ProHoster > Blog > nouvèl sou entènèt > Duqu - move poupe nidifikasyon

Duqu - move poupe nidifikasyon

Entwodiksyon

Nan dat 1ye septanm 2011, yo te voye yon dosye ki rele ~DN1.tmp sou sit entènèt VirusTotal soti nan Ongri. Lè sa a, dosye a te detekte kòm move pa sèlman de motè antivirus - BitDefender ak AVIRA. Men ki jan istwa Duqu la te kòmanse. Gade pi devan, li dwe di ke fanmi an malveyan Duqu te rele apre non an nan dosye sa a. Sepandan, fichye sa a se yon modil espyon konplètman endepandan ak fonksyon kelogger, enstale, pwobableman, lè l sèvi avèk yon move downloader-gouttes, epi li ka sèlman konsidere kòm yon "chaj" chaje pa malveyan an Duqu pandan operasyon li yo, epi yo pa kòm yon eleman ( modil) nan Duqu . Youn nan eleman Duqu yo te voye bay sèvis Virustotal sèlman nan dat 9 septanm. Karakteristik diferan li se yon chofè ki siyen dijitalman pa C-Media. Gen kèk ekspè imedyatman te kòmanse trase analoji ak yon lòt egzanp pi popilè nan malveyan - Stuxnet, ki te itilize tou chofè siyen. Kantite total òdinatè ki enfekte ak Duqu detekte pa plizyè konpayi antivirus atravè mond lan se nan plizyè douzèn yo. Anpil konpayi reklame ke Iran se ankò sib prensipal la, men jije pa distribisyon jeyografik enfeksyon, sa a pa ka di pou asire w.
Duqu - move poupe nidifikasyon
Nan ka sa a, ou ta dwe konfyans pale sèlman sou yon lòt konpayi ak yon mo newfangled APT (avanse menas ki pèsistan).

Pwosedi aplikasyon sistèm lan

Yon envestigasyon espesyalis nan òganizasyon Ongwa CrySyS (laboratwa kriptografik ak sekirite sistèm nan Budapest University of Teknoloji ak Ekonomi) te mennen nan dekouvèt enstalatè a (gouttes) nan ki sistèm nan te enfekte. Se te yon dosye Microsoft Word ak yon eksplwatasyon pou vilnerabilite chofè win32k.sys (MS11-087, ki dekri pa Microsoft nan dat 13 novanm 2011), ki responsab pou mekanis rann TTF font. Shellcode exploit a sèvi ak yon font ki rele 'Dexter Regular' entegre nan dokiman an, ak Showtime Inc. ki nan lis kòm kreyatè font la. Kòm ou ka wè, créateur yo nan Duqu yo pa etranje nan yon sans de imè: Dexter se yon asasen seri, ewo nan seri televizyon an menm non yo, ki te pwodwi pa Showtime. Dexter touye sèlman (si sa posib) kriminèl, se sa ki, li vyole lwa a nan non legalite. Pwobableman, nan fason sa a, devlopè yo Duqu yo ironik ke yo angaje yo nan aktivite ilegal pou bon rezon. Voye imèl yo te fè espre. Kagezon an gen plis chans itilize òdinatè konpwomèt (rache) kòm yon entèmedyè pou fè swivi difisil.
Dokiman Word la gen ladann eleman sa yo:

  • kontni tèks;
  • bati-an font;
  • eksplwate shellcode;
  • chofè;
  • enstale (bibliotèk DLL).

Si yo reyisi, shellcode exploit la fè operasyon sa yo (nan mòd nwayo):

  • yo te fè yon chèk pou re-enfeksyon;pou sa, prezans nan 'CF4D' kle a te tcheke nan rejis la nan adrès 'HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZones1';si sa a te kòrèk, shellcode a fini ekzekisyon li;
  • de dosye yo te dechifre - chofè a (sys) ak enstale a (dll);
  • chofè a te enjekte nan pwosesis services.exe ak te lanse enstale a;
  • Finalman, shellcode a efase tèt li ak zewo nan memwa.

Akòz lefèt ke win32k.sys egzekite anba 'Sistèm' itilizatè privilejye yo, devlopè Duqu yo te elegant rezoud pwoblèm nan tou de lansman san otorizasyon ak eskalasyon nan dwa (kouri anba yon kont itilizatè ki gen dwa limite).
Apre li fin resevwa kontwòl, enstalatè a dekripte twa blòk done ki genyen ladan l nan memwa, ki gen ladan:

  • chofè ki siyen (sys);
  • modil prensipal (dll);
  • Done konfigirasyon enstale (pnf).

