Duqu သည် အန္တရာယ်ရှိသော matryoshka ဖြစ်သည်။

နိဒါန်း

စက်တင်ဘာ 1 ရက်၊ 2011 ခုနှစ်တွင် ~DN1.tmp ဟု အမည်ပေးထားသည့် ဖိုင်ကို ဟန်ဂေရီနိုင်ငံမှ VirusTotal ဝဘ်ဆိုက်သို့ ပေးပို့ခဲ့သည်။ ထိုအချိန်တွင်၊ ဖိုင်ကို BitDefender နှင့် AVIRA မှ ဗိုင်းရပ်စ်နှိမ်နင်းရေးအင်ဂျင်နှစ်ခုတည်းကသာ အန္တရာယ်ရှိနေကြောင်း တွေ့ရှိခဲ့သည်။ Duqu ၏ဇာတ်လမ်းသည်ဤသို့စတင်ခဲ့သည်။ ရှေ့ကိုကြည့်လိုက်ရင်၊ Duqu malware မိသားစုကို ဒီဖိုင်ရဲ့နာမည်နောက်မှာ နာမည်ပေးထားတယ်လို့ ဆိုရမှာပေါ့။ သို့သော်၊ ဤဖိုင်သည် ကီးလော့ဂ်ဂါလုပ်ဆောင်ချက်များပါရှိသော လုံးဝလွတ်လပ်သော spyware module တစ်ခုဖြစ်ပြီး အန္တရာယ်ရှိသော downloader-dropper ကို အသုံးပြု၍ ထည့်သွင်းထားပြီး ဖြစ်နိုင်သည်၊ ၎င်းသည် ၎င်း၏လုပ်ဆောင်မှုအတွင်း Duqu malware မှ တင်ဆောင်လာသော " payload" အဖြစ်သာ မှတ်ယူနိုင်သည်၊ အစိတ်အပိုင်းတစ်ခုအနေဖြင့်မဟုတ်ဘဲ ( Duqu ၏ module)။ Duqu အစိတ်အပိုင်းများထဲမှ တစ်ခုကို Virustotal ဝန်ဆောင်မှုသို့ စက်တင်ဘာ ၉ ရက်ကသာ ပေးပို့ခဲ့သည်။ ၎င်း၏ထူးခြားသောအင်္ဂါရပ်မှာ C-Media မှဒစ်ဂျစ်တယ်ဖြင့်လက်မှတ်ရေးထိုးထားသောယာဉ်မောင်းဖြစ်သည်။ အချို့သော ကျွမ်းကျင်သူများသည် လက်မှတ်ထိုးထားသော ဒရိုက်ဗာများကို အသုံးပြုထားသည့် အခြားသော နာမည်ကြီး malware ဥပမာ - Stuxnet ဖြင့် နှိုင်းယှဥ်မှုကို ချက်ချင်းစတင်ခဲ့သည်။ ကမ္ဘာတစ်ဝှမ်းရှိ ဗိုင်းရပ်စ်နှိမ်နင်းရေးကုမ္ပဏီ အသီးသီးမှ ရှာဖွေတွေ့ရှိခဲ့သည့် Duqu-ကူးစက်ခံရသော ကွန်ပျူတာ စုစုပေါင်း အရေအတွက်သည် ဒါဇင်နှင့်ချီရှိနေသည်။ ကုမ္ပဏီအများအပြားက အီရန်သည် ပင်မပစ်မှတ်ဟု ဆိုကြသော်လည်း ပထဝီဝင်ဆိုင်ရာ ကူးစက်ပျံ့နှံ့မှုအရ ၎င်းကို သေချာစွာ မပြောနိုင်ပေ။

ဤကိစ္စတွင်၊ သင်သည် အခြားကုမ္ပဏီတစ်ခုအကြောင်းကို ယုံမှားသံသယဖြစ်ဖွယ်စကားလုံးအသစ်ဖြင့်သာ ပြောဆိုသင့်သည်။ APT (အဆင့်မြင့် ဆက်တိုက်ခြိမ်းခြောက်မှု)။

