widza ilością instrukcji matematycznych. Zwróćmy uwagę, że PowerPoint ostrzega użytkownika, że "animacja niestandardowa" i "aktywna zawartość" mogą prowadzić do uruchomienia ewentualnego wirusa, a mimo to większość użytkowników ma te uwagi w głębokim poważaniu i po prostu "przeklikuje" komunikaty ostrzegawcze. W ten sposób, niejako za przyzwoleniem samych ofiar, aktywowany jest dropper złośliwego ładunku.

Kolejny pokaz slajdów aplikacji PowerPoint, zwany "Moses_pic1.pps", raczy widza całą serią spokojnych obrazów o tematyce religijnej, ukazujących piękno natury w tropikach, a jednocześnie odwraca uwagę użytkownika od uruchamiającego się w systemie szkodliwego kodu:

 

oraz:

 

oraz:

 

Niektóre downloadery ładują i otwierają również dokumenty z wiadomościami z Bliskiego Wschodu oraz treściami religijnymi:

 



Inżynieria społeczna - technika RTLO "zastępowania od prawej do lewej" (RTLO - Right To Left Override)

W wielu elementach tej układanki występuje wspólny mianownik - większość komponentów jest prosta z założenia, lecz niezwykle skuteczna w praktyce. Brak tutaj wysublimowanych exploitów 0-day, nie ma analiz bezpieczeństwa, nie były wymagane duże nakłady finansowe. Innymi słowy, atak na wybrany w tym regionie geograficznym zestaw ofiar działa wystarczająco dobrze bez 0-day.

Jako dodatek do atrakcyjnych pokazów slajdów PowerPoint, przesyłanych zazwyczaj w archiwach zabezpieczonych hasłem, napastnicy wysyłali pliki wykonywalne posiadające mylące nazwy. Ukrycie rozszerzenia było możliwe przy użyciu powszechnie znanej techniki "zastępowania od prawej do lewej" (RTLO). Te nazwy plików pojawiają się użytkownikowi jako pliki obrazów z bezpiecznymi rozszerzeniami ".jpg", dokumenty ".pdf" itd. wraz z odpowiednim typem ikony pliku, a użytkownik wierząc, że otwiera plik z danymi tak naprawdę uruchamia plik wykonywalny. Problem występuje w sposobie, w jaki system Windows obsługuje zestawy znaków Unicode. Technika została szczegółowo opisana tutaj i tutaj. Pliki powiązane z incydentem Madi posiadały nazwy, które na komputerach ofiar wyświetlane były jako "picturcs..jpg", wraz z popularną ikoną ".jpg". Ale kiedy nazwa pliku zakodowana w Unicode lub UTF-8 zostanie skopiowana do pliku ANSI, wyświetlana nazwa zmieni się na "pictu?gpj..scr". Tak więc, wiele ofiar Madi zostało nabranych na kliknięcie nieszkodliwego pliku ".jpg", a w rzeczywistości uruchomiło złośliwy plik ".scr". Zrzut ekranu przedstawia przykład nazwy pliku z nieprawidłowym odczytem Eksploratora Windows powyżej i odczytem wiersza poleceń poniżej:

 

Po uruchomieniu, droppery próbują wyświetlić błędne zdjęcia i filmy, jeszcze raz oszukując użytkownika, że wszystko jest w porządku. Oto materiał wideo przedstawiający test rakietowy:

 

Poniżej fotografia eksplozji nuklearnej:

 



Wykrycie obecności

Backdoory zostały podrzucone do około 800 systemów ofiar. Wszystkie backdoory były kodowane w Delphi. Takiego podejścia można się spodziewać po programistach - amatorach lub deweloperach oprogramowania, pracujących pod ogromną presją czasu. Oto zrzut ekranu interfejsu dla administratorów:

 

Pliki wykonywalne są pakowane z użyciem najnowszej wersji legalnego pakera UPX, prawdopodobnie UPX 3.07. Niestety, ta technika i szybka transformacja kodu spowodowała prześlizgnięcie się Madi przez systemy zabezpieczeń niektórych produktów antywirusowych.

