La campaña Madi – Parte I

Durante casi un año se ha estado llevando a cabo una campaña para penetrar los sistemas informáticos del Medio Oriente, atacando a usuarios individuales en Irán, Israel, Afganistán, y otros países en el mundo.

Junto a nuestro socio Seculert, hemos estado investigando meticulosamente esta operación y la hemos bautizado con el nombre de “Madi”, en base a ciertos hilos y handles que usan los atacantes. Aquí (http://blog.seculert.com/2012/07/mahdi-cyberwar-savior.html) puedes encontrar el análisis completo de Seculert.

La campaña se basó en una par de conocidas y sencillas técnicas de ataque para inyectar los códigos maliciosos, lo que revela algo sobre el cuidado de las víctimas al navegar en Internet. La gran cantidad de datos muestra que los blancos de la campaña en el Medio Oriente eran importantes firmas de ingeniería, agencias gubernamentales, instituciones financieras y académicas. Las víctimas individuales y sus comunicaciones se seleccionaron con el fin de realizar un mayor monitoreo a largo plazo.

Este artículo analiza las técnicas que se usaron para propagar el programa malicioso Madi, las herramientas spyware que se usaron y sus peculiaridades. En algunos casos, las mismas organizaciones atacadas se resisten a brindar mayor información sobre la violación de sus sistemas, lo que limita el alcance de algunas partes de la campaña.

La llegada

Esquemas de ingeniería social para descargar y ejecutar spyware

Los atacantes de Madi recurren en gran medida a técnicas de ingeniería social para propagar su spyware.

El primero de estos esquemas de ingeniería social que define la actividad de propagación de esta campaña de vigilancia consiste en el uso de imágenes atractivas y temas confusos incluidos en presentaciones de PowerPoint que contienen los troyanos descargadores de Madi. El efecto “Contenido activado” de PowerPoint permite la ejecución automática de los contenidos ejecutables incrustados en los spearphish (phishing dirigido contra un pequeño grupo de blancos selectos que tienen mayores posibilidades de ser atraídos) adjuntos. Los troyanos descargadores buscan e instalan los servicios puerta trasera y archivos de datos “de limpieza” relacionados en el sistema de la víctima. Por ejemplo, “Magic_Machine1123.pps”, entrega el archivo ejecutable en un confuso rompecabezas matemático dentro de una presentación de PowerPoint con abrumadoras instrucciones matemáticas. PowerPoint muestra una advertencia de que la animación y el contenido activado pueden ejecutar un virus, pero los usuarios suelen ignorarla, continuando con la ejecución del descargador malicioso.

Otra presentación de PowerPoint conocida como “Moses_pic1.pps” muestra una serie de temas relajantes, con fondo religioso o paisajes, o imágenes tropicales, el usuario se ve confundido e inducido a ejecutar la descarga del código malicioso en su sistema:

Y:

Y:

Algunos de los descargadores también descargan y abren documentos con noticias sobre el Medio Oriente y contenidos religiosos:

Ingeniería social: Técnicas RTLO (sigla en inglés de sobreescriptura de derecha a izquierda)

Como muchas piezas del rompecabezas, la mayoría de los componentes son simples en concepto, pero efectivos en la práctica. No se necesitan grandes esfuerzos en investigaciones sobre día-cero, ni investigadores en seguridad, ni grandes sueldos. Es decir, atacar a este grupo de víctimas sin necesidad de recurrir al día-cero en esta región, funciona bastante bien.

Además de las atrayentes presentaciones de PowerPoint, a menudo distribuidas en archivos comprimidos zip protegidos con contraseña, los atacantes enviaron archivos ejecutables con nombres engañosos mediante la conocida técnica RTLO. A los ojos del usuario, estos nombres engañosos se refieren a imágenes con inofensivas extensiones “.jpg” o “.pdf”, o cualquier otra apariencia que el ciberdelincuente pueda crear con el fin de inducir al usuario a abrir el archivo que no es de datos, sino ejecutable. El problema tiene que ver con la forma en que Windows maneja los caracteres Unicode. Esta técnica se ha descrito aquí y aquí. Los archivos relacionados con los incidentes de Madi tenían nombres que aparecían en los sistemas de las víctimas como “picturcs..jpg”, junto a un icono común “.jpg”. Pero cuando ese Unicode, o el nombre en base UTF-8 se copia en un archivo ANSI, aparece como “pictu?gpj..scr”. Entonces, algunas víctimas de Madi se vieron inducidas a abrir lo que pensaron era un inofensivo archivo “.jpg” y en realidad estaban ejecutando un archivo ejecutable “.scr”. A continuación mostramos en una captura de pantalla el nombre de un archivo, con la viciada muestra del explorador de Windows arriba, y la línea de comando abajo:

Cuando se ejecutan, estos descargadores PE intentan mostrar videos o imágenes engañosas, con el objetivo, repetimos, de engañar al usuario haciéndole creer que se trata de algo inofensivo. A continuación aparece un video sobre una prueba de misiles:

Y una imagen de una explosión atómica:

Cómo detectar su presencia

Todos los (troyanos) puertas traseras que se distribuyeron a aproximadamente 800 sistemas víctimas estaban codificados en Delphi. Esto sólo podría esperarse de programadores principiantes, o de desarrolladores apurados. Esta es una captura de pantalla de la interfaz de administración:

Los archivos ejecutables se empaquetan con una última versión del empacador UPX legítimo, como UPX 3.07. Por desgracia, esta técnica y el código de rápida modificación obtendrán el código para burlar las barreras de algunas soluciones de seguridad.

