ProHoster > Blog > Interneteko albisteak > Duqu - habia-panpina gaiztoa

Duqu - habia-panpina gaiztoa

Sarrera

1ko irailaren 2011ean, ~DN1.tmp izeneko fitxategi bat bidali zen Hungariatik VirusTotal webgunera. Garai hartan, fitxategia bi birusen aurkako motorrek bakarrik detektatu zuten gaiztotzat: BitDefender eta AVIRA. Horrela hasi zen Duqu-en istorioa. Aurrera begira, esan beharra dago Duqu malware familia fitxategi honen izenaren arabera jarri zela. Dena den, fitxategi hau teklatuen funtzioak dituen spyware modulu guztiz independentea da, instalatuta, ziurrenik, deskargatzaile-dropper maltzur bat erabiliz, eta Duqu malwareak bere funtzionamenduan zehar kargatutako "karga" gisa soilik har daiteke, eta ez osagai gisa ( modulua) Duqu . Duqu osagaietako bat irailaren 9an bakarrik bidali zen Virustotal zerbitzura. Bere ezaugarri bereizgarria C-Media-k digitalki sinatutako gidaria da. Aditu batzuk berehala hasi ziren analogiak marrazten malwarearen beste adibide famatu batekin - Stuxnet, sinatutako kontrolatzaileak ere erabiltzen zituena. Mundu osoko birusen aurkako hainbat konpainiek detektatu duten Duqu-ek kutsatutako ordenagailuen kopurua dozenaka da. Enpresa askok Iran berriro helburu nagusia dela diote, baina infekzioen banaketa geografikoa ikusita, hori ezin da ziur esan.
Duqu - habia-panpina gaiztoa
Kasu honetan, konfiantzaz hitz egin beharko zenuke hitz berri bat duen beste enpresa bati buruz bakarrik APT (mehatxu iraunkor aurreratua).

Sistema ezartzeko prozedura

Hungariako CrySyS erakundeko (Hungariar Laboratory of Criptography and System Security at Budapesteko Teknologia eta Ekonomia Unibertsitateko) espezialistek egindako ikerketa batek sistema kutsatu zuen instalatzailea (gopera) aurkitu zuen. Microsoft Word fitxategi bat zen, win32k.sys kontrolatzailearen ahultasunerako (MS11-087, Microsoft-ek 13ko azaroaren 2011an deskribatua), TTF letra-tipoak errendatzeko mekanismoaren arduraduna dena. Explotazioaren shell-kodeak 'Dexter Regular' izeneko letra-tipoa erabiltzen du dokumentuan txertatuta, Showtime Inc. letra-tipoaren sortzaile gisa zerrendatuta. Ikus dezakezunez, Duqu-en sortzaileak ez dira arrotzak umorea: Dexter serieko hiltzailea da, Showtime-k ekoitzitako izen bereko telesailaren heroia. Dexterrek gaizkileak bakarrik (ahal bada) hiltzen ditu, hau da, legeak hausten ditu legezkotasunaren izenean. Seguruenik, modu honetan, Duqu garatzaileek ironia dute helburu onetarako legez kanpoko jardueretan ari direlako. Mezuak bidaltzea nahita egin zen. Bidalketak ziurrenik konprometitutako (pirateatu) ordenagailuak erabili zituen bitartekari gisa jarraipena zailtzeko.
Beraz, Word dokumentuak osagai hauek zituen:

  • testuaren edukia;
  • letra-tipo integratua;
  • ustiatu shellcode;
  • gidaria;
  • instalatzailea (DLL liburutegia).

Arrakasta izanez gero, exploit shellcode-ak eragiketa hauek egin zituen (kernel moduan):

  • birinfekzioa egiaztatzea egin zen; horretarako, 'CF4D' gakoaren presentzia egiaztatu zen erregistroan 'HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZones1' helbidean;hau zuzena bazen, shellcode-ak exekuzioa amaitu zuen;
  • bi fitxategi deszifratu ziren - kontrolatzailea (sys) eta instalatzailea (dll);
  • kontrolatzailea services.exe prozesuan sartu zen eta instalatzailea abiarazi zuen;
  • Azkenik, shellcode-k bere burua ezabatu zuen zeroekin memorian.

Win32k.sys 'System' erabiltzaile pribilegiatuaren pean exekutatzen denez, Duqu-eko garatzaileek dotore konpondu dute bai baimenik gabeko abiaraztearen eta bai eskubideen eskalazioaren (eskubide mugatuak dituen erabiltzaile-kontu baten azpian exekutatzen) arazoa.
Kontrola jaso ondoren, instalatzaileak memorian zeuden hiru datu-bloke deszifratu zituen, honako hauek:

  • sinatutako gidaria (sys);
  • modulu nagusia (dll);
  • instalatzailearen konfigurazio datuak (pnf).

Data-tarte bat zehaztu zen instalatzailearen konfigurazio-datuetan (bi denbora-zigilu moduan: hasiera eta amaiera). Instalatzaileak uneko data bertan sartuta zegoen ala ez egiaztatu zuen, eta hala ezean, exekuzioa amaitu zuen. Instalatzailearen konfigurazio-datuetan ere kontrolatzailea eta modulu nagusia gorde ziren izenak zeuden. Kasu honetan, modulu nagusia diskoan gorde zen zifratuta.

