ProHoster > Blog > naidheachdan eadar-lìn > Duqu - doll neadachaidh droch-rùnach

Duqu - doll neadachaidh droch-rùnach

Ro-ràdh

Air 1 Sultain 2011, chaidh faidhle leis an t-ainm ~DN1.tmp a chuir gu làrach-lìn VirusTotal às an Ungair. Aig an àm sin, chaidh am faidhle a lorg mar droch-rùnach le dìreach dà einnsean antivirus - BitDefender agus AVIRA. Seo mar a thòisich sgeulachd Duqu. A 'coimhead air adhart, feumar a ràdh gun deach an teaghlach Duqu malware ainmeachadh air ainm an fhaidhle seo. Ach, tha am faidhle seo na mhodal spyware gu tur neo-eisimeileach le gnìomhan keylogger, air a chuir a-steach, is dòcha, a’ cleachdadh inneal luchdachadh sìos droch-rùnach, agus chan urrainnear a mheas ach mar “eallach pàighidh” air a luchdachadh leis an Duqu malware fhad ‘s a tha e ag obair, agus chan ann mar phàirt ( modal) de Duqu . Chaidh aon de na pàirtean Duqu a chuir chun t-seirbheis Virustotal a-mhàin air 9 Sultain. Tha am feart sònraichte aige na dhràibhear air a shoidhnigeadh gu didseatach le C-Media. Thòisich cuid de dh’eòlaichean sa bhad a’ tarraing analogies le eisimpleir ainmeil eile de malware - Stuxnet, a chleachd draibhearan soidhnichte cuideachd. Tha an àireamh iomlan de choimpiutairean le galair Duqu air an lorg le diofar chompanaidhean antivirus air feadh an t-saoghail anns na dusanan. Tha mòran chompanaidhean ag agairt gur e Ioran a-rithist am prìomh thargaid, ach a’ breithneachadh a rèir cuairteachadh cruinn-eòlasach ghalaran, chan urrainnear seo a ràdh le cinnt.
Duqu - doll neadachaidh droch-rùnach
Anns a 'chùis seo, bu chòir dhut bruidhinn gu misneachail a-mhàin mu chompanaidh eile le facal ùr APT (bagairt leantainneach adhartach).

Dòigh-obrach buileachadh an t-siostam

Mar thoradh air sgrùdadh a rinn eòlaichean bhon bhuidheann Ungair CrySyS (Obair-lann Ungairis air Cryptography and System Security aig Oilthigh Teicneòlais is Eaconamas Budapest) chaidh an stàlaichear (dropper) a lorg tron ​​​​bheil an siostam gabhaltach. B’ e faidhle Microsoft Word a bh’ ann le brath airson so-leòntachd draibhearan win32k.sys (MS11-087, air a mhìneachadh le Microsoft air 13 Samhain, 2011), a tha an urra ri uidheamachd render cruth-clò TTF. Bidh còd-slige an neach-brathaidh a’ cleachdadh cruth-clò air a bheil ‘Dexter Regular’ freumhaichte san sgrìobhainn, le Showtime Inc. air a liostadh mar neach-cruthachaidh a’ chruth-clò. Mar a chì thu, chan eil luchd-cruthachaidh Duqu nan coigrich do àbhachdas: tha Dexter na mharbhadh sreathach, gaisgeach an t-sreath telebhisean den aon ainm, air a thoirt gu buil le Showtime. Bidh Dexter a’ marbhadh a-mhàin (ma ghabhas e dèanamh) eucoirich, is e sin, bidh e a’ briseadh an lagha ann an ainm laghail. Is dòcha, san dòigh seo, tha luchd-leasachaidh Duqu ìoranta gu bheil iad an sàs ann an gnìomhan mì-laghail airson deagh adhbharan. Chaidh puist-d a chuir a dh’aona ghnothach. Tha e coltach gum biodh an luchd-siubhail a’ cleachdadh coimpiutairean briste (hacked) mar eadar-mheadhanair gus tracadh a dhèanamh duilich.
Mar sin bha na pàirtean a leanas ann an sgrìobhainn Word:

  • susbaint teacsa;
  • cruth-clò togte;
  • brath a ghabhail air shellcode;
  • dràibhear;
  • stàlaichear (leabharlann DLL).

Ma shoirbhicheas leis, rinn an slige-chòd brathaidh na h-obraichean a leanas (ann am modh kernel):

  • chaidh seic ath-ghalair a dhèanamh; airson seo, chaidh làthaireachd na h-iuchrach 'CF4D' a sgrùdadh sa chlàr aig an t-seòladh 'HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZones1'; ma bha seo ceart, chuir an còd-slige crìoch air a chur gu bàs;
  • chaidh dà fhaidhle a dhì-chrioptachadh - an dràibhear (sys) agus an stàlaichear (dll);
  • chaidh an dràibhear a chuir a-steach don phròiseas services.exe agus chuir e an stàlaichear air bhog;
  • Mu dheireadh, chaidh an slige-chòd a dhubhadh às le neoni mar chuimhneachan.

