ProHoster > Blog > nûçeyên înternetê > Duqu - kuçika hêlînê ya xerab

Duqu - kuçika hêlînê ya xerab

Pîrozbahiyê

Di 1ê Îlona 2011an de dosyayek bi navê ~DN1.tmp ji Macarîstanê ji malpera VirusTotal re hat şandin. Di wê demê de, pel ji hêla du motorên antivirus ve - BitDefender û AVIRA ve wekî xeternak hate dîtin. Çîroka Duqu wiha dest pê kir. Li pêş çavan, divê were gotin ku malbata malware ya Duqu bi navê vê pelê hate navandin. Lêbelê, ev pel modulek spyware-ya bi tevahî serbixwe ye ku bi fonksiyonên keylogger-ê ve hatî saz kirin, dibe ku bi karanîna dakêşkerek xirabkar bikar bîne, û tenê dikare wekî "payload" were hesibandin ku di dema xebata xwe de ji hêla malware Duqu ve hatî barkirin, û ne wekî pêkhateyek ( module) ya Duqu . Yek ji pêkhateyên Duqu tenê di 9ê Îlonê de ji karûbarê Virustotal re hate şandin. Taybetmendiya wê ya ciyawaz ajokerek dîjîtal e ku ji hêla C-Media ve hatî îmze kirin. Hin pispor tavilê dest bi xêzkirina analogiyan kirin bi mînakek din a navdar a malware - Stuxnet, ku di heman demê de ajokarên îmzekirî jî bikar anîn. Hejmara giştî ya komputerên bi Duqu vegirtî yên ku ji hêla pargîdaniyên cihêreng ên antivirus li çaraliyê cîhanê ve hatine tespît kirin bi dehan e. Gelek pargîdanî îdîa dikin ku Îran dîsa hedefa sereke ye, lê li gorî belavkirina erdnîgarî ya enfeksiyonan, ev yek bi teqez nayê gotin.
Duqu - kuçika hêlînê ya xerab
Di vê rewşê de, divê hûn bi pêbawerî tenê li ser pargîdaniyek din bi peyvek nûvekirî biaxivin APT (tehdîda domdar a pêşkeftî).

Pêvajoya pêkanîna pergalê

Lêpirsînek ku ji hêla pisporên rêxistina Macarî CrySyS (Laboratoriya Macarî ya Krîptografiyê û Ewlekariya Sîstemê li Zanîngeha Teknolojî û Aboriyê ya Budapestê) hate kirin, bû sedema vedîtina sazkerê (dropper) ku bi navgîniya pergalê vegirtî bû. Ew pelek Microsoft Word-ê bû ku ji bo qelsiya ajokera win32k.sys (MS11-087, ku ji hêla Microsoft-ê di 13-ê Mijdara 2011-an de hatî vegotin), ku berpirsiyarê mekanîzmaya veguheztina tîpên TTF-ê ye, bi kar tîne. Shellcode ya îstîsmarê tîpek bi navê 'Dexter Regular' ku di belgeyê de cih girtiye bikar tîne, ku Showtime Inc. wekî afirînerê fontê tê navnîş kirin. Wekî ku hûn dikarin bibînin, afirînerên Duqu ji hestek henekê re ne xerîb in: Dexter kujerek rêzefîlm e, lehengê rêzefîlma televîzyonê ya bi heman navî, ku ji hêla Showtime ve hatî hilberandin. Dexter tenê sûcdaran (heke mimkûn be) dikuje, ango li ser navê qanûnî qanûnê dişikîne. Dibe ku, bi vî rengî, pêşdebirên Duqu îronîk in ku ew ji bo mebestên baş bi çalakiyên neqanûnî re mijûl dibin. Şandina e-nameyan bi mebest hate kirin. Bi îhtimaleke mezin di sewqiyatê de komputerên lihevhatî (hacked) wekî navbeynkar bikar anîn da ku şopandinê dijwar bike.
Bi vî rengî belgeya peyvê pêk hat:

  • naveroka nivîsê;
  • fontê çêkirî;
  • îstîsmarkirina shellcode;
  • ajotvan;
  • sazker (pirtûkxaneya DLL).

