დუკუ არის მავნე მატრიოშკა

შესავალი

1 წლის 2011 სექტემბერს ფაილი სახელად ~DN1.tmp გაიგზავნა VirusTotal ვებსაიტზე უნგრეთიდან. იმ დროს, ფაილი აღმოაჩინა როგორც მავნე მხოლოდ ორი ანტივირუსული ძრავით - BitDefender და AVIRA. ასე დაიწყო დუკუს ამბავი. მომავალში, უნდა ითქვას, რომ Duqu მავნე პროგრამების ოჯახს ამ ფაილის სახელი დაერქვა. თუმცა, ეს ფაილი არის სრულიად დამოუკიდებელი ჯაშუშური პროგრამის მოდული keylogger-ის ფუნქციებით, დაინსტალირებული, სავარაუდოდ, მავნე ჩამოტვირთვის-წვეთოვანის გამოყენებით და შეიძლება ჩაითვალოს მხოლოდ Duqu მავნე პროგრამის მიერ დატვირთულ „გადატვირთვად“ მისი მუშაობის დროს და არა როგორც კომპონენტი ( მოდული) Duqu-ს. Duqu-ს ერთ-ერთი კომპონენტი Virustotal სერვისში მხოლოდ 9 სექტემბერს გაიგზავნა. მისი გამორჩეული თვისებაა დრაივერი ციფრულად ხელმოწერილი C-Media. ზოგიერთმა ექსპერტმა მაშინვე დაიწყო ანალოგიების დახატვა მავნე პროგრამის სხვა ცნობილ მაგალითთან - Stuxnet, რომელიც ასევე იყენებდა ხელმოწერილ დრაივერებს. Duqu-ით ინფიცირებული კომპიუტერების საერთო რაოდენობა, რომლებიც აღმოჩენილია სხვადასხვა ანტივირუსული კომპანიის მიერ მთელს მსოფლიოში, ათეულობით აღწევს. ბევრი კომპანია ამტკიცებს, რომ ირანი ისევ მთავარი სამიზნეა, მაგრამ ინფექციების გეოგრაფიული გავრცელების მიხედვით თუ ვიმსჯელებთ, ამის დარწმუნებით თქმა შეუძლებელია.

ამ შემთხვევაში, თქვენ უნდა დარწმუნებით ისაუბროთ მხოლოდ სხვა კომპანიაზე ახალი სიტყვით APT (მოწინავე მუდმივი საფრთხე).

სისტემის დანერგვის პროცედურა

უნგრული ორგანიზაციის CrySyS-ის (ბუდაპეშტის ტექნოლოგიისა და ეკონომიკის უნივერსიტეტის კრიპტოგრაფიისა და სისტემის უსაფრთხოების უნგრული ლაბორატორია) სპეციალისტების მიერ ჩატარებულმა გამოძიებამ გამოიწვია ინსტალატორის (წვეთოვანი) აღმოჩენა, რომლის მეშვეობითაც სისტემა დაინფიცირდა. ეს იყო Microsoft Word-ის ფაილი, რომელიც გამოიყენებოდა win32k.sys დრაივერის დაუცველობისთვის (MS11-087, აღწერილია Microsoft-ის მიერ 13 წლის 2011 ნოემბერს), რომელიც პასუხისმგებელია TTF შრიფტის რენდერის მექანიზმზე. ექსპლოიტის shellcode იყენებს შრიფტს სახელწოდებით "Dexter Regular", რომელიც ჩაშენებულია დოკუმენტში, სადაც Showtime Inc. არის ჩამოთვლილი, როგორც შრიფტის შემქმნელი. როგორც ხედავთ, Duqu-ს შემქმნელებს უცხო არ აქვთ იუმორის გრძნობა: დექსტერი არის სერიული მკვლელი, ამავე სახელწოდების სატელევიზიო სერიალის გმირი, რომელიც წარმოებულია Showtime-ის მიერ. დექსტერი კლავს მხოლოდ (თუ შესაძლებელია) დამნაშავეებს, ანუ კანონიერების სახელით არღვევს კანონს. ალბათ, ამ გზით Duqu-ის დეველოპერები ირონიულნი არიან, რომ ისინი კარგი მიზნებისთვის უკანონო საქმიანობას ეწევიან. ელ.ფოსტის გაგზავნა განხორციელდა მიზანმიმართულად. გადაზიდვა, სავარაუდოდ, იყენებდა კომპრომეტირებულ (გატეხილი) კომპიუტერებს, როგორც შუამავალს, რათა თვალყურის დევნება გართულდეს.
ამრიგად, Word დოკუმენტი შეიცავდა შემდეგ კომპონენტებს:

• ტექსტის შინაარსი;
• ჩაშენებული შრიფტი;
• ექსპლოიტის shellcode;
• მძღოლი;
• ინსტალერი (DLL ბიბლიოთეკა).

წარმატების შემთხვევაში, ექსპლოიტის shellcode ასრულებს შემდეგ ოპერაციებს (კერნელის რეჟიმში):

• ჩატარდა შემოწმება ხელახლა ინფიცირებაზე; ამისათვის შემოწმდა კლავიშის „CF4D“ არსებობა რეესტრში მისამართზე „HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZones1“; თუ ეს სწორი იყო, shellcode-მ დაასრულა მისი შესრულება;
• გაშიფრულია ორი ფაილი - დრაივერი (sys) და ინსტალერი (dll);
• დრაივერი შევიდა services.exe პროცესში და გაუშვა ინსტალერი;
• საბოლოოდ, shellcode წაიშალა თავს ნულები მეხსიერებაში.

გამომდინარე იქიდან, რომ win32k.sys შესრულებულია პრივილეგირებული მომხმარებლის „სისტემის“ სახელით, Duqu-ის დეველოპერებმა ელეგანტურად გადაჭრეს როგორც უნებართვო გაშვების, ისე უფლებების გაზრდის პრობლემა (იმართება შეზღუდული უფლებების მქონე მომხმარებლის ანგარიშით).
კონტროლის მიღების შემდეგ, ინსტალერმა გაშიფრა მასში შემავალი მონაცემების სამი ბლოკი, რომელიც შეიცავს:

• ხელმოწერილი მძღოლი (sys);
• ძირითადი მოდული (dll);
• ინსტალერის კონფიგურაციის მონაცემები (pnf).

თარიღის დიაპაზონი მითითებული იყო ინსტალერის კონფიგურაციის მონაცემებში (ორი დროის ანაბეჭდის სახით - დაწყება და დასასრული). ინსტალერმა შეამოწმა, იყო თუ არა მასში მიმდინარე თარიღი და თუ არა, დაასრულა მისი შესრულება. ასევე ინსტალერის კონფიგურაციის მონაცემებში იყო სახელები, რომლითაც შენახული იყო დრაივერი და მთავარი მოდული. ამ შემთხვევაში, მთავარი მოდული შენახული იყო დისკზე დაშიფრული ფორმით.

Duqu-ის ავტომატური გაშვებისთვის შეიქმნა სერვისი დრაივერის ფაილის გამოყენებით, რომელიც გაშიფრავდა მთავარ მოდულს რეესტრში შენახული გასაღებების გამოყენებით. მთავარი მოდული შეიცავს საკუთარ კონფიგურაციის მონაცემთა ბლოკს. პირველად გაშვებისას, იგი გაშიფრული იყო, მასში შევიდა ინსტალაციის თარიღი, რის შემდეგაც იგი კვლავ დაშიფრული და შენახული იყო მთავარი მოდულით. ამრიგად, დაზარალებულ სისტემაში, წარმატებული ინსტალაციის შემდეგ, შენახული იყო სამი ფაილი - დრაივერი, მთავარი მოდული და მისი კონფიგურაციის მონაცემთა ფაილი, ხოლო ბოლო ორი ფაილი ინახებოდა დისკზე დაშიფრული ფორმით. დეკოდირების ყველა პროცედურა განხორციელდა მხოლოდ მეხსიერებაში. ინსტალაციის ეს რთული პროცედურა გამოიყენებოდა ანტივირუსული პროგრამით აღმოჩენის შესაძლებლობის შესამცირებლად.

