ProHoster > Blog > litaba tsa inthanete > Duqu - popi e mpe ea sehlaha

Duqu - popi e mpe ea sehlaha

Selelekela

Ka la 1 Loetse 2011, faele e bitsoang ~DN1.tmp e ile ea romelloa ho tsoa Hungary ho ea webosaeteng ea VirusTotal. Ka nako eo, faele e ile ea fumanoa e le kotsi ke lienjineri tse peli feela tsa antivirus - BitDefender le AVIRA. Ke kamoo pale ea Duqu e qalileng kateng. Ha re sheba pele, ho tlameha ho boleloa hore lelapa la Duqu malware le reheletsoe ka lebitso la faele ena. Leha ho le joalo, faele ena ke mochine o ikemetseng oa spyware o nang le mesebetsi ea keylogger, e kentsoeng, mohlomong, e sebelisa "downloader-dropper" e kotsi, 'me e ka nkoa e le "payload" e laetsoeng ke Duqu malware nakong ea ts'ebetso ea eona, eseng e le karolo ( module) ea Duqu. E 'ngoe ea likarolo tsa Duqu e rometsoe ts'ebeletso ea Virustotal feela ka la 9 Loetse. Karolo ea eona e ikhethang ke mokhanni ea saenneng ka mokhoa oa dijithale ke C-Media. Litsebi tse ling hang-hang li ile tsa qala ho etsa li-analogies le mohlala o mong o tummeng oa malware - Stuxnet, e neng e boetse e sebelisa bakhanni ba saenneng. Palo eohle ea likhomphutha tse nang le ts'oaetso ea Duqu tse fumanoeng ke lik'hamphani tse fapaneng tsa antivirus lefatšeng ka bophara li ngata. Lik'hamphani tse ngata li re Iran ke eona sepheo se ka sehloohong, empa ho latela kabo ea ts'oaetso ea libaka, sena se ke ke sa boleloa ka 'nete.
Duqu - popi e mpe ea sehlaha
Tabeng ena, o lokela ho bua ka kholiseho feela ka k'hamphani e 'ngoe e nang le lentsoe le lecha APT (tšokelo e tsoelang pele e phehellang).

Mokhoa oa ho kenya tsamaiso

Patlisiso e entsoeng ke litsebi tse tsoang mokhatlong oa Hungary oa CrySyS (Laboratori ea Hungarian ea Cryptography le System Security Univesithing ea Budapest ea Theknoloji le Economics) e lebisitse ho sibolloeng ha sehlomathisi (dropper) eo sistimi e neng e tšoaelitsoe ka eona. E ne e le faele ea Microsoft Word e nang le ts'ebeliso ea ts'oaetso ea mokhanni oa win32k.sys (MS11-087, e hlalositsoeng ke Microsoft ka la 13 Pulungoana 2011), e ikarabellang bakeng sa mokhoa oa ho fana ka fonte ea TTF. Shellcode ea exploit e sebelisa fonte e bitsoang 'Dexter Regular' e kentsoeng tokomaneng, 'me Showtime Inc. e thathamisitsoe e le moetsi oa mongolo. Joalokaha u ka bona, baetsi ba Duqu ke batho ba sa tsebeng letho ka metlae: Dexter ke 'molai oa serial, mohale oa letoto la lithelevishene tsa lebitso le tšoanang, le hlahisoang ke Showtime. Dexter o bolaea feela (haeba ho khoneha) linokoane, ke hore, o tlōla molao ka lebitso la molao. Mohlomong, ka tsela ena, baetsi ba Duqu baa makatsa hore ebe ba etsa mesebetsi e seng molaong ka sepheo se setle. Ho romela mangolo-tsoibila ho entsoe ka morero. Ho ka etsahala hore ebe thomello e ne e sebelisa likhomphutha tse senyehileng (tse utsoitsoeng) joalo ka mokena-lipakeng ho etsa hore ho be thata ho latela.
Ka hona tokomane ea Word e ne e na le likarolo tse latelang:

  • litaba tsa mongolo;
  • fonte e hahiloeng ka hare;
  • sebelisa shellcode;
  • mokhanni;
  • sesebelisoa (laebrari ea DLL).

