ProHoster > බ්ලොග් > අන්තර්ජාල පුවත් > Duqu යනු ද්වේෂසහගත matryoshka වේ

Duqu යනු ද්වේෂසහගත matryoshka වේ

හැඳින්වීම

1 සැප්තැම්බර් 2011 වන දින, හංගේරියාවේ සිට VirusTotal වෙබ් අඩවියට ~DN1.tmp නම් ගොනුවක් යවන ලදී. එම අවස්ථාවේදී, ගොනුව අනිෂ්ට ලෙස හඳුනාගෙන ඇත්තේ ප්‍රති-වයිරස එන්ජින් දෙකකින් පමණි - BitDefender සහ AVIRA. Duqu ගේ කතාව ආරම්භ වූයේ එලෙසිනි. ඉදිරිය දෙස බලන විට, මෙම ගොනුවේ නමට අනුව Duqu malware පවුල නම් කර ඇති බව පැවසිය යුතුය. කෙසේ වෙතත්, මෙම ගොනුව මුලුමනින්ම ස්වාධීන ඔත්තු මෘදුකාංග මොඩියුලයක් වන Keylogger ශ්‍රිතයන් සහිත, ස්ථාපනය කර ඇති, සමහරවිට, අනිෂ්ට බාගැනීම්-ඩ්‍රොපර් එකක් භාවිතයෙන්, සහ එහි ක්‍රියාකාරිත්වය අතරතුර Duqu අනිෂ්ට මෘදුකාංගය විසින් පටවන ලද "ගෙවීම්" ලෙස පමණක් සැලකිය හැකි අතර, සංරචකයක් ලෙස නොවේ ( මොඩියුලය) Duqu හි . Duqu සංරචක වලින් එකක් Virustotal සේවාව වෙත යවනු ලැබුවේ සැප්තැම්බර් 9 වන දින පමණි. එහි සුවිශේෂී ලක්ෂණය වන්නේ C-Media විසින් ඩිජිටල් ලෙස අත්සන් කරන ලද ධාවකයකි. සමහර ප්‍රවීණයන් වහාම අනිෂ්ට මෘදුකාංගයේ තවත් ප්‍රසිද්ධ උදාහරණයක් සමඟ ප්‍රතිසමයන් ඇඳීමට පටන් ගත්හ - Stuxnet, එය අත්සන් කළ ධාවක ද භාවිතා කළේය. ලොව පුරා විවිධ ප්‍රති-වයිරස සමාගම් විසින් අනාවරණය කරගත් Duqu-ආසාදිත පරිගණක සංඛ්‍යාව දුසිම් ගණනකි. බොහෝ සමාගම් කියා සිටින්නේ ඉරානය නැවතත් ප්‍රධාන ඉලක්කය බවයි, නමුත් ආසාදනවල භූගෝලීය ව්‍යාප්තිය අනුව විනිශ්චය කිරීමෙන් මෙය නිසැකවම පැවසිය නොහැක.
Duqu යනු ද්වේෂසහගත matryoshka වේ
මෙම අවස්ථාවේ දී, ඔබ විශ්වාසයෙන් කතා කළ යුත්තේ නව විචල්‍ය වචනයකින් වෙනත් සමාගමක් ගැන පමණි APT (උසස් ස්ථීර තර්ජනය).