მთავარი მოდული

მთავარი მოდული (რესურსი 302), მიხედვით ინფორმაცია კომპანია Kaspersky Lab, დაწერილი MSVC 2008-ის გამოყენებით სუფთა C-ზე, მაგრამ ობიექტზე ორიენტირებული მიდგომის გამოყენებით. ეს მიდგომა არ არის დამახასიათებელი მავნე კოდის შემუშავებისას. როგორც წესი, ასეთი კოდი იწერება C-ში, რათა შეამციროს ზომა და თავი დააღწიოს C++-ში თანდაყოლილი იმპლიციტური ზარებისგან. აქ არის გარკვეული სიმბიოზი. გარდა ამისა, გამოყენებული იქნა მოვლენებზე ორიენტირებული არქიტექტურა. Kaspersky Lab-ის თანამშრომლები მიდრეკილნი არიან თეორიისკენ, რომ მთავარი მოდული დაიწერა წინასწარი პროცესორის დანამატის გამოყენებით, რომელიც საშუალებას გაძლევთ დაწეროთ C კოდი ობიექტის სტილში.
მთავარი მოდული პასუხისმგებელია ოპერატორებისგან ბრძანებების მიღების პროცედურაზე. Duqu გთავაზობთ ურთიერთქმედების რამდენიმე მეთოდს: HTTP და HTTPS პროტოკოლების გამოყენებით, ასევე დასახელებული მილების გამოყენებით. HTTP(S)-ისთვის დაზუსტდა ბრძანების ცენტრების დომენური სახელები და უზრუნველყოფილი იყო პროქსი სერვერის მეშვეობით მუშაობის შესაძლებლობა - მათთვის დაზუსტდა მომხმარებლის სახელი და პაროლი. არხისთვის მითითებულია IP მისამართი და მისი სახელი. მითითებული მონაცემები ინახება ძირითადი მოდულის კონფიგურაციის მონაცემთა ბლოკში (დაშიფრული ფორმით).
დასახელებული მილების გამოსაყენებლად, ჩვენ დავიწყეთ ჩვენი საკუთარი RPC სერვერის დანერგვა. იგი მხარს უჭერდა შემდეგ შვიდ ფუნქციას:

• დააბრუნეთ დაინსტალირებული ვერსია;
• შეიტანეთ dll მითითებულ პროცესში და გამოიძახეთ მითითებული ფუნქცია;
• ჩატვირთეთ dll;
• პროცესის დაწყება CreateProcess();
• წაიკითხეთ მოცემული ფაილის შინაარსი;
• ჩაწერეთ მონაცემები მითითებულ ფაილში;
• წაშალეთ მითითებული ფაილი.

დასახელებული მილები შეიძლება გამოყენებულ იქნას ლოკალურ ქსელში განახლებული მოდულების და კონფიგურაციის მონაცემების გასავრცელებლად Duqu-ით ინფიცირებულ კომპიუტერებს შორის. გარდა ამისა, Duqu-ს შეეძლო მოქმედებდეს როგორც პროქსი სერვერი სხვა ინფიცირებული კომპიუტერებისთვის (რომლებსაც არ ჰქონდათ ინტერნეტზე წვდომა კარიბჭეზე არსებული firewall პარამეტრების გამო). Duqu-ის ზოგიერთ ვერსიას არ გააჩნდა RPC ფუნქცია.

ცნობილი "სატვირთო ტვირთები"

Symantec-მა აღმოაჩინა სულ მცირე ოთხი ტიპის ტვირთამწეობა, რომლებიც გადმოწერილი იყო Duqu-ს კონტროლის ცენტრიდან ბრძანებით.
უფრო მეტიც, მათგან მხოლოდ ერთი იყო რეზიდენტი და შედგენილი როგორც შესრულებადი ფაილი (exe), რომელიც შენახული იყო დისკზე. დანარჩენი სამი განხორციელდა როგორც dll ბიბლიოთეკები. ისინი დატვირთული იყო დინამიურად და შესრულდა მეხსიერებაში დისკზე შენახვის გარეშე.

