Introduzione
U 1 di settembre di u 2011, un schedariu chjamatu ~ DN1.tmp hè statu mandatu à u situ web di VirusTotal da Ungheria. À quellu tempu, u schedariu hè statu rilevatu cum'è malicious da solu dui mutori antivirus - BitDefender è AVIRA. Hè cusì chì a storia di Duqu principia. In u futuru, deve esse dettu chì a famiglia di malware Duqu hè stata chjamata dopu à u nome di stu schedariu. Tuttavia, stu schedariu hè un modulu di spyware cumplettamente indipendenti cù funzioni di keylogger, installatu, prubabilmente, utilizendu un downloader-dropper maliziusi, è pò esse cunsideratu solu cum'è "payload" caricatu da u malware Duqu durante u so funziunamentu, è micca cum'è cumpunente ( modulu) di Duqu . Unu di i cumpunenti Duqu hè statu mandatu à u serviziu Virustotal solu u 9 di settembre. A so caratteristica distintiva hè un driver firmatu digitale da C-Media. Certi sperti cuminciaru subitu à disegnà analogie cù un altru esempiu famosu di malware - Stuxnet, chì hà ancu utilizatu cunduttori firmati. U numeru tutale di computer infettati da Duqu rilevati da diverse cumpagnie antivirus in u mondu hè in decine. Parechje cumpagnie dicenu chì l'Iran hè di novu u scopu principale, ma à ghjudicà da a distribuzione geografica di l'infezioni, questu ùn si pò micca dì sicuru.
In questu casu, duvete parlà cun fiducia solu di una altra cumpagnia cù una parolla nova
Prucedura di implementazione di u sistema
Una investigazione realizata da i specialisti di l'urganisazione ungherese CrySyS (Laboratoriu Ungherese di Criptografia è Sicurezza di u Sistema à l'Università di Tecnulugia è Economia di Budapest) hà purtatu à a scuperta di l'installatore (dropper) attraversu quale u sistema hè statu infettatu. Era un schedariu Microsoft Word cun sfruttamentu per a vulnerabilità di u driver win32k.sys (MS11-087, descritta da Microsoft u 13 di nuvembre di u 2011), chì hè rispunsevule per u mecanismu di rendering di font TTF. U shellcode di u sfruttamentu usa un font chjamatu "Dexter Regular" incrustatu in u documentu, cù Showtime Inc. listatu cum'è u creatore di u font. Comu pudete vede, i creatori di Duqu ùn sò micca stranieri à u sensu di l'umuri: Dexter hè un serial killer, l'eroe di a serie televisiva omonima, prodotta da Showtime. Dexter uccide solu (se pussibule) criminali, vale à dì, rompe a lege in nome di a legalità. Probabilmente, in questu modu, i sviluppatori Duqu sò ironici chì sò impegnati in attività illegali per boni scopi. U mandatu di e-mail hè statu fattu apposta. U trasportu più prubabilmente utilizatu computer compromessi (pirate) cum'è intermediariu per fà u seguimentu difficiule.
U documentu Word cuntene dunque i seguenti cumpunenti:
- cuntenutu testu;
- font integratu;
- sfruttà u shellcode;
- cunduttore;
- installatore (biblioteca DLL).
In casu di successu, u shellcode di sfruttamentu hà realizatu e seguenti operazioni (in modu kernel):
- un cuntrollu per a reinfezzione hè stata fatta; per questu, a presenza di a chjave "CF4D" hè stata verificata in u registru à l'indirizzu "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZones1"; se questu era currettu, u shellcode hà cumpletu a so esecuzione;
- dui schedari sò stati decriptati - u driver (sys) è u installatore (dll);
- u driver hè statu injectatu in u prucessu services.exe è hà lanciatu u installatore;
- Infine, u shellcode sguassatu stessu cù zeri in memoria.
A causa di u fattu chì win32k.sys hè eseguitu in nome di l'utilizatore privilegiatu 'System', i sviluppatori Duqu anu risoltu eleganti u prublema di u lanciu micca autorizatu è di l'escalation di diritti (correndu sottu un contu d'utilizatore cù diritti limitati).
Dopu avè ricivutu u cuntrollu, l'installatore hà decriptatu trè blocchi di dati cuntenuti in memoria, chì cuntenenu:
- driver firmatu (sys);
- modulu principale (dll);
- dati di cunfigurazione di l'installatore (pnf).
