ፕሮሆስተር > ጦማር > የኢንተርኔት ዜና > ዱኩ ተንኮለኛ ማትሪዮሽካ ነው።

ዱኩ ተንኮለኛ ማትሪዮሽካ ነው።

መግቢያ

በሴፕቴምበር 1፣ 2011 ~DN1.tmp የሚባል ፋይል ከሃንጋሪ ወደ ቫይረስ ቶታል ድህረ ገጽ ተልኳል። በዚያን ጊዜ ፋይሉ ተንኮል አዘል ሆኖ የተገኘው በሁለት የጸረ-ቫይረስ ሞተሮች ብቻ ነው - BitDefender እና AVIRA። የዱቁ ታሪክ እንዲህ ተጀመረ። ወደ ፊት ስንመለከት የዱኩ ማልዌር ቤተሰብ የተሰየመው በዚህ ፋይል ነው መባል አለበት። ነገር ግን ይህ ፋይል ከኪይሎገር ተግባራት ጋር ሙሉ ለሙሉ ራሱን የቻለ የስለላ ሞጁል ነው፡ ምናልባትም በተንኮል አዘል ጠብታ ማውረጃ ታግዞ የተጫነ እና በስራው ሂደት ውስጥ በዱኩ ማልዌር እንደወረደ እንደ “ክፍያ” ብቻ ሊወሰድ ይችላል ነገር ግን ዋና አካል አይደለም። የዱኩ ክፍል (ሞዱል) . ከዱኩ አካላት አንዱ ወደ ቫይረስቶታል አገልግሎት የተላከው በሴፕቴምበር 9 ላይ ብቻ ነው። ልዩ ባህሪው ከሲ-ሚዲያ በዲጂታል ፊርማ የተፈረመ አሽከርካሪ ነው። አንዳንድ ባለሙያዎች ወዲያውኑ ከሌላ ታዋቂ የማልዌር ምሳሌ ጋር ተመሳሳይ ምሳሌዎችን መሳል ጀመሩ - Stuxnet ፣ እሱም እንዲሁ የተፈረመ አሽከርካሪዎችን ይጠቀማል። በአለም ላይ በተለያዩ የጸረ-ቫይረስ ኩባንያዎች የተገኙት በዱኩ የተጠቁ ኮምፒውተሮች አጠቃላይ ቁጥር በአስር ነው። ብዙ ኩባንያዎች ኢራን እንደገና ዋና ኢላማ ነች ይላሉ ነገር ግን የኢንፌክሽን ስርጭትን መልክዓ ምድራዊ አቀማመጥ ስንመለከት ይህ በእርግጠኝነት ሊባል አይችልም ።
ዱኩ ተንኮለኛ ማትሪዮሽካ ነው።
በዚህ ጉዳይ ላይ አንድ ሰው ስለ ሌላ ኩባንያ ብቻ ስለ አዲስ ቃል ብቻ መናገር አለበት APT (የላቀ የማያቋርጥ ስጋት)።

በስርዓቱ ውስጥ የትግበራ ሂደት

ከሀንጋሪ ድርጅት CrySyS (የቡዳፔስት የቴክኖሎጂ እና ኢኮኖሚክስ የሃንጋሪ ላብራቶሪ ክሪፕቶግራፊ እና የስርዓት ደህንነት) በመጡ ስፔሻሊስቶች የተደረገ ምርመራ ስርዓቱ የተበከለበትን ጫኚ (dropper) ተገኘ። የቲቲኤፍ ቅርጸ-ቁምፊዎችን ለመስራት ሃላፊነት ላለው የwin32k.sys ሾፌር (ኤምኤስ11-087፣ በኅዳር 13፣ 2011 በ Microsoft የተገለጸው) ተጋላጭነት ብዝበዛ ያለው የማይክሮሶፍት ዎርድ ፋይል ነበር። የብዝበዛው ሼልኮድ በሰነዱ ውስጥ የተካተተ ቅርጸ-ቁምፊን ይጠቀማል 'Dexter Regular'፣ እና Showtime Inc. እንደ ቅርጸ-ቁምፊው ፈጣሪ ይቆጠራል። እንደምታየው የዱኩ ፈጣሪዎች ለቀልድ ስሜት እንግዳ አይደሉም፡ ዴክስተር ተከታታይ ገዳይ ነው፣ ተመሳሳይ ስም ያለው የቴሌቭዥን ተከታታዮች ጀግና፣ በ Showtime የተቀረፀ። ዴክስተር የሚገድል (ከተቻለ) ወንጀለኞችን ብቻ ነው፣ ማለትም በህግ ስም ህጉን ይጥሳል። ምናልባት በዚህ መንገድ የዱኩ አዘጋጆች ለበጎ ዓላማ ሕገወጥ ተግባር ላይ መሰማራታቸው አስቂኝ ነው። ደብዳቤዎችን በኢሜል መላክ ሆን ተብሎ ተከናውኗል። ለመላክ፣ ምናልባትም፣ የተጠለፉ (የተጠለፉ) ኮምፒውተሮች ክትትልን አስቸጋሪ ለማድረግ እንደ መካከለኛ ጥቅም ላይ ውለው ነበር።
ስለዚህ የ Word ሰነድ የሚከተሉትን ክፍሎች ይዟል።

