Duqu هڪ خراب matryoshka آهي

تعارف

سيپٽمبر 1، 2011 تي، ~DN1.tmp نالي هڪ فائل هنگري کان وائرس ٽوٽل ويب سائيٽ ڏانهن موڪليو ويو. ان وقت، فائل صرف ٻن اينٽي وائرس انجڻين - BitDefender ۽ AVIRA پاران بدسلوڪي طور ڳولي وئي. اهڙيءَ ريت ڊڪو جي ڪهاڻي شروع ٿي. اڳتي ڏسندي، اهو ضرور چوڻ گهرجي ته ڊڪو مالويئر خاندان هن فائل جي نالي پٺيان رکيو ويو. بهرحال، هي فائل هڪ مڪمل طور تي آزاد اسپائي ويئر ماڊل آهي جيڪو keylogger افعال سان، نصب ڪيو ويو آهي، شايد، هڪ بدسلوڪي ڊائون لوڊ ڪندڙ-ڊراپر استعمال ڪندي، ۽ صرف سمجهي سگهجي ٿو "پيلو لوڊ" جي طور تي لوڊ ڪيو ويو Duqu malware ان جي آپريشن دوران، ۽ جزو جي طور تي نه ( ماڊل) جو Duqu. Duqu حصن مان هڪ صرف 9 سيپٽمبر تي وائرسسٽل سروس ڏانهن موڪليو ويو. ان جي خاص خصوصيت هڪ ڊرائيور آهي جيڪو ڊجيٽل طور تي C-Media پاران دستخط ڪيو ويو آهي. ڪجهه ماهرن فوري طور تي ميلويئر جي هڪ ٻي مشهور مثال سان تشبيهون ٺاهڻ شروع ڪيون - Stuxnet، جنهن ۾ پڻ دستخط ٿيل ڊرائيور استعمال ڪيا ويا. دنيا جي مختلف اينٽي وائرس ڪمپنين پاران دريافت ڪيل ڊڪو کان متاثر ٿيل ڪمپيوٽرن جو ڪل تعداد درجن ۾ آهي. ڪيتريون ئي ڪمپنيون دعويٰ ڪن ٿيون ته ايران وري اصلي هدف آهي، پر انفيڪشن جي جاگرافيائي ورڇ کي ڏسندي، اهو يقين سان نٿو چئي سگهجي.

انهي حالت ۾، توهان کي اعتماد سان صرف هڪ نئين ڪمپني بابت ڳالهائڻ گهرجي ايپ ٽي (ترقي يافته مسلسل خطرو).

سسٽم لاڳو ڪرڻ جو عمل

هنگري تنظيم CrySyS جي ماهرن پاران ڪيل هڪ تحقيق (هنگري جي ليبارٽري آف ڪرپٽوگرافي ۽ سسٽم سيڪيورٽي ۾ بڊاپسٽ يونيورسٽي آف ٽيڪنالاجي اينڊ اڪنامڪس) جي نتيجي ۾ انسٽالر (ڊراپر) جي دريافت ڪئي وئي جنهن جي ذريعي سسٽم متاثر ٿيو. اها هڪ Microsoft Word فائل هئي جنهن ۾ win32k.sys ڊرائيور جي ڪمزوري لاءِ استحصال (MS11-087، Microsoft پاران 13 نومبر 2011 تي بيان ڪيو ويو آهي)، جيڪو TTF فونٽ رينڊنگ ميڪانيزم لاءِ ذميوار آهي. استحصال جو شيل ڪوڊ هڪ فونٽ استعمال ڪري ٿو جنهن کي 'ڊيڪسٽر ريگيولر' سڏيو ويندو آهي دستاويز ۾ شامل ڪيو ويو آهي، جنهن ۾ Showtime Inc. فونٽ جي خالق طور درج ٿيل آهي. جئين توهان ڏسي سگهو ٿا، ڊڪو جي تخليق ڪندڙ مزاح جي احساس لاء اجنبي نه آهن: ڊيڪٽر هڪ سيريل قاتل آهي، ساڳئي نالي جي ٽيليويزن سيريز جو هيرو، شو ٽائم پاران تيار ڪيل آهي. ڊيڪسٽر صرف (جيڪڏهن ممڪن هجي) ڏوهارين کي ماريندو آهي، يعني هو قانونيت جي نالي تي قانون ٽوڙيندو آهي. شايد، هن طريقي سان، Duqu ڊولپرز اهو عجيب آهي ته اهي سٺي مقصدن لاء غير قانوني سرگرمين ۾ مصروف آهن. اي ميلون موڪلڻ مقصد سان ڪيو ويو. ترسيل گهڻو ڪري سمجھوتي ٿيل (هيڪ ٿيل) ڪمپيوٽرن کي وچولي طور استعمال ڪيو ته جيئن ٽريڪنگ کي مشڪل بڻائي سگهجي.
لفظ دستاويز اهڙيء طرح هيٺين اجزاء تي مشتمل آهي:

• متن جو مواد؛
• بلٽ ان فونٽ؛
• شيل ڪوڊ جو استحصال؛
• ڊرائيور؛
• انسٽالر (DLL لائبريري).

جيڪڏھن ڪامياب ٿيو، استحصال شيل ڪوڊ ھيٺ ڏنل عملن کي انجام ڏنو (ڪنيل موڊ ۾):

• ان لاءِ ٻيهر انفيڪشن لاءِ چيڪ ڪيو ويو، رجسٽري ۾ 'HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZones4' جي موجودگي چيڪ ڪئي وئي، شيل ڪوڊ ان جي عمل کي مڪمل ڪيو؛
• ٻن فائلن کي ڊريڪٽ ڪيو ويو - ڊرائيور (sys) ۽ انسٽالر (dll)؛
• ڊرائيور کي services.exe عمل ۾ داخل ڪيو ويو ۽ انسٽالر کي شروع ڪيو ويو؛
• آخرڪار، شيل ڪوڊ پاڻ کي ميموري ۾ صفر سان ختم ڪيو.

حقيقت اها آهي ته win32k.sys مراعات يافته صارف 'سسٽم' جي تحت عمل ڪيو ويو آهي، Duqu ڊولپرز ٻنهي غير مجاز لانچ ۽ حقن جي واڌاري جو مسئلو حل ڪيو آهي (محدود حقن سان صارف جي اڪائونٽ هيٺ هلندڙ).
ڪنٽرول حاصل ڪرڻ کان پوء، انسٽالر ان ۾ موجود ڊيٽا جي ٽن بلاڪن کي ميموري ۾ ڊسڪ ڪيو، جنهن ۾ شامل آهن:

• دستخط ٿيل ڊرائيور (sys)؛
• مکيه ماڊل (dll)؛
• انسٽالر جي ترتيب واري ڊيٽا (pnf).

ھڪڙي تاريخ جي حد مقرر ڪئي وئي انسٽالر جي ترتيب واري ڊيٽا ۾ (ٻن ٽائم اسٽيمپ جي صورت ۾ - شروعات ۽ آخر). انسٽالر چيڪ ڪيو ته ڇا موجوده تاريخ ان ۾ شامل هئي، ۽ جيڪڏهن نه، اهو ان جي عمل کي مڪمل ڪيو. انسٽالر جي ترتيب واري ڊيٽا ۾ پڻ نالا هئا جن جي تحت ڊرائيور ۽ مکيه ماڊل محفوظ ڪيا ويا. هن معاملي ۾، مکيه ماڊل ڊسڪ تي محفوظ ڪيو ويو انڪريپٽ فارم ۾.

Duqu کي خودڪار شروع ڪرڻ لاء، هڪ خدمت هڪ ڊرائيور فائل استعمال ڪندي ٺاهي وئي جيڪا رجسٽري ۾ محفوظ ڪيل چابيون استعمال ڪندي اڏام تي مکيه ماڊل کي ختم ڪري ٿي. مکيه ماڊل ان جي پنهنجي ترتيب واري ڊيٽا بلاڪ تي مشتمل آهي. جڏهن پهريون ڀيرو لانچ ڪيو ويو، ان کي ڊسڪ ڪيو ويو، ان ۾ انسٽاليشن جي تاريخ داخل ڪئي وئي، جنهن کان پوء ان کي ٻيهر انڪوڊ ڪيو ويو ۽ مکيه ماڊل طرفان محفوظ ڪيو ويو. اهڙيء طرح، متاثر ٿيل سسٽم ۾، ڪامياب تنصيب تي، ٽي فائلون محفوظ ڪيون ويون آهن - ڊرائيور، مکيه ماڊل ۽ ان جي ترتيب واري ڊيٽا فائل، جڏهن ته آخري ٻه فائلون ڊسڪ تي محفوظ ڪيون ويون آهن انڪرپٽ فارم ۾. سڀ ڊيڪوڊنگ طريقا صرف ياداشت ۾ ڪيا ويا. ھي پيچيده تنصيب جي طريقيڪار اينٽي وائرس سافٽ ويئر پاران ڳولڻ جي امڪان کي گھٽائڻ لاء استعمال ڪيو ويو.

