Ievads
1. gada 2011. septembrÄ« no UngÄrijas uz VirusTotal vietni tika nosÅ«tÄ«ts fails ar nosaukumu ~DN1.tmp. TobrÄ«d failu kÄ Ä¼aunprÄtÄ«gu atklÄja tikai divi pretvÄ«rusu dzinÄji ā BitDefender un AVIRA. TÄ sÄkÄs Duku stÄsts. Raugoties nÄkotnÄ, jÄsaka, ka Duqu ļaunprogrammatÅ«ras saime tika nosaukta pÄc Ŕī faila nosaukuma. TomÄr Å”is fails ir pilnÄ«gi neatkarÄ«gs spiegprogrammatÅ«ras modulis ar taustiÅu bloÄ·ÄÅ”anas funkcijÄm, kas instalÄts, iespÄjams, izmantojot ļaunprÄtÄ«gu lejupielÄdÄtÄju-pilinÄtÄju, un to var uzskatÄ«t tikai par ālietderÄ«go slodziā, ko Duqu ļaunprÄtÄ«ga programmatÅ«ra ielÄdÄjusi tÄs darbÄ«bas laikÄ, nevis kÄ komponentu ( modulis) no Duqu . Viens no Duqu komponentiem Virustotal servisam tika nosÅ«tÄ«ts tikai 9.septembrÄ«. TÄ atŔķirÄ«gÄ iezÄ«me ir C-Media digitÄli parakstÄ«ts draiveris. Daži eksperti nekavÄjoties sÄka zÄ«mÄt analoÄ£ijas ar citu slavenu ļaunprÄtÄ«gas programmatÅ«ras piemÄru - Stuxnet, kas arÄ« izmantoja parakstÄ«tus draiverus. KopÄjais ar Duqu inficÄto datoru skaits, ko atklÄj dažÄdas antivÄ«rusu kompÄnijas visÄ pasaulÄ, ir vairÄki desmiti. Daudzi uzÅÄmumi apgalvo, ka IrÄna atkal ir galvenais mÄrÄ·is, taÄu, spriežot pÄc infekciju Ä£eogrÄfiskÄ izplatÄ«bas, to nevar droÅ”i apgalvot.
Å ajÄ gadÄ«jumÄ jums vajadzÄtu pÄrliecinoÅ”i runÄt tikai par citu uzÅÄmumu ar jaunu vÄrdu
SistÄmas ievieÅ”anas procedÅ«ra
UngÄrijas organizÄcijas CrySyS (BudapeÅ”tas TehnoloÄ£iju un ekonomikas universitÄtes UngÄrijas kriptogrÄfijas un sistÄmu droŔības laboratorija) speciÄlistu veiktÄs izmeklÄÅ”anas rezultÄtÄ tika atklÄts uzstÄdÄ«tÄjs (pilinÄtÄjs), caur kuru sistÄma tika inficÄta. Tas bija Microsoft Word fails ar win32k.sys draivera ievainojamÄ«bas izmantoÅ”anu (MS11-087, ko Microsoft aprakstÄ«ja 13. gada 2011. novembrÄ«), kas ir atbildÄ«gs par TTF fontu renderÄÅ”anas mehÄnismu. EkspluatÄcijas Äaulas kodÄ tiek izmantots dokumentÄ iegults fonts ar nosaukumu "Dexter Regular", kurÄ kÄ fonta veidotÄjs ir norÄdÄ«ts Showtime Inc.. KÄ redzat, Duqu radÄ«tÄjiem humora izjÅ«ta nav sveÅ”a: Deksters ir sÄrijveida slepkava, tÄda paÅ”a nosaukuma televÄ«zijas seriÄla varonis, ko veido Showtime. Deksters nogalina tikai (ja iespÄjams) noziedzniekus, tas ir, pÄrkÄpj likumu likumÄ«bas vÄrdÄ. IespÄjams, Å”ÄdÄ veidÄ Duqu izstrÄdÄtÄji ironizÄ, ka nodarbojas ar nelegÄlÄm darbÄ«bÄm labiem mÄrÄ·iem. E-pastu sÅ«tÄ«Å”ana tika veikta mÄrÄ·tiecÄ«gi. SÅ«tÄ«jums, visticamÄk, izmantoja kompromitÄtus (uzlauztus) datorus kÄ starpnieku, lai apgrÅ«tinÄtu izsekoÅ”anu.
