ProHoster > Блог > warta internet > Duqu minangka matryoshka angkoro

Duqu minangka matryoshka angkoro

Pambuka

Tanggal 1 September 2011, berkas sing jenenge ~DN1.tmp dikirim menyang situs web VirusTotal saka Hongaria. Ing wektu kasebut, file kasebut dideteksi minangka angkoro mung dening rong mesin antivirus - BitDefender lan AVIRA. Mangkene critane Duqu diwiwiti. Ing ngarep, kudu dingerteni manawa kulawarga malware Duqu dijenengi miturut jeneng file iki. Nanging, file iki minangka modul spyware kanthi lengkap kanthi fungsi keylogger, diinstal, mbokmenawa, nggunakake downloader-dropper angkoro, lan mung bisa dianggep minangka "payload" dimuat dening malware Duqu sak operasi, lan ora minangka komponen ( modul) saka Duqu. Salah sawijining komponen Duqu dikirim menyang layanan Virustotal mung tanggal 9 September. Fitur khas yaiku driver sing ditandatangani kanthi digital dening C-Media. Sawetara ahli langsung wiwit nggambar analogi karo conto malware liyane sing misuwur - Stuxnet, sing uga nggunakake driver sing ditandatangani. Gunggunge komputer sing kena infeksi Duqu sing dideteksi dening macem-macem perusahaan antivirus ing saindenging jagad ana ing puluhan. Akeh perusahaan sing ujar manawa Iran maneh dadi target utama, nanging miturut distribusi geografis infeksi, iki ora bisa dingerteni.
Duqu minangka matryoshka angkoro
Ing kasus iki, sampeyan kudu kanthi yakin mung ngomong babagan perusahaan liyane kanthi tembung anyar APT (ancaman terus-terusan maju).

Prosedur implementasi sistem

Penyelidikan sing ditindakake dening spesialis saka organisasi Hungaria CrySyS (Laboratorium Kriptografi lan Keamanan Sistem Hongaria ing Universitas Teknologi lan Ekonomi Budapest) nyebabake panemuan installer (dropper) sing sistem kasebut kena infeksi. Iku file Microsoft Word kanthi eksploitasi kanggo kerentanan driver win32k.sys (MS11-087, diterangake dening Microsoft ing 13. November 2011), sing tanggung jawab kanggo mekanisme rendering font TTF. Shellcode eksploitasi nggunakake font disebut 'Dexter Regular' ditempelake ing document, karo Showtime Inc. kadhaptar minangka nitahake font. Kaya sing sampeyan ngerteni, para pangripta Duqu ora asing karo rasa humor: Dexter minangka pembunuh berantai, pahlawan saka seri televisi kanthi jeneng sing padha, diprodhuksi dening Showtime. Dexter mung mateni (yen bisa) penjahat, yaiku, dheweke nglanggar hukum kanthi jeneng legalitas. Mbokmenawa, kanthi cara iki, para pangembang Duqu dadi ironis yen dheweke nindakake kegiatan ilegal kanggo tujuan sing apik. Ngirim email ditindakake kanthi sengaja. Pangiriman kasebut biasane nggunakake komputer sing dikompromi (disusupi) minangka perantara kanggo nggawe pelacakan angel.
Dokumen Word ngemot komponen ing ngisor iki:

  • isi teks;
  • font sing dibangun;
  • eksploitasi shellcode;
  • sopir;
  • installer (perpustakaan DLL).

Yen sukses, eksploitasi shellcode nindakake operasi ing ngisor iki (ing mode kernel):

  • mriksa kanggo re-infèksi kanggo iki, ing ngarsane tombol 'CF4D' wis dicenthang ing registri ing alamat 'HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZones1' yen iki bener, shellcode rampung eksekusi;
  • rong file didekripsi - driver (sys) lan installer (dll);
  • driver disuntikake menyang proses services.exe lan miwiti installer;
  • Akhire, shellcode dibusak dhewe karo nul ing memori.

Amarga kasunyatan manawa win32k.sys dieksekusi miturut pangguna sing duwe hak istimewa 'Sistem', pangembang Duqu kanthi elegan ngrampungake masalah peluncuran sing ora sah lan eskalasi hak (mlaku ing akun pangguna kanthi hak winates).
Sawise nampa kontrol, installer dekripsi telung blok data sing ana ing memori, ngemot:

  • driver mlebu (sys);
  • modul utama (dll);
  • data konfigurasi installer (pnf).

