ProHoster > Blog > vaovao amin'ny Internet > Duqu dia matryoshka ratsy fanahy

Duqu dia matryoshka ratsy fanahy

fampidirana

Tamin'ny 1 Septambra 2011, nisy rakitra antsoina hoe ~DN1.tmp nalefa tany amin'ny tranokala VirusTotal avy any Hongria. Tamin'izany fotoana izany, ny rakitra dia voamariky ny motera antivirus roa ihany - BitDefender sy AVIRA. Toy izany no nanombohan'ny tantaran'i Duqu. Raha jerena aloha dia tsy maintsy lazaina fa ny fianakaviana Duqu malware dia nomena anarana taorian'ny anaran'ity rakitra ity. Na izany aza, ity rakitra ity dia maodely spyware mahaleo tena tanteraka miaraka amin'ny fiasan'ny keylogger, napetraka, angamba, amin'ny fampiasana mpangalatra mampidi-doza, ary tsy azo raisina ho toy ny "voankazo" entin'ny Duqu malware mandritra ny fampandehanana azy, fa tsy ho singa ( module) ny Duqu . Ny iray tamin'ireo singa Duqu dia nalefa tany amin'ny serivisy Virustotal tamin'ny 9 septambra. Ny mampiavaka azy dia ny mpamily nosoniavin'ny C-Media. Ny manam-pahaizana sasany avy hatrany dia nanomboka nanao fampitahana tamin'ny ohatra malaza hafa momba ny malware - Stuxnet, izay nampiasa mpamily nosoniavina ihany koa. Ny fitambaran'ny solosaina voan'ny Duqu hitan'ny orinasa antivirus isan-karazany manerana izao tontolo izao dia am-polony. Orinasa maro no milaza fa i Iran indray no lasibatra, fa raha jerena ny fiparitahan'ny otrikaretina ara-jeografika dia tsy azo antoka izany.
Duqu dia matryoshka ratsy fanahy
Amin'ity tranga ity, tokony hiresaka amim-pahatokiana momba ny orinasa hafa miaraka amin'ny teny vaovao ianao APT (fandrahonana maharitra maharitra).

Fomba fampiharana ny rafitra

Ny fanadihadiana nataon'ny manampahaizana manokana avy amin'ny fikambanana HongroΓ  CrySyS (Laboratora HongroΓ  momba ny Kriptografika sy ny Fiarovana ny Rafitra ao amin'ny Anjerimanontolon'ny Teknolojia sy Toekarena any Budapest) dia nitarika ny fahitana ilay installer (dropper) izay nahitana ilay rafitra. Izy io dia rakitra Microsoft Word miaraka amin'ny fanararaotana ho an'ny vulnerability amin'ny mpamily win32k.sys (MS11-087, nofaritan'i Microsoft tamin'ny 13 Novambra 2011), izay tompon'andraikitra amin'ny rafitra famandrihana endritsoratra TTF. Ny shellcode an'ny exploit dia mampiasa endri-tsoratra antsoina hoe 'Dexter Regular' tafiditra ao anatin'ilay antontan-taratasy, miaraka amin'ny Showtime Inc. voatanisa ho mpamorona ny endritsoratra. Araka ny hitanao, tsy vahiny amin'ny fahatsapana vazivazy ireo mpamorona ny Duqu: Dexter dia mpamono andian-dahatsoratra, ilay mahery fo amin'ny andian-tantara amin'ny fahitalavitra mitovy anarana, novokarin'ny Showtime. Tsy mamono afa-tsy jiolahy (raha azo atao) i Dexter, izany hoe mandika lalΓ na amin'ny anaran'ny maha-ara-dalΓ na azy. Angamba, amin'izany fomba izany, ny mpamorona Duqu dia mahatsikaiky fa manao hetsika tsy ara-dalΓ na izy ireo noho ny tanjona tsara. Natao niniana natao ny fandefasana mailaka. Ny entana dia azo inoana fa nampiasa solosaina simba (nijirika) ho mpanelanelana hanasarotra ny fanaraha-maso.
Ny antontan-taratasy Word dia ahitana ireto singa manaraka ireto:

  • votoatin'ny lahatsoratra;
  • endritsoratra naorina;
  • manararaotra shellcode;
  • mpamily;
  • installer (fitehirizam-boky DLL).

