بدافزار ايرانی مارمولک

شماره: IRCNE2014052199
تاريخ: 3/3/93

حملات هدفمند از چندين مرحله تشكيل مي‌شوند كه به زنجيره قتل APT شناخته مي‌شوند. مهاجمان به عنوان بخشي از فاز مسلح كردن خود، اغلب Payloadي را در يك فايل قرار مي‌دهند كه زماني كه نصب مي‌گردد، در فاز دستور و كنترل (C2) به مهاجم متصل مي‌شود. يك payload بسيار معمول مورد استفاده بسياري از بدافزارهاي سرقت كلمه عبور، نرم افزار ثبت ضربات صفحه كليد (keylogger) است. هدف از ثبت ضربات صفحه كليد اين است كه ضربات صفحه كليد كاربر ضبط شود و اطلاعات اعتباري وي و لينك‌ها به منابع داخلي و خارجي جمع‌آوري گردد.
اخيراً بدافزار مارمولك كه يك نرم افزار ايراني ثبت ضربات صفحه كليد است با MD5 برابر با F09D2C65F0B6AD55593405A5FD3A7D91 شناسايي شده است.
نخستين ظهور اين keylogger به يك فروم در خاورميانه باز مي‌گردد. اگرچه ممكن است برخي keylogger ها ضربات صفحه كليد را براي مقاصد قانوني ثبت نمايند، اما اين نرم‌افزار قربانيان خود را با يك payload پنهان گمراه مي‌سازد. به نظر مي‌رسد كه توليد كننده اين بدافزار با قرار دادن آن در فروم مذكور، قصد حمله به ساير اعضاي اين فروم را داشته است كه اين كار تكنيكي مرسوم است.
نويسندگان بدافزارها اغلب براي جلوگيري از شناسايي شدن، از ابزارهاي ارزان و ساده‌اي استفاده مي‌كنند كه بدافزار را با يك برنامه runtime فشرده سازي يا رمزگذاري، تغيير مي‌دهد. البته در اين مورد خاص، فايل‌هاي مرتبط توسط يك نسخه تغيير يافته از ابزار مشهور UPX پنهان شده‌اند.
اين فايل در هنگام اجرا يك كپي از خود با نام Mcsng.sys در فولدر Sysytem32 ايجاد مي‌كند. اين بدافزار همچنين پروسه‌اي را اجرا مي‌كند كه فايل 1stmp.sys را در فولدر system32\config جايگذاري كرده و مي‌نويسد.
اگرچه پسوند اين فايل .sys (فايل سيستمي) است، اما در حقيقت اين فايل سيستمي نيست. هدف اين فايل اين است كه به عنوان يك فايل لاگ عمل كند كه محتوي ضربات صفحه كليد كاربر است كه به صورت رمز شده ذخيره شده‌اند. هربار كه يك كليد فشرده مي‌شود، اين پروسه ضربات صفحه كليد را ثبت مي‌كند، آن را رمز كرده و به 1stmp.sys اضافه مي‌كند.
اگرچه الگوريتم رمزگذاري مورد استفاده براي اين كار ساده است، ولي از رمزگذاري انتخابي با دو تكنيك استفاده مي‌كند: هر بايت درصورتي‌كه فرد باشد با استفاده از تكنيك 1 رمز مي‌شود و درصورتي‌كه زوج باشد، با استفاده از تكنيك 2 رمزگذاري مي‌گردد.
پس از رمزگشايي نه تنها ضربات صفحه كليد قابل مشاهده هستند، بلكه اطلاعات زماني ثبت اين اطلاعات نيز قابل مشاهده است. پس از ثبت و رمز گذاري ضربات صفحه كليد، اين بدافزار اين اطلاعات را براي نويسنده خود ايميل مي‌كند. اين بدافزار همچنين نام كامپيوتر و نام كاربر را نيز براي سازنده خود مي‌فرستد. لاگ رمز شده به آدرس marmoolak@red-move.tk ارسال مي‌گردد كه بر روي دامنه‌اي ميزباني مي‌شود كه به ميزباني بدافزارها مشهور است.
مك‌آفي اين تروجان keylogger و نسخه‌هاي مختلف آن را با عنوان Keylog-FAG مي‌شناسد. براي جلوگيري از آلوده شدن توسط انواع keylogger ها، بايد آنتي‌ويروس خود را به‌روز نگه داريد و از منابع نامطمئن دانلود نكنيد.