Okwu Mmalite
Na Septemba 1, 2011, ezigara faịlụ aha ya bụ ~DN1.tmp na webụsaịtị VirusTotal sitere na Hungary. N'oge ahụ, achọpụtara faịlụ ahụ dị ka ihe ọjọọ site na naanị engines abụọ antivirus - BitDefender na AVIRA. Otu a ka akụkọ Duqu siri malite. N'ile anya n'ihu, a ghaghị ikwu na ezinụlọ Duqu malware ka aha ya bụ aha faịlụ a. Otú ọ dị, faịlụ a bụ modul spyware zuru oke nke nwere ọrụ keylogger, arụnyere, ma eleghị anya, na-eji ihe nbudata-dropper ọjọọ, ma enwere ike iwere ya dị ka "ụgwọ ịkwụ ụgwọ" nke Duqu malware na-ebu n'oge ọrụ ya, ọ bụghị dị ka akụrụngwa ( modul) nke Duqu . E zigara otu akụkụ Duqu na ọrụ Virustotal naanị na Septemba 9. Ihe pụrụ iche ya bụ ọkwọ ụgbọ ala nke C-Media bịanyere aka na ya n'ụdị dijitalụ. Ụfọdụ ndị ọkachamara malitere ozugbo iji ihe atụ malware a ma ama - Stuxnet, nke jikwa ndị ọkwọ ụgbọala bịanyere aka n'akwụkwọ. Ngụkọta ọnụ ọgụgụ nke kọmputa Duqu bu ọrịa nke ụlọ ọrụ antivirus dị iche iche na-ahụ gburugburu ụwa dị n'ọtụtụ iri. Ọtụtụ ụlọ ọrụ na-ekwu na Iran bụ isi ebumnuche ọzọ, mana na-ekpe ikpe site na nkesa mpaghara nke ọrịa, enweghị ike ikwu nke a n'ezie.
N'okwu a, ịkwesịrị iji obi ike kwuo okwu naanị banyere ụlọ ọrụ ọzọ nwere okwu ọhụrụ (ihe iyi egwu na-adịgide adịgide).
Usoro mmejuputa usoro
Nnyocha nke ndị ọkachamara sitere na ụlọ ọrụ Hungarian CrySyS (Hungarian Laboratory of Cryptography and System Security na Budapest University of Technology and Economics) mere ka a chọpụta onye installer (dropper) nke sitere na usoro ahụ. Ọ bụ faịlụ Microsoft Okwu nwere nrigbu maka adịghị ike ọkwọ ụgbọ ala win32k.sys (MS11-087, nke Microsoft kọwara na Nọvemba 13, 2011), bụ onye na-ahụ maka usoro ntụgharị font TTF. Koodu shei nke irigbu na-eji mkpụrụedemede akpọrọ 'Dexter Regular' agbakwunyere n'ime akwụkwọ ahụ, yana Showtime Inc. edepụtara dị ka onye mepụtara font ahụ. Dị ka ị na-ahụ, ndị okike nke Duqu abụghị ndị bịara abịa n'echiche nke ọchị: Dexter bụ onye na-egbu egbu, dike nke usoro telivishọn nke otu aha, nke Showtime mepụtara. Dexter na-egbu naanị (ma ọ bụrụ na o kwere omume) ndị omempụ, ya bụ, ọ na-emebi iwu n'aha iwu. Ma eleghị anya, n'ụzọ dị otú a, ndị na-emepụta Duqu na-atụ egwu na ha na-etinye aka na ihe omume iwu na-akwadoghị maka ezi nzube. E mere ebumnuche izipu ozi-e. O yikarịrị ka mbupu a na-eji kọmpụta ndị mebiri emebi (hacked) dị ka onye na-emekọrịta ihe iji mee ka nchuso siri ike.
Akwụkwọ Okwu ahụ nwere ihe ndị a:
- ọdịnaya ederede;
- ederede arụnyere n'ime ya;
- na-erigbu shellcode;
- ọkwọ ụgbọ ala;
- installer (ọbá akwụkwọ DLL).