مکيه ماڊل

مکيه ماڊل (وسيع 302)، مطابق ڄاڻ ڪمپني Kaspersky Lab، MSVC 2008 استعمال ڪندي خالص سي ۾ لکيل آھي، پر ھڪڙي اعتراض تي مبني طريقي سان استعمال ڪندي. اهو طريقو غير معمولي آهي جڏهن بدسلوڪي ڪوڊ کي ترقي ڪندي. ضابطي جي طور تي، اهڙي ڪوڊ سي ۾ لکيو ويو آهي سائيز کي گھٽائڻ ۽ C++ ۾ ورثي واري ڪالن کان نجات حاصل ڪرڻ لاء. هتي هڪ خاص symbiosis آهي. پلس، هڪ واقعي تي مبني فن تعمير استعمال ڪيو ويو. ڪاسپرسڪي ليب جا ملازم ان نظريي ڏانهن مائل آهن ته مکيه ماڊل اڳ-پروسيسر ايڊ-آن استعمال ڪندي لکيو ويو هو جيڪو توهان کي اجازت ڏئي ٿو C ڪوڊ کي اعتراض واري انداز ۾ لکڻ.
مکيه ماڊل آپريٽرز کان حڪم حاصل ڪرڻ جي طريقيڪار لاء ذميوار آهي. Duqu رابطي جا ڪيترائي طريقا مهيا ڪري ٿو: HTTP ۽ HTTPS پروٽوڪول استعمال ڪندي، ۽ گڏوگڏ نامزد ٿيل پائپ استعمال ڪندي. HTTP(S) لاءِ، ڪمانڊ سينٽرز جا ڊومين نالا بيان ڪيا ويا، ۽ پراڪسي سرور ذريعي ڪم ڪرڻ جي صلاحيت مهيا ڪئي وئي - انھن لاءِ يوزر نالو ۽ پاسورڊ بيان ڪيو ويو. IP پتو ۽ ان جو نالو چينل لاءِ بيان ڪيو ويو آھي. بيان ڪيل ڊيٽا مکيه ماڊل جي ترتيب واري ڊيٽا بلاڪ ۾ ذخيرو ٿيل آهي (انڪريپ ٿيل فارم ۾).
نالي ٿيل پائپ استعمال ڪرڻ لاء، اسان اسان جي پنهنجي RPC سرور تي عمل درآمد شروع ڪيو. اهو هيٺين ستن ڪمن جي حمايت ڪئي:

• انسٽال ٿيل ورزن واپس ڪريو؛
• dll کي مخصوص عمل ۾ داخل ڪريو ۽ مخصوص فنڪشن کي ڪال ڪريو؛
• لوڊ dll؛
• CreateProcess () کي ڪال ڪندي هڪ عمل شروع ڪريو؛
• ڏنل فائل جي مواد کي پڙهو؛
• مخصوص فائل ۾ ڊيٽا لکڻ؛
• مخصوص فائل کي ختم ڪريو.

نالي وارا پائپ مقامي نيٽ ورڪ ۾ استعمال ڪري سگھجن ٿا تازه ڪاري ماڊلز ۽ ترتيب واري ڊيٽا کي ورهائڻ لاءِ Duqu-infected ڪمپيوٽرن جي وچ ۾. ان کان علاوه، Duqu ٻين متاثر ٿيل ڪمپيوٽرن لاءِ پراکسي سرور طور ڪم ڪري سگھي ٿو (جنهن کي گيٽ وي تي فائر وال سيٽنگن جي ڪري انٽرنيٽ تائين رسائي نه هئي). Duqu جي ڪجهه نسخن ۾ RPC ڪارڪردگي نه هئي.

