Is matryoshka mailíseach é Duqu

Réamhrá

Ar an 1 Meán Fómhair, 2011, seoladh comhad darb ainm ~DN1.tmp chuig an suíomh Gréasáin VirusTotal ón Ungáir. Ag an am sin, níor bhraith ach dhá inneall frithvíreas an comhad mar chomhad mailíseach - BitDefender agus AVIRA. Seo mar a thosaigh scéal Duqu. Ag féachaint amach romhainn, ní mór a rá gur ainmníodh an teaghlach Duqu malware tar éis ainm an chomhaid seo. Mar sin féin, is modúl spyware go hiomlán neamhspleách é an comhad seo le feidhmeanna keylogger, suiteáilte, is dócha, ag baint úsáide as íoslódálaí mailíseach, agus ní féidir é a mheas ach mar “phálasta” luchtaithe ag malware Duqu le linn a oibriú, agus ní mar chomhpháirt ( modúl) de Duqu . Cuireadh ceann de na comhpháirteanna Duqu chuig an tseirbhís Virustotal ar 9 Meán Fómhair amháin. Is é a ghné shainiúil tiománaí sínithe go digiteach ag C-Meáin. Thosaigh roinnt saineolaithe láithreach ag tarraingt analaí le sampla cáiliúil eile de malware - Stuxnet, a d'úsáid tiománaithe sínithe freisin. Tá líon iomlán na ríomhairí ionfhabhtaithe Duqu braite ag cuideachtaí antivirus éagsúla ar fud an domhain sna mórán. Maíonn go leor cuideachtaí gurb í an Iaráin an príomhsprioc arís, ach ní féidir é seo a rá go cinnte de réir dáileadh geografach na n-ionfhabhtuithe.

Sa chás seo, níor cheart duit labhairt go muiníneach ach faoi chuideachta eile le focal nuafhangled APT (bagairt leanúnach chun cinn).

Процедура внедрения в систему

Mar thoradh ar imscrúdú a rinne speisialtóirí ón eagraíocht Ungáiris CrySyS (Saotharlann Cripteagrafaíochta agus Slándála Córais na hUngáire in Ollscoil Teicneolaíochta agus Eacnamaíochta Búdaipeist) thángthas ar an suiteálaí (dropper) trína raibh an córas ionfhabhtaithe. Comhad Microsoft Word a bhí ann le leas a bhaint as leochaileacht tiománaithe win32k.sys (MS11-087, ar chuir Microsoft síos air ar 13 Samhain, 2011), atá freagrach as meicníocht rindreála cló TTF. Úsáideann blaoscchód an leasaithe cló ar a dtugtar 'Dexter Regular' leabaithe sa doiciméad, agus tá Showtime Inc. liostaithe mar chruthaitheoir an chló. Mar a fheiceann tú, ní strainséirí iad cruthaitheoirí Duqu ar ghreann: Is killer sraitheach é Dexter, laoch na sraithe teilifíse den ainm céanna, arna dtáirgeadh ag Showtime. Ní mharaíonn Dexter ach coirpigh (más féidir), is é sin, briseann sé an dlí in ainm na dlíthiúlachta. Is dócha, ar an mbealach seo, tá na forbróirí Duqu íorónta go bhfuil siad ag gabháil do ghníomhaíochtaí mídhleathacha chun críocha maithe. Rinneadh ríomhphost a sheoladh go cuspóireach. Is dócha gur bhain an lastas úsáid as ríomhairí comhréiteach (hacked) mar idirghabhálaí chun rianú a dhéanamh deacair.
Mar sin bhí na comhpháirteanna seo a leanas i ndoiciméad Word:

• ábhar téacs;
• cló ionsuite;
• leas a bhaint as shellcode;
• tiománaí ;
• suiteálaí (leabharlann dll).

Má éiríonn leis, rinne an sliogchód saothraithe na hoibríochtaí seo a leanas (i modh eithne):

• rinneadh seiceáil le haghaidh ath-ionfhabhtú; chun é seo a dhéanamh, rinneadh seiceáil ar an eochair 'CF4D' sa chlár ag an seoladh 'HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZones1';
• díchriptíodh dhá chomhad - an tiománaí (sys) agus an suiteálaí (dll);
• cuireadh an tiománaí isteach sa phróiseas services.exe agus seoladh an suiteálaí;
• Ar deireadh, scriosadh an sligechód é féin le nialais sa chuimhne.

