ProHoster > Блог > rongo ipurangi > He matryoshka kino a Duqu

He matryoshka kino a Duqu

Whakataki

I te 1 o Hepetema, 2011, i tukuna he konae ko ~DN1.tmp ki te paetukutuku VirusTotal mai i Hungary. I taua wa, i kitea he kino te konae e nga miihini wheori e rua anake - BitDefender me AVIRA. Koinei te timatanga o te korero mo Duqu. Ma te titiro whakamua, me kii ko te whanau Duqu malware i whakaingoatia ki te ingoa o tenei konae. Heoi, ko tenei konae he waahanga torotoro tino motuhake me nga mahi keylogger, kua whakauruhia, tera pea, ma te whakamahi i te kai-whakapiri kino, ka taea anake te kiia he "utu" ka utaina e te Duqu malware i te wa e mahi ana, kaore he waahanga ( kōwae) o Duqu . Ko tetahi o nga waahanga Duqu i tukuna ki te ratonga Virustotal anake i te 9 o Hepetema. Ko tana ahuatanga motuhake ko te taraiwa i haina mamati e C-Media. Ko etahi o nga tohunga i timata tonu ki te tuhi i nga whakataurite me tetahi atu tauira rongonui o te kino - Stuxnet, i whakamahi hoki i nga taraiwa hainatia. Ko te tapeke o nga rorohiko kua pangia e Duqu kua kitea e nga kamupene wheori huri noa i te ao kei roto i nga tatini. He maha nga kamupene e kii ana ko Iran ano te kaupapa matua, engari ma te whakatau i te tohatoha matawhenua o nga mate, kaore e taea te kii.
He matryoshka kino a Duqu
I tenei keehi, me korero maia koe mo tetahi atu kamupene me te kupu hou APT (te riri mau tonu).

Te tukanga whakatinanatanga o te punaha

Ko te rangahau i whakahaeretia e nga tohunga mai i te whakahaere Hungarian CrySyS (Hungarian Laboratory of Cryptography and System Security i te Whare Wananga o te Hangarau me te Ohaoha o Budapest) i kitea te kaiwhakaputa (dropper) i pangia ai te punaha. He konae Microsoft Word me te whakamahi mo te whakaraeraetanga taraiwa win32k.sys (MS11-087, i whakaahuatia e Microsoft i te 13 o Whiringa-a-rangi 2011), kei a ia te kawenga mo te tikanga whakaputa momotuhi TTF. Ka whakamahi te shellcode o te whakamahi i te momotuhi e kiia nei ko 'Dexter Regular' kua mau ki roto i te tuhinga, me Showtime Inc. kua whakarārangihia hei kaihanga o te momotuhi. Ka taea e koe te kite, ko nga kaihanga o Duqu ehara i te tauhou ki te ahua o te whakakatakata: Ko Dexter te kaikohuru raupapa, te toa o te raupapa pouaka whakaata o taua ingoa, i hangaia e Showtime. Ko Dexter anake te patu (mehemea ka taea) te hunga kino, ara, ka takahia e ia te ture i runga i te ingoa o te ture. Akene, i tenei huarahi, he mea whakahihi nga kaiwhakawhanake Duqu kei te mahi ratou ki nga mahi ture mo nga kaupapa pai. Ko te tuku imeera i mahia marie. I whakamahia e te tukunga nga rorohiko kua taupatupatuhia (taumanutia) hei takawaenga kia uaua ai te whai.
I roto i te tuhinga Word nga waahanga e whai ake nei:

  • ihirangi kuputuhi;
  • momotuhi hanga-i roto;
  • whakamahi shellcode;
  • taraiwa;
  • pūtāuta (whare pukapuka DLL).

Ki te angitu, ka mahia e te shellcode nga mahi e whai ake nei (i te aratau kernel):

  • i mahia he haki mo te mate ano; mo tenei, i tirohia te noho o te taviri 'CF4D' i roto i te rehita i te wahitau 'HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZones1'; ki te tika tenei, kua oti te mahi a te shellcode;
  • e rua nga konae i wetemuna - te atekōkiri (sys) me te pūtāuta (dll);
  • i werohia te taraiwa ki roto i te tukanga services.exe me te whakarewa i te kaiwhakahaere;
  • Ka mutu, ka murua e te shellcode me te kore o te mahara.

Na te mea ka mahia te win32k.sys i raro i te kaiwhakamahi whai mana 'System', kua whakatauhia e nga kaiwhakawhanake Duqu te raruraru o te whakarewanga kore mana me te piki haere o nga mana (e rere ana i raro i te kaute kaiwhakamahi whai mana iti).
I muri i te whiwhinga mana, ka wetewetehia e te kaiwhakahaere nga poraka e toru o nga raraunga kei roto i roto i te mahara, kei roto:

  • taraiwa hainatia (sys);
  • kōwae matua (dll);
  • raraunga whirihoranga kaiwhakauru (pnf).

I tohua he awhe ra i roto i te raraunga whirihoranga kaiwhakauru (i te ahua o nga tohu wa e rua - te tiimata me te mutunga). I tirohia e te kaiwhakaputa mena kua whakauruhia te ra o naianei ki roto, ki te kore, kua oti tana mahi. I roto ano i nga raraunga whirihoranga kaiwhakauru ko nga ingoa i tiakina ai te taraiwa me te waahanga matua. I tenei keehi, i tiakina te waahanga matua i runga i te kōpae i roto i te ahua whakamunatia.

He matryoshka kino a Duqu

Hei tiimata aunoa i a Duqu, i hangaia he ratonga ma te whakamahi i te konae taraiwa i wetewete i te waahanga matua i runga i te rere ma te whakamahi i nga taviri kei te rongoa i roto i te rehita. Kei te kōwae matua tana ake paraka raraunga whirihoranga. I te wa tuatahi i whakarewahia, i wetewetehia, i whakauruhia te ra whakaurunga ki roto, i muri mai ka whakamunatia ano ka tiakina e te waahanga matua. No reira, i roto i te punaha kua pa, i runga i te whakaurunga angitu, e toru nga konae i tiakina - te taraiwa, te waahanga matua me tana konae raraunga whirihoranga, ko nga konae whakamutunga e rua i penapenahia ki te kōpae i roto i te ahua whakamunatia. Ko nga tikanga wetewaehere katoa i mahia ma te mahara anake. I whakamahia tenei tikanga whakaurunga uaua ki te whakaiti i te tupono ka kitea e te rorohiko wheori.

Ko te kōwae matua

Kōwae matua (rauemi 302), e ai ki mōhiohio kamupene Kaspersky Lab, i tuhia ma te whakamahi i te MSVC 2008 i roto i te C parakore, engari ma te whakamahi i te huarahi-a-ahua. Ko tenei huarahi karekau he ahuatanga i te wa e whakawhanake ana i te waehere kino. Ko te tikanga, ka tuhia taua waehere ki te C hei whakaiti i te rahi me te whakakore i nga waea kore i roto i te C++. He symbiosis kei konei. I tua atu, i whakamahia he hoahoanga-a-takahanga. Ko nga kaimahi o Kaspersky Lab e pai ana ki te ariā i tuhia te waahanga matua ma te whakamahi i te taapiri-a-mua ka taea e koe te tuhi i te waehere C i roto i te ahua ahanoa.
Ko te kaupapa matua te kawenga mo te tikanga mo te whiwhi tono mai i nga kaiwhakahaere. He maha nga tikanga o te taunekeneke a Duqu: te whakamahi i nga tikanga HTTP me te HTTPS, me te whakamahi i nga paipa ingoa. Mo te HTTP(S), i tohua nga ingoa rohe o nga pokapu whakahau, me te kaha ki te mahi ma te tūmau takawaenga - i tohua he ingoa kaiwhakamahi me te kupuhipa mo ratou. Ko te wahitau IP me tona ingoa kua tohua mo te hongere. Ko nga raraunga kua tohua ka rongoa ki roto i te paraka raraunga whirihoranga kōwae matua (i roto i te ahua whakamunatia).
Hei whakamahi i nga paipa kua whakaingoatia, i whakarewahia e matou ta matou ake whakatinanatanga tūmau RPC. I tautokohia nga mahi e whitu e whai ake nei:

  • whakahokia te putanga kua whakauruhia;
  • werohia he dll ki roto i te tukanga kua tohua me te karanga i te mahi kua tohua;
  • uta dll;
  • tīmata i tētahi tukanga mā te karanga CreateProcess();
  • panui i nga ihirangi o tetahi konae;
  • tuhi raraunga ki te konae kua tohua;
  • mukua te kōnae kua tohua.

Ka taea te whakamahi i nga paipa kua whakaingoatia i roto i te whatunga rohe ki te tohatoha i nga waahanga whakahou me nga raraunga whirihoranga i waenga i nga rorohiko kua pangia e Duqu. I tua atu, ka taea e Duqu te mahi hei tūmau takawaenga mo etahi atu rorohiko kua pangia (kaore i uru ki te Ipurangi na nga tautuhinga paahi i te kuaha). Ko etahi putanga o Duqu karekau he mahi RPC.

E mohiotia ana "nga utu utu"

I kitea e Symantec nga momo utu e wha neke atu i raro i te whakahau mai i te pokapū whakahaere a Duqu.
I tua atu, kotahi anake o ratou i noho, ka whakaemihia hei konae whakahaere (exe), i tiakina ki te kōpae. Ko nga toenga e toru i whakatinanahia hei whare pukapuka dll. I utaina marietia, ka mahia i roto i te mahara me te kore e tiakina ki te kōpae.

Ko te "utumahi" kainoho he kōwae tutei (kaihoko korero) me nga mahi keylogger. Na te tuku ki VirusTotal i timata ai te mahi rangahau a Duqu. Ko te mahinga tutei matua i roto i te rauemi, ko te 8 kiropaita tuatahi kei roto tetahi waahanga o te whakaahua o te tupuni NGC 6745 (mo te whakaata). Kia maumahara i konei i te Paenga-whawha 2012, i whakaputa etahi o nga kaipāho i nga korero (http://www.mehrnews.com/en/newsdetail.aspx?NewsID=1297506) i puta a Iran ki etahi rorohiko kino "Stars", ko nga korero mo te kaore i whakaaturia te raruraru. Akene he tauira noa iho o te "utu" Duqu i kitea i tera wa i Iran, no reira te ingoa "Whetu".
I kohia e te kōwae tutei nga korero e whai ake nei:

  • te rarangi o nga tukanga whakahaere, nga korero mo te kaiwhakamahi me te rohe o naianei;
  • rarangi o nga puku arorau, tae atu ki nga puku whatunga;
  • whakaahua mata;
  • wāhitau atanga whatunga, tepu ararere;
  • te konae rangitaki o nga patuhi papapātuhi;
  • nga ingoa o nga matapihi tono tuwhera;
  • te rarangi o nga rauemi whatunga e waatea ana (te tiri rauemi);
  • he rarangi katoa o nga konae kei runga i nga kōpae katoa, tae atu ki nga mea ka taea te tango;
  • he rarangi rorohiko kei roto i te "taiao whatunga".

He kōwae tūtei anō (kaihoko korero) he rereketanga o nga mea kua oti te korero, engari i whakahiatohia hei whare pukapuka dll; ko nga mahi a te keylogger, te whakahiato rarangi o nga konae me nga raarangi rorohiko kei roto i te rohe i tangohia mai i tera.
Kōwae Panuku (whakanui) kohia nga korero punaha:

  • mehemea he wahanga te rorohiko o te rohe;
  • nga huarahi ki nga raarangi punaha Windows;
  • putanga pūnaha whakahaere;
  • ingoa kaiwhakamahi o naianei;
  • rārangi o ngā whāurutau whatunga;
  • pūnaha me te wā ā-rohe, me te rohe wā.

Kōwae whakamutunga (whakaroa ora) i whakatinanahia he mahi hei whakanui ake i te uara (kei roto i te konae raraunga whirihoranga kōwae matua) o te maha o nga ra e toe ana kia oti ra ano te mahi. Ma te taunoa, i whakatauhia tenei uara ki te 30, 36 ranei nga ra i runga i te whakarereketanga a Duqu, ka heke kotahi i ia ra.

Nga pokapū whakahau

I te Oketopa 20, 2011 (e toru nga ra i muri i te tohatoha o nga korero mo te kitenga), i mahia e nga kaiwhakahaere o Duqu tetahi tikanga hei whakangaro i nga tohu o nga mahi o nga pokapū whakahau. Ko nga pokapū whakahau kei runga i nga kaitoro taumanutia puta noa i te ao - i Vietnam, Inia, Tiamana, Singapore, Switzerland, Great Britain, Holland, South Korea. Ko te mea whakamiharo, ko nga kaitoro katoa kua tautuhia kei te whakahaere i nga putanga CentOS 5.2, 5.4, 5.5 ranei. Ko nga OS he 32-bit me te 64-bit. Ahakoa te mea kua mukua nga konae katoa e pa ana ki te whakahaeretanga o nga pokapu whakahau, ka taea e nga tohunga Kaspersky Lab te whakahoki mai i etahi o nga korero mai i nga konae LOG mai i te waatea. Ko te mea tino pai ko te hunga whakaeke i runga i nga kaitoro i whakakapi i te kete OpenSSH 4.3 taunoa me te putanga 5.8. Ka tohu pea tenei he whakaraeraetanga e kore e mohiotia i OpenSSH 4.3 i whakamahia ki te hack tūmau. Kaore i whakamahia nga punaha katoa hei pokapū whakahau. Ko etahi, ma te whakatau i nga hapa i roto i nga raarangi sshd i te wa e ngana ana ki te huri i nga waka mo nga tauranga 80 me te 443, i whakamahia hei kaiwhakarato takawaenga ki te hono atu ki nga pokapu whakahau mutunga.

Ngā rā me ngā kōwae

He tuhinga Word i tohatohahia i Paenga-whawha 2011, i tirotirohia e Kaspersky Lab, kei roto he atekōkiri tango kaiwhakauru me te ra whakahiato o Akuhata 31, 2007. He taraiwa rite (te rahi - 20608 paita, MD5 - EEDCA45BD613E0D9A9E5C69122007F17) i roto i tetahi tuhinga i kitea i roto i nga taiwhanga CrySys he ra whakahiato i te Hui-tanguru 21, 2008. I tua atu, i kitea e nga tohunga o Kaspersky Lab te taraiwa autorun rndismpc.sys (rahi - 19968 paita, MD5 - 9AEC6E10C5EE9C05BED93221544C783E) me te ra o Hanuere 20, 2008. Kaore i kitea nga waahanga kua tohua 2009. I runga i nga tohu wa o te whakahiatotanga o nga waahanga takitahi o Duqu, ko tona whakawhanaketanga i timata mai i te timatanga o te tau 2007. Ko tana whakaaturanga tuatahi e pa ana ki te kitenga o nga konae rangitahi o te momo ~DO (he mea hanga pea na tetahi o nga waahanga torotoro), ko te ra hanga ko Noema 28, 2008 (tuhinga "Duqu & Stuxnet: He Rarangi Wā o nga Takahanga Pai"). Ko te ra hou e hono ana ki a Duqu ko Hui-tanguru 23, 2012, kei roto i te atekōkiri tango kaiwhakauru i kitea e Symantec i Maehe 2012.

Nga puna korero i whakamahia:

raupapa tuhinga mo Duqu mai i Kaspersky Lab;
Pūrongo tātari Symantec "W32.Duqu Ko te kaamata ki te Stuxnet e whai ake nei", putanga 1.4, Noema 2011 (pdf).

Source: will.com

Tāpiri i te kōrero