ProHoster > Blog > интернет жаңылыктары > Duqu - зыяндуу уя салган куурчак

Duqu - зыяндуу уя салган куурчак

тааныштыруу

1-жылдын 2011-сентябрында VirusTotal веб-сайтына Венгриядан ~DN1.tmp аттуу файл жөнөтүлгөн. Ошол учурда файл зыяндуу деп эки гана антивирус кыймылдаткычы тарабынан аныкталган - BitDefender жана AVIRA. Дуктун окуясы ушинтип башталды. Алдыга карап, Duqu зыяндуу программа үй-бүлөсү бул файлдын атынан аталган деп айтуу керек. Бирок, бул файл, балким, зыяндуу жүктөөчү-тамчылаткычтын жардамы менен орнотулган, keylogger функциялары бар толугу менен көз карандысыз шпиондук программанын модулу жана Duqu зыяндуу программасы анын иштеши учурунда жүктөлгөн “пайдалуу жүк” катары каралышы мүмкүн, бирок компонент катары эмес (. модулу) Дуку. Duqu компоненттеринин бири Virustotal кызматына 9-сентябрда гана жөнөтүлгөн. Анын айырмалоочу өзгөчөлүгү C-Media тарабынан санариптик кол коюлган айдоочу болуп саналат. Кээ бир эксперттер ошол замат зыяндуу программанын дагы бир атактуу мисалы - Stuxnet менен аналогияларды тарта башташты, анда кол коюлган драйверлер да колдонулат. Дүйнө жүзү боюнча түрдүү антивирус компаниялары тарабынан аныкталган Duqu вирусу жуккан компьютерлердин жалпы саны ондогон. Көптөгөн компаниялар Иран кайрадан негизги бутага айланды деп ырасташат, бирок инфекциялардын географиялык таралышы боюнча муну так айтууга болбойт.
Duqu - зыяндуу уя салган куурчак
Бул учурда, сиз ишенимдүү жаңы сөз менен башка компания жөнүндө гана айтуу керек APT (өнүккөн туруктуу коркунуч).

Системаны ишке ашыруу процедурасы

Венгриялык CrySyS уюмунун (Будапешттин Технология жана Экономика университетиндеги Венгриянын криптография жана система коопсуздугу лабораториясы) адистери жүргүзгөн иликтөөнүн натыйжасында системага вирус жуккан орнотуучу (тамчылаткыч) табылды. Бул TTF шрифтин көрсөтүү механизми үчүн жооптуу болгон win32k.sys драйверинин (MS11-087, Microsoft тарабынан 13-жылдын 2011-ноябрында сүрөттөлгөн) начардыгы бар Microsoft Word файлы болчу. Эксплоиттин кабык коду документке камтылган "Dexter Regular" деп аталган шрифти колдонот, ал эми шрифттин жаратуучусу катары Showtime Inc. Көрүнүп тургандай, Дуктун жаратуучулары юмор сезимине чоочун эмес: Декстер - Showtime чыгарган ошол эле аталыштагы телесериалдын каарманы. Декстер (мүмкүн болсо) кылмышкерлерди гана өлтүрөт, башкача айтканда, мыйзамдуулуктун атынан мыйзамды бузду. Кыязы, ушинтип, дукуларды иштеп чыгуучулар жакшы максатта мыйзамсыз иштерге барышканына ирония кылышса керек. Электрондук каттарды жөнөтүү максаттуу жасалган. Жеткирүү, кыязы, көз салууну кыйындатуу үчүн ортомчу катары бузулган (хакерленген) компьютерлерди колдонгон.
Ошентип, Word документи төмөнкү компоненттерди камтыйт:

  • текст мазмуну;
  • камтылган шрифт;
  • shellcode иштетүү;
  • айдоочу;
  • орнотуучу (DLL китепканасы).

Ийгиликтүү болсо, эксплоиттин shellcode төмөнкү операцияларды аткарды (ядро режиминде):

  • бул үчүн 'CF4D' ачкычынын болушу 'HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZones1' дареги боюнча текшерилди;
  • эки файлдын шифри чечилди - драйвер (sys) жана орнотуучу (dll);
  • айдоочу services.exe процессине киргизилип, орнотуучуну ишке киргизди;
  • Акыр-аягы, shellcode эстутумда нөлдөр менен өзүн өчүрдү.

Win32k.sys артыкчылыктуу колдонуучу "Системасы" астында аткарылгандыктан, Duqu иштеп чыгуучулары уруксатсыз ишке киргизүү жана укуктарды жогорулатуу (укуктары чектелген колдонуучунун аккаунту астында иштөө) көйгөйүн көрктүү чечишти.
Контролду алгандан кийин, орнотуучу эстутумда камтылган маалыматтардын үч блогун чечмеледи:

  • кол коюлган драйвер (sys);
  • негизги модулу (dll);
  • орнотуучу конфигурация маалыматтары (pnf).

Орнотуучунун конфигурациясынын маалыматтарында даталар диапазону көрсөтүлгөн (эки убакыт белгиси түрүндө - башталышы жана аякташы). Орнотуучу ага учурдагы дата камтылганбы же жокпу, текшерди, ал эми жок болсо, анын аткарылышын аяктады. Ошондой эле орнотуучу конфигурация маалыматтарында драйвер жана негизги модул сакталган аталыштар болгон. Бул учурда, негизги модулу шифрленген түрдө дискте сакталган.

Duqu - зыяндуу уя салган куурчак

Duqu'ну автоматтык түрдө ишке киргизүү үчүн реестрде сакталган ачкычтарды колдонуу менен негизги модулдун шифрин тез чечүүчү драйвер файлын колдонуу менен сервис түзүлдү. Негизги модулда өзүнүн конфигурациясынын маалымат блогу бар. Биринчи жолу ишке киргизилгенде, ал шифрден чыгарылып, ага орнотуу датасы киргизилип, андан кийин кайра шифрленген жана негизги модулда сакталган. Ошентип, жабыркаган системада ийгиликтүү орнотуудан кийин үч файл сакталды - драйвер, негизги модул жана анын конфигурациясынын маалымат файлы, ал эми акыркы эки файл шифрленген түрдө дискте сакталган. Бардык декоддоо процедуралары эстутумда гана жүргүзүлдү. Бул татаал орнотуу процедурасы антивирустук программалык камсыздоо аркылуу аныктоо мүмкүнчүлүгүн азайтуу үчүн колдонулган.

Негизги модулу

Негизги модулу (ресурс 302), ылайык маалымат компаниясы Касперский лабораториясы, MSVC 2008 аркылуу таза C тилинде жазылган, бирок объектиге багытталган ыкманы колдонуу менен. Бул ыкма зыяндуу кодду иштеп чыгууда мүнөздүү эмес. Эреже катары, мындай код С тилинде жазылган, өлчөмүн азайтуу жана C++ мүнөздүү жашыруун чалуулар кутулуу. Бул жерде белгилүү бир симбиоз бар. Мындан тышкары, окуяга негизделген архитектура колдонулган. Касперский лабораториясынын кызматкерлери негизги модул С кодун объекттик стилде жазууга мүмкүндүк берүүчү алдын ала процессордук кошумчаны колдонуу менен жазылган деген теорияга жакын.
Негизги модул операторлордон буйруктарды кабыл алуу процедурасына жооп берет. Duqu өз ара аракеттенүүнүн бир нече ыкмаларын камсыз кылат: HTTP жана HTTPS протоколдорун колдонуу, ошондой эле аталган түтүктөрдү колдонуу. HTTP(S) үчүн командалык борборлордун домендик аталыштары көрсөтүлүп, прокси сервер аркылуу иштөө мүмкүнчүлүгү берилген – алар үчүн колдонуучунун аты жана сырсөз көрсөтүлгөн. Канал үчүн IP дареги жана анын аты көрсөтүлгөн. Көрсөтүлгөн маалыматтар негизги модулдун конфигурациясынын маалымат блогунда (шифрленген түрдө) сакталат.
Аты аталган түтүктөрдү колдонуу үчүн биз өзүбүздүн RPC серверибизди ишке киргиздик. Ал төмөнкү жети функцияны колдоду:

  • орнотулган версияны кайтаруу;
  • dll файлын көрсөтүлгөн процесске киргизиңиз жана көрсөтүлгөн функцияны чакырыңыз;
  • dll жүктөө;
  • CreateProcess() чакырып процессти баштоо;
  • берилген файлдын мазмунун окуу;
  • көрсөтүлгөн файлга маалыматтарды жазуу;
  • көрсөтүлгөн файлды жок кылуу.

Аты аталган түтүктөр жергиликтүү тармактын ичинде Duqu вирусу жуккан компьютерлер арасында жаңыланган модулдарды жана конфигурация маалыматтарын таратуу үчүн колдонулушу мүмкүн. Мындан тышкары, Duqu башка вирус жуккан компьютерлер үчүн прокси сервердин ролун аткара алат (шлюздеги брандмауэрдин орнотууларынан улам Интернетке кирүү мүмкүнчүлүгү жок). Duqu айрым версияларында RPC функциясы болгон эмес.

Белгилүү "пайдалуу жүктөр"

Symantec Duqu башкаруу борборунун буйругу менен жүктөлүп алынган пайдалуу жүктөрдүн кеминде төрт түрүн тапты.
Мындан тышкары, алардын бирөө гана резидент болгон жана аткарылуучу файл (exe) катары түзүлгөн, ал дискке сакталган. Калган үчөө dll китепканалары катары ишке ашырылган. Алар динамикалык түрдө жүктөлүп, дискке сакталбастан эстутумда аткарылган.

Резиденттик "пайдалуу жүк" шпиондук модулу болгон (маалымат уурдоочу) keylogger функциялары менен. Аны VirusTotalга жөнөтүү менен Duqu изилдөө иштери башталды. Негизги шпиондук функция бул ресурста болгон, анын алгачкы 8 килобайтында NGC 6745 галактикасынын сүрөтүнүн бир бөлүгү (камуфляж үчүн) болгон. Эске сала кетсек, 2012-жылдын апрель айында айрым маалымат каражаттары (http://www.mehrnews.com/en/newsdetail.aspx?NewsID=1297506) Иран "Stars" зыяндуу программалык камсыздоосуна кабылганы тууралуу маалыматты жарыялашкан. окуя ачыкталган жок. Балким, ал ошол кезде Иранда табылган Duqu "жүктүн" үлгүсү болгон, ошондуктан "Жылдыздар" деп аталган.
шпиондук модулу төмөнкү маалыматтарды чогулткан:

  • иштеп жаткан процесстердин тизмеси, учурдагы колдонуучу жана домен жөнүндө маалымат;
  • логикалык дисктердин тизмеси, анын ичинде тармактык дисктер;
  • скриншоттор;
  • тармак интерфейсинин даректери, маршруттук таблицалар;
  • клавиатура баскычтарынын журнал файлы;
  • ачык колдонмо терезелеринин аталыштары;
  • жеткиликтүү тармак ресурстарынын тизмеси (бөлүшүү ресурстары);
  • бардык дисктердеги файлдардын толук тизмеси, анын ичинде алынуучу файлдар;
  • "тармак чөйрөсүндөгү" компьютерлердин тизмеси.

Башка шпион модулу (маалымат уурдоочу) буга чейин сүрөттөлгөн нерсенин вариациясы болгон, бирок keyloggerдин функциялары катары түзүлгөн, файлдардын тизмесин түзүү жана доменге кирген компьютерлердин тизмеси алынып салынды.
Кийинки модул (чалгындоо) чогултулган система маалыматы:

  • компьютер домендин бир бөлүгү болобу;
  • Windows тутум каталогдоруна жолдор;
  • операциялык системанын версиясы;
  • учурдагы колдонуучунун аты;
  • тармак адаптерлердин тизмеси;
  • системасы жана жергиликтүү убакыт, ошондой эле убакыт алкагы.

