ProHoster > Π‘Π»ΠΎΠ³ > balita sa internet > Duqu - malisyoso nga nesting nga monyeka

Duqu - malisyoso nga nesting nga monyeka

Pasiuna

Niadtong Septembre 1, 2011, usa ka file nga ginganlag ~DN1.tmp gipadala sa VirusTotal website gikan sa Hungary. Niadtong panahona, ang file nakit-an nga malisyoso sa duha lamang ka mga makina sa antivirus - BitDefender ug AVIRA. Ingon niini nagsugod ang istorya ni Duqu. Sa pagtan-aw sa unahan, kinahanglan isulti nga ang Duqu malware nga pamilya ginganlan sunod sa ngalan niini nga file. Bisan pa, kini nga file usa ka hingpit nga independente nga module sa spyware nga adunay mga function sa keylogger, nga na-install, lagmit, gamit ang usa ka malisyosong downloader-dropper, ug mahimo ra nga isipon nga usa ka "payload" nga gikarga sa Duqu malware sa panahon sa operasyon niini, ug dili ingon usa ka sangkap ( module) sa Duqu . Usa sa mga sangkap sa Duqu gipadala sa serbisyo sa Virustotal kaniadtong Setyembre 9. Ang talagsaon nga bahin niini mao ang usa ka drayber nga digital nga gipirmahan sa C-Media. Ang pipila ka mga eksperto nagsugod dayon sa pagdrowing og mga analohiya sa laing bantog nga pananglitan sa malware - Stuxnet, nga gigamit usab ang gipirmahan nga mga drayber. Ang kinatibuk-ang ihap sa mga kompyuter nga nataptan sa Duqu nga nakit-an sa lainlaing mga kompanya sa antivirus sa tibuuk kalibutan anaa sa mga dosena. Daghang mga kompanya ang nag-angkon nga ang Iran mao usab ang panguna nga target, apan kung gihukman sa geographic nga pag-apod-apod sa mga impeksyon, dili kini sigurado.
Duqu - malisyoso nga nesting nga monyeka
Sa kini nga kaso, kinahanglan ka nga masaligon nga mosulti lamang bahin sa laing kompanya nga adunay bag-ong pulong HAOM (advanced nga padayon nga hulga).

Pamaagi sa pagpatuman sa sistema

Ang imbestigasyon nga gihimo sa mga espesyalista gikan sa Hungarian nga organisasyon nga CrySyS (Hungarian Laboratory of Cryptography and System Security sa Budapest University of Technology and Economics) misangpot sa pagkadiskobre sa installer (dropper) diin ang sistema nataptan. Kini usa ka file sa Microsoft Word nga adunay pagpahimulos alang sa pagkahuyang sa drayber sa win32k.sys (MS11-087, gihulagway sa Microsoft kaniadtong Nobyembre 13, 2011), nga responsable sa mekanismo sa paghubad sa font sa TTF. Ang shellcode sa exploit naggamit og font nga gitawag og 'Dexter Regular' nga na-embed sa dokumento, nga ang Showtime Inc. nalista isip tigmugna sa font. Sama sa imong nakita, ang mga tiglalang sa Duqu dili estranghero sa usa ka pagbati sa humor: Si Dexter usa ka serial killer, ang bayani sa serye sa telebisyon nga parehas nga ngalan, nga gihimo sa Showtime. Gipatay lang ni Dexter (kung mahimo) ang mga kriminal, sa ato pa, gilapas niya ang balaod sa ngalan sa legalidad. Tingali, niining paagiha, ang mga developers sa Duqu kataw-anan nga naghimo sila sa mga ilegal nga kalihokan alang sa maayong katuyoan. Ang pagpadala sa mga email gituyo nga gihimo. Ang kargamento lagmit migamit ug nakompromiso (na-hack) nga mga kompyuter isip tigpataliwala aron malisod ang pagsubay.
Ang dokumento sa Pulong sa ingon naglangkob sa mga musunud nga sangkap:

  • sulod sa teksto;
  • built-in nga font;
  • pahimuslan ang shellcode;
  • drayber;
  • installer (DLL library).

