پېژندنه
د سپتمبر په 1، 2011 کې، د ~DN1.tmp په نوم یو فایل د هنګري څخه د ویروس ټوټال ویب پاڼې ته واستول شو. په هغه وخت کې، فایل یوازې د دوو انټي ویروس انجنونو - BitDefender او AVIRA لخوا د ناوړه په توګه کشف شو. د دوکو کیسه په دې ډول پیل شوه. مخکې لټولو، دا باید وویل شي چې د دکو مالویر کورنۍ د دې فایل نوم وروسته نومول شوې. په هرصورت، دا فایل یو بشپړ خپلواک سپایویر ماډل دی چې د کیلوګر دندو سره نصب شوی، شاید، د ناوړه ډاونلوډر-ډراپر په کارولو سره نصب شوی، او یوازې د "پیلوډ" په توګه په پام کې نیول کیدی شي چې د دې عملیاتو په جریان کې د Duqu مالویر لخوا بار شوي، او د یوې برخې په توګه نه ( ماډل) د Duqu. د Duqu برخو څخه یو یوازې د سپتمبر په 9 د ویروسټوټل خدمت ته لیږل شوی و. د دې ځانګړی ځانګړتیا یو چلونکی دی چې په ډیجیټل ډول د C-Media لخوا لاسلیک شوی. ځینې کارپوهانو سمدلاسه د مالویر یو بل مشهور مثال - سټکسنیټ سره انډولیز رامینځته کول پیل کړل ، کوم چې لاسلیک شوي ډرایورونه هم کارولي. په ټوله نړۍ کې د مختلف انټي ویروس شرکتونو لخوا کشف شوي د Duqu په ناروغۍ اخته کمپیوټرونو شمیر په لسګونو کې دی. ډیری شرکتونه ادعا کوي چې ایران یوځل بیا اصلي هدف دی ، مګر د انتاناتو جغرافیایی توزیع په قضاوت سره ، دا په ډاډ سره نشي ویل کیدی.
په دې حالت کې، تاسو باید په ډاډه توګه یوازې د بل شرکت په اړه د نوي ټکي کلمې سره خبرې وکړئ (پرمختللی دوامداره ګواښ).
د سیسټم پلي کولو طرزالعمل
یوه څیړنه چې د هنګري سازمان CrySyS (د بوډاپیسټ ټیکنالوژۍ او اقتصاد پوهنتون کې د کریپټوګرافي او سیسټم امنیت هنګري لابراتوار) د متخصصینو لخوا ترسره شوې د نصب کونکي (ډراپر) موندلو لامل شوې چې له لارې یې سیسټم اخته شوی و. دا د مایکروسافټ ورډ فایل و چې د win32k.sys ډرایور زیانمننې لپاره استحصال (MS11-087، د مایکروسافټ لخوا د نومبر په 13، 2011 کې تشریح شوی)، کوم چې د TTF فونټ رینډینګ میکانیزم مسولیت لري. د استحصال شیل کوډ د ډیکسټر ریګولر په نوم یو فونټ کاروي چې په سند کې ځای په ځای شوی ، د شوټایم شرکت سره د فونټ جوړونکي په توګه لیست شوی. لکه څنګه چې تاسو لیدلی شئ ، د دوکو جوړونکي د طنز احساس لپاره اجنبی ندي: ډیکسټر یو سریال وژونکی دی ، د ورته نوم تلویزیون لړۍ اتل دی ، د شو ټایم لخوا تولید شوی. ډیکسټر یوازې (که ممکنه وي) مجرمین وژني ، دا د قانونیت په نوم قانون ماتوي. ښایي، په دې توګه، د Duqu پراختیا کونکي ستړي دي چې دوی د ښه موخو لپاره په غیرقانوني فعالیتونو کې ښکیل دي. د بریښنالیک لیږل په قصدي توګه ترسره شوي. بار وړلو ډیری احتمالي جوړ شوي (هیک شوي) کمپیوټرونه د منځګړیتوب په توګه کارولي ترڅو تعقیب ستونزمن کړي.
په دې توګه د Word سند لاندې برخې لري:
- د متن منځپانګه؛
- جوړ شوی فونټ؛
- د شیل کوډ څخه ګټه پورته کړئ
- چلوونکی
- انسټالر (DLL کتابتون).
