شناسایی یک بدافزار ایرانی
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای ایران از شناسایی یک بدافزار ایرانی با نام "مارمولک" خبر داد و اعلام کرد: این بدافزار از طریق ثبت ضربات صفحه كلید، رمز كردن آنها و ارسال آن برای نویسنده، اطلاعات را جمع آوری و سرقت می کند.
حملات هدفمند از چندین مرحله تشكیل میشوند كه به زنجیره قتل APT شناخته میشوند. مهاجمان به عنوان بخشی از فاز مسلح كردن خود، اغلب Payload ی را در یك فایل قرار میدهند كه زمانی كه نصب می شود در فاز دستور و كنترل (C۲) به مهاجم متصل میشود.
یك payload بسیار معمولی مورد استفاده بسیاری از بدافزارهای سرقت كلمه عبور، نرم افزار ثبت ضربات صفحه كلید (keylogger) است و هدف از ثبت ضربات صفحه كلید این است كه ضربات صفحه كلید كاربر ضبط شود و اطلاعات اعتباری وی و لینكها به منابع داخلی و خارجی جمعآوری شود.
از این رو مرکز ماهر ایران اعلام کرد: اخیرا بدافزار موسوم به مارمولك كه یك نرم افزار ایرانی ثبت ضربات صفحه كلید است با MD۵ برابر با F۰۹D۲C۶۵F۰B۶AD۵۵۵۹۳۴۰۵A۵FD۳A۷D۹۱ شناسایی شده است.
نخستین ظهور این keylogger به یك فروم در خاورمیانه باز میگردد. اگرچه ممكن است برخی keylogger ها ضربات صفحه كلید را برای مقاصد قانونی ثبت کنند اما این نرمافزار قربانیان خود را با یك payload پنهان گمراه میسازد. به نظر میرسد كه تولید كننده این بدافزار با قرار دادن آن در فروم مذكور، قصد حمله به سایر اعضای این فروم را داشته كه این كار تكنیكی مرسوم است.
نویسندگان بدافزارها اغلب برای جلوگیری از شناسایی شدن، از ابزارهای ارزان و سادهای استفاده میكنند كه بدافزار را با یك برنامه runtime فشرده سازی یا رمزگذاری، تغییر میدهد؛ البته در این مورد خاص، فایلهای مرتبط توسط یك نسخه تغییر یافته از ابزار مشهور UPX پنهان شدهاند.
این فایل در هنگام اجرا یك كپی از خود با نام Mcsng.sys در فولدر Sysytem۳۲ ایجاد میكند. این بدافزار همچنین پروسهای را اجرا میكند كه فایل ۱stmp.sys را در فولدر system۳۲\config جایگذاری كرده و مینویسد.
اگرچه پسوند این فایل .sys (فایل سیستمی) است، اما در حقیقت این فایل سیستمی نیست. هدف این فایل این است كه به عنوان یك فایل لاگ عمل كند كه محتوی ضربات صفحه كلید كاربر است كه به صورت رمز شده ذخیره شدهاند. هربار كه یك كلید فشرده میشود، این پروسه ضربات صفحه كلید را ثبت میكند، آن را رمز كرده و به ۱stmp.sys اضافه میكند.
اگرچه الگوریتم رمزگذاری مورد استفاده برای این كار ساده است، ولی از رمزگذاری انتخابی با دو تكنیك استفاده میكند: هر بایت درصورتیكه فرد باشد با استفاده از تكنیك ۱ رمز میشود و درصورتیكه زوج باشد، با استفاده از تكنیك ۲ رمزگذاری خواهد شد؛ براین اساس پس از رمزگشایی نه تنها ضربات صفحه كلید قابل مشاهده هستند، بلكه اطلاعات زمانی ثبت این اطلاعات نیز قابل مشاهده است.
پس از ثبت و رمز گذاری ضربات صفحه كلید، این بدافزار این اطلاعات را برای نویسنده خود ایمیل میكند.
این بدافزار همچنین نام كامپیوتر و نام كاربر را نیز برای سازنده خود میفرستد.
لاگ رمز شده به آدرس marmoolak@red-move.tk ارسال می شود كه بر روی دامنهای میزبانی میشود كه به میزبانی بدافزارها مشهور است.
مكآفی این تروجان keylogger و نسخههای مختلف آن را با عنوان Keylog-FAG میشناسد.
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای ایران به کاربران ایرانی هشدار داد: برای جلوگیری از آلوده شدن توسط انواع keylogger ها، باید آنتیویروس خود را بهروز نگه داشته و از منابع نامطمئن دانلود نكنند.
منبع: مهر
نظر شما