Whakataki
I te 1 o Hepetema, 2011, i tukuna he konae ko ~DN1.tmp ki te paetukutuku VirusTotal mai i Hungary. I taua wa, i kitea he kino te konae e nga miihini wheori e rua anake - BitDefender me AVIRA. Koinei te timatanga o te korero mo Duqu. Ma te titiro whakamua, me kii ko te whanau Duqu malware i whakaingoatia ki te ingoa o tenei konae. Heoi, ko tenei konae he waahanga torotoro tino motuhake me nga mahi keylogger, kua whakauruhia, tera pea, ma te whakamahi i te kai-whakapiri kino, ka taea anake te kiia he "utu" ka utaina e te Duqu malware i te wa e mahi ana, kaore he waahanga ( kōwae) o Duqu . Ko tetahi o nga waahanga Duqu i tukuna ki te ratonga Virustotal anake i te 9 o Hepetema. Ko tana ahuatanga motuhake ko te taraiwa i haina mamati e C-Media. Ko etahi o nga tohunga i timata tonu ki te tuhi i nga whakataurite me tetahi atu tauira rongonui o te kino - Stuxnet, i whakamahi hoki i nga taraiwa hainatia. Ko te tapeke o nga rorohiko kua pangia e Duqu kua kitea e nga kamupene wheori huri noa i te ao kei roto i nga tatini. He maha nga kamupene e kii ana ko Iran ano te kaupapa matua, engari ma te whakatau i te tohatoha matawhenua o nga mate, kaore e taea te kii.
I tenei keehi, me korero maia koe mo tetahi atu kamupene me te kupu hou
Te tukanga whakatinanatanga o te punaha
Ko te rangahau i whakahaeretia e nga tohunga mai i te whakahaere Hungarian CrySyS (Hungarian Laboratory of Cryptography and System Security i te Whare Wananga o te Hangarau me te Ohaoha o Budapest) i kitea te kaiwhakaputa (dropper) i pangia ai te punaha. He konae Microsoft Word me te whakamahi mo te whakaraeraetanga taraiwa win32k.sys (MS11-087, i whakaahuatia e Microsoft i te 13 o Whiringa-a-rangi 2011), kei a ia te kawenga mo te tikanga whakaputa momotuhi TTF. Ka whakamahi te shellcode o te whakamahi i te momotuhi e kiia nei ko 'Dexter Regular' kua mau ki roto i te tuhinga, me Showtime Inc. kua whakarārangihia hei kaihanga o te momotuhi. Ka taea e koe te kite, ko nga kaihanga o Duqu ehara i te tauhou ki te ahua o te whakakatakata: Ko Dexter te kaikohuru raupapa, te toa o te raupapa pouaka whakaata o taua ingoa, i hangaia e Showtime. Ko Dexter anake te patu (mehemea ka taea) te hunga kino, ara, ka takahia e ia te ture i runga i te ingoa o te ture. Akene, i tenei huarahi, he mea whakahihi nga kaiwhakawhanake Duqu kei te mahi ratou ki nga mahi ture mo nga kaupapa pai. Ko te tuku imeera i mahia marie. I whakamahia e te tukunga nga rorohiko kua taupatupatuhia (taumanutia) hei takawaenga kia uaua ai te whai.
I roto i te tuhinga Word nga waahanga e whai ake nei:
- ihirangi kuputuhi;
- momotuhi hanga-i roto;
- whakamahi shellcode;
- taraiwa;
- pūtāuta (whare pukapuka DLL).
Ki te angitu, ka mahia e te shellcode nga mahi e whai ake nei (i te aratau kernel):
- i mahia he haki mo te mate ano; mo tenei, i tirohia te noho o te taviri 'CF4D' i roto i te rehita i te wahitau 'HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZones1'; ki te tika tenei, kua oti te mahi a te shellcode;
- e rua nga konae i wetemuna - te atekōkiri (sys) me te pūtāuta (dll);
- i werohia te taraiwa ki roto i te tukanga services.exe me te whakarewa i te kaiwhakahaere;
- Ka mutu, ka murua e te shellcode me te kore o te mahara.
Na te mea ka mahia te win32k.sys i raro i te kaiwhakamahi whai mana 'System', kua whakatauhia e nga kaiwhakawhanake Duqu te raruraru o te whakarewanga kore mana me te piki haere o nga mana (e rere ana i raro i te kaute kaiwhakamahi whai mana iti).
I muri i te whiwhinga mana, ka wetewetehia e te kaiwhakahaere nga poraka e toru o nga raraunga kei roto i roto i te mahara, kei roto:
- taraiwa hainatia (sys);
- kōwae matua (dll);
- raraunga whirihoranga kaiwhakauru (pnf).