Większość wersji droppera po uruchomieniu tworzy duży wolumin danych w lokalizacji "C:\Documents and settings\%USER%\Printhood". Razem z "UpdateOffice.exe" lub "OfficeDesktop.exe" (oraz innymi wariacjami z nazwą "Office" w tle), tworzone są setki przeważnie pustych, niepotrzebnych plików. Oto krótka lista plików przechowujących dane konfiguracyjne:

FIE.dll

  

Rozszerzenie nazwy pliku

xdat.dll

  

Data ostatniego wywołania

BIE.dll

  

Rozszerzenie mylnej nazwy pliku

SHK.dll, nam.dll

  

Prefiks ścieżki dostępu do katalogu ofiary (np. "abamo9" <- to nazwa operatora dla tej ofiary)

SIK.dll

  

Wywołanie domeny (tj. www.maja<*>.in)

Ładowany jest również jeden z kilku "mylących" obrazów i dokumentów. Jednym z obrazów jest "Jesus image" (Obraz Jezusa) zamieszczony powyżej (podrzucany jako zakodowana zawartość w pliku "Motahare.txt"), a jednym z dokumentów jest skopiowany tekst, wklejony z artykułu w The Daily Beast, na temat elektronicznej walki w regionie (podrzucany jako zakodowana zawartość w pliku "Mahdi.txt").

 

Programy wykradające informacje są pobierane i uruchamiane jako "iexplore.exe" wewnątrz podfolderu "templates" na ścieżce dostępu wspomnianej powyżej.

Lista funkcji

 

Funkcjonalność backdoora w zasadzie powiela opcje obecne w narzędziu konfiguracyjnym. Zauważyliśmy następujące opcje:

  1. Rejestrowanie naciśnięć klawiszy.
  2. Zbieranie zrzutów ekranu w zdefiniowanych interwałach czasowych (zobacz liczniki poniżej).
  3. Zbieranie zrzutów ekranu w zdefiniowanych interwałach czasowych, inicjowane wyłącznie zdarzeniami związanymi z komunikacją. Zdarzeniem komunikacyjnym może być interakcja ofiary poprzez pocztę elektroniczną, komunikator internetowy lub portal społecznościowy. Strony i aplikacje wywołujące tę funkcję to między innymi: Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, Google+, Facebook i wiele innych.
  4. Uaktualnianie backdoora.
  5. Rejestracja komunikacji audio w plikach .WAV i przygotowanie plików do wysłania.
  6. Pozyskiwanie dowolnej kombinacji 27 różnych typów plików danych.
  7. Pozyskiwanie struktur dysku.
  8. Usuwanie i wiązanie - te funkcje nie są jeszcze w pełni zaimplementowane.

Poszczególne operacje backdoora są kontrolowane przez liczniki Delphi:

 


Użycie wyleczonej wersji Resource Hacker

Typowym zachowaniem szkodliwego oprogramowania jest chowanie złośliwego kodu w swoim dziale zasobów, dekompresja w locie i umieszczenie ładunku na dysku. Typowym działaniem napastników wykorzystujących RTLO jest zmiana ikon użytych w spear - phishingu.

Agresorzy Madi posiadali na swoich stronach dystrybucje dwóch kopii ResHackera, wbudowane w pliki "SSSS.htm" i "RRRR.htm". Wygląda na to, że nie tylko stworzyli oni więcej szumu na łączach, rozkazując ich szkodliwemu oprogramowaniu pobierać ResHackera (znany edytor sekcji zasobów), ale również sami borykali się z infekcją swojej własnej sieci. Kopie ResHackera różniły się o jeden bajt. Różnica tkwiła w wartości w sekcji SizeofImage: w jednym pliku było to 0xdc800, w drugim 0xde000. Różnica występuje ponieważ w pewnym momencie obie kopie były zainfekowane szkodnikiem Virus.Win32.Parite.b, a następnie wyleczone programem antywirusowym. Bardzo możliwe, że napastnicy padli ofiarą infekcji poprzez własną nieudolność.

