ProHoster > Pūnaewele > nūhou pūnaewele > ʻO Duqu - ʻo ka hoʻopiʻi pūnana ʻino

ʻO Duqu - ʻo ka hoʻopiʻi pūnana ʻino

Hōʻike

Ma ka lā 1 o Kepakemapa, 2011, ua hoʻouna ʻia kahi faila i kapa ʻia ʻo ~DN1.tmp i ka pūnaewele VirusTotal mai Hungary. I kēlā manawa, ua ʻike ʻia ka faila ma ke ʻano he ʻino e ʻelua mau antivirus engine - BitDefender a me AVIRA. Pela i hoomaka ai ka moolelo o Duqu. Ke nānā nei i mua, pono e ʻōlelo ʻia ua kapa ʻia ka ʻohana Duqu malware ma hope o ka inoa o kēia faila. Eia naʻe, keia waihona mea he loa kūʻokoʻa spyware module me keylogger hana, i hoʻoukaʻia, paha, me ka hoʻohana 'ino downloader-dropper, a hiki ke manao wale ia e like me ka "payload" i hoʻoukaʻia e ka Duqu polokalamu kiloʻino i ka wā o kona hana, aʻaʻole e like me ka 'āpana ( module) o Duqu . Ua hoʻouna ʻia kekahi o nā ʻāpana Duqu i ka lawelawe Virustotal ma ka lā 9 Kepakemapa wale nō. ʻO kāna hiʻohiʻona ʻokoʻa he mea hoʻokele i hoʻopaʻa inoa ʻia e C-Media. Ua hoʻomaka koke kekahi poʻe loea e huki i nā mea hoʻohālikelike me kekahi hiʻohiʻona kaulana o ka malware - Stuxnet, nāna i hoʻohana i nā mea hoʻokele i kau inoa ʻia. ʻO ka nui o nā kamepiula i hoʻopili ʻia e Duqu i ʻike ʻia e nā hui antivirus like ʻole a puni ka honua i nā kakini. He nui nā hui e ʻōlelo nei ʻo Iran ka pahuhopu nui, akā ke hoʻoholo nei e ka hoʻohele ʻāina o nā maʻi, ʻaʻole hiki ke ʻōlelo ʻia.
ʻO Duqu - ʻo ka hoʻopiʻi pūnana ʻino
I kēia hihia, pono ʻoe e ʻōlelo wiwo ʻole e pili ana i kahi ʻoihana ʻē aʻe me kahi huaʻōlelo hou APT (hoʻoweliweli hoʻomau holomua).

Kaʻina hana hoʻokō ʻōnaehana

ʻO kahi noiʻi i hana ʻia e nā loea mai ka hui Hungarian CrySyS (Hungarian Laboratory of Cryptography and System Security ma ke Kulanui o ʻenehana a me ʻEpekema Budapest) i alakaʻi ʻia i ka ʻike ʻana o ka mea hoʻonohonoho (dropper) kahi i loaʻa ai ka ʻōnaehana. He waihona Microsoft Word ia me ka hoʻohana ʻana i ka nāwaliwali o ka mea hoʻokele win32k.sys (MS11-087, i wehewehe ʻia e Microsoft ma Nowemapa 13, 2011), nona ke kuleana no ka hana ʻana i nā kikokikona TTF. Hoʻohana ʻia ka shellcode o ka exploit i kahi font i kapa ʻia ʻo 'Dexter Regular' i hoʻokomo ʻia i loko o ka palapala, me Showtime Inc. i helu ʻia ʻo ia ka mea nāna i hana ka font. E like me kāu e ʻike ai, ʻaʻole malihini nā mea hana o Duqu i kahi ʻano hoʻohaʻahaʻa: ʻO Dexter kahi mea pepehi serial, ka mea koa o ke kīwī kīwī o ka inoa like, i hana ʻia e Showtime. Ua pepehi wale ʻo Dexter (inā hiki) i nā lawehala, ʻo ia hoʻi, ua uhaki ʻo ia i ke kānāwai ma ka inoa o ke kānāwai. Malia paha, ma kēiaʻano, he mea hoʻohenehene nā mea hoʻomohala Duqu i ka hanaʻana i nā hana kūponoʻole no nā kumu maikaʻi. Hoʻouna ʻia ka hoʻouna ʻana i nā leka uila. Ua hoʻohana ʻia ka hoʻouna ʻana i nā kamepiula i hoʻopaʻa ʻia (hacked) ma ke ʻano he mea hoʻolaha e paʻakikī ai ka hahai ʻana.
Ua loaʻa i ka palapala Word nā ʻāpana penei:

  • maʻiʻo kikokikona;
  • i hoʻokomo ʻia i loko;
  • hoʻohana i ka shellcode;
  • kaʻa hoʻokele;
  • mea hoʻonoho (DLL waihona).

Inā kūleʻa, hana ka shellcode exploit i kēia mau hana (ma ke ʻano kernel):

  • ua hana ʻia kahi nānā no ka maʻi hou ʻana; no kēia, ua nānā ʻia ke alo o ke kī 'CF4D' i loko o ka papa inoa ma ka helu 'HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZones1'; inā pololei kēia, ua hoʻopau ka shellcode i kāna hana;
  • ʻelua mau faila i hoʻokaʻawale ʻia - ka mea hoʻokele (sys) a me ka mea hoʻonohonoho (dll);
  • ua hoʻokomo ʻia ka mea hoʻokele i ka hana services.exe a hoʻokuʻu i ka mea hoʻonohonoho;
  • ʻO ka hope, holoi ʻia ka shellcode iā ia iho me nā zeros i ka hoʻomanaʻo.

Ma muli o ka hoʻokō ʻia ʻana o win32k.sys ma ka ʻaoʻao o ka mea hoʻohana pono 'System', ua hoʻoponopono maikaʻi nā mea hoʻomohala Duqu i ka pilikia o ka hoʻokuʻu ʻole ʻia a me ka piʻi ʻana o nā kuleana (e holo ana ma lalo o kahi moʻokāki mea hoʻohana me nā kuleana palena ʻole).
Ma hope o ka loaʻa ʻana o ka mana, ua hoʻokaʻawale ka mea hoʻonohonoho i ʻekolu mau poloka o ka ʻikepili i loko o ka hoʻomanaʻo, aia:

  • mea hoʻokele i kau inoa ʻia (sys);
  • module nui (dll);
  • ʻikepili hoʻonohonoho hoʻonohonoho (pnf).

Ua kuhikuhi ʻia kahi lā i loko o ka ʻikepili hoʻonohonoho installer (ma ke ʻano o ʻelua timestamp - hoʻomaka a hoʻopau). Ua nānā ka mea hoʻonohonoho inā ua hoʻokomo ʻia ka lā i kēia manawa, a inā ʻaʻole, ua hoʻopau ʻo ia i kāna hoʻokō. Ma ka ʻikepili hoʻonohonoho hoʻonohonoho hoʻonohonoho pū kekahi i nā inoa i mālama ʻia ai ka mea hoʻokele a me ka module nui. I kēia hihia, ua mālama ʻia ka module nui ma ka disk ma ke ʻano i hoʻopili ʻia.

ʻO Duqu - ʻo ka hoʻopiʻi pūnana ʻino

No ka hoʻomaka ʻana iā Duqu, ua hana ʻia kahi lawelawe me ka hoʻohana ʻana i kahi faila mea hoʻokele i hoʻokaʻawale i ka module nui ma ka lele me ka hoʻohana ʻana i nā kī i mālama ʻia i ka papa inoa. Aia i loko o ka module nui kona poloka ʻikepili hoʻonohonoho ponoʻī. I ka wā i hoʻokuʻu mua ʻia ai, ua decrypted, ua hoʻokomo ʻia ka lā hoʻonohonoho i loko, a laila ua hoʻopili hou ʻia a mālama ʻia e ka module nui. No laila, ma ka ʻōnaehana i hoʻopili ʻia, ma hope o ka hoʻokomo ʻana, ua mālama ʻia ʻekolu faila - ka mea hoʻokele, ka module nui a me kāna faila ʻikepili hoʻonohonoho, aʻo nā faila hope ʻelua i mālama ʻia ma ka disk ma ke ʻano i hoʻopili ʻia. Ua hoʻokō ʻia nā kaʻina hana decoding a pau ma ka hoʻomanaʻo wale nō. Ua hoʻohana ʻia kēia kaʻina hana paʻakikī e hōʻemi i ka hiki ke ʻike ʻia e ka polokalamu antivirus.