စနစ်အကောင်အထည်ဖော်မှုလုပ်ငန်းစဉ်

ဟန်ဂေရီအဖွဲ့အစည်း CrySyS (Budapest နည်းပညာနှင့်စီးပွားရေးတက္ကသိုလ်မှ ဟန်ဂေရီဓာတ်ခွဲခန်းမှ ကျွမ်းကျင်သူများ ၏ စုံစမ်းစစ်ဆေးမှုသည် ဗိုင်းရပ်စ်ကူးစက်ခံရသော တပ်ဆင်သူ (dropper)) ကို ရှာဖွေတွေ့ရှိခဲ့သည်။ ၎င်းသည် Win32k.sys ဒရိုက်ဘာ အားနည်းချက် (MS11-087၊ နိုဝင်ဘာ 13၊ 2011) တွင် Microsoft မှ ဖော်ပြထားသော TTF ဖောင့် rendering ယန္တရားအတွက် တာဝန်ရှိသည့် Microsoft Word ဖိုင်တစ်ခုဖြစ်သည်။ Exploit ၏ shellcode သည် Showtime Inc. မှ ဖောင့်ဖန်တီးသူအဖြစ် စာရင်းသွင်းထားသော စာရွက်စာတမ်းတွင် ထည့်သွင်းထားသော 'Dexter Regular' ဟုခေါ်သော ဖောင့်ကို အသုံးပြုပါသည်။ သင်တွေ့မြင်ရသည့်အတိုင်း Duqu ၏ဖန်တီးသူများသည် ဟာသဥာဏ်အတွက် သူစိမ်းများမဟုတ်ပါ- Dexter သည် Showtime မှထုတ်လုပ်သော နာမည်တူရုပ်မြင်သံကြားစီးရီး၏သူရဲကောင်း၊ Dexter ဖြစ်သည်။ Dexter သည် ရာဇ၀တ်ကောင်များကိုသာ (ဖြစ်နိုင်လျှင်) သတ်ပစ်သည်၊ ဆိုလိုသည်မှာ သူသည် ဥပဒေ၏အမည်ဖြင့် ဥပဒေကိုချိုးဖောက်သည်။ ဤနည်းအားဖြင့် Duqu developer များသည် ကောင်းမွန်သောရည်ရွယ်ချက်များအတွက် တရားမဝင်လုပ်ဆောင်မှုများတွင် ပါဝင်နေခြင်းကို မထင်မှတ်ထားခြင်းဖြစ်သည်။ အီးမေးလ်များ ပေးပို့ခြင်းကို ရည်ရွယ်ချက်ရှိရှိ လုပ်ဆောင်ခဲ့ပါသည်။ တင်ပို့မှုတွင် ခြေရာခံရန်ခက်ခဲစေရန် ကြားခံအဖြစ် အပေးအယူခံရသော (hacked) ကွန်ပျူတာများကို အများဆုံးအသုံးပြုခဲ့သည်။
ထို့ကြောင့် Word document တွင် အောက်ပါ အစိတ်အပိုင်းများ ပါဝင်ပါသည်။

• စာသားအကြောင်းအရာ;
• built-in ဖောင့်;
• shellcode ကို အသုံးချပြီး၊
• ယာဉ်မောင်း;
• installer (DLL စာကြည့်တိုက်)။

အောင်မြင်ပါက၊ exploit shellcode သည် အောက်ပါလုပ်ဆောင်ချက်များကို လုပ်ဆောင်ခဲ့သည် (kernel မုဒ်တွင်)

