ProHoster > Blog > nutizie internet > Duqu - pupa di nidificazione maliciosa

Duqu - pupa di nidificazione maliciosa

Introduzione

U 1 di settembre di u 2011, un schedariu chjamatu ~ DN1.tmp hè statu mandatu à u situ web di VirusTotal da Ungheria. À quellu tempu, u schedariu hè statu rilevatu cum'è malicious da solu dui mutori antivirus - BitDefender è AVIRA. Hè cusì chì a storia di Duqu principia. In u futuru, deve esse dettu chì a famiglia di malware Duqu hè stata chjamata dopu à u nome di stu schedariu. Tuttavia, stu schedariu hè un modulu di spyware cumplettamente indipendenti cù funzioni di keylogger, installatu, prubabilmente, utilizendu un downloader-dropper maliziusi, è pò esse cunsideratu solu cum'è "payload" caricatu da u malware Duqu durante u so funziunamentu, è micca cum'è cumpunente ( modulu) di Duqu . Unu di i cumpunenti Duqu hè statu mandatu à u serviziu Virustotal solu u 9 di settembre. A so caratteristica distintiva hè un driver firmatu digitale da C-Media. Certi sperti cuminciaru subitu à disegnà analogie cù un altru esempiu famosu di malware - Stuxnet, chì hà ancu utilizatu cunduttori firmati. U numeru tutale di computer infettati da Duqu rilevati da diverse cumpagnie antivirus in u mondu hè in decine. Parechje cumpagnie dicenu chì l'Iran hè di novu u scopu principale, ma à ghjudicà da a distribuzione geografica di l'infezioni, questu ùn si pò micca dì sicuru.
Duqu - pupa di nidificazione maliciosa
In questu casu, duvete parlà cun fiducia solu di una altra cumpagnia cù una parolla nova APT (minaccia persistente avanzata).

Prucedura di implementazione di u sistema

Una investigazione realizata da i specialisti di l'urganisazione ungherese CrySyS (Laboratoriu Ungherese di Criptografia è Sicurezza di u Sistema à l'Università di Tecnulugia è Economia di Budapest) hà purtatu à a scuperta di l'installatore (dropper) attraversu quale u sistema hè statu infettatu. Era un schedariu Microsoft Word cun sfruttamentu per a vulnerabilità di u driver win32k.sys (MS11-087, descritta da Microsoft u 13 di nuvembre di u 2011), chì hè rispunsevule per u mecanismu di rendering di font TTF. U shellcode di u sfruttamentu usa un font chjamatu "Dexter Regular" incrustatu in u documentu, cù Showtime Inc. listatu cum'è u creatore di u font. Comu pudete vede, i creatori di Duqu ùn sò micca stranieri à u sensu di l'umuri: Dexter hè un serial killer, l'eroe di a serie televisiva omonima, prodotta da Showtime. Dexter uccide solu (se pussibule) criminali, vale à dì, rompe a lege in nome di a legalità. Probabilmente, in questu modu, i sviluppatori Duqu sò ironici chì sò impegnati in attività illegali per boni scopi. U mandatu di e-mail hè statu fattu apposta. U trasportu più prubabilmente utilizatu computer compromessi (pirate) cum'è intermediariu per fà u seguimentu difficiule.
U documentu Word cuntene dunque i seguenti cumpunenti:

  • cuntenutu testu;
  • font integratu;
  • sfruttà u shellcode;
  • cunduttore;
  • installatore (biblioteca DLL).

In casu di successu, u shellcode di sfruttamentu hà realizatu e seguenti operazioni (in modu kernel):

  • un cuntrollu per a reinfezzione hè stata fatta; per questu, a presenza di a chjave "CF4D" hè stata verificata in u registru à l'indirizzu "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZones1"; se questu era currettu, u shellcode hà cumpletu a so esecuzione;
  • dui schedari sò stati decriptati - u driver (sys) è u installatore (dll);
  • u driver hè statu injectatu in u prucessu services.exe è hà lanciatu u installatore;
  • Infine, u shellcode sguassatu stessu cù zeri in memoria.

A causa di u fattu chì win32k.sys hè eseguitu in nome di l'utilizatore privilegiatu 'System', i sviluppatori Duqu anu risoltu eleganti u prublema di u lanciu micca autorizatu è di l'escalation di diritti (correndu sottu un contu d'utilizatore cù diritti limitati).
Dopu avè ricivutu u cuntrollu, l'installatore hà decriptatu trè blocchi di dati cuntenuti in memoria, chì cuntenenu:

  • driver firmatu (sys);
  • modulu principale (dll);
  • dati di cunfigurazione di l'installatore (pnf).