Rentang tanggal ditemtokake ing data konfigurasi installer (ing wangun rong cap wektu - wiwitan lan pungkasan). Pemasang mriksa manawa tanggal saiki kalebu, lan yen ora, wis rampung eksekusi. Uga ing data konfigurasi installer ana jeneng ing ngendi driver lan modul utama disimpen. Ing kasus iki, modul utama disimpen ing disk ing wangun ndhelik.

Duqu minangka matryoshka angkoro

Kanggo miwiti otomatis Duqu, layanan digawe nggunakake file driver sing dekripsi modul utama kanthi cepet nggunakake tombol sing disimpen ing registri. Modul utama ngemot blok data konfigurasi dhewe. Nalika pisanan diluncurake, didekripsi, tanggal instalasi dilebokake, banjur dienkripsi maneh lan disimpen dening modul utama. Mangkono, ing sistem sing kena pengaruh, sawise instalasi sukses, telung file disimpen - driver, modul utama lan file data konfigurasi, kanthi rong file pungkasan disimpen ing disk ing wangun ndhelik. Kabeh prosedur dekoding ditindakake mung ing memori. Prosedur instalasi rumit iki digunakake kanggo nyilikake kemungkinan deteksi dening piranti lunak antivirus.

Modul utama

Modul utama (sumber 302), miturut Alexa perusahaan Kaspersky Lab, ditulis nggunakake MSVC 2008 ing murni C, nanging nggunakake pendekatan obyek-oriented. Pendekatan iki ora khas nalika ngembangake kode ala. Minangka aturan, kode kasebut ditulis ing C kanggo nyuda ukuran lan nyingkirake panggilan implisit sing ana ing C ++. Ana simbiosis tartamtu ing kene. Kajaba iku, arsitektur sing didorong acara digunakake. Karyawan Kaspersky Lab cenderung menyang teori yen modul utama ditulis nggunakake add-on pra-prosesor sing ngidini sampeyan nulis kode C ing gaya obyek.
Modul utama tanggung jawab kanggo prosedur kanggo nampa printah saka operator. Duqu nyedhiyakake sawetara cara interaksi: nggunakake protokol HTTP lan HTTPS, uga nggunakake pipa sing dijenengi. Kanggo HTTP(S), jeneng domain pusat komando wis ditemtokake, lan kemampuan kanggo nggarap server proxy diwenehake - jeneng pangguna lan sandhi wis ditemtokake kanggo dheweke. Alamat IP lan jeneng kasebut ditemtokake kanggo saluran kasebut. Data sing ditemtokake disimpen ing blok data konfigurasi modul utama (ing wangun ndhelik).
Kanggo nggunakake pipa sing dijenengi, kita ngluncurake implementasi server RPC dhewe. Iki ndhukung pitung fungsi ing ngisor iki:

  • bali versi sing diinstal;
  • nyuntikake dll menyang proses sing ditemtokake lan nelpon fungsi kasebut;
  • mbukak dll;
  • miwiti proses kanthi nelpon CreateProcess ();
  • maca isi file tartamtu;
  • nulis data menyang file sing ditemtokake;
  • mbusak file sing ditemtokake.

Pipa sing dijenengi bisa digunakake ing jaringan lokal kanggo nyebarake modul sing dianyari lan data konfigurasi antarane komputer sing kena infeksi Duqu. Kajaba iku, Duqu bisa tumindak minangka server proxy kanggo komputer liyane sing kena infeksi (sing ora duwe akses menyang Internet amarga setelan firewall ing gateway). Sawetara versi Duqu ora duwe fungsi RPC.

Dikenal "payloads"

Symantec nemokake paling ora papat jinis muatan sing diundhuh miturut perintah saka pusat kontrol Duqu.
Kajaba iku, mung siji sing manggon lan dikompilasi minangka file eksekusi (exe), sing disimpen ing disk. Telu sing isih ditindakake minangka perpustakaan dll. Padha dimuat kanthi dinamis lan dieksekusi ing memori tanpa disimpen ing disk.