Ger serfiraz be, Shellcode Exploit operasyonên jêrîn (li Kernel Mode) xebitand:

  • ji bo vegirtinê vekolînek hate kirin; ji bo vê yekê, hebûna mifteya 'CF4D' di qeydê de li navnîşana 'HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZones1' hate kontrol kirin; heke ev rast bûya, şêlkodê pêkanîna xwe temam kir;
  • du pel hatin deşîfrekirin - ajoker (sys) û sazker (dll);
  • Ajokar di nav karûbaran de hate şandin.
  • Di dawiyê de, shellcode xwe bi sifirên di bîranînê de paqij kir.

Ji ber ku win32k.sys li ser navê bikarhênerê îmtiyazê 'Pergalê' tê darve kirin, pêşdebirên Duqu bi xweşikî pirsgirêka hem destpêkirina bêdestûr û hem jî zêdekirina mafan (di bin hesabek bikarhênerek bi mafên tixûbdar de dimeşîne) çareser kirine.
Piştî wergirtina kontrolê, sazker sê blokên daneyên ku di nav bîranînê de hene deşîfre kir, ku tê de:

  • ajokarê îmzekirî (sys);
  • modula sereke (dll);
  • Daneyên veavakirina sazkerê (pnf).

Di daneya veavakirina sazkerê de rêzek tarîxek hate diyar kirin (di forma du nîşanan de - destpêk û dawî). Sazker kontrol kir ka dîroka heyî tê de ye an na, û heke ne wusa be, wê cîbicîkirina xwe qedand. Di heman demê de di daneyên veavakirina sazkerê de navên ku ajokar û modula sereke di bin de hatine tomar kirin jî hebûn. Di vê rewşê de, modula sereke bi rengek şîfrekirî li ser dîskê hate tomarkirin.

Duqu - kuçika hêlînê ya xerab

Ji bo destpêkirina otomatîkî Duqu, karûbarek bi karanîna pelek ajokerê hate afirandin ku modula sereke di firînê de bi karanîna mifteyên ku di qeydê de hatine hilanîn deşîfre kir. Modula sereke bloka xweya daneya veavakirinê dihewîne. Dema ku yekem dest pê kir, ew hate deşîfrekirin, dîroka sazkirinê tê de hate nivîsandin, piştî ku ew dîsa hate şîfrekirin û ji hêla modula sereke ve hate tomarkirin. Bi vî rengî, di pergala bandorkirî de, piştî sazkirina serketî, sê pel hatin hilanîn - ajoker, modula sereke û pelê daneya veavakirina wê, dema ku du pelên paşîn bi rengek şîfrekirî li ser dîskê hatin hilanîn. Hemî prosedurên deşîfrekirinê tenê di bîranînê de hatin kirin. Ev pêvajoyek sazkirinê ya tevlihev hate bikar anîn da ku îmkana tespîtkirina ji hêla nermalava antivirus kêm bike.

Modula sereke

Modula sereke (çavkanî 302), li gorî agahî Pargîdaniya Kaspersky Lab, bi karanîna MSVC 2008 di C-ya paqij de hatî nivîsandin, lê nêzîkatiyek objekt-oriented bikar tîne. Ev nêzîkatî dema ku koda xirab pêşve dike ne taybetmend e. Wekî qaîdeyek, kodek wusa di C-yê de tê nivîsandin da ku mezinahiyê kêm bike û ji bangên nepenî yên di C++-ê de nehêle. Li vir hin sembiozek heye. Zêdetir, mîmariyek bûyer-rêveber hate bikar anîn. Karmendên Kaspersky Lab meyla xwe didin teoriya ku modula sereke bi karanîna pêvekek pêş-pêvajoyê hatî nivîsandin ku dihêle hûn koda C-yê bi şêwazek tiştan binivîsin.
Modula sereke ji prosedûra wergirtina fermanan ji operatoran berpirsiyar e. Duqu çend awayên danûstendinê peyda dike: karanîna protokolên HTTP û HTTPS, û her weha karanîna lûleyên binavkirî. Ji bo HTTP(S), navên domainê yên navendên fermanê hatin destnîşankirin, û şiyana xebitandina bi serverek proxy hate peyda kirin - navek bikarhêner û şîfreyek ji bo wan hate destnîşankirin. Navnîşana IP-ê û navê wê ji bo kanalê têne diyar kirin. Daneyên diyarkirî di bloka daneya mîhengê ya modulê ya sereke (bi forma şîfrekirî) têne hilanîn.
Bikaranîna Pêvekên Sûre, me pêkanîna servera xweya RPC-ê dest pê kir. Ew heft fonksiyonên jêrîn piştgirî kir:

  • guhertoya sazkirî vegerîne;
  • dll-ê di pêvajoya diyarkirî de derxînin û fonksiyona diyarkirî bang bikin;
  • dll barkirin;
  • pêvajoyek bi banga CreateProcess();
  • naveroka pelê diyarkirî bixwînin;
  • daneyan li pelê diyarkirî binivîsin;
  • pelê diyarkirî jêbirin.

Boriyên binavkirî dikarin di nav torgilokek herêmî de werin bikar anîn da ku modulên nûvekirî û daneyên vesazkirinê di navbera komputerên vegirtî yên Duqu de belav bikin. Digel vê yekê, Duqu dikaribû wekî serverek proxy ji bo komputerên din ên vegirtî (yên ku ji ber mîhengên dîwarê dîwarê li ser dergehê xwe negihînin Înternetê) tevbigere. Hin guhertoyên Duqu xwedan fonksiyona RPC nebûn.

"Balgiran" yên naskirî

Symantec bi kêmî ve çar celebên payloads di bin fermanê de ji navenda kontrola DUQ-ê hatine daxuyandin.
Wekî din, tenê yek ji wan niştecîh bû û wekî pelek îcrakar (exe) hate berhev kirin, ku li dîskê hate hilanîn. Sê mayî wekî pirtûkxaneyên dll hatin bicihanîn. Ew bi dînamîk hatin barkirin û bêyî ku li dîskê werin hilanîn di bîranînê de hatin bicihkirin.

Niştecîh "payload" modulek sîxur bû (infostealer) bi fonksiyonên keylogger. Bi şandina wê ji VirusTotal re bû ku xebata li ser lêkolîna Duqu dest pê kir. Fonksiyona sîxuriyê ya sereke di çavkaniyê de bû, 8 kîlobytên pêşîn ên ku beşek ji wêneyek galaksiya NGC 6745 (ji bo kamûflajê) dihewand. Hêjayî bîrxistinê ye ku di Nîsana 2012’an de, hinek medyayê agahî (http://www.mehrnews.com/en/newsdetail.aspx?NewsID=1297506) belav kiribûn ku Îran bi hin nermalava xerab “Stars” re rû bi rû maye. bûyer nehatin eşkerekirin. Dibe ku ew tenê nimûneyek weha ya "paybar" ya Duqu bû ku wê demê li Iranranê hate keşif kirin, ji ber vê yekê navê "Stêrk" lê kirin.
Modula sîxur agahdariya jêrîn berhev kir:

  • navnîşa pêvajoyên xebitandinê, agahdariya li ser bikarhêner û domaina heyî;
  • lîsteya ajokarên mentiqî, tevî ajokarên torê;
  • screenshots;
  • navnîşanên pêwendiya torê, tabloyên rêvekirinê;
  • pelê têketinê yên bişkojkên klavyeyê;
  • navên paceyên serîlêdanê yên vekirî;
  • lîsteya çavkaniyên torê yên berdest (çavkaniyên parvekirinê);
  • navnîşek bêkêmasî ya pelan li ser hemî dîskan, tevî yên jêbirin;
  • navnîşek komputerên di "dorhêla torê" de.

Modulek din a sîxur (infostealer) guhertoyek ya ku ji berê ve hatî vegotin bû, lê wekî pirtûkxaneyek dll hatî berhev kirin; fonksiyonên keylogger, berhevkirina navnîşek pelan û navnîşkirina komputerên ku di nav domainê de hene jê hatin rakirin.
Modula paşîn (çareserî) agahdariya pergalê berhev kirin:

  • gelo komputer beşek ji domainek e;
  • rêyên berbi pelrêçên pergala Windows;
  • guhertoya pergala xebitandinê;
  • navê bikarhênerê niha;
  • lîsteya adapterên torê;
  • sîstem û dema herêmî, û her weha devera demjimêr.

