ProHoster > وبلاگ > اخبار اینترنتی > دوکو یک ماتریوشکای مخرب است

دوکو یک ماتریوشکای مخرب است

معرفی

در 1 سپتامبر 2011، فایلی به نام ~DN1.tmp از مجارستان به وب سایت VirusTotal ارسال شد. در آن زمان، این فایل تنها توسط دو موتور آنتی ویروس - BitDefender و AVIRA به عنوان مخرب شناسایی شد. داستان دوقو اینگونه آغاز شد. با نگاهی به آینده، باید گفت که خانواده بدافزار Duqu به نام این فایل نامگذاری شده است. با این حال، این فایل یک ماژول جاسوسی کاملاً مستقل با عملکردهای keylogger است که احتمالاً با کمک یک بارگیری کننده مخرب نصب شده است و فقط می تواند به عنوان یک "بار" بارگیری شده توسط بدافزار Duqu در طول عملیات خود در نظر گرفته شود، اما نه یکپارچه بخش (ماژول) Duqu . یکی از اجزای Duqu فقط در 9 سپتامبر به سرویس Virustotal ارسال شد. ویژگی متمایز آن یک راننده امضا شده با امضای دیجیتال از C-Media است. برخی از کارشناسان بلافاصله شروع به تشبیه با نمونه معروف دیگری از بدافزار - Stuxnet کردند که از درایورهای امضا شده نیز استفاده می کرد. تعداد کل رایانه های آلوده شده توسط Duqu که توسط شرکت های مختلف آنتی ویروس در سراسر جهان شناسایی شده اند به ده ها می رسد. بسیاری از شرکت‌ها ادعا می‌کنند که ایران دوباره هدف اصلی است، اما با توجه به جغرافیای توزیع عفونت‌ها، نمی‌توان این موضوع را با قطعیت گفت.
دوکو یک ماتریوشکای مخرب است
در این مورد، باید با اطمینان فقط در مورد شرکت دیگری با یک کلمه جدید صحبت کرد APT (تهدید مداوم پیشرفته).

روش پیاده سازی در سیستم

تحقیقات انجام شده توسط متخصصان سازمان مجارستانی CrySyS (آزمایشگاه رمزنگاری و امنیت سیستم مجارستانی دانشگاه فناوری و اقتصاد بوداپست) منجر به کشف یک نصب کننده (دراپر) شد که از طریق آن سیستم آلوده شده بود. این یک فایل مایکروسافت ورد با یک اکسپلویت برای آسیب‌پذیری درایور win32k.sys (MS11-087، توصیف شده توسط مایکروسافت در 13 نوامبر 2011) بود که مسئول ارائه فونت‌های TTF است. کد پوسته این اکسپلویت از فونت تعبیه‌شده در سند به نام «دکستر Regular» استفاده می‌کند و Showtime Inc. به عنوان خالق فونت شناخته می‌شود. همانطور که می بینید، سازندگان Duqu با حس شوخ طبعی بیگانه نیستند: دکستر یک قاتل زنجیره ای، قهرمان سریال تلویزیونی به همین نام است که توسط Showtime فیلمبرداری شده است. دکستر فقط مجرمان را (در صورت امکان) می کشد، یعنی به نام قانون قانون را زیر پا می گذارد. احتمالاً به این ترتیب، توسعه دهندگان Duqu کنایه دارند که آنها برای اهداف خوب درگیر فعالیت های غیرقانونی هستند. ارسال نامه از طریق ایمیل به صورت هدفمند انجام شد. برای ارسال، به احتمال زیاد، رایانه های در معرض خطر (هک) به عنوان یک واسطه استفاده شده است تا ردیابی را دشوار کند.
بنابراین سند Word شامل اجزای زیر است:

  • محتوای متنی;
  • فونت تعبیه شده؛
  • بهره برداری از silkcode;
  • راننده؛
  • نصب کننده (DLL).