Raha nahomby, ny fampiasana shellcode dia nanao ireto asa manaraka ireto (amin'ny maody kernel):

  • Nisy fisavana natao ho an'ny otrikaretina indray; noho izany, ny fisian'ny famaha 'CF4D' dia nojerena tao amin'ny rejisitra amin'ny adiresy 'HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZones1'; raha marina izany, dia nahavita ny famonoana azy ny shellcode;
  • rakitra roa no voafafa - ny mpamily (sys) sy ny installer (dll);
  • ny mpamily dia nampidirina tao amin'ny services.exe dingana ary nandefa ny installer;
  • Farany, nesorin'ny shellcode ny tenany miaraka amin'ny aotra ao anaty fitadidiana.

Noho ny fisian'ny win32k.sys dia novonoina teo ambanin'ny 'System' mpampiasa manana tombontsoa, ​​ireo mpamorona Duqu dia namaha tsara ny olan'ny fandefasana tsy nahazoana alalana sy ny fisondrotry ny zo (mihazakazaka amin'ny kaonty mpampiasa manana zo voafetra).
Taorian'ny nahazoany ny fanaraha-maso, ny installer dia namadika ny angon-drakitra telo voarakitra ao anaty fitadidiana, misy:

  • mpamily sonia (sys);
  • Module lehibe (dll);
  • angon-drakitra fikirakirana installer (pnf).

Nofaritana ny isan'ny daty ao amin'ny angon-drakitra fikirakirana installer (amin'ny endrika marika famantarana roa - fanombohana sy fiafarana). Ny installer dia nanamarina raha toa ka tafiditra ao anatin'izany ny daty ankehitriny, ary raha tsy izany dia nahavita ny fanatanterahana azy. Ao amin'ny angon-drakitra fikirakirana installer ihany koa dia nisy ny anarana nitahiry ny mpamily sy ny maody fototra. Amin'ity tranga ity, ny maody fototra dia voatahiry ao anaty kapila amin'ny endrika miafina.

Duqu dia matryoshka ratsy fanahy

Ho an'ny autostart Duqu, dia nisy serivisy noforonina tamin'ny alΓ lan'ny fisie mpamily izay mamadika ny maody lehibe amin'ny lalitra amin'ny fampiasana fanalahidy voatahiry ao amin'ny rejisitra. Ny mΓ΄dΓ΄ lehibe dia misy ny sakana angon-drakitra fikirakirana azy manokana. Rehefa natomboka voalohany, dia nodiovina izy io, nampidirina tao ny datin'ny fametrahana azy, ary avy eo dia nofonosina indray ary voatahiry amin'ny maody fototra. Noho izany, ao amin'ny rafitra voakasik'izany, rehefa nahomby ny fametrahana, dia nisy rakitra telo voavonjy - ny mpamily, ny maody fototra ary ny rakitra angon-drakitra misy azy, raha ny rakitra roa farany kosa dia voatahiry ao anaty kapila amin'ny endrika miafina. Ny fomba decoding rehetra dia natao tamin'ny fahatsiarovana fotsiny. Ity fomba fametrahana sarotra ity dia nampiasaina mba hanamaivanana ny mety ho hitan'ny rindrambaiko antivirus.

Ny module lehibe

Main module (loharano 302), araka ny vaovao orinasa Kaspersky Lab, nosoratana tamin'ny MSVC 2008 amin'ny C madio, saingy mampiasa fomba fiasa miompana amin'ny zavatra. Ity fomba fiasa ity dia tsy mahazatra rehefa mamorona code ratsy. Amin'ny maha-fitsipika, ny kaody toy izany dia voasoratra ao amin'ny C mba hampihenana ny habeny sy hanaisotra ireo antso an-kolaka raiki-tampisaka ao amin'ny C ++. Misy symbiose manokana eto. Fanampin'izany, ny maritrano notarihin'ny hetsika dia nampiasaina. Ny mpiasan'ny Kaspersky Lab dia mirona amin'ny teoria fa nosoratana tamin'ny alΓ lan'ny add-on pre-processor izay ahafahanao manoratra kaody C amin'ny endrika zavatra ny mΓ΄dely fototra.
Ny maody fototra dia tompon'andraikitra amin'ny fomba fandraisana baiko avy amin'ny mpandraharaha. Duqu dia manome fomba fifandraisana maro: mampiasa ny HTTP sy HTTPS protocols, ary koa ny fampiasana fantsona nomena anarana. Ho an'ny HTTP(S), nofaritana ny anaran'ny sehatra an'ny foibe baiko, ary nomena ny fahafahana miasa amin'ny alàlan'ny mpizara proxy - nomena anarana sy tenimiafina ho azy ireo. Ny adiresy IP sy ny anarany dia voafaritra ho an'ny fantsona. Ny angon-drakitra voatondro dia voatahiry ao amin'ny bloc data configuration modèl lehibe (amin'ny endrika encryption).
Mba hampiasana fantsona nomena anarana dia nanangana ny fampiharana ny mpizara RPC manokana izahay. Izy io dia nanohana ireto asa fito manaraka ireto:

  • avereno ny version napetraka;
  • manindrona dll amin'ny dingana voatondro ary miantsoa ny asa voatondro;
  • load dll;
  • manomboka dingana iray amin'ny fiantsoana CreateProcess();
  • mamaky ny votoatin'ny rakitra iray;
  • manoratra angona amin'ny rakitra voatondro;
  • vonoy ny rakitra voatondro.

Ny fantsona nomena anarana dia azo ampiasaina ao anatin'ny tambajotra eo an-toerana mba hizarana ireo maody nohavaozina sy angon-drakitra fikirakirana eo amin'ireo solosaina voan'ny Duqu. Ho fanampin'izany, afaka miasa ho mpizara proxy ho an'ny solosaina hafa voan'ny aretina i Duqu (izay tsy afaka miditra amin'ny Internet noho ny firafitry ny firewall eo amin'ny vavahady). Ny dikan-teny sasany amin'ny Duqu dia tsy nanana fiasa RPC.

Fantatra "payloads"

Symantec dia nahita karazana karama efatra farafahakeliny nalaina teo ambany baiko avy amin'ny foibe fanaraha-maso Duqu.
Ankoatr'izay, ny iray amin'izy ireo ihany no mipetraka ary natambatra ho rakitra azo tanterahana (exe), izay voatahiry ao anaty kapila. Ny telo ambiny dia nampiharina ho tranomboky dll. Nopetahana tamin'ny fomba mavitrika izy ireo ary natao tao anaty fitadidiana nefa tsy voatahiry ao anaty kapila.

Ny "payload" mponina dia maody mpitsikilo (infostealer) miaraka amin'ny fiasa keylogger. Tamin'ny fandefasana azy tany amin'ny VirusTotal no nanombohan'ny asa fikarohana Duqu. Ny fampiasa lehibe indrindra amin'ny fitsikilovana dia tao amin'ilay loharano, ny 8 kilobytes voalohany tamin'izany dia nahitana ampahany amin'ny sarin'ny vahindanitra NGC 6745 (ho an'ny camouflage). Tsiahivina eto fa tamin'ny Aprily 2012, nisy fampahalalam-baovao sasany namoaka vaovao (http://www.mehrnews.com/en/newsdetail.aspx?NewsID=1297506) fa i Iran dia niharan'ny rindrambaiko ratsy sasany β€œStars”, raha ny antsipirihan'ny tsy nambara ny zava-niseho. Angamba santionany amin'ny "enta-mavesatra" an'i Duqu izay hita tany Iran tamin'izany fotoana izany, noho izany ny anarana hoe "Kintana".
Ny maody mpitsikilo dia nanangona ireto fampahalalana manaraka ireto:

  • lisitry ny fizotran'ny fandehanana, fampahalalana momba ny mpampiasa ankehitriny sy ny sehatra;
  • lisitry ny fiara lojika, anisan'izany ny fiarandalamby;
  • pikantsary;
  • adiresin'ny interface interface, tabilao routing;
  • raki-daza amin'ny fitendry fitendry fitendry;
  • anaran'ny varavarankely fampiharana misokatra;
  • lisitry ny loharanon-tambajotra misy (mizara loharano);
  • lisitra feno ny rakitra amin'ny kapila rehetra, ao anatin'izany ireo azo esorina;
  • lisitry ny solosaina ao amin'ny "tontolo tambajotra".

Module mpitsikilo hafa (infostealer) dia fiovaovan'ny efa nofaritana, saingy natambatra ho toy ny tranomboky dll; nesorina tamin'izany ny asan'ny keylogger, nanangona ny lisitry ny rakitra sy ny lisitry ny ordinatera tafiditra ao amin'ny sehatra.
Module manaraka (fankatoavana) angon-drakitra momba ny rafitra:

  • raha anisan'ny sehatra iray ny solosaina;
  • lalana mankany amin'ny lahatahiry rafitra Windows;
  • dikan-ny rafitra fandidiana;
  • anaran'ny mpampiasa ankehitriny;
  • lisitry ny adaptatera tambajotra;
  • rafitra sy ny ora eo an-toerana, ary koa ny faritry ny fotoana.