  • የጽሑፍ ይዘት;
  • የተከተተ ቅርጸ-ቁምፊ;
  • የሐር ኮድ መበዝበዝ;
  • ሹፌር;
  • ጫኚ (DLL)።

በተሳካ ሁኔታ አፈፃፀም ላይ የብዝበዛው ሼልኮድ የሚከተሉትን ተግባራት አከናውኗል (በከርነል ሁነታ)

  • ለዳግም ኢንፌክሽን ፍተሻ ተካሂዷል፣ ለዚህም የ'CF4D' ቁልፍ መኖር በ'HKEY_LOCAL_MACHINESOFTWAREMIcrosoftWindowsCurrentVersionInternet SettingsZones1' ላይ ባለው መዝገብ ውስጥ ታይቷል፣እውነት ከሆነ የሼልኮድ ስራውን አጠናቋል።
  • ሁለት ፋይሎች ዲክሪፕት ተደርገዋል - ሾፌር (sys) እና ጫኝ (dll);
  • አሽከርካሪው በ services.exe ሂደት ውስጥ በመርፌ መጫኑን አስጀምሯል;
  • በመጨረሻ ፣ ሼልኮዱ እራሱን በዜሮዎች በማስታወስ ያጸዳል።

Win32k.sysን እንደ ስር ተጠቃሚ 'System' በማሄድ፣ የዱኩ ገንቢዎች ያልተፈቀደ የማስጀመር እና የከፍታ (ውሱን ልዩ መብቶች ባለው የተጠቃሚ መለያ ስር የሚሰራ) ያለውን ችግር በዘዴ ፈቱት።
ጫኚው፣ ቁጥጥር ከተቀበለ በኋላ፣ ሶስት የውሂብ ብሎኮችን በማህደረ ትውስታ ውስጥ ዲክሪፕት አደረገ፡-

  • የተፈረመ አሽከርካሪ (sys);
  • ዋና ሞጁል (dll);
  • የመጫኛ ውቅር ውሂብ (pnf)።

በአጫጫን ውቅር ውሂብ ውስጥ የቀናት ክልል ተለይቷል (በሁለት የጊዜ ማህተም መልክ - መጀመሪያ እና መጨረሻ)። ጫኚው የአሁኑ ቀን በእሱ ውስጥ መግባቱን አረጋግጧል፣ ካልሆነ፣ አፈፃፀሙን አጠናቋል። እንዲሁም በአጫጫን ውቅር መረጃ ውስጥ ነጂው እና ዋናው ሞጁል የተቀመጡባቸው ስሞች ተጠቁመዋል። በዚህ አጋጣሚ ዋናው ሞጁል በዲስክ ላይ በተመሰጠረ መልክ ተቀምጧል.

ዱኩ ተንኮለኛ ማትሪዮሽካ ነው።

ዱኩን በራስ ሰር ለማስጀመር በመዝገቡ ውስጥ የተከማቹ ቁልፎችን በመጠቀም ዋናውን ሞጁል በራሪ ላይ ዲክሪፕት የሚያደርግ የአሽከርካሪ ፋይል የሚጠቀም አገልግሎት ተፈጠረ። ዋናው ሞጁል የራሱ የውቅር ውሂብ እገዳ ይዟል. በመጀመሪያው ጅምር ላይ ዲክሪፕት ተደርጓል, የመጫኛ ቀን ወደ ውስጥ ገብቷል, ከዚያ በኋላ እንደገና ተመስጥሯል እና በዋናው ሞጁል ተቀምጧል. ስለዚህ በተጎዳው ስርዓት ውስጥ በተሳካ ጭነት ጊዜ ሶስት ፋይሎች ተቀምጠዋል - ነጂው ፣ ዋናው ሞጁል እና የውቅር መረጃው ፋይል ፣ የመጨረሻዎቹ ሁለት ፋይሎች በተመሰጠረ ቅጽ ውስጥ በዲስክ ላይ ተከማችተዋል። ሁሉም የዲክሪፕት ሂደቶች የተከናወኑት በማህደረ ትውስታ ውስጥ ብቻ ነው። ይህ ውስብስብ የመጫኛ ሂደት በፀረ-ቫይረስ ሶፍትዌር የማግኘት እድልን ለመቀነስ ጥቅም ላይ ውሏል።