පද්ධතිය ක්රියාත්මක කිරීමේ ක්රියා පටිපාටිය

හංගේරියානු සංවිධානයක් වන CrySyS (බුඩාපෙස්ට් තාක්ෂණ හා ආර්ථික විශ්ව විද්‍යාලයේ හංගේරියානු ගුප්ත ලේඛන හා පද්ධති ආරක්ෂාව පිළිබඳ හංගේරියානු රසායනාගාරය) විශේෂඥයින් විසින් කරන ලද පරීක්ෂණයකින් පද්ධතිය ආසාදනය වූ ස්ථාපකය (ඩ්‍රොපර්) සොයා ගැනීමට හේතු විය. එය TTF අකුරු විදැහුම්කරණ යාන්ත්‍රණය සඳහා වගකිව යුතු win32k.sys ධාවක අවදානම (MS11-087, Microsoft විසින් 13 නොවැම්බර් 2011 දින විස්තර කරන ලද) සඳහා භාවිතා කරන ලද Microsoft Word ගොනුවක් විය. සූරාකෑමේ ෂෙල් කේතය ලේඛනයේ අන්තර්ගත 'Dexter Regular' නම් අකුරු භාවිතා කරයි, අකුරු වල නිර්මාතෘ ලෙස Showtime Inc. ඔබට පෙනෙන පරිදි, Duqu හි නිර්මාතෘවරුන් හාස්‍යය පිළිබඳ හැඟීමක් ආගන්තුක නොවේ: ඩෙක්ස්ටර් යනු අනුක්‍රමික ඝාතකයෙකි, ෂෝටයිම් විසින් නිෂ්පාදනය කරන ලද එම නමින්ම රූපවාහිනී කතා මාලාවේ වීරයා ය. ඩෙක්ස්ටර් ඝාතනය කරන්නේ (හැකි නම්) අපරාධකරුවන් පමණි, එනම් ඔහු නීත්‍යානුකූලභාවයේ නාමයෙන් නීතිය කඩ කරයි. බොහෝ විට, මේ ආකාරයෙන්, Duqu සංවර්ධකයින් හොඳ අරමුණු සඳහා නීති විරෝධී ක්‍රියාවන්හි නිරත වීම උත්ප්‍රාසාත්මක ය. ඊමේල් යැවීම හිතාමතාම සිදු කරන ලදී. ලුහුබැඳීම දුෂ්කර කිරීමට අතරමැදියෙකු ලෙස නැව්ගත කිරීම බොහෝ විට සම්මුති (හැක් කරන ලද) පරිගණක භාවිතා කර ඇත.
මෙලෙස Word ලේඛනයේ පහත සංරචක අඩංගු විය:

  • පෙළ අන්තර්ගතය;
  • බිල්ට් අකුරු;
  • ෂෙල් කේතය ගසාකන්න;
  • රියදුරු;
  • ස්ථාපකය (DLL පුස්තකාලය).

සාර්ථක නම්, exploit shellcode පහත මෙහෙයුම් සිදු කරයි (කර්නල් ආකාරයෙන්):

  • නැවත ආසාදනය සඳහා පරීක්ෂාවක් සිදු කරන ලදී; මේ සඳහා, 'HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZones4' යන ලිපිනයෙහි 'CF1D' යතුරේ ඇති බව රෙජිස්ට්‍රියේ පරීක්ෂා කරන ලදී; මෙය නිවැරදි නම්, එහි ක්‍රියාත්මක කිරීම සම්පූර්ණ කරන ලදී;
  • ගොනු දෙකක් විකේතනය කර ඇත - ධාවකය (sys) සහ ස්ථාපකය (dll);
  • රියදුරු service.exe ක්‍රියාවලියට එන්නත් කර ස්ථාපකය දියත් කරන ලදී;
  • අවසාන වශයෙන්, shellcode මතකයේ බිංදු සමඟ මකා දමන ලදී.

Win32k.sys වරප්‍රසාද ලත් පරිශීලක 'පද්ධතිය' වෙනුවෙන් ක්‍රියාත්මක වන බැවින්, Duqu සංවර්ධකයින් විසින් අනවසර දියත් කිරීම සහ අයිතිවාසිකම් වැඩි කිරීම යන දෙකෙහිම ගැටළුව අලංකාර ලෙස විසඳා ඇත (සීමිත අයිතිවාසිකම් සහිත පරිශීලක ගිණුමක් යටතේ ක්‍රියාත්මක වේ).
පාලනය ලැබීමෙන් පසු, ස්ථාපකය මතකයේ අඩංගු දත්ත කොටස් තුනක් විකේතනය කරන ලදී:

  • අත්සන් කළ රියදුරු (sys);
  • ප්රධාන මොඩියුලය (dll);
  • ස්ථාපක වින්‍යාස දත්ත (pnf).