Yo te espesifye yon seri dat nan done konfigirasyon enstale a (nan fòm de timestamps - kòmanse ak fen). Enstalatè a tcheke si dat aktyèl la te enkli ladan l, e si se pa sa, li te konplete ekzekisyon li. Epitou nan done yo konfigirasyon enstale yo te non yo anba ki chofè a ak modil prensipal yo te sove. Nan ka sa a, modil prensipal la te sove sou disk nan fòm chiffres.

Duqu - move poupe nidifikasyon

Pou autostart Duqu, yo te kreye yon sèvis lè l sèvi avèk yon dosye chofè ki dekripte modil prensipal la sou vole lè l sèvi avèk kle ki estoke nan rejis la. Modil prensipal la gen pwòp blòk done konfigirasyon li yo. Lè premye te lanse, li te dechifre, dat enstalasyon an te antre nan li, apre sa li te chiffres ankò epi sove pa modil prensipal la. Kidonk, nan sistèm ki afekte a, apre enstalasyon siksè, twa fichye yo te sove - chofè a, modil prensipal la ak fichye done konfigirasyon li yo, pandan y ap de dènye fichye yo estoke sou disk nan fòm chiffres. Tout pwosedi dekodaj yo te pote soti sèlman nan memwa. Pwosedi enstalasyon konplèks sa a te itilize pou minimize posiblite pou deteksyon lojisyèl antivirus.

Modil prensipal la

Modil prensipal (resous 302), selon enfòmasyon konpayi Kaspersky Lab, ekri lè l sèvi avèk MSVC 2008 nan pi C, men lè l sèvi avèk yon apwòch objè-oryante. Apwòch sa a pa karakteristik lè w ap devlope kòd move. Kòm yon règ, kòd sa yo ekri nan C pou diminye gwosè a epi debarase m de apèl yo implicite nannan nan C++. Gen yon senbyotik sèten isit la. Anplis de sa, yo te itilize yon achitekti evènman kondwi. Anplwaye Kaspersky Lab yo enkline teyori ke modil prensipal la te ekri lè l sèvi avèk yon adisyon pre-prosesè ki pèmèt ou ekri kòd C nan yon style objè.
Modil prensipal la responsab pou pwosedi pou resevwa kòmandman nan men operatè yo. Duqu bay plizyè metòd entèraksyon: lè l sèvi avèk HTTP ak HTTPS pwotokòl, osi byen ke lè l sèvi avèk non tiyo. Pou HTTP(S), yo te espesifye non domèn sant kòmand, epi yo te bay kapasite pou travay atravè yon sèvè proxy - yo te espesifye yon non itilizatè ak yon modpas. Adrès IP ak non li yo espesifye pou kanal la. Done espesifye yo estoke nan blòk done konfigirasyon modil prensipal la (nan fòm chiffres).
Pou itilize tiyo nonmen, nou te lanse pwòp aplikasyon sèvè RPC nou an. Li sipòte sèt fonksyon sa yo:

  • retounen vèsyon enstale a;
  • enjekte yon dll nan pwosesis espesifye a epi rele fonksyon espesifye a;
  • chaje dll;
  • kòmanse yon pwosesis lè w rele CreateProcess();
  • li sa ki nan yon dosye bay;
  • ekri done nan dosye a espesifye;
  • efase fichye a espesifye.

Yo ka itilize tiyo ki gen non yo nan yon rezo lokal pou distribye modil ajou ak done konfigirasyon ant òdinatè ki enfekte ak Duqu. Anplis de sa, Duqu te kapab aji kòm yon sèvè proxy pou lòt òdinatè ki enfekte (ki pa t gen aksè a Entènèt akòz paramèt pare-feu sou pòtay la). Gen kèk vèsyon nan Duqu pa t 'gen fonksyonalite RPC.

Li te ye "chaj"

Symantec te dekouvri omwen kat kalite chaj ki telechaje anba lòd nan sant kontwòl Duqu la.
Anplis, sèlman youn nan yo te rezidan ak konpile kòm yon dosye ègzèkutabl (egzekutabl), ki te sove sou disk. Twa rès yo te aplike kòm bibliyotèk dll. Yo te chaje dinamik epi egzekite nan memwa san yo pa sove sou disk.

"Chaj" rezidan an se te yon modil espyon (infostealer) ak fonksyon kelodje. Se lè yo voye li bay VirusTotal ke travay la sou rechèch Duqu te kòmanse. Fonksyonalite espyon prensipal la te nan resous la, premye 8 kilookte yo ki te genyen yon pati nan yon foto galaksi NGC 6745 (pou kamouflaj). Li ta dwe sonje isit la ke nan mwa avril 2012, kèk medya pibliye enfòmasyon (http://www.mehrnews.com/en/newsdetail.aspx?NewsID=1297506) ke Iran te ekspoze a kèk lojisyèl move "Stars", pandan y ap detay sou ensidan an pa te divilge. Petèt li te jis tankou yon echantiyon nan "chaj la" Duqu ki te dekouvri Lè sa a, nan Iran, pakonsekan non "Stars yo".
Modil espyon an kolekte enfòmasyon sa yo:

  • lis pwosesis kouri, enfòmasyon sou itilizatè aktyèl la ak domèn;
  • lis kondui ki lojik, ki gen ladan kondui rezo;
  • Ekran;
  • adrès koòdone rezo, tab routage;
  • dosye log nan klavye frap;
  • non fenèt aplikasyon ouvè;
  • lis resous rezo ki disponib (resous pataje);
  • yon lis konplè dosye sou tout disk, ki gen ladan yo detachable;
  • yon lis òdinatè nan "anviwònman rezo a".

