Faatomuaga
I le aso 1 o Setema, 2011, na auina atu ai se faila e igoa ~DN1.tmp i le upegatafa'ilagi a le VirusTotal mai Hungary. I lena taimi, o le faila na iloa e leaga e na o le lua antivirus afi - BitDefender ma AVIRA. O le ala lea na amata ai le tala ia Duqu. I le vaʻai i luma, e tatau ona fai mai o le Duqu malware aiga na faaigoa i le igoa o lenei faila. Ae ui i lea, o lenei faila o se module spyware atoatoa tutoʻatasi ma galuega keylogger, faʻapipiʻiina, masalo, e faʻaaoga ai se mea leaga downloader-dropper, ma e mafai ona naʻo se "totogi" e utaina e le Duqu malware i le taimi o lona gaioiga, ae le o se vaega ( module) o Duqu . O se tasi o vaega o le Duqu na auina atu i le auaunaga Virustotal naʻo le aso 9 o Setema. O lona uiga fa'apitoa o le aveta'avale saini fa'atekinolosi e le C-Media. O nisi o tagata atamamai na vave amata ona tusia tala faʻatusa ma se isi faʻataʻitaʻiga taʻutaʻua o malware - Stuxnet, lea na faʻaaogaina foi avetaʻavale saini. O le aofa'i o komipiuta ua a'afia i Duqu na maua e kamupani antivirus eseese i le lalolagi o lo'o i totonu o le tele. O le tele o kamupani fai mai o Iran ua toe avea ma autu autu, ae faʻamasinoina i le faʻafanua faʻasalalau faʻamaʻi, e le mafai ona mautinoa.
I lenei tulaga, e tatau ona e tautala ma le mautinoa e uiga i se isi kamupani ma se upu fou
Fa'atinoga o faiga fa'atino
O se suʻesuʻega na faia e tagata faʻapitoa mai le faʻalapotopotoga Hungarian CrySyS (Hungarian Laboratory of Cryptography and System Security i le Budapest University of Technology and Economics) na taʻitaʻia ai le mauaina o le faʻapipiʻi (dropper) lea na aʻafia ai le faiga. O se faila Microsoft Word ma se faʻaoga mo le faʻafitauli o le avetaavale win32k.sys (MS11-087, faʻamatalaina e Microsoft ia Novema 13, 2011), lea e nafa ma le TTF font rendering mechanism. O le shellcode a le exploit o lo'o fa'aogaina ai le vai e ta'ua o le 'Dexter Regular' o lo'o fa'apipi'i i totonu o le pepa, fa'atasi ai ma le Showtime Inc. o lo'o lisiina o le na faia le vai papatisoga. E pei ona mafai ona e vaʻaia, o le au foafoa o Duqu e le o ni tagata ese i se uiga malie: Dexter o se fasioti tagata, o le toa o le televise o le igoa e tasi, na faia e Showtime. Na'o Dexter na te fasiotia (pe a mafai) tagata solitulafono, o lona uiga, na te solia le tulafono i le igoa o le tulafono. Masalo, i lenei auala, o le au atinaʻe Duqu e faʻatauvaʻa ona o loʻo latou faia ni gaioiga faasolitulafono mo faamoemoega lelei. O le lafoina o imeli sa faia ma le fa'amoemoe. O le uta e foliga mai na fa'aogaina komepiuta fa'aletonu (hacked) e fai ma fa'auilavea e fa'afaigata ai le sailiga.
O le pepa o le Word na i ai vaega nei:
- anotusi o tusitusiga;
- mata'itusi ua fausia i totonu;
- fa'aaoga le shellcode;
- avetaavale;
- fa'apipi'i (faletusi DLL).
Afai e manuia, na faia e le shellcode faʻaogaina gaioiga nei (i le kernel mode):
- na faia se siaki mo le toe faʻamaʻi, mo lenei mea, o le i ai o le 'CF4D' ki na siaki i le resitala i le tuatusi 'HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZones1'; afai e saʻo, o le shellcode ua maeʻa lona faʻatinoga;
- lua faila na decrypted - le avetaavale (sys) ma le installer (dll);
- na tui le avetaavale i le services.exe process ma faʻalauiloa le faʻapipiʻi;
- Mulimuli ane, na tapeina e le shellcode ia lava ma zeros i le manatua.
Ona o le mea moni o le win32k.sys o loʻo faʻatinoina i lalo o le tagata faʻapitoa 'System', o le Duqu developers ua faʻamalieina le faʻafitauli o le faʻalauiloaina e leʻi faʻatagaina ma le faʻateleina o aia tatau (taufetuli i lalo o se tagata faʻaoga faʻatasi ma aia tatau).
A maeʻa ona maua le pule, na faʻaumatia e le tagata faʻapipiʻi poloka e tolu o faʻamaumauga o loʻo i totonu i le manatua, e aofia ai:
- aveta'avale saini (sys);
- autu autu (dll);
- fa'amaumauga fa'apipi'i (pnf).