ዋናው ሞጁል

ዋና ሞጁል (ሀብት 302)፣ በ መረጃ በ Kaspersky Lab፣ MSVC 2008 በንፁህ ሲ የተጻፈ፣ ነገር ግን ነገር ተኮር አቀራረብን በመጠቀም። ተንኮል-አዘል ኮድ ሲፈጠር ይህ አካሄድ ባህሪይ አይደለም. እንደ አንድ ደንብ, እንዲህ ዓይነቱ ኮድ መጠኑን ለመቀነስ እና በ C ++ ውስጥ ያሉትን ስውር ጥሪዎች ለማስወገድ በ C ውስጥ ተጽፏል. እዚህም ሲምባዮሲስ አለ. በተጨማሪም፣ ክስተት-ተኮር አርክቴክቸር ስራ ላይ ውሏል። የ Kaspersky Lab ሰራተኞች ዋናው ሞጁል የተጻፈው በቅድመ-ፕሮሰሰር ማከያ በመጠቀም ነው ወደሚለው ንድፈ ሃሳብ ያዘነብላሉ ይህም በነገር ዘይቤ በ C ውስጥ ኮድ እንዲጽፉ ያስችልዎታል።
ዋናው ሞጁል ከኦፕሬተሮች ትዕዛዞችን ለመቀበል ለሂደቱ ተጠያቂ ነው. ዱኩ በርካታ የመስተጋብር መንገዶችን ያቀርባል፡ የኤችቲቲፒ እና የኤችቲቲፒኤስ ፕሮቶኮሎችን እንዲሁም የተሰየሙ ቧንቧዎችን (ቧንቧን) በመጠቀም። ለኤችቲቲፒ (ኤስ) ፣ የትዕዛዝ ማእከሎች የጎራ ስሞች ተለይተዋል ፣ በተኪ አገልጋይ በኩል መሥራት ሲቻል - የተጠቃሚ ስም እና የይለፍ ቃል ተሰጥቷቸዋል። ቻናሉ የአይፒ አድራሻ እና የሰርጥ ስም ተሰጥቶታል። የተጠቀሰው መረጃ በዋናው ሞጁል (የተመሰጠረ) የውቅር ውሂብ እገዳ ውስጥ ተከማችቷል።
የተሰየሙ ቧንቧዎችን ለመጠቀም፣ የ RPC አገልጋይ ብጁ ትግበራ ተጀመረ። የሚከተሉትን ሰባት ተግባራት ደግፏል።

  • የተጫነውን ስሪት መመለስ;
  • በተጠቀሰው ሂደት ውስጥ dll መርፌን ያስፈጽሙ እና የተገለጸውን ተግባር ይደውሉ;
  • dll መጫን;
  • CreateProcess () በመደወል ሂደቱን ያስጀምሩ;
  • የተሰጠውን ፋይል ይዘት ያንብቡ;
  • በተጠቀሰው ፋይል ላይ ውሂብ ይፃፉ;
  • የተሰጠውን ፋይል ሰርዝ.

የተሻሻሉ ሞጁሎችን እና የውቅረት መረጃዎችን በዱኩ በተያዙ ኮምፒውተሮች መካከል ለማሰራጨት የተሰየሙ ቧንቧዎች በአካባቢያዊ አውታረመረብ ውስጥ መጠቀም ይችላሉ። በተጨማሪም ዱኩ ለሌሎች የተበከሉ ኮምፒውተሮች እንደ ተኪ አገልጋይ ሆኖ ሊያገለግል ይችላል (በመግቢያው ላይ በፋየርዎል ቅንጅቶች ምክንያት የበይነመረብ መዳረሻ ያልነበረው)። አንዳንድ የዱኩ ስሪቶች RPC ተግባር የላቸውም።

የሚታወቁ "የክፍያ ጭነት"

Symantec ከዱኩ መቆጣጠሪያ ማእከል በትእዛዝ የተጫኑ ቢያንስ አራት "ክፍያዎችን" ለይቷል።
ነገር ግን ከመካከላቸው አንዱ ብቻ ነዋሪ ነበር እና እንደ executable ፋይል (exe) የተጠናቀረ ሲሆን ይህም በዲስክ ላይ ተቀምጧል. የተቀሩት ሶስቱ እንደ dll ቤተ-መጽሐፍት ተተግብረዋል. በተለዋዋጭነት ተጭነዋል እና ወደ ዲስክ ሳይቀመጡ በማህደረ ትውስታ ውስጥ ተፈፅመዋል.