Un intervallu di data hè statu specificatu in i dati di cunfigurazione di l'installatore (in forma di dui timestamps - iniziu è fine). L'installatore hà verificatu se a data attuale hè stata inclusa in questu, è se no, hà cumpletu a so esecuzione. Ancu in i dati di cunfigurazione di l'installatore eranu i nomi sottu chì u driver è u modulu principale sò stati salvati. In questu casu, u modulu principale hè statu salvatu nantu à u discu in forma criptata.
Per l'autostart Duqu, un serviziu hè statu creatu utilizendu un schedariu di driver chì decriptava u modulu principale nantu à a mosca cù e chjave guardate in u registru. U modulu principale cuntene u so propiu bloccu di dati di cunfigurazione. Quandu u primu lanciatu, hè statu decriptatu, a data di stallazione hè stata inserita in questu, dopu chì hè stata criptata di novu è salvata da u modulu principale. Cusì, in u sistema affettatu, dopu a stallazione successu, trè schedari sò stati salvati - u driver, u modulu principale è u so schedariu di dati di cunfigurazione, mentre chì l'ultimi dui schedari sò stati guardati in u discu in forma criptata. Tutti i prucessi di decodificazione sò stati realizati solu in memoria. Questa prucedura di stallazione cumplessa hè stata aduprata per minimizzà a pussibilità di deteczione da u software antivirus.
U modulu principale
Modulu principale (risorsa 302), secondu
U modulu principale hè rispunsevule per a prucedura per riceve cumandamenti da l'operatori. Duqu furnisce parechji metudi d'interazzione: utilizendu i protokolli HTTP è HTTPS, è ancu utilizendu tubi chjamati. Per HTTP (S), i nomi di duminiu di i centri di cummandu sò stati specificati, è a capacità di travaglià cù un servitore proxy hè stata furnita - un nome d'utilizatore è una password sò stati specificati per elli. L'indirizzu IP è u so nome sò specificati per u canali. I dati specificati sò almacenati in u bloccu di dati di cunfigurazione di u modulu principale (in forma criptata).
Per utilizà i pipii chjamati, avemu lanciatu a nostra propria implementazione di u servitore RPC. Supporta e seguenti sette funzioni:
- rinvià a versione installata;
- inject a dll in u prucessu specificatu è chjamate a funzione specifica;
- carica dll;
- inizià un prucessu chjamendu CreateProcess();
- leghje u cuntenutu di un schedariu datu;
- scrive dati à u schedariu specificatu;
- sguassate u schedariu specificatu.
I tubi chjamati puderanu esse aduprati in una reta lucale per distribuisce moduli aghjurnati è dati di cunfigurazione trà i computer infettati da Duqu. Inoltre, Duqu puderia agisce cum'è un servitore proxy per altri computer infettati (chì ùn anu micca accessu à Internet per via di i paràmetri di firewall in a porta). Alcune versioni di Duqu ùn anu micca funziunalità RPC.
"Carichi utili" cunnisciuti
Symantec hà scupertu almenu quattru tippi di carichi scaricati sottu u cumandamentu da u centru di cuntrollu Duqu.
Inoltre, solu unu di elli era residente è compilatu cum'è un schedariu eseguibile (exe), chì hè statu salvatu à u discu. I trè restanti sò stati implementati cum'è biblioteche dll. Sò stati caricati dinamicamente è eseguiti in memoria senza esse salvati à u discu.
U "payload" residente era un modulu spia (infostealer) cù funzioni keylogger. Hè stata inviendu à VirusTotal chì u travagliu nantu à a ricerca Duqu hà iniziatu. A funziunalità principale di spia era in u risorsu, i primi 8 kilobytes chì cuntenenu parte di una foto di a galaxia NGC 6745 (per camouflage). Ci vole à ricurdà quì chì in April 2012, certi media anu publicatu infurmazioni (http://www.mehrnews.com/en/newsdetail.aspx?NewsID=1297506) chì l'Iran era espostu à qualchì software maliziusu "Stars", mentre chì i dettagli di l'incidentu ùn hè micca statu divulgatu. Forsi era solu una tale mostra di u "payload" Duqu chì hè statu scupertu allora in Iran, da quì u nome "Stars".
