Duqu is 'n kwaadwillige matryoshka

Inleiding

Op 1 September 2011 is 'n lêer met die naam ~DN1.tmp vanaf Hongarye na die VirusTotal-webwerf gestuur. Op daardie tydstip is die lêer deur slegs twee antivirus-enjins as kwaadwillig bespeur - BitDefender en AVIRA. Dit is hoe die verhaal van Duqu begin het. As ons vorentoe kyk, moet gesê word dat die Duqu-malwarefamilie na die naam van hierdie lêer vernoem is. Hierdie lêer is egter 'n heeltemal onafhanklike spyware-module met keylogger-funksies, waarskynlik geïnstalleer met 'n kwaadwillige downloader-dropper, en kan slegs beskou word as 'n "loonvrag" wat deur die Duqu-wanware gelaai word tydens die werking daarvan, en nie as 'n komponent nie ( module) van Duqu . Een van die Duqu-komponente is eers op 9 September na die Virustotal-diens gestuur. Sy kenmerkende kenmerk is 'n bestuurder wat digitaal deur C-Media onderteken is. Sommige kenners het dadelik analogieë begin trek met 'n ander bekende voorbeeld van wanware - Stuxnet, wat ook getekende drywers gebruik het. Die totale aantal Duqu-geïnfekteerde rekenaars wat deur verskeie antivirusmaatskappye regoor die wêreld opgespoor is, is in die dosyne. Baie maatskappye beweer dat Iran weer die hoofteiken is, maar te oordeel aan die geografiese verspreiding van infeksies, kan dit nie met sekerheid gesê word nie.

In hierdie geval moet jy met selfvertroue net praat oor 'n ander maatskappy met 'n nuwerwetse woord APT (gevorderde aanhoudende bedreiging).

Stelsel implementering prosedure

’n Ondersoek wat deur spesialiste van die Hongaarse organisasie CrySyS (Hungarian Laboratory of Cryptography and System Security by die Budapest University of Technology and Economics) gedoen is, het gelei tot die ontdekking van die installeerder (dropper) waardeur die stelsel besmet is. Dit was 'n Microsoft Word-lêer met 'n uitbuiting vir die win32k.sys-bestuurderkwesbaarheid (MS11-087, beskryf deur Microsoft op 13 November 2011), wat verantwoordelik is vir die TTF-lettertipeweergawe-meganisme. Die ontginning se dopkode gebruik 'n lettertipe genaamd 'Dexter Regular' wat in die dokument ingebed is, met Showtime Inc. gelys as die skepper van die lettertipe. Soos jy kan sien, is die skeppers van Duqu nie vreemdelinge vir 'n sin vir humor nie: Dexter is 'n reeksmoordenaar, die held van die gelyknamige televisiereeks, vervaardig deur Showtime. Dexter maak net (indien moontlik) misdadigers dood, dit wil sê, hy oortree die wet in die naam van wettigheid. Waarskynlik, op hierdie manier, is die Duqu-ontwikkelaars ironies dat hulle betrokke is by onwettige aktiwiteite vir goeie doeleindes. Die stuur van e-pos is doelgerig gedoen. Die besending het waarskynlik gekompromitteerde (gekapte) rekenaars as tussenganger gebruik om opsporing moeilik te maak.
Die Word-dokument het dus die volgende komponente bevat:

• teksinhoud;
• ingeboude lettertipe;
• ontgin dopkode;
• bestuurder;
• installeerder (DLL-biblioteek).

Indien suksesvol, het die uitbuiting-dopkode die volgende bewerkings uitgevoer (in kernmodus):

• 'n kontrole is gemaak vir her-infeksie; hiervoor is die teenwoordigheid van die 'CF4D'-sleutel in die register nagegaan by die adres 'HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZones1'; as dit korrek was, het die dopkode sy uitvoering voltooi;
• twee lêers is gedekripteer - die bestuurder (sys) en die installeerder (dll);
• die bestuurder is in die services.exe-proses ingespuit en die installeerder begin;
• Uiteindelik het die dopkode homself uitgevee met nulle in die geheue.

As gevolg van die feit dat win32k.sys onder die bevoorregte gebruiker 'Stelsel' uitgevoer word, het die Duqu-ontwikkelaars die probleem van beide ongemagtigde bekendstelling en eskalasie van regte (wat onder 'n gebruikersrekening met beperkte regte loop) elegant opgelos.
Nadat beheer ontvang is, het die installeerder drie blokke data wat daarin vervat is, in die geheue gedekripteer, wat bevat:

• getekende bestuurder (sys);
• hoofmodule (dll);
• installeerder konfigurasie data (pnf).