რეზიდენტი "სატვირთო" იყო ჯაშუშური მოდული (ინფოქურდალი) keylogger ფუნქციებით. სწორედ VirusTotal-ში გაგზავნით დაიწყო მუშაობა Duqu-ის კვლევაზე. მთავარი ჯაშუშური ფუნქცია იყო რესურსში, რომლის პირველი 8 კილობაიტი შეიცავდა გალაქტიკის NGC 6745 ფოტოს ნაწილს (შენიღბვისთვის). აქვე შეგახსენებთ, რომ 2012 წლის აპრილში ზოგიერთმა მედიამ გამოაქვეყნა ინფორმაცია (http://www.mehrnews.com/en/newsdetail.aspx?NewsID=1297506), რომ ირანი ექვემდებარებოდა მავნე პროგრამულ უზრუნველყოფას „ვარსკვლავები“, ხოლო დეტალები ინციდენტი არ გახმაურებულა. შესაძლოა, ეს იყო დუკუს "სატვირთო ტვირთის" ასეთი ნიმუში, რომელიც მაშინ აღმოაჩინეს ირანში, აქედან მომდინარეობს სახელწოდება "ვარსკვლავები".
ჯაშუშის მოდულმა შეაგროვა შემდეგი ინფორმაცია:

• მიმდინარე პროცესების სია, ინფორმაცია მიმდინარე მომხმარებლის და დომენის შესახებ;
• ლოგიკური დისკების სია, მათ შორის ქსელური დისკები;
• ეკრანის ანაბეჭდები;
• ქსელის ინტერფეისის მისამართები, მარშრუტიზაციის ცხრილები;
• კლავიატურის დაჭერის ჟურნალის ფაილი;
• ღია აპლიკაციის ფანჯრების სახელები;
• ხელმისაწვდომი ქსელის რესურსების სია (რესურსების გაზიარება);
• ფაილების სრული სია ყველა დისკზე, მათ შორის მოსახსნელი;
• კომპიუტერების სია "ქსელის გარემოში".

კიდევ ერთი ჯაშუშური მოდული (ინფოქურდალი) იყო უკვე აღწერილის ვარიაცია, მაგრამ შედგენილი როგორც dll ბიბლიოთეკა; მისგან ამოიღეს keylogger-ის ფუნქციები, ფაილების სიის შედგენა და დომენში შემავალი კომპიუტერების ჩამონათვალი.
შემდეგი მოდული (სადაზვერვო) შეგროვებული სისტემის ინფორმაცია:

• არის თუ არა კომპიუტერი დომენის ნაწილი;
• ბილიკები Windows სისტემის დირექტორიებისკენ;
• ოპერაციული სისტემის ვერსია;
• მიმდინარე მომხმარებლის სახელი;
• ქსელის გადამყვანების სია;
• სისტემა და ადგილობრივი დრო, ასევე დროის ზონა.

ბოლო მოდული (სიცოცხლის ხანგრძლივობა) განხორციელდა ფუნქცია სამუშაოს დასრულებამდე დარჩენილი დღეების რაოდენობის გაზრდის მიზნით (შენახული ძირითადი მოდულის კონფიგურაციის მონაცემთა ფაილში). ნაგულისხმევად, ეს მნიშვნელობა დაყენებული იყო 30 ან 36 დღეზე Duqu მოდიფიკაციის მიხედვით და მცირდებოდა ერთით ყოველ დღე.