Ọ bụrụ na ọ gara nke ọma, koodu nrigbu ahụ rụrụ ọrụ ndị a (na ọnọdụ kernel):
- производилась проверка на повторное заражение, для этого в реестре по адресу ‘HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZones4’ проверялось наличие ключа ‘CF1D’, если это было верно, шелкод завершал свое выполнение;
- E debere faịlụ abụọ - onye ọkwọ ụgbọ ala (sys) na onye nrụnye (dll);
- etinyere onye ọkwọ ụgbọ ala n'ime usoro ọrụ.exe wee malite ihe nrụnye;
- N'ikpeazụ, shellcode kpochapụrụ onwe ya na efu na ebe nchekwa.
N'ihi na a na-egbu win32k.sys n'okpuru onye ọrụ nwere 'System', ndị mmepe Duqu ejirila nke ọma dozie nsogbu nke mbido na-enweghị ikike na mmụba nke ikike (na-agba ọsọ n'okpuru akaụntụ onye ọrụ nwere oke ikike).
Mgbe ọ nwetasịrị njikwa, installer decrypter atọ blocks data dị na ebe nchekwa, nwere:
- ọkwọ ụgbọ ala bịanyere aka na ya (sys);
- isi modul (dll);
- data nhazi installer (pnf).
A kọwapụtara oke ụbọchị na data nhazi installer (n'ụdị timestamps abụọ - mmalite na njedebe). Onye nrụnye ahụ lere anya ma etinyere ụbọchị dị ugbu a na ya, ma ọ bụrụ na ọ bụghị, ọ mechachara. Ọzọkwa na data nhazi installer bụ aha nke echekwara ọkwọ ụgbọala na modul isi. N'okwu a, echekwara modul isi na diski n'ụdị ezoro ezo.
Iji malite Duqu autostart, a na-emepụta ọrụ site na iji faịlụ ọkwọ ụgbọ ala nke decrypter modul na ofufe site na iji igodo echekwara na ndekọ. Isi modul nwere ngọngọ data nhazi ya. Mgbe mbụ ewepụtara ya, e decrypted ya, etinyere ụbọchị nrụnye n'ime ya, mgbe nke ahụ gasịrị, ezoro ezo ya ọzọ wee chekwaa ya site na isi modul. Ya mere, n'ime usoro emetụtara, mgbe ntinye nke ọma, echekwara faịlụ atọ - onye ọkwọ ụgbọ ala, isi modul na faịlụ data nhazi ya, na faịlụ abụọ ikpeazụ echekwara na diski n'ụdị ezoro ezo. Emere usoro ngbanwe niile naanị na ebe nchekwa. Ejiri usoro nrụnye mgbagwoju anya a belata ohere nke ịchọpụta site na ngwanrọ antivirus.
Isi modul
Isi modul (akụrụngwa 302), dịka ụlọ ọrụ Kaspersky Lab, nke e dere site na iji MSVC 2008 na C dị ọcha, mana iji ụzọ gbadoro anya ihe. Ụzọ a adịghị mma mgbe ị na-emepụta koodu ọjọọ. Dị ka a na-achị, a na-ede koodu dị otú ahụ na C iji belata nha ma wepụ oku na-enweghị isi dị na C ++. Enwere ụfọdụ symbiosis ebe a. Ọzọkwa, a na-eji ihe owuwu ihe omume mere eme. Ndị ọrụ Kaspersky Lab na-enwe mmasị na tiori na e dere modul bụ isi site na iji ihe mgbakwunye pre-processor nke na-enye gị ohere ide koodu C n'ụdị ihe.
Isi modul bụ maka usoro ịnata iwu sitere n'aka ndị ọrụ. Duqu na-enye ọtụtụ ụzọ mmekọrịta: iji HTTP na HTTPS protocol, yana iji ọkpọkọ akpọrọ. Maka HTTP(S), aha ngalaba nke ebe iwu akọwapụtara, yana ikike ịrụ ọrụ site na ihe nkesa proxy - akọwapụtara aha njirimara na paswọọdụ maka ha. A kọwapụtara adreesị IP na aha ya maka ọwa ahụ. A na-echekwa data akọwapụtara na ngọngọ data nhazi modul (n'ụdị ezoro ezo).
Iji jiri ọkpọkọ akpọrọ, anyị wepụtara mmejuputa ihe nkesa RPC nke anyị. Ọ kwadoro ọrụ asaa ndị a:
- weghachite ụdị arụnyere;
- tinye dll n'ime usoro akọwapụtara ma kpọọ ọrụ akọwapụtara;
- tinye dll;
- malite usoro site na ịkpọ CreateProcess ();
- gụọ ọdịnaya nke faịlụ enyere;
- dee data na faịlụ akọwapụtara;
- hichapụ faịlụ akọwapụtara.
Enwere ike iji ọkpọkọ akpọrọ aha n'ime netwọkụ mpaghara iji kesaa modul emelitere yana data nhazi n'etiti kọmputa Duqu bu ọrịa. Na mgbakwunye, Duqu nwere ike rụọ ọrụ dị ka ihe nkesa proxy maka kọmputa ndị ọzọ butere ọrịa (nke na-enweghị ịntanetị n'ihi ntọala firewall na ọnụ ụzọ ámá). Ụfọdụ ụdị Duqu enweghị ọrụ RPC.
Amara "ibu ibu"
Symantec chọtara opekata mpe ụdị akwụ ụgwọ anọ ebudatara n'okpuru iwu sitere na ebe njikwa Duqu.
Ọzọkwa, ọ bụ naanị otu n'ime ha bi ma chịkọta ya dị ka faịlụ executable (exe), nke echekwara na diski. Emebere atọ ndị fọdụrụ ka dll ọba akwụkwọ. A na-ebunye ha ngwa ngwa ma gbuo ha na ebe nchekwa na-enweghị echekwara na diski.
Onye bi na "ụgwọ ịkwụ ụgwọ" bụ modul nledo (infostealer) na ọrụ keylogger. Ọ bụ site na izipu ya na VirusTotal ka ọrụ na nyocha Duqu malitere. Ọrụ nledo bụ isi bụ na akụrụngwa, 8 kilobytes mbụ nke nwere akụkụ nke foto nke galaxy NGC 6745 (maka igwefoto). Ekwesịrị icheta ebe a na n'April 2012, ụfọdụ mgbasa ozi bipụtara ozi (http://www.mehrnews.com/en/newsdetail.aspx?NewsID=1297506) na Iran kpugheere ụfọdụ ngwanrọ ọjọọ "Stars", ebe nkọwa nke ekwuputaghi ihe merenụ. Ikekwe ọ bụ naanị ụdị ụdị Duqu "ụgwọ ọrụ" nke a chọtara n'oge ahụ na Iran, ya mere aha ya bụ "Stars".
Modul spy ahụ chịkọtara ozi ndị a:
- ndepụta nke usoro na-agba ọsọ, ozi gbasara onye ọrụ na ngalaba ugbu a;
- ndepụta nke draịva ezi uche dị na ya, gụnyere draịva netwọk;
- nseta ihuenyo;
- adreesị ntanetị netwọkụ, tebụl ntụgharị;
- log faịlụ nke igodo mkpirisi ahụ;
- aha nke windo ngwa mepere emepe;
- ndepụta nke akụrụngwa netwọk dị (nkekọrịta ihe onwunwe);
- ndepụta faịlụ zuru oke na diski niile, gụnyere nke mbughari;
- ndepụta nke kọmputa na "netwọk gburugburu ebe obibi".
Modul spy ọzọ (infostealer) bụ mgbanwe nke ihe akọwarala, mana achịkọtara ya dị ka ọba akwụkwọ dll;
modul na-esote (nyocha) ozi usoro anakọtara:
- ma kọmputa bụ akụkụ nke ngalaba;
- пути к системным каталогам Windows;
- ụdị sistemụ arụmọrụ;
- aha njirimara ugbu a;
- ndepụta nke nkwụnye netwọk;
- usoro na oge mpaghara, yana mpaghara oge.
Modul ikpeazụ (ogologo ndụ extender) emejuputa atumatu iji bulie uru (echekwara na faịlụ nhazi nhazi modul) nke ọnụọgụ ụbọchị fọdụrụ ruo mgbe arụchara ọrụ ahụ. Site na ndabara, atọrọ uru a ka ọ bụrụ ụbọchị 30 ma ọ bụ 36 dabere na mgbanwe Duqu, wee belata otu ụbọchị kwa ụbọchị.
Ụlọ ọrụ iwu
20 октября 2011 года (спустя три дня после распространения информации об обнаружении) операторы Duqu провели процедуру уничтожения следов функционирования командных центров. Командные центры размещались на взломаных серверах по всему миру — во Вьетнаме, Индии, Германии, Сингапуре, Швейцарии, Великобритании, Голландии, Южной Корее. Интересно, что все выявленные сервера работали под управлением ОС CentOS версий 5.2, 5.4 или 5.5. ОС были как 32-битными, так и 64-битными. Несмотря на то, что все файлы, касающиеся работы командных центров, были удалены, специалистам Kaspersky Lab удалось восстановить часть информации LOG файлов из slack space. Наиболее интересный факт, что злоумышленники на серверах всегда заменяли пакет OpenSSH 4.3, установленный по умолчанию, на версию 5.8. Это может указывать на использование для взлома серверов неизвестной уязвимости в OpenSSH 4.3. Не все системы использовались в качестве командных центров. Некоторые, судя по ошибкам в логах sshd при попытках перенаправления трафика для портов 80 и 443, использовались в качестве прокси-сервера для соединения с конечными командными центрами.
Ụbọchị na modul
Akwụkwọ Okwu ekesara n'April 2011, nke Kaspersky Lab nyochara, nwere onye ọkwọ ụgbọ ala nbudata installer nwere ụbọchị chịkọtara nke August 31, 2007. Onye ọkwọ ụgbọ ala yiri nke ahụ (nha - 20608 bytes, MD5 - EEDCA45BD613E0D9A9E5C69122007F17) n'ime akwụkwọ achọtara na ụlọ nyocha CrySys nwere ụbọchị nchịkọta nke February 21, 2008. Na mgbakwunye, ndị ọkachamara Kaspersky Lab chọtara autorun ọkwọ ụgbọ ala rndismpc.sys (nha - 19968 bytes, MD5 - 9AEC6E10C5EE9C05BED93221544C783E) na ụbọchị Jenụwarị 20, 2008. Ọ nweghị akụrụngwa akara 2009 ahụghị. Dabere na akara oge nke mkpokọta akụkụ Duqu n'otu n'otu, mmepe ya nwere ike ịmalite na mbido 2007. Ngosipụta mbụ ya jikọtara ya na nchọpụta nke faịlụ nwa oge nke ụdị ~ DO (ma eleghị anya nke otu n'ime modul spyware kere), ụbọchị okike ya bụ Nọvemba 28, 2008. "Duqu & Stuxnet: Usoro iheomume nke ihe omume na-atọ ụtọ"). Ụbọchị kacha ọhụrụ metụtara Duqu bụ Febrụwarị 23, 2012, dị n'ime onye ọkwọ ụgbọ ala nbudata nke Symantec chọtara na Maachị 2012.
Isi mmalite ozi ejiri:
banyere Duqu si Kaspersky Lab;
Akụkọ nyocha Symantec , ụdị 1.4, Nọvemba 2011 (pdf).
isi: www.habr.com