Un intervallu di data hè statu specificatu in i dati di cunfigurazione di l'installatore (in forma di dui timestamps - iniziu è fine). L'installatore hà verificatu se a data attuale hè stata inclusa in questu, è se no, hà cumpletu a so esecuzione. Ancu in i dati di cunfigurazione di l'installatore eranu i nomi sottu chì u driver è u modulu principale sò stati salvati. In questu casu, u modulu principale hè statu salvatu nantu à u discu in forma criptata.

Duqu - pupa di nidificazione maliciosa

Per l'autostart Duqu, un serviziu hè statu creatu utilizendu un schedariu di driver chì decriptava u modulu principale nantu à a mosca cù e chjave guardate in u registru. U modulu principale cuntene u so propiu bloccu di dati di cunfigurazione. Quandu u primu lanciatu, hè statu decriptatu, a data di stallazione hè stata inserita in questu, dopu chì hè stata criptata di novu è salvata da u modulu principale. Cusì, in u sistema affettatu, dopu a stallazione successu, trè schedari sò stati salvati - u driver, u modulu principale è u so schedariu di dati di cunfigurazione, mentre chì l'ultimi dui schedari sò stati guardati in u discu in forma criptata. Tutti i prucessi di decodificazione sò stati realizati solu in memoria. Questa prucedura di stallazione cumplessa hè stata aduprata per minimizzà a pussibilità di deteczione da u software antivirus.

U modulu principale

Modulu principale (risorsa 302), secondu nantu à u corsu Cumpagnia Kaspersky Lab, scrittu cù MSVC 2008 in pura C, ma cù un approcciu orientatu à l'ughjettu. Stu approcciu ùn hè micca caratteristicu quandu u sviluppu di codice maliziusu. Comu regula, tali codice hè scrittu in C per riduce a dimensione è caccià i chjami impliciti inherenti in C++. Ci hè una certa simbiosi quì. In più, hè stata aduprata una architettura guidata da l'avvenimenti. L'impiegati di Kaspersky Lab sò inclinati à a teoria chì u modulu principale hè statu scrittu cù un add-on pre-processore chì permette di scrive codice C in un stile d'ughjettu.
U modulu principale hè rispunsevule per a prucedura per riceve cumandamenti da l'operatori. Duqu furnisce parechji metudi d'interazzione: utilizendu i protokolli HTTP è HTTPS, è ancu utilizendu tubi chjamati. Per HTTP (S), i nomi di duminiu di i centri di cummandu sò stati specificati, è a capacità di travaglià cù un servitore proxy hè stata furnita - un nome d'utilizatore è una password sò stati specificati per elli. L'indirizzu IP è u so nome sò specificati per u canali. I dati specificati sò almacenati in u bloccu di dati di cunfigurazione di u modulu principale (in forma criptata).
Per utilizà i pipii chjamati, avemu lanciatu a nostra propria implementazione di u servitore RPC. Supporta e seguenti sette funzioni:

  • rinvià a versione installata;
  • inject a dll in u prucessu specificatu è chjamate a funzione specifica;
  • carica dll;
  • inizià un prucessu chjamendu CreateProcess();
  • leghje u cuntenutu di un schedariu datu;
  • scrive dati à u schedariu specificatu;
  • sguassate u schedariu specificatu.

I tubi chjamati puderanu esse aduprati in una reta lucale per distribuisce moduli aghjurnati è dati di cunfigurazione trà i computer infettati da Duqu. Inoltre, Duqu puderia agisce cum'è un servitore proxy per altri computer infettati (chì ùn anu micca accessu à Internet per via di i paràmetri di firewall in a porta). Alcune versioni di Duqu ùn anu micca funziunalità RPC.

"Carichi utili" cunnisciuti

Symantec hà scupertu almenu quattru tippi di carichi scaricati sottu u cumandamentu da u centru di cuntrollu Duqu.
Inoltre, solu unu di elli era residente è compilatu cum'è un schedariu eseguibile (exe), chì hè statu salvatu à u discu. I trè restanti sò stati implementati cum'è biblioteche dll. Sò stati caricati dinamicamente è eseguiti in memoria senza esse salvati à u discu.

U "payload" residente era un modulu spia (infostealer) cù funzioni keylogger. Hè stata inviendu à VirusTotal chì u travagliu nantu à a ricerca Duqu hà iniziatu. A funziunalità principale di spia era in u risorsu, i primi 8 kilobytes chì cuntenenu parte di una foto di a galaxia NGC 6745 (per camouflage). Ci vole à ricurdà quì chì in April 2012, certi media anu publicatu infurmazioni (http://www.mehrnews.com/en/newsdetail.aspx?NewsID=1297506) chì l'Iran era espostu à qualchì software maliziusu "Stars", mentre chì i dettagli di l'incidentu ùn hè micca statu divulgatu. Forsi era solu una tale mostra di u "payload" Duqu chì hè statu scupertu allora in Iran, da quì u nome "Stars".
U modulu spia hà cullatu l'infurmazioni seguenti:

  • lista di prucessi in esecuzione, infurmazione nantu à l'utilizatori è u duminiu attuale;
  • lista di unità logiche, cumprese unità di rete;
  • screenshots;
  • indirizzi di l'interfaccia di rete, tabelle di routing;
  • u schedariu di log di tastu di tastu;
  • i nomi di e finestre di l'applicazione aperta;
  • lista di e risorse di rete dispunibili (risorse di spartera);
  • una lista cumpleta di schedari nantu à tutti i dischi, cumpresi quelli amovibili;
  • una lista di l'urdinatori in "ambienti di rete".