Command ცენტრები

20 წლის 2011 ოქტომბერს (აღმოჩენის შესახებ ინფორმაციის გავრცელებიდან სამი დღის შემდეგ) Duqu-ს ოპერატორებმა ჩაატარეს პროცედურა სამეთაურო ცენტრების ფუნქციონირების კვალის განადგურების მიზნით. სარდლობის ცენტრები განლაგებული იყო ჰაკერულ სერვერებზე მთელს მსოფლიოში - ვიეტნამში, ინდოეთში, გერმანიაში, სინგაპურში, შვეიცარიაში, დიდ ბრიტანეთში, ჰოლანდიასა და სამხრეთ კორეაში. საინტერესოა, რომ ყველა იდენტიფიცირებული სერვერი მუშაობდა CentOS ვერსიებზე 5.2, 5.4 ან 5.5. ოპერაციული სისტემა იყო 32-ბიტიანი და 64-ბიტიანი. იმისდა მიუხედავად, რომ ბრძანების ცენტრების მუშაობასთან დაკავშირებული ყველა ფაილი წაშლილია, კასპერსკის ლაბორატორიის სპეციალისტებმა შეძლეს LOG ფაილებიდან ზოგიერთი ინფორმაციის აღდგენა სქელი სივრციდან. ყველაზე საინტერესო ის არის, რომ სერვერებზე თავდამსხმელები ყოველთვის ცვლიდნენ ნაგულისხმევ OpenSSH 4.3 პაკეტს 5.8 ვერსიით. ეს შეიძლება მიუთითებდეს, რომ უცნობი დაუცველობა OpenSSH 4.3-ში გამოიყენებოდა სერვერების გასატეხად. ყველა სისტემა არ გამოიყენებოდა ბრძანების ცენტრად. ზოგიერთი, ვიმსჯელებთ sshd ჟურნალებში არსებული შეცდომების მიხედვით, როდესაც ცდილობდნენ ტრაფიკის გადამისამართებას 80 და 443 პორტებისთვის, გამოიყენებოდა როგორც პროქსი სერვერი ბოლო ბრძანების ცენტრებთან დასაკავშირებლად.

თარიღები და მოდულები

Word დოკუმენტი, რომელიც გავრცელდა 2011 წლის აპრილში, რომელიც შეისწავლა Kaspersky Lab-მა, შეიცავდა ინსტალერის ჩამოტვირთვის დრაივერს, რომლის შედგენის თარიღი იყო 31 წლის 2007 აგვისტო. მსგავს დრაივერს (ზომა - 20608 ბაიტი, MD5 - EEDCA45BD613E0D9A9E5C69122007F17) CrySys-ის ლაბორატორიებში აღმოჩენილ დოკუმენტში შედგენის თარიღი იყო 21 წლის 2008 თებერვალი. გარდა ამისა, კასპერსკის ლაბორატორიის ექსპერტებმა აღმოაჩინეს autorun დრაივერი rndismpc.sys (ზომა - 19968 ბაიტი, MD5 - 9AEC6E10C5EE9C05BED93221544C783E) თარიღით 20 წლის 2008 იანვარი. 2009 მონიშნული კომპონენტები არ მოიძებნა. დუკუს ცალკეული ნაწილების შედგენის დროის ნიშანზე დაყრდნობით, მისი განვითარება შესაძლოა 2007 წლის დასაწყისით დათარიღდეს. მისი ადრეული გამოვლინება დაკავშირებულია ~DO ტიპის დროებითი ფაილების აღმოჩენასთან (ალბათ შექმნილია ჯაშუშური პროგრამის ერთ-ერთი მოდულით), რომლის შექმნის თარიღია 28 წლის 2008 ნოემბერი (სტატიის "Duqu & Stuxnet: საინტერესო მოვლენების ვადები"). Duqu-თან დაკავშირებული უახლესი თარიღი იყო 23 წლის 2012 თებერვალი, რომელიც შეიცავს ინსტალერის ჩამოტვირთვის დრაივერს, რომელიც Symantec-მა აღმოაჩინა 2012 წლის მარტში.

გამოყენებული ინფორმაციის წყაროები:

სტატიების სერია დუკუს შესახებ კასპერსკის ლაბორატორიიდან;
Symantec-ის ანალიტიკური ანგარიში "W32.Duqu შემდეგი Stuxnet-ის წინამორბედი", ვერსია 1.4, 2011 წლის ნოემბერი (pdf).

წყარო: www.habr.com