Modula dawîn (dirêjkirina temenê) fonksiyonek ji bo zêdekirina nirxê (di pelê daneya mîhengê ya modula bingehîn de hatî hilanîn) ya hejmara rojên ku mayî heya ku kar biqede zêde kir. Ji hêla xwerû ve, ev nirx li gorî guhertina DUS, û her roj bi yek ve girêdayî ye.

navendên fermandariyê

Di 20ê Cotmeha (October) 2011ê de (5.2 roj piştî ku agahî derbarê vedîtinê de hatin belavkirin), operatorên Duqu prosedurek ji bo tunekirina şopên karkirina navendên fermandariyê pêk anîn. Navendên fermandariyê li çaraliyê cîhanê li ser serverên hackedkirî bûn - li Viyetnam, Hindistan, Almanya, Sîngapûr, Swîsre, Brîtanya Mezin, Hollanda û Koreya Başûr. Balkêş e, hemî serverên naskirî guhertoyên CentOS 5.4, 5.5 an 32 dimeşandin. OS hem 64-bit û hem jî 4.3-bit bûn. Tevî vê rastiyê ku hemî pelên têkildarî xebata navendên fermandariyê hatin jêbirin, pisporên Kaspersky Lab karîbûn hin agahdariya pelên LOG-ê ji cîhê bêkêmasî vegerînin. Rastiya herî balkêş ev e ku êrişkerên li ser pêşkêşkeran her gav pakêta xwerû ya OpenSSH 5.8 bi guhertoya 4.3-ê veguherînin. Ev dibe ku destnîşan bike ku di OpenSSH 80 de qelsiyek nenas ji bo hakkirina pêşkêşkeran hate bikar anîn. Hemû sîstem weke navendên fermanê nehatin bikaranîn. Hin, li gorî xeletiyên di têketinên sshd-ê de dema ku hewl didin beralîkirina seyrûsefera ji bo portên 443 û XNUMX-an didin, wekî serverek proxy hate bikar anîn da ku bi navendên fermana paşîn ve girêbide.

Dîrok û modul

Belgeyek Word-ê ku di Nîsana 2011-an de hatî belav kirin, ku ji hêla Kaspersky Lab ve hatî vekolîn, ajokarek dakêşker a sazkerê bi tarîxa berhevkirinê ya 31-ê Tebaxê, 2007-an vedihewîne. Ajokarek wusa (mezin - 20608 bytes, MD5 - EEDCA45BD613E0D9A9E5C69122007F17) di belgeyek ku di laboratîfên CrySys de hatî dîtin de dîroka berhevkirinê ya 21ê Sibata 2008-an hebû. Digel vê yekê, pisporên Kaspersky Lab ajokarê xwerû rndismpc.sys (mezin - 19968 bytes, MD5 - 9AEC6E10C5EE9C05BED93221544C783E) bi tarîxa 20ê Çileya Paşîn, 2008 de dîtin. Tu pêkhateyên ku 2009 nîşankirî ne hatin dîtin. Li ser bingeha zemanên berhevkirina beşên takekesî yên Duqu, pêşkeftina wê dikare ji destpêka 2007-an vegere. Nîşandana wê ya pêşîn bi tespîtkirina pelên demkî yên celebê ~DO re têkildar e (dibe ku ji hêla yek ji modulên spyware ve hatî afirandin), dîroka çêkirina wê 28ê çiriya paşîna (November) 2008ê ye (gotara "Duqu & Stuxnet: Demjimêrek Bûyerên Balkêş"). Dîroka herî dawî ya ku bi Duqonê re têkildar bû 23ê Sibatê, di navbêna daxistinê de ajokerek daxistinê ya ku ji hêla Symantec ve hatî şandin.

Çavkaniyên agahdariya ku hatine bikar anîn:

rêze gotaran li ser Duqu ji Kaspersky Lab;
Rapora analîtîk a Symantec "W32.Duqu Pêşengê Stuxneta paşîn", guhertoya 1.4, Mijdar 2011 (pdf).

Source: www.habr.com

Add a comment