Un altru modulu spia (infostealer) era una variazione di ciò chì era digià descrittu, ma cumpilatu cum'è una libreria dll; e funzioni di un keylogger, cumpilendu una lista di schedarii è liste di computer inclusi in u duminiu sò stati eliminati da ellu.
Modulu prossimu (ricanuscimentu) infurmazione di u sistema recullata:

  • se l'urdinatore hè parti di un duminiu;
  • camini à i cartulari di u sistema di Windows;
  • versione di u sistema operatore;
  • nome d'utilizatore attuale;
  • lista di adattatori di rete;
  • sistema è ora lucale, è ancu u fusu orariu.

Ultimu modulu (estensore di vita) hà implementatu una funzione per aumentà u valore (almacenatu in u schedariu di dati di cunfigurazione di u modulu principale) di u numeru di ghjorni chì restanu finu à chì u travagliu hè cumpletu. Per automaticamente, stu valore hè statu stabilitu à 30 o 36 ghjorni secondu a mudificazione di Duqu, è diminuite da unu ogni ghjornu.

Centri di cummandu

U 20 d'ottobre di u 2011 (trè ghjorni dopu a diffusione di l'infurmazioni nantu à a scuperta), l'operatori Duqu anu realizatu una prucedura per distrughje e tracce di u funziunamentu di i centri di cummandu. I centri di cummandu eranu situati in i servitori pirate in u mondu - in Vietnam, India, Germania, Singapore, Svizzera, Gran Bretagna, Olanda, Corea di u Sud. Curiosamente, tutti i servitori identificati eseguivanu CentOS versioni 5.2, 5.4 o 5.5. I SO eranu tramindui 32-bit è 64-bit. Nunustanti lu fattu ca tutti i schedari riguardanti lu funziunamentu di i centri di cummandu sò stati sguassati, spicialisti Kaspersky Lab pussutu ricuperà qualchi di l 'infurmazione da i schedari LOG da u spaziu slack. U fattu più interessante hè chì l'attaccanti nantu à i servitori anu sempre rimpiazzatu u pacchettu predeterminatu OpenSSH 4.3 cù a versione 5.8. Questu pò indicà chì una vulnerabilità scunnisciuta in OpenSSH 4.3 hè stata utilizata per pirate i servitori. Micca tutti i sistemi sò stati usati cum'è centri di cumandamentu. Qualchidunu, à ghjudicà da l'errori in i logs sshd quandu pruvate di redirige u trafficu per i porti 80 è 443, sò stati utilizati cum'è un servitore proxy per cunnette cù i centri di cumandamentu finale.

Dati è moduli

Un documentu Word distribuitu in April 2011, chì hè statu esaminatu da Kaspersky Lab, cuntene un driver di scaricamentu di l'installatore cù una data di compilazione di u 31 d'Aostu 2007. Un driver simili (taglia - 20608 bytes, MD5 - EEDCA45BD613E0D9A9E5C69122007F17) in un documentu truvatu in i laboratorii CrySys hà avutu una data di compilazione di u 21 di ferraghju 2008. Inoltre, l'esperti di Kaspersky Lab anu truvatu u driver autorun rndismpc.sys (taglia - 19968 bytes, MD5 - 9AEC6E10C5EE9C05BED93221544C783E) cù a data 20 di ghjennaghju di u 2008. Nisun cumpunenti marcati 2009 sò stati truvati. Basatu nantu à i timestamps di a compilazione di parti individuali di Duqu, u so sviluppu puderia data di principiu di u 2007. A so prima manifestazione hè assuciata à a rilevazione di schedarii tempuranee di u tipu ~ DO (probabilmente creatu da unu di i moduli di spyware), a data di creazione di u quali hè u 28 di nuvembre 2008 (un articulu "Duqu & Stuxnet: A Timeline of Interesting Events"). A data più recente assuciata à Duqu era u 23 di ferraghju 2012, cuntenuta in un driver di scaricamentu di l'installatore scupertu da Symantec in marzu 2012.

Fonti d'infurmazioni utilizati:

serie di articuli circa Duqu da Kaspersky Lab;
Rapportu analiticu di Symantec "W32.Duqu U precursore di u prossimu Stuxnet", versione 1.4, nuvembre 2011 (pdf).

Source: www.habr.com

Add a comment