که بریالی وي، د شیل کوډ استخراج لاندې عملیات ترسره کړي (په کرنل حالت کې):
- د بیا انفیکشن لپاره چیک جوړ شوی و؛ د دې لپاره، د CF4D کیلي شتون په راجستر کې د HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZones1 په پته کې چک شوی و؛ که دا سم وي، شیل کوډ خپل اجرا بشپړ کړي؛
- دوه فایلونه ډیکریټ شوي - ډرایور (sys) او انسټالر (dll)؛
- ډرایور د services.exe پروسې ته داخل شو او انسټالر یې پیل کړ؛
- په نهایت کې ، شیل کوډ پخپله په حافظه کې د صفرونو سره له مینځه وړی.
د دې حقیقت له امله چې win32k.sys د امتیاز لرونکي کارونکي 'سیسټم' لاندې اجرا کیږي ، د Duqu پراختیا کونکو په ښه توګه د غیر مجاز لانچ او د حقونو د زیاتوالي ستونزه حل کړې (د محدود حقونو سره د کارونکي حساب لاندې پرمخ وړل).
د کنټرول ترلاسه کولو وروسته ، انسټالر په حافظه کې د معلوماتو درې بلاکونه ډیکریټ کړل ، پدې کې شامل دي:
- لاسلیک شوی ډرایور (sys)؛
- اصلي ماډل (dll)؛
- د نصب کونکي ترتیب ډاټا (pnf).
د نیټې حد د انسټالر ترتیب کولو ډاټا کې مشخص شوی و (د دوه ټایم سټیمپونو په بڼه - پیل او پای). انسټالر چک کړه چې ایا اوسنی نیټه په دې کې شامله وه، او که نه، دا خپل اجرا بشپړوي. همدارنګه د انسټالر ترتیب ډاټا کې هغه نومونه وو چې لاندې یې ډرایور او اصلي ماډل خوندي شوي وو. په دې حالت کې، اصلي ماډل په ډیسک کې په کوډ شوي بڼه کې خوندي شوی.
د Duqu د اتوماتیک پیل کولو لپاره، یو خدمت د ډرایور فایل په کارولو سره رامینځته شوی و چې په راجستر کې ذخیره شوي کیلي په کارولو سره په الوتنه کې اصلي ماډل ډیکریټ کړی. اصلي ماډل د خپل ترتیب ډیټا بلاک لري. کله چې په لومړي ځل پیل شو، دا کوډ شوی و، د نصب کولو نیټه په کې داخل شوه، وروسته له هغې چې دا بیا کوډ شوی او د اصلي ماډل لخوا خوندي شوی. په دې توګه، په اغیزمن شوي سیسټم کې، په بریالیتوب سره نصب شوي، درې فایلونه خوندي شوي - ډرایور، اصلي ماډل او د هغې د ترتیب کولو ډاټا فایل، پداسې حال کې چې وروستي دوه فایلونه په ډیسک کې په کوډ شوي بڼه ذخیره شوي. د کوډ کولو ټولې پروسې یوازې په حافظه کې ترسره شوې. د نصب کولو دا پیچلې پروسیجر د انټي ویروس سافټویر لخوا د کشف احتمال کمولو لپاره کارول شوی و.
اصلي ماډل
اصلي ماډل (سرچینه 302)، په وینا د کاسپرسکي لابراتوار شرکت، په خالص C کې د MSVC 2008 په کارولو سره لیکل شوی، مګر د اعتراض پر بنسټ چلند کارول. دا طریقه غیر مشخصه ده کله چې ناوړه کوډ رامینځته کوي. د یوې قاعدې په توګه، دا ډول کوډ په C کې لیکل شوی ترڅو اندازه کمه کړي او په C++ کې د نخښه شوي تلیفونونو څخه ځان خلاص کړي. دلته یو ځانګړی سمبیوسس شتون لري. برسیره پردې، د پیښې پرمخ وړل شوي جوړښت کارول شوی و. د کاسپرسکي لابراتوار کارمندان دې تیوري ته متوجه دي چې اصلي ماډل د پری پروسیسر اډون په کارولو سره لیکل شوی و چې تاسو ته اجازه درکوي د اعتراض سټایل کې C کوډ ولیکئ.
اصلي ماډل د آپریټرانو څخه د امرونو ترلاسه کولو پروسې لپاره مسؤل دی. Duqu د متقابل عمل ډیری میتودونه چمتو کوي: د HTTP او HTTPS پروتوکولونو کارول ، او همدارنګه د نومول شوي پایپونو کارول. د HTTP(S) لپاره، د قوماندې مرکزونو ډومین نومونه مشخص شوي، او د پراکسي سرور له لارې د کار کولو وړتیا چمتو شوې - د دوی لپاره د کارن نوم او پټنوم مشخص شوي. IP پته او نوم یې د چینل لپاره مشخص شوی. مشخص شوي معلومات د اصلي ماډل ترتیب ډیټا بلاک کې زیرمه شوي (په کوډ شوي شکل کې).
