🥇Duqu - दुर्भावनापूर्ण नेस्टिङ पुतली

परिचय

सेप्टेम्बर 1, 2011 मा, ~DN1.tmp नामक फाइल हंगेरीबाट VirusTotal वेबसाइटमा पठाइएको थियो। त्यस समयमा, फाइल केवल दुई एन्टिभाइरस इन्जिनहरू - BitDefender र AVIRA द्वारा दुर्भावनापूर्ण रूपमा पत्ता लगाइएको थियो। डकुको कथा यसरी सुरु भयो। अगाडि हेर्दै, यो भन्नु पर्छ कि Duqu मालवेयर परिवार यस फाइलको नाम पछि नामाकरण गरिएको थियो। यद्यपि, यो फाइल किलगर प्रकार्यहरू सहितको पूर्ण रूपमा स्वतन्त्र स्पाइवेयर मोड्युल हो, स्थापित, सम्भवतः, खराब डाउनलोडर-ड्रपर प्रयोग गरेर, र यसको सञ्चालनको क्रममा Duqu मालवेयरद्वारा लोड गरिएको "पेलोड" को रूपमा मात्र मान्न सकिन्छ, र कम्पोनेन्टको रूपमा होइन ( Duqu को मोड्युल)। Duqu कम्पोनेन्टहरू मध्ये एउटा सेप्टेम्बर 9 मा मात्र Virustotal सेवामा पठाइएको थियो। यसको विशिष्ट विशेषता भनेको C-Media द्वारा डिजिटल रूपमा हस्ताक्षर गरिएको चालक हो। केही विशेषज्ञहरूले तुरुन्तै मालवेयरको अर्को प्रसिद्ध उदाहरण - Stuxnet, जसले हस्ताक्षरित ड्राइभरहरू पनि प्रयोग गर्‍यो। विश्वभरका विभिन्न एन्टिभाइरस कम्पनीहरूले पत्ता लगाएका Duqu-संक्रमित कम्प्युटरहरूको कुल संख्या दर्जनौंमा छ। धेरै कम्पनीहरूले दाबी गर्छन् कि इरान फेरि मुख्य लक्ष्य हो, तर संक्रमणको भौगोलिक वितरणलाई हेर्दा यो निश्चित रूपमा भन्न सकिँदैन।

यस अवस्थामा, तपाईंले भरपर्दो शब्दको साथ अर्को कम्पनीको बारेमा मात्र बोल्नु पर्छ एपीटी (उन्नत लगातार खतरा)।

प्रणाली कार्यान्वयन प्रक्रिया

हङ्गेरियन संस्था CrySyS (बुडापेस्ट युनिभर्सिटी अफ टेक्नोलोजी एण्ड इकोनोमिक्समा हंगेरियन ल्याबोरेटरी अफ क्रिप्टोग्राफी र सिस्टम सेक्युरिटी) का विशेषज्ञहरूद्वारा गरिएको अनुसन्धानले स्थापनाकर्ता (ड्रपर) पत्ता लगायो जसको माध्यमबाट प्रणाली संक्रमित भएको थियो। यो Win32k.sys ड्राइभर कमजोरी (MS11-087, नोभेम्बर 13, 2011 मा Microsoft द्वारा वर्णन गरिएको) को लागि शोषण भएको Microsoft Word फाइल थियो, जुन TTF फन्ट रेन्डरिङ मेकानिज्मको लागि जिम्मेवार छ। एक्स्प्लोइटको शेलकोडले कागजातमा इम्बेड गरिएको 'डेक्स्टर रेगुलर' नामक फन्ट प्रयोग गर्दछ, जसमा शोटाइम इंक फन्टको सिर्जनाकर्ताको रूपमा सूचीबद्ध छ। तपाईले देख्न सक्नुहुने रूपमा, डुकुका सिर्जनाकर्ताहरू हास्यको भावनाको लागि अपरिचित छैनन्: डेक्सटर एक सीरियल किलर हो, शोटाइम द्वारा निर्मित उही नामको टेलिभिजन श्रृंखलाको नायक। डेक्सटरले (यदि सम्भव भएमा) अपराधीहरूलाई मात्र मार्छ, त्यो हो, उसले वैधताको नाममा कानून तोड्छ। सायद, यस तरिकामा, Duqu विकासकर्ताहरू विडम्बनापूर्ण छन् कि तिनीहरू राम्रो उद्देश्यका लागि अवैध गतिविधिहरूमा संलग्न छन्। इमेल पठाउने उद्देश्यपूर्ण काम गरिएको थियो। ढुवानीले ट्र्याकिङलाई गाह्रो बनाउन मध्यस्थकर्ताको रूपमा सम्झौता (ह्याक) कम्प्युटरहरू प्रयोग गरेको थियो।
यसरी शब्द कागजातमा निम्न अवयवहरू थिए:

पाठ सामग्री;
निर्मित फन्ट;
शेलकोड शोषण;
चालक;
स्थापनाकर्ता (DLL पुस्तकालय)।

यदि सफल भएमा, शोषण शेलकोडले निम्न कार्यहरू प्रदर्शन गर्यो (कर्नेल मोडमा):

यसको लागि पुन: संक्रमणको लागि जाँच गरिएको थियो, 'HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZones4' ठेगानामा 'CF1D' कुञ्जीको उपस्थिति जाँच गरियो;
दुई फाइलहरू डिक्रिप्ट गरिएका थिए - ड्राइभर (sys) र स्थापनाकर्ता (dll);
चालकलाई services.exe प्रक्रियामा इन्जेक्सन गरिएको थियो र स्थापनाकर्ता सुरु गरियो;
अन्तमा, शेलकोडले मेमोरीमा शून्यसँग आफैलाई मेट्यो।

win32k.sys लाई विशेषाधिकार प्राप्त प्रयोगकर्ता 'प्रणाली' अन्तर्गत कार्यान्वयन गरिएको तथ्यका कारण, Duqu विकासकर्ताहरूले अनाधिकृत सुरुवात र अधिकारहरूको वृद्धि (सीमित अधिकारहरूसँग प्रयोगकर्ता खाता अन्तर्गत चलिरहेको) दुवै समस्यालाई सुन्दर ढंगले समाधान गरेका छन्।
नियन्त्रण प्राप्त गरेपछि, स्थापनाकर्ताले मेमोरीमा समावेश गरिएको डेटाको तीनवटा ब्लकहरू डिक्रिप्ट गर्यो, जसमा:

हस्ताक्षरित चालक (sys);
मुख्य मोड्युल (dll);
स्थापनाकर्ता कन्फिगरेसन डाटा (pnf)।

स्थापनाकर्ता कन्फिगरेसन डेटामा मिति दायरा निर्दिष्ट गरिएको थियो (दुई टाइमस्ट्याम्पको रूपमा - सुरु र अन्त्य)। स्थापनाकर्ताले जाँच गर्यो कि हालको मिति यसमा समावेश गरिएको थियो, र यदि छैन भने, यसले यसको कार्यान्वयन पूरा गर्यो। साथै स्थापनाकर्ता कन्फिगरेसन डाटामा नामहरू थिए जस अन्तर्गत ड्राइभर र मुख्य मोड्युल बचत गरिएका थिए। यस अवस्थामा, मुख्य मोड्युल इन्क्रिप्टेड फारममा डिस्कमा बचत गरिएको थियो।

Duqu स्वतः सुरु गर्नको लागि, एउटा सेवा ड्राइभर फाइल प्रयोग गरी सिर्जना गरिएको थियो जसले रजिस्ट्रीमा भण्डारण गरिएका कुञ्जीहरू प्रयोग गरेर फ्लाईमा मुख्य मोड्युललाई डिक्रिप्ट गर्दछ। मुख्य मोड्युलले यसको आफ्नै कन्फिगरेसन डाटा ब्लक समावेश गर्दछ। जब पहिलो पटक सुरु भयो, यो डिक्रिप्ट गरिएको थियो, स्थापना मिति यसमा प्रविष्ट गरिएको थियो, जस पछि यसलाई पुन: इन्क्रिप्ट गरिएको थियो र मुख्य मोड्युल द्वारा बचत गरिएको थियो। यसरी, प्रभावित प्रणालीमा, सफल स्थापनामा, तीन फाइलहरू बचत गरिएका थिए - ड्राइभर, मुख्य मोड्युल र यसको कन्फिगरेसन डाटा फाइल, जबकि अन्तिम दुई फाइलहरू एन्क्रिप्टेड फारममा डिस्कमा भण्डारण गरिएका थिए। सबै डिकोडिङ प्रक्रियाहरू मेमोरीमा मात्र गरिएको थियो। यो जटिल स्थापना प्रक्रिया एन्टिभाइरस सफ्टवेयर द्वारा पत्ता लगाउने सम्भावना कम गर्न प्रयोग गरिएको थियो।

