ProHoster > Blog > Internet Neiegkeeten > Duqu - béiswëlleg Naschtpopp

Duqu - béiswëlleg Naschtpopp

Aféierung

Den 1. September 2011 gouf e Fichier mam Numm ~DN1.tmp op d'VirusTotal Websäit aus Ungarn geschéckt. Zu där Zäit gouf d'Datei als béiswëlleg vun nëmmen zwee Antivirusmotoren entdeckt - BitDefender an AVIRA. Dëst ass wéi d'Geschicht vum Duqu ugefaang huet. Wann Dir no vir kuckt, muss et gesot ginn datt d'Duqu Malware Famill nom Numm vun dëser Datei benannt gouf. Wéi och ëmmer, dës Datei ass e komplett onofhängege Spyware-Modul mat Keylogger-Funktiounen, installéiert, wahrscheinlech, mat engem béiswëllegen Downloader-Dropper, a kann nëmmen als "Notzlaascht" ugesi ginn, gelueden vun der Duqu Malware wärend senger Operatioun, an net als Komponent ( Modul) vum Duqu. Ee vun den Duqu Komponente gouf nëmmen den 9. September un de Virustotal Service geschéckt. Seng ënnerschiddlech Feature ass e Chauffer digital ënnerschriwwen vu C-Media. E puer Experten hunn direkt ugefaang Analogien mat engem anere berühmte Beispill vu Malware ze zéien - Stuxnet, déi och ënnerschriwwene Chauffeuren benotzt hunn. D'total Zuel vun Duqu-infizéierte Computeren, déi vu verschiddenen Antivirusfirmen weltwäit festgestallt goufen, ass an Dosende. Vill Firme behaapten datt den Iran erëm d'Haaptziel ass, awer no der geographescher Verdeelung vun den Infektiounen beurteelen, kann dëst net sécher gesot ginn.
Duqu - béiswëlleg Naschtpopp
An dësem Fall sollt Dir zouversiichtlech nëmmen iwwer eng aner Firma mat engem neie Wuert schwätzen aktuell (fortgeschratt persistent Bedrohung).

System Ëmsetzung Prozedur

Eng Enquête, déi vu Spezialisten aus der ungarescher Organisatioun CrySyS (Ungaresch Laboratoire fir Kryptographie a Systemsécherheet an der Budapest University of Technology and Economics) duerchgefouert gouf, huet zu der Entdeckung vum Installateur (Dropper) gefouert, duerch deen de System infizéiert war. Et war e Microsoft Word-Datei mat engem Ausbeutung fir d'Win32k.sys Chauffer Schwachstelle (MS11-087, beschriwwen vum Microsoft den 13. November 2011), déi verantwortlech ass fir den TTF Schrëft Rendering Mechanismus. De Shellcode vum Exploit benotzt eng Schrëft mam Numm 'Dexter Regular', déi am Dokument agebonnen ass, mat Showtime Inc. Wéi Dir gesitt, sinn d'Creatoren vun Duqu kee Frieme fir e Sënn fir Humor: Dexter ass e Serial Killer, den Held vun der Televisiounsserie mam selwechten Numm, produzéiert vu Showtime. Dexter killt nëmmen (wa méiglech) Krimineller, dat heescht, hien brécht d'Gesetz am Numm vun der Legalitéit. Wahrscheinlech, op dës Manéier, sinn d'Duqu Entwéckler ironesch datt si fir gutt Zwecker illegal Aktivitéiten engagéieren. E-Mail schécken gouf gezielt gemaach. D'Sendung huet héchstwahrscheinlech kompromittéiert (gehackt) Computeren als Tëschestatioun benotzt fir d'Verfollegung schwéier ze maachen.
D'Word Dokument enthält also déi folgend Komponenten:

  • Text Inhalt;
  • gebaut-an Schrëft;
  • Shellcode ausnotzen;
  • Chauffeur;
  • Installateur (DLL Bibliothéik).