'n Datumreeks is in die installeerderkonfigurasiedata gespesifiseer (in die vorm van twee tydstempels - begin en einde). Die installeerder het nagegaan of die huidige datum daarin ingesluit is, en indien nie, het dit die uitvoering daarvan voltooi. Ook in die installeerder konfigurasie data was die name waaronder die bestuurder en hoof module gestoor is. In hierdie geval is die hoofmodule in geënkripteerde vorm op skyf gestoor.

Om Duqu outomaties te begin, is 'n diens geskep met behulp van 'n bestuurderlêer wat die hoofmodule dadelik gedekripteer het met sleutels wat in die register gestoor is. Die hoofmodule bevat sy eie konfigurasiedatablok. Toe dit die eerste keer geloods is, is dit gedekripteer, die installasiedatum is daarin ingevoer, waarna dit weer geënkripteer en deur die hoofmodule gestoor is. Dus, in die geaffekteerde stelsel, na suksesvolle installasie, is drie lêers gestoor - die bestuurder, die hoofmodule en sy konfigurasiedatalêer, terwyl die laaste twee lêers in geënkripteerde vorm op skyf gestoor is. Alle dekoderingsprosedures is slegs in die geheue uitgevoer. Hierdie komplekse installasie prosedure is gebruik om die moontlikheid van opsporing deur antivirus sagteware te minimaliseer.

Die hoofmodule

Hoofmodule (hulpbron 302), volgens информации maatskappy Kaspersky Lab, geskryf met behulp van MSVC 2008 in suiwer C, maar met behulp van 'n objekgeoriënteerde benadering. Hierdie benadering is onkenmerkend wanneer kwaadwillige kode ontwikkel word. As 'n reël word sulke kode in C geskryf om die grootte te verminder en ontslae te raak van die implisiete oproepe inherent aan C++. Hier is 'n sekere simbiose. Boonop is 'n gebeurtenisgedrewe argitektuur gebruik. Werknemers van Kaspersky Lab is geneig tot die teorie dat die hoofmodule geskryf is met 'n voorverwerker-byvoeging wat jou toelaat om C-kode in 'n objekstyl te skryf.
Die hoofmodule is verantwoordelik vir die prosedure vir die ontvangs van bevele van operateurs. Duqu bied verskeie metodes van interaksie: die gebruik van die HTTP- en HTTPS-protokolle, sowel as die gebruik van benoemde pype. Vir HTTP(S) is domeinname van opdragsentrums gespesifiseer, en die vermoë om deur 'n instaanbediener te werk is voorsien - 'n gebruikersnaam en wagwoord is vir hulle gespesifiseer. Die IP-adres en sy naam word vir die kanaal gespesifiseer. Die gespesifiseerde data word gestoor in die hoofmodule-konfigurasiedatablok (in geënkripteerde vorm).
Om benoemde pype te gebruik, het ons ons eie RPC-bedienerimplementering bekendgestel. Dit het die volgende sewe funksies ondersteun:

• stuur die geïnstalleerde weergawe terug;
• spuit 'n dll in die gespesifiseerde proses in en roep die gespesifiseerde funksie;
• laai dll;
• begin 'n proses deur CreateProcess();
• lees die inhoud van 'n gegewe lêer;
• skryf data na die gespesifiseerde lêer;
• verwyder die gespesifiseerde lêer.

Benoemde pype kan binne 'n plaaslike netwerk gebruik word om opgedateerde modules en konfigurasiedata tussen Duqu-geïnfekteerde rekenaars te versprei. Daarbenewens kan Duqu optree as 'n instaanbediener vir ander besmette rekenaars (wat nie toegang tot die internet gehad het nie as gevolg van die firewall-instellings op die poort). Sommige weergawes van Duqu het nie RPC-funksionaliteit gehad nie.

Bekende "loonvragte"

Symantec het ten minste vier soorte loonvragte ontdek wat onder bevel van die Duqu-beheersentrum afgelaai is.
Boonop was slegs een van hulle woonagtig en saamgestel as 'n uitvoerbare lêer (exe), wat op skyf gestoor is. Die oorblywende drie is as dll-biblioteke geïmplementeer. Hulle is dinamies gelaai en in die geheue uitgevoer sonder om op skyf gestoor te word.

Die inwonende "loonvrag" was 'n spioenasiemodule (inligtingsteler) met keylogger-funksies. Dit was deur dit aan VirusTotal te stuur dat die werk aan Duqu-navorsing begin het. Die belangrikste spioenasiefunksie was in die hulpbron, waarvan die eerste 8 kilogrepe 'n deel van 'n foto van die sterrestelsel NGC 6745 (vir kamoeflering) bevat het. Dit moet hier onthou word dat sommige media in April 2012 inligting gepubliseer het (http://www.mehrnews.com/en/newsdetail.aspx?NewsID=1297506) dat Iran aan sommige kwaadwillige sagteware "Stars" blootgestel is, terwyl besonderhede van die voorval is nie bekend gemaak nie. Miskien was dit net so 'n monster van die Duqu "loonvrag" wat toe in Iran ontdek is, vandaar die naam "Stars".
Die spioenasiemodule het die volgende inligting ingesamel:

• lys van lopende prosesse, inligting oor die huidige gebruiker en domein;
• lys van logiese dryf, insluitend netwerk dryf;
• skermkiekies;
• netwerkkoppelvlakadresse, roeteringstabelle;
• loglêer van sleutelbordtoetsaanslagen;
• name van oop toepassingsvensters;
• lys van beskikbare netwerkhulpbronne (deelhulpbronne);
• 'n volledige lys van lêers op alle skywe, insluitend verwyderbares;
• 'n lys van rekenaars in die "netwerkomgewing".