मुख्य मोड्युल

मुख्य मोड्युल (संसाधन 302), अनुसार जानकारी कम्पनी Kaspersky Lab, शुद्ध C मा MSVC 2008 प्रयोग गरेर लेखिएको, तर वस्तु-उन्मुख दृष्टिकोण प्रयोग गरेर। यो दृष्टिकोण दुर्भावनापूर्ण कोड विकास गर्दा अचम्मको छ। नियमको रूपमा, साइज घटाउन र C++ मा निहित निहित कलहरूबाट छुटकारा पाउनको लागि यस्तो कोड C मा लेखिएको हुन्छ। यहाँ एक निश्चित सिम्बायोसिस छ। साथै, घटना-संचालित वास्तुकला प्रयोग गरिएको थियो। क्यास्परस्की ल्याब कर्मचारीहरू सिद्धान्तमा झुकाव छन् कि मुख्य मोड्युल पूर्व-प्रोसेसर एड-अन प्रयोग गरेर लेखिएको थियो जसले तपाईंलाई वस्तु शैलीमा C कोड लेख्न अनुमति दिन्छ।
मुख्य मोड्युल अपरेटरहरूबाट आदेशहरू प्राप्त गर्ने प्रक्रियाको लागि जिम्मेवार छ। Duqu अन्तरक्रियाको धेरै विधिहरू प्रदान गर्दछ: HTTP र HTTPS प्रोटोकलहरू प्रयोग गरेर, साथै नामित पाइपहरू प्रयोग गरेर। HTTP(S) को लागि, आदेश केन्द्रहरूको डोमेन नाम निर्दिष्ट गरिएको थियो, र प्रोक्सी सर्भर मार्फत काम गर्ने क्षमता प्रदान गरिएको थियो - तिनीहरूका लागि प्रयोगकर्ता नाम र पासवर्ड निर्दिष्ट गरिएको थियो। आईपी ठेगाना र यसको नाम च्यानलको लागि निर्दिष्ट गरिएको छ। निर्दिष्ट डाटा मुख्य मोड्युल कन्फिगरेसन डाटा ब्लक (इन्क्रिप्टेड फारममा) मा भण्डारण गरिएको छ।
नामित पाइपहरू प्रयोग गर्न, हामीले हाम्रो आफ्नै RPC सर्भर कार्यान्वयन सुरु गर्यौं। यसले निम्न सात प्रकार्यहरूलाई समर्थन गर्यो:

स्थापित संस्करण फिर्ता गर्नुहोस्;
निर्दिष्ट प्रक्रियामा dll इन्जेक्सन गर्नुहोस् र निर्दिष्ट प्रकार्यलाई कल गर्नुहोस्;
लोड dll;
CreateProcess() लाई कल गरेर प्रक्रिया सुरु गर्नुहोस्;
दिइएको फाइलको सामग्री पढ्नुहोस्;
निर्दिष्ट फाइलमा डाटा लेख्नुहोस्;
निर्दिष्ट फाइल मेटाउनुहोस्।

Duqu-संक्रमित कम्प्युटरहरू बीच अद्यावधिक मोड्युलहरू र कन्फिगरेसन डाटा वितरण गर्न स्थानीय नेटवर्क भित्र नामित पाइपहरू प्रयोग गर्न सकिन्छ। थप रूपमा, Duqu ले अन्य संक्रमित कम्प्युटरहरूका लागि प्रोक्सी सर्भरको रूपमा काम गर्न सक्छ (जुन गेटवेमा फायरवाल सेटिङहरूको कारण इन्टरनेटमा पहुँच थिएन)। Duqu को केहि संस्करणहरूमा RPC कार्यक्षमता छैन।

ज्ञात "भुगतानहरू"