Module farany (fanitarana ny androm-piainany) nametraka asa iray hampitomboana ny sandany (voatahiry ao amin'ny rakitra angon-drakitra fanamafisana maody lehibe) amin'ny andro sisa tavela mandra-pahavitan'ny asa. Amin'ny alΓ lan'ny default, io sanda io dia napetraka ho 30 na 36 andro arakaraka ny fanovana Duqu, ary nihena iray isan'andro.

Foibem-baiko

Tamin'ny 20 Oktobra 2011 (telo andro taorian'ny nielezan'ny vaovao momba ny fahitana), dia nanao dingana hamongorana ny fampandehanan'ny foibe baiko ireo mpandraharaha Duqu. Ny foiben'ny baiko dia hita amin'ny lohamilina voajirika manerana izao tontolo izao - any Vietnam, India, Alemaina, Singapour, Soisa, Grande-Bretagne, Holland, ary Korea Atsimo. Mahaliana fa ny mpizara rehetra fantatra dia mampiasa dikan-teny CentOS 5.2, 5.4 na 5.5. Ny OS dia samy 32-bit sy 64-bit. Na dia eo aza ny zava-misy fa voafafa ny rakitra rehetra mifandraika amin'ny fiasan'ny foibe baiko, ny manam-pahaizana momba ny Kaspersky Lab dia afaka namerina ny sasany amin'ireo fampahalalana avy amin'ny rakitra LOG avy amin'ny habaka malalaka. Ny zava-misy mahaliana indrindra dia ny fanoloana ny fonosana OpenSSH 4.3 default miaraka amin'ny version 5.8 ny mpanafika amin'ny server. Izany dia mety manondro fa ny vulnerability tsy fantatra ao amin'ny OpenSSH 4.3 dia nampiasaina tamin'ny hack server. Tsy ny rafitra rehetra no nampiasaina ho foiben'ny baiko. Ny sasany, raha jerena ny lesoka ao amin'ny logs sshd rehefa manandrana mamindra ny fifamoivoizana ho an'ny seranana 80 sy 443, dia nampiasaina ho mpizara proxy hifandray amin'ny foibe baiko farany.

Daty sy modules

Ny antontan-taratasy Word nozaraina tamin'ny Aprily 2011, izay nodinihin'ny Kaspersky Lab, dia nahitana mpamily fampidinana installer miaraka amin'ny daty fanangonana ny 31 Aogositra 2007. Mpamily mitovy (habe - 20608 bytes, MD5 - EEDCA45BD613E0D9A9E5C69122007F17) ao amin'ny antontan-taratasy hita tao amin'ny laboratoara CrySys dia nanana daty fanangonana tamin'ny 21 Febroary 2008. Ho fanampin'izany, ny manam-pahaizana momba ny Kaspersky Lab dia nahita ny autorun driver rndismpc.sys (habe - 19968 bytes, MD5 - 9AEC6E10C5EE9C05BED93221544C783E) miaraka amin'ny daty 20 Janoary 2008. Tsy misy singa misy marika 2009 hita. Mifototra amin'ny mari-pamantarana ny fanangonana ny ampahany tsirairay ao amin'ny Duqu, ny fivoarany dia mety nanomboka tamin'ny fiandohan'ny taona 2007. Ny fisehoany voalohany indrindra dia mifandray amin'ny fitadiavana ireo rakitra vonjimaika amin'ny karazana ~DO (angamba noforonin'ny iray amin'ireo maody spyware), ny datin'ny famoronana dia ny 28 Novambra 2008 (lahatsoratra "Duqu & Stuxnet: Timeline amin'ny hetsika mahaliana"). Ny daty farany mifandraika amin'i Duqu dia ny 23 Febroary 2012, voarakitra ao amin'ny mpamily fampidinana installer hitan'ny Symantec tamin'ny Martsa 2012.

Loharanom-baovao ampiasaina:

andian-dahatsoratra momba an'i Duqu avy ao amin'ny Kaspersky Lab;
Symantec analytical report "W32.Duqu Ny mpialoha lalana amin'ny Stuxnet manaraka", version 1.4, Novambra 2011 (pdf).

Source: www.habr.com

Add a comment