د نومول شوي پایپونو کارولو لپاره، موږ خپل د RPC سرور پلي کول پیل کړل. دا لاندې اوه دندې ملاتړ کوي:
- نصب شوی نسخه بیرته راستانه کړئ؛
- dll ټاکل شوې پروسې ته داخل کړئ او ټاکل شوي فنکشن ته زنګ ووهئ؛
- بار dll;
- د CreateProcess() په زنګ وهلو سره پروسه پیل کړئ؛
- د ورکړل شوي فایل مینځپانګې ولولئ؛
- ټاکل شوي فایل ته ډاټا ولیکئ؛
- ټاکل شوې فایل حذف کړئ.
نومول شوي پایپونه په محلي شبکه کې کارول کیدی شي ترڅو د ډیکو - انتان شوي کمپیوټرونو ترمنځ د تازه ماډلونو او ترتیب کولو ډاټا توزیع کړي. سربیره پردې ، Duqu کولی شي د نورو اخته کمپیوټرونو لپاره د پراکسي سرور په توګه عمل وکړي (کوم چې په ګیټ ویټ کې د فایر وال ترتیباتو له امله انټرنیټ ته لاسرسی نه درلود). د Duqu ځینې نسخې د RPC فعالیت نه درلود.
پیژندل شوي "پیلوډونه"
سیمانټیک لږترلږه څلور ډوله تادیې کشف کړې چې د Duqu کنټرول مرکز څخه د قوماندې لاندې ډاونلوډ شوي.
سربیره پردې ، یوازې یو یې اوسیدونکی و او د اجرا وړ فایل (exe) په توګه تالیف شوی و ، کوم چې ډیسک ته خوندي شوی و. پاتې درې د dll کتابتونونو په توګه پلي شوي. دوی په متحرک ډول بار شوي او په ډیسک کې خوندي شوي پرته په حافظه کې اعدام شوي.
اوسیدونکی "پیلوډ" یو جاسوس ماډل و (infostealer) د keylogger دندو سره. دا د ویروس ټوټال ته په لیږلو سره و چې د دوکو څیړنې کار پیل شو. اصلي جاسوس فعالیت په سرچینو کې و، لومړی 8 کیلوبایټ چې د NGC 6745 د کهکشان د عکس برخه وه (د کیموفلاج لپاره). د یادولو وړ ده چې د ۲۰۱۲ کال د اپریل په میاشت کې ځینو رسنیو داسې معلومات خپاره کړل چې (http://www.mehrnews.com/en/newsdetail.aspx?NewsID=2012) چې ایران د ځینو ناوړه سافټویر "ستارز" سره لاس او ګریوان دی. پېښه نه ده په ډاګه شوې. شاید دا د دکو "پیلوډ" یوازې یوه نمونه وه چې هغه مهال په ایران کې کشف شوه، له همدې امله د "ستوري" نوم.
جاسوس ماډل لاندې معلومات راټول کړل:
- د چلولو پروسو لیست، د اوسني کارونکي او ډومین په اړه معلومات؛
- د منطقي ډرایو لیست، په شمول د شبکې ډرایو؛
- سکرین شاټونه
- د شبکې انٹرفیس پتې، د لارې میزونه؛
- د کیبورډ کیسټروکونو لاګ فایل؛
- د خلاص غوښتنلیک کړکۍ نومونه؛
- د شته شبکې سرچینو لیست (د سرچینو شریکول)؛
- په ټولو ډیسکونو کې د فایلونو بشپړ لیست، په شمول د لرې کولو وړ؛
- د "شبکې چاپیریال" کې د کمپیوټرونو لیست.
بل جاسوس ماډل (infostealer) د هغه څه توپیر و چې دمخه یې تشریح شوی و ، مګر د dll کتابتون په توګه تالیف شوی؛ د کیلاګر دندې ، د فایلونو لیست ترتیب کول او په ډومین کې شامل کمپیوټرونه لیست کول له دې څخه لرې شوي.
