Кампания Madi — Часть I

Почти на протяжении года на всей территории Ближнего Востока продолжалась кампания по проникновению в компьютерные системы, направленная на пользователей в Иране, Израиле, Афганистане и других странах по всему миру.

Совместно с нашим партнером — израильской компанией Seculert — мы провели подробное расследование данной операции, присвоив ей название «Madi», исходя из того, какие строки и идентификаторы использовали киберпреступники. С аналитическим постом Seculert можно ознакомиться здесь: http://blog.seculert.com/2012/07/mahdi-cyberwar-savior.html.

В ходе этой кампании использовался набор хорошо известных несложных технологий проведения атак для доставки вредоносных компонентов, что говорит о невысоком уровне осведомленности жертв об интернет-безопасности. Большие объемы собираемых данных показывают, что данная кампания была нацелена на критически важную инфраструктуру инженерных фирм, правительственных организаций, банков и университетов на Ближнем Востоке. А в качестве жертв выбирались причастные к этим организациям пользователи, коммуникации которых находились под пристальным наблюдением в течение продолжительных периодов времени.

Данный пост представляет собой исследование используемых технологий для распространения зловреда Madi на системы жертв, инструментах шпионского ПО и их особенностях. В некоторых случаях атакованные организации не желают предоставлять более подробную информацию о произошедшей атаке, поэтому сведения о некоторых аспектах кампании могут быть ограниченными.

Попадание в систему

Схемы социальной инженерии для установки и запуска шпионского ПО

При атаках Madi для распространения шпионского ПО используются преимущественно технологии социальной инженерии:

Первая из двух схем социальной инженерии, обеспечивающих распространение зловредов в ходе этой «наблюдательной» кампании, — использование привлекательных картинок и сбивающих с толку тематик в слайд-шоу PowerPoint, содержащих встроенные загрузчики троянца Madi. Благодаря эффекту «активированного контента» PowerPoint исполняемый контент в этих вложениях может запускаться автоматически. В свою очередь, встроенные загрузчики троянца доставляют и устанавливают на систему жертвы бэкдоры и дополнительные служебные файлы. Один из примеров — «Magic_Machine1123.pps» — доставляет встроенный исполняемый файл в запутанном слайд-шоу PowerPoint-математической головоломке, где количество математических инструкций может ошеломить. Заметим, что несмотря на сообщения PowerPoint для пользователей о том, что анимация и активированный контент могут запускать вирус, не все обращают внимание на эти предупреждения, не принимая их всерьез, и просто кликают на диалоговое окно, запуская вредоносный дроппер.

Еще одно слайд-шоу PowerPoint под названием «Moses_pic1.pps» демонстрирует ряд умиротворяющих картинок на религиозную тематику, с изображениями безмятежной дикой природы и тропическими пейзажами, сбивая пользователей с толку, заставляя запускать вредоносные компоненты в системе (см. картинку ниже)

А также:

И еще:

Некоторые загрузчики также загружают и открывают документы с новостным контентом или религиозной тематикой.

Социальная инженерия — технология RTLO (right to left override)

Как многие элементы этой головоломки, многие компоненты концептуально просты, но эффективны в практическом смысле. Не потребовалось больших усилий для исследования атак нулевого дня, работы аналитиков в области безопасности или высоких зарплат. Иными словами, атаки на таких жертв в этом регионе работают неплохо и без использования атак нулевого дня.

Помимо заманчивых слайд-шоу PowerPoint, которые часто рассылаются в zip-архивах, защищаемых паролем, киберпреступники рассылали исполняемые файлы со сбивающими с толку именами, используя общеизвестную технологию RTLO. Эти имена файлов показывались пользователю как графические файлы с jpg, pdf или любыми другими расширениями, которые атакующий может «соорудить» вместе с соответствующими иконками типов файла. Все это заставляет пользователей поверить, что они просто могут кликнуть на файл, который на самом деле является исполняемым. Проблема заключается в том, как Windows обращается с набором символов Unicode. Технология была описана здесь и здесь. Файлы, связанные с инцидентом Madi, появлялись в системах жертв как «picturcs..jpg», наряду с обычной иконкой «jpg». Но когда это имя файла на основе Unicode или UTF-8 копируется в ANSI-файл, имя отображается как «pictu?gpj..scr». Таким образом, некоторые жертвы Madi кликали на то, что, по их мнению, являлось безобидным «jpg»-файлом и, в результате, запускали исполняемый «scr»-файл. На скриншоте показан пример имени файла с дисплеем проводника Widows с «брешью» и отображение командной строки:

При запуске PE-дропперы пытаются показывать сбивающие с толку фотографии или видео-ролики — и опять, все это для того, чтобы обмануть жертву и заставить поверить, что ничего необычного не происходит. Вот видео о ракетных испытаниях:

Фотоснимок ядерного взрыва:

Зловреды в системе

Бэкдоры, размещенные в системах около 800 жертв, были написаны на Delphi. Так мог сделать или программист-любитель, или профессиональный разработчик, которому уж очень не хватало времени. Ниже представлен скриншот интерфейса администратора:

Исполняемые файлы запакованы последней версией упаковщика UPX, как например UPX 3.07. К сожалению, подобная методика и быстро изменяющийся код помогают обмануть gateway security продукты.