ʻO ka module nui

Module nui (waiwai 302), e like me 'ike ʻO Kaspersky Lab, i kākau ʻia me MSVC 2008 ma C maʻemaʻe, akā me ka hoʻohana ʻana i kahi ala e pili ana i nā mea. ʻAʻole ʻokoʻa kēia ala i ka wā e hoʻomohala ai i nā code malicious. Ma ke ʻano he kānāwai, ua kākau ʻia kēlā code ma C e hōʻemi i ka nui a hoʻopau i nā kelepona implicit i loko o C ++. Aia kekahi symbiosis ma aneʻi. Eia kekahi, ua hoʻohana ʻia kahi hoʻolālā hanana hanana. Hoʻopili nā limahana Kaspersky Lab i ke kumumanaʻo i kākau ʻia ka module nui me ka hoʻohana ʻana i kahi hoʻohui pre-processor e hiki ai iā ʻoe ke kākau i ka code C i kahi ʻano mea.
ʻO ka module nui ke kuleana no ke kaʻina hana no ka loaʻa ʻana o nā kauoha mai nā mea hana. Hāʻawi ʻo Duqu i nā ʻano hana like ʻole: me ka hoʻohana ʻana i nā protocols HTTP a me HTTPS, a me ka hoʻohana ʻana i nā paipu i kapa ʻia. No HTTP(S), ua kuhikuhi ʻia nā inoa kikowaena o nā kikowaena kauoha, a ua hāʻawi ʻia ka hiki ke hana ma o kahi kikowaena proxy - ua kuhikuhi ʻia kahi inoa mea hoʻohana a me ka ʻōlelo huna no lākou. Ua kuhikuhi ʻia ka IP address a me kona inoa no ke kahawai. Mālama ʻia ka ʻikepili i hōʻike ʻia i loko o ka poloka ʻikepili hoʻonohonoho module nui (ma ke ʻano i hoʻopili ʻia).
No ka hoʻohana ʻana i nā paipu i kapa ʻia, ua hoʻokumu mākou i kā mākou kikowaena kikowaena RPC ponoʻī. Ua kākoʻo ʻia kēia mau hana ʻehiku:

  • hoʻihoʻi i ka mana i hoʻokomo ʻia;
  • hoʻokomo i kahi dll i loko o ke kaʻina hana a kāhea i ka hana i kuhikuhi ʻia;
  • hoʻouka dll;
  • hoʻomaka i kahi kaʻina hana ma ke kāhea ʻana iā CreateProcess ();
  • heluhelu i nā mea o kahi faila i hāʻawi ʻia;
  • kākau i ka ʻikepili i ka faila i kuhikuhi ʻia;
  • holoi i ka faila i kuhikuhi ʻia.

Hiki ke hoʻohana ʻia nā paipu i kapa ʻia i loko o kahi pūnaewele kūloko e puʻunaue i nā modula hou a me ka ʻikepili hoʻonohonoho ma waena o nā kamepiula i hoʻopili ʻia e Duqu. Eia hou, hiki iā Duqu ke hana ma ke ʻano he kikowaena proxy no nā kamepiula maʻi ʻē aʻe (ʻaʻole i loaʻa i ka Pūnaewele ma muli o nā hoʻonohonoho pā ahi ma ka ʻīpuka). ʻAʻohe mana RPC i kekahi mau mana o Duqu.