የነዋሪው "የክፍያ ጭነት" የስለላ ሞጁል ነበር (infostealer) ከኪሎገር ተግባራት ጋር። የዱኩ ምርምር ስራ የጀመረው ወደ ቫይረስ ቶታል በመላክ ነበር። ዋናው የስለላ ተግባር በንብረቱ ውስጥ ነበር, የመጀመሪያው 8 ኪሎባይት የጋላክሲው NGC 6745 ፎቶ (የመሸፈኛ) ክፍል ይዟል. እዚህ ላይ ማስታወስ ያለብን በኤፕሪል 2012 አንዳንድ ሚዲያዎች ኢራን ለአንዳንድ የኮከብ ማልዌር የተጋለጠችበትን መረጃ (http://www.mehrnews.com/en/newsdetail.aspx?NewsID=1297506) ታትሟል፣ ክስተቱ አልተገለጸም. በዚያን ጊዜ በኢራን ውስጥ እንዲህ ዓይነቱ የዱኩ "የክፍያ ጭነት" ናሙና ተገኝቷል, ስለዚህም "ኮከቦች" (ኮከቦች) ስም.
የስለላ ሞጁሉ የሚከተለውን መረጃ ሰብስቧል።

  • የአሂድ ሂደቶች ዝርዝር, ስለአሁኑ ተጠቃሚ እና ጎራ መረጃ;
  • የአውታረ መረብን ጨምሮ የሎጂክ ተሽከርካሪዎች ዝርዝር;
  • ቅጽበታዊ ገጽ እይታዎች;
  • የአውታረ መረብ መገናኛዎች አድራሻዎች, የማዞሪያ ጠረጴዛዎች;
  • የቁልፍ ሰሌዳ የቁልፍ ጭነቶች የምዝግብ ማስታወሻ ፋይል;
  • የክፍት ትግበራ መስኮቶች ስሞች;
  • የሚገኙ የአውታረ መረብ ሀብቶች ዝርዝር (ሃብቶችን መጋራት);
  • ተንቀሳቃሽ የሆኑትን ጨምሮ በሁሉም ድራይቮች ላይ የተሟላ የፋይሎች ዝርዝር;
  • በ "በአውታረ መረብ አካባቢ" ውስጥ ያሉ የኮምፒተሮች ዝርዝር.

ሌላ የስለላ ሞጁል (infostealer) ቀደም ሲል የተገለፀው ልዩነት ነበር, ነገር ግን እንደ dll ቤተ-መጽሐፍት የተጠናቀረ, የኪይሎገር ተግባራት, የፋይሎችን ዝርዝር እና በጎራ ውስጥ የተካተቱትን ኮምፒውተሮች መቁጠር ከእሱ ተወግደዋል.
ቀጣይ ሞጁል (እውቅና) የተሰበሰበ የስርዓት መረጃ;

  • ኮምፒዩተሩ የአንድ ጎራ አካል እንደሆነ;
  • ወደ ዊንዶውስ ሲስተም ማውጫዎች የሚወስዱ መንገዶች;
  • የስርዓተ ክወና ስሪት;
  • የአሁኑ ተጠቃሚ ስም;
  • የአውታረ መረብ አስማሚዎች ዝርዝር;
  • ስርዓት እና የአካባቢ ሰዓት, ​​እንዲሁም የሰዓት ሰቅ.

የመጨረሻው ሞጁል (የህይወት ዘመን ማራዘሚያ) ሥራው እስኪያበቃ ድረስ የሚቀሩትን የቀናት ብዛት ዋጋን ለመጨመር (በዋናው ሞጁል የውቅር መረጃ ፋይል ውስጥ የተከማቸ) ተግባርን ፈፅሟል። በነባሪ፣ ይህ ዋጋ በዱኩ ለውጥ ላይ በመመስረት ወደ 30 ወይም 36 ቀናት ተቀናብሯል እና በየቀኑ አንድ ቀንሷል።