При запуске большинство версий дропперов создают большое количество файлов в папке “c:documents and settingsPrinthood”. Наряду с такими файлами как UpdateOffice.exe или OfficeDesktop.exe (или файлов с любым другим вариантом использования слова Office в названии) создается множество по большей части пустых служебных файлов. Ниже приведен небольшой список файлов, хранящих данные конфигурации:

Также загружаются и запускаются любые «отвлекающие» изображения и документы. Один из документов это приведенное выше «Изображение Иисуса» (загружен в качестве закодированного содержимого файла “Motahare.txt”), и еще один — кусок статьи о кибервойне на Ближнем Востоке, опубликованной на портале The Daily Beast, загруженный как закодированное содержимое файла “Mahdi.txt”.

Компоненты, крадущие конфиденциальную информацию, загружаются и запускаются под именем “iexplore.exe” из директории Templates.

Список функций:

Функционал программ-бэкдоров отражает опции, представленные в инструменте Конфигурации.

1. Кейлоггинг
2. Создание скриншотов по определенному расписанию (см. список таймеров ниже).
3. Создание скриншотов в определенные отрезки времени, вызванное особым событием, связанным с коммуникациями. Таким событием может быть общение пользователя по электронной почте, в сервисе мгновенных сообщений или в социальной сети. Также в списке сайтов, запускающих создание скриншотов, могут быть Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, google+, Facebook и прочие.
4. Обновление бэкдора
5. Запись аудио в формате .WAV и сохранение для последующей отправки злоумышленнику
6. Извлечение произвольной комбинации из 27 типов файлов
7. Извлечение структуры диска
8. Удалить и привязать — эти функции еще полностью не реализованы

Различные операции бэкдора находятся под контролем таймеров Delphi, как видно на рисунке ниже:

Использование вылеченной версии Resource Hacker

Часто вредоносные программы хранят вредоносный код в соответствующем разделе ресурса, затем быстро его распаковывают и загружают на диск. А взломщики часто изменяют иконки для атаки.

На сайтах хакеров Madi размещены две копии ResHacker (см. http://www.angusj.com/resourcehacker/ ), содержащие внедренные файлы «SSSS.htm» и «RRRR.htm». Стоит отметить, что злоумышленники наделали много шума, запрограммировав свое приложение на скачивание ResHacker, известной программы-редактора ресурсов. Все выглядит так, будто бы у самих авторов проблемы с вирусами в их собственных сетях. Разница двух копий заключается в одном байте, в данном случае — в объеме раздела SizeofImage: 0xdc800 в одном файле и 0xde000 в другом. И разница эта становится заметна вследствие того, что обе копии были однажды инфицированы вирусом “Virus.Win32.Parite.b” (https://www.securelist.com/en/descriptions/old20924) и затем вылечены антивирусом. Очень вероятно, что эти хакеры с трудом справляются и со своими собственными заражениями.

Индикаторы взлома

Все известные взломанные системы использует соединение по протоколу HTTP с одним из нескольких веб-серверов, таких как 174.142.57.* (3 сервера) и 67.205.106.* (один сервер).

К тому же, пакеты ping протокола ICMP для проверки статуса отправляются на эти же серверы. Компоненты, крадущие конфиденциальную информацию, загружаются и исполняются из папки “c:Documents and Settings%USER%Templates”. В свою очередь, сам загрузчик запускается из папки “c:documents and settings%USER%Printhood”, которая может содержать свыше 300 файлов с расширениями “.PRI”, “.dll” и “.TMP”. Вышеупомянутые компоненты получают имя «iexplore.exe», в то время как их загрузчики носят названия вроде UpdateOffice.exe или OfficeDesktop.exe.

На момент написания статьи, мы вместе с другими организациями продолжаем вести борьбу против компании с целью убрать заражение из инфицированных систем и не допустить новые случаи взлома.

Мы также приводим неполный список подписей MD5:

Во второй части блогпоста мы опишем ситуацию шире — расскажем об инфраструктуре, коммуникациях, сборе данных и жертвах кампании.