ProHoster > Π‘Π»ΠΎΠ³ > xov xwm hauv internet > Duqu - siab phem zes menyuam roj hmab

Duqu - siab phem zes menyuam roj hmab

Taw qhia

Thaum lub Cuaj Hlis 1, 2011, ib daim ntawv hu ua ~ DN1.tmp raug xa mus rau VirusTotal lub vev xaib los ntawm Hungary. Lub sijhawm ntawd, cov ntaub ntawv raug kuaj pom tias ua phem los ntawm tsuas yog ob lub tshuab tiv thaiv kab mob - BitDefender thiab AVIRA. Qhov no yog li cas zaj dab neeg ntawm Duqu pib. Saib tom ntej, nws yuav tsum tau hais tias Duqu malware tsev neeg tau muaj npe tom qab lub npe ntawm cov ntaub ntawv no. Txawm li cas los xij, cov ntaub ntawv no yog ib qho kev ywj pheej spyware module nrog keylogger functions, ntsia, tej zaum, siv lub siab phem downloader-dropper, thiab tsuas yog xam tau tias yog ib tug "payload" loaded los ntawm Duqu malware thaum lub sij hawm nws ua hauj lwm, thiab tsis raws li ib tug tivthaiv ( module) ntawm Duqu. Ib qho ntawm Duqu Cheebtsam raug xa mus rau qhov kev pabcuam Virustotal nkaus xwb thaum lub Cuaj Hlis 9. Nws qhov tshwj xeeb yog tus tsav tsheb digital kos npe los ntawm C-Media. Qee cov kws tshaj lij tam sim ntawd pib kos cov piv txwv nrog lwm tus piv txwv nto moo ntawm malware - Stuxnet, uas kuj tau siv cov tsav tsheb kos npe. Tag nrho cov naj npawb ntawm Duqu-kis computers kuaj pom los ntawm ntau lub tuam txhab tiv thaiv kab mob thoob ntiaj teb yog nyob rau kaum ob. Ntau lub tuam txhab thov tias Iran yog lub hom phiaj tseem ceeb dua, tab sis txiav txim los ntawm thaj chaw faib cov kab mob, qhov no tsis tuaj yeem hais meej.
Duqu - siab phem zes menyuam roj hmab
Nyob rau hauv cov ntaub ntawv no, koj yuav tsum ntseeg siab hais tias tsuas yog hais txog lwm lub tuam txhab nrog ib tug newfangled lo lus APT (advanced persistent hem thawj).

Cov txheej txheem siv qhov system

Kev tshawb nrhiav los ntawm cov kws tshaj lij los ntawm Hungarian lub koom haum CrySyS (Hungarian Laboratory of Cryptography thiab System Security ntawm Budapest University of Technology thiab Economics) tau ua rau kev tshawb pom ntawm lub installer (dropper) los ntawm qhov system tau kis. Nws yog Microsoft Word cov ntaub ntawv nrog kev siv rau win32k.sys tsav tsheb qhov tsis zoo (MS11-087, piav qhia los ntawm Microsoft thaum Lub Kaum Ib Hlis 13, 2011), uas yog lub luag haujlwm rau TTF font rendering mechanism. Qhov kev siv lub plhaub code siv tus font hu ua 'Dexter Regular' embedded nyob rau hauv daim ntawv, nrog Showtime Inc. teev raws li tus tsim ntawm font. Raws li koj tuaj yeem pom, cov neeg tsim ntawm Duqu tsis yog neeg txawv ntawm kev lom zem: Dexter yog ib tus neeg tua neeg tua neeg, tus phab ej ntawm TV series ntawm tib lub npe, tsim los ntawm Showtime. Dexter tua tsuas yog (yog tias ua tau) cov neeg ua txhaum cai, uas yog, nws ua txhaum txoj cai ntawm lub npe ntawm kev raug cai. Tej zaum, ua li no, cov neeg tsim khoom Duqu yog qhov tsis txaus ntseeg tias lawv tau koom nrog kev ua txhaum cai rau lub hom phiaj zoo. Kev xa email tau ua tiav lub hom phiaj. Cov khoom xa tuaj feem ntau yuav siv kev cuam tshuam (hacked) khoos phis tawj los ua tus neeg nruab nrab los ua kom taug qab nyuaj.
Cov ntaub ntawv Lo Lus yog li muaj cov hauv qab no:

  • cov ntawv nyeem;
  • built-in font;
  • siv shellcode;
  • tsav tsheb;
  • installer (DLL qiv).