акыркы модулу (өмүрдү узартуучу) жумуш аяктаганга чейин калган күндөрдүн санын (негизги модулдун конфигурациясынын маалымат файлында сакталган) көбөйтүү функциясын ишке ашырды. Демейки боюнча, бул маани Duqu өзгөртүүсүнө жараша 30 же 36 күнгө коюлуп, күн сайын бир азайган.

Командалык борборлор

20-жылдын 2011-октябрында (ачылыш тууралуу маалымат тарагандан үч күн өткөндөн кийин) Duqu операторлору башкаруу борборлорунун ишинин изин жок кылуу процедурасын жүргүзүштү. Командалык борборлор дүйнө жүзү боюнча бузулган серверлерде - Вьетнамда, Индияда, Германияда, Сингапурда, Швейцарияда, Улуу Британияда, Голландияда жана Түштүк Кореяда жайгашкан. Кызыгы, бардык аныкталган серверлер CentOS 5.2, 5.4 же 5.5 версияларын иштетишкен. ОС 32-бит жана 64-бит болгон. Командалык борборлордун иштешине тиешелүү бардык файлдар жок кылынганына карабастан, Касперский лабораториясынын адистери боштуктан LOG файлдарынан айрым маалыматтарды калыбына келтире алышты. Эң кызыгы, серверлерге чабуулчулар ар дайым демейки OpenSSH 4.3 пакетин 5.8 версиясы менен алмаштырып турушкан. Бул OpenSSH 4.3 ичиндеги белгисиз аялуу серверлерди бузуш үчүн колдонулганын көрсөтүшү мүмкүн. Бардык системалар командалык борборлор катары колдонулган эмес. Кээ бирлери, 80 жана 443 портторуна трафикти багыттоо аракетинде sshd журналдарындагы каталарга караганда, акыркы командалык борборлорго туташуу үчүн прокси сервер катары колдонулган.

Даталар жана модулдар

2011-жылдын апрель айында таратылган, Касперский лабораториясы тарабынан текшерилген Word документинде 31-жылдын 2007-августунда түзүлгөн орнотуучу жүктөө драйвери камтылган. CrySys лабораторияларында табылган документте окшош драйвердин (өлчөмү - 20608 байт, MD5 - EEDCA45BD613E0D9A9E5C69122007F17) 21-жылдын 2008-февралында түзүлгөн. Кошумчалай кетсек, Касперский лабораториясынын адистери 19968-жылдын 5-январындагы датасы менен rndismpc.sys (көлөмү - 9 байт, MD6 - 10AEC5E9C05EE93221544C783BED20C2008E) autorun драйверин табышты. 2009 деп белгиленген компоненттер табылган жок. Duqu айрым бөлүктөрүн түзүү убакыт белгилеринин негизинде, анын өнүгүшү 2007-жылдын башына чейин болушу мүмкүн. Анын эң алгачкы көрүнүшү ~DO түрүндөгү убактылуу файлдарды табуу менен байланышкан (балким, шпиондук программанын модулдарынын бири тарабынан түзүлгөн), анын түзүлгөн күнү 28-жылдын 2008-ноябры (макала "Duqu & Stuxnet: Кызыктуу окуялардын хронологиясы"). Duqu менен байланышкан эң акыркы дата 23-жылдын 2012-февралында Symantec тарабынан 2012-жылдын март айында табылган орнотуучу жүктөө драйверинде камтылган.

Колдонулган маалымат булактары:

макалалардын сериясы Касперский лабораториясынан Дуку жөнүндө;
Symantec аналитикалык отчету "W32.Duqu кийинки Stuxnetтин прекурсору", версия 1.4, ноябрь 2011 (pdf).

Source: www.habr.com

Комментарий кошуу