Symantec ले Duqu कन्ट्रोल सेन्टरबाट कमाण्ड अन्तर्गत डाउनलोड गरिएका कम्तिमा चार प्रकारका पेलोडहरू पत्ता लगाए।
यसबाहेक, तिनीहरू मध्ये एक मात्र निवासी थियो र कार्यान्वयनयोग्य फाइल (exe) को रूपमा कम्पाइल गरिएको थियो, जुन डिस्कमा बचत गरिएको थियो। बाँकी तीन dll पुस्तकालयहरूको रूपमा लागू गरियो। तिनीहरू गतिशील रूपमा लोड गरियो र डिस्कमा बचत नगरी मेमोरीमा कार्यान्वयन गरियो।

निवासी "पेलोड" एक जासूस मोड्युल थियो (infostealer) keylogger प्रकार्यहरु संग। यसलाई VirusTotal मा पठाएर Duqu अनुसन्धानमा काम सुरु भयो। मुख्य जासूस कार्यक्षमता संसाधनमा थियो, जसको पहिलो 8 किलोबाइटमा ग्यालेक्सी NGC 6745 (छलावरणको लागि) को फोटोको अंश थियो। यहाँ यो स्मरण गर्न आवश्यक छ कि अप्रिल 2012 मा केहि मिडियाले जानकारी (http://www.mehrnews.com/en/newsdetail.aspx?NewsID=1297506) प्रकाशित गरेको थियो कि इरानले केहि दुर्भावनापूर्ण सफ्टवेयर "स्टार्स" लाई उजागर गरेको थियो, जबकि विवरणहरू। घटना खुलाएको छैन। हुनसक्छ यो डुक "पेलोड" को एक नमूना थियो जुन ईरानमा फेला परेको थियो, त्यसैले "ताराहरू" नाम।
जासूस मोड्युलले निम्न जानकारी सङ्कलन गर्यो:

चलिरहेको प्रक्रियाहरूको सूची, हालको प्रयोगकर्ता र डोमेन बारे जानकारी;
नेटवर्क ड्राइभ सहित तार्किक ड्राइभहरूको सूची;
स्क्रिनसटहरू;
नेटवर्क इन्टरफेस ठेगानाहरू, राउटिंग तालिकाहरू;
किबोर्ड किस्ट्रोकहरूको लग फाइल;
खुला एप्लिकेसन विन्डोजका नामहरू;
उपलब्ध नेटवर्क स्रोतहरूको सूची (साझेदारी स्रोतहरू);
हटाउन सकिने सहित सबै डिस्कहरूमा फाइलहरूको पूर्ण सूची;
"नेटवर्क वातावरण" मा कम्प्युटरहरूको सूची।

अर्को जासूस मोड्युल (infostealer) पहिले नै वर्णन गरिएको कुराको भिन्नता थियो, तर dll पुस्तकालयको रूपमा कम्पाइल गरिएको थियो, फाइलहरूको सूची कम्पाइल गर्ने र डोमेनमा समावेश गरिएका कम्प्युटरहरू हटाइयो।
अर्को मोड्युल (पुनर्निवेश) सङ्कलन प्रणाली जानकारी:

कम्प्यूटर डोमेन को भाग हो कि छैन;
विन्डोज प्रणाली डाइरेक्टरीहरूमा मार्गहरू;
अपरेटिङ सिस्टम संस्करण;
हालको प्रयोगकर्ता नाम;
नेटवर्क एडेप्टरहरूको सूची;
प्रणाली र स्थानीय समय, साथै समय क्षेत्र।

अन्तिम मोड्युल (आयु विस्तारक) कार्य पूरा नभएसम्म बाँकी दिनहरूको संख्याको मान (मुख्य मोड्युल कन्फिगरेसन डाटा फाइलमा भण्डारण गरिएको) वृद्धि गर्न कार्य लागू गर्‍यो। पूर्वनिर्धारित रूपमा, यो मान Duqu परिमार्जनको आधारमा 30 वा 36 दिनहरूमा सेट गरिएको थियो, र प्रत्येक दिन एकले घटाइएको थियो।