Yog tias ua tiav, kev siv shellcode ua haujlwm hauv qab no (hauv hom ntsiav):

  • ib daim tshev tau ua kom rov kis tau tus kab mob; rau qhov no, lub xub ntiag ntawm tus yuam sij 'CF4D' tau tshawb xyuas hauv cov npe ntawm qhov chaw nyob 'HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZones1'; yog tias qhov no yog qhov tseeb, lub plhaub code ua tiav nws qhov kev ua tiav;
  • ob cov ntaub ntawv tau decrypted - tus tsav tsheb (sys) thiab lub installer (dll);
  • tus tsav tsheb tau txhaj rau hauv cov txheej txheem services.exe thiab pib lub installer;
  • Thaum kawg, shellcode erased nws tus kheej nrog xoom hauv nco.

Vim lub fact tias win32k.sys raug tua nyob rau hauv cov neeg siv privileged 'System', lub Duqu developers tau elegantly daws qhov teeb meem ntawm ob qho tib si tsis tso cai tso tawm thiab escalation ntawm txoj cai (khiav raws li ib tug neeg siv account nrog txwv txoj cai).
Tom qab tau txais kev tswj hwm, lub installer decrypted peb blocks ntawm cov ntaub ntawv uas muaj nyob rau hauv nws nco, muaj:

  • kos npe tsav tsheb (sys);
  • lub ntsiab module (dll);
  • installer configuration data (pnf).

Ib hnub ntau tau teev nyob rau hauv cov ntaub ntawv teeb tsa kev teeb tsa (hauv daim ntawv ntawm ob lub sijhawm - pib thiab xaus). Tus installer tau kuaj xyuas seb hnub tam sim no puas suav nrog hauv nws, thiab yog tias tsis yog, nws ua tiav nws qhov kev ua tiav. Tsis tas li ntawd nyob rau hauv cov ntaub ntawv installer configuration yog cov npe nyob rau hauv uas tus tsav tsheb thiab lub ntsiab module tau txais kev cawmdim. Hauv qhov no, lub ntsiab module tau txais kev cawmdim ntawm disk hauv daim ntawv encrypted.

Duqu - siab phem zes menyuam roj hmab

Txhawm rau autostart Duqu, ib qho kev pabcuam raug tsim los siv cov ntaub ntawv tsav tsheb uas decrypted lub ntsiab module ntawm yoov siv cov yuam sij khaws cia hauv cov npe. Lub ntsiab module muaj nws tus kheej configuration cov ntaub ntawv thaiv. Thaum thawj zaug launched, nws tau decrypted, hnub installation tau nkag mus rau hauv nws, tom qab uas nws tau encrypted dua thiab txuag los ntawm lub ntsiab module. Yog li, hauv qhov cuam tshuam, tom qab kev txhim kho tiav, peb cov ntaub ntawv tau txais kev cawmdim - tus tsav tsheb, lub ntsiab module thiab nws cov ntaub ntawv configuration, thaum ob cov ntaub ntawv kawg tau khaws cia rau hauv disk hauv daim ntawv encrypted. Tag nrho cov txheej txheem decoding tau ua tsuas yog hauv nco. Cov txheej txheem kev teeb tsa nyuaj no tau siv los txo qhov muaj peev xwm tshawb pom los ntawm software antivirus.

Lub ntsiab module

Main module (peev txheej 302), raws li ntaub ntawv tuam txhab Kaspersky Lab, sau siv MSVC 2008 nyob rau hauv ntshiab C, tab sis siv cov khoom-oriented mus kom ze. Txoj hauv kev no yog uncharacteristic thaum tsim cov cai phem. Raws li txoj cai, cov cai no tau sau rau hauv C kom txo qhov loj me thiab tshem tawm cov kev hu tsis raug cai hauv C ++. Muaj ib qho symbiosis ntawm no. Ntxiv rau, ib qho kev tshwm sim-tsav architecture tau siv. Cov neeg ua haujlwm hauv Kaspersky Lab yog inclined rau txoj kev xav uas lub ntsiab module tau sau siv tus txheej txheem ua ntej ntxiv uas tso cai rau koj sau C code hauv hom khoom.
Lub ntsiab module yog lub luag haujlwm rau cov txheej txheem kom tau txais cov lus txib los ntawm cov neeg ua haujlwm. Duqu muab ntau txoj hauv kev sib cuam tshuam: siv HTTP thiab HTTPS raws tu qauv, nrog rau siv cov kav dej muaj npe. Rau HTTP(S), cov npe sau npe ntawm cov chaw hais kom ua tau teev tseg, thiab muaj peev xwm ua haujlwm los ntawm lub npe neeg rau zaub mov tau muab - tus neeg siv lub npe thiab lo lus zais tau teev tseg rau lawv. Qhov chaw nyob IP thiab nws lub npe tau teev tseg rau cov channel. Cov ntaub ntawv teev tseg yog khaws cia rau hauv lub ntsiab module teeb tsa cov ntaub ntawv thaiv (hauv daim ntawv encrypted).
Txhawm rau siv cov kav dej muaj npe, peb tau tsim peb tus kheej RPC server siv. Nws txhawb xya lub luag haujlwm hauv qab no:

  • xa rov qab cov ntsia version;
  • txhaj dll rau hauv cov txheej txheem teev tseg thiab hu rau cov haujlwm tshwj xeeb;
  • load dll;
  • pib txheej txheem los ntawm kev hu rau CreateProcess();
  • nyeem cov ntsiab lus ntawm cov ntaub ntawv muab;
  • sau cov ntaub ntawv rau cov ntaub ntawv teev tseg;
  • rho tawm cov ntaub ntawv teev tseg.

Cov kav dej muaj npe tuaj yeem siv nyob rau hauv ib lub network hauv zos los faib cov qauv tshiab thiab cov ntaub ntawv teeb tsa ntawm Duqu-kis computers. Tsis tas li ntawd, Duqu tuaj yeem ua tus neeg rau zaub mov rau lwm lub khoos phis tawj uas muaj kab mob (uas tsis muaj kev nkag mus rau Is Taws Nem vim yog qhov teeb tsa firewall ntawm lub rooj vag). Qee cov qauv ntawm Duqu tsis muaj RPC ua haujlwm.

Paub "payloads"

Symantec tau tshawb pom tsawg kawg plaub hom payloads rub tawm raws li kev hais kom ua los ntawm Duqu tswj chaw.
Ntxiv mus, tsuas yog ib tug ntawm lawv yog neeg nyob thiab muab tso ua ke raws li ib tug executable ntaub ntawv (exe), uas tau txais kev cawmdim rau disk. Qhov peb seem tau muab coj los ua dll cov tsev qiv ntawv. Lawv tau loaded dynamically thiab tua nyob rau hauv lub cim xeeb yam tsis tau txais kev cawmdim rau disk.

Tus neeg nyob hauv "payload" yog tus neeg soj xyuas module (infostealer) nrog keylogger functions. Nws yog los ntawm kev xa nws mus rau VirusTotal tias txoj haujlwm ntawm Duqu kev tshawb fawb pib. Lub luag haujlwm tseem ceeb ntawm cov neeg soj xyuas yog nyob rau hauv cov peev txheej, thawj 8 kilobytes ntawm uas muaj ib feem ntawm daim duab ntawm galaxy NGC 6745 (rau camouflage). Nws yuav tsum rov qab los ntawm no tias thaum lub Plaub Hlis 2012, qee qhov kev tshaj tawm xov xwm tshaj tawm (http://www.mehrnews.com/en/newsdetail.aspx?NewsID=1297506) uas Iran tau nthuav tawm qee qhov software phem "Stars", thaum cov ntsiab lus ntawm qhov xwm txheej tsis tau qhia tawm. Tej zaum nws tsuas yog ib qho piv txwv ntawm Duqu "payload" uas tau pom nyob rau hauv Iran, yog li lub npe "Stars".
Cov neeg soj xyuas module tau sau cov ntaub ntawv hauv qab no:

  • daim ntawv teev cov txheej txheem khiav, cov ntaub ntawv hais txog tus neeg siv tam sim no thiab sau npe;
  • daim ntawv teev cov logical drives, suav nrog network drives;
  • screenshots;
  • network interface chaw nyob, routing rooj;
  • log cov ntaub ntawv ntawm cov keyboard keystrokes;
  • cov npe ntawm qhov rais qhib daim ntawv thov;
  • daim ntawv teev cov peev txheej muaj nyob hauv network (sib faib cov peev txheej);
  • ib daim ntawv teev tag nrho cov ntaub ntawv ntawm tag nrho cov disks, suav nrog cov uas tshem tau;
  • ib daim ntawv teev cov computers hauv "network ib puag ncig".

Lwm tus neeg soj xyuas module (infostealer) yog ib qho kev hloov pauv ntawm qhov tau piav qhia, tab sis muab tso ua ke ua lub tsev qiv ntawv dll; cov haujlwm ntawm tus keylogger, sau cov npe ntawm cov ntaub ntawv thiab cov npe computers suav nrog hauv lub npe raug tshem tawm ntawm nws.
Tom ntej no module (paub) sau cov ntaub ntawv system:

  • seb lub computer puas yog ib feem ntawm lub npe;
  • txoj hauv kev rau Windows system directory;
  • operating system version;
  • tus neeg siv lub npe tam sim no;
  • cov npe ntawm network adapters;
  • system thiab lub sij hawm hauv zos, nrog rau lub sij hawm cheeb tsam.