I tohua he awhe ra i roto i te raraunga whirihoranga kaiwhakauru (i te ahua o nga tohu wa e rua - te tiimata me te mutunga). I tirohia e te kaiwhakaputa mena kua whakauruhia te ra o naianei ki roto, ki te kore, kua oti tana mahi. I roto ano i nga raraunga whirihoranga kaiwhakauru ko nga ingoa i tiakina ai te taraiwa me te waahanga matua. I tenei keehi, i tiakina te waahanga matua i runga i te kōpae i roto i te ahua whakamunatia.
Hei tiimata aunoa i a Duqu, i hangaia he ratonga ma te whakamahi i te konae taraiwa i wetewete i te waahanga matua i runga i te rere ma te whakamahi i nga taviri kei te rongoa i roto i te rehita. Kei te kōwae matua tana ake paraka raraunga whirihoranga. I te wa tuatahi i whakarewahia, i wetewetehia, i whakauruhia te ra whakaurunga ki roto, i muri mai ka whakamunatia ano ka tiakina e te waahanga matua. No reira, i roto i te punaha kua pa, i runga i te whakaurunga angitu, e toru nga konae i tiakina - te taraiwa, te waahanga matua me tana konae raraunga whirihoranga, ko nga konae whakamutunga e rua i penapenahia ki te kōpae i roto i te ahua whakamunatia. Ko nga tikanga wetewaehere katoa i mahia ma te mahara anake. I whakamahia tenei tikanga whakaurunga uaua ki te whakaiti i te tupono ka kitea e te rorohiko wheori.
Ko te kōwae matua
Kōwae matua (rauemi 302), e ai ki
Ko te kaupapa matua te kawenga mo te tikanga mo te whiwhi tono mai i nga kaiwhakahaere. He maha nga tikanga o te taunekeneke a Duqu: te whakamahi i nga tikanga HTTP me te HTTPS, me te whakamahi i nga paipa ingoa. Mo te HTTP(S), i tohua nga ingoa rohe o nga pokapu whakahau, me te kaha ki te mahi ma te tūmau takawaenga - i tohua he ingoa kaiwhakamahi me te kupuhipa mo ratou. Ko te wahitau IP me tona ingoa kua tohua mo te hongere. Ko nga raraunga kua tohua ka rongoa ki roto i te paraka raraunga whirihoranga kōwae matua (i roto i te ahua whakamunatia).
Hei whakamahi i nga paipa kua whakaingoatia, i whakarewahia e matou ta matou ake whakatinanatanga tūmau RPC. I tautokohia nga mahi e whitu e whai ake nei:
- whakahokia te putanga kua whakauruhia;
- werohia he dll ki roto i te tukanga kua tohua me te karanga i te mahi kua tohua;
- uta dll;
- tīmata i tētahi tukanga mā te karanga CreateProcess();
- panui i nga ihirangi o tetahi konae;
- tuhi raraunga ki te konae kua tohua;
- mukua te kōnae kua tohua.
Ka taea te whakamahi i nga paipa kua whakaingoatia i roto i te whatunga rohe ki te tohatoha i nga waahanga whakahou me nga raraunga whirihoranga i waenga i nga rorohiko kua pangia e Duqu. I tua atu, ka taea e Duqu te mahi hei tūmau takawaenga mo etahi atu rorohiko kua pangia (kaore i uru ki te Ipurangi na nga tautuhinga paahi i te kuaha). Ko etahi putanga o Duqu karekau he mahi RPC.
E mohiotia ana "nga utu utu"
I kitea e Symantec nga momo utu e wha neke atu i raro i te whakahau mai i te pokapū whakahaere a Duqu.
I tua atu, kotahi anake o ratou i noho, ka whakaemihia hei konae whakahaere (exe), i tiakina ki te kōpae. Ko nga toenga e toru i whakatinanahia hei whare pukapuka dll. I utaina marietia, ka mahia i roto i te mahara me te kore e tiakina ki te kōpae.
Ko te "utumahi" kainoho he kōwae tutei (kaihoko korero) me nga mahi keylogger. Na te tuku ki VirusTotal i timata ai te mahi rangahau a Duqu. Ko te mahinga tutei matua i roto i te rauemi, ko te 8 kiropaita tuatahi kei roto tetahi waahanga o te whakaahua o te tupuni NGC 6745 (mo te whakaata). Kia maumahara i konei i te Paenga-whawha 2012, i whakaputa etahi o nga kaipāho i nga korero (http://www.mehrnews.com/en/newsdetail.aspx?NewsID=1297506) i puta a Iran ki etahi rorohiko kino "Stars", ko nga korero mo te kaore i whakaaturia te raruraru. Akene he tauira noa iho o te "utu" Duqu i kitea i tera wa i Iran, no reira te ingoa "Whetu".