در صورت اجرای موفقیت آمیز، کد پوسته اکسپلویت عملیات زیر را انجام می دهد (در حالت هسته):

  • یک بررسی برای عفونت مجدد انجام شد، برای این، وجود کلید 'CF4D' در رجیستری در 'HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZones1' بررسی شد، اگر درست بود، کد پوسته اجرای آن را کامل کرد.
  • دو فایل رمزگشایی شد - درایور (sys) و نصب کننده (dll).
  • درایور به فرآیند services.exe تزریق شد و نصب کننده را راه اندازی کرد.
  • در پایان، کد پوسته خود را با صفر در حافظه پاک کرد.

توسعه دهندگان Duqu با اجرای win32k.sys به عنوان کاربر اصلی «System» مشکل راه‌اندازی و ارتقای غیرمجاز (در حال اجرا تحت یک حساب کاربری با امتیازات محدود) را به زیبایی حل کردند.
نصب کننده، پس از دریافت کنترل، سه بلوک داده را در حافظه رمزگشایی کرد که شامل:

  • راننده امضا شده (sys)؛
  • ماژول اصلی (dll)؛
  • داده های پیکربندی نصب کننده (pnf).

در داده‌های پیکربندی نصب‌کننده، محدوده‌ای از تاریخ‌ها (به شکل دو مهر زمانی - شروع و پایان) مشخص شد. نصب کننده بررسی کرد که آیا تاریخ فعلی در آن قرار می گیرد یا خیر، اگر نه، اجرای آن را کامل کرد. همچنین در داده‌های پیکربندی نصب‌کننده، نام‌هایی که درایور و ماژول اصلی تحت آن ذخیره شده‌اند مشخص شده‌اند. در این حالت، ماژول اصلی به صورت رمزگذاری شده روی دیسک ذخیره شد.

دوکو یک ماتریوشکای مخرب است

برای راه اندازی خودکار Duqu، سرویسی ایجاد شد که از یک فایل درایور استفاده می کند که ماژول اصلی را با استفاده از کلیدهای ذخیره شده در رجیستری رمزگشایی می کند. ماژول اصلی شامل بلوک داده پیکربندی خودش است. در اولین شروع، رمزگشایی شد، تاریخ نصب در آن وارد شد، پس از آن دوباره رمزگذاری شد و توسط ماژول اصلی ذخیره شد. بنابراین، در سیستم آسیب دیده، در طول نصب موفقیت آمیز، سه فایل ذخیره شد - درایور، ماژول اصلی و فایل اطلاعات پیکربندی آن، در حالی که دو فایل آخر به صورت رمزگذاری شده روی دیسک ذخیره شدند. تمام مراحل رمزگشایی فقط در حافظه انجام شد. این روش نصب پیچیده برای به حداقل رساندن امکان شناسایی توسط نرم افزار آنتی ویروس استفاده شد.

ماژول اصلی

ماژول اصلی (منبع 302)، توسط اطلاعات توسط Kaspersky Lab، با استفاده از MSVC 2008 در C خالص، اما با استفاده از رویکرد شی گرا نوشته شده است. این رویکرد در هنگام توسعه کدهای مخرب نامشخص است. به عنوان یک قاعده، چنین کدهایی به منظور کاهش اندازه و خلاص شدن از تماس های ضمنی ذاتی C ++ به زبان C نوشته می شود. در اینجا همزیستی وجود دارد. به علاوه، یک معماری رویداد محور استفاده شد. کارکنان آزمایشگاه کسپرسکی به این نظریه تمایل دارند که ماژول اصلی با استفاده از یک افزونه پیش پردازنده نوشته شده است که به شما امکان می دهد کد را به زبان C در سبک شی بنویسید.
ماژول اصلی مسئول روند دریافت دستورات از اپراتورها است. Duqu چندین راه برای تعامل ارائه می دهد: استفاده از پروتکل های HTTP و HTTPS، و همچنین استفاده از لوله های نامگذاری شده (pipe). برای HTTP(S)، نام دامنه مراکز فرمان مشخص شده است، در حالی که امکان کار از طریق یک سرور پروکسی وجود داشت - نام کاربری و رمز عبور به آنها داده شد. به کانال یک آدرس IP و یک نام کانال داده می شود. داده های مشخص شده در بلوک داده های پیکربندی ماژول اصلی (رمزگذاری شده) ذخیره می شود.
برای استفاده از لوله های نامگذاری شده، یک پیاده سازی سفارشی از سرور RPC راه اندازی شد. این هفت عملکرد زیر را پشتیبانی می کند:

  • نسخه نصب شده را برگردانید؛
  • dll را به فرآیند مشخص شده تزریق کنید و تابع مشخص شده را فراخوانی کنید.
  • dll بارگیری؛
  • با فراخوانی CreateProcess();
  • محتویات فایل مشخص شده را بخوانید.
  • نوشتن داده ها در فایل مشخص شده؛
  • فایل داده شده را حذف کنید

لوله های نامگذاری شده می توانند در شبکه محلی برای توزیع ماژول های به روز شده و داده های پیکربندی بین رایانه های آلوده به Duqu استفاده شوند. علاوه بر این، Duqu می تواند به عنوان یک سرور پروکسی برای سایر رایانه های آلوده (که به دلیل تنظیمات فایروال در دروازه دسترسی به اینترنت نداشتند) عمل کند. برخی از نسخه های Duqu فاقد عملکرد RPC بودند.

"بارهای محموله" شناخته شده

سیمانتک حداقل چهار "بار" را شناسایی کرده است که بر اساس فرمان از مرکز کنترل Duqu بارگیری شده اند.
با این حال، تنها یکی از آنها مقیم و به عنوان یک فایل اجرایی (exe) کامپایل شده بود که در دیسک ذخیره شد. سه مورد باقی مانده به عنوان کتابخانه های dll پیاده سازی شدند. آنها به صورت پویا بارگذاری شدند و بدون ذخیره روی دیسک در حافظه اجرا شدند.

"بار" ساکن یک ماژول جاسوسی بود (دزد اطلاعات) با توابع کی لاگر. با ارسال آن به VirusTotal بود که کار روی تحقیق Duqu آغاز شد. عملکرد اصلی جاسوسی در این منبع بود که 8 کیلوبایت اول آن حاوی بخشی از عکس کهکشان NGC 6745 (برای پوشاندن) بود. لازم به یادآوری است که در آوریل 2012 برخی رسانه ها اطلاعاتی را (http://www.mehrnews.com/fa/newsdetail.aspx?NewsID=1297506) منتشر کردند که ایران در معرض نوعی بدافزار استارز قرار گرفته است. این حادثه فاش نشد. این احتمال وجود دارد که چنین نمونه ای از "بار" دوقو در آن زمان در ایران کشف شده باشد و از این رو "ستارگان" (ستاره ها) نامیده شده است.
ماژول جاسوسی اطلاعات زیر را جمع آوری کرد:

  • لیستی از فرآیندهای در حال اجرا، اطلاعات مربوط به کاربر فعلی و دامنه؛
  • لیست درایوهای منطقی، از جمله درایوهای شبکه؛
  • اسکرین شات ها؛
  • آدرس های رابط های شبکه، جداول مسیریابی؛
  • فایل ورود به سیستم ضربه زدن به صفحه کلید.
  • نام پنجره های باز برنامه؛
  • فهرست منابع شبکه موجود (منابع اشتراک گذاری)؛
  • لیست کاملی از فایل ها در همه درایوها، از جمله موارد قابل جابجایی؛
  • لیست رایانه های موجود در "محیط شبکه ای".

یک ماژول جاسوسی دیگر (دزد اطلاعات) گونه ای از مواردی بود که قبلاً توضیح داده شد، اما به عنوان یک کتابخانه dll کامپایل شده بود، عملکردهای keylogger، جمع آوری لیستی از فایل ها و شمارش رایانه های موجود در دامنه از آن حذف شدند.
ماژول بعدی (شناسایی) اطلاعات سیستم جمع آوری شده:

  • آیا رایانه بخشی از یک دامنه است.
  • مسیرهای دایرکتوری سیستم ویندوز؛
  • نسخه سیستم عامل؛
  • نام کاربر فعلی؛
  • لیست آداپتورهای شبکه؛
  • سیستم و زمان محلی، و همچنین منطقه زمانی.