Haeba e atlehile, tšebeliso ea shellcode e entse ts'ebetso e latelang (ka mokhoa oa kernel):

  • Ho ile ha etsoa cheke bakeng sa ho tšoaetsoa hape; bakeng sa sena, boteng ba senotlolo sa 'CF4D' bo ile ba hlahlojoa ka har'a registry atereseng ea 'HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZones1'; haeba sena se ne se nepahetse, shellcode e phethetse ts'ebetso ea eona;
  • lifaele tse peli li ile tsa hlakoloa - mokhanni (sys) le installer (dll);
  • mokhanni o ile a kenngoa ts'ebetsong ea services.exe 'me a qala mochine;
  • Qetellong, shellcode e ile ea itlhakola ka li-zero mohopolong.

Ka lebaka la hore win32k.sys e etsoa tlas'a 'Sisteme' ea mosebelisi ea lehlohonolo, bahlahisi ba Duqu ba rarollotse bothata ba ho qala ho sa lumelloeng le ho eketseha ha litokelo (ho sebetsa tlasa akhaonto ea mosebelisi e nang le litokelo tse lekanyelitsoeng).
Kamora ho fumana taolo, sets'oants'o se ile sa hlakola li-block tse tharo tsa data tse ka har'a eona mohopolong, tse nang le:

  • mokhanni ea saenneng (sys);
  • mojule oa mantlha (dll);
  • data ea tlhophiso ea sesebelisoa (pnf).

Lenane la matsatsi le hlalositsoe ho data ea tlhophiso ea motho ea kenyang (ka mokhoa oa litempe tsa linako tse peli - qala le ho qetela). Mofani o ile a hlahloba hore na letsatsi la hona joale le kenyelelitsoe ho eona, 'me haeba ho se joalo, e phethetse ts'ebetso ea eona. Hape ka har'a data ea tlhophiso ea li-installer ho ne ho e-na le mabitso ao mokhanni le module e kholo li bolokiloeng tlas'a eona. Tabeng ena, mojule oa mantlha o bolokiloe ho disk ka mokhoa o patiloeng.

Duqu - popi e mpe ea sehlaha

Ho qala Duqu ka boits'oaro, ts'ebeletso e entsoe ho sebelisoa faele ea mokhanni e kentseng mojule oa mantlha ho fofa ho sebelisa linotlolo tse bolokiloeng ho ngolisoeng. Mojule oa mantlha o na le block ea data ea tlhophiso. Ha e qala ho qalisoa, e ile ea hlakoloa, letsatsi la ho kenya le kenngoa ho eona, ka mor'a moo e ile ea ngoloa hape 'me ea bolokoa ke module ea sehlooho. Ka hona, tsamaisong e amehileng, ha ho kenngoa ka katleho, lifaele tse tharo li ile tsa bolokoa - mokhanni, mochine o ka sehloohong le faele ea data ea tlhophiso, ha lifaele tse peli tsa ho qetela li bolokiloe ho disk ka mokhoa o patiloeng. Mekhoa eohle ea ho khetholla e ne e etsoa ka mohopolo feela. Mokhoa ona o rarahaneng oa ho kenya o ne o sebelisetsoa ho fokotsa monyetla oa ho fumanoa ke software ea antivirus.

