ProHoster > Блог > wararka internetka > Duqu - doll buul xaasid ah

Duqu - doll buul xaasid ah

Horudhac

Sebtembar 1, 2011, fayl lagu magacaabo ~DN1.tmp ayaa loo soo diray websaydka VirusTotal oo ka yimid Hungary. Waqtigaas, faylka waxaa lagu ogaaday inuu yahay xaasidnimo kaliya laba matoor oo ka hortag ah - BitDefender iyo AVIRA. Sidii ayay ku bilaabatay sheekadii Duqu. Horay u eegis, waa in la sheegaa in qoyska Duqu malware lagu magacaabay magaca faylkan. Si kastaba ha ahaatee, faylkani waa nooc spyware ah oo dhamaystiran oo madax banaan oo leh hawlo keylogger ah, oo lagu rakibay, malaha, isticmaalaya soo dejiyaha-soo-dejiyaha xaasidnimada leh, oo kaliya waxaa loo tixgelin karaa "loader" oo uu ku raran yahay Duqu malware inta lagu jiro hawlgalkiisa, oo aan ahayn qayb ahaan ( module) ee Duqu . Mid ka mid ah qaybaha Duqu waxa loo diray adeegga Virustotal kaliya Sebtembar 9. Sifadeeda gaarka ah waa darawal si dhijitaal ah u saxeexay C-Media. Khubarada qaarkood waxay isla markiiba bilaabeen inay sawiraan tusaale kale oo caan ah oo malware ah - Stuxnet, kaas oo sidoo kale adeegsaday darawallo saxeexan. Tirada guud ee kombuyuutarrada Duqu ku dhacay ee ay ogaadeen shirkadaha antivirus ee kala duwan ee adduunku waa daraasiin. Shirkado badan ayaa sheeganaya in Iran mar kale tahay bartilmaameedka ugu weyn, laakiin marka la eego qaybinta juqraafiyeed ee caabuqyada, tani lama dhihi karo si hubaal ah.
Duqu - doll buul xaasid ah
Xaaladdan oo kale, waa inaad si kalsooni leh uga hadashaa oo keliya shirkad kale oo leh kelmad cusub APT (khatar joogta ah oo horumarsan).

Habka hirgelinta nidaamka

Baaritaan ay sameeyeen khabiiro ka socda hay'adda Hungarian ee CrySyS (Shaybaadhka Hungarian ee Cryptography iyo Nidaamka Amniga ee Jaamacadda Budapest ee Teknolojiyadda iyo Dhaqaalaha) ayaa horseeday in la helo rakibaha (dhibiyaha) kaas oo nidaamka uu ku dhacay. Waxay ahayd fayl Microsoft Word ah oo leh faa'iido u nuglaanta darawalka win32k.sys (MS11-087, oo ay Microsoft ku sharaxday Noofembar 13, 2011), kaas oo ka mas'uul ah habka samaynta farta TTF. Ka faa'iidaysiga qolofkiisa wuxuu isticmaalaa far loo yaqaan 'Dexter Regular' oo ku dhex duugan dukumeentiga, iyadoo Showtime Inc. uu ku taxan yahay abuuraha farta. Sida aad arki karto, abuurayaasha Duqu maaha kuwo shisheeye u ah dareenka kaftanka: Dexter waa dilaa taxane ah, geesiga taxanaha telefishanka ee magaca isku midka ah, oo ay soo saartay Showtime. Dexter wuxuu dilaa kaliya (haddii ay suurtagal tahay) dambiilayaasha, taas oo ah, wuxuu ku jebiyaa sharciga magaca sharciga. Malaha, habkan, horumarinta Duqu waa wax la yaab leh in ay ku hawlan yihiin hawlo sharci darro ah oo ujeedooyin wanaagsan leh. Diritaanka iimaylada waxaa loo sameeyay si ula kac ah. Shixnadda waxay u badan tahay in loo isticmaalo kombuyuutarrada la jabsaday (la jabsaday) sidii dhex-dhexaadiye si ay u adkaato dabagalka.
Dokumentiga Word wuxuu ka koobnaa qaybaha soo socda:

  • nuxurka qoraalka;
  • font-ku-dhisan;
  • ka faa'iidayso shellcode;
  • darawalka;
  • rakibe (Maktabadda DLL).