بل ماډل (کشفراټول شوي سیسټم معلومات:
- ایا کمپیوټر د ډومین برخه ده؛
- د وینډوز سیسټم لارښودونو ته لارې؛
- د عملیاتي سیسټم نسخه؛
- اوسنی کارن نوم؛
- د شبکې اډاپټرونو لیست؛
- سیسټم او ځایی وخت، او همدارنګه د وخت زون.
وروستی ماډل (د عمر اوږدوونکی) د کار بشپړیدو پورې د پاتې ورځو شمیر (د اصلي ماډل ترتیب کولو ډیټا فایل کې زیرمه شوي) ارزښت ډیرولو لپاره فعالیت پلي کړ. د ډیفالټ په واسطه، دا ارزښت د Duqu تعدیل پورې اړوند 30 یا 36 ورځو ته ټاکل شوی و، او هره ورځ یو لخوا کم شوی.
د قوماندې مرکزونه
د اکتوبر په 20، 2011 (د کشف په اړه د معلوماتو خپرولو څخه درې ورځې وروسته)، د Duqu آپریټرانو د قوماندې د مرکزونو د فعالیت نښې له منځه یوړلې. د قوماندې مرکزونه په ټوله نړۍ کې په هیک شوي سرورونو کې موقعیت درلود - په ویتنام، هند، جرمني، سینګاپور، سویس، بریتانیا، هالنډ او سویلي کوریا کې. په زړه پورې خبره دا ده چې ټول پیژندل شوي سرورونه د CentOS نسخې 5.2، 5.4 یا 5.5 پرمخ وړي. OS دواړه 32-bit او 64-bit وو. د دې حقیقت سره سره چې د قوماندې مرکزونو عملیاتو پورې اړوند ټولې فایلونه حذف شوي ، د کاسپرسکي لابراتوار متخصصین وتوانیدل چې د سست ځای څخه د LOG فایلونو څخه ځینې معلومات بیرته ترلاسه کړي. ترټولو په زړه پوری حقیقت دا دی چې په سرورونو برید کونکي تل د ډیفالټ OpenSSH 4.3 بسته د نسخې 5.8 سره بدلوي. دا ښایي په ډاګه کړي چې په OpenSSH 4.3 کې یو نامعلوم زیان د سرورونو د هک کولو لپاره کارول شوی و. ټول سیسټمونه د قوماندې مرکزونو په توګه ندي کارول شوي. ځینې ، د sshd لاګونو کې د غلطیو په اړه قضاوت کول کله چې د 80 او 443 بندرونو لپاره د ټرافيکو د لیږلو هڅه کول، د پراکسي سرور په توګه کارول شوي ترڅو د پای کمانډ مرکزونو سره وصل شي.
نیټې او ماډلونه
د 2011 په اپریل کې توزیع شوی د Word سند، چې د کاسپرسکي لابراتوار لخوا معاینه شوی، د 31 د اګست د 2007 نیټې سره د انسټالر ډاونلوډ ډرایور درلود. ورته ډرایور (سایز - 20608 بایټس، MD5 - EEDCA45BD613E0D9A9E5C69122007F17) په یوه سند کې چې په CrySys لابراتوارونو کې موندل شوي د 21 فبروري 2008 د تالیف نیټه درلوده. برسېره پردې، د کاسپرسکي لابراتوار متخصصینو د 19968 جنوري 5 نیټې سره د آټورن ډرایور rndismpc.sys (سایز - 9 بایټس، MD6 - 10AEC5E9C05EE93221544C783BED20C2008E) وموندل. د 2009 په نښه شوي برخې نه موندل شوي. د Duqu د انفرادي برخو د تالیف د مهال ویش پر بنسټ، د هغې پراختیا ممکن د 2007 په پیل کې نیټه وي. د دې لومړنی څرګندونه د ~DO ډول لنډمهاله فایلونو کشف سره تړاو لري (شاید د سپی ویر ماډلونو څخه رامینځته شوی وي) ، چې د جوړولو نیټه یې د نومبر 28 ، 2008 ده ( "Duqu & Stuxnet: د زړه پورې پیښو مهال ویش"). د Duqu سره تړلې ترټولو وروستۍ نیټه د فبروري 23، 2012 وه، د 2012 په مارچ کې د Symantec لخوا کشف شوي انسټالر ډاونلوډ ډرایور کې شامل وو.
د معلوماتو سرچینې کارول شوي:
د کاسپرسکي لابراتوار څخه د Duqu په اړه؛
د سمنټیک تحلیلي راپور , نسخه 1.4، نومبر 2011 (pdf).
سرچینه: www.habr.com