Sociálne siete

SecIT.sk na Facebooku SecIT.sk na Google+ SecIT.sk na Twitteri

Podporte nás


V prípade, že Vám obsah nášho portálu niekedy nejakým spôsobom pomohol, či bol pre Vás prínosom prosím podporte jeho chod ľubovoľnou čiastkou. Ďakujeme!

Štítky

Vyhľadávanie

You are here

Domov
Upozornenie: Obsah je licenčne chránený a bez písomných súhlasov autora článku a vlastníka webovej stránky nesmie byť v žiadnej forme ďalej kopírovaný a šírený v pôvodnom, či v akokoľvek upravenom stave.

Madi - ďalší sofistikovaný špionážny malware?

Odborníci zo spoločností Kaspersky Lab a Seculert informovali o objavení nového malware nazvaného Madi resp. Mahdi. Tento trojan sa podobne ako nedávno objavený sofistikovaný Flame zameriava najmä na špecifické obete z krajín Blízkeho východu.

Obete

Experti identifikovali viac ako 800 obetí prevzatím kontroly nad riadením tohto trojana. Obete pochádzajú v prevažnej miere z troch krajín - z Iránu, Izraelu a Afganistanu. Madi sa takmer rok zameriaval na jednotlivcov, často išlo napríklad o podnikateľov, pracujúcich na projektoch kritickej infraštruktúry a pre finančné inštitúcie v Iráne a Izraeli. Okrem toho sa trojan tiež "zaujímal" o najrôznejšie vládne organizácie pôsobiace na Blízkom východe, ale i o akademickú sféru - konkrétne o študentov technických odborov.

Šírenie

Madi sa pri stratégií šírenia riadil heslom "v jednoduchosti je krása." Pri šírení sa viac-menej spoliehal na techniky sociálneho inžinierstva. Znamená to teda, že ide o ideálny príklad, kedy je najslabším článkom zabezpečenia užívateľ a dá sa tu zvýrazdniť prvok často spomínaného "zdravého rozumu." Primárnym nástrojom pre šírenie boli podľa všetkého sociálne siete. Experti z Kaspersky Lab a spoločnosti Seculert informovali o dvoch primárnych spôsoboch šírenia. Pre obe platí, že Madi využíval atraktívne a pútavé motívy. Tie neskôr podával užívateľom vo forme prezentácií PowerPoint SlideShow a štýlom maskovaných spustiteľných súborov.

Pri formáte PowerPoint SlideShow išlo o prezentácie obsahujúce pútavé fotografie napr. trópov, púští a pod, texty napríklad s náboženskou tématikou a ako "bonus" aj škodlivý aktívny obsah. Pomocou sociálneho inžiniertva sa dosiahla u užívateľa potreba tento obsah spustiť aj napriek bezpečnostným varovaniam programu PowerPoint. Po spustení sa trojan aktivoval a stiahol ďalší komponent - backdoor. Súbory s prezentáciami niesli názvy ako Magic_Machine1123.pps, či Moses_pic1.pps.




Zdanlivo neškodné súbory s PowerPoint SlideShow.




Pútavé snímky prezentácií...




Bezpečnostné upozornenie bolo často ignorované.

Druhý spôsob šírenia využíval funkcionalitu, kedy sa v skutočnosti spustiteľný súbor tváril ako dátový, teda obsahoval klamlivo falošnú príponu napríklad .jpg, či .pdf, no pritom išlo o .exe súbor. Túto metódu umožňuje zrealizovať špeciálny unicode znak, korý zmení smer textu na arabský - zprava do ľava. Útočník tak naláka obeť na otvorenie zdanlivo neškodného súboru a počas aktivácie škodlivého kódu zobrazí na dotvorenie efektu aj nejaký zaujímavý obrázok, dokument, alebo prehrá video.




Po spustení sa zobrazil zaujímavý obrázok...

Madi teda nepoužíval žiadne zraniteľnosti typu 0-day, či iné sofistikované techniky šírenia. Na rozšírenie mu postačil atraktívny obsah.

Trojan

Backdoor, ktorý napadol zhruba 800 obetí bol vytvorený v jazyku Delphi. Spustiteľná verzia bola "zabalená" pomocou legitímneho a populárneho packera UPX. Dropper vytváral súbory v umiestnení c:\documents and settings\\Printhood, používal názvy ako UpdateOffice.exe or OfficeDesktop.exe a podobné v súvislosti s Office. Dropper tiež otváral určité obrázky, či dokumenty. Súbory, ktoré obsahovali konfiguračné dáta niesli názvy: FIE.dll, xdat.dll, BIE.dll, SHK.dll, nam.dll, SIK.dll.




Zobrazovaný bol aj takýto obsah.

Funkcionalita

Trojan disponuje možnosťami keyloggera, zaznamenáva teda stlačenia kláves, dokáže vyhotoviť snímky obrazovky v definovaných časových intervaloch, alebo pri istej udalosti. Ďalej ovplýva možnosťou aktualizácie backdooru, dokáže nahrávať audio a uploadovať ho vo formáte .wav, dokáže nahradiť 27 typov súborov, zistiť diskové štruktúry a disponuje aj nie celkom funkčnou možnosťou mazania súborov.




Pohľad na administračné rozhranie trojana Madi.

Útočníci používajú 2 kópie nástroja ResHacker, distribuujú ich v rámci stránok SSSS.htm a RRRR.htm. Paradoxom však je, že samotní autori malwaru mali pravdepodobne na svojej sieti problém s infiltráciami. Jedna kópia sa podľa odborníkov líši o jeden byte v sekcii, ktorá indikuje napadnutie vírusom - Virus.Win32.Parite.b, hoci už vyliečeného niektorým z antivírusov.

Kompromitované systémy komunikujú cez HTTP so servermi na IP adresách 174.142.57.* (3 servery) a 67.205.106.* (jeden server). Ich dostupnosť je overovaná ICMP pingom. Medzi najčastejšie monitorované patrili služby Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, Google+ a Facebook.

Záver

Experti hodnotia tento malware ako pomerne jednoducho napísaný, no pravdepodobne splnil svoj účel. Celkovo však poukazuje na to aká dôležitá je osveta v oblasti bezpečnosti aj pre laikov. Avšak výskyt tohto trojana len zobrazuje súčasnú situáciu, že útočníci - často profesionálne skupiny podporované aj vládami niektorých krajín, ale i menšie záujmové skupinky sa neustále snažia profesionálne i menej profesionálne o priemyselnú špionáž jednotlivcov, spoločností, kritickej infraštruktúry, ale aj iných vlád.

zdroj: securelist.com


Podporte nás


Páčil sa Vám tento článok? Ak áno, prosím podporte nás ľubovoľnou čiastkou. Ďakujeme!


ITC manažer Security-portal.cz Soom.cz
Hoax.cz Crypto-world.info