ස්ථාපක වින්‍යාස දත්තවල දින පරාසයක් නියම කර ඇත (වේලා මුද්‍රා දෙකක ස්වරූපයෙන් - ආරම්භය සහ අවසානය). ස්ථාපකය වත්මන් දිනය එහි ඇතුළත් කර ඇත්දැයි පරීක්ෂා කර, එසේ නොමැති නම්, එය ක්‍රියාත්මක කිරීම සම්පූර්ණ කළේය. ස්ථාපක වින්‍යාස දත්තවල ධාවක සහ ප්‍රධාන මොඩියුලය සුරකින ලද නම් ද විය. මෙම අවස්ථාවේදී, ප්රධාන මොඩියුලය සංකේතාත්මක ආකාරයෙන් තැටියේ සුරකින ලදි.

Duqu යනු ද්වේෂසහගත matryoshka වේ

Duqu ස්වයංක්‍රීයව ආරම්භ කිරීම සඳහා, රෙජිස්ට්‍රියේ ගබඩා කර ඇති යතුරු භාවිතයෙන් පියාසර කරන ප්‍රධාන මොඩියුලය විකේතනය කරන ලද ධාවක ගොනුවක් භාවිතයෙන් සේවාවක් නිර්මාණය කරන ලදී. ප්‍රධාන මොඩියුලයේ තමන්ගේම වින්‍යාස දත්ත බ්ලොක් අඩංගු වේ. මුලින්ම දියත් කරන විට, එය විකේතනය කර, ස්ථාපන දිනය එයට ඇතුළත් කර, පසුව එය නැවත සංකේතනය කර ප්‍රධාන මොඩියුලය මඟින් සුරකින ලදී. මේ අනුව, බලපෑමට ලක් වූ පද්ධතිය තුළ, සාර්ථක ස්ථාපනයකින්, ගොනු තුනක් සුරකින ලදි - ධාවකය, ප්රධාන මොඩියුලය සහ එහි වින්යාස දත්ත ගොනුව, අවසාන ගොනු දෙක සංකේතාත්මක ආකාරයෙන් තැටියේ ගබඩා කර ඇත. සියලුම විකේතන ක්‍රියා පටිපාටි සිදු කරනු ලැබුවේ මතකයේ පමණි. මෙම සංකීර්ණ ස්ථාපන ක්‍රියාවලිය ප්‍රති-වයිරස මෘදුකාංග මගින් හඳුනාගැනීමේ හැකියාව අවම කිරීමට භාවිතා කරන ලදී.

ප්රධාන මොඩියුලය

ප්‍රධාන මොඩියුලය (සම්පත් 302), අනුව තොරතුරු සමාගම Kaspersky Lab, පිරිසිදු C වලින් MSVC 2008 භාවිතයෙන් ලියා ඇත, නමුත් වස්තු-නැඹුරු ප්‍රවේශයක් භාවිතා කරයි. මෙම ප්රවේශය අනිෂ්ට කේතය සංවර්ධනය කිරීමේදී අසාමාන්ය වේ. රීතියක් ලෙස, එවැනි කේතය C වලින් ලියා ඇත්තේ ප්‍රමාණය අඩු කිරීමට සහ C ++ හි ආවේණික වූ ව්‍යංග ඇමතුම් ඉවත් කිරීමට ය. මෙහි යම් සහජීවනයක් ඇත. තවද, සිදුවීම් මත පදනම් වූ ගෘහ නිර්මාණ ශිල්පයක් භාවිතා කරන ලදී. Kaspersky Lab සේවකයින් ප්‍රධාන මොඩියුලය ලියා ඇත්තේ වස්තු විලාසයකින් C කේතය ලිවීමට ඉඩ සලසන පෙර-ප්‍රොසෙසර ඇඩෝනයක් භාවිතයෙන් බවට වන න්‍යායට නැඹුරු වේ.
ක්රියාකරුවන්ගෙන් විධාන ලබා ගැනීමේ ක්රියා පටිපාටිය සඳහා ප්රධාන මොඩියුලය වගකිව යුතුය. Duqu අන්තර්ක්‍රියා කිරීමේ ක්‍රම කිහිපයක් සපයයි: HTTP සහ HTTPS ප්‍රොටෝකෝල භාවිතා කිරීම මෙන්ම නම් කරන ලද පයිප්ප භාවිතා කිරීම. HTTP(S) සඳහා, විධාන මධ්‍යස්ථානවල වසම් නාම නියම කර ඇති අතර, ප්‍රොක්සි සේවාදායකයක් හරහා වැඩ කිරීමේ හැකියාව ලබා දී ඇත - ඒවා සඳහා පරිශීලක නාමයක් සහ මුරපදයක් නියම කර ඇත. IP ලිපිනය සහ එහි නම නාලිකාව සඳහා නියම කර ඇත. නිශ්චිත දත්ත ගබඩා කර ඇත්තේ ප්‍රධාන මොඩියුල වින්‍යාස දත්ත කොටසේ (සංකේතාත්මක ආකාරයෙන්).
නම් කරන ලද පයිප්ප භාවිතා කිරීම සඳහා, අපි අපගේම RPC සේවාදායක ක්රියාත්මක කිරීම දියත් කළෙමු. එය පහත සඳහන් කාර්යයන් හත සඳහා සහය විය:

  • ස්ථාපිත අනුවාදය ආපසු ලබා දෙන්න;
  • නිශ්චිත ක්‍රියාවලියට dll එන්නත් කර නිශ්චිත කාර්යය අමතන්න;
  • dll පැටවීම;
  • CreateProcess() ඇමතීමෙන් ක්‍රියාවලියක් ආරම්භ කරන්න;
  • දී ඇති ගොනුවක අන්තර්ගතය කියවන්න;
  • නිශ්චිත ගොනුවට දත්ත ලියන්න;
  • නිශ්චිත ගොනුව මකන්න.

Duqu-ආසාදිත පරිගණක අතර යාවත්කාලීන මොඩියුල සහ වින්‍යාස දත්ත බෙදා හැරීම සඳහා දේශීය ජාලයක් තුළ නම් කරන ලද පයිප්ප භාවිතා කළ හැකිය. මීට අමතරව, Duqu වෙනත් ආසාදිත පරිගණක සඳහා ප්‍රොක්සි සේවාදායකයක් ලෙස ක්‍රියා කළ හැකිය (දොරටුවෙහි ඇති ෆයර්වෝල් සැකසුම් හේතුවෙන් අන්තර්ජාලයට ප්‍රවේශය නොතිබුණි). Duqu හි සමහර අනුවාදවල RPC ක්‍රියාකාරීත්වයක් නොතිබුණි.

දන්නා "ගෙවීම්"

Symantec විසින් Duqu පාලන මධ්‍යස්ථානයෙන් විධානය යටතේ බාගත කරන ලද ගෙවීම් වර්ග හතරක් සොයා ගන්නා ලදී.
එපමනක් නොව, ඔවුන්ගෙන් එක් අයෙකු පමණක් පදිංචිව සිටි අතර එය තැටියට සුරකින ලද ක්රියාත්මක කළ හැකි ගොනුවක් (exe) ලෙස සම්පාදනය කරන ලදී. ඉතිරි තුන dll පුස්තකාල ලෙස ක්‍රියාත්මක කරන ලදී. ඒවා ගතිකව පටවා තැටියට සුරැකීමකින් තොරව මතකයේ ක්‍රියාත්මක විය.

නේවාසික "ගෙවීම්" ඔත්තු මොඩියුලයක් විය (infostealer) කීලොගර් කාර්යයන් සමඟ. VirusTotal එකට යවලා තමයි Duqu පර්යේෂණයේ වැඩ පටන් ගත්තේ. ප්‍රධාන ඔත්තු බැලීමේ ක්‍රියාකාරීත්වය සම්පතෙහි වූ අතර, එහි පළමු කිලෝබයිට් 8 තුළ NGC 6745 මන්දාකිනියේ ඡායාරූපයක කොටසක් (සැඟවීම සඳහා) අඩංගු විය. 2012 අප්‍රේල් මාසයේදී ඉරානය යම් ද්වේෂසහගත මෘදුකාංගයක් වන “Stars” වෙත නිරාවරණය වූ බවට ඇතැම් මාධ්‍ය (http://www.mehrnews.com/en/newsdetail.aspx?NewsID=1297506) තොරතුරු පළ කළ බව මෙහිදී සිහිපත් කළ යුතුය. සිද්ධිය හෙළි නොකළේය. සමහර විට එය ඉරානයේ එවකට සොයා ගන්නා ලද ඩුකු "ගෙවීම්" සාම්පලයක් විය හැකිය, එබැවින් "තරු" යන නම ලැබුණි.
ඔත්තු මොඩියුලය පහත තොරතුරු රැස් කළේය:

  • ධාවන ක්රියාවලි ලැයිස්තුව, වත්මන් පරිශීලකයා සහ වසම පිළිබඳ තොරතුරු;
  • ජාල ධාවකයන් ඇතුළු තාර්කික ධාවක ලැයිස්තුව;
  • තිරපිටපත්;
  • ජාල අතුරුමුහුණත් ලිපින, මාර්ගගත කිරීමේ වගු;
  • යතුරුපුවරු යතුරු එබීම් වල ලොග් ගොනුව;
  • විවෘත යෙදුම් කවුළු වල නම්;
  • පවතින ජාල සම්පත් ලැයිස්තුව (සම්පත් බෙදාගැනීම);
  • ඉවත් කළ හැකි ඒවා ඇතුළුව සියලුම තැටිවල ගොනු සම්පූර්ණ ලැයිස්තුවක්;
  • "ජාල පරිසරය" තුළ පරිගණක ලැයිස්තුවක්.

තවත් ඔත්තු මොඩියුලයක් (infostealer) යනු දැනටමත් විස්තර කර ඇති නමුත් dll පුස්තකාලයක් ලෙස සම්පාදනය කරන ලද ප්‍රභේදයකි; Keylogger එකක ක්‍රියාකාරිත්වය, ගොනු ලැයිස්තුවක් සම්පාදනය කිරීම සහ වසම තුළ ඇතුළත් කර ඇති පරිගණක ලැයිස්තුගත කිරීම එයින් ඉවත් කරන ලදී.
ඊළඟ මොඩියුලය (සොයා බැලුවා) එකතු කරන ලද පද්ධති තොරතුරු:

  • පරිගණකය වසමක කොටසක්ද;
  • වින්ඩෝස් පද්ධති නාමාවලි සඳහා මාර්ග;
  • මෙහෙයුම් පද්ධති අනුවාදය;
  • වත්මන් පරිශීලක නාමය;
  • ජාල ඇඩප්ටර ලැයිස්තුව;
  • පද්ධතිය සහ දේශීය වේලාව, මෙන්ම වේලා කලාපය.

අවසාන මොඩියුලය (ආයු කාලය දීර්ඝ කරන්නා) කාර්යය අවසන් වන තෙක් ඉතිරිව ඇති දින ගණනෙහි අගය (ප්‍රධාන මොඩියුල වින්‍යාස දත්ත ගොනුවේ ගබඩා කර ඇත) වැඩි කිරීමට ශ්‍රිතයක් ක්‍රියාත්මක කරන ලදී. පෙරනිමියෙන්, මෙම අගය Duqu වෙනස් කිරීම මත පදනම්ව දින 30 හෝ 36 ලෙස සකසා ඇති අතර සෑම දිනකම එකකින් අඩු වේ.