Sa fa'amaoti mai se fa'asologa o aso i fa'amaumauga o fa'amaumauga fa'apipi'i (i le tulaga o fa'ailoga e lua - amata ma fa'ai'uga). Na siaki e le faʻapipiʻi pe o le aso o loʻo i ai nei na aofia ai i totonu, ma afai e leai, na maeʻa lona faʻatinoga. I totonu foi o faʻamaumauga faʻapipiʻi faʻapipiʻi igoa na faʻasaoina ai le avetaavale ma le module autu. I lenei tulaga, o le module autu na faʻasaoina i luga o le disk i faʻailoga faʻailoga.
I le autostart Duqu, na faia ai se auaunaga e faʻaaoga ai se faila avetaʻavale na faʻamalo le module autu i luga o le lele e faʻaaoga ai ki o loʻo teuina i le resitala. O le module autu o loʻo i ai lana lava poloka faʻamaumauga faʻatulagaina. Ina ua faʻalauiloa muamua, na faʻaumatia, na tuʻuina i totonu le aso faʻapipiʻi, mulimuli ane na toe faʻailogaina ma faʻasaoina e le module autu. O le mea lea, i totonu o le faiga ua afaina, i luga o le faʻapipiʻiina manuia, e tolu faila na faʻasaoina - o le avetaʻavale, le autu autu ma lona faila faʻamaumauga o faʻamaumauga, ae o faila mulimuli e lua na teuina i luga o le disk i le faʻailoga. O faiga fa'avasega uma na fa'atinoina na'o le manatua. O lenei faiga faʻapipiʻi lavelave na faʻaaogaina e faʻaitiitia ai le avanoa e iloa ai e le antivirus software.
Le module autu
Vaega autu (punaoa 302), e tusa ai ma
O le vaega autu e nafa ma le faʻagasologa mo le mauaina o faʻatonuga mai tagata faʻatautaia. O loʻo tuʻuina atu e Duqu le tele o auala o fegalegaleaiga: faʻaaogaina o HTTP ma HTTPS protocols, faʻapea foʻi ma le faʻaogaina o paipa. Mo HTTP(S), na fa'ailoa mai ai igoa fa'apitonu'u o nofoaga fa'atonu, ma sa tu'uina atu le tomai e galue ai e ala i se sui sui - o le igoa fa'aoga ma le fa'aupuga na fa'amaonia mo i latou. O le tuatusi IP ma lona igoa o loʻo faʻamaonia mo le auala. O faʻamaumauga faʻamaonia o loʻo teuina i totonu o le poloka autu o le faʻatulagaina o faʻamaumauga (i le faʻailoga faʻailoga).
Mo le faʻaogaina o paipa, na matou faʻalauiloaina a matou lava faʻatinoga RPC server. Na lagolagoina ai galuega tauave e fitu:
- toe faafoi le lomiga faʻapipiʻi;
- tui se dll i le faiga faʻapitoa ma valaʻau le galuega faʻapitoa;
- uta dll;
- amata se faagasologa e ala i le valaau CreateProcess();
- faitau mea o lo'o i totonu o se faila;
- tusi faʻamatalaga i le faila faʻamaonia;
- tape le faila fa'amaonia.
E mafai ona fa'aoga paipa fa'aigoaina i totonu ole feso'ota'iga fa'apitonu'u e fa'asoa atu ai fa'amatalaga fa'afou ma fa'amaumauga i le va o komepiuta ua a'afia i Duqu. E le gata i lea, e mafai e Duqu ona galue o se sui sui mo isi komepiuta ua afaina (lea e le mafai ona maua i luga ole Initaneti ona o faʻamaufaʻailoga afi ile faitotoa). O nisi fa'aliliuga a Duqu e leai ni fa'atinoga RPC.
Ta'uta'ua "totogi"
Na maua e Symantec le itiiti ifo ma le fa ituaiga o uta na sii mai i lalo o le faʻatonuga mai le nofoaga autu e pulea ai Duqu.
E le gata i lea, na o le tasi oi latou na nofo ma tuufaatasia o se faila faila (exe), lea na teuina i le disk. O le isi tolu na fa'atinoina o ni faletusi dll. Na utaina ma le malosi ma faʻatinoina i le manatua e aunoa ma le teuina i le tisiki.
O le "payload" nofomau o se sipai module (infostealer) ma galuega keylogger. O le auina atu i le VirusTotal na amata ai le galuega i suʻesuʻega a Duqu. O le galuega autu o le sipai sa i totonu o le punaoa, o le muamua 8 kilobytes o loʻo i ai se vaega o le ata o le aniva NGC 6745 (mo faʻataʻitaʻiga). E tatau ona manatua iinei ia Aperila 2012, o nisi o faʻasalalauga faʻasalalau faʻamatalaga (http://www.mehrnews.com/en/newsdetail.aspx?NewsID=1297506) o Iran na faʻaalia i nisi polokalama leaga "Fetu", ae o auiliiliga o e lei faailoaina le mea na tupu. Masalo na o se faʻataʻitaʻiga o le Duqu "totogi" na maua i lena taimi i Iran, o le mea lea o le igoa "Fetu".
O le sipai module na aoina faʻamatalaga nei:
- lisi o faiga fa'agasolo, fa'amatalaga e uiga i le tagata o lo'o fa'aaoga nei ma le vaega;
- lisi o ta'avale talafeagai, e aofia ai ta'avale feso'otaiga;
- screenshots;
- tuatusi feso'ota'iga feso'ota'iga, laulau ta'avale;
- faila ogalaau o ki ki;
- igoa o faamalama talosaga tatala;
- lisi o punaoa fesoʻotaʻiga avanoa (faʻasoa punaoa);
- se lisi atoa o faila i luga o tisiki uma, e aofia ai mea e mafai ona aveese;
- se lisi o komepiuta i le "siosiomaga fesoʻotaʻiga".
O le isi sipai module (infostealer) o se fesuiaiga o mea ua uma ona faʻamatalaina, ae tuʻufaʻatasia o se faletusi dll; o galuega a le keylogger, faʻapipiʻiina o se lisi o faila ma lisi komepiuta o loʻo aofia i totonu o le vaega na aveesea mai ai.
Le isi module (aloaia) aoina fa'amatalaga faiga:
- pe o le komepiuta o se vaega o se vaega;
- ala i Windows system directories;
- faiga faiga fa'aoga;
- igoa fa'aoga nei;
- lisi o feso'ota'iga feso'ota'iga;
- faiga ma taimi fa'apitonu'u, fa'apea fo'i le sone taimi.
Module mulimuli (fa'alautele le ola) faʻatinoina se galuega e faʻateleina ai le tau (o loʻo teuina i totonu o le faila o faʻamaumauga faʻatulagaina module autu) o le numera o aso o totoe seia maeʻa le galuega. Ona o le faaletonu o lenei tau ua setiina i le 30 po o le 36 aso e faalagolago i le suiga o le Duqu, ma fa'aitiitia i le tasi i aso taitasi.
Nofoaga fa'atonu
I le aso 20 o Oketopa, 2011 (tolu aso talu ona faʻasalalau faʻamatalaga e uiga i le mauaina), na faia e le au Duqu se faʻataʻitaʻiga e faʻaumatia ai uiga o le faʻaogaina o nofoaga autu. O nofoaga autu o poloaiga sa i luga o sapalai hacked i le lalolagi atoa - i Vietnam, Initia, Siamani, Sigapoa, Suiselani, Peretania Tele, Holani, ma Korea i Saute. O le mea e malie ai, o fa'aumau uma na fa'ailoaina o lo'o fa'atautaia CentOS versions 5.2, 5.4 po'o le 5.5. O OS sa 32-bit ma 64-bit. E ui lava i le mea moni o faila uma e fesoʻotaʻi ma le faʻaogaina o nofoaga tutotonu na tapeina, na mafai e tagata tomai faapitoa a Kaspersky Lab ona toe maua nisi o faʻamatalaga mai faila LOG mai le avanoa avanoa. O le mea moni e sili ona manaia, o tagata osofaʻi i luga o sapalai e suia i taimi uma le faʻaogaina o le OpenSSH 4.3 package ma le version 5.8. E ono fa'ailoa mai ai o se fa'aletonu le iloa ile OpenSSH 4.3 na fa'aaogaina e ta'avale ai 'au'aunaga. E le'o fa'aogaina uma faiga e fai ma nofoaga fa'atonu. O nisi, faʻamasinoina i mea sese i le sshd logs pe a taumafai e toe faʻafeiloaʻi feoaiga mo ports 80 ma 443, na faʻaaogaina e fai ma sui sui e faʻafesoʻotaʻi i nofoaga autu o poloaiga.
Aso ma modules
O se pepa o Word na tufatufaina ia Aperila 2011, lea na suesueina e Kaspersky Lab, o loʻo i ai se avetaʻavale faʻapipiʻi faʻapipiʻi ma se aso tuʻufaʻatasia o Aukuso 31, 2007. O se aveta'avale tutusa (tele - 20608 bytes, MD5 - EEDCA45BD613E0D9A9E5C69122007F17) i totonu o se pepa na maua i le CrySys laboratories sa i ai le aso tu'ufa'atasi o Fepuari 21, 2008. E le gata i lea, na maua e le au atamamai o Kaspersky Lab le autorun driver rndismpc.sys (tele - 19968 bytes, MD5 - 9AEC6E10C5EE9C05BED93221544C783E) ma le aso Ianuari 20, 2008. Leai ni vaega fa'ailoga 2009 na maua. Faʻavae i luga o faʻamaufaʻailoga taimi o le tuʻufaʻatasia o vaega taʻitasi o Duqu, o lona atinaʻe e mafai ona amata mai i le amataga o le 2007. O lona faʻaaliga muamua e fesoʻotaʻi ma le suʻeina o faila le tumau o le ituaiga ~DO (atonu na faia e se tasi o masini sipai), o le aso na faia ai o Novema 28, 2008 (
Punaoa o faʻamatalaga faʻaaogaina:
Lipoti su'esu'e a Symantec
puna: www.habr.com