 

Wskaźniki wtargnięcia

Wszystkie przejęte systemy komunikowały się poprzez HTTP z jednym z kilku serwerów: 174.142.57.* (3 serwery) i 67.205.106.* (jeden serwer).

Dodatkowo, pakiety ICMP PING były wysyłane do tych serwerów w celu sprawdzania ich stanu. Składniki wykradające dane są pobierane i uruchamiane w folderze "C:\Documents and settings\%USER%\Templates". Downloader uruchamia się z folderu "C:\Documents and settings\%USER%\Printhood", który może zawierać ponad 300 plików z rozszerzeniami ".PRI", ".dll" i ".TMP". Składniki kradnące dane posiadają nazwę "iexplore.exe", natomiast downloadery to "UpdateOffice.exe" lub "OfficeDesktop.exe.

W chwili pisania tego tekstu akcja wciąż jest w toku i pracujemy z różnymi organizacjami, aby oczyścić istniejące pole infekcji i zapobiec dalszym zakażeniom. Produkty Kaspersky Lab wykrywają tego szkodnika jako "Trojan.Win32.Madi.*"; niektóre starsze warianty są wykrywane jako "Trojan.Win32.Upof.*".

Niekompletna lista powiązanych sum kontrolnych MD5:

 

7b7abab9bc4c49743d001cf99737e383
a9774d6496e1b09ccb1aeaba3353db7b
885fcebf0549bf0c59a697a7cfff39ad
4be969b977f9793b040c57276a618322
ea90ed663c402d34962e7e455b57443d
aa6f0456a4c2303f15484bff1f1109a0
caf851d9f56e5ee7105350c96fcc04b5
1fe27986d9d06c10e96cee1effc54c68
07740e170fc9cac3dcd692cc9f713dc2
755f19aa99a0ccba7d210e7f79182b09
35b2dfd71f565cfc1b67983439c09f72
d9a425eac54d6ca4a46b6a34650d3bf1
67c6fabbb0534090a079ddd487d2ab4b
e4eca131cde3fc18ee05c64bcdd90299
c71121c007a65fac1c8157e5930d656c
a86ce04694a53a30544ca7bb7c3b86cd
7b22fa2f81e9cd14f1912589e0a8d309
061c8eeb7d0d6c3ee751b05484f830b1
3ab9c5962ab673f62823d8b5670f0c07
1c968a80fa2616a4a2822d7589d9a5b4
1593fbb5e69bb516ae32bec6994f1e5d
133f2735e5123d848830423bf77e8c20
01dc62abf112f53a97234f6a1d54bc6f
18002ca6b19c3c841597e611cc9c02d9
046bcf4ea8297cdf8007824a6e061b63
89057fc8fedc7da1f300dd7b2cf53583
461ba43daa62b96b313ff897aa983454
d0dd88d60329c1b2d88555113e1ed66d
9c072edfb9afa88aa7a379d73b65f82d
b86409e2933cade5bb1d21e4e784a633
3fc8788fd0652e4f930d530262c3d3f3
15416f0033042c7e349246c01d6a43a3
f782d10eab3a7ca3c4a73a2f86128aad
cfd85a908554e0921b670ac9e3088631
abb49a9d81ec2cf8a1fb4d82fb7f1915
b2b4d7b5ce7c134df5cb40f4c4d5aa6a
8b01fc1e64316717a6ac94b272a798d4
81b2889bab87ab25a1e1663f10cf7e9e
3702360d1192736020b2a38c5e69263a
8139be1a7c6c643ae64dfe08fa8769ee
331f75a64b80173dc1d4abf0d15458cc
398168f0381ab36791f41fa1444633cc
d6f343e2bd295b69c2ce31f6fe369af9
f45963376918ed7dc2b96b16af976966

W drugiej części artykułu weźmiemy pod uwagę szerszy obraz kampanii "Madi" - infrastrukturę, komunikację, proces gromadzenia danych i selekcję ofiar.