ProHoster > Blog > talafou initaneti > Duqu o se matryoshka leaga

Duqu o se matryoshka leaga

Faatomuaga

I le aso 1 o Setema, 2011, na auina atu ai se faila e igoa ~DN1.tmp i le upegatafa'ilagi a le VirusTotal mai Hungary. I lena taimi, o le faila na iloa e leaga e na o le lua antivirus afi - BitDefender ma AVIRA. O le ala lea na amata ai le tala ia Duqu. I le vaʻai i luma, e tatau ona fai mai o le Duqu malware aiga na faaigoa i le igoa o lenei faila. Ae ui i lea, o lenei faila o se module spyware atoatoa tutoʻatasi ma galuega keylogger, faʻapipiʻiina, masalo, e faʻaaoga ai se mea leaga downloader-dropper, ma e mafai ona naʻo se "totogi" e utaina e le Duqu malware i le taimi o lona gaioiga, ae le o se vaega ( module) o Duqu . O se tasi o vaega o le Duqu na auina atu i le auaunaga Virustotal naʻo le aso 9 o Setema. O lona uiga fa'apitoa o le aveta'avale saini fa'atekinolosi e le C-Media. O nisi o tagata atamamai na vave amata ona tusia tala faʻatusa ma se isi faʻataʻitaʻiga taʻutaʻua o malware - Stuxnet, lea na faʻaaogaina foi avetaʻavale saini. O le aofa'i o komipiuta ua a'afia i Duqu na maua e kamupani antivirus eseese i le lalolagi o lo'o i totonu o le tele. O le tele o kamupani fai mai o Iran ua toe avea ma autu autu, ae faʻamasinoina i le faʻafanua faʻasalalau faʻamaʻi, e le mafai ona mautinoa.
Duqu o se matryoshka leaga
I lenei tulaga, e tatau ona e tautala ma le mautinoa e uiga i se isi kamupani ma se upu fou APT (fa'amata'u fa'aauau pea).

Fa'atinoga o faiga fa'atino

O se suʻesuʻega na faia e tagata faʻapitoa mai le faʻalapotopotoga Hungarian CrySyS (Hungarian Laboratory of Cryptography and System Security i le Budapest University of Technology and Economics) na taʻitaʻia ai le mauaina o le faʻapipiʻi (dropper) lea na aʻafia ai le faiga. O se faila Microsoft Word ma se faʻaoga mo le faʻafitauli o le avetaavale win32k.sys (MS11-087, faʻamatalaina e Microsoft ia Novema 13, 2011), lea e nafa ma le TTF font rendering mechanism. O le shellcode a le exploit o lo'o fa'aogaina ai le vai e ta'ua o le 'Dexter Regular' o lo'o fa'apipi'i i totonu o le pepa, fa'atasi ai ma le Showtime Inc. o lo'o lisiina o le na faia le vai papatisoga. E pei ona mafai ona e vaʻaia, o le au foafoa o Duqu e le o ni tagata ese i se uiga malie: Dexter o se fasioti tagata, o le toa o le televise o le igoa e tasi, na faia e Showtime. Na'o Dexter na te fasiotia (pe a mafai) tagata solitulafono, o lona uiga, na te solia le tulafono i le igoa o le tulafono. Masalo, i lenei auala, o le au atinaʻe Duqu e faʻatauvaʻa ona o loʻo latou faia ni gaioiga faasolitulafono mo faamoemoega lelei. O le lafoina o imeli sa faia ma le fa'amoemoe. O le uta e foliga mai na fa'aogaina komepiuta fa'aletonu (hacked) e fai ma fa'auilavea e fa'afaigata ai le sailiga.
O le pepa o le Word na i ai vaega nei:

  • anotusi o tusitusiga;
  • mata'itusi ua fausia i totonu;
  • fa'aaoga le shellcode;
  • avetaavale;
  • fa'apipi'i (faletusi DLL).

Afai e manuia, na faia e le shellcode faʻaogaina gaioiga nei (i le kernel mode):

  • na faia se siaki mo le toe faʻamaʻi, mo lenei mea, o le i ai o le 'CF4D' ki na siaki i le resitala i le tuatusi 'HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZones1'; afai e saʻo, o le shellcode ua maeʻa lona faʻatinoga;
  • lua faila na decrypted - le avetaavale (sys) ma le installer (dll);
  • na tui le avetaavale i le services.exe process ma faʻalauiloa le faʻapipiʻi;
  • Mulimuli ane, na tapeina e le shellcode ia lava ma zeros i le manatua.

Ona o le mea moni o le win32k.sys o loʻo faʻatinoina i lalo o le tagata faʻapitoa 'System', o le Duqu developers ua faʻamalieina le faʻafitauli o le faʻalauiloaina e leʻi faʻatagaina ma le faʻateleina o aia tatau (taufetuli i lalo o se tagata faʻaoga faʻatasi ma aia tatau).
A maeʻa ona maua le pule, na faʻaumatia e le tagata faʻapipiʻi poloka e tolu o faʻamaumauga o loʻo i totonu i le manatua, e aofia ai:

  • aveta'avale saini (sys);
  • autu autu (dll);
  • fa'amaumauga fa'apipi'i (pnf).

Sa fa'amaoti mai se fa'asologa o aso i fa'amaumauga o fa'amaumauga fa'apipi'i (i le tulaga o fa'ailoga e lua - amata ma fa'ai'uga). Na siaki e le faʻapipiʻi pe o le aso o loʻo i ai nei na aofia ai i totonu, ma afai e leai, na maeʻa lona faʻatinoga. I totonu foi o faʻamaumauga faʻapipiʻi faʻapipiʻi igoa na faʻasaoina ai le avetaavale ma le module autu. I lenei tulaga, o le module autu na faʻasaoina i luga o le disk i faʻailoga faʻailoga.

Duqu o se matryoshka leaga

I le autostart Duqu, na faia ai se auaunaga e faʻaaoga ai se faila avetaʻavale na faʻamalo le module autu i luga o le lele e faʻaaoga ai ki o loʻo teuina i le resitala. O le module autu o loʻo i ai lana lava poloka faʻamaumauga faʻatulagaina. Ina ua faʻalauiloa muamua, na faʻaumatia, na tuʻuina i totonu le aso faʻapipiʻi, mulimuli ane na toe faʻailogaina ma faʻasaoina e le module autu. O le mea lea, i totonu o le faiga ua afaina, i luga o le faʻapipiʻiina manuia, e tolu faila na faʻasaoina - o le avetaʻavale, le autu autu ma lona faila faʻamaumauga o faʻamaumauga, ae o faila mulimuli e lua na teuina i luga o le disk i le faʻailoga. O faiga fa'avasega uma na fa'atinoina na'o le manatua. O lenei faiga faʻapipiʻi lavelave na faʻaaogaina e faʻaitiitia ai le avanoa e iloa ai e le antivirus software.

Le module autu

Vaega autu (punaoa 302), e tusa ai ma faʻamatalaga kamupani Kaspersky Lab, tusia i le MSVC 2008 i le mama C, ae faʻaaogaina se faʻaoga-mea. O lenei faiga e le masani pe a atiaʻe tulafono leaga. I le avea ai o se tulafono, o lea code e tusia i le C e faʻaitiitia ai le tele ma faʻaumatia ai le faʻaogaina o le telefoni i totonu o le C ++. O loʻo i ai se symbiosis patino iinei. E le gata i lea, na faʻaaogaina se faʻataʻitaʻiga faʻapitoa. O tagata faigaluega a Kaspersky Lab o loʻo faʻaalia i le talitonuga o le autu autu na tusia e faʻaaoga ai se faʻapipiʻi muamua-processor e mafai ai ona e tusia le C code i se sitaili mea.
O le vaega autu e nafa ma le faʻagasologa mo le mauaina o faʻatonuga mai tagata faʻatautaia. O loʻo tuʻuina atu e Duqu le tele o auala o fegalegaleaiga: faʻaaogaina o HTTP ma HTTPS protocols, faʻapea foʻi ma le faʻaogaina o paipa. Mo HTTP(S), na fa'ailoa mai ai igoa fa'apitonu'u o nofoaga fa'atonu, ma sa tu'uina atu le tomai e galue ai e ala i se sui sui - o le igoa fa'aoga ma le fa'aupuga na fa'amaonia mo i latou. O le tuatusi IP ma lona igoa o loʻo faʻamaonia mo le auala. O faʻamaumauga faʻamaonia o loʻo teuina i totonu o le poloka autu o le faʻatulagaina o faʻamaumauga (i le faʻailoga faʻailoga).
Mo le faʻaogaina o paipa, na matou faʻalauiloaina a matou lava faʻatinoga RPC server. Na lagolagoina ai galuega tauave e fitu:

  • toe faafoi le lomiga faʻapipiʻi;
  • tui se dll i le faiga faʻapitoa ma valaʻau le galuega faʻapitoa;
  • uta dll;
  • amata se faagasologa e ala i le valaau CreateProcess();
  • faitau mea o lo'o i totonu o se faila;
  • tusi faʻamatalaga i le faila faʻamaonia;
  • tape le faila fa'amaonia.

E mafai ona fa'aoga paipa fa'aigoaina i totonu ole feso'ota'iga fa'apitonu'u e fa'asoa atu ai fa'amatalaga fa'afou ma fa'amaumauga i le va o komepiuta ua a'afia i Duqu. E le gata i lea, e mafai e Duqu ona galue o se sui sui mo isi komepiuta ua afaina (lea e le mafai ona maua i luga ole Initaneti ona o faʻamaufaʻailoga afi ile faitotoa). O nisi fa'aliliuga a Duqu e leai ni fa'atinoga RPC.

Ta'uta'ua "totogi"

Na maua e Symantec le itiiti ifo ma le fa ituaiga o uta na sii mai i lalo o le faʻatonuga mai le nofoaga autu e pulea ai Duqu.
E le gata i lea, na o le tasi oi latou na nofo ma tuufaatasia o se faila faila (exe), lea na teuina i le disk. O le isi tolu na fa'atinoina o ni faletusi dll. Na utaina ma le malosi ma faʻatinoina i le manatua e aunoa ma le teuina i le tisiki.

O le "payload" nofomau o se sipai module (infostealer) ma galuega keylogger. O le auina atu i le VirusTotal na amata ai le galuega i suʻesuʻega a Duqu. O le galuega autu o le sipai sa i totonu o le punaoa, o le muamua 8 kilobytes o loʻo i ai se vaega o le ata o le aniva NGC 6745 (mo faʻataʻitaʻiga). E tatau ona manatua iinei ia Aperila 2012, o nisi o faʻasalalauga faʻasalalau faʻamatalaga (http://www.mehrnews.com/en/newsdetail.aspx?NewsID=1297506) o Iran na faʻaalia i nisi polokalama leaga "Fetu", ae o auiliiliga o e lei faailoaina le mea na tupu. Masalo na o se faʻataʻitaʻiga o le Duqu "totogi" na maua i lena taimi i Iran, o le mea lea o le igoa "Fetu".
O le sipai module na aoina faʻamatalaga nei:

  • lisi o faiga fa'agasolo, fa'amatalaga e uiga i le tagata o lo'o fa'aaoga nei ma le vaega;
  • lisi o ta'avale talafeagai, e aofia ai ta'avale feso'otaiga;
  • screenshots;
  • tuatusi feso'ota'iga feso'ota'iga, laulau ta'avale;
  • faila ogalaau o ki ki;
  • igoa o faamalama talosaga tatala;
  • lisi o punaoa fesoʻotaʻiga avanoa (faʻasoa punaoa);
  • se lisi atoa o faila i luga o tisiki uma, e aofia ai mea e mafai ona aveese;
  • se lisi o komepiuta i le "siosiomaga fesoʻotaʻiga".

O le isi sipai module (infostealer) o se fesuiaiga o mea ua uma ona faʻamatalaina, ae tuʻufaʻatasia o se faletusi dll; o galuega a le keylogger, faʻapipiʻiina o se lisi o faila ma lisi komepiuta o loʻo aofia i totonu o le vaega na aveesea mai ai.
Le isi module (aloaia) aoina fa'amatalaga faiga:

  • pe o le komepiuta o se vaega o se vaega;
  • ala i Windows system directories;
  • faiga faiga fa'aoga;
  • igoa fa'aoga nei;
  • lisi o feso'ota'iga feso'ota'iga;
  • faiga ma taimi fa'apitonu'u, fa'apea fo'i le sone taimi.

Module mulimuli (fa'alautele le ola) faʻatinoina se galuega e faʻateleina ai le tau (o loʻo teuina i totonu o le faila o faʻamaumauga faʻatulagaina module autu) o le numera o aso o totoe seia maeʻa le galuega. Ona o le faaletonu o lenei tau ua setiina i le 30 po o le 36 aso e faalagolago i le suiga o le Duqu, ma fa'aitiitia i le tasi i aso taitasi.

Nofoaga fa'atonu

I le aso 20 o Oketopa, 2011 (tolu aso talu ona faʻasalalau faʻamatalaga e uiga i le mauaina), na faia e le au Duqu se faʻataʻitaʻiga e faʻaumatia ai uiga o le faʻaogaina o nofoaga autu. O nofoaga autu o poloaiga sa i luga o sapalai hacked i le lalolagi atoa - i Vietnam, Initia, Siamani, Sigapoa, Suiselani, Peretania Tele, Holani, ma Korea i Saute. O le mea e malie ai, o fa'aumau uma na fa'ailoaina o lo'o fa'atautaia CentOS versions 5.2, 5.4 po'o le 5.5. O OS sa 32-bit ma 64-bit. E ui lava i le mea moni o faila uma e fesoʻotaʻi ma le faʻaogaina o nofoaga tutotonu na tapeina, na mafai e tagata tomai faapitoa a Kaspersky Lab ona toe maua nisi o faʻamatalaga mai faila LOG mai le avanoa avanoa. O le mea moni e sili ona manaia, o tagata osofaʻi i luga o sapalai e suia i taimi uma le faʻaogaina o le OpenSSH 4.3 package ma le version 5.8. E ono fa'ailoa mai ai o se fa'aletonu le iloa ile OpenSSH 4.3 na fa'aaogaina e ta'avale ai 'au'aunaga. E le'o fa'aogaina uma faiga e fai ma nofoaga fa'atonu. O nisi, faʻamasinoina i mea sese i le sshd logs pe a taumafai e toe faʻafeiloaʻi feoaiga mo ports 80 ma 443, na faʻaaogaina e fai ma sui sui e faʻafesoʻotaʻi i nofoaga autu o poloaiga.

Aso ma modules

O se pepa o Word na tufatufaina ia Aperila 2011, lea na suesueina e Kaspersky Lab, o loʻo i ai se avetaʻavale faʻapipiʻi faʻapipiʻi ma se aso tuʻufaʻatasia o Aukuso 31, 2007. O se aveta'avale tutusa (tele - 20608 bytes, MD5 - EEDCA45BD613E0D9A9E5C69122007F17) i totonu o se pepa na maua i le CrySys laboratories sa i ai le aso tu'ufa'atasi o Fepuari 21, 2008. E le gata i lea, na maua e le au atamamai o Kaspersky Lab le autorun driver rndismpc.sys (tele - 19968 bytes, MD5 - 9AEC6E10C5EE9C05BED93221544C783E) ma le aso Ianuari 20, 2008. Leai ni vaega fa'ailoga 2009 na maua. Faʻavae i luga o faʻamaufaʻailoga taimi o le tuʻufaʻatasia o vaega taʻitasi o Duqu, o lona atinaʻe e mafai ona amata mai i le amataga o le 2007. O lona faʻaaliga muamua e fesoʻotaʻi ma le suʻeina o faila le tumau o le ituaiga ~DO (atonu na faia e se tasi o masini sipai), o le aso na faia ai o Novema 28, 2008 (se tusiga "Duqu & Stuxnet: Ose Fa'asologa o Mea Fa'afiafia"). O le aso sili ona lata mai na feso'ota'i ma Duqu o Fepuari 23, 2012, o lo'o i totonu o se aveta'avale download na maua e Symantec ia Mati 2012.

Punaoa o faʻamatalaga faʻaaogaina:

faasologa o tala e uiga ia Duqu mai Kaspersky Lab;
Lipoti su'esu'e a Symantec "W32.Duqu Le mua'i i le isi Stuxnet", version 1.4, Novema 2011 (pdf).

puna: www.habr.com

Faaopoopo i ai se faamatalaga