Mojule oa mantlha

Mojule oa mantlha (mohloli oa 302), ho latela lesedi khamphani ea Kaspersky Lab, e ngotsoeng e sebelisa MSVC 2008 ka C e hloekileng, empa e sebelisa mokhoa o shebaneng le ntho. Mokhoa ona ha o na sebopeho ha o hlahisa khoutu e kotsi. Joalo ka molao, khoutu e joalo e ngotsoe ho C ho fokotsa boholo le ho tlosa mehala e kenelletseng ho C ++. Ho na le symbiosis e itseng mona. Ho feta moo, ho ile ha sebelisoa moralo o tsamaisoang ke liketsahalo. Basebetsi ba Kaspersky Lab ba sekametse khopolong ea hore mojule o ka sehloohong o ngotsoe ho sebelisoa kenyelletso ea pele ho processor e u lumellang ho ngola khoutu ea C ka mokhoa oa ntho.
Module o ka sehloohong o ikarabella bakeng sa ts'ebetso ea ho amohela litaelo ho tsoa ho basebelisi. Duqu e fana ka mekhoa e mengata ea tšebelisano: ho sebelisa liprothokholo tsa HTTP le HTTPS, hammoho le ho sebelisa lipeipi tse bitsoang. Bakeng sa HTTP(S), mabitso a marang-rang a litsi tsa litaelo a ne a hlalositsoe, mme bokhoni ba ho sebetsa ka seva sa proxy bo fanoe - lebitso la mosebedisi le password li ne li hlalositsoe bakeng sa bona. Aterese ea IP le lebitso la eona li hlalositsoe bakeng sa mocha. Lintlha tse boletsoeng li bolokiloe ka har'a "data" ea "module" ea mantlha (ka mokhoa o patiloeng).
Ho sebelisa lipeipi tse nang le mabitso, re ile ra qala ts'ebetsong ea rona ea seva ea RPC. E ne e tšehetsa mesebetsi e supileng e latelang:

  • khutlisetsa mofuta o kentsoeng;
  • kenya dll ts'ebetsong e boletsoeng ebe o bitsa mosebetsi o boletsoeng;
  • laela dll;
  • qala ts'ebetso ka ho letsetsa CreateProcess();
  • bala dikahare tsa faele e fanoeng;
  • ngola data ho faele e boletsoeng;
  • hlakola faele e boletsoeng.

Liphaephe tse bitsoang li ka sebelisoa ka har'a marang-rang a lehae ho tsamaisa li-module tse ntlafalitsoeng le data ea tlhophiso lipakeng tsa likhomphutha tse nang le ts'oaetso ea Duqu. Ho phaella moo, Duqu e ne e ka sebetsa e le seva sa proxy bakeng sa lik'homphieutha tse ling tse nang le tšoaetso (tse neng li sa khone ho kena Inthaneteng ka lebaka la litlhophiso tsa firewall hekeng). Liphetolelo tse ling tsa Duqu li ne li se na tšebetso ea RPC.

Tse tsebahalang "payloads"

Symantec e sibollotse bonyane mefuta e mene ea litefiso tse jarollotsoeng tlasa taelo ho tsoa setsing sa taolo sa Duqu.
Ho feta moo, ke a le mong feela oa bona ea neng a lula teng 'me a hlophisitsoe e le faele e sebetsang (exe), e bolokiloeng ho disk. Tse tharo tse setseng li ile tsa kengoa tšebetsong e le lilaeborari tsa dll. Li ne li laeloa ka matla 'me li etsoa mohopolong ntle le ho bolokoa ho disk.

"Mojaro" oa moahi e ne e le mojule oa lihloela (infostealer) ka mesebetsi ea keylogger. E bile ka ho e romela ho VirusTotal moo mosebetsi oa lipatlisiso tsa Duqu o qalileng. Ts'ebetso ea mantlha ea lihloela e ne e le mohloling, li-kilobyte tse 8 tsa pele tse neng li e-na le karolo ea setšoantšo sa sehlopha sa linaleli sa NGC 6745 (bakeng sa ho ipata). Ho lokela ho hopoloa mona hore ka Mmesa 2012, mecha e meng ea litaba e phatlalalitse tlhahisoleseling (http://www.mehrnews.com/en/newsdetail.aspx?NewsID=1297506) hore Iran e ile ea pepesetsoa "Stars" software e mpe, ha lintlha tsa ketsahalo ha ea ka ea senoloa. Mohlomong e ne e le mohlala o joalo oa "payload" ea Duqu e ileng ea fumanoa ka nako eo Iran, ka hona lebitso "Linaleli".
Mojule oa lihloela o bokelletse lintlha tse latelang:

  • