ProHoster > Π‘Π»ΠΎΠ³ > interrete nuntium > Duqu est malitiosa matrioshka

Duqu est malitiosa matrioshka

introduction

Pridie Kalendas Octobres 1 , fasciculus nomine ~DN2011.tmp missus ad VirusTotal website ex Hungaria. Eo tempore, tabella per duos tantum machinamenta antiviros ut malitiosa detecta est - BitDefender and AVIRA. Ita coepit fabula Duqu. Prospiciens, dicendum est Duqu malware familiam ab hoc documento nominatam esse. Nihilominus hic fasciculus est speculator moduli perfecte independentis cum functionibus keylogger, probabiliter inauguratus ope distillatoris malivoli, et solum considerari potest uti "payload" a Duqu malware in progressu operationis suae, sed non integralis. pars (module) de Duqu. Una ex partium Duqu missa est ad munus Virustotal die 1 Septembris tantum. Distinguendum est aurigae signatum cum subscriptione digitale C-Mediae. Nonnulli periti statim coeperunt cum alio noto exemplo malware - Stuxnet analogias haurire, quibus etiam rectoribus signatis usi sunt. Numerus computatorum a Duqu infectis, variis antivirorum societatibus circa mundum deprehensis, in decem est. Multae societates dicunt Iran rursus principale scopum esse, sed ex geographia distributionis contagionum iudicantes, hoc pro certo dici non potest.
Duqu est malitiosa matrioshka
Hoc in casu, fiducialiter loqui debet solum de alia societate cum verbo novo ficto RECTUS (Pertinax comminatio provectus).

Exsequendam ratio in procedure

Investigatio facta a peritis ex organisationis Hungaricae CrySyS ( Laboratorium Hungaricum Cryptographiae et Systema Securitatis Budapestinae Universitatis Technologiae et Oeconomicorum ) ad inventionem institutionis (dropperi) perduxit, per quam ratio infecta est. Erat fasciculus Microsoft Word cum ficto pro vulnerabilitate de win32k.sys agitatoris (MS11-087, descriptus ab Microsoft die XIII mensis Novembris anno MMXI), quae est responsalis pro fonte TTF mechanismo reddendo. Rebus testudo fonte infixa in documento, quod "Dexter Regular" vocatur, utitur, et Showtime Inc. auctor fontis creditur. Ut videre potes, creatores Duqu a sensu humoris non alienum sunt: ​​Dexter interfector serial, heros seriei televisionis eiusdem nominis, per Showtime cinematographicum, est. Dexter solus interficit (si fieri potest) scelestos, i.e., legem rumpit in nomine legis. Probabiliter, hoc modo, tincidunt Duqu sunt ironiae quae in actionibus illicitis ad bonum finem versantur. Litteras mittens ab e-mail de industria peractas. Ad computatores mittendo, verisimile, aedilis (hacked) usi sunt ut medium ad difficiliores semitas faciendas.
Documentum Verbi sic continebat sequentia membra:

  • text content;
  • infixa fonti;
  • facinus sericum;
  • agitator;
  • institutor (DLL).

In casu opportuno, testae res gestae sequentes operationes (in modum nuclei perfecerunt);

  • ceptum re-infection fiebat, ob hoc, exsistentia clavis 'CF4D' in registro deprimebatur in 'HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZones1', si verum erat, testudo eius exsecutionem perfecit;
  • duae tabulae decryptae sunt - agitator (sys) et instrumentum (dll);
  • infusum est in officia.exe processu et rectorem immisit;
  • in fine, testaceum se cyphris in memoria delevit.

Currens win32k.sys ut radix usoris 'System', Duqu's tincidunt eleganter solvitur problema de utroque launch et elevatione alienum (currit sub ratione usoris cum limitibus privilegiis).
Installer, post acceptam potestatem, decryptas tres datas clausuras in memoria continet;

  • signatum exactoris (sys);
  • modulus principalis (dll);
  • configuratione installer notitia (pnf).

In inauguratione configurationis data, numerus temporum definitus est (in forma duorum signorum - initium et finis). Installer inhibuit num dies hodiernus in eam incidat, nisi, exsecutionem suam perfecerit. Etiam in schedularum conformatione, nomina sub quibus auriga et moduli praecipui servati sunt, indicata sunt. Hoc in casu, principalis modulus in orbe forma encrypted servatus est.

Duqu est malitiosa matrioshka

Ad autostart Duqu, ministerium creatum est quod fasciculus exactoris utitur qui decryptas principales moduli in musca, utens claves in registro repositas. Pelagus modulus suam configurationem notitia scandalum continet. In primo initio, decrypta fuit, in eam diem institutionis ingressus est, post quem denuo encryptum et modulus principalis servatus est. Ita, in affectata systemate, per bonam institutionem, tres tabulae servatae sunt - auriga, modulus principalis et eius schematisma configuratio data, cum duae posteriores tabulae in forma encrypted in disco repositae sunt. Omnes decryptionis rationes in memoria tantum exercebantur. Haec multiplex institutionis ratio adhibebatur ad facultatem deprehensionis per programmatum antivirum extenuandum.

Pelagus moduli

Principalis modulus (resource 302), by notitia per Kaspersky Lab, MSVC 2008 in puro C utens scriptus, sed obiecto accessu ordinato utens. Accessus hic characteristicus est cum codice maligno enucleatur. Pro regula tale signum in C scriptum est ut magnitudinem minuat et implicationem vocat in C ++ inhaerentem redigat. Est etiam hic symbiosis. Plus, architectura eventus accumsan adhibita est. Kaspersky Lab operarii ad theoriam inclinati sunt quod principalis moduli scriptor usus praecessoris addendi in eo permittit ut codicem in C in obiecto stilo scribere sinat.
Modulus principalis est procedendi ad mandata accipienda ab operariis. Duqu varias vias inter se occurrunt: utentes protocolla HTTP et HTTPS, necnon utens tibiis nominatis (pipe). Nam HTTP(S), nomina regionalia centra imperii specificata sunt, cum per procuratorem operari licebat - usoris tesseraque data sunt. Canalis IP oratio datur et nomen canalis. Certa notitia reponitur in configuratione notitia scandali principalis moduli (encrypted).
Uti tibiis nominatis, consuetudo exsecutionis servo RPC deductae est. Sustinuit haec septem munera;

  • versionem installed revertetur;
  • dll injiciunt in processum certum et functionem determinatum vocant;
  • onus d!
  • processum immittendi vocando CreateProcess();
  • legunt contenta certa lima;
  • scribentes injustitiam notitia ad certum file;
  • delere file dedit.

Tibiae nominatae intra retiacula localia adhiberi possunt ad datas updated modulos et configurationem inter computatores Duqu-infecti. Praeterea Duqu agere potuit ut procuratorem pro aliis computatoribus infectis (quod accessum ad Interreti non habuit ob occasus firewall in porta). Aliquae versiones Duqu RPC functioni carebant.

Notum "payloads"

Symantec notavit quattuor saltem "payloads" onustas imperii centrum a Duqu potestate.
Nihilominus unus tantum ex eis residebat et compilavit ut documentum exsecutabile (exe), quod ad disci servatum est. Reliquae tres bibliothecae sunt exsequendae sicut d!. Onerati sunt alacriter et securi in memoria sine disco.

Insitum "payload" erat explorator moduli (infostealer) with keylogger functions. VirusTotal opus in investigationis Duqu incohavit. Speculator principalis functionality erat in subsidiis, quorum primum 8 chiliobytarum pars continebat photo galaxiae NGC 6745 (pro masking). Revocandum hic est mense Aprili 2012 aliqua media informationes divulgata (http://www.mehrnews.com/en/newsdetail.aspx?NewsID=1297506) Iran esse aliqua stellarum malware genera exposita, cum singula res non detegitur. Fieri potest ut tale specimen Duqu "payload" tunc in Iran deprehensum sit, unde nomen "stellarum" (stellarum).
Explorator sequentis moduli collegit informationem:

  • index processus currendi, informationes de usuario hodierno et ditione;
  • index agitorum logicalium, retis inclusis;
  • eenshotsscray;
  • inscriptiones interfaces retis, tabulas excitandas;
  • tabella keystrokes claviaturae log;
  • nomina fenestrarum patentium applicatio;
  • list of available network resources (sharing resources);
  • totum fasciculorum album in omnibus impellit, etiam amovibilibus;
  • index computatrorum in "ametaria reticulata".