• ပြန်လည်ကူးစက်ခြင်းအတွက် စစ်ဆေးမှုတစ်ခုပြုလုပ်ထားသည်၊ ယင်းအတွက်၊ 'CF4D' သော့ပါဝင်မှုကို 'HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZones1' လိပ်စာတွင် 'CFXNUMXD' သော့ပါဝင်မှုကို စစ်ဆေးပြီးဖြစ်သည်၊ ၎င်းသည် မှန်ပါက၊ shellcode သည် ၎င်း၏လုပ်ဆောင်မှုကို ပြီးမြောက်စေပါသည်။
• ဖိုင်နှစ်ခုကို စာဝှက်ထားသည် - driver (sys) နှင့် installer (dll);
• driver ကို services.exe လုပ်ငန်းစဉ်ထဲသို့ ထိုးသွင်းပြီး installer ကို စတင်လိုက်ပါ။
• နောက်ဆုံးတွင်၊ shellcode သည် မှတ်ဉာဏ်ထဲတွင် သုညဖြင့် သူ့ကိုယ်သူ ဖျက်ပစ်လိုက်သည်။

အခွင့်ထူးခံအသုံးပြုသူ 'System' အောက်တွင် win32k.sys ကို ကွပ်မျက်ထားခြင်းကြောင့် Duqu developer များသည် ခွင့်ပြုချက်မရှိဘဲ လွှင့်တင်ခြင်းနှင့် အခွင့်အရေးများ တိုးမြင့်ခြင်း (အကန့်အသတ်ရှိသော အသုံးပြုသူအကောင့်အောက်တွင် လုပ်ဆောင်နေသည်) ပြဿနာကို ပြေပြစ်စွာ ဖြေရှင်းခဲ့သည်။
ထိန်းချုပ်မှုကို လက်ခံရရှိပြီးနောက်၊ ထည့်သွင်းသူသည် မမ်မိုရီအတွင်းပါရှိသော ဒေတာဘလောက်သုံးခုကို စာဝှက်ထားသည်၊ ပါဝင်သော၊

• လက်မှတ်ရေးထိုးထားသောယာဉ်မောင်း (sys);
• ပင်မ module (dll);
• installer configuration data (pnf)။

ရက်စွဲအပိုင်းအခြားကို ထည့်သွင်းသူ ဖွဲ့စည်းမှုပုံစံဒေတာတွင် (အချိန်တံဆိပ်တုံးနှစ်ခုပုံစံ- အစနှင့်အဆုံး) တွင် သတ်မှတ်ထားသည်။ ထည့်သွင်းသူသည် ၎င်းတွင် လက်ရှိရက်စွဲကို ထည့်သွင်းထားခြင်း ရှိမရှိ စစ်ဆေးခဲ့ပြီး မဟုတ်ပါက ၎င်းသည် ၎င်း၏ လုပ်ဆောင်မှုကို အပြီးသတ်ခဲ့သည်။ installer configuration data တွင်လည်း driver နှင့် main module ကို သိမ်းဆည်းထားသည့် အမည်များ ပါဝင်သည်။ ဤကိစ္စတွင်၊ ပင်မ module ကို ကုဒ်ဝှက်ထားသောပုံစံဖြင့် disk တွင်သိမ်းဆည်းထားသည်။