Благодаря тому, что win32k.sys выполняется от имени привилегированного пользователя ‘System’, разработчиками Duqu была элегантно решена задача как несанкционированного запуска, так и повышения прав (запуск из-под аккаунта пользователя с ограниченными правами).
Tar éis dó rialú a fháil, dhíchriptigh an suiteálaí trí bhloc sonraí a bhí sa chuimhne, ina raibh:

• tiománaí sínithe (sys);
• príomh-mhodúl (dll);
• sonraí cumraíochta suiteálaí (pnf).

Sonraíodh raon dáta i sonraí cumraíochta an suiteálaí (i bhfoirm dhá stampa ama - tús agus deireadh). Sheiceáil an suiteálaí an raibh an dáta reatha san áireamh ann, agus mura raibh, chríochnaigh sé a fhorghníomhú. Chomh maith leis sin sna sonraí cumraíochta suiteálaí bhí na hainmneacha faoinar sábháladh an tiománaí agus an príomh-mhodúl. Sa chás seo, sábháladh an príomh-mhodúl ar dhiosca i bhfoirm criptithe.

Chun Duqu a thosú go huathoibríoch, cruthaíodh seirbhís ag baint úsáide as comhad tiománaí a dhíchriptigh an príomh-mhodúl ar an eitilt ag baint úsáide as eochracha a bhí stóráilte sa chlár. Tá a bhloc sonraí cumraíochta féin sa phríomh-mhodúl. Nuair a seoladh é ar dtús, díchriptíodh é, cuireadh an dáta suiteála isteach ann, agus ina dhiaidh sin criptíodh é arís agus shábháil an príomh-mhodúl é. Mar sin, sa chóras difear, tar éis a shuiteáil rathúil, sábháladh trí chomhad - an tiománaí, an príomh-mhodúl agus a chomhad sonraí cumraíochta, agus stóráiltear an dá chomhad dheireanach ar dhiosca i bhfoirm criptithe. Rinneadh na nósanna imeachta díchódaithe go léir i gcuimhne amháin. Baineadh úsáid as an nós imeachta suiteála casta seo chun an fhéidearthacht go bhféadfaí bogearraí frithvíreas a bhrath a íoslaghdú.

An príomh-mhodúl

Príomh-mhodúl (acmhainn 302), de réir faisnéis cuideachta Kaspersky Lab, scríofa ag baint úsáide as MSVC 2008 i C íon, ach ag baint úsáide as cur chuige réad-dhírithe. Tá an cur chuige seo neamhshainiúil nuair a bhíonn cód mailíseach á fhorbairt. De ghnáth, scríobhtar a leithéid de chód in C chun an méid a laghdú agus chun fáil réidh leis na glaonna intuigthe is gné dhílis de C++. Tá symbiosis áirithe anseo. Ina theannta sin, baineadh úsáid as ailtireacht imeacht-tiomáinte. Tá fostaithe Kaspersky Lab claonta leis an teoiric gur scríobhadh an príomh-mhodúl ag baint úsáide as breiseán réamhphróiseálaí a ligeann duit cód C a scríobh i stíl réad.
Tá an príomh-mhodúl freagrach as an nós imeachta chun orduithe a fháil ó oibreoirí. Soláthraíonn Duqu roinnt modhanna idirghníomhaíochta: ag baint úsáide as na prótacail HTTP agus HTTPS, chomh maith le píopaí ainmnithe a úsáid. Maidir le HTTP(S), sonraíodh ainmneacha fearainn na n-ionad ordaithe, agus soláthraíodh an cumas oibriú trí sheachfhreastalaí - sonraíodh ainm úsáideora agus pasfhocal dóibh. Tá an seoladh IP agus a ainm sonraithe don chainéal. Stóráiltear na sonraí sonraithe sa phríomhbhloc sonraí cumraíochta modúl (i bhfoirm criptithe).
Chun píopaí ainmnithe a úsáid, sheolamar ár gcur i bhfeidhm freastalaí RPC féin. Thacaigh sé leis na seacht bhfeidhm seo a leanas:

• ar ais an leagan suiteáilte;
• instealladh dll isteach sa phróiseas sonraithe agus glaoch ar an bhfeidhm sonraithe;
• ualach dll;
• tús a chur le próiseas trí ghlaoch ar CreateProcess();
• léigh an t-ábhar i gcomhad ar leith;
• записать данные в заданный файл;
• scrios an comhad sonraithe.

D'fhéadfaí píopaí ainmnithe a úsáid laistigh de líonra áitiúil chun modúil nuashonraithe agus sonraí cumraíochta a dháileadh idir ríomhairí ionfhabhtaithe Duqu. Ina theannta sin, d'fhéadfadh Duqu gníomhú mar seachfhreastalaí do ríomhairí ionfhabhtaithe eile (nach raibh rochtain acu ar an Idirlíon mar gheall ar na socruithe balla dóiteáin ar an geata). Ní raibh feidhmiúlacht RPC ag roinnt leaganacha de Duqu.

Ar a dtugtar "payloads"

D'aimsigh Symantec ar a laghad ceithre chineál pálasta a íoslódáladh faoi cheannas ó lárionad rialaithe Duqu.
Thairis sin, ní raibh ach duine amháin acu ina gcónaí agus tiomsaíodh é mar chomhad inrite (exe), a shábháil ar diosca. Cuireadh na trí cinn eile i bhfeidhm mar leabharlanna dll. Luchtaíodh iad go dinimiciúil agus cuireadh chun báis iad sa chuimhne gan iad a shábháil ar diosca.

Modúl spiaireachta ab ea an "pálasta" cónaitheach (infostealer) le feidhmeanna keylogger. Is trína chur chuig VirusTotal a cuireadh tús leis an obair ar thaighde Duqu. Bhí an phríomhfheidhmíocht spiaireachta san acmhainn, agus bhí cuid de ghrianghraf den réaltra NGC 8 (le haghaidh duaithníochta) sa chéad 6745 gcilibheart díobh. Ba cheart a mheabhrú anseo gur fhoilsigh roinnt meáin faisnéis i mí Aibreáin 2012 (http://www.mehrnews.com/en/newsdetail.aspx?NewsID=1297506) go raibh an Iaráin nochta do roinnt bogearraí mailíseacha “Stars”, agus sonraí faoi níor nochtadh an eachtra. B’fhéidir nach raibh ann ach a leithéid de shampla de “phálasta” Duqu a thángthas air san Iaráin ag an am, agus mar sin an t-ainm “Stars”.
Bhailigh an modúl spiaireachta an fhaisnéis seo a leanas:

• liosta de na próisis reatha, faisnéis faoin úsáideoir reatha agus fearann;
• liosta de thiomáineann loighciúil, lena n-áirítear tiomántáin líonra;
• scáileáin scáileáin;
• seoltaí comhéadan líonra, táblaí ródaithe;
• лог-файл нажатий клавиш клавиатуры;
• ainmneacha fuinneoga feidhmchláir oscailte;
• liosta de na hacmhainní líonra atá ar fáil (acmhainní a roinnt);
• liosta iomlán de na comhaid ar gach diosca, lena n-áirítear cinn inbhainte;
• liosta de na ríomhairí sa “timpeallacht líonra”.

Modúl spiaireachta eile (infostealer) a bhí ina athrú ar an méid a cuireadh síos cheana féin, ach a cuireadh le chéile mar leabharlann dll; baineadh as feidhmeanna keylogger, ag tiomsú liosta comhad agus ag liostú ríomhairí san fhearann.
An chéad mhodúl eile (taiscéalaíochta) faisnéis chórais bailithe:

• cibé an bhfuil an ríomhaire ina chuid d'fhearann;
• cosáin chuig eolairí córais Windows;
• версию операционной системы;
• ainm úsáideora reatha;
• liosta de na adapters líonra;
• córas agus am áitiúil, chomh maith le crios ama.