Duqu - habia-panpina gaiztoa

Duqu automatikoki abiarazteko, zerbitzu bat sortu zen erregistroan gordetako gakoak erabiliz modulu nagusia berehala deszifratzen zuen kontrolatzaile-fitxategi bat erabiliz. Modulu nagusiak bere konfigurazio-datuen blokea dauka. Lehenengo abiarazi zenean, deszifratu zen, instalazio-data sartu zen, ondoren berriro zifratu eta modulu nagusiak gorde egin zuen. Horrela, kaltetutako sisteman, instalazio arrakastatsuan, hiru fitxategi gorde ziren: kontrolatzailea, modulu nagusia eta bere konfigurazio-datuen fitxategia, azken bi fitxategiak diskoan enkriptatutako moduan gordetzen ziren bitartean. Deskodetze prozedura guztiak memorian bakarrik egin ziren. Instalazio-prozedura konplexu hau birusen aurkako softwareak detektatzeko aukera gutxitzeko erabili zen.

Modulu nagusia

Modulu nagusia (302. baliabidea), arabera informazio Kaspersky Lab konpainia, MSVC 2008 erabiliz idatzia C hutsean, baina objektuetara bideratutako ikuspegia erabiliz. Ikuspegi hau ez da ohikoa kode gaiztoa garatzen denean. Oro har, kodea C-n idazten da tamaina murrizteko eta C++-ren berezko dei inplizituak kentzeko. Hemen sinbiosi bat dago. Gainera, gertaerak gidatutako arkitektura bat erabili zen. Kaspersky Lab-eko langileek modulu nagusia C kodea objektu-estiloan idazteko aukera ematen duen aurreprozesadorearen gehigarri baten bidez idatzitako teoriarako joera dute.
Modulu nagusia operadoreen aginduak jasotzeko prozeduraz arduratzen da. Duqu-ek hainbat interakzio-metodo eskaintzen ditu: HTTP eta HTTPS protokoloak erabiliz, baita izendun kanalizazioak erabiltzea ere. HTTP(S) egiteko, komando zentroen domeinu-izenak zehaztu ziren eta proxy zerbitzari baten bidez lan egiteko gaitasuna eman zen - erabiltzaile-izena eta pasahitza zehaztu ziren haientzat. IP helbidea eta bere izena kanalerako zehaztuta daude. Zehaztutako datuak modulu nagusiaren konfigurazio-datuen blokean gordetzen dira (forma enkriptatuta).
Izeneko kanalizazioak erabiltzeko, gure RPC zerbitzariaren inplementazioa jarri dugu martxan. Zazpi funtzio hauek onartzen zituen:

  • instalatutako bertsioa itzuli;
  • injektatu dll bat zehaztutako prozesuan eta deitu zehaztutako funtzioari;
  • kargatu dll;
  • Hasi prozesu bat CreateProcess();
  • fitxategi jakin baten edukia irakurri;
  • idatzi datuak zehaztutako fitxategian;
  • zehaztutako fitxategia ezabatu.

Izeneko kanalizazioak sare lokal batean erabil litezke Duqu-ek kutsatutako ordenagailuen artean modulu eguneratuak eta konfigurazio datuak banatzeko. Horrez gain, Duqu-ek proxy zerbitzari gisa jardun zezakeen kutsatutako beste ordenagailu batzuentzat (atebideko suebakiaren ezarpenengatik Interneterako sarbiderik ez zutenak). Duqu-en bertsio batzuek ez zuten RPC funtzionalitaterik.

Ezagunak diren "kargak"

Symantec-ek gutxienez lau karga mota aurkitu ditu Duqu kontrol zentrotik agindupean deskargatutakoak.
Gainera, horietako bat bakarrik egoiliarra zen eta fitxategi exekutagarri gisa (exe) konpilatuta zegoen, diskoan gorde zena. Gainerako hirurak dll liburutegi gisa inplementatu ziren. Dinamikoki kargatu eta memorian exekutatu ziren diskoan gorde gabe.

Egoiliar "karga" espioi modulu bat zen (infostealer) keylogger funtzioekin. VirusTotal-era bidalita hasi zen Duqu-en ikerketarako lana. Espioien funtzionalitate nagusia baliabidean zegoen, lehen 8 kilobyteek NGC 6745 galaxiaren argazki baten zati bat zuten (kamuflatzeko). Hemen gogoratu behar da 2012ko apirilean hedabide batzuek informazioa argitaratu zutela (http://www.mehrnews.com/en/newsdetail.aspx?NewsID=1297506) Iran "Stars" software maltzurren baten eraginpean zegoela. gertakariak ez ziren ezagutarazi. Agian Iranen orduan aurkitu zen Duqu "kargaren" lagin bat besterik ez zen, hortik "Stars" izena.
Espioitza moduluak informazio hau bildu zuen:

  • martxan dauden prozesuen zerrenda, uneko erabiltzaileari eta domeinuari buruzko informazioa;
  • unitate logikoen zerrenda, sareko unitateak barne;
  • pantaila-argazkiak;
  • sareko interfazearen helbideak, bideratze-taulak;
  • teklatuaren sakeen erregistro-fitxategia;
  • irekitako aplikazioen leihoen izenak;
  • eskuragarri dauden sareko baliabideen zerrenda (baliabideak partekatzeko);
  • disko guztietako fitxategien zerrenda osoa, kendu daitezkeenak barne;
  • β€œsare-ingurunean” dauden ordenagailuen zerrenda.