Leis gu bheil win32k.sys air a chuir gu bàs fon neach-cleachdaidh sochair ‘System’, tha an luchd-leasachaidh Duqu air fuasgladh fhaighinn air duilgheadas an dà chuid cur air bhog gun chead agus àrdachadh chòraichean (a’ ruith fo chunntas cleachdaiche le còraichean cuibhrichte).
Às deidh dha smachd fhaighinn, chuir an stàlaichear trì blocaichean dàta na bhroinn mar chuimhneachan, anns a bheil:

  • dràibhear ainmichte (sys);
  • prìomh mhodal (dll);
  • dàta rèiteachaidh stàlaichear (pnf).

Chaidh raon ceann-latha a shònrachadh ann an dàta rèiteachaidh an stàlaichear (ann an cruth dà chlàr-ama - toiseach is deireadh). Rinn an stàlaichear sgrùdadh an robh an ceann-latha làithreach air a ghabhail a-steach ann, agus mura robh, chuir e crìoch air a chur gu bàs. Cuideachd ann an dàta rèiteachaidh an stàlaichear bha na h-ainmean fon deach an draibhear agus am prìomh mhodal a shàbhaladh. Anns a 'chùis seo, chaidh am prìomh mhodal a shàbhaladh air diosc ann an cruth crioptaichte.

Duqu - doll neadachaidh droch-rùnach

Gus Duqu a thòiseachadh gu fèin-ghluasadach, chaidh seirbheis a chruthachadh a’ cleachdadh faidhle draibhear a dhì-chrioptaich am prìomh mhodal air an itealan le bhith a’ cleachdadh iuchraichean a bha air an stòradh sa chlàr. Anns a’ phrìomh mhodal tha a bhloca dàta rèiteachaidh fhèin. Nuair a chaidh a chuir air bhog an toiseach, chaidh a dhì-chrioptachadh, chaidh an ceann-latha stàlaidh a chuir a-steach ann, às deidh sin chaidh a chrioptachadh a-rithist agus a shàbhaladh leis a ’phrìomh mhodal. Mar sin, anns an t-siostam air a bheil buaidh, nuair a chaidh an stàladh soirbheachail, chaidh trì faidhlichean a shàbhaladh - an draibhear, am prìomh mhodal agus am faidhle dàta rèiteachaidh aige, leis an dà fhaidhle mu dheireadh air an stòradh air diosc ann an cruth crioptaichte. Cha deach a h-uile modh dì-chòdaidh a dhèanamh ach mar chuimhneachan. Chaidh an dòigh stàlaidh iom-fhillte seo a chleachdadh gus an comas lorg le bathar-bog antivirus a lughdachadh.

Am prìomh mhodal

Prìomh mhodal (goireas 302), a rèir fiosrachadh companaidh Kaspersky Lab, air a sgrìobhadh a’ cleachdadh MSVC 2008 ann an C fìor-ghlan, ach a’ cleachdadh dòigh-obrach stèidhichte air nithean. Tha an dòigh-obrach seo neo-àbhaisteach nuair a thathar a’ leasachadh còd droch-rùnach. Mar riaghailt, tha an còd seo air a sgrìobhadh ann an C gus am meud a lughdachadh agus cuir às do na gairmean a tha dualach do C ++. Tha symbiosis sònraichte an seo. A bharrachd air an sin, chaidh ailtireachd stèidhichte air tachartas a chleachdadh. Tha luchd-obrach Kaspersky Lab buailteach don teòiridh gun deach am prìomh mhodal a sgrìobhadh a’ cleachdadh tuilleadan ro-phròiseasar a leigeas leat còd C a sgrìobhadh ann an stoidhle nì.
Tha uallach air a’ phrìomh mhodal airson a’ mhodh-obrach airson òrdughan fhaighinn bho ghnìomhaichean. Tha Duqu a 'toirt seachad grunn dhòighean eadar-obrachaidh: a' cleachdadh protocols HTTP agus HTTPS, a bharrachd air a bhith a 'cleachdadh pìoban ainmichte. Airson HTTP(S), chaidh ainmean fearainn ionadan àithne a shònrachadh, agus chaidh an comas obrachadh tro fhrithealaiche progsaidh a thoirt seachad - chaidh ainm neach-cleachdaidh agus facal-faire a shònrachadh dhaibh. Tha an seòladh IP agus an t-ainm aige air a shònrachadh airson an t-sianail. Tha an dàta ainmichte air a stòradh ann am bloc dàta rèiteachaidh prìomh mhodal (ann an cruth crioptaichte).
Gus pìoban ainmichte a chleachdadh, chuir sinn air bhog ar gnìomhachadh frithealaiche RPC fhèin. Thug e taic do na seachd gnìomhan a leanas:

  • thoir air ais an dreach stàlaichte;
  • cuir a-steach dll a-steach don phròiseas ainmichte agus cuir fios chun ghnìomh ainmichte;
  • luchdaich dll;
  • tòisich pròiseas le bhith a’ gairm CreateProcess();
  • leugh susbaint faidhle sònraichte;
  • sgrìobhadh dàta chun an fhaidhle ainmichte;
  • sguab às am faidhle ainmichte.

Dh’ fhaodadh pìoban ainmichte a bhith air an cleachdadh taobh a-staigh lìonra ionadail gus modalan ùraichte agus dàta rèiteachaidh a sgaoileadh eadar coimpiutairean le galair Duqu. A bharrachd air an sin, dh’ fhaodadh Duqu a bhith na fhrithealaiche progsaidh airson coimpiutairean gabhaltach eile (aig nach robh cothrom air an eadar-lìn air sgàth suidheachadh balla-teine ​​​​air a ’gheata). Cha robh comas-gnìomh RPC aig cuid de dhreachan de Duqu.

Canar "luchd-pàighidh"

Lorg Symantec co-dhiù ceithir seòrsaichean pàighidh pàighidh a chaidh a luchdachadh sìos fo stiùir bho ionad smachd Duqu.
A bharrachd air an sin, cha robh ach aon dhiubh a 'fuireach agus air a chur ri chèile mar fhaidhle so-ghnìomhaichte (exe), a chaidh a shàbhaladh gu diosg. Chaidh na trì eile a chur an gnìomh mar leabharlannan dll. Bha iad air an luchdachadh gu fiùghantach agus air an cur gu bàs mar chuimhne gun a bhith air an sàbhaladh gu diosc.

B’ e modal brathaidh a bh’ anns an “payload” neach-còmhnaidh (neach-fiosrachaidh) le gnìomhan keylogger. Is ann le bhith ga chuir gu VirusTotal a thòisich an obair air rannsachadh Duqu. Bha am prìomh ghnìomhachd brathaidh anns a’ ghoireas, agus anns a’ chiad 8 kilobytes bha pàirt de dhealbh den galaxy NGC 6745 (airson breug-riochd). Bu chòir cuimhneachadh an seo gun do dh’ fhoillsich cuid de na meadhanan fiosrachadh sa Ghiblean 2012 (http://www.mehrnews.com/en/newsdetail.aspx?NewsID=1297506) gun robh Iran fosgailte do chuid de bhathar-bog droch-rùnach “Stars”, fhad ‘s a bha fiosrachadh mu dheidhinn cha deach an tachartas fhoillseachadh. Is dòcha gur e dìreach sampall den “payload” Duqu a chaidh a lorg an uairsin ann an Ioran, agus mar sin an t-ainm “Stars”.
Chruinnich am modal spy am fiosrachadh a leanas:

  • liosta de phròiseasan ruith, fiosrachadh mun neach-cleachdaidh làithreach agus an àrainn;
  • liosta de dhràibhearan loidsigeach, a 'gabhail a-steach draibhearan lìonra;
  • glacaidhean-sgrìn;
  • seòlaidhean eadar-aghaidh lìonra, clàran slighe;
  • faidhle log de mheur-chlàr meur-chlàr;
  • ainmean uinneagan tagraidh fosgailte;
  • liosta de na goireasan lìonra a tha rim faighinn (roinn ghoireasan);
  • liosta iomlan de fhaidhlichean air a h-uile diosc, a’ toirt a-steach feadhainn a ghabhas toirt air falbh;
  • liosta de choimpiutairean ann an "lìonra àrainneachd".

modal brathaidh eile (neach-fiosrachaidh) na atharrachadh air na chaidh a mhìneachadh mar-thà, ach air a chur ri chèile mar leabharlann dll; chaidh gnìomhan keylogger, a 'cur ri chèile liosta de fhaidhlichean agus a' clàradh choimpiutairean a tha air an gabhail a-steach san àrainn a thoirt air falbh bhuaithe.
An ath mhodal (taisbeanaidh) fiosrachadh siostam cruinnichte:

  • co-dhiù a tha an coimpiutair mar phàirt de dh'àrainn;
  • slighean gu clàran siostam Windows;
  • dreach siostam-obrachaidh;
  • ainm neach-cleachdaidh làithreach;
  • liosta de lìonra adapters;
  • siostam agus ùine ionadail, a bharrachd air sòn ùine.

modal mu dheireadh (leudachadh beatha) gnìomh a chuir an gnìomh gus luach àrdachadh (air a stòradh ann am faidhle dàta rèiteachaidh prìomh mhodal) an àireamh de làithean a tha air fhàgail gus an tèid an obair a chrìochnachadh. Gu gnàthach, chaidh an luach seo a shuidheachadh gu 30 no 36 latha a rèir an atharrachaidh Duqu, agus air a lughdachadh le aon gach latha.

Ionadan àithne

Air 20 Dàmhair, 2011 (trì latha às deidh fiosrachadh mun lorg a bhith air a sgaoileadh), rinn gnìomhaichean Duqu modh-obrach gus lorgan de ghnìomhachd nan ionadan stiùiridh a sgrios. Bha ionadan stiùiridh air an suidheachadh air luchd-frithealaidh briste air feadh an t-saoghail - ann am Bhietnam, na h-Innseachan, a 'Ghearmailt, Singapore, an Eilbheis, Breatainn Mhòr, an Òlaind, agus Coirea a Deas. Gu inntinneach, bha a h-uile seirbheisiche ainmichte a’ ruith dreachan CentOS 5.2, 5.4 no 5.5. Bha an dà chuid OSan 32-bit agus 64-bit. A dh 'aindeoin gun deach a h-uile faidhle co-cheangailte ri obrachadh ionadan stiùiridh a dhubhadh às, bha e comasach dha eòlaichean Kaspersky Lab cuid den fhiosrachadh fhaighinn air ais bho fhaidhlichean LOG bho àite slack. Is e an fhìrinn as inntinniche gun robh luchd-ionnsaigh air frithealaichean an-còmhnaidh a’ dol an àite a’ phacaid bunaiteach OpenSSH 4.3 le dreach 5.8. Dh’ fhaodadh seo nochdadh gun deach so-leòntachd neo-aithnichte ann an OpenSSH 4.3 a chleachdadh gus frithealaichean a sheacadh. Cha deach a h-uile siostam a chleachdadh mar ionadan àithne. Chaidh cuid, a’ breithneachadh leis na mearachdan anns na logaichean sshd nuair a bha iad a’ feuchainn ri trafaic ath-stiùireadh airson puirt 80 agus 443, a chleachdadh mar fhrithealaiche progsaidh gus ceangal ris na h-ionadan àithne deireannach.

Cinn-latha agus modalan

Ann an sgrìobhainn Word a chaidh a sgaoileadh sa Ghiblean 2011, a chaidh a sgrùdadh le Kaspersky Lab, bha draibhear luchdachadh sìos stàlaichear le ceann-latha cruinneachaidh de 31 Lùnastal, 2007. Bha ceann-latha cruinneachaidh air 20608 Gearran, 5 aig draibhear coltach ris (meud - 45 bytes, MD613 - EEDCA0BD9E9D5A69122007E17C21F2008) ann an sgrìobhainn a chaidh a lorg ann an deuchainn-lannan CrySys. A bharrachd air an sin, lorg eòlaichean Kaspersky Lab an draibhear autorun rndismpc.sys (meud - 19968 bytes, MD5 - 9AEC6E10C5EE9C05BED93221544C783E) leis a’ cheann-latha Faoilleach 20, 2008. Cha deach co-phàirtean comharraichte 2009 a lorg. Stèidhichte air na clàran-ama airson pàirtean fa leth de Duqu a chruinneachadh, dh’ fhaodadh a leasachadh a dhol air ais gu tràth ann an 2007. Tha am foillseachadh as tràithe aige co-cheangailte ri lorg faidhlichean sealach den t-seòrsa ~ DO (is dòcha air an cruthachadh le aon de na modalan spyware), is e an ceann-latha cruthachaidh air 28 Samhain, 2008 (artaigil “Duqu & Stuxnet: Loidhne-tìm de thachartasan inntinneach”). B ’e an ceann-latha as ùire co-cheangailte ri Duqu 23 Gearran, 2012, ann an draibhear luchdachadh sìos stàlaichear a lorg Symantec sa Mhàrt 2012.

Stòran fiosrachaidh air a chleachdadh:

sreath de artaigilean mu Duqu bho Kaspersky Lab;
Aithisg anailis Symantec "W32.Duqu An ro-ruithear don ath Stuxnet", dreach 1.4, Samhain 2011 (pdf).

Source: www.habr.com

Cuir beachd ann