የትዕዛዝ ማዕከሎች

ጥቅምት 20 ቀን 2011 (ግኝቱ ይፋ ከሆነ ከሶስት ቀናት በኋላ) የዱኩ ኦፕሬተሮች የትዕዛዝ ማእከሎችን አሠራር ዱካ ለማጥፋት አንድ ሂደት አደረጉ ። የትእዛዝ ማዕከላት የተስተናገዱት በአለም ዙሪያ በተጠለፉ ሰርቨሮች - በቬትናም፣ ህንድ፣ ጀርመን፣ ሲንጋፖር፣ ስዊዘርላንድ፣ ታላቋ ብሪታኒያ፣ ሆላንድ፣ ደቡብ ኮሪያ ውስጥ ነው። የሚገርመው፣ ሁሉም ተለይተው የታወቁ አገልጋዮች የCentOS ስሪቶች 5.2፣ 5.4፣ ወይም 5.5 እያሄዱ ነበር። ስርዓተ ክወናዎች ሁለቱም 32-ቢት እና 64-ቢት ነበሩ። ከትዕዛዝ ማእከሎች አሠራር ጋር የተያያዙ ሁሉም ፋይሎች የተሰረዙ ቢሆኑም የ Kaspersky Lab ስፔሻሊስቶች በ LOG ፋይሎች ውስጥ ያሉትን አንዳንድ መረጃዎች ከጠፈር ቦታ መልሰው ማግኘት ችለዋል ። በጣም የሚያስደንቀው እውነታ በአገልጋዮች ላይ ያሉ አጥቂዎች ሁልጊዜ ነባሪውን የOpenSSH 4.3 ጥቅል በስሪት 5.8 ተክተዋል። ይህ በOpenSSH 4.3 ውስጥ ያልታወቀ ተጋላጭነት አገልጋዮችን ለመጥለፍ ጥቅም ላይ እንደዋለ ሊያመለክት ይችላል። ሁሉም ስርዓቶች እንደ የትዕዛዝ ማዕከሎች ጥቅም ላይ አልዋሉም. አንዳንዶቹ, ወደቦች 80 እና 443 ትራፊክን ለማዞር በሚሞክሩበት ጊዜ በ sshd ምዝግብ ማስታወሻዎች ውስጥ ባሉ ስህተቶች በመመዘን ከመጨረሻው የትዕዛዝ ማእከሎች ጋር ለመገናኘት እንደ ተኪ አገልጋይ ይጠቀሙ ነበር.

ቀኖች እና ሞጁሎች

በኤፕሪል 2011 የተሰራጨው በ Kaspersky Lab የተመረመረ የዎርድ ሰነድ እ.ኤ.አ. ነሐሴ 31 ቀን 2007 የተቀናበረበት ጫኝ አውርድ ነጂ ይዟል። CrySys ቤተ ሙከራ ውስጥ በገባው ሰነድ ውስጥ ተመሳሳይ አሽከርካሪ (መጠን - 20608 ባይት፣ MD5 - EEDCA45BD613E0D9A9E5C69122007F17) የተቀናበረበት ቀን የካቲት 21 ቀን 2008 ነበር። በተጨማሪም የ Kaspersky Lab ባለሙያዎች በጥር 19968 ቀን 5 የ autorun ሾፌር rndismpc.sys (መጠን - 9 ባይት, MD6 - 10AEC5E9C05EE93221544C783BED20C2008E) አግኝተዋል. በ2009 ምልክት የተደረገባቸው ክፍሎች አልተገኙም። የዱኩን ግለሰባዊ ክፍሎች የጊዜ ማህተሞችን መሰረት በማድረግ፣ እድገቱ በ2007 መጀመሪያ ላይ ሊሆን ይችላል። የመጀመሪያ መገለጫው ቅጽ ~ DO (ምናልባት በአንዱ ስፓይዌር የተፈጠረ) ጊዜያዊ ፋይሎችን ከመፈለግ ጋር የተቆራኘ ነው ፣ የተፈጠረበት ቀን ህዳር 28 ቀን 2008 (እ.ኤ.አ.)ጽሑፍ "ዱኩ እና ስቱክስኔት፡ የአስደሳች ክስተቶች የጊዜ መስመር")። ከዱኩ ጋር የሚዛመደው በጣም የቅርብ ጊዜው ቀን የካቲት 23 ቀን 2012 ነው፣ በሲማንቴክ በማርች 2012 በተገኘ የመጫኛ አውርድ ነጂ ውስጥ ይገኛል።

ያገለገሉ የመረጃ ምንጮች፡-

ተከታታይ መጣጥፎች ስለ ዱኩ ከ Kaspersky Lab;
የሳይማንቴክ ተንታኝ ዘገባ "W32.Duqu የሚቀጥለው Stuxnet ቅድመ ሁኔታ"፣ ስሪት 1.4፣ ህዳር 2011 (pdf)።

ምንጭ: hab.com

አስተያየት ያክሉ