آخرین ماژول (افزایش دهنده طول عمر) تابعی را برای افزایش مقدار (ذخیره شده در فایل اطلاعات پیکربندی ماژول اصلی) تعداد روزهای باقی مانده تا پایان کار پیاده سازی کرد. به طور پیش فرض، این مقدار بسته به تغییر Duqu روی 30 یا 36 روز تنظیم شده بود و هر روز یک عدد کاهش می یافت.

مراکز فرماندهی

در 20 اکتبر 2011 (سه روز پس از علنی شدن کشف)، اپراتورهای Duqu روشی را برای از بین بردن آثار عملیات مراکز فرماندهی انجام دادند. مراکز فرماندهی بر روی سرورهای هک شده در سراسر جهان - در ویتنام، هند، آلمان، سنگاپور، سوئیس، بریتانیا، هلند، کره جنوبی میزبانی شدند. جالب اینجاست که تمامی سرورهای شناسایی شده دارای نسخه های CentOS 5.2، 5.4 یا 5.5 بودند. سیستم عامل ها هم 32 بیتی و هم 64 بیتی بودند. علیرغم حذف تمامی فایل های مربوط به عملکرد مراکز فرماندهی، متخصصان آزمایشگاه کسپرسکی موفق شدند برخی از اطلاعات فایل های LOG را از فضای خالی بازیابی کنند. جالب ترین واقعیت این است که مهاجمان روی سرورها همیشه بسته پیش فرض OpenSSH 4.3 را با نسخه 5.8 جایگزین کرده اند. این ممکن است نشان دهد که یک آسیب پذیری ناشناخته در OpenSSH 4.3 برای هک سرورها استفاده شده است. همه سیستم ها به عنوان مراکز فرماندهی استفاده نمی شدند. برخی، با قضاوت در مورد خطاهای موجود در گزارش های sshd هنگام تلاش برای تغییر مسیر ترافیک برای پورت های 80 و 443، به عنوان یک سرور پراکسی برای اتصال به مراکز فرمان نهایی استفاده می شوند.

تاریخ ها و ماژول ها

یک سند Word توزیع شده در آوریل 2011، که توسط Kaspersky Lab مورد بررسی قرار گرفت، حاوی یک درایور دانلود نصب کننده با تاریخ کامپایل 31 اوت 2007 بود. درایور مشابه (اندازه - 20608 بایت، MD5 - EEDCA45BD613E0D9A9E5C69122007F17) در سندی که وارد آزمایشگاه CrySys شد، تاریخ گردآوری آن 21 فوریه 2008 بود. علاوه بر این، کارشناسان آزمایشگاه کسپرسکی درایور autorun rndismpc.sys (اندازه - 19968 بایت، MD5 - 9AEC6E10C5EE9C05BED93221544C783E) را در 20 ژانویه 2008 پیدا کردند. هیچ مؤلفه ای با علامت 2009 یافت نشد. بر اساس مهرهای زمانی گردآوری بخش‌های جداگانه Duqu، توسعه آن می‌تواند به اوایل سال 2007 بازگردد. اولین تجلی آن با شناسایی فایل‌های موقتی به شکل ~DO (احتمالاً توسط یکی از جاسوس‌افزارها ایجاد شده است) مرتبط است که تاریخ ایجاد آن 28 نوامبر 2008 است.مقاله "Duqu & Stuxnet: جدول زمانی رویدادهای جالب"). آخرین تاریخ مربوط به Duqu 23 فوریه 2012 است که در یک درایور دانلود نصب کننده که توسط سیمانتک در مارس 2012 کشف شد، موجود است.

منابع اطلاعاتی مورد استفاده:

سری مقالات درباره Duqu از آزمایشگاه کسپرسکی؛
گزارش تحلیلگر سیمانتک "W32.Duqu پیشروی استاکس نت بعدی"، نسخه 1.4، نوامبر 2011 (pdf).

منبع: www.habr.com

اضافه کردن نظر