Duqu ကို အလိုအလျောက်စတင်ရန်အတွက်၊ registry တွင်သိမ်းဆည်းထားသောသော့များကိုအသုံးပြု၍ ပင်မ module အား ကုဒ်ဝှက်ထားသော ဒရိုက်ဘာဖိုင်ကို အသုံးပြု၍ ဝန်ဆောင်မှုတစ်ခုကို ဖန်တီးထားသည်။ ပင်မ module တွင် ၎င်း၏ကိုယ်ပိုင်ဖွဲ့စည်းမှုဒေတာပိတ်ဆို့ခြင်းပါရှိသည်။ စတင်သောအခါတွင်၊ ၎င်းကို စာဝှက်ထားပြီး၊ ထည့်သွင်းသည့်ရက်စွဲကို ထည့်သွင်းပြီးနောက် ၎င်းကို ထပ်မံကုဒ်ဝှက်ပြီး ပင်မ module မှ သိမ်းဆည်းခဲ့သည်။ ထို့ကြောင့်၊ အောင်မြင်သောထည့်သွင်းမှုတွင်၊ ထိခိုက်မှုစနစ်တွင်၊ ဖိုင်သုံးခုကို သိမ်းဆည်းခဲ့သည် - ဒရိုက်ဘာ၊ ပင်မ module နှင့် ၎င်း၏ဖွဲ့စည်းပုံဒေတာဖိုင်၊ နောက်ဆုံးဖိုင်နှစ်ခုကို ကုဒ်ဝှက်ထားသောပုံစံဖြင့် disk တွင်သိမ်းဆည်းထားစဉ်၊ ကုဒ်ဆွဲခြင်းလုပ်ငန်းစဉ်အားလုံးကို memory တွင်သာ လုပ်ဆောင်ခဲ့သည်။ ဤရှုပ်ထွေးသော တပ်ဆင်မှုလုပ်ငန်းစဉ်ကို ဗိုင်းရပ်စ်နှိမ်နင်းရေးဆော့ဖ်ဝဲလ်မှ ရှာဖွေတွေ့ရှိနိုင်ခြေကို လျှော့ချရန်အတွက် အသုံးပြုခဲ့သည်။

အဓိက module

Main module (resource 302) အရ သိရသည်။ သတင်းအချက်အလက် Kaspersky Lab ကုမ္ပဏီသည် MSVC 2008 ကို စစ်မှန်သော C ဖြင့် ရေးသားသော်လည်း အရာဝတ္ထု-ဆန်သော ချဉ်းကပ်မှုကို အသုံးပြုထားသည်။ အန္တရာယ်ရှိသောကုဒ်ကို ဖန်တီးသည့်အခါ ဤချဉ်းကပ်မှုသည် ထူးခြားမှုမရှိပါ။ စည်းကမ်းအတိုင်း၊ အရွယ်အစားကို လျှော့ချရန်နှင့် C++ တွင် မွေးရာပါ သွယ်ဝိုက်သောခေါ်ဆိုမှုများကို ဖယ်ရှားရန် အဆိုပါကုဒ်ကို C တွင် ရေးထားသည်။ ဤနေရာတွင် အချို့သော symbiosis ရှိသည်။ ထို့အပြင်၊ ပွဲဦးတည်သည့် ဗိသုကာကို အသုံးပြုထားသည်။ Kaspersky Lab ဝန်ထမ်းများသည် သင့်အား အရာဝတ္တုစတိုင်တွင် C ကုဒ်ရေးနိုင်စေမည့် pre-processor add-on ကိုအသုံးပြု၍ ပင်မ module ကို ရေးသားခဲ့သည်ဟူသော သီအိုရီကို လိုလားကြသည်။
ပင်မ module သည် အော်ပရေတာများထံမှ command များလက်ခံရရှိခြင်းလုပ်ငန်းစဉ်အတွက် တာဝန်ရှိပါသည်။ Duqu သည် HTTP နှင့် HTTPS ပရိုတိုကောများကို အသုံးပြု၍ အပြန်အလှန်တုံ့ပြန်မှုနည်းလမ်းများစွာကို ပံ့ပိုးပေးသည့်အပြင် အမည်ရှိသောပိုက်များကို အသုံးပြုခြင်း။ HTTP(S) အတွက်၊ ကွပ်ကဲမှုစင်တာများ၏ ဒိုမိန်းအမည်များကို သတ်မှတ်ပေးထားပြီး ပရောက်စီဆာဗာမှတဆင့် လုပ်ဆောင်နိုင်စွမ်းကို ပေးဆောင်ထားသည် - ၎င်းတို့အတွက် အသုံးပြုသူအမည်နှင့် စကားဝှက်ကို သတ်မှတ်ပေးထားသည်။ IP လိပ်စာနှင့် ၎င်း၏အမည်ကို ချန်နယ်အတွက် သတ်မှတ်ထားသည်။ သတ်မှတ်ထားသောဒေတာကို ပင်မ module ဖွဲ့စည်းမှုဒေတာပိတ်ဆို့ခြင်း (ကုဒ်ဝှက်ထားသောပုံစံ) တွင် သိမ်းဆည်းထားသည်။
အမည်ရှိသော ပိုက်များကို အသုံးပြုရန်အတွက် ကျွန်ုပ်တို့သည် ကျွန်ုပ်တို့၏ကိုယ်ပိုင် RPC ဆာဗာကို စတင်အကောင်အထည်ဖော်ခဲ့ပါသည်။ ၎င်းသည် အောက်ပါလုပ်ဆောင်ချက်ခုနစ်ခုကို ပံ့ပိုးပေးသည်-