سڃاتل "payloads"

Symantec دريافت ڪيو گهٽ ۾ گهٽ چار قسم جا پائلوڊ ڊائون لوڊ ڪيل ڪمانڊ هيٺ ڊڪو ڪنٽرول سينٽر کان.
ان کان علاوه، انهن مان صرف هڪ رهائشي هئي ۽ هڪ قابل عمل فائل (exe) جي طور تي مرتب ڪيو ويو، جيڪو ڊسڪ ۾ محفوظ ڪيو ويو. باقي ٽي dll لائبريرين طور لاڳو ڪيا ويا. اهي متحرڪ طور تي لوڊ ڪيا ويا ۽ ڊسڪ ۾ محفوظ ٿيڻ کان سواء ميموري ۾ عمل ڪيو ويو.

رهواسي "payload" هڪ جاسوس ماڊل هو (infostealer) keylogger افعال سان. اهو وائرس ٽوٽل ڏانهن موڪلڻ سان هو ته ڊڪو ريسرچ تي ڪم شروع ٿيو. مکيه جاسوسي ڪارڪردگي وسيلن ۾ هئي، پهرين 8 ڪلوبائٽس جنهن ۾ گليڪس NGC 6745 جي تصوير جو حصو شامل هو (ڇڏڻ لاءِ). هتي اهو به ياد رکڻ گهرجي ته اپريل 2012 ۾ ڪجهه ميڊيا انفارميشن شايع ڪئي هئي (http://www.mehrnews.com/en/newsdetail.aspx?NewsID=1297506) ته ايران ۾ ڪجهه خراب سافٽ ويئر ”اسٽارز“ جو انڪشاف ٿيو آهي، جڏهن ته ان جا تفصيل واقعو ظاهر نه ڪيو ويو. شايد اهو صرف Duqu “payload” جو هڪ اهڙو نمونو هو جيڪو ايران ۾ دريافت ڪيو ويو هو، تنهنڪري نالو "ستارو".
جاسوسي ماڊل هيٺ ڏنل معلومات گڏ ڪئي:

• هلندڙ عملن جي فهرست، موجوده صارف ۽ ڊومين بابت معلومات؛
• منطقي ڊرائيو جي فهرست، نيٽ ورڪ ڊرائيو سميت؛
• اسڪرين شاٽ؛
• نيٽ ورڪ انٽرفيس ايڊريس، روٽنگ ٽيبل؛
• ڪي بورڊ جي اسٽروڪ جي لاگ فائل؛
• کليل ايپليڪيشن ونڊوز جا نالا؛
• دستياب نيٽ ورڪ وسيلن جي فهرست (وٿين جي حصيداري)؛
• سڀني ڊسڪ تي فائلن جي مڪمل فهرست، بشمول هٽائڻ وارا؛
• "نيٽ ورڪ ماحول" ۾ ڪمپيوٽرن جي هڪ فهرست.

ٻيو جاسوس ماڊل (infostealer) جيڪو اڳ ۾ ئي بيان ڪيو ويو هو ان جو هڪ فرق هو، پر هڪ dll لائبريري جي طور تي مرتب ڪيو ويو آهي، هڪ فهرست کي ترتيب ڏيڻ ۽ ڊومين ۾ شامل ڪيل ڪمپيوٽرن کي هٽايو ويو آهي.
اڳيون ماڊل (وهنوارگڏ ڪيل سسٽم جي معلومات:

• ڇا ڪمپيوٽر ڊومين جو حصو آهي؛
• ونڊوز سسٽم ڊاريڪٽري ڏانهن رستا؛
• آپريٽنگ سسٽم جو نسخو؛
• موجوده استعمال ڪندڙ جو نالو؛
• نيٽ ورڪ ايڊاپٽرز جي فهرست؛
• سسٽم ۽ مقامي وقت، گڏوگڏ ٽائيم زون.

آخري ماڊل (عمر وڌائڻ وارو) ڪم مڪمل ٿيڻ تائين باقي ڏينهن جي تعداد جي قدر (مکيه ماڊل ترتيب واري ڊيٽا فائل ۾ محفوظ ٿيل) وڌائڻ لاءِ هڪ فنڪشن لاڳو ڪيو. ڊفالٽ طور، هي قدر مقرر ڪيو ويو 30 يا 36 ڏينهن تي منحصر ڪيو ويو Duqu تبديليءَ جي لحاظ کان، ۽ گھٽجي ويو هر روز هڪ.