TÄdÄjÄdi Word dokumentÄ bija Å”Ädi komponenti:
- teksta saturs;
- iebÅ«vÄts fonts;
- izmantot Äaulas kodu;
- vadÄ«tÄjs;
- instalÄtÄjs (DLL bibliotÄka).
Ja tas bija veiksmÄ«gs, ekspluatÄcijas Äaulas kods veica Å”Ädas darbÄ«bas (kodola režīmÄ):
- tika veikta atkÄrtotas inficÄÅ”anÄs pÄrbaude; Å”im nolÅ«kam reÄ£istrÄ tika pÄrbaudÄ«ta atslÄgas āCF4Dā klÄtbÅ«tne adresÄ āHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZones1ā; ja tas bija pareizi, Äaulas kods pabeidza tÄ izpildi;
- tika atÅ”ifrÄti divi faili - draiveris (sys) un instalÄtÄjs (dll);
- draiveris tika ievadÄ«ts procesÄ services.exe un palaists instalÄÅ”anas programma;
- Visbeidzot, Äaulas kods izdzÄsa sevi ar nullÄm atmiÅÄ.
SakarÄ ar to, ka win32k.sys tiek izpildÄ«ts zem priviliÄ£ÄtÄ lietotÄja 'SistÄmas', Duqu izstrÄdÄtÄji ir eleganti atrisinÄjuÅ”i gan nesankcionÄtas palaiÅ”anas, gan tiesÄ«bu eskalÄcijas problÄmu (darboÅ”anos ar lietotÄja kontu ar ierobežotÄm tiesÄ«bÄm).
PÄc kontroles saÅemÅ”anas instalÄtÄjs atÅ”ifrÄja trÄ«s tajÄ esoÅ”os datu blokus atmiÅÄ, kas satur:
- parakstīts draiveris (sys);
- galvenais modulis (dll);
- instalÄtÄja konfigurÄcijas dati (pnf).
InstalÄÅ”anas programmas konfigurÄcijas datos tika norÄdÄ«ts datumu diapazons (divu laikspiedolu veidÄ - sÄkums un beigas). InstalÄtÄjs pÄrbaudÄ«ja, vai tajÄ ir iekļauts paÅ”reizÄjais datums, un, ja nÄ, tas pabeidza tÄ izpildi. ArÄ« instalÄtÄja konfigurÄcijas datos bija nosaukumi, ar kuriem tika saglabÄts draiveris un galvenais modulis. Å ajÄ gadÄ«jumÄ galvenais modulis tika saglabÄts diskÄ Å”ifrÄtÄ veidÄ.
Lai automÄtiski palaistu Duqu, tika izveidots pakalpojums, izmantojot draivera failu, kas lidojuma laikÄ atÅ”ifrÄja galveno moduli, izmantojot reÄ£istrÄ saglabÄtÄs atslÄgas. Galvenais modulis satur savu konfigurÄcijas datu bloku. Pirmoreiz palaižot, tas tika atÅ”ifrÄts, tajÄ tika ievadÄ«ts instalÄÅ”anas datums, pÄc tam tas tika atkÄrtoti Å”ifrÄts un saglabÄts galvenajÄ modulÄ«. TÄdÄjÄdi ietekmÄtajÄ sistÄmÄ pÄc veiksmÄ«gas instalÄÅ”anas tika saglabÄti trÄ«s faili - draiveris, galvenais modulis un tÄ konfigurÄcijas datu fails, savukÄrt pÄdÄjie divi faili tika saglabÄti diskÄ Å”ifrÄtÄ veidÄ. Visas dekodÄÅ”anas procedÅ«ras tika veiktas tikai atmiÅÄ. Å Ä« sarežģītÄ instalÄÅ”anas procedÅ«ra tika izmantota, lai samazinÄtu pretvÄ«rusu programmatÅ«ras atklÄÅ”anas iespÄju.
Galvenais modulis
Galvenais modulis (resurss 302), saskaÅÄ ar
Galvenais modulis ir atbildÄ«gs par operatoru komandu saÅemÅ”anas procedÅ«ru. Duqu nodroÅ”ina vairÄkas mijiedarbÄ«bas metodes: izmantojot HTTP un HTTPS protokolus, kÄ arÄ« izmantojot nosauktas caurules. HTTP(S) tika norÄdÄ«ti komandcentru domÄnu nosaukumi un nodroÅ”inÄta iespÄja strÄdÄt caur starpniekserveri - tiem tika norÄdÄ«ts lietotÄjvÄrds un parole. KanÄlam ir norÄdÄ«ta IP adrese un tÄs nosaukums. NorÄdÄ«tie dati tiek glabÄti galvenÄ moduļa konfigurÄcijas datu blokÄ (Å”ifrÄtÄ veidÄ).