Kung malampuson, ang pagpahimulos sa shellcode naghimo sa mosunod nga mga operasyon (sa kernel mode):

  • ang usa ka pagsusi gihimo alang sa pag-usab sa impeksyon; alang niini, ang presensya sa 'CF4D' nga yawe gisusi sa rehistro sa adres nga 'HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZones1'; kung kini husto, ang shellcode nahuman sa pagpatuman niini;
  • duha ka mga file ang gi-decrypted - ang drayber (sys) ug ang installer (dll);
  • ang drayber gi-injected sa services.exe nga proseso ug gilunsad ang installer;
  • Sa katapusan, gipapas sa shellcode ang kaugalingon nga adunay mga zero sa memorya.

Tungod sa kamatuoran nga ang win32k.sys gipatuman ubos sa privileged user 'System', ang mga developers sa Duqu elegante nga nakasulbad sa problema sa dili awtorisado nga paglansad ug pagpadako sa mga katungod (nagdagan ubos sa user account nga adunay limitado nga mga katungod).
Human madawat ang kontrol, gi-decrypted sa installer ang tulo ka bloke sa datos nga anaa niini sa memorya, nga adunay:

  • gipirmahan nga drayber (sys);
  • nag-unang module (dll);
  • data sa pagsumpo sa installer (pnf).

Usa ka han-ay sa petsa ang gipiho sa data sa pagsumpo sa installer (sa porma sa duha ka timestamp - pagsugod ug katapusan). Gisusi sa installer kung ang karon nga petsa gilakip niini, ug kung wala, nahuman ang pagpatuman niini. Usab sa data sa pagsumpo sa installer mao ang mga ngalan diin ang drayber ug ang nag-unang module gitipigan. Sa kini nga kaso, ang nag-unang module gitipigan sa disk sa naka-encrypt nga porma.

Duqu - malisyoso nga nesting nga monyeka

Aron ma-autostart ang Duqu, usa ka serbisyo ang gihimo gamit ang driver file nga nag-decrypted sa main module sa langaw gamit ang mga yawe nga gitipigan sa registry. Ang nag-unang module adunay kaugalingon nga bloke sa datos sa pagsumpo. Sa una nga paglansad, kini gi-decrypted, ang petsa sa pag-instalar gisulod niini, pagkahuman kini gi-encrypt pag-usab ug gitipigan sa main module. Busa, sa apektadong sistema, sa malampuson nga pag-instalar, tulo ka mga file ang naluwas - ang drayber, ang nag-unang module ug ang configuration data file niini, samtang ang katapusang duha ka mga file gitipigan sa disk sa naka-encrypt nga porma. Ang tanan nga mga pamaagi sa pag-decode gihimo lamang sa memorya. Kini nga komplikado nga pamaagi sa pag-install gigamit aron maminusan ang posibilidad nga makit-an pinaagi sa antivirus software.

Ang nag-unang module

Panguna nga module (resource 302), sumala sa impormasyon kompanya Kaspersky Lab, gisulat gamit ang MSVC 2008 sa puro nga C, apan gamit ang object-oriented approach. Kini nga pamaagi dili kinaiya sa paghimo og malisyoso nga code. Ingon sa usa ka lagda, ang ingon nga code gisulat sa C aron makunhuran ang gidak-on ug mapapas ang mga implicit nga tawag nga naa sa C++. Adunay usa ka piho nga symbiosis dinhi. Dugang pa, usa ka arkitektura nga gipatuyok sa panghitabo ang gigamit. Ang mga empleyado sa Kaspersky Lab hilig sa teorya nga ang panguna nga module gisulat gamit ang usa ka pre-processor add-on nga nagtugot kanimo sa pagsulat sa C code sa usa ka istilo sa butang.
Ang nag-unang module mao ang responsable alang sa pamaagi alang sa pagdawat mga mando gikan sa mga operator. Naghatag ang Duqu og daghang mga pamaagi sa interaksyon: gamit ang HTTP ug HTTPS nga mga protocol, ingon man ang paggamit sa ginganlan nga mga tubo. Alang sa HTTP(S), ang mga ngalan sa domain sa mga command center gipiho, ug ang abilidad sa pagtrabaho pinaagi sa proxy server gihatag - usa ka user name ug password ang gipiho alang kanila. Ang IP address ug ang ngalan niini gipiho alang sa channel. Ang espesipikong datos gitipigan sa main module configuration data block (sa encrypted nga porma).
Aron magamit ang gihinganlan nga mga tubo, gilusad namo ang among kaugalingong pagpatuman sa RPC server. Gisuportahan niini ang mosunod nga pito ka mga gimbuhaton:

  • ibalik ang na-install nga bersyon;
  • pag-inject sa usa ka dll sa gitakda nga proseso ug tawagan ang gitakda nga function;
  • load dll;
  • pagsugod ug proseso pinaagi sa pagtawag sa CreateProcess();
  • basaha ang sulod sa gihatag nga file;
  • pagsulat data sa gitakda nga file;
  • kuhaa ang gipiho nga file.

Ang gihinganlan nga mga tubo mahimong magamit sulod sa usa ka lokal nga network sa pag-apod-apod sa updated nga mga module ug data sa configuration tali sa Duqu-infected nga mga kompyuter. Dugang pa, si Duqu mahimong molihok isip proxy server alang sa ubang mga nataptan nga kompyuter (nga walay access sa Internet tungod sa mga setting sa firewall sa gateway). Ang ubang mga bersyon sa Duqu walay RPC functionality.

Nailhan nga "payloads"

Ang Symantec nakadiskobre ug labing menos upat ka matang sa mga payload nga gi-download ubos sa mando gikan sa Duqu control center.
Dugang pa, usa ra kanila ang nagpuyo ug giipon ingon usa ka executable file (exe), nga gitipig sa disk. Ang nahabilin nga tulo gipatuman ingon mga librarya sa dll. Sila gi-load nga dinamiko ug gipatuman sa memorya nga wala ma-save sa disk.

Ang residente nga "payload" kay usa ka spy module (infostealer) nga adunay mga function sa keylogger. Pinaagi sa pagpadala niini sa VirusTotal nga ang trabaho sa Duqu research nagsugod. Ang panguna nga pagpaandar sa espiya naa sa kapanguhaan, ang una nga 8 kilobytes nga adunay bahin sa litrato sa galaksiya NGC 6745 (para sa camouflage). Kinahanglang hinumdoman dinhi nga niadtong Abril 2012, ang pipila ka media nagpatik ug impormasyon (http://www.mehrnews.com/en/newsdetail.aspx?NewsID=1297506) nga ang Iran naladlad sa pipila ka malisyosong software nga β€œStars”, samtang ang mga detalye sa wala gibutyag ang insidente. Tingali kini usa lamang ka sample sa Duqu "payload" nga nadiskobrehan kaniadto sa Iran, busa ang ngalan nga "Mga Bituon".
Gikolekta sa module sa espiya ang mosunod nga impormasyon:

  • lista sa mga proseso nga nagdagan, kasayuran bahin sa karon nga tiggamit ug domain;
  • listahan sa lohikal nga mga drive, lakip na ang network drive;
  • mga screenshot;
  • mga adres sa interface sa network, mga lamesa sa ruta;
  • log file sa mga keystroke sa keyboard;
  • mga ngalan sa bukas nga aplikasyon windows;
  • lista sa magamit nga mga kapanguhaan sa network (pagpaambit sa mga kapanguhaan);
  • usa ka kompleto nga lista sa mga file sa tanan nga mga disk, lakip ang mga matangtang;
  • usa ka lista sa mga kompyuter sa "network environment".

Laing module sa espiya (infostealer) maoy usa ka kausaban sa unsay gihulagway na, apan gihugpong isip dll library; ang mga gimbuhaton sa usa ka keylogger, pag-compile sa usa ka lista sa mga file ug paglista sa mga kompyuter nga nalakip sa domain gikuha gikan niini.
Sunod nga module (reconnaissance) nakolekta nga impormasyon sa sistema:

  • kung ang kompyuter ba bahin sa usa ka domain;
  • mga agianan sa mga direktoryo sa sistema sa Windows;
  • bersyon sa operating system;
  • kasamtangan nga user name;
  • listahan sa mga adapter sa network;
  • sistema ug lokal nga oras, ingon man ang time zone.