Yon lòt modil espyon (infostealer) se te yon varyasyon de sa ki te deja dekri, men konpile kòm yon bibliyotèk dll; fonksyon yo nan yon keylogger, konpile yon lis dosye ak lis òdinatè ki enkli nan domèn nan yo te retire nan li.
Modil pwochen (rekonesans) enfòmasyon sistèm kolekte:

  • si òdinatè a fè pati yon domèn;
  • chemen anyè sistèm Windows;
  • vèsyon sistèm operasyon;
  • non itilizatè aktyèl la;
  • lis adaptè rezo;
  • sistèm ak lè lokal, osi byen ke zòn tan.

Dènye modil (prolonger lavi) aplike yon fonksyon pou ogmante valè (ki estoke nan fichye done konfigirasyon modil prensipal la) kantite jou ki rete jiskaske travay la fini. Pa default, valè sa a te fikse sou 30 oswa 36 jou depann sou modifikasyon Duqu la, epi diminye pa youn chak jou.

Sant kòmand yo

Nan dat 20 oktòb 2011 (twa jou apre enfòmasyon sou dekouvèt la te gaye), operatè Duqu te fè yon pwosedi pou detwi tras fonksyonman sant kòmand yo. Sant kòmand yo te chita sou sèvè rache atravè mond lan - nan Vyetnam, peyi Zend, Almay, Singapore, Swis, Grann Bretay, Oland, ak Kore di sid. Enteresan, tout sèvè idantifye yo te kouri CentOS vèsyon 5.2, 5.4 oswa 5.5. OS yo te tou de 32-bit ak 64-bit. Malgre lefèt ke tout fichye ki gen rapò ak operasyon sant kòmand yo te efase, espesyalis Kaspersky Lab yo te kapab refè kèk nan enfòmasyon ki soti nan dosye LOG nan espas slack. Reyalite ki pi enteresan an se ke atakè sou sèvè toujou ranplase pakè default OpenSSH 4.3 la ak vèsyon 5.8. Sa a ka endike ke yo te itilize yon vilnerabilite enkoni nan OpenSSH 4.3 pou pirate sèvè yo. Se pa tout sistèm yo te itilize kòm sant kòmand. Gen kèk, jije pa erè yo nan mòso bwa yo sshd lè yo ap eseye redireksyon trafik pou pò 80 ak 443, yo te itilize kòm yon sèvè prokurasyon konekte nan sant yo lòd fen.

Dat ak modil

Yon dokiman Word te distribye nan mwa avril 2011, ki te egzamine pa Kaspersky Lab, te genyen yon chofè telechaje enstalatè ak yon dat konpilasyon 31 out 2007. Yon chofè ki sanble (gwosè - 20608 bytes, MD5 - EEDCA45BD613E0D9A9E5C69122007F17) nan yon dokiman yo te jwenn nan laboratwa CrySys te gen yon dat konpilasyon 21 fevriye 2008. Anplis de sa, ekspè Kaspersky Lab te jwenn chofè autorun rndismpc.sys (gwosè - 19968 bytes, MD5 - 9AEC6E10C5EE9C05BED93221544C783E) ak dat 20 janvye 2008. Yo pa jwenn okenn eleman ki make 2009. Ki baze sou timestamps yo nan konpilasyon pati endividyèl nan Duqu, devlopman li yo ta ka tounen nan kòmansman ane 2007. Manifestasyon pi bonè li asosye ak deteksyon dosye tanporè ki kalite ~DO (pwobableman kreye pa youn nan modil espyon yo), dat kreyasyon an se 28 novanm 2008 (atik "Duqu & Stuxnet: Yon Timeline nan evènman enteresan"). Dat ki pi resan ki asosye ak Duqu se te 23 fevriye 2012, ki nan yon chofè telechaje enstalatè Symantec te dekouvri nan mwa mas 2012.

Sous enfòmasyon yo itilize:

seri atik sou Duqu soti nan Kaspersky Lab;
Symantec rapò analitik "W32.Duqu Précurseur nan pwochen Stuxnet la", vèsyon 1.4, Novanm 2011 (pdf).

Sous: www.habr.com

Add nouvo kòmantè