आदेश केन्द्रहरू

अक्टोबर 20, 2011 मा (आविष्कारको बारेमा जानकारी फैलिएको तीन दिन पछि), Duqu अपरेटरहरूले कमाण्ड सेन्टरहरूको कामका निशानहरू नष्ट गर्ने प्रक्रिया गरे। भियतनाम, भारत, जर्मनी, सिङ्गापुर, स्विट्जरल्याण्ड, ग्रेट ब्रिटेन, हल्याण्ड र दक्षिण कोरियामा - कमाण्ड सेन्टरहरू संसारभरका ह्याक गरिएका सर्भरहरूमा अवस्थित थिए। चाखलाग्दो कुरा के छ भने, सबै पहिचान गरिएका सर्भरहरू CentOS संस्करणहरू 5.2, 5.4 वा 5.5 चलिरहेका थिए। ओएसहरू 32-बिट र 64-बिट दुवै थिए। कमाण्ड सेन्टरहरूको सञ्चालनसँग सम्बन्धित सबै फाइलहरू मेटाइएको तथ्यको बावजुद, कास्परस्की ल्याब विशेषज्ञहरूले ढिलो ठाउँबाट LOG फाइलहरूबाट केही जानकारी पुन: प्राप्त गर्न सक्षम थिए। सबैभन्दा चाखलाग्दो तथ्य यो हो कि सर्भरहरूमा आक्रमणकारीहरूले सधैं संस्करण 4.3 सँग पूर्वनिर्धारित OpenSSH 5.8 प्याकेज प्रतिस्थापन गर्दछ। यसले OpenSSH 4.3 मा अज्ञात जोखिम सर्भर ह्याक गर्न प्रयोग भएको संकेत गर्न सक्छ। सबै प्रणालीहरू कमाण्ड सेन्टरको रूपमा प्रयोग गरिएन। केहि, पोर्ट 80 र 443 को लागी ट्राफिक रिडिरेक्ट गर्ने प्रयास गर्दा sshd लग मा त्रुटिहरु द्वारा न्याय गर्दै, अन्त आदेश केन्द्रहरु लाई जडान गर्न प्रोक्सी सर्भर को रूप मा प्रयोग गरियो।

मिति र मोड्युलहरू

अप्रिल 2011 मा वितरित वर्ड कागजात, जसको क्यास्परस्की ल्याब द्वारा जाँच गरिएको थियो, अगस्ट 31, 2007 को संकलन मिति संग एक स्थापनाकर्ता डाउनलोड ड्राइभर समावेश थियो। CrySys प्रयोगशालाहरूमा फेला परेको कागजातमा समान ड्राइभर (आकार - 20608 बाइट्स, MD5 - EEDCA45BD613E0D9A9E5C69122007F17) फेब्रुअरी 21, 2008 को संकलन मिति थियो। थप रूपमा, Kaspersky प्रयोगशाला विशेषज्ञहरूले 19968 जनवरी, 5 को मितिमा autorun ड्राइभर rndismpc.sys (आकार - 9 बाइट्स, MD6 - 10AEC5E9C05EE93221544C783BED20C2008E) फेला पारे। 2009 मा चिन्ह लगाइएको कुनै कम्पोनेन्ट फेला परेन। Duqu को व्यक्तिगत भागहरु को संकलन को टाइमस्ट्याम्प को आधार मा, यसको विकास को प्रारम्भिक 2007 मा मिति हुन सक्छ। यसको प्रारम्भिक अभिव्यक्ति ~DO प्रकारको अस्थायी फाइलहरू पत्ता लगाउनेसँग सम्बन्धित छ (सम्भवतः स्पाइवेयर मोड्युलहरू मध्ये एकद्वारा सिर्जना गरिएको), जसको सिर्जना मिति नोभेम्बर 28, 2008 हो (लेख "Duqu & Stuxnet: रोचक घटनाहरूको समयरेखा")। Duqu सँग सम्बन्धित सबैभन्दा हालको मिति फेब्रुअरी 23, 2012 थियो, जुन मार्च 2012 मा Symantec द्वारा पत्ता लगाएको स्थापनाकर्ता डाउनलोड ड्राइभरमा समावेश थियो।

प्रयोग गरिएको जानकारी को स्रोत:

लेखहरूको श्रृंखला Kaspersky प्रयोगशाला बाट Duqu बारेमा;
Symantec विश्लेषणात्मक रिपोर्ट "W32.Duqu अर्को Stuxnet को अग्रसर", संस्करण 1.4, नोभेम्बर 2011 (pdf)।

स्रोत: www.habr.com

Duqu - दुर्भावनापूर्ण नेस्टिङ पुतली

एक टिप्पणी थप्न Отменить ответ