info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

بدافزار MADI

گزارش‌ها حاکی از آن است که بدافزار هدفمند جدیدی تعدادی از کشورهای خاورمیانه نظیر ایران، اسرائیل و افغانستان را مورد تهدید جدی قرار داده است. بر طبق این گزارش‌ها، این بدافزار به‌صورت یک سند ساختگی نرم افزار Word و یا اسلایدهای نرم‌افزار Power Point می‌باشد که به محض باز شدن، انتقال دهنده بدافزار را فعال می‌نماید.
بدافزار پس از فعال شدن، تصویری را در رابطه با نقشه کشور اسرائیل بر علیه برنامه هسته ای ایران با طراحی نقشه جنگ الکترونیکی که از طریق یکی از سایتهای خبری منتشر شده است نمایش می‌دهد.
آن‌طور که از نقطه نظر تحلیلگران آمده است، بدافزار فوق با استفاده از تکنیکی موسوم به مهندسی اجتماعی کاربر / قربانی را ملزم به اجرای سند آلوده می‌نماید. این در حالی است که سند آلوده با نمایش تعدادی عکس و بازی‌های ریاضی گونه ذهن کاربر را به دستورالعمل‌های ذکر شده در روی تصاویر معطوف و منحرف می‌نماید.
همچنین نکته قابل توجه در مورد برخی از نمونه‌های تحلیل شده حاکی از وجود سندهائی در خصوص نمایش عکسی معماگونه از حضرت علی (ع) بوده که بارها در سایت‌های پارسی زبان نمایش داده شده‌اند.
این بدافزار در جهت فریفتن کاربر از تکنیکی موسوم به RTLO به منظور تغییر نام هوشمندانه فایل‌های اجرائی به فایل‌هائی با پسوند jpg ، pdf و یا scr و ppt استفاده می‌نماید. پس از اجرا نمودن این فایل، تعدادی ویدئو و عکس در جهت فریفتن و پنهان نمودن فعالیت اصلی بدافزار اجرا می‌شود.
بررسی‌های صورت گرفته از سرورهای C&C بیانگر شواهدی در خصوص منشاء حمله از کشور ایران می‌باشد.

همچنین این بدافزار در جهت مخفی نمودن ارتباطات و بروزرسانی ماژول‌های خود از یک صفحه غیرساختگی گوگل استفاده می‌نماید که به مخفی نمودن ارتباط کمک شایانی می‌نماید.