• ထည့်သွင်းထားသောဗားရှင်းကို ပြန်ပေးပါ။
• သတ်မှတ်ထားသောလုပ်ငန်းစဉ်တွင် dll ကိုထိုးသွင်းပြီး သတ်မှတ်ထားသောလုပ်ဆောင်ချက်ကိုခေါ်ဆိုပါ။
• dll ကိုတင်ရန်;
• CreateProcess();
• ပေးထားသော ဖိုင်တစ်ခု၏ အကြောင်းအရာများကို ဖတ်ပါ။
• သတ်မှတ်ထားသောဖိုင်သို့ဒေတာရေးပါ။
• သတ်မှတ်ထားသောဖိုင်ကိုဖျက်ပါ။

Duqu ကူးစက်ခံထားရသော ကွန်ပျူတာများကြားတွင် မွမ်းမံထားသော module များနှင့် configuration data များကို ဖြန့်ဝေရန်အတွက် local network တစ်ခုအတွင်း အမည်ရှိသော ပိုက်များကို အသုံးပြုနိုင်သည်။ ထို့အပြင်၊ Duqu သည် အခြားသော ကူးစက်ခံထားရသော ကွန်ပျူတာများအတွက် ပရောက်စီဆာဗာအဖြစ် လုပ်ဆောင်နိုင်သည် (ဂိတ်ဝရှိ firewall ဆက်တင်များကြောင့် အင်တာနက်သို့ ဝင်ခွင့်မရသော)။ Duqu ၏အချို့ဗားရှင်းများတွင် RPC လုပ်ဆောင်နိုင်စွမ်းမရှိပါ။

"ဝန်ဆောင်ခများ" လူသိများသည်

Symantec သည် Duqu ထိန်းချုပ်မှုစင်တာမှ အမိန့်ပေးမှုအောက်တွင် ဒေါင်းလုဒ်လုပ်ထားသော အနည်းဆုံး payload အမျိုးအစားလေးမျိုးကို ရှာဖွေတွေ့ရှိခဲ့သည်။
ထို့အပြင် ၎င်းတို့အနက်မှ တစ်ခုသာ နေထိုင်ပြီး disk တွင် သိမ်းဆည်းထားသည့် executable file (exe) အဖြစ် စုစည်းထားသည်။ ကျန်သုံးခုကို dll စာကြည့်တိုက်များအဖြစ် အကောင်အထည်ဖော်ခဲ့သည်။ ၎င်းတို့ကို ဒိုင်းနမစ်တွင် တင်ဆောင်ပြီး ဒစ်ခ်တွင် မသိမ်းဆည်းဘဲ မန်မိုရီတွင် လုပ်ဆောင်ခဲ့သည်။