حڪم مرڪز

آڪٽوبر 20، 2011 تي (ٽي ڏينهن بعد دريافت جي باري ۾ ڄاڻ ڏني وئي هئي)، Duqu آپريٽرز ڪمانڊ سينٽرز جي ڪم جي نشانين کي تباهه ڪرڻ لاء هڪ طريقيڪار تي عمل ڪيو. ڪمانڊ سينٽر سڄي دنيا ۾ هيڪ ٿيل سرورز تي واقع هئا - ويٽنام، انڊيا، جرمني، سنگاپور، سوئٽزرلينڊ، برطانيه، هالينڊ ۽ ڏکڻ ڪوريا ۾. دلچسپ ڳالهه اها آهي ته، سڀ سڃاڻپ سرور هلائي رهيا هئا CentOS ورزن 5.2، 5.4 يا 5.5. او ايس ٻئي 32-bit ۽ 64-bit هئا. ان حقيقت جي باوجود ته ڪمانڊ سينٽرز جي آپريشن سان لاڳاپيل سڀئي فائلون ڊهي ويون، ڪاسپرسڪي ليب جي ماهرن LOG فائلن مان ڪجھ معلومات کي سستي خلا مان حاصل ڪرڻ جي قابل ٿي ويا. سڀ کان وڌيڪ دلچسپ حقيقت اها آهي ته سرور تي حملو ڪندڙ هميشه ڊفالٽ OpenSSH 4.3 پيڪيج کي ورزن 5.8 سان تبديل ڪيو. اهو ظاهر ڪري سگھي ٿو ته OpenSSH 4.3 ۾ اڻڄاتل نقصان سرور کي هيڪ ڪرڻ لاء استعمال ڪيو ويو. نه سڀئي سسٽم ڪمانڊ سينٽر طور استعمال ڪيا ويا. ڪجهه، sshd لاگز ۾ غلطين جو فيصلو ڪندي جڏهن بندرگاهن 80 ۽ 443 لاء ٽرئفڪ کي ريڊريٽ ڪرڻ جي ڪوشش ڪئي وئي، پراکسي سرور طور استعمال ڪيو ويو آخر ڪمانڊ سينٽرن سان ڳنڍڻ لاء.

تاريخون ۽ ماڊلز

هڪ لفظ دستاويز اپريل 2011 ۾ ورهايو ويو، جنهن جي جانچ ڪئي وئي ڪاسپرسڪي ليب، جنهن ۾ 31 آگسٽ 2007 جي تاليف جي تاريخ سان گڏ انسٽالر ڊائون لوڊ ڊرائيور شامل آهي. هڪ ملندڙ ڊرائيور (سائيز - 20608 بائيٽس، MD5 - EEDCA45BD613E0D9A9E5C69122007F17) CrySys ليبارٽريز ۾ مليل هڪ دستاويز ۾ 21 فيبروري 2008 جي تاليف جي تاريخ هئي. ان کان علاوه، ڪاسپرسڪي ليب جي ماهرن آٽورن ڊرائيور rndismpc.sys (سائيز - 19968 بائيٽ، MD5 - 9AEC6E10C5EE9C05BED93221544C783E) 20 جنوري 2008 جي تاريخ سان مليا. 2009 جي نشان لڳل ڪي به جزا نه مليا. Duqu جي انفرادي حصن جي تاليف جي ٽائيم اسٽيمپ جي بنياد تي، ان جي ترقي جي تاريخ 2007 جي شروعات تائين ٿي سگھي ٿي. ان جو ابتدائي پڌرنامو ~DO قسم جي عارضي فائلن جي ڳولا سان جڙيل آهي (شايد اسپائي ويئر ماڊلز مان هڪ ٺاهيل هجي)، جنهن جي ٺهڻ جي تاريخ نومبر 28، 2008 آهي (هڪ مضمون "Duqu & Stuxnet: دلچسپ واقعن جو هڪ ٽائم لائن"). Duqu سان لاڳاپيل سڀ کان تازي تاريخ فيبروري 23، 2012 هئي، جيڪو مارچ 2012 ۾ Symantec پاران دريافت ڪيل انسٽالر ڊائون لوڊ ڊرائيور ۾ شامل هو.

استعمال ٿيل معلومات جا ذريعا:

مضمونن جو سلسلو Kaspersky Lab کان Duqu بابت؛
Symantec تجزياتي رپورٽ "W32.Duqu ايندڙ Stuxnet جو اڳوڻو"، نسخو 1.4، نومبر 2011 (pdf).

جو ذريعو: www.habr.com