Duqu - 悪意のある入れ子人形

導入

1 年 2011 月 1 日、~DN9.tmp という名前のファイルがハンガリーから VirusTotal Web サイトに送信されました。その時点では、このファイルが悪意のあるファイルとして検出されたのは、BitDefender と AVIRA の XNUMX つのウイルス対策エンジンだけでした。こうしてDuquの物語が始まりました。今後のことを考えると、Duqu マルウェア ファミリはこのファイルの名前にちなんで命名されたと言わざるを得ません。ただし、このファイルは、キーロガー機能を備えた完全に独立したスパイウェア モジュールであり、おそらく悪意のあるダウンローダー ドロッパーを使用してインストールされ、Duqu マルウェアが動作中にロードする「ペイロード」としてのみ考えられ、コンポーネントとしては考えられません ( Duqu のモジュール）。 Duqu コンポーネントの XNUMX つは、XNUMX 月 XNUMX 日にのみ Virustotal サービスに送信されました。特徴的なのは、C-Media によってデジタル署名されたドライバーです。一部の専門家はすぐに、別の有名なマルウェアの例である Stuxnet との類似点を描き始めました。Stuxnet も署名付きドライバーを使用していました。世界中のさまざまなウイルス対策会社によって検出された Duqu に感染したコンピューターの総数は数十台です。多くの企業は再びイランが主な標的であると主張しているが、感染の地理的分布から判断すると、これは確実とは言えない。

この場合、自信を持って新しい言葉で他社についてのみ話す必要があります。 APT (高度な持続的脅威)。

システム導入手順

ハンガリーの組織 CrySyS (ブダペスト工科経済大学のハンガリー暗号化およびシステム セキュリティ研究所) の専門家によって行われた調査により、システムが感染したインストーラー (ドロッパー) が発見されました。これは、TTF フォント レンダリング メカニズムの原因となる win32k.sys ドライバーの脆弱性 (MS11-087、13 年 2011 月 XNUMX 日に Microsoft によって説明) を悪用した Microsoft Word ファイルでした。このエクスプロイトのシェルコードでは、ドキュメントに埋め込まれた「Dexter Regular」というフォントが使用されており、フォントの作成者として Showtime Inc. が記載されています。ご覧のとおり、Duqu の制作者はユーモアのセンスに精通しています。デクスターは連続殺人犯であり、Showtime が制作した同名のテレビ シリーズの主人公です。デクスターは（可能であれば）犯罪者だけを殺します。つまり、合法性の名の下に法律を破ります。おそらく、このように、Duqu 開発者は、善意の目的で違法行為に従事していることを皮肉っているのでしょう。電子メールの送信は意図的に行われました。この貨物は、追跡を困難にするために、侵害された (ハッキングされた) コンピューターを仲介として使用した可能性が高くなります。
したがって、Word 文書には次のコンポーネントが含まれていました。

• テキストコンテンツ。
• 内蔵フォント。
• シェルコードを悪用します。
• 運転者;
• インストーラー（DLLライブラリ）。

成功した場合、エクスプロイト シェルコードは次の操作を (カーネル モードで) 実行しました。

• 再感染のチェックが実行されました。このために、アドレス「HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZones4」のレジストリ内のキー「CF1D」の存在がチェックされました。これが正しければ、シェルコードは実行を完了しました。
• ドライバー (sys) とインストーラー (dll) の 2 つのファイルが復号化されました。
• ドライバーが services.exe プロセスに挿入され、インストーラーが起動されました。
• 最後に、シェルコードはメモリ内のゼロを残して自身を消去しました。

win32k.sys は特権ユーザー「システム」に代わって実行されるため、Duqu 開発者は、不正な起動と権限の昇格 (権限が制限されたユーザー アカウントで実行される) の両方の問題を見事に解決しました。
制御を受け取った後、インストーラーはメモリ内に含まれる次の 3 つのデータ ブロックを復号化しました。

• 署名付きドライバー (sys);
• メインモジュール(dll);
• インストーラー構成データ (pnf)。

インストーラー構成データで日付範囲が指定されました (開始と終了の 2 つのタイムスタンプの形式で)。インストーラーは現在の日付が含まれているかどうかを確認し、含まれていない場合は実行を完了しました。インストーラー構成データには、ドライバーとメインモジュールが保存された名前も含まれていました。この場合、メイン モジュールは暗号化された形式でディスクに保存されました。