Haddii lagu guulaysto, ka faa'iidaysiga shellcode wuxuu fuliyay hawlgalladan soo socda (qaabka kernel):

  • hubinta dib-u-qaadsiinta ayaa la sameeyay, tan, joogitaanka furaha 'CF4D' ayaa lagu hubiyay diiwaanka cinwaanka 'HKEY_LOCAL_MACHINESOFTWAREMIcrosoftWindowsCurrentVersionInternet SettingsZones1'; haddii ay tani sax tahay, shellcode-ka ayaa dhammeeyey fulintiisa;
  • laba fayl ayaa la furay - darawalka (sys) iyo rakibaha (dll);
  • darawalka ayaa lagu duray habka services.exe oo bilaabay rakibaha;
  • Ugu dambayntii, qolofku wuxuu isku tirtiray eber xusuusta ah.

Sababtoo ah xaqiiqda ah in win32k.sys loo fuliyay magaca isticmaalaha mudnaanta leh ee 'Nidaamka', horumarinta Duqu waxay si xarrago leh u xalliyeen dhibaatada bilawga aan la ogolayn iyo kordhinta xuquuqda labadaba (oo ku socda koontada isticmaalaha leh xuquuq xaddidan).
Ka dib markii la helay xakamaynta, rakibayuhu wuxuu furfuray saddex qaybood oo xog ah oo ku jirta xusuusta, oo ka kooban:

  • darawal saxeexan (sys);
  • moduleka ugu muhiimsan (dll);
  • xogta qaabeynta rakibaha (pnf).

Qiyaasta taariikheed ayaa lagu cayimay xogta qaabeynta rakibaha (qaabka laba jeer-staamadaha - bilawga iyo dhammaadka). Rakibadihii wuxuu hubiyay in taariikhda hadda lagu daray iyo in kale, haddii kale, wuu dhammeeyey fulintiisa. Sidoo kale xogta qaabeynta rakibaha waxaa ku jiray magacyada hoostooda lagu keydiyay darawalka iyo moduleka ugu weyn. Xaaladdan oo kale, moduleka ugu weyn waxaa lagu keydiyay saxanka qaab qarsoodi ah.

Duqu - doll buul xaasid ah

Si loo bilaabo Duqu, adeeg ayaa la sameeyay iyadoo la adeegsanayo faylka darawalka kaas oo furfuray cutubka ugu muhiimsan ee duulista iyadoo la adeegsanayo furayaasha lagu kaydiyay diiwaanka. Cutubka ugu muhiimsan wuxuu ka kooban yahay block xogta qaabeynta u gaar ah. Markii ugu horeysay ee la bilaabay, waa la furay, taariikhda rakibidda ayaa la geliyey, ka dib markii la sii daayay mar kale oo la keydiyay moduleka ugu muhiimsan. Sidaa darteed, nidaamka ay saameysay, markii la rakibay si guul leh, saddex fayl ayaa la badbaadiyay - darawalka, moduleka ugu weyn iyo faylka xogta qaabeynta, halka labadii faylal ee ugu dambeeyay lagu keydiyay diskka qaab qarsoodi ah. Dhammaan habraacyada codaynta waxaa lagu fuliyay oo keliya xusuusta. Nidaamkan adag ee rakibidda waxaa loo adeegsaday si loo yareeyo suurtagalnimada in lagu ogaado software-ka antivirus.

moduleka ugu weyn

Qaybta ugu muhiimsan (khayraadka 302), marka loo eego macluumaad shirkadda Kaspersky Lab, oo loo qoray iyadoo la isticmaalayo MSVC 2008 ee saafiga ah C, laakiin isticmaalaya hab shayga-oriented. Habkani waa mid aan sifo lahayn marka la samaynayo kood xaasidnimo ah. Sida caadiga ah, koodhka noocaan ah wuxuu ku qoran yahay C si loo yareeyo cabbirka loogana takhaluso wicitaannada daahsoon ee ku jira C++. Halkan waxaa jira calaamad gaar ah. Intaa waxaa dheer, qaab-dhismeed ay horseedday dhacdo ayaa la isticmaalay. Shaqaalaha Kaspersky Lab waxay u janjeeraan aragtida ah in cutubka ugu weyn la qoray iyadoo la adeegsanayo wax-ku-dar-processor-ka-horeeya kaasoo kuu oggolaanaya inaad ku qorto C code qaab shayga.
Qeybta ugu weyn ayaa mas'uul ka ah nidaamka helista amarada hawlwadeenada. Duqu wuxuu bixiyaa dhowr habab oo is dhexgalka: iyadoo la adeegsanayo HTTP iyo HTTPS borotokool, iyo sidoo kale isticmaalka tuubooyinka magacaaban. HTTP(S), magacyada domain ee xarumaha taliska ayaa la cayimay, iyo awooda lagu shaqayn karo server wakiil ah ayaa la bixiyay - magaca isticmaalaha iyo erayga sirta ah ayaa loo cayimay. Ciwaanka IP-ga iyo magaciisa ayaa loo cayimay kanaalka. Xogta la cayimay waxa lagu kaydiyaa qaybta ugu muhiimsan ee habaynta xogta (qaab sir ah).
Si aan u isticmaalno tuubooyinka magacaaban, waxaan bilownay hirgalinta adeegahayaga RPC. Waxay taageertay toddobada hawlood ee soo socda:

  • soo celi nooca rakiban;
  • dll ku duri habka la cayimay oo wac shaqada la cayimay;
  • dll ku shub;
  • Bilow habsocodka adigoo wacaya CreateProcess();
  • akhri waxa ku jira faylka la bixiyay;
  • ku qor xogta faylka la cayimay;
  • tirtir faylka la cayimay.

Tuubooyinka magacaaban waxa loo isticmaali karaa shabakad maxalli ah si loogu qaybiyo qaybo la cusboonaysiiyay iyo xogta qaabaynta inta u dhaxaysa kombiyuutarada Duqu-cududeeyay. Intaa waxaa dheer, Duqu wuxuu u dhaqmi karaa wakiil wakiil ah kombuyuutarrada kale ee cudurka qaba (kuwaas oo aan marin internetka helin sababtoo ah goobaha dab-damiska ee albaabka). Noocyada Duqu qaarkood ma lahayn shaqeynta RPC.

Loo yaqaan "culus"

Symantec waxa ay ogaatay ugu yaraan afar nooc oo culaysyo ah oo lagala soo degay amarka xarunta kontoroolka Duqu.
Waxaa intaa dheer, mid ka mid ah oo keliya ayaa degganaa oo la soo ururiyey sidii fayl la fulin karo (exe), kaas oo lagu keydiyay diskka. Saddexda soo hadhay waxa loo hirgeliyey sidii dll maktabado ahaan. Waxaa loo raray si firfircoon waxaana lagu fuliyay xusuusta iyada oo aan lagu kaydin diskka.

"culuska mushaharka" ee deganaha wuxuu ahaa nooc basaas ah (infostealer) oo leh hawlaha keylogger. Waxay ahayd iyada oo loo dirayo VirusTotal in shaqada cilmi baarista Duqu ay bilaabatay. Hawlaha basaasnimo ee ugu muhiimsan waxay ku jireen kheyraadka, 8 kiiloobytes ee ugu horreeya kuwaas oo ka kooban qayb ka mid ah sawirka galaxy NGC 6745 (oo loogu talagalay camouflage). Waa in lagu xasuusto halkan in bishii Abriil 2012, warbaahinta qaarkeed ay daabacday macluumaad (http://www.mehrnews.com/en/newsdetail.aspx?NewsID=1297506) in Iran la kashifay software xaasidnimo ah "Stars", iyada oo faahfaahinta Dhacdada lama shaacin. Waxaa laga yaabaa inay ahayd muunad noocaan oo kale ah oo ka mid ah Duqu “load-load” oo markaas laga helay Iran, sidaas darteed magaca “Stars”.
Qeybta basaaska ayaa aruurisay macluumaadka soo socda:

  • liiska hababka socodsiinta, macluumaadka ku saabsan isticmaalaha iyo domainka hadda;
  • liiska darawallada macquulka ah, oo ay ku jiraan darawallada shabakada;
  • sawir-qaadista;
  • ciwaannada isku xirka shabakada, miisaska dariiqa;
  • faylka log ee furayaasha kiiboodhka;
  • magacyada daaqadaha codsiga furan;
  • liiska ilaha shabakada ee la heli karo (qeybsiga kheyraadka);
  • liis dhamaystiran oo faylasha ku jira dhammaan saxanadaha, oo ay ku jiraan kuwa la saari karo;
  • liiska kombuyuutarrada ku jira "bay'adda shabakadda".

Qayb kale oo basaas ah (infostealer) waxay ahayd kala duwanaansho waxa hore loo sifeeyay, laakiin loo ururiyay sidii dll maktabadda; hawlaha keylogger, ururinta liiska faylalka iyo liiska kombiyuutarada ku jira domainka ayaa laga saaray.
Qaybta xigta (baaritaan) macluumaadka nidaamka la ururiyay:

  • in kombuyuutarku yahay qayb ka mid ah domain;
  • wadooyinka loo maro hagaha nidaamka Windows;
  • nooca nidaamka hawlgalka;
  • magaca isticmaalaha hadda;
  • liiska adapters network;
  • nidaamka iyo waqtiga maxaliga ah, iyo sidoo kale aagga waqtiga.