နေထိုင်သူ "payload" သည် သူလျှို module (သတင်းခိုးယူသူ) keylogger လုပ်ဆောင်ချက်များဖြင့်။ Duqu သုတေသနလုပ်ငန်းကို VirusTotal သို့ ပေးပို့ခြင်းဖြင့် စတင်ခဲ့ခြင်းဖြစ်ပါသည်။ အဓိကသူလျှိုလုပ်ဆောင်နိုင်စွမ်းမှာ ရင်းမြစ်တွင်ဖြစ်ပြီး၊ နဂါးငွေ့တန်း NGC 8 ၏ဓာတ်ပုံတစ်စိတ်တစ်ပိုင်းပါရှိသော ပထမ 6745 ကီလိုဘိုက်သည် အရင်းအမြစ်တွင်ဖြစ်သည်။ 2012 ခုနှစ် ဧပြီလတွင် အချို့သောမီဒီယာများမှ သတင်းအချက်အလက်များ (http://www.mehrnews.com/en/newsdetail.aspx?NewsID=1297506) တွင် အီရန်သည် အန္တရာယ်ရှိသောဆော့ဖ်ဝဲလ်အချို့ “Stars” နှင့် ထိတွေ့ခဲ့ရကြောင်း ဤနေရာတွင် သတိရသင့်သည်၊၊ အဖြစ်အပျက်ကို ထုတ်ဖော်ပြောကြားခြင်း မရှိပေ။ အီရန်တွင် ထိုအချိန်က ရှာဖွေတွေ့ရှိခဲ့သော Duqu "ပေးဆောင်မှု" ၏နမူနာတစ်ခုသာ ဖြစ်ကောင်းဖြစ်နိုင်သောကြောင့် "ကြယ်များ" ဟု အမည်ပေးခဲ့သည်။
သူလျှို module သည် အောက်ပါအချက်အလက်များကို စုဆောင်းခဲ့သည်-

• လုပ်ဆောင်နေသည့် လုပ်ငန်းစဉ်များစာရင်း၊ လက်ရှိအသုံးပြုသူနှင့် ဒိုမိန်းအကြောင်း အချက်အလက်၊
• ကွန်ရက်ဒရိုက်များအပါအဝင် ယုတ္တိဗေဒဒရိုက်ဗ်များစာရင်း၊
• ဖန်သားပြင်ဓာတ်ပုံများ;
• ကွန်ရက်ကြားခံလိပ်စာများ၊ လမ်းကြောင်းဇယားများ၊
• ကီးဘုတ် ခလုတ်တိုက်ခြင်း၏ မှတ်တမ်းဖိုင်၊
• ဖွင့်ထားသော အပလီကေးရှင်း ပြတင်းပေါက်များ၏ အမည်များ။
• ရရှိနိုင်သောကွန်ရက်အရင်းအမြစ်များစာရင်း (အရင်းအမြစ်များကိုမျှဝေခြင်း);
• ဖြုတ်တပ်နိုင်သော ဖိုင်များအပါအဝင် ဒစ်များအားလုံးရှိ ဖိုင်များစာရင်းအပြည့်အစုံ။
• "ကွန်ရက်ပတ်ဝန်းကျင်" ရှိ ကွန်ပျူတာများစာရင်း။

အခြားသူလျှို module (သတင်းခိုးယူသူ) သည် ဖော်ပြထားပြီးဖြစ်သည့် ဗားရှင်းတစ်မျိုးဖြစ်သော်လည်း dll စာကြည့်တိုက်အဖြစ် စုစည်းထားခြင်းဖြစ်သည်၊ ကီးလော့ဂ်ဂါ၏ လုပ်ဆောင်ချက်များ၊ ဖိုင်များစာရင်းပြုစုခြင်းနှင့် ဒိုမိန်းတွင်ပါဝင်သော ကွန်ပျူတာများစာရင်းကို ၎င်းမှဖယ်ရှားခဲ့သည်။
နောက်တစ်ခု module (မှတ်မိခြင်း) စုဆောင်းထားသော စနစ်အချက်အလက်

• ကွန်ပျူတာသည် ဒိုမိန်းတစ်ခု၏ အစိတ်အပိုင်းဖြစ်မဖြစ်၊
• Windows စနစ်လမ်းညွှန်များဆီသို့ လမ်းကြောင်းများ၊
• လည်ပတ်မှုစနစ်ဗားရှင်း;
• လက်ရှိအသုံးပြုသူအမည်;
• ကွန်ရက်အဒက်တာများစာရင်း;
• စနစ်နှင့် ဒေသစံတော်ချိန်အပြင် အချိန်ဇုန်။