U modulu spia hà cullatu l'infurmazioni seguenti:
- lista di prucessi in esecuzione, infurmazione nantu à l'utilizatori è u duminiu attuale;
- lista di unità logiche, cumprese unità di rete;
- screenshots;
- indirizzi di l'interfaccia di rete, tabelle di routing;
- u schedariu di log di tastu di tastu;
- i nomi di e finestre di l'applicazione aperta;
- lista di e risorse di rete dispunibili (risorse di spartera);
- una lista cumpleta di schedari nantu à tutti i dischi, cumpresi quelli amovibili;
- una lista di l'urdinatori in "ambienti di rete".
Un altru modulu spia (infostealer) era una variazione di ciò chì era digià descrittu, ma cumpilatu cum'è una libreria dll; e funzioni di un keylogger, cumpilendu una lista di schedarii è liste di computer inclusi in u duminiu sò stati eliminati da ellu.
Modulu prossimu (ricanuscimentu) infurmazione di u sistema recullata:
- se l'urdinatore hè parti di un duminiu;
- camini à i cartulari di u sistema di Windows;
- versione di u sistema operatore;
- nome d'utilizatore attuale;
- lista di adattatori di rete;
- sistema è ora lucale, è ancu u fusu orariu.
Ultimu modulu (estensore di vita) hà implementatu una funzione per aumentà u valore (almacenatu in u schedariu di dati di cunfigurazione di u modulu principale) di u numeru di ghjorni chì restanu finu à chì u travagliu hè cumpletu. Per automaticamente, stu valore hè statu stabilitu à 30 o 36 ghjorni secondu a mudificazione di Duqu, è diminuite da unu ogni ghjornu.
Centri di cummandu
U 20 d'ottobre di u 2011 (trè ghjorni dopu a diffusione di l'infurmazioni nantu à a scuperta), l'operatori Duqu anu realizatu una prucedura per distrughje e tracce di u funziunamentu di i centri di cummandu. I centri di cummandu eranu situati in i servitori pirate in u mondu - in Vietnam, India, Germania, Singapore, Svizzera, Gran Bretagna, Olanda, Corea di u Sud. Curiosamente, tutti i servitori identificati eseguivanu CentOS versioni 5.2, 5.4 o 5.5. I SO eranu tramindui 32-bit è 64-bit. Nunustanti lu fattu ca tutti i schedari riguardanti lu funziunamentu di i centri di cummandu sò stati sguassati, spicialisti Kaspersky Lab pussutu ricuperà qualchi di l 'infurmazione da i schedari LOG da u spaziu slack. U fattu più interessante hè chì l'attaccanti nantu à i servitori anu sempre rimpiazzatu u pacchettu predeterminatu OpenSSH 4.3 cù a versione 5.8. Questu pò indicà chì una vulnerabilità scunnisciuta in OpenSSH 4.3 hè stata utilizata per pirate i servitori. Micca tutti i sistemi sò stati usati cum'è centri di cumandamentu. Qualchidunu, à ghjudicà da l'errori in i logs sshd quandu pruvate di redirige u trafficu per i porti 80 è 443, sò stati utilizati cum'è un servitore proxy per cunnette cù i centri di cumandamentu finale.
Dati è moduli
Un documentu Word distribuitu in April 2011, chì hè statu esaminatu da Kaspersky Lab, cuntene un driver di scaricamentu di l'installatore cù una data di compilazione di u 31 d'Aostu 2007. Un driver simili (taglia - 20608 bytes, MD5 - EEDCA45BD613E0D9A9E5C69122007F17) in un documentu truvatu in i laboratorii CrySys hà avutu una data di compilazione di u 21 di ferraghju 2008. Inoltre, l'esperti di Kaspersky Lab anu truvatu u driver autorun rndismpc.sys (taglia - 19968 bytes, MD5 - 9AEC6E10C5EE9C05BED93221544C783E) cù a data 20 di ghjennaghju di u 2008. Nisun cumpunenti marcati 2009 sò stati truvati. Basatu nantu à i timestamps di a compilazione di parti individuali di Duqu, u so sviluppu puderia data di principiu di u 2007. A so prima manifestazione hè assuciata à a rilevazione di schedarii tempuranee di u tipu ~ DO (probabilmente creatu da unu di i moduli di spyware), a data di creazione di u quali hè u 28 di nuvembre 2008 (
Fonti d'infurmazioni utilizati:
Rapportu analiticu di Symantec
Source: www.habr.com