Alius moduli speculator (infostealer) variatio unius iam descripti fuit, sed ut bibliotheca dll, functiones keylogger exaravit, indicem fasciculorum componens et computatorum computatorum in dominio inclusorum ab ea remotus est.
Modulus proximus (recognition) Ratio collecta notitia:

  • an computatorium sit pars fundi;
  • semitae ad Windows systema directoria;
  • versio operandi;
  • nomen hodiernae usoris;
  • index adaptorum retis;
  • ratio temporis et loci, itemque temporis zona.

Ultima modulus (timeo extender) functio ad augendam valorem (repositae in conformatione fasciculi principalis moduli) numeri dierum manentium usque ad finem operis. Per defaltam, hic valor ad 30 vel 36 dies secundum modificationem Duqu constitutus est, et uno in die minuitur.

imperium centers

Die XX mensis Octobris anno MMXI (triduum post inventionem divulgatum est), Duqu operariorum processum habuit ut vestigia operationis sedium mandatorum delerent. Centra Imperii erant in servientibus circum orbem terrarum detruncati - in Vietnam, India, Germania, Singapore, Helvetia, Magna Britannia, Hollandia, Corea Meridiana. Interestingly omnes identificatores currebant CentOS versiones 20, 2011, vel 5.2. Oses erant pariter 5.4-bit et 5.5-bit. Non obstante quod omnia documenta pertinentia ad operationi centri imperii deleta sunt, Kaspersky Lab artifices curaverunt ut aliquas notitias in TABULArum spatio remissas recuperare curaret. Maxime interesting res est quod hostes in servientibus semper default OpenSSH 32 sarcinam cum versione 64. Hoc indicare potest vulnerabilitatem ignotam in OpenSSH 4.3 adhibitam esse ut ministris trucidandis. Non omnes systemata adhibita sunt ut centra mandatum. Nonnulli, aestimantes errores in sshd lignis cum negotiationem portuum 5.8 et 4.3 redirectam conantur, usus est ut ineundo servo coniungendi centra finalia imperandi.

Dies et moduli

Verbum documentum mense Aprili 2011 distributum, quod ab Kaspersky Lab examinatum est, instrumentum electronicarum coegi cum compilatione diei 31 mensis Augusti anno 2007 continebat. Similis agitator (magnitudo - 20608 bytes, MD5 - EEDCA45BD613E0D9A9E5C69122007F17) in documento, quod laboratorium CrySys invenerat, compilationem habuit datam die 21 mensis Februarii anno 2008. Praeterea Kaspersky Lab periti autorunorum coegi rndismpc.sys invenerunt (size - 19968 bytes, MD5 - 9AEC6E10C5EE9C05BED93221544C783E) datas 20 Ianuarii 2008 . Nullae partes notatae 2009 inventae sunt. Ex compilatione indicia notarum singularum partium Duqu, eius progressione primo MMVII reducere potuit. Prima eius manifestatio coniungitur cum deprehensione imaginum temporalium formae ~DO (probabiliter ab uno e spyware creatae), cuius dies creationis dies XXVIII mensis Novembris anno MMVIII coniungitur.articulus "Duqu & Stuxnet: A timeline of Interesting Events"). Recentissima dies ad Duqu relata est, die 23 februarii, 2012, in instrumento download exactoris a Symantec mense Martio MMXII reperto.

Adsuesco assuesco informationes:

series articulorum de Duqu ex Kaspersky Lab;
Symantec Analyticum Report "W32.Duqu Praecursor ad proximum Stuxnet"., versio 1.4, mensis Novembris anno 2011 (pdf).

Source: www.habr.com