Wann et erfollegräich ass, huet den Exploit Shellcode déi folgend Operatiounen gemaach (am Kernel Modus):

  • e Scheck gouf fir d'Infektioun gemaach; dofir gouf d'Präsenz vum 'CF4D' Schlëssel am Registry op der Adress 'HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZones1' iwwerpréift; wann dëst richteg war, huet de Shellcode seng Ausféierung ofgeschloss;
  • zwee Dateie goufen entschlësselt - de Chauffer (sys) an den Installateur (dll);
  • de Chauffer gouf an de Services.exe Prozess injizéiert an den Installateur gestart;
  • Endlech huet de Shellcode sech mat Nullen an der Erënnerung geläscht.

Wéinst der Tatsaach, datt win32k.sys ënner dem privilegiéierten Benotzer 'System' ausgefouert gëtt, hunn d'Duqu Entwéckler elegant de Problem vun onerlaabten Start an Eskalatioun vu Rechter geléist (ënnert engem Benotzerkont mat limitéierten Rechter lafen).
Nodeems d'Kontroll kritt huet, huet den Installateur dräi Blöcke vun Daten an der Erënnerung entschlësselt, mat:

  • ënnerschriwwen Chauffer (sys);
  • Haaptmodul (dll);
  • Installateur Konfiguratiounsdaten (pnf).

En Datumbereich gouf an den Installateur Konfiguratiounsdaten uginn (a Form vun zwee Zäitstempel - Start an Enn). Den Installateur huet gepréift ob den aktuellen Datum dran abegraff ass, a wann net, huet se seng Ausféierung ofgeschloss. Och am Installateur Konfiguratiounsdaten waren d'Nimm ënner deenen de Chauffer an den Haaptmodul gespäichert goufen. An dësem Fall gouf den Haaptmodul op der Disk a verschlësselte Form gespäichert.

Duqu - béiswëlleg Naschtpopp

Fir Duqu automatesch ze starten, gouf e Service erstallt mat enger Chaufferdatei, déi den Haaptmodul op der Flucht mat Schlësselen, déi am Registry gespäichert sinn, entschlësselt. Den Haaptmodul enthält seng eege Konfiguratiounsdatenblock. Wann d'éischt lancéiert gouf, gouf et entschlësselt, den Installatiounsdatum gouf an et aginn, duerno gouf et erëm verschlësselt a vum Haaptmodul gespäichert. Also, am betraffene System, no der erfollegräicher Installatioun, goufen dräi Dateien gespäichert - de Chauffer, den Haaptmodul a seng Konfiguratiounsdatendatei, mat de leschten zwee Dateien op der Disk an verschlësselte Form gespäichert. All Dekodéierungsprozedure goufen nëmmen an der Erënnerung duerchgefouert. Dës komplex Installatiounsprozedur gouf benotzt fir d'Méiglechkeet vun der Detektioun duerch Antivirus Software ze minimiséieren.

D'Haaptrei Modul

Haaptmodul (Ressource 302), no Informatiounen Firma Kaspersky Lab, geschriwwen mat MSVC 2008 a pure C, awer mat enger objektorientéierter Approche. Dës Approche ass oncharakteristesch wann Dir béiswëlleg Code entwéckelt. Normalerweis gëtt esou Code an C geschriwwe fir d'Gréisst ze reduzéieren an déi implizit Uruff lass ze ginn, déi an C++ inherent sinn. Et gëtt eng gewësse Symbios hei. Plus, eng Event-Undriff Architektur gouf benotzt. Kaspersky Lab Mataarbechter sinn geneigt zu der Theorie datt den Haaptmodul mat engem Pre-Prozessor Add-on geschriwwe gouf, deen Iech erlaabt C Code an engem Objektstil ze schreiwen.
Den Haaptmodul ass verantwortlech fir d'Prozedur fir d'Befehle vun de Betreiber ze kréien. Duqu bitt verschidde Methoden fir Interaktioun: d'Benotzung vun den HTTP- an HTTPS-Protokoller, wéi och d'Benotzung vu genannte Päifen. Fir HTTP(S) goufen Domain Nimm vu Kommandozenter spezifizéiert, an d'Fäegkeet fir duerch e Proxy-Server ze schaffen - e Benotzernumm a Passwuert goufe fir si uginn. D'IP Adress a säin Numm gi fir de Kanal spezifizéiert. Déi spezifizéiert Donnéeën sinn am Haaptmodul Konfiguratiounsdatenblock gespäichert (a verschlësselte Form).
Fir benannt Päifen ze benotzen, hu mir eis eegen RPC Server Implementatioun gestart. Et ënnerstëtzt déi folgend siwe Funktiounen:

  • déi installéiert Versioun zréck;
  • injizéieren eng dll an de spezifizéierte Prozess an rufft déi spezifizéiert Funktioun;
  • lued dll;
  • Start engem Prozess vun engem Opruff CreateProcess ();
  • liesen den Inhalt vun enger bestëmmter Datei;
  • schreiwen Daten op déi spezifizéierter Datei;
  • läschen déi spezifizéierter Datei.

Benannt Päifen kéinten an engem lokalen Netzwierk benotzt ginn fir aktualiséiert Moduler a Konfiguratiounsdaten tëscht Duqu-infizéierte Computeren ze verdeelen. Zousätzlech konnt Duqu als Proxy-Server fir aner infizéiert Computeren handelen (déi net Zougang zum Internet haten wéinst de Firewall-Astellungen op der Paart). E puer Versioune vun Duqu hu keng RPC Funktionalitéit.

Bekannt "Notzlaascht"

Symantec entdeckt op d'mannst véier Zorte vu Notzlaascht, déi ënner Kommando vum Duqu Kontrollzentrum erofgeluede goufen.
Ausserdeem war nëmmen ee vun hinnen résident a kompiléiert als ausführbar Datei (exe), déi op Disk gespäichert gouf. Déi reschtlech dräi goufen als dll Bibliothéiken implementéiert. Si goufen dynamesch gelueden an an der Erënnerung ausgefouert ouni op Disk gespäichert ze ginn.

D'Residente "Notzlaascht" war e Spiounsmodul (infostealer) mat Keylogger Funktiounen. Et war andeems se et op VirusTotal geschéckt hunn, datt d'Aarbechten un der Duqu Fuerschung ugefaang hunn. D'Haaptrei Spioun Funktionalitéit war an der Ressource, déi éischt 8 Kilobyte vun deem enthält en Deel vun enger Foto vun der Galaxis NGC 6745 (fir Tarnung). Et soll hei drun erënnert ginn datt am Abrëll 2012 e puer Medien Informatioun publizéiert hunn (http://www.mehrnews.com/en/newsdetail.aspx?NewsID=1297506) datt den Iran u béisaarteg Software "Stars" ausgesat war, wärend Detailer vum den Tëschefall goufen net bekanntginn. Vläicht war et just esou eng Probe vun der Duqu "Notzlaascht", déi deemools am Iran entdeckt gouf, dohier den Numm "Stars".
De Spiounsmodul huet déi folgend Informatioun gesammelt:

  • Lëscht vun Lafen Prozesser, Informatiounen iwwert déi aktuell Benotzer an Domain;
  • Lëscht vun logesch fiert, dorënner Reseau fiert;
  • Screenshots;
  • Netzwierk Interface Adressen, Routing Dëscher;
  • Log Datei vun Tastatur Tastatur;
  • Nimm vun oppene Applikatiounsfenster;
  • Lëscht vun verfügbare Ressourcen Ressourcen (Ressourcen deelen);
  • eng komplett Lëscht vun Dateien op all Disken, dorënner eraushuelbare;
  • eng Lëscht vun Computeren am "Netzwierk Ëmfeld".

En anere Spiounsmodul (infostealer) war eng Variatioun vun deem wat scho beschriwwe gouf, awer als dll-Bibliothéik kompiléiert; d'Funktioune vun engem Keylogger, d'Kompilatioun vun enger Lëscht vu Dateien an d'Lëscht vun Computeren, déi an der Domain abegraff sinn, goufen dovun ewechgeholl.
Nächste Modul (Unerkennung) gesammelt Systeminformatioun:

  • ob de Computer Deel vun engem Domain ass;
  • Weeër fir Windows System Verzeechnes;
  • Betribssystem Versioun;
  • aktuelle Benotzernumm;
  • Lëscht vun Netzwierkadapteren;
  • System a lokal Zäit, souwéi Zäit Zone.

leschte Modul (Liewensdauer Extender) implementéiert eng Funktioun fir de Wäert ze erhéijen (an der Haaptmodul Konfiguratiounsdatei gespäichert) vun der Unzuel vun Deeg, déi bleiwen bis d'Aarbecht fäerdeg ass. Par défaut gouf dëse Wäert op 30 oder 36 Deeg gesat, jee no der Duqu Ännerung, a reduzéiert all Dag ëm een.

Kommando Zentren

Den 20. Oktober 2011 (dräi Deeg nodeems d'Informatioun iwwer d'Entdeckung verbreet gouf), hunn Duqu Bedreiwer eng Prozedur duerchgefouert fir Spure vum Fonctionnement vun de Kommandozenter ze zerstéieren. Kommando Zentren waren op gehackte Serveren ronderëm d'Welt lokaliséiert - a Vietnam, Indien, Däitschland, Singapur, Schwäiz, Groussbritannien, Holland a Südkorea. Interessanterweis hunn all identifizéiert Serveren CentOS Versiounen 5.2, 5.4 oder 5.5 lafen. D'OS waren souwuel 32-Bit wéi och 64-Bit. Trotz der Tatsaach, datt all Dateien am Zesummenhang mat der Operatioun vu Kommandozenter geläscht goufen, konnten d'Spezialisten vum Kaspersky Lab e puer vun den Informatioune vu LOG-Dateien aus schwaachem Raum recuperéieren. Déi interessantst Tatsaach ass datt Ugräifer op Serveren ëmmer de Standard OpenSSH 4.3 Package mat der Versioun 5.8 ersat hunn. Dëst kann uginn datt eng onbekannt Schwachstelle am OpenSSH 4.3 benotzt gouf fir Serveren ze hacken. Net all Systemer goufen als Kommando Zentren benotzt. E puer, beurteelen duerch d'Fehler an den sshd Logbicher beim Versuch, de Verkéier fir d'Ports 80 an 443 ze redirectéieren, goufen als Proxy-Server benotzt fir mat den Endkommandozentren ze verbannen.

Datumer a Moduler

E Word Dokument dat am Abrëll 2011 verdeelt gouf, dat vum Kaspersky Lab iwwerpréift gouf, enthält en Installateur Download Driver mat engem Kompiléierungsdatum vum 31. August 2007. En ähnlechen Chauffer (Gréisst - 20608 Bytes, MD5 - EEDCA45BD613E0D9A9E5C69122007F17) an engem Dokument fonnt an CrySys Laboratoiren hat e Kompiléierungsdatum vum 21. Februar 2008. Zousätzlech hunn Kaspersky Lab Experten den Autorun Treiber rndismpc.sys (Gréisst - 19968 Bytes, MD5 - 9AEC6E10C5EE9C05BED93221544C783E) mam Datum 20. Januar 2008 fonnt. Keng Komponente markéiert 2009 goufen fonnt. Baséierend op den Zäitstempel vun der Zesummesetzung vun eenzelnen Deeler vum Duqu, kéint seng Entwécklung bis Ufank 2007 zréckkommen. Seng fréist Manifestatioun ass mat der Detektioun vun temporäre Dateien vum Typ ~DO verbonnen (wahrscheinlech vun engem vun de Spyware Moduler erstallt), de Kreatiounsdatum vun deem ass den 28. November 2008 (en Artikel "Duqu & Stuxnet: A Timeline of Interesting Events"). Dee leschten Datum assoziéiert mam Duqu war den 23. Februar 2012, enthale an engem Installateur-Download-Treiber entdeckt vum Symantec am Mäerz 2012.

Informatiounsquellen benotzt:

Serie vun Artikelen iwwer Duqu vum Kaspersky Lab;
Symantec analytesche Bericht "W32.Duqu De Virleefer vum nächste Stuxnet", Versioun 1.4, November 2011 (pdf).

Source: will.com

Setzt e Commentaire