Modúl deiridh (síneadh saoil) feidhm a chur i bhfeidhm chun luach líon na laethanta atá fágtha (stóráilte i gcomhad sonraí cumraíochta an phríomh-mhodúil) a mhéadú go dtí go mbeidh an post críochnaithe. De réir réamhshocraithe, socraíodh an luach seo go 30 nó 36 lá ag brath ar mhodhnú Duqu, agus laghdaigh sé ceann amháin in aghaidh an lae.

Ionaid ordú

Ar 20 Deireadh Fómhair, 2011 (trí lá tar éis faisnéis faoin bhfionnachtain a scaipeadh), rinne oibreoirí Duqu nós imeachta chun rianta d'fheidhmiú na n-ionad ordaithe a scriosadh. Bhí ionaid ceannais suite ar fhreastalaithe hacked ar fud an domhain - i Vítneam, an India, an Ghearmáin, Singeapór, an Eilvéis, an Bhreatain Mhór, an Ísiltír, agus sa Chóiré Theas. Suimiúil go leor, bhí na freastalaithe aitheanta go léir ag rith leaganacha CentOS 5.2, 5.4 nó 5.5. Bhí na OSanna 32-giotán agus 64-giotán araon. In ainneoin gur scriosadh na comhaid go léir a bhaineann le hoibriú na n-ionad ordaithe, bhí speisialtóirí Kaspersky Lab in ann cuid den fhaisnéis ó chomhaid LOG a aisghabháil ó spás slack. Is é an fhíric is suimiúla ná gur chuir ionsaitheoirí ar fhreastalaithe i gcónaí in ionad an phacáiste réamhshocraithe OpenSSH 4.3 le leagan 5.8. D’fhéadfadh sé seo a léiriú gur úsáideadh leochaileacht anaithnid in OpenSSH 4.3 chun freastalaithe a hack. Níor úsáideadh gach córas mar ionaid ordaithe. Baineadh úsáid as cuid acu, ag meas na n-earráidí sna logaí sshd agus iad ag iarraidh trácht a atreorú do chalafoirt 80 agus 443, mar seachfhreastalaí chun ceangal leis na hionaid ordaithe deiridh.

Dátaí agus modúil

I ndoiciméad Word a dáileadh i mí Aibreáin 2011, a scrúdaigh Kaspersky Lab, bhí tiománaí íoslódála suiteálaí le dáta tiomsaithe 31 Lúnasa, 2007. Bhí dáta tiomsaithe 20608 Feabhra 5 ag tiománaí comhchosúil (méid - 45 bytes, MD613 - EEDCA0BD9E9D5A69122007E17C21F2008) i ndoiciméad a fuarthas i saotharlanna CrySys. Ina theannta sin, d'aimsigh saineolaithe Kaspersky Lab an tiománaí autorun rndismpc.sys (méid - 19968 bytes, MD5 - 9AEC6E10C5EE9C05BED93221544C783E) leis an dáta 20 Eanáir, 2008. Níor aimsíodh aon chomhpháirteanna marcáilte 2009. Bunaithe ar na stampaí ama a bhaineann le tiomsú codanna aonair de Duqu, d’fhéadfadh a fhorbairt dul siar go dtí tús 2007. Baineann a léiriú is luaithe le comhaid shealadacha den chineál ~DO a bhrath (is dócha a chruthaigh ceann de na modúil spyware), arb é an 28 Samhain, 2008 an dáta cruthaithe (airteagal "Duqu & Stuxnet: Amlíne Imeachtaí Suimiúla"). Ba é an dáta is déanaí a bhaineann le Duqu ná 23 Feabhra, 2012, a bhí i dtiománaí íoslódáil suiteálaí a d'aimsigh Symantec i mí an Mhárta 2012.

Использованные источники информации:

sraith alt faoi ​​Duqu ó Kaspersky Lab;
Tuarascáil anailíseach Symantec "W32.Duqu An réamhtheachtaí go dtí an chéad Stuxnet eile", leagan 1.4, Samhain 2011 (pdf).

Foinse: will.com