ʻIke ʻia nā "payloads"

Ua ʻike ʻo Symantec ma kahi o ʻehā mau ʻano o nā uku i hoʻoiho ʻia ma lalo o ke kauoha mai ke kikowaena hoʻokele Duqu.
Eia kekahi, hoʻokahi wale nō o lākou i noho a hōʻuluʻulu ʻia ma ke ʻano he faila hoʻokō (exe), i mālama ʻia i ka disk. Ua hoʻokō ʻia nā mea ʻekolu i koe ma ke ʻano he hale waihona puke dll. Ua hoʻouka ʻia lākou me ka ikaika a hoʻokō ʻia i ka hoʻomanaʻo me ka mālama ʻole ʻia i ka disk.

ʻO ka "payload" kamaʻāina he module kiu (mea ʻimi ʻike) me nā hana keylogger. Ma ka hoʻouna ʻana iā VirusTotal i hoʻomaka ai ka hana ma ka noiʻi Duqu. Aia ka hana kiu nui ma ka punawai, ʻo ka 8 kilobytes mua i loaʻa kekahi hapa o ke kiʻi o ka galaxy NGC 6745 (no ka camouflage). Pono e hoʻomanaʻo ʻia ma ʻApelila 2012, ua paʻi kekahi mau media i ka ʻike (http://www.mehrnews.com/en/newsdetail.aspx?NewsID=1297506) ua hōʻike ʻia ʻo Iran i kekahi polokalamu ʻino "Stars", ʻoiai nā kikoʻī o ʻaʻole i hōʻike ʻia ka hanana. He laʻana wale nō paha ia o ka Duqu "payload" i ʻike ʻia i kēlā manawa ma Iran, no laila ka inoa ʻo "Stars".
Ua hōʻiliʻili ka module spy i kēia mau ʻike:

  • papa inoa o nā kaʻina hana, ʻike e pili ana i ka mea hoʻohana i kēia manawa a me ka domain;
  • papa inoa o nā hoʻokele logical, me nā drive network;
  • screenshots;
  • nā leka uila, nā papa kuhikuhi;
  • waihona waihona o nā kī kī;
  • nā inoa o nā puka makani noi hāmama;
  • papa inoa o nā kumuwaiwai pūnaewele i loaʻa (kaʻana like i nā kumuwaiwai);
  • he papa inoa piha o nā faila ma nā disks āpau, me nā mea hiki ke wehe;
  • he papa inoa o nā kamepiula i loko o ka "hui pūnaewele".

ʻO kekahi module kiu (mea ʻimi ʻike) he ʻano hoʻololi o ka mea i wehewehe mua ʻia, akā ua hoʻohui ʻia ma ke ʻano he waihona dll; ua wehe ʻia nā hana o kahi keylogger, ka hoʻopili ʻana i ka papa inoa o nā faila a me ka papa inoa o nā kamepiula i komo i loko o ka waihona.
module aʻe (ʻike) ʻike pūnaewele i hōʻiliʻili ʻia:

  • inā paha he ʻāpana o ka lolouila;
  • nā ala i nā papa kuhikuhi ʻōnaehana Windows;
  • ʻōnaehana ʻōnaehana hana;
  • inoa mea hoʻohana i kēia manawa;
  • papa inoa o nā mea hoʻopili pūnaewele;
  • ʻōnaehana a me ka manawa kūloko, a me ka palena manawa.

module hope loa (mea hooloihi ola) ua hoʻokō i kahi hana e hoʻonui ai i ka waiwai (i mālama ʻia i loko o ka waihona ʻikepili hoʻonohonoho module nui) o ka helu o nā lā i koe a hiki i ka pau ʻana o ka hana. Ma ka paʻamau, ua hoʻonoho ʻia kēia waiwai i 30 a i ʻole 36 mau lā ma muli o ka hoʻololi Duqu, a hoʻemi ʻia e hoʻokahi i kēlā me kēia lā.