Lai izmantotu nosauktÄs caurules, mÄs uzsÄkÄm savu RPC servera ievieÅ”anu. Tas atbalstÄ«ja Å”Ädas septiÅas funkcijas:
- atgriezt instalÄto versiju;
- ievadiet norÄdÄ«tajÄ procesÄ dll un izsauciet norÄdÄ«to funkciju;
- ielÄdÄt dll;
- sÄkt procesu, izsaucot CreateProcess();
- lasÄ«t dotÄ faila saturu;
- ierakstÄ«t datus norÄdÄ«tajÄ failÄ;
- dzÄst norÄdÄ«to failu.
NosauktÄs caurules var izmantot vietÄjÄ tÄ«klÄ, lai izplatÄ«tu atjauninÄtus moduļus un konfigurÄcijas datus starp Duqu inficÄtiem datoriem. TurklÄt Duqu varÄtu darboties kÄ starpniekserveris citiem inficÄtiem datoriem (kuriem vÄrtejas ugunsmÅ«ra iestatÄ«jumu dÄļ nebija piekļuves internetam). DažÄm Duqu versijÄm nebija RPC funkcionalitÄtes.
ZinÄmÄs "lietderÄ«gÄs slodzes"
Symantec atklÄja vismaz Äetru veidu kravnesÄ«bas, kas tika lejupielÄdÄtas saskaÅÄ ar komandu no Duqu vadÄ«bas centra.
TurklÄt tikai viens no tiem bija rezidents un tika kompilÄts kÄ izpildÄms fails (exe), kas tika saglabÄts diskÄ. AtlikuÅ”Äs trÄ«s tika ieviestas kÄ dll bibliotÄkas. Tie tika ielÄdÄti dinamiski un izpildÄ«ti atmiÅÄ, nesaglabÄjot diskÄ.
Rezidenta "lietderÄ«gÄ krava" bija spiegoÅ”anas modulis (infostealer) ar taustiÅu bloÄ·ÄÅ”anas funkcijÄm. TieÅ”i nosÅ«tot to VirusTotal, sÄkÄs darbs pie Duqu izpÄtes. GalvenÄ spiegu funkcionalitÄte bija resursÄ, kura pirmajos 8 kilobaitos bija daļa no galaktikas NGC 6745 fotoattÄla (maskÄÅ”anai). Å eit jÄatgÄdina, ka 2012. gada aprÄ«lÄ« daži plaÅ”saziÅas lÄ«dzekļi publicÄja informÄciju (http://www.mehrnews.com/en/newsdetail.aspx?NewsID=1297506), ka IrÄna bija pakļauta kÄdai ļaunprÄtÄ«gai programmatÅ«rai āStarsā, savukÄrt informÄcija par incidents netika atklÄts. VarbÅ«t tieÅ”i Å”Äds Duqu āderÄ«gÄs kravasā paraugs tika atklÄts IrÄnÄ, tÄpÄc arÄ« nosaukums āStarsā.
Spiegu modulis apkopoja Å”Ädu informÄciju:
- darbojoÅ”os procesu saraksts, informÄcija par paÅ”reizÄjo lietotÄju un domÄnu;
- loģisko disku saraksts, ieskaitot tīkla diskus;
- ekrÄnÅ”ÄviÅi;
- tÄ«kla interfeisa adreses, marÅ”rutÄÅ”anas tabulas;
- tastatÅ«ras taustiÅu nospieÅ”anas žurnÄlfails;
- atvÄrto lietojumprogrammu logu nosaukumi;
- pieejamo tīkla resursu saraksts (koplietoŔanas resursi);
- pilns failu saraksts visos diskos, ieskaitot noÅemamos;
- datoru saraksts ātÄ«kla vidÄā.
VÄl viens spiegu modulis (infostealer) bija jau aprakstÄ«tÄ variÄcija, bet kompilÄta kÄ dll bibliotÄka; no tÄ tika izÅemtas keyloggera funkcijas, failu saraksta sastÄdÄ«Å”ana un domÄnÄ iekļauto datoru uzskaitÄ«Å”ana.
