ProHoster > blog > aħbarijiet fuq l-internet > Duqu - pupa malizzjuża li jbejtu

Duqu - pupa malizzjuża li jbejtu

Introduzzjoni

Fl-1 ta' Settembru 2011, fajl bl-isem ~DN1.tmp intbagħat lill-websajt VirusTotal mill-Ungerija. F'dak iż-żmien, il-fajl kien skopert bħala malizzjuż minn żewġ magni antivirus biss - BitDefender u AVIRA. Hekk bdiet l-istorja ta’ Duqu. B'ħarsa 'l quddiem, għandu jingħad li l-familja tal-malware Duqu kienet imsemmija wara l-isem ta' dan il-fajl. Madankollu, dan il-fajl huwa modulu ta 'spyware kompletament indipendenti b'funzjonijiet ta' keylogger, installat, probabbilment, bl-użu ta 'downloader-dropper malizzjuż, u jista' jitqies biss bħala "tagħbija" mgħobbija mill-malware Duqu waqt it-tħaddim tiegħu, u mhux bħala komponent ( modulu) ta’ Duqu . Wieħed mill-komponenti Duqu intbagħat lis-servizz Virustotal fid-9 ta 'Settembru biss. Il-karatteristika distintiva tagħha hija sewwieq iffirmat b'mod diġitali minn C-Media. Xi esperti immedjatament bdew jiġbdu analoġiji ma 'eżempju famuż ieħor ta' malware - Stuxnet, li uża wkoll sewwieqa ffirmati. In-numru totali ta 'kompjuters infettati minn Duqu misjuba minn diversi kumpaniji antivirus madwar id-dinja huwa fl-għexieren. Ħafna kumpaniji jsostnu li l-Iran huwa għal darb'oħra l-mira ewlenija, iżda meta wieħed jiġġudika mid-distribuzzjoni ġeografika tal-infezzjonijiet, dan ma jistax jingħad b'mod ċert.
Duqu - pupa malizzjuża li jbejtu
F'dan il-każ, għandek titkellem b'fiduċja biss dwar kumpanija oħra b'kelma ġdida APT (theddida persistenti avvanzata).

Proċedura ta' implimentazzjoni tas-sistema

Investigazzjoni mmexxija minn speċjalisti mill-organizzazzjoni Ungeriża CrySyS (Laboratorju Ungeriż tal-Kriptografija u s-Sigurtà tas-Sistema fl-Università tat-Teknoloġija u l-Ekonomija ta 'Budapest) wasslet għall-iskoperta tal-installatur (dropper) li permezz tiegħu s-sistema kienet infettata. Kien fajl Microsoft Word bi sfruttament għall-vulnerabbiltà tas-sewwieq win32k.sys (MS11-087, deskritta minn Microsoft fit-13 ta' Novembru 2011), li hija responsabbli għall-mekkaniżmu tar-rendi tat-tipa TTF. Il-shellcode tal-isfrutta juża font imsejjaħ 'Dexter Regular' inkorporat fid-dokument, b'Showtime Inc. elenkat bħala l-kreatur tat-tipa. Kif tistgħu taraw, il-ħallieqa ta' Duqu mhumiex barranin għas-sens ta' umoriżmu: Dexter huwa serial killer, l-eroj tas-serje televiżiva bl-istess isem, prodotta minn Showtime. Dexter joqtol biss (jekk possibbli) kriminali, jiġifieri jikser il-liġi f'isem il-legalità. Probabbilment, b'dan il-mod, l-iżviluppaturi Duqu huma ironiċi li huma involuti f'attivitajiet illegali għal skopijiet tajbin. It-trażmissjoni tal-emails saret apposta. Il-konsenja x'aktarx użat kompjuters kompromessi (hacked) bħala intermedjarju biex jagħmel it-traċċar diffiċli.
Id-dokument Word għalhekk kien fih il-komponenti li ġejjin:

  • kontenut tat-test;
  • font integrata;
  • jisfrutta shellcode;
  • xufier;
  • installatur (librerija DLL).

Jekk irnexxa, l-isfruttament shellcode wettaq l-operazzjonijiet li ġejjin (fil-modalità kernel):

  • saret verifika għall-infezzjoni mill-ġdid; għal dan, il-preżenza taċ-ċavetta 'CF4D' ġiet iċċekkjata fir-reġistru fl-indirizz 'HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZones1'; jekk dan kien korrett, il-shellcode lesta l-eżekuzzjoni tiegħu;
  • żewġ fajls ġew decrypted - is-sewwieq (sys) u l-installatur (dll);
  • is-sewwieq ġie injettat fil-proċess services.exe u nieda l-installatur;
  • Fl-aħħarnett, il-shellcode tħassar innifsu b'żerijiet fil-memorja.

Minħabba l-fatt li win32k.sys huwa eżegwit taħt l-utent privileġġjat 'Sistema', l-iżviluppaturi Duqu elegantly solvuti l-problema kemm ta 'tnedija mhux awtorizzata u eskalazzjoni tad-drittijiet (li jaħdem taħt kont ta' utent bi drittijiet limitati).
Wara li rċieva l-kontroll, l-installatur iddeċifra tliet blokki ta 'dejta li jinsabu fiha fil-memorja, li fihom:

  • sewwieq iffirmat (sys);
  • modulu prinċipali (dll);
  • data tal-konfigurazzjoni tal-installatur (pnf).

Firxa ta' data ġiet speċifikata fid-dejta tal-konfigurazzjoni tal-installatur (fil-forma ta' żewġ timestamps - bidu u tmiem). L-installatur ivverifika jekk id-data attwali kinitx inkluża fiha, u jekk le, lesta l-eżekuzzjoni tagħha. Fid-dejta tal-konfigurazzjoni tal-installatur kien hemm ukoll l-ismijiet li taħthom ġew salvati s-sewwieq u l-modulu prinċipali. F'dan il-każ, il-modulu prinċipali ġie ffrankat fuq disk f'forma kriptata.

Duqu - pupa malizzjuża li jbejtu

Biex autostart Duqu, inħoloq servizz bl-użu ta 'fajl tas-sewwieq li decrypted il-modulu prinċipali fuq il-fly billi tuża ċwievet maħżuna fir-reġistru. Il-modulu prinċipali fih il-blokk tad-dejta tal-konfigurazzjoni tiegħu stess. Meta tnieda għall-ewwel darba, ġie decrypted, id-data tal-installazzjoni ġiet imdaħħla fiha, u wara reġgħet ġiet encrypted u salvata mill-modulu prinċipali. Għalhekk, fis-sistema affettwata, mal-installazzjoni b'suċċess, ġew salvati tliet fajls - is-sewwieq, il-modulu prinċipali u l-fajl tad-dejta tal-konfigurazzjoni tiegħu, filwaqt li l-aħħar żewġ fajls ġew maħżuna fuq disk f'forma kriptata. Il-proċeduri kollha ta' dekodifikazzjoni saru biss fil-memorja. Din il-proċedura ta 'installazzjoni kumplessa ntużat biex timminimizza l-possibbiltà ta' skoperta minn softwer antivirus.

Il-modulu prinċipali

Modulu prinċipali (riżors 302), skond informazzjoni kumpanija Kaspersky Lab, miktuba bl-użu ta 'MSVC 2008 f'Ċ pur, iżda bl-użu ta' approċċ orjentat lejn l-oġġetti. Dan l-approċċ mhuwiex karatteristika meta tiżviluppa kodiċi malizzjuż. Bħala regola, kodiċi bħal dan huwa miktub f'C biex jitnaqqas id-daqs u jeħles mis-sejħiet impliċiti inerenti f'C++. Hemm ċerta simbjożi hawn. Barra minn hekk, intużat arkitettura mmexxija mill-avvenimenti. L-impjegati ta 'Kaspersky Lab huma inklinati għat-teorija li l-modulu prinċipali nkiteb bl-użu ta' add-on ta 'qabel il-proċessur li jippermettilek tikteb kodiċi C fi stil ta' oġġett.
Il-modulu prinċipali huwa responsabbli għall-proċedura biex tirċievi kmandi mill-operaturi. Duqu jipprovdi diversi metodi ta 'interazzjoni: bl-użu tal-protokolli HTTP u HTTPS, kif ukoll l-użu ta' pajpijiet bl-isem. Għal HTTP(S), ġew speċifikati l-ismijiet tad-dominju taċ-ċentri tal-kmand, u ġiet ipprovduta l-abbiltà li taħdem permezz ta’ proxy server - ġew speċifikati isem tal-utent u password għalihom. L-indirizz IP u l-isem tiegħu huma speċifikati għall-kanal. Id-dejta speċifikata hija maħżuna fil-blokk tad-dejta tal-konfigurazzjoni tal-modulu prinċipali (f'forma kriptata).
Biex nużaw pajpijiet bl-isem, nedejna l-implimentazzjoni tas-server RPC tagħna stess. Huwa appoġġja s-seba' funzjonijiet li ġejjin:

  • lura l-verżjoni installata;
  • injetta dll fil-proċess speċifikat u sejjaħ il-funzjoni speċifikata;
  • tagħbija dll;
  • tibda proċess billi ċċempel CreateProcess();
  • aqra l-kontenut ta' fajl partikolari;
  • ikteb id-dejta fil-fajl speċifikat;
  • ħassar il-fajl speċifikat.

Pajpijiet bl-isem jistgħu jintużaw f'netwerk lokali biex iqassmu moduli aġġornati u data ta 'konfigurazzjoni bejn kompjuters infettati minn Duqu. Barra minn hekk, Duqu seta' jaġixxi bħala proxy server għal kompjuters infettati oħra (li ma kellhomx aċċess għall-Internet minħabba s-settings tal-firewall fuq il-gateway). Xi verżjonijiet ta 'Duqu ma kellhomx funzjonalità RPC.

"tagħbijiet" magħrufa

Symantec skopra mill-inqas erba 'tipi ta' payloads imniżżla taħt kmand miċ-ċentru ta 'kontroll Duqu.
Barra minn hekk, wieħed biss minnhom kien residenti u kkompilat bħala fajl eżekutibbli (exe), li ġie salvat fuq disk. It-tlieta li fadal ġew implimentati bħala libreriji dll. Ġew mgħobbija b'mod dinamiku u esegwiti fil-memorja mingħajr ma ġew salvati fuq disk.

Il-"payload" residenti kien modulu spy (infostealer) b'funzjonijiet ta' keylogger. Kien billi bagħtu lil VirusTotal li beda x-xogħol fuq ir-riċerka ta’ Duqu. Il-funzjonalità ewlenija tal-ispija kienet fir-riżors, li l-ewwel 8 kilobytes tagħhom kien fihom parti minn ritratt tal-galaxie NGC 6745 (għall-kamuflaġġ). Hawn ta’ min ifakkar li f’April 2012, xi midja ppubblikat informazzjoni (http://www.mehrnews.com/en/newsdetail.aspx?NewsID=1297506) li l-Iran kien espost għal xi softwer malizzjuż “Stars”, filwaqt li dettalji ta’ l-inċident ma ġewx żvelati. Forsi kien biss tali kampjun tat-"tagħbija" Duqu li ġiet skoperta mbagħad fl-Iran, għalhekk l-isem "Stars".
Il-modulu spy ġabar l-informazzjoni li ġejja:

  • lista ta 'proċessi li qed jaħdmu, informazzjoni dwar l-utent attwali u d-dominju;
  • lista ta' drajvs loġiċi, inklużi drajvs tan-netwerk;
  • screenshots;
  • indirizzi ta' interface tan-netwerk, tabelli tar-routing;
  • Fajl ta' log tat-tasti tat-tasti;
  • ismijiet ta' twieqi ta' applikazzjoni miftuħa;
  • lista tar-riżorsi tan-netwerk disponibbli (qsim tar-riżorsi);
  • lista kompluta ta' fajls fuq id-diski kollha, inklużi dawk li jistgħu jitneħħew;
  • lista ta’ kompjuters fl-“ambjent tan-netwerk”.

Modulu ieħor spy (infostealer) kienet varjazzjoni ta’ dak li kien diġà deskritt, iżda kkumpilat bħala librerija dll; il-funzjonijiet ta’ keylogger, il-kumpilazzjoni ta’ lista ta’ fajls u l-lista ta’ kompjuters inklużi fid-dominju tneħħew minnha.
Modulu li jmiss (rikonoxximent) informazzjoni tas-sistema miġbura:

  • jekk il-kompjuter huwiex parti minn dominju;
  • mogħdijiet għad-direttorji tas-sistema Windows;
  • verżjoni tas-sistema operattiva;
  • isem tal-utent attwali;
  • Lista ta' adapters tan-netwerk;
  • sistema u l-ħin lokali, kif ukoll iż-żona tal-ħin.

L-aħħar modulu (tul il-ħajja) implimentaw funzjoni biex iżidu l-valur (maħżun fil-fajl tad-dejta tal-konfigurazzjoni tal-modulu prinċipali) tan-numru ta 'jiem li fadal sakemm jitlesta x-xogħol. B'mod awtomatiku, dan il-valur kien issettjat għal 30 jew 36 jum skont il-modifika Duqu, u naqas b'wieħed kull jum.

Ċentri tal-kmand

Fl-20 ta' Ottubru 2011 (tlett ijiem wara li tqassmet informazzjoni dwar l-iskoperta), l-operaturi Duqu wettqu proċedura biex jeqirdu traċċi tal-funzjonament taċ-ċentri tal-kmand. Iċ-ċentri tal-kmand kienu jinsabu fuq servers hacked madwar id-dinja - fil-Vjetnam, l-Indja, il-Ġermanja, Singapor, l-Isvizzera, il-Gran Brittanja, l-Olanda, u l-Korea t'Isfel. Interessanti, is-servers identifikati kollha kienu qed iħaddmu l-verżjonijiet CentOS 5.2, 5.4 jew 5.5. L-OSs kienu kemm 32-bit kif ukoll 64-bit. Minkejja l-fatt li l-fajls kollha relatati mal-operat taċ-ċentri tal-kmand tħassru, l-ispeċjalisti ta’ Kaspersky Lab setgħu jirkupraw ftit mill-informazzjoni minn fajls LOG minn spazju slack. L-aktar fatt interessanti huwa li l-attakkanti fuq is-servers dejjem issostitwixxu l-pakkett default OpenSSH 4.3 bil-verżjoni 5.8. Dan jista 'jindika li vulnerabbiltà mhux magħrufa f'OpenSSH 4.3 intużat biex hack servers. Mhux is-sistemi kollha ntużaw bħala ċentri ta’ kmand. Xi wħud, ġġudikati mill-iżbalji fir-zkuk sshd meta ppruvaw jidderieġu mill-ġdid it-traffiku għall-portijiet 80 u 443, intużaw bħala proxy server biex jgħaqqdu maċ-ċentri tal-kmand tat-tmiem.

Dati u moduli

Dokument tal-Word imqassam f'April 2011, li ġie eżaminat minn Kaspersky Lab, kien fih sewwieq għat-tniżżil tal-installatur b'data ta' kumpilazzjoni tal-31 ta' Awwissu, 2007. Driver simili (daqs - 20608 bytes, MD5 - EEDCA45BD613E0D9A9E5C69122007F17) f'dokument misjub fil-laboratorji CrySys kellu data ta' kumpilazzjoni tal-21 ta' Frar, 2008. Barra minn hekk, l-esperti tal-Kaspersky Lab sabu s-sewwieq autorun rndismpc.sys (daqs - 19968 bytes, MD5 - 9AEC6E10C5EE9C05BED93221544C783E) bid-data 20 ta' Jannar 2008. L-ebda komponenti mmarkati 2009 ma nstabu. Ibbażat fuq il-timestamps tal-kumpilazzjoni ta' partijiet individwali ta' Duqu, l-iżvilupp tiegħu jista' jmur lura għall-bidu tal-2007. L-aktar manifestazzjoni bikrija tagħha hija assoċjata mal-iskoperta ta 'fajls temporanji tat-tip ~DO (probabbilment maħluqa minn wieħed mill-moduli spyware), li d-data tal-ħolqien tagħhom hija t-28 ta' Novembru 2008 (artikolu "Duqu & Stuxnet: A Timeline of Interesting Events"). L-aktar data riċenti assoċjata ma' Duqu kienet it-23 ta' Frar, 2012, li tinsab f'sewwieq tat-tniżżil tal-installatur skopert minn Symantec f'Marzu 2012.

Sorsi ta' informazzjoni użata:

sensiela ta’ artikli dwar Duqu minn Kaspersky Lab;
Rapport analitiku Symantec "W32.Duqu Il-prekursur għall-Stuxnet li jmiss", verżjoni 1.4, Novembru 2011 (pdf).

Sors: www.habr.com

Żid kumment