Cutubka u dambeeya (cimriga dheereeya) fuliyay hawl si loo kordhiyo qiimaha (ku kaydsan faylka xogta qaabeynta moduleka) ee tirada maalmaha ka harsan ilaa shaqada la dhammeeyo. Sida caadiga ah, qiimahan waxa loo dejiyay 30 ama 36 maalmood iyadoo ku xidhan wax ka beddelka Duqu, oo la dhimay hal maalin maalin kasta.

xarumaha taliska

Oktoobar 20, 2011 (saddex maalmood ka dib markii la faafiyay macluumaadka ku saabsan helitaanka), hawl wadeennada Duqu waxay sameeyeen hab lagu burburinayo raadadka shaqada xarumaha taliska. Xarumaha taliska waxay ku yaalliin server-yada la jabsado ee adduunka oo dhan - Vietnam, India, Germany, Singapore, Switzerland, Great Britain, Holland, iyo Koonfurta Kuuriya. Waxa xiisaha lihi leh, dhammaan adeegayaasha la aqoonsaday waxay ku shaqaynayeen noocyada CentOS 5.2, 5.4 ama 5.5. OS-yadu waxay ahaayeen 32-bit iyo 64-bit labadaba. In kasta oo xaqiiqda ah in dhammaan faylasha la xidhiidha hawlgalka xarumaha taliska la tirtiray, khabiirada Kaspersky Lab waxay awoodeen inay ka soo kabtaan qaar ka mid ah macluumaadka faylasha LOG ee meel bannaan. Xaqiiqda ugu xiisaha badan ayaa ah in weeraryahannada server-yada ay had iyo jeer beddelaan xirmada OpenSSH 4.3 ee caadiga ah nooca 5.8. Tani waxay muujin kartaa in nuglaanta aan la garanayn ee OpenSSH 4.3 loo isticmaalay in la jabsado server-yada. Dhammaan nidaamyada looma isticmaalin xarumaha taliska. Qaar ka mid ah, iyaga oo ku xukumaya khaladaadka ku jira logs sshd markii ay isku dayeen inay u jiheeyaan taraafikada dekedaha 80 iyo 443, ayaa loo isticmaalay sidii server wakiil ah si loogu xiro xarumaha taliska dhamaadka.

Taariikhaha iyo cutubyada

Dukumeenti Word ah oo la qaybiyey Abriil 2011, kaas oo ay baadhay Kaspersky Lab, waxa ku jiray darawal soo dejineed rakibe leh taariikhda la soo ururiyey Agoosto 31, 2007. Darawalka la midka ah (xajmiga - 20608 bytes, MD5 - EEDCA45BD613E0D9A9E5C69122007F17) ee dukumeenti laga helay shaybaarada CrySys wuxuu lahaa taariikhda la soo uruuriyay ee Febraayo 21, 2008. Intaa waxaa dheer, khabiirada Kaspersky Lab waxay heleen darawalka autorun rndismpc.sys (xajmiga - 19968 bytes, MD5 - 9AEC6E10C5EE9C05BED93221544C783E) taariikhda Janaayo 20, 2008. Wax ka kooban oo calaamadeysan 2009 lama helin Iyada oo ku saleysan jaangooyooyinka isku-dhafka qaybaha gaarka ah ee Duqu, horumarkeedu waxa uu dib ugu laaban karaa horraantii 2007. Muujinteeda ugu horreysa waxay la xiriirtaa ogaanshaha faylalka ku-meel-gaarka ah ee nooca ~ DO (malaha waxaa sameeyay mid ka mid ah modules-yada spyware), taariikhda abuuritaanka ee Noofembar 28, 2008 (maqaal "Duqu & Stuxnet: Jadwal dhacdooyinka xiisaha leh"). Taariikhda ugu dambaysay ee la xidhiidha Duqu waxay ahayd Feebarwari 23, 2012, oo ku jirtay rakibaha soo dejinta darawalka oo ay heshay Symantec bishii Maarso 2012.

Ilaha xogta la isticmaalay:

maqaallo taxane ah ku saabsan Duqu oo ka socda Kaspersky Lab;
Warbixinta falanqaynta ee Symantec "W32.Duqu Hordhac u ah Stuxnet xiga", nooca 1.4, Noofambar 2011 (pdf).

Source: www.habr.com

Add a comment