NÄkamais modulis (izlÅ«koÅ”ana) apkopotÄ sistÄmas informÄcija:
- vai dators ir daļa no domÄna;
- ceļi uz Windows sistÄmas direktorijiem;
- operÄtÄjsistÄmas versija;
- paÅ”reizÄjais lietotÄjvÄrds;
- tīkla adapteru saraksts;
- sistÄma un vietÄjais laiks, kÄ arÄ« laika josla.
PÄdÄjais modulis (mūža pagarinÄtÄjs) ieviesa funkciju, lai palielinÄtu lÄ«dz darba pabeigÅ”anai atlikuÅ”o dienu skaita vÄrtÄ«bu (glabÄjas galvenÄ moduļa konfigurÄcijas datu failÄ). PÄc noklusÄjuma Ŕī vÄrtÄ«ba tika iestatÄ«ta uz 30 vai 36 dienÄm atkarÄ«bÄ no Duqu modifikÄcijas un katru dienu tika samazinÄta par vienu.
Komandcentri
20. gada 2011. oktobrÄ« (trÄ«s dienas pÄc informÄcijas par atklÄjumu izplatÄ«Å”anas) Duqu operatori veica procedÅ«ru, lai iznÄ«cinÄtu komandcentru darbÄ«bas pÄdas. Komandcentri atradÄs uz uzlauztiem serveriem visÄ pasaulÄ ā VjetnamÄ, IndijÄ, VÄcijÄ, SingapÅ«rÄ, Å veicÄ, LielbritÄnijÄ, HolandÄ, DienvidkorejÄ. Interesanti, ka visos identificÄtajos serveros darbojÄs CentOS versijas 5.2, 5.4 vai 5.5. OS bija gan 32 bitu, gan 64 bitu. Neskatoties uz to, ka visi ar komandcentru darbÄ«bu saistÄ«tie faili tika izdzÄsti, Kaspersky Lab speciÄlistiem izdevÄs atgÅ«t daļu informÄcijas no LOG failiem no brÄ«vas vietas. InteresantÄkais fakts ir tas, ka uzbrucÄji serveros vienmÄr aizstÄja OpenSSH 4.3 noklusÄjuma pakotni ar versiju 5.8. Tas var norÄdÄ«t, ka serveru uzlauÅ”anai tika izmantota nezinÄma OpenSSH 4.3 ievainojamÄ«ba. Ne visas sistÄmas tika izmantotas kÄ komandcentri. Daži, spriežot pÄc kļūdÄm sshd žurnÄlos, mÄÄ£inot novirzÄ«t trafiku uz portiem 80 un 443, tika izmantoti kÄ starpniekserveris, lai izveidotu savienojumu ar gala komandu centriem.
Datumi un moduļi
2011. gada aprÄ«lÄ« izplatÄ«tajÄ Word dokumentÄ, kuru pÄrbaudÄ«ja Kaspersky Lab, bija instalÄÅ”anas programmas lejupielÄdes draiveris, kura apkopoÅ”anas datums ir 31. gada 2007. augusts. LÄ«dzÄ«ga draivera (izmÄrs - 20608 baiti, MD5 - EEDCA45BD613E0D9A9E5C69122007F17) CrySys laboratorijÄs atrastÄ dokumentÄ kompilÄcijas datums bija 21. gada 2008. februÄris. TurklÄt Kaspersky Lab eksperti atrada automÄtiskÄs palaiÅ”anas draiveri rndismpc.sys (izmÄrs - 19968 baiti, MD5 - 9AEC6E10C5EE9C05BED93221544C783E) ar datumu 20. gada 2008. janvÄris. Netika atrasta neviena sastÄvdaļa, kas apzÄ«mÄta ar 2009. gadu. Pamatojoties uz Duqu atseviŔķu daļu apkopojuma laikspiedoliem, tÄ izstrÄde varÄtu bÅ«t datÄta ar 2007. gada sÄkumu. TÄ agrÄkÄ izpausme ir saistÄ«ta ar ~DO tipa pagaidu failu noteikÅ”anu (iespÄjams, tos izveidojis kÄds no spiegprogrammatÅ«ras moduļiem), kuru izveides datums ir 28. gada 2008. novembris (
Izmantotie informÄcijas avoti:
Symantec analÄ«tiskais ziÅojums
Avots: www.habr.com