විධාන මධ්යස්ථාන

20 ඔක්තෝම්බර් 2011 වන දින (සොයාගැනීම පිළිබඳ තොරතුරු බෙදා හැරීමෙන් දින තුනකට පසුව), ඩුකු ක්‍රියාකරුවන් විසින් විධාන මධ්‍යස්ථානවල ක්‍රියාකාරිත්වයේ අංශු මාත්‍ර විනාශ කිරීමට ක්‍රියා පටිපාටියක් සිදු කරන ලදී. වියට්නාමය, ඉන්දියාව, ජර්මනිය, සිංගප්පූරුව, ස්විට්සර්ලන්තය, මහා බ්‍රිතාන්‍යය, ඕලන්දය, දකුණු කොරියාව යන රටවල - අණදෙන මධ්‍යස්ථාන ලොව පුරා අනවසරයෙන් ඇතුළු වූ සේවාදායකයන් මත පිහිටා තිබුණි. හදුනාගත් සියලුම සේවාදායකයන් CentOS අනුවාද 5.2, 5.4 හෝ 5.5 ක්‍රියාත්මක කිරීම සිත්ගන්නා කරුණකි. OSs 32-bit සහ 64-bit යන දෙකම විය. විධාන මධ්‍යස්ථානවල ක්‍රියාකාරිත්වයට අදාළ සියලුම ලිපිගොනු මකා දැමුවද, Kaspersky Lab විශේෂඥයින්ට LOG ලිපිගොනු වලින් සමහර තොරතුරු මන්දගාමී අවකාශයෙන් ලබා ගැනීමට හැකි විය. වඩාත්ම සිත්ගන්නා කරුණ නම්, සේවාදායකයේ ප්‍රහාරකයන් සෑම විටම පෙරනිමි OpenSSH 4.3 පැකේජය 5.8 අනුවාදය සමඟ ප්‍රතිස්ථාපනය කිරීමයි. මෙය OpenSSH 4.3 හි නොදන්නා අවදානමක් සේවාදායකයන් හැක් කිරීමට භාවිතා කර ඇති බව පෙන්නුම් කරයි. සියලුම පද්ධති විධාන මධ්‍යස්ථාන ලෙස භාවිත කළේ නැත. සමහරක්, වරාය 80 සහ 443 සඳහා ගමනාගමනය යළි හරවා යැවීමට උත්සාහ කරන විට sshd ලොග් වල ඇති දෝෂ අනුව විනිශ්චය කිරීම, අවසාන විධාන මධ්‍යස්ථාන වෙත සම්බන්ධ වීමට ප්‍රොක්සි සේවාදායකයක් ලෙස භාවිතා කරන ලදී.

දින සහ මොඩියුල

Kaspersky Lab විසින් පරීක්ෂා කරන ලද 2011 අප්‍රේල් මාසයේදී බෙදා හරින ලද Word ලේඛනයක 31 අගෝස්තු 2007 දින සම්පාදනය කරන ලද ස්ථාපක බාගත කිරීමේ ධාවකයක් අඩංගු විය. CrySys රසායනාගාරවලින් සොයාගත් ලේඛනයක සමාන ධාවකයක් (ප්‍රමාණය - 20608 බයිට්, MD5 - EEDCA45BD613E0D9A9E5C69122007F17) 21 පෙබරවාරි 2008 දින සම්පාදනය කරන ලද දිනයකි. මීට අමතරව, Kaspersky Lab විශේෂඥයින් විසින් 19968 ජනවාරි 5 වැනි දින සමඟ autorun ධාවකය rndismpc.sys (ප්‍රමාණය - 9 බයිට්, MD6 - 10AEC5E9C05EE93221544C783BED20C2008E) සොයා ගන්නා ලදී. 2009 ලෙස සලකුණු කරන ලද සංරචක හමු නොවීය. Duqu හි එක් එක් කොටස් සම්පාදනය කිරීමේ කාල සටහන් මත පදනම්ව, එහි සංවර්ධනය 2007 මුල් භාගය දක්වා දිව යා හැකිය. එහි මුල්ම ප්‍රකාශනය ~DO වර්ගයේ (සමහර විට ඔත්තු මෘදුකාංග මොඩියුල වලින් එකක් විසින් නිර්මාණය කරන ලද) තාවකාලික ගොනු හඳුනාගැනීම හා සම්බන්ධ වේ, එය නිර්මාණය කළ දිනය 28 නොවැම්බර් 2008 (ලිපියක් "Duqu & Stuxnet: A Timeline of Interesting Events"). 23 මාර්තු මාසයේදී Symantec විසින් සොයා ගන්නා ලද ස්ථාපක බාගත කිරීමේ ධාවකයක අඩංගු Duqu හා සම්බන්ධ නවතම දිනය 2012 පෙබරවාරි 2012 විය.

භාවිතා කරන ලද තොරතුරු මූලාශ්‍ර:

ලිපි මාලාව Kaspersky Lab වෙතින් Duqu ගැන;
Symantec විශ්ලේෂණ වාර්තාව "W32.Duqu මීළඟ Stuxnet හි පූර්වගාමියා", අනුවාදය 1.4, නොවැම්බර් 2011 (pdf).

මූලාශ්රය: www.habr.com

අදහස් එක් කරන්න