နောက်ဆုံး သင်ခန်းစာ (သက်တမ်းတိုးကိရိယာအလုပ်မပြီးမချင်း လက်ကျန်ရက်အရေအတွက်၏ (ပင်မ module ဖွဲ့စည်းမှုဒေတာဖိုင်တွင် သိမ်းဆည်းထားသည်) တန်ဖိုးကို တိုးမြင့်ရန်အတွက် လုပ်ဆောင်ချက်တစ်ခုကို အကောင်အထည်ဖော်ခဲ့သည်။ မူရင်းအားဖြင့် Duqu ပြုပြင်မွမ်းမံမှုအပေါ်မူတည်၍ ဤတန်ဖိုးကို ရက်ပေါင်း 30 သို့မဟုတ် 36 ရက်အဖြစ် သတ်မှတ်ထားပြီး တစ်ရက်လျှင် တစ်ခု လျော့သွားပါသည်။

ကွပ်ကဲမှုဌာနများ

အောက်တိုဘာလ 20 ရက် 2011 ခုနှစ် (ရှာဖွေတွေ့ရှိမှုနှင့်ပတ်သက်သည့် အချက်အလက်များကို ဖြန့်ကျက်ပြီး သုံးရက်အကြာတွင်) Duqu အော်ပရေတာများသည် ကွပ်ကဲမှုစင်တာများ၏ လုပ်ဆောင်မှုခြေရာများကို ဖျက်စီးရန် လုပ်ထုံးလုပ်နည်းကို လုပ်ဆောင်ခဲ့သည်။ ကွပ်ကဲမှုစင်တာများသည် ဗီယက်နမ်၊ အိန္ဒိယ၊ ဂျာမနီ၊ စင်ကာပူ၊ ဆွစ်ဇာလန်၊ ဗြိတိန်၊ ဟော်လန်နှင့် တောင်ကိုးရီးယားတို့တွင် ဟက်ကာဆာဗာများပေါ်တွင် တည်ရှိသည်။ စိတ်ဝင်စားစရာမှာ၊ ဖော်ထုတ်ထားသော ဆာဗာများအားလုံးသည် CentOS ဗားရှင်း 5.2၊ 5.4 သို့မဟုတ် 5.5 ကို အသုံးပြုထားသည်။ OS များသည် 32-bit နှင့် 64-bit နှစ်မျိုးလုံးဖြစ်သည်။ အမိန့်ပေးဌာနများ လည်ပတ်ခြင်းဆိုင်ရာ ဖိုင်အားလုံးကို ဖျက်လိုက်သော်လည်း Kaspersky Lab မှ ကျွမ်းကျင်သူများသည် LOG ဖိုင်များမှ အချက်အလက်အချို့ကို slack space မှ ပြန်လည်ရယူနိုင်ခဲ့သည်။ စိတ်ဝင်စားစရာအကောင်းဆုံးအချက်မှာ ဆာဗာများရှိ တိုက်ခိုက်သူများသည် မူရင်း OpenSSH 4.3 ပက်ကေ့ဂျ်ကို ဗားရှင်း 5.8 ဖြင့် အမြဲအစားထိုးခဲ့သည်။ ၎င်းသည် OpenSSH 4.3 ရှိ အမည်မသိ အားနည်းချက်တစ်ခုအား ဆာဗာများကို ဟက်ခ်ရန် အသုံးပြုထားကြောင်း ညွှန်ပြနိုင်သည်။ စနစ်အားလုံးကို ကွပ်ကဲမှုစင်တာများအဖြစ် အသုံးမပြုခဲ့ပါ။ ports 80 နှင့် 443 အတွက် အသွားအလာလမ်းကြောင်းပြန်ညွှန်ရန် ကြိုးစားသောအခါ အချို့သော sshd မှတ်တမ်းများတွင် အမှားအယွင်းများကို သုံးသပ်ခြင်းဖြင့်၊ အချို့ကို end command စင်တာများသို့ ချိတ်ဆက်ရန်အတွက် proxy server အဖြစ် အသုံးပြုခဲ့သည်။