Duqu を自動起動するために、レジストリに保存されているキーを使用してオンザフライでメイン モジュールを復号化するドライバー ファイルを使用してサービスが作成されました。メイン モジュールには独自の構成データ ブロックが含まれています。最初に起動すると、暗号化が解除され、インストール日が入力され、その後、メイン モジュールによって再度暗号化されて保存されます。したがって、影響を受けるシステムでは、インストールが成功すると、ドライバー、メイン モジュール、およびその構成データ ファイルの 3 つのファイルが保存され、最後の 2 つのファイルは暗号化された形式でディスクに保存されました。すべてのデコード手順はメモリ内でのみ実行されました。この複雑なインストール手順は、ウイルス対策ソフトウェアによる検出の可能性を最小限に抑えるために使用されました。

メインモジュール

メインモジュール (リソース 302)、によると 情報 Kaspersky Lab 社は、純粋な C で MSVC 2008 を使用して書かれていますが、オブジェクト指向のアプローチを使用しています。このアプローチは、悪意のあるコードを開発する場合には特徴的ではありません。原則として、このようなコードは、サイズを削減し、C++ に固有の暗黙的な呼び出しを取り除くために C で記述されます。ここにはある種の共生関係がある。さらに、イベント駆動型のアーキテクチャが使用されました。 Kaspersky Lab の従業員は、メイン モジュールはオブジェクト スタイルで C コードを記述できるプリプロセッサ アドオンを使用して記述されたという説に傾いています。
メインモジュールは、オペレーターからコマンドを受信する手順を担当します。 Duqu は、HTTP および HTTPS プロトコルの使用、名前付きパイプの使用など、いくつかの対話方法を提供します。 HTTP(S) の場合、コマンド センターのドメイン名が指定され、プロキシ サーバーを介して動作する機能が提供され、ユーザー名とパスワードが指定されました。チャネルには IP アドレスとその名前が指定されます。指定されたデータは、メインモジュール構成データブロックに（暗号化された形式で）保存されます。
名前付きパイプを使用するために、独自の RPC サーバー実装を開始しました。以下の7つの機能をサポートしました。

• インストールされているバージョンを返します。
• 指定されたプロセスに DLL を挿入し、指定された関数を呼び出します。
• DLLをロードします。
• CreateProcess() を呼び出してプロセスを開始します。
• 指定されたファイルの内容を読み取ります。
• 指定されたファイルにデータを書き込みます。
• 指定されたファイルを削除します。

名前付きパイプをローカル ネットワーク内で使用して、Duqu に感染したコンピュータ間で更新されたモジュールや構成データを配布する可能性があります。さらに、Duqu は、感染した他のコンピュータ (ゲートウェイのファイアウォール設定によりインターネットにアクセスできなかったコンピュータ) のプロキシ サーバーとして機能する可能性があります。 Duqu の一部のバージョンには RPC 機能がありませんでした。

既知の「ペイロード」

シマンテックは、Duqu コントロール センターからの指令によりダウンロードされた少なくとも 4 種類のペイロードを発見しました。
さらに、そのうちの 1 つだけが常駐し、実行可能ファイル (exe) としてコンパイルされ、ディスクに保存されました。残りの 3 つは dll ライブラリとして実装されました。これらは動的にロードされ、ディスクに保存されずにメモリ内で実行されました。

常駐の「ペイロード」はスパイ モジュールでした (情報詐欺師) キーロガー機能を備えています。 Duqu 研究の取り組みが始まったのは、それを VirusTotal に送信することでした。主なスパイ機能はリソース内にあり、その最初の 8 キロバイトには銀河 NGC 6745 の写真の一部 (カモフラージュ用) が含まれていました。ここで、2012 年 1297506 月に、一部のメディアが、イランがいくつかの悪意のあるソフトウェア「Stars」にさらされているという情報 (http://www.mehrnews.com/en/newsdetail.aspx?NewsID=XNUMX) を公開したが、その詳細は思い出されるべきである。事件は明らかにされなかった。おそらくそれは、当時イランで発見された Duqu の「ペイロード」のまさにそのようなサンプルであったため、「Stars」という名前が付けられました。
スパイ モジュールは次の情報を収集しました。