شواهد حاکی از وجود نمونه‌های قبلی این بدافزار از ماه دسامبر سال ۲۰۱۱ می‌باشد.
مشخصات فنی بدافزار
یکی از مهمترین مشخصه‌های بدافزار فوق این است که برای جلوگیری از کشف توسط سیستم‌های آنتی ویروس، با استفاده از نسخه‌ای جدید و یا تغییر یافته از پکر معروف UPX رمز شده است.
همچنین شواهد حاکی از آن است که بدافزار پس از فعال شدن و توسط قسمت Dropper خود، تعداد زیادی از فایل‌ها را در مسیر زیر قرار می‌دهد.
c:\documents and settings\\Printhood
فایل‌هایی نظیر UpdateOffice.exe و OfficeDesktop.exe نیز جز فایل‌های آلوده می‌باشند. همچنین فایل با نام iexplorer.exe نیز به عنوان به سرقت برنده اطلاعات عمل می‌نماید.
مجموعه عملیاتی که این تروجان به منظور سرقت اطلاعات انجام می‌دهد به شرح زیر است:
· کیلاگ نمودن، به معنای به سرقت بردن کلیه کلمات تایپ شده بر روی کیبورد
· تهیه تصویر از صفحه کاربر قربانی
· بروزرسانی بکدور مربوط به تروجان
· ضبط نمودن صدا با پسوند .wav همراه با عملیات ذخیره سازی و آپلود
· نقشه برداری از ساختار پارتیشن و دیسک سخت
کلیه ماشین‌های آلوده از طریق پروتکل http و با وب سرورهائی با شماره آی پی نظیر ۱۷۴.۱۴۲.۵۷.* (سه سرور) و ۶۷.۲۰۵.۱۰۶.* (یک سرور) ارتباط برقرار می‌نمایند. همچنین پکت‌های از نوع ICMP به سمت سرورهای فوق الذکر برای چک کردن وضعیت ارسال می‌شوند.
همچنین بیش از ۳۰۰ فایل با پسوندهای dll، PRI و TMP در مسیر زیر ایجاد می‌شوند:
C:\documents and settings\%USER%\Printhood
تعدادی مشخصه MD5 از نمونه‌های مرتبط با این بدافزار شامل لیست زیر می‌باشد:
۷b7abab9bc4c49743d001cf99737e383
a9774d6496e1b09ccb1aeaba3353db7b
۸۸۵fcebf0549bf0c59a697a7cfff39ad
۴be969b977f9793b040c57276a618322
ea90ed663c402d34962e7e455b57443d
aa6f0456a4c2303f15484bff1f1109a0
caf851d9f56e5ee7105350c96fcc04b5
۱fe27986d9d06c10e96cee1effc54c68
۰۷۷۴۰e170fc9cac3dcd692cc9f713dc2
۷۵۵f19aa99a0ccba7d210e7f79182b09
۳۵b2dfd71f565cfc1b67983439c09f72
d9a425eac54d6ca4a46b6a34650d3bf1
۶۷c6fabbb0534090a079ddd487d2ab4b
e4eca131cde3fc18ee05c64bcdd90299
c71121c007a65fac1c8157e5930d656c
a86ce04694a53a30544ca7bb7c3b86cd
۷b22fa2f81e9cd14f1912589e0a8d309
۰۶۱c8eeb7d0d6c3ee751b05484f830b1
۳ab9c5962ab673f62823d8b5670f0c07
۱c968a80fa2616a4a2822d7589d9a5b4
۱۵۹۳fbb5e69bb516ae32bec6994f1e5d
۱۳۳f2735e5123d848830423bf77e8c20
۰۱dc62abf112f53a97234f6a1d54bc6f
۱۸۰۰۲ca6b19c3c841597e611cc9c02d9
۰۴۶bcf4ea8297cdf8007824a6e061b63
۸۹۰۵۷fc8fedc7da1f300dd7b2cf53583
۴۶۱ba43daa62b96b313ff897aa983454
d0dd88d60329c1b2d88555113e1ed66d
۹c072edfb9afa88aa7a379d73b65f82d
b86409e2933cade5bb1d21e4e784a633
۳fc8788fd0652e4f930d530262c3d3f3
۱۵۴۱۶f0033042c7e349246c01d6a43a3
f782d10eab3a7ca3c4a73a2f86128aad
cfd85a908554e0921b670ac9e3088631
abb49a9d81ec2cf8a1fb4d82fb7f1915
b2b4d7b5ce7c134df5cb40f4c4d5aa6a
۸b01fc1e64316717a6ac94b272a798d4
۸۱b2889bab87ab25a1e1663f10cf7e9e
۳۷۰۲۳۶۰d1192736020b2a38c5e69263a
۸۱۳۹be1a7c6c643ae64dfe08fa8769ee
۳۳۱f75a64b80173dc1d4abf0d15458cc
۳۹۸۱۶۸f0381ab36791f41fa1444633cc
d6f343e2bd295b69c2ce31f6fe369af9
f45963376918ed7dc2b96b16af97696
آخرین خبرها حاکی از آن است که این بدافزار به بزرگترین بانک اسرائیل با نام Hapoalim حمله نموده و خساراتی را به شبکه این بانک وارد نموده است.
سرور دریافت کننده اطلاعات
بدافزار به منظور ارسال اطلاعات، با سروری به شماره آی پی ۱۷۴.۱۴۲.۵۷.۲۹ ارتباط برقرار می‌نماید. مشخصات فنی سرور فوق به قرار زیر می‌باشد:
· سیستم عامل ویندوز سرور ۲۰۰۸
· پورت فعال سرویس FTP با شماره ۲۱
· پورت فعال ۱۳۹
· پورت فعال سرویس ایمیل Pop3 با شماره ۱۱۰
· پورت فعال سرویس msrpc با شماره ۱۳۵
· پورت فعال سرویس اشتراک گذاری فایل‌ها با شماره ۴۴۵
· پورت فعال با شماره ۴۴۴۴۲
· پورت فعال با شماره ۴۹۱۵۴
مقابله با بدافزار Madi
از آنجائی که به دلایل نامشخص، این بدافزار یک بدافزار با قابلیت‌های فنی پائین‌تر (به نسبت دیگر بدافزارهای استفاده شده در حوزه جنگ‌های سایبری نظیر استاکس نت، دیوکیو و فلیم) می‌باشد، لذا استفاده از روش‌های ساده تر به منظور مقابله و پاک‌سازی ماشین‌های آلوده به این بدافزار کاربردی‌تر می‌باشد.
ماشین‌های آلوده می‌توانند با خاتمه دادن به پروسه UpdateOffice.exe بدافزار را غیر فعال نمایند. همچنین مسیر زیر، مسیری است که بدافزار یک نمونه از خود را به آن‌جا منتقل می‌نماید:
C:\Users\%USERPROFILE%\Windows
به منظور پاک سازی لازم است محتویات این پوشه حذف شود.
همچنین، جهت پاک‌سازی کامل نیز توصیه می‌شود محتویات پوشه در مسیر زیر نیز به طور کامل حذف شوند:
C:\Users\%USERPROFILE%\PrintHood
لازم به ذکر است که بدافزار جهت مخفی نمودن فعالیت‌ها، این پوشه را مخفی می‌نماید.

کارشناسان واحد فنی و عملیات مرکز تخصصی آپا دانشگاه صنعتی اصفهان، به منظور تسهیل روند تشخیص و پاک‌سازی آلودگی، ابزاری را تهیه نموده‌اند. در حال حاضر این ابزار در این آدرس قرار گرفته است.