Nog 'n spioenasiemodule (inligtingsteler) was 'n variasie van wat reeds beskryf is, maar saamgestel as 'n dll-biblioteek; die funksies van 'n keylogger, die samestelling van 'n lys van lêers en die lys van rekenaars wat in die domein ingesluit is, is daaruit verwyder.
Volgende module (verkenning) versamelde stelselinligting:

• of die rekenaar deel is van 'n domein;
• paaie na Windows-stelselgidse;
• bedryfstelsel weergawe;
• huidige gebruikersnaam;
• lys van netwerkadapters;
• stelsel en plaaslike tyd, sowel as tydsone.

Laaste module (lewensduur verlenger) 'n funksie geïmplementeer om die waarde (geberg in die hoofmodule-konfigurasiedatalêer) van die aantal dae wat oorbly totdat die taak voltooi is, te verhoog. By verstek is hierdie waarde op 30 of 36 dae gestel, afhangende van die Duqu-wysiging, en het elke dag met een verminder.

Bevelsentrums

Op 20 Oktober 2011 (drie dae nadat inligting oor die ontdekking versprei is), het Duqu-operateurs 'n prosedure uitgevoer om spore van die funksionering van die bevelsentrums te vernietig. Bevelsentrums was op gehackte bedieners regoor die wêreld geleë - in Viëtnam, Indië, Duitsland, Singapoer, Switserland, Groot-Brittanje, Holland en Suid-Korea. Interessant genoeg het al die geïdentifiseerde bedieners CentOS-weergawes 5.2, 5.4 of 5.5 gebruik. Die bedryfstelsels was beide 32-bis en 64-bis. Ten spyte van die feit dat alle lêers wat verband hou met die werking van bevelsentrums uitgevee is, kon Kaspersky Lab-spesialiste sommige van die inligting uit LOG-lêers van slap spasie herwin. Die interessantste feit is dat aanvallers op bedieners altyd die standaard OpenSSH 4.3-pakket met weergawe 5.8 vervang het. Dit kan aandui dat 'n onbekende kwesbaarheid in OpenSSH 4.3 gebruik is om bedieners te hack. Nie alle stelsels is as bevelsentrums gebruik nie. Sommige, te oordeel aan die foute in die sshd-logboeke wanneer hulle probeer om verkeer vir poorte 80 en 443 te herlei, is as 'n instaanbediener gebruik om aan die eindbevelsentrums te koppel.

Datums en modules

'n Word-dokument wat in April 2011 versprei is, wat deur Kaspersky Lab ondersoek is, bevat 'n installeerder-aflaaibestuurder met 'n samestellingsdatum van 31 Augustus 2007. 'n Soortgelyke drywer (grootte - 20608 grepe, MD5 - EEDCA45BD613E0D9A9E5C69122007F17) in 'n dokument wat in CrySys-laboratoriums gevind is, het 'n samestellingsdatum van 21 Februarie 2008 gehad. Daarbenewens het Kaspersky Lab-kundiges die outorun-bestuurder rndismpc.sys (grootte - 19968 grepe, MD5 - 9AEC6E10C5EE9C05BED93221544C783E) gevind met die datum 20 Januarie 2008. Geen komponente gemerk 2009 is gevind nie. Gebaseer op die tydstempels van die samestelling van individuele dele van Duqu, kan die ontwikkeling daarvan tot vroeg in 2007 dateer. Die vroegste manifestasie daarvan word geassosieer met die opsporing van tydelike lêers van die tipe ~DO (waarskynlik geskep deur een van die spyware-modules), waarvan die skeppingsdatum 28 November 2008 is (статья "Duqu & Stuxnet: 'n Tydlyn van interessante gebeurtenisse"). Die mees onlangse datum wat met Duqu geassosieer word, was 23 Februarie 2012, vervat in 'n installeerder-aflaaibestuurder wat in Maart 2012 deur Symantec ontdek is.

Bronne van inligting wat gebruik word:

reeks artikels oor Duqu van Kaspersky Lab;
Symantec analitiese verslag "W32.Duqu Die voorloper van die volgende Stuxnet", weergawe 1.4, November 2011 (pdf).

Bron: will.com