ရက်စွဲများနှင့် သင်ခန်းစာများ

Kaspersky Lab မှ စစ်ဆေးခဲ့သော ဧပြီလ 2011 ခုနှစ်တွင် ဖြန့်ဝေထားသော Word စာရွက်စာတမ်းတစ်ခုတွင် ထည့်သွင်းသူ ဒေါင်းလုဒ်ဒရိုင်ဘာတစ်ခု ပါ၀င်ပြီး ၂၀၀၇ ခုနှစ် သြဂုတ်လ ၃၁ ရက်နေ့၊ CrySys ဓာတ်ခွဲခန်းများရှိ တွေ့ရှိသောစာရွက်စာတမ်းတစ်ခုတွင် အလားတူဒရိုက်ဘာ (အရွယ်အစား - 31 bytes၊ MD2007 - EEDCA20608BD5E45D613A0E9C9F5) သည် CrySys ဓာတ်ခွဲခန်းများတွင် တွေ့ရှိရသည့် မှတ်တမ်းတစ်ခုတွင် ဖေဖော်ဝါရီ ၂၁၊ ၂၀၀၈။ ထို့အပြင် Kaspersky Lab ကျွမ်းကျင်သူများသည် autorun driver rndismpc.sys (size - 69122007 bytes၊ MD17 - 21AEC2008E19968C5EE9C6BED10C5E) ကို ဇန်နဝါရီ 9၊ 05 နေ့စွဲဖြင့် တွေ့ရှိခဲ့သည်။ 93221544 တွင် အမှတ်အသားပြုထားသည့် အစိတ်အပိုင်းများကို မတွေ့ရှိရပါ။ Duqu ၏တစ်စိတ်တစ်ပိုင်းအစိတ်အပိုင်းများစုစည်းမှု၏အချိန်တံဆိပ်များကိုအခြေခံ၍ ၎င်း၏ဖွံ့ဖြိုးတိုးတက်မှုသည် 783 အစောပိုင်းအထိဖြစ်သည်။ ၎င်း၏ အစောဆုံးဖော်ပြမှုသည် ~DO အမျိုးအစား၏ ယာယီဖိုင်များကို ရှာဖွေတွေ့ရှိခြင်း ( spyware modules တစ်ခုမှ ဖန်တီးထားနိုင်သည် ) ၊ ဖန်တီးသည့်ရက်စွဲသည် နိုဝင်ဘာလ 20 ရက်၊ 2008 (ဆောင်းပါး "Duqu & Stuxnet: စိတ်ဝင်စားဖွယ်ကောင်းသော ဖြစ်ရပ်များ၏ အချိန်ဇယား")။ Duqu နှင့် ဆက်စပ်နေသည့် နောက်ဆုံးရက်စွဲသည် မတ်လ 23 ခုနှစ်တွင် Symantec မှရှာဖွေတွေ့ရှိခဲ့သော installer download driver တွင်ပါရှိသော ဖေဖော်ဝါရီ 2012၊ 2012 ဖြစ်သည်။

အသုံးပြုထားသော သတင်းအရင်းအမြစ်များ-

ဆောင်းပါးစီးရီးများ Kaspersky Lab မှ Duqu အကြောင်း၊
Symantec ခွဲခြမ်းစိတ်ဖြာမှုအစီရင်ခံစာ "W32.Duqu နောက် Stuxnet ၏ ရှေ့ပြေးနိမိတ်"ဗားရှင်း 1.4၊ နိုဝင်ဘာလ 2011 (pdf)။

source: www.habr.com