Beste espioi modulu bat (infostealer) lehendik deskribatutakoaren aldaera bat zen, baina dll liburutegi gisa konpilatu zen; keylogger baten funtzioak, fitxategien zerrenda bat osatzea eta domeinuan sartutako ordenagailuak zerrendatzea kendu ziren.
Hurrengo modulua (onarpen) bildutako sistemaren informazioa:

  • ordenagailua domeinu baten parte den ala ez;
  • Windows sistemaren direktorioetarako bideak;
  • sistema eragilearen bertsioa;
  • egungo erabiltzaile-izena;
  • sare-egokitzaileen zerrenda;
  • sistema eta tokiko ordua, baita ordu-eremua ere.

Azken modulua (iraupen luzatzailea) funtzio bat inplementatu du lana amaitu arte geratzen den egun kopuruaren balioa (modulu nagusiaren konfigurazio-datuen fitxategian gordeta) handitzeko. Lehenespenez, balio hori 30 edo 36 egunetan ezarri zen Duqu-en aldaketaren arabera, eta egun bakoitzean bat gutxitzen zen.

Aginte zentroak

20ko urriaren 2011an (aurkikuntzari buruzko informazioa zabaldu eta hiru egunera), Duqu-eko operadoreek aginte zentroen funtzionamenduaren aztarnak suntsitzeko prozedura egin zuten. Aginte zentroak mundu osoko hackeatutako zerbitzarietan kokatuta zeuden: Vietnam, India, Alemania, Singapur, Suitza, Britainia Handia, Holanda eta Hego Korean. Interesgarria da identifikatutako zerbitzari guztiek CentOS 5.2, 5.4 edo 5.5 bertsioak exekutatzen ari zirela. OSak 32 biteko eta 64 biteko ziren. Komando-zentroen funtzionamenduarekin lotutako fitxategi guztiak ezabatu ziren arren, Kaspersky Lab-eko espezialistek LOG fitxategietako informazio zati bat espazio libretik berreskuratu ahal izan zuten. Gertaerarik interesgarriena zerbitzarietako erasotzaileek beti ordezkatzen zuten OpenSSH 4.3 pakete lehenetsia 5.8 bertsioarekin. Honek adieraz dezake OpenSSH 4.3-n ahultasun ezezagun bat zerbitzariak pirateatzeko erabili zela. Sistema guztiak ez ziren komando zentro gisa erabiltzen. Batzuk, 80 eta 443 portuetarako trafikoa birbideratzen saiatzean sshd erregistroen akatsak ikusita, proxy zerbitzari gisa erabili ziren amaierako komando zentroetara konektatzeko.

Datak eta moduluak

2011ko apirilean banatutako Word dokumentu batek, Kaspersky Lab-ek aztertu zuena, instalatzaileen deskarga-gidari bat zuen 31ko abuztuaren 2007ko konpilazio-data duena. CrySys laborategietan aurkitutako dokumentu batean antzeko kontrolatzaile batek (tamaina - 20608 byte, MD5 - EEDCA45BD613E0D9A9E5C69122007F17) 21ko otsailaren 2008eko konpilazio-data zuen. Gainera, Kaspersky Lab-eko adituek rndismpc.sys (tamaina - 19968 byte, MD5 - 9AEC6E10C5EE9C05BED93221544C783E) 20ko urtarrilaren 2008ko datarekin aurkitu zuten. Ez da 2009 markatutako osagairik aurkitu. Duqu-en zati indibidualen bilketaren denbora-zigilduetan oinarrituta, bere garapena 2007 hasieratik izan daiteke. Bere lehen agerpena ~DO motako aldi baterako fitxategiak detektatzearekin lotuta dago (ziurrenik spyware moduluetako batek sortua), eta horien sorrera data 28ko azaroaren 2008a da (artikuluan "Duqu & Stuxnet: Gertaera interesgarrien kronograma"). Duqu-ekin erlazionatutako azken data 23ko otsailaren 2012a izan zen, Symantec-ek 2012ko martxoan aurkitutako instalatzaile deskargatzeko kontrolatzaile batean jasotakoa.

Erabilitako informazio iturriak:

artikulu sorta Kaspersky Lab-eko Duqu-i buruz;
Symantec-en txosten analitikoa "W32.Duqu Hurrengo Stuxnet-en aitzindaria", 1.4 bertsioa, 2011ko azaroa (pdf).

Iturria: www.habr.com

Gehitu iruzkin berria