Al ejecutarse, la mayoría de las versiones del descargador crean una gran cantidad de archivos en “c:documents and settingsPrinthood”. Junto a UpdateOffice.exe u OfficeDesktop.exe (y otras variantes del nombre Office), se crean cientos de archivos de limpieza, generalmente vacíos. La siguiente es una lista de archivos con datos de configuración:

También se descargan y abren cualquiera de los varios documentos e imágenes “de distracción”. Uno de estos documentos es la imagen de Jesús antes mostrada (descargada como un contenido codificado dentro de “Motahare.txt”), y uno de los documentos es un “copia y pega” de un artículo de The Daily Beast sobre la guerra informática en la región, que se descargó como un contenido codificado dentro de “Mahdi.txt”.

Los programas ladrones de información o Infostealers se descargan y ejecutan como “iexplore.exe” desde el directorio de “templates” mencionado arriba.
Lista de funcionalidades:

La funcionalidad en el (troyano) puerta trasera refleja las opciones existentes en la herramienta de configuración. Existen nueve opciones:

1. Keylogging
2. Captura de pantalla en intervalos específicos. (ver cronómetros abajo)
3. Captura de pantalla en determinados intervalos, que se activa exclusivamente con un acontecimiento relacionado con comunicaciones. Este acontecimiento puede ser la misma víctima interactuando con el correo web, un cliente IM o un sitio de una red social. Entre los sitios activadores están Gmail, Hotmail, Yahoo!, Mail, ICQ, Skype, google+, Facebook y otros.
4. Actualización del puerta trasera
5. Grabación de audio como archivo .WAV y guardado para enviarlo
6. Recuperación de cualquier combinación de 27 tipos distintos de archivos de datos
7. Recuperación de estructuras de discos
8. Borrado y enlazado, que todavía no han sido implementadas

Las diferentes operaciones del puerta trasera están bajo el control de Delphi Timers, como se puede ver a continuación:

Mediante una versión desinfectada de Resource Hacker

Es normal que los programas maliciosos mantengan el código malicioso en su sección de recursos, lo descompriman en tiempo real y lo descarguen en el disco. O que los ciberdelincuentes modifiquen los iconos de su RTLO spearphish.

Los atacantes de Madi guardan dos copias de ResHacker (ver http://www.angusj.com/resourcehacker/) para distribuirlas en sus sitios web, incrustadas en archivos “SSSS.htm” y “RRRR.htm”. No sólo crean alboroto instruyendo a sus programas maliciosos que descarguen ResHacker, un conocido editor de las secciones de recursos, sino que al parecer han tenido problemas con infecciones virales en sus propias redes. Estas copias difieren en un byte. La diferencia es el valor en la sección SizeofImage, 0xdc800 en un archivo, y 0xde000 en el otro. La diferencia aparece porque ambos se infectaron con “Virus.Win32.Parite.b” en algún momento, y luego se limpiaron con soluciones Anti-Virus. Entonces, es posible y probable que los atacantes estén enfrentándose a sus propias infecciones.

Cómo saber si el sistema está comprometido

Todos los sistemas ya comprometidos se comunican mediante HTTP con uno de los varios servidores web, como: 174.142.57.* (3 servidores) y 67.205.106.* (un servidor).

Además, se envían paquetes ICMP PING a estos servidores para verificar su estado. Los Infostealers se descargan y se ejecutan desde la carpeta “c:Documents and Settings%USER%Templates”. El mismo descargador se ejecuta desde “c:documents and settings%USER%Printhood”, que puede contener más de 300 archivos con extensiones “.PRI”, “.dll”, y”.TMP”. Los Infostealers reciben el nombre de “iexplore.exe”, mientras que los descargadores mantienen nombres como UpdateOffice.exe u OfficeDesktop.exe

Al momento de escribir este artículo, la campaña continuaba, y estamostrabajando de forma conjunta con varias organizaciones para detenerla y prevenir futuras infecciones. Los productos de Kaspersky detectaron el programa malicioso como “Trojan.Win32.Madi.*”; y versiones más antiguas lo hicieron como “Trojan.Win32.Upof.*”

MD5s relacionados (no es una lista completa):

En la Parte II de este artículo examinaremos todo el escenario: infraestructura, comunicaciones, recopilación de datos, y las víctimas.