ProHoster > Blog > netfréttir > Duqu - illgjarn hreiðurdúkka

Duqu - illgjarn hreiðurdúkka

Inngangur

Þann 1. september 2011 var skrá sem heitir ~DN1.tmp send á VirusTotal vefsíðuna frá Ungverjalandi. Á þeim tíma fannst skráin illgjarn af aðeins tveimur vírusvarnarvélum - BitDefender og AVIRA. Svona byrjaði sagan um Duqu. Þegar horft er fram á veginn verður að segjast að Duqu malware fjölskyldan var nefnd eftir nafni þessarar skráar. Hins vegar er þessi skrá algjörlega óháð njósnahugbúnaðareining með keylogger-aðgerðum, sennilega uppsett með illgjarnan niðurhalsdropa, og er aðeins hægt að líta á hana sem „hlaðborð“ sem Duqu spilliforritið hleður upp á meðan á notkun þess stendur, en ekki sem hluti ( mát) af Duqu . Einn af Duqu íhlutunum var sendur til Virustotal þjónustunnar aðeins 9. september. Sérkenni þess er bílstjóri stafrænt undirritaður af C-Media. Sumir sérfræðingar fóru strax að draga upp hliðstæður við annað frægt dæmi um spilliforrit - Stuxnet, sem notaði einnig undirritaða rekla. Heildarfjöldi Duqu-sýktra tölva sem greindust af ýmsum vírusvarnarfyrirtækjum um allan heim er á annan tug. Mörg fyrirtæki halda því fram að Íran sé aftur aðal skotmarkið, en miðað við landfræðilega dreifingu sýkinga er ekki hægt að fullyrða það með vissu.
Duqu - illgjarn hreiðurdúkka
Í þessu tilviki ættir þú að tala aðeins um annað fyrirtæki með nýmóðins orði APT (háþróuð viðvarandi ógn).

Verklag við innleiðingu kerfis

Rannsókn sem gerð var af sérfræðingum frá ungversku stofnuninni CrySyS (Hungarian Laboratory of Cryptography and System Security at the Budapest University of Technology and Economics) leiddi til þess að uppsetningarforritið (droparinn) sem kerfið var sýkt í gegnum fannst. Þetta var Microsoft Word skrá með hagnýtingu fyrir win32k.sys ökumannsveikleika (MS11-087, lýst af Microsoft 13. nóvember 2011), sem ber ábyrgð á TTF leturgerð. Skeljakóði nýtingarvaldsins notar leturgerð sem kallast 'Dexter Regular' sem er fellt inn í skjalið, þar sem Showtime Inc. er skráð sem höfundur letursins. Eins og þú sérð eru höfundar Duqu ekki ókunnugir húmor: Dexter er raðmorðingi, hetjan í samnefndri sjónvarpsþáttaröð, framleidd af Showtime. Dexter drepur aðeins (ef hægt er) glæpamenn, það er að segja hann brýtur lög í nafni lögmætis. Sennilega, á þennan hátt, eru Duqu verktaki kaldhæðnisleg að þeir stunda ólöglega starfsemi í góðum tilgangi. Sending tölvupósta var unnin með markvissum hætti. Sendingin notaði líklegast tölvur sem voru í hættu (tölvur sem tölvusnápur) sem milliliður til að gera mælingar erfiðar.
Word skjalið innihélt því eftirfarandi hluti:

  • innihald texta;
  • innbyggt leturgerð;
  • nýta skelkóða;
  • bílstjóri;
  • uppsetningarforrit (DLL bókasafn).

Ef vel heppnaðist, framkvæmdi nýtingarskeljakóði eftirfarandi aðgerðir (í kjarnaham):

  • athugað var með tilliti til endursýkingar; fyrir þetta var tilvist „CF4D“ lykilsins athugað í skránni á heimilisfanginu „HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZones1“; ef þetta var rétt, kláraði skelkóðinn keyrslu sína;
  • tvær skrár voru afkóðaðar - ökumaðurinn (sys) og uppsetningarforritið (dll);
  • bílstjórinn var sprautaður inn í services.exe ferlið og ræsti uppsetningarforritið;
  • Að lokum þurrkaði skelkóðinn út sjálfan sig með núllum í minni.

Vegna þeirrar staðreyndar að win32k.sys er keyrt undir forréttinda notandanum 'System', hafa Duqu forritararnir leyst vandann á glæsilegan hátt bæði óviðkomandi ræsingu og aukningu réttinda (keyrandi undir notandareikningi með takmörkuðum réttindum).
Eftir að hafa fengið stjórn, afkóðaði uppsetningarforritið þrjá gagnablokka sem eru í því í minni, sem innihéldu:

  • undirritaður bílstjóri (sys);
  • aðaleining (dll);
  • uppsetningaruppsetningargögn (pnf).

Dagsetningarbil var tilgreint í uppsetningargögnum uppsetningarforritsins (í formi tveggja tímastimpla - upphaf og endir). Uppsetningarforritið athugaði hvort núverandi dagsetning væri innifalin í því, og ef ekki, kláraði það framkvæmd sína. Einnig í uppsetningargögnum voru nöfnin sem ökumaðurinn og aðaleiningin voru vistuð undir. Í þessu tilviki var aðaleiningin vistuð á disknum á dulkóðuðu formi.

Duqu - illgjarn hreiðurdúkka

Til að ræsa Duqu sjálfkrafa var þjónusta búin til með því að nota ökumannsskrá sem afkóðaði aðaleininguna á flugi með því að nota lykla sem geymdir eru í skránni. Aðaleiningin inniheldur sína eigin stillingargagnablokk. Þegar það var opnað fyrst var það afkóðað, uppsetningardagsetningin var færð inn í það, eftir það var það dulkóðað aftur og vistað af aðaleiningunni. Þannig, í viðkomandi kerfi, eftir vel heppnaða uppsetningu, voru þrjár skrár vistaðar - ökumaðurinn, aðaleiningin og stillingargagnaskrá hennar, en síðustu tvær skrárnar voru geymdar á disknum í dulkóðuðu formi. Allar afkóðunaraðferðir voru aðeins gerðar í minni. Þetta flókna uppsetningarferli var notað til að lágmarka möguleika á uppgötvun með vírusvarnarhugbúnaði.

Aðaleiningin

Aðaleining (heimild 302), skv upplýsingar fyrirtæki Kaspersky Lab, skrifað með MSVC 2008 í hreinu C, en með hlutbundinni nálgun. Þessi nálgun er óeinkennandi þegar verið er að þróa illgjarn kóða. Að jafnaði er slíkur kóði skrifaður í C ​​til að minnka stærðina og losna við óbein símtöl sem felast í C++. Hér er ákveðið sambýli. Auk þess var notaður atburðadrifinn arkitektúr. Starfsmenn Kaspersky Lab hallast að þeirri kenningu að aðaleiningin hafi verið skrifuð með forvinnsluviðbót sem gerir þér kleift að skrifa C kóða í hlutstíl.
Aðaleiningin ber ábyrgð á ferlinu við móttöku skipana frá rekstraraðilum. Duqu býður upp á nokkrar aðferðir við samskipti: að nota HTTP og HTTPS samskiptareglur, auk þess að nota nafngreindar pípur. Fyrir HTTP(S) voru lénsheiti stjórnstöðva tilgreind og getu til að vinna í gegnum proxy-þjón - notandanafn og lykilorð voru tilgreind fyrir þau. IP tölu og nafn hennar eru tilgreind fyrir rásina. Tilgreind gögn eru geymd í aðaleiningauppsetningargagnablokkinni (í dulkóðuðu formi).
Til að nota nafngreindar pípur settum við af stað okkar eigin RPC netþjónsútfærslu. Það styður eftirfarandi sjö aðgerðir:

  • skila uppsettu útgáfunni;
  • sprautaðu dll í tilgreint ferli og hringdu í tilgreinda aðgerð;
  • hlaða dll;
  • byrjaðu ferli með því að kalla CreateProcess();
  • lesa innihald tiltekinnar skráar;
  • skrifa gögn í tilgreinda skrá;
  • eyða tilgreindri skrá.

Hægt væri að nota nafngreindar pípur innan staðarnets til að dreifa uppfærðum einingum og stillingargögnum á milli Duqu-sýktra tölva. Að auki gæti Duqu virkað sem proxy-þjónn fyrir aðrar sýktar tölvur (sem höfðu ekki aðgang að internetinu vegna eldveggsstillinga á gáttinni). Sumar útgáfur af Duqu voru ekki með RPC virkni.

Þekktur „burðarhleðsla“

Symantec uppgötvaði að minnsta kosti fjórar tegundir af hleðslu sem hlaðið var niður undir stjórn frá Duqu stjórnstöðinni.
Þar að auki var aðeins ein þeirra búsett og sett saman sem keyrsluskrá (exe), sem var vistuð á disk. Hinar þrjár voru útfærðar sem dll bókasöfn. Þær voru hlaðnar á kraftmikinn hátt og keyrðar í minni án þess að vera vistaðar á disk.

Íbúa "burðargetan" var njósnaeining (upplýsingaþjófur) með keylogger aðgerðum. Það var með því að senda það til VirusTotal sem vinnan við Duqu rannsóknir hófst. Helsta njósnavirknin var í auðlindinni, fyrstu 8 kílóbæti hennar innihéldu hluta af mynd af vetrarbrautinni NGC 6745 (fyrir felulitur). Hér skal minnt á að í apríl 2012 birtu nokkrir fjölmiðlar upplýsingar (http://www.mehrnews.com/en/newsdetail.aspx?NewsID=1297506) um að Íranar hafi orðið fyrir skaðlegum hugbúnaði „Stjörnum“ á meðan upplýsingar um atvikið var ekki gefið upp. Kannski var það bara svona sýnishorn af Duqu „burðarhlaðinu“ sem fannst þá í Íran, þess vegna nafnið „Stars“.
Njósnaeiningin safnaði eftirfarandi upplýsingum:

  • listi yfir ferla í gangi, upplýsingar um núverandi notanda og lén;
  • listi yfir rökrétt drif, þar á meðal netdrif;
  • skjáskot;
  • netviðmótsföng, leiðartöflur;
  • log skrá yfir lyklaborðsáslátt;
  • nöfn opinna forritaglugga;
  • listi yfir tiltækar netauðlindir (deila auðlindum);
  • heill listi yfir skrár á öllum diskum, þar á meðal færanlegum;
  • lista yfir tölvur í „netumhverfi“.

Önnur njósnaeining (upplýsingaþjófur) var afbrigði af því sem þegar var lýst, en sett saman sem dll bókasafn; virkni lyklaskrár, að setja saman skrá yfir skrár og skrá tölvur sem eru í léninu voru fjarlægðar úr því.
Næsta eining (könnun) safnaðar kerfisupplýsingar:

  • hvort tölvan sé hluti af léni;
  • slóðir að Windows kerfisskrám;
  • stýrikerfisútgáfa;
  • núverandi notendanafn;
  • listi yfir netkort;
  • kerfi og staðartíma, sem og tímabelti.

Síðasta eining (líftímalenging) innleiddi aðgerð til að auka gildi (geymt í grunnstillingargagnaskrá aðaleiningarinnar) fjölda daga sem eftir eru þar til verkinu er lokið. Sjálfgefið var að þetta gildi væri stillt á 30 eða 36 dagar eftir Duqu breytingunni og lækkaði um einn á hverjum degi.

Stjórnstöðvar

Þann 20. október 2011 (þrem dögum eftir að upplýsingum um uppgötvunina var dreift) framkvæmdu rekstraraðilar Duqu aðferð til að eyða ummerkjum um starfsemi stjórnstöðva. Stjórnstöðvar voru staðsettar á tölvuþrjótum netþjónum um allan heim - í Víetnam, Indlandi, Þýskalandi, Singapúr, Sviss, Bretlandi, Hollandi og Suður-Kóreu. Athyglisvert er að allir auðkenndir netþjónar keyrðu CentOS útgáfur 5.2, 5.4 eða 5.5. Stýrikerfin voru bæði 32-bita og 64-bita. Þrátt fyrir að öllum skrám sem tengdust rekstri stjórnstöðva hafi verið eytt, tókst sérfræðingum Kaspersky Lab að endurheimta hluta af upplýsingum úr LOG skrám úr slöku plássi. Áhugaverðasta staðreyndin er sú að árásarmenn á netþjónum skiptu alltaf út sjálfgefna OpenSSH 4.3 pakkanum fyrir útgáfu 5.8. Þetta gæti bent til þess að óþekkt varnarleysi í OpenSSH 4.3 hafi verið notað til að hakka netþjóna. Ekki voru öll kerfi notuð sem stjórnstöðvar. Sumir, að dæma af villunum í sshd-skránum þegar reynt var að beina umferð fyrir höfn 80 og 443, voru notaðir sem proxy-þjónn til að tengjast lokastjórnstöðvunum.

Dagsetningar og einingar

Word skjal sem var dreift í apríl 2011, sem Kaspersky Lab skoðaði, innihélt rekla fyrir niðurhal fyrir uppsetningarforrit með samantektardagsetningu 31. ágúst 2007. Svipaður ökumaður (stærð - 20608 bæti, MD5 - EEDCA45BD613E0D9A9E5C69122007F17) í skjali sem fannst í CrySys rannsóknarstofum átti samantektardag 21. febrúar 2008. Að auki fundu sérfræðingar Kaspersky Lab sjálfvirka keyrslu rndismpc.sys (stærð - 19968 bæti, MD5 - 9AEC6E10C5EE9C05BED93221544C783E) með dagsetningunni 20. janúar 2008. Engir íhlutir merktir 2009 fundust. Byggt á tímastimplum samantektar einstakra hluta Duqu gæti þróun þess verið allt frá byrjun árs 2007. Fyrsta birtingarmynd þess er tengd við uppgötvun tímabundinna skráa af gerðinni ~DO (líklega búin til af einni af njósnahugbúnaðareiningunum), stofndagur þeirra er 28. nóvember 2008 (grein "Duqu & Stuxnet: Tímalína áhugaverðra viðburða"). Nýjasta dagsetningin í tengslum við Duqu var 23. febrúar 2012, innifalinn í niðurhalsrekla fyrir uppsetningarforrit sem Symantec uppgötvaði í mars 2012.

Uppsprettur sem notaðar eru:

greinaröð um Duqu frá Kaspersky Lab;
Symantec greiningarskýrsla "W32.Duqu Forveri næsta Stuxnet", útgáfa 1.4, nóvember 2011 (pdf).

Heimild: www.habr.com

Bæta við athugasemd