Xeem module (Lub neej ntev extender) tau siv lub luag haujlwm kom nce tus nqi ( khaws cia rau hauv cov ntaub ntawv tseem ceeb module teeb tsa cov ntaub ntawv) ntawm cov hnub so kom txog thaum txoj haujlwm tiav. Los ntawm lub neej ntawd, tus nqi no tau teem rau 30 lossis 36 hnub nyob ntawm Duqu hloov kho, thiab txo qis ib hnub.

Cov chaw hais kom ua

Lub Kaum Hli 20, 2011 (peb hnub tom qab cov ntaub ntawv hais txog qhov kev tshawb pom tau tshaj tawm), Duqu cov neeg ua haujlwm tau ua cov txheej txheem los rhuav tshem cov kab ntawm kev ua haujlwm ntawm cov chaw hais kom ua. Cov chaw hais kom ua tau nyob rau ntawm hacked servers thoob ntiaj teb - hauv Nyab Laj, Is Nrias teb, Lub Tebchaws Yelemees, Singapore, Switzerland, Great Britain, Holland, thiab Kaus Lim Qab Teb. Interestingly, tag nrho cov txheeb xyuas servers tau khiav CentOS versions 5.2, 5.4 lossis 5.5. Cov OSs yog ob qho tib si 32-ntsis thiab 64-ntsis. Txawm hais tias tag nrho cov ntaub ntawv ntsig txog kev ua haujlwm ntawm cov chaw hais kom ua tau raug tshem tawm, Kaspersky Lab cov kws tshaj lij muaj peev xwm rov qab tau qee cov ntaub ntawv los ntawm LOG cov ntaub ntawv los ntawm qhov chaw slack. Qhov tseeb nthuav yog tias cov neeg tawm tsam ntawm servers ib txwm hloov lub neej ntawd OpenSSH 4.3 pob nrog version 5.8. Qhov no yuav qhia tau tias qhov tsis paub qhov tsis zoo hauv OpenSSH 4.3 tau siv los nyiag cov servers. Tsis yog txhua lub tshuab tau siv los ua cov chaw hais kom ua. Qee qhov, txiav txim siab los ntawm qhov yuam kev hauv sshd cav thaum sim hloov tsheb mus rau cov chaw nres nkoj 80 thiab 443, tau siv los ua tus neeg rau zaub mov txuas mus rau qhov kawg cov chaw hais kom ua.

Hnub tim thiab modules

Ib daim ntawv Lo Lus uas tau muab faib rau lub Plaub Hlis 2011, uas tau tshuaj xyuas los ntawm Kaspersky Lab, muaj ib qho kev teeb tsa rub tawm tsav tsheb nrog rau hnub tso ua ke ntawm Lub Yim Hli 31, 2007. Ib tus neeg tsav tsheb zoo sib xws (loj - 20608 bytes, MD5 - EEDCA45BD613E0D9A9E5C69122007F17) hauv cov ntaub ntawv pom hauv CrySys lub chaw soj nstuam muaj hnub muab tso ua ke ntawm Lub Ob Hlis 21, 2008. Tsis tas li ntawd, Kaspersky Lab cov kws tshaj lij pom tus tsav tsheb autorun rndismpc.sys (loj - 19968 bytes, MD5 - 9AEC6E10C5EE9C05BED93221544C783E) nrog rau hnub tim 20 Lub Ib Hlis 2008. Tsis muaj cov cim cim xyoo 2009 tau pom. Raws li cov ntawv teev sijhawm ntawm kev sau ua ke ntawm ib tus neeg ntawm Duqu, nws txoj kev loj hlob tuaj yeem rov qab mus rau thaum ntxov 2007. Nws qhov tshwm sim ntxov tshaj plaws yog txuam nrog kev tshawb pom ntawm cov ntaub ntawv ib ntus ntawm hom ~ DO (tej zaum tsim los ntawm ib qho ntawm cov spyware modules), hnub tsim uas yog Kaum Ib Hlis 28, 2008 (ib tsab xov xwm "Duqu & Stuxnet: Lub Sijhawm Ntawm Cov Txheej Txheem Txaus Siab"). Hnub tsis ntev los no cuam tshuam nrog Duqu yog Lub Ob Hlis 23, 2012, muaj nyob rau hauv ib qho installer download tsav nrhiav pom los ntawm Symantec thaum Lub Peb Hlis 2012.

Cov ntaub ntawv siv tau:

series ntawm cov khoom txog Duqu los ntawm Kaspersky Lab;
Symantec analytical report "W32.Duqu Lub precursor rau tom ntej Stuxnet", version 1.4, Kaum Ib Hlis 2011 (pdf).

Tau qhov twg los: www.hab.com

Ntxiv ib saib