I kohia e te kōwae tutei nga korero e whai ake nei:
- te rarangi o nga tukanga whakahaere, nga korero mo te kaiwhakamahi me te rohe o naianei;
- rarangi o nga puku arorau, tae atu ki nga puku whatunga;
- whakaahua mata;
- wāhitau atanga whatunga, tepu ararere;
- te konae rangitaki o nga patuhi papapātuhi;
- nga ingoa o nga matapihi tono tuwhera;
- te rarangi o nga rauemi whatunga e waatea ana (te tiri rauemi);
- he rarangi katoa o nga konae kei runga i nga kōpae katoa, tae atu ki nga mea ka taea te tango;
- he rarangi rorohiko kei roto i te "taiao whatunga".
He kōwae tūtei anō (kaihoko korero) he rereketanga o nga mea kua oti te korero, engari i whakahiatohia hei whare pukapuka dll; ko nga mahi a te keylogger, te whakahiato rarangi o nga konae me nga raarangi rorohiko kei roto i te rohe i tangohia mai i tera.
Kōwae Panuku (whakanui) kohia nga korero punaha:
- mehemea he wahanga te rorohiko o te rohe;
- nga huarahi ki nga raarangi punaha Windows;
- putanga pūnaha whakahaere;
- ingoa kaiwhakamahi o naianei;
- rārangi o ngā whāurutau whatunga;
- pūnaha me te wā ā-rohe, me te rohe wā.
Kōwae whakamutunga (whakaroa ora) i whakatinanahia he mahi hei whakanui ake i te uara (kei roto i te konae raraunga whirihoranga kōwae matua) o te maha o nga ra e toe ana kia oti ra ano te mahi. Ma te taunoa, i whakatauhia tenei uara ki te 30, 36 ranei nga ra i runga i te whakarereketanga a Duqu, ka heke kotahi i ia ra.
Nga pokapū whakahau
I te Oketopa 20, 2011 (e toru nga ra i muri i te tohatoha o nga korero mo te kitenga), i mahia e nga kaiwhakahaere o Duqu tetahi tikanga hei whakangaro i nga tohu o nga mahi o nga pokapū whakahau. Ko nga pokapū whakahau kei runga i nga kaitoro taumanutia puta noa i te ao - i Vietnam, Inia, Tiamana, Singapore, Switzerland, Great Britain, Holland, South Korea. Ko te mea whakamiharo, ko nga kaitoro katoa kua tautuhia kei te whakahaere i nga putanga CentOS 5.2, 5.4, 5.5 ranei. Ko nga OS he 32-bit me te 64-bit. Ahakoa te mea kua mukua nga konae katoa e pa ana ki te whakahaeretanga o nga pokapu whakahau, ka taea e nga tohunga Kaspersky Lab te whakahoki mai i etahi o nga korero mai i nga konae LOG mai i te waatea. Ko te mea tino pai ko te hunga whakaeke i runga i nga kaitoro i whakakapi i te kete OpenSSH 4.3 taunoa me te putanga 5.8. Ka tohu pea tenei he whakaraeraetanga e kore e mohiotia i OpenSSH 4.3 i whakamahia ki te hack tūmau. Kaore i whakamahia nga punaha katoa hei pokapū whakahau. Ko etahi, ma te whakatau i nga hapa i roto i nga raarangi sshd i te wa e ngana ana ki te huri i nga waka mo nga tauranga 80 me te 443, i whakamahia hei kaiwhakarato takawaenga ki te hono atu ki nga pokapu whakahau mutunga.
Ngā rā me ngā kōwae
He tuhinga Word i tohatohahia i Paenga-whawha 2011, i tirotirohia e Kaspersky Lab, kei roto he atekōkiri tango kaiwhakauru me te ra whakahiato o Akuhata 31, 2007. He taraiwa rite (te rahi - 20608 paita, MD5 - EEDCA45BD613E0D9A9E5C69122007F17) i roto i tetahi tuhinga i kitea i roto i nga taiwhanga CrySys he ra whakahiato i te Hui-tanguru 21, 2008. I tua atu, i kitea e nga tohunga o Kaspersky Lab te taraiwa autorun rndismpc.sys (rahi - 19968 paita, MD5 - 9AEC6E10C5EE9C05BED93221544C783E) me te ra o Hanuere 20, 2008. Kaore i kitea nga waahanga kua tohua 2009. I runga i nga tohu wa o te whakahiatotanga o nga waahanga takitahi o Duqu, ko tona whakawhanaketanga i timata mai i te timatanga o te tau 2007. Ko tana whakaaturanga tuatahi e pa ana ki te kitenga o nga konae rangitahi o te momo ~DO (he mea hanga pea na tetahi o nga waahanga torotoro), ko te ra hanga ko Noema 28, 2008 (
Nga puna korero i whakamahia:
Pūrongo tātari Symantec
Source: will.com