• 実行中のプロセスのリスト、現在のユーザーとドメインに関する情報。
• ネットワークドライブを含む論理ドライブのリスト。
• スクリーンショット;
• ネットワークインターフェイスアドレス、ルーティングテーブル。
• キーボードのキーストロークのログ ファイル。
• 開いているアプリケーション ウィンドウの名前。
• 利用可能なネットワーク リソース (リソースの共有) のリスト。
• リムーバブルディスクを含むすべてのディスク上のファイルの完全なリスト。
• 「ネットワーク環境」内のコンピュータのリスト。

別のスパイ モジュール (情報詐欺師) は、すでに説明したもののバリエーションですが、DLL ライブラリとしてコンパイルされており、ファイルのリストをコンパイルし、ドメインに含まれるコンピュータをリストするキーロガーの機能が削除されています。
次のモジュール (偵察) 収集されたシステム情報:

• コンピュータがドメインの一部であるかどうか。
• Windows システム ディレクトリへのパス。
• オペレーティング システムのバージョン。
• 現在のユーザー名。
• ネットワークアダプターのリスト。
• システム時間、現地時間、およびタイムゾーン。

最後のモジュール (寿命延長剤) ジョブ完了までの残り日数の値(メインモジュール構成データファイルに格納)を増加させる機能を実装しました。デフォルトでは、この値は Duqu の変更に応じて 30 日または 36 日に設定され、毎日 XNUMX 日ずつ減少します。

コマンドセンター

20 年 2011 月 5.2 日 (発見に関する情報が広まってから 5.4 日後)、Duqu のオペレーターは指令センターの機能の痕跡を破壊する手順を実行しました。指令センターは、ベトナム、インド、ドイツ、シンガポール、スイス、イギリス、オランダ、韓国など、世界中のハッキングされたサーバー上にありました。興味深いことに、特定されたすべてのサーバーは CentOS バージョン 5.5、32、または 64 を実行していました。 OSは4.3ビットと5.8ビットの両方でした。コマンド センターの操作に関連するすべてのファイルが削除されたという事実にもかかわらず、Kaspersky Lab の専門家は空き領域にある LOG ファイルから情報の一部を復元することに成功しました。最も興味深い事実は、サーバー上の攻撃者が常にデフォルトの OpenSSH 4.3 パッケージをバージョン 80 に置き換えていたことです。これは、OpenSSH 443 の未知の脆弱性がサーバーのハッキングに使用されたことを示している可能性があります。すべてのシステムが指令センターとして使用されたわけではありません。ポート XNUMX および XNUMX へのトラフィックをリダイレクトしようとしたときの sshd ログのエラーから判断すると、一部はエンド コマンド センターに接続するためのプロキシ サーバーとして使用されていました。

日付とモジュール

カスペルスキーが調査した 2011 年 31 月に配布された Word 文書には、コンパイル日が 2007 年 20608 月 5 日のインストーラー ダウンロード ドライバーが含まれていました。 CrySys 研究所で見つかったドキュメント内の同様のドライバー (サイズ - 45 バイト、MD613 - EEDCA0BD9E9D5A69122007E17C21F2008) のコンパイル日は 19968 年 5 月 9 日でした。さらに、Kaspersky Lab の専門家は、日付が 6 年 10 月 5 日の自動実行ドライバー rndismpc.sys (サイズ - 9 バイト、MD05 - 93221544AEC783E20C2008EE2009C2007BED28C2008E) を発見しました。 XNUMX とマークされたコンポーネントは見つかりませんでした。 Duqu の個々の部分のコンパイルのタイムスタンプに基づくと、その開発は XNUMX 年初頭に遡る可能性があります。その最初の兆候は、~DO タイプの一時ファイル (おそらくスパイウェア モジュールの XNUMX つによって作成されたもの) の検出に関連しており、その作成日は XNUMX 年 XNUMX 月 XNUMX 日です (記事 「Duqu & Stuxnet: 興味深い出来事のタイムライン」)。 Duqu に関連付けられた最新の日付は 23 年 2012 月 2012 日で、XNUMX 年 XNUMX 月にシマンテックが発見したインストーラー ダウンロード ドライバーに含まれていました。

使用される情報源：

一連の記事 Kaspersky Lab の Duqu について。
シマンテックの分析レポート 「W32.Duqu 次の Stuxnet の先駆者」、バージョン 1.4、2011 年 XNUMX 月 (pdf)。

出所： habr.com