Katapusan nga module (lifespan extender) nagpatuman ug function aron madugangan ang bili (gitipigan sa main module configuration data file) sa gidaghanon sa mga adlaw nga nahibilin hangtod mahuman ang trabaho. Pinaagi sa default kini nga kantidad gitakda sa 30 o 36 ka adlaw depende sa pagbag-o sa Duqu, ug mikunhod og usa matag adlaw.

Mga command center

Kaniadtong Oktubre 20, 2011 (tulo ka adlaw pagkahuman gipakaylap ang kasayuran bahin sa nadiskobrehan), ang mga operator sa Duqu naghimo usa ka pamaagi aron maguba ang mga pagsubay sa pag-andar sa mga sentro sa komand. Ang mga command center nahimutang sa mga gi-hack nga server sa tibuok kalibutan - sa Vietnam, India, Germany, Singapore, Switzerland, Great Britain, Holland, South Korea. Makapainteres, ang tanan nga giila nga mga server nagpadagan sa mga bersyon sa CentOS 5.2, 5.4 o 5.5. Ang mga OS pareho nga 32-bit ug 64-bit. Bisan pa sa kamatuoran nga ang tanang mga file nga may kalabutan sa operasyon sa mga command center gitangtang, ang mga espesyalista sa Kaspersky Lab nakahimo sa pagbawi sa pipila ka impormasyon gikan sa LOG files gikan sa slack space. Ang labing makapaikag nga kamatuoran mao nga ang mga tig-atake sa mga server kanunay nga gipulihan ang default nga OpenSSH 4.3 nga pakete nga adunay bersyon 5.8. Kini mahimong nagpakita nga ang usa ka wala mailhi nga kahuyangan sa OpenSSH 4.3 gigamit sa pag-hack sa mga server. Dili tanang sistema gigamit isip command center. Ang uban, sa paghukom sa mga sayup sa sshd log sa pagsulay sa pag-redirect sa trapiko alang sa mga pantalan 80 ug 443, gigamit ingon usa ka proxy server aron makonektar sa mga end command center.

Mga petsa ug mga module

Usa ka dokumento sa Pulong nga gipang-apod-apod niadtong Abril 2011, nga gisusi sa Kaspersky Lab, adunay sulod nga installer download driver nga adunay petsa sa compilation nga Agosto 31, 2007. Ang parehas nga drayber (gidak-on - 20608 bytes, MD5 - EEDCA45BD613E0D9A9E5C69122007F17) sa usa ka dokumento nga nakit-an sa mga laboratoryo sa CrySys adunay petsa sa pagtipon kaniadtong Pebrero 21, 2008. Dugang pa, nakit-an sa mga eksperto sa Kaspersky Lab ang autorun driver rndismpc.sys (gidak-on - 19968 bytes, MD5 - 9AEC6E10C5EE9C05BED93221544C783E) nga adunay petsa nga Enero 20, 2008. Wala’y nakit-an nga mga sangkap nga gimarkahan nga 2009. Base sa mga timestamp sa paghugpong sa tagsa-tagsa ka mga bahin sa Duqu, ang pag-uswag niini mahimong petsa balik sa sayong bahin sa 2007. Ang pinakauna nga pagpakita niini nalangkit sa pagkakita sa temporaryo nga mga file sa matang ~DO (tingali gihimo sa usa sa mga spyware modules), ang petsa sa paghimo niini mao ang Nobyembre 28, 2008 (nga artikulo "Duqu & Stuxnet: Usa ka Timeline sa Makapaikag nga mga Hitabo"). Ang pinakabag-o nga petsa nga nalangkit sa Duqu mao ang Pebrero 23, 2012, nga anaa sa installer download driver nga nadiskobrehan sa Symantec niadtong Marso 2012.

Mga tinubdan sa impormasyon nga gigamit:

serye sa mga artikulo mahitungod ni Duqu gikan sa Kaspersky Lab;
Symantec analytical report "W32.Duqu Ang pasiuna sa sunod nga Stuxnet", bersyon 1.4, Nobyembre 2011 (pdf).

Source: www.habr.com

Idugang sa usa ka comment