"payload" penduduk minangka modul mata-mata (infostealer) kanthi fungsi keylogger. Kanthi ngirim menyang VirusTotal, karya riset Duqu diwiwiti. Fungsi telik utama ana ing sumber daya, 8 kilobyte pisanan sing ngemot bagean foto galaksi NGC 6745 (kanggo kamuflase). Sampeyan kudu eling ing kene yen ing April 2012, sawetara media nerbitake informasi (http://www.mehrnews.com/en/newsdetail.aspx?NewsID=1297506) yen Iran kena sawetara piranti lunak jahat "Stars", dene rincian babagan kedadean ora dibeberke. Mbok menawa mung conto saka "muatan" Duqu sing ditemokake ing Iran, mula diarani "Lintang".
Modul Spy ngumpulake informasi ing ngisor iki:

  • dhaptar pangolahan sing mlaku, informasi babagan pangguna lan domain saiki;
  • dhaptar drive logis, kalebu drive jaringan;
  • gambar layar;
  • alamat antarmuka jaringan, tabel routing;
  • file log saka keystrokes keyboard;
  • jeneng jendhela aplikasi mbukak;
  • dhaptar sumber daya jaringan sing kasedhiya (sharing resources);
  • dhaptar lengkap file ing kabeh disk, kalebu sing bisa dicopot;
  • dhaptar komputer ing "lingkungan jaringan".

Modul Spy liyane (infostealer) minangka variasi saka apa sing wis diterangake, nanging dikompilasi minangka pustaka dll.
Modul sabanjure (reconnaissance) informasi sistem sing dikumpulake:

  • apa komputer minangka bagéan saka domain;
  • path menyang direktori sistem Windows;
  • versi sistem operasi;
  • jeneng panganggo saiki;
  • dhaptar adaptor jaringan;
  • sistem lan wektu lokal, uga zona wektu.

Modul pungkasan (extender umur) dipun ginakaken fungsi kanggo nambah nilai (disimpen ing file data konfigurasi modul utama) saka jumlah dina isih nganti proyek rampung. Kanthi gawan, Nilai iki disetel kanggo 30 utawa 36 dina gumantung ing modifikasi Duqu, lan suda saben dina.

Pusat komando

Tanggal 20 Oktober 2011 (telung dina sawise informasi babagan penemuan kasebut disebarake), operator Duqu nindakake prosedur kanggo ngrusak jejak fungsi pusat komando. Pusat komando ana ing server sing disusupi ing saindenging jagad - ing Vietnam, India, Jerman, Singapura, Swiss, Inggris Raya, Holland, lan Korea Selatan. Sing nggumunake, kabeh server sing diidentifikasi nganggo versi CentOS 5.2, 5.4 utawa 5.5. OS padha 32-bit lan 64-bit. Senadyan kasunyatan manawa kabeh file sing ana gandhengane karo operasi pusat komando wis dibusak, spesialis Kaspersky Lab bisa mbalekake sawetara informasi saka file LOG saka papan slack. Kasunyatan sing paling menarik yaiku penyerang ing server tansah ngganti paket OpenSSH 4.3 standar karo versi 5.8. Iki bisa uga nuduhake yen kerentanan sing ora dingerteni ing OpenSSH 4.3 digunakake kanggo hack server. Ora kabeh sistem digunakake minangka pusat komando. Sawetara, miturut kasalahan ing log sshd nalika nyoba ngarahake lalu lintas kanggo port 80 lan 443, digunakake minangka server proxy kanggo nyambung menyang pusat komando pungkasan.

Tanggal lan modul

Dokumen Word sing disebarake ing April 2011, sing ditliti dening Kaspersky Lab, ngemot driver download installer kanthi tanggal kompilasi 31 Agustus 2007. Pembalap sing padha (ukuran - 20608 bita, MD5 - EEDCA45BD613E0D9A9E5C69122007F17) ing dokumen sing ditemokake ing laboratorium CrySys duwe tanggal kompilasi tanggal 21 Februari 2008. Kajaba iku, ahli Kaspersky Lab nemokake driver autorun rndismpc.sys (ukuran - 19968 byte, MD5 - 9AEC6E10C5EE9C05BED93221544C783E) kanthi tanggal 20 Januari 2008. Ora ana komponen sing ditandhani 2009 ditemokake. Adhedhasar stempel wektu kompilasi bagean individu saka Duqu, pangembangane bisa diwiwiti wiwit awal 2007. Manifestasi paling awal digandhengake karo deteksi file sauntara saka jinis ~DO (mbokmenawa digawe dening salah sawijining modul spyware), tanggal nggawe tanggal 28 November 2008 (artikel "Duqu & Stuxnet: Garis Wektu Acara Menarik"). Tanggal paling anyar sing digandhengake karo Duqu yaiku 23 Februari 2012, sing ana ing driver download installer sing ditemokake dening Symantec ing Maret 2012.

Sumber informasi sing digunakake:

seri artikel babagan Duqu saka Kaspersky Lab;
Laporan analitik Symantec "W32.Duqu Prekursor menyang Stuxnet sabanjure", versi 1.4, November 2011 (pdf).

Source: www.habr.com

Add a comment