Nā kikowaena kauoha

Ma ʻOkakopa 20, 2011 (ʻekolu lā ma hope o ka hoʻolaha ʻia ʻana o ka ʻike e pili ana i ka ʻike), ua hana nā mea hoʻohana Duqu i kahi kaʻina hana e luku ai i nā ʻāpana o ka hana o nā kikowaena kauoha. Aia nā kikowaena kauoha ma nā kikowaena hacked a puni ka honua - ma Vietnam, India, Kelemānia, Singapore, Switzerland, Great Britain, Holland, South Korea. ʻO ka mea mahalo, ke holo nei nā kikowaena i ʻike ʻia i nā mana CentOS 5.2, 5.4 a i ʻole 5.5. ʻO nā OS he 32-bit a me 64-bit. ʻOiai ua holoi ʻia nā faila a pau e pili ana i ka hana o nā kikowaena kauoha, ua hiki i nā loea Kaspersky Lab ke hoʻihoʻi hou i kekahi o nā ʻike mai nā faila LOG mai nā wahi lohi. ʻO ka mea hoihoi loa, ʻo nā mea hoʻouka kaua ma nā kikowaena e hoʻololi mau i ka paʻamau OpenSSH 4.3 pūʻolo me ka mana 5.8. Hōʻike paha kēia i kahi nāwaliwali ʻike ʻole ʻia ma OpenSSH 4.3 i hoʻohana ʻia e hack server. ʻAʻole i hoʻohana ʻia nā ʻōnaehana āpau e like me nā kikowaena kauoha. ʻO kekahi, e hoʻoholo ana i nā hewa i loko o ka sshd logs i ka wā e hoʻāʻo ai e hoʻihoʻi hou i nā kaʻa no nā awa 80 a me 443, ua hoʻohana ʻia ma ke ʻano he kikowaena proxy e hoʻopili ai i nā kikowaena kauoha hope.

Nā lā a me nā modula

ʻO kahi palapala Word i hoʻolaha ʻia ma ʻApelila 2011, i nānā ʻia e Kaspersky Lab, loaʻa kahi mea hoʻokele hoʻoiho hoʻoiho me ka lā hoʻohui o ʻAukake 31, 2007. ʻO kahi mea hoʻokele like (nui - 20608 bytes, MD5 - EEDCA45BD613E0D9A9E5C69122007F17) i loko o kahi palapala i loaʻa ma CrySys laboratories he lā hoʻohui ʻia ʻo Pepeluali 21, 2008. Eia hou, ua loaʻa i nā loea Kaspersky Lab ka mea hoʻokele autorun rndismpc.sys (nui - 19968 bytes, MD5 - 9AEC6E10C5EE9C05BED93221544C783E) me ka lā Ianuali 20, 2008. ʻAʻohe mea i ʻike ʻia i ka makahiki 2009. Ma muli o nā kaha manawa o ka hōʻuluʻulu ʻana o nā ʻāpana pākahi o Duqu, hiki ke hoʻomohala ʻia i ka hoʻomaka ʻana o 2007. ʻO kāna hōʻike mua loa e pili ana i ka ʻike ʻana i nā faila pōkole o ke ʻano ~DO (i hana ʻia paha e kekahi o nā modula spyware), ʻo ka lā i hana ʻia ʻo ia ʻo Nowemapa 28, 2008 ('atikala "Duqu & Stuxnet: He laina manawa o nā hanana hoihoi"). ʻO ka lā hou loa i pili pū me Duqu ʻo Pepeluali 23, 2012, aia i loko o kahi mea hoʻokele hoʻoiho installer i ʻike ʻia e Symantec i Malaki 2012.

Nā kumu o ka ʻike i hoʻohana ʻia:

moʻo ʻatikala e pili ana iā Duqu mai Kaspersky Lab;
ʻO ka hōʻike analytical Symantec "W32.Duqu Ka mua o ka Stuxnet aʻe", mana 1.4, Nowemapa 2011 (pdf).

Source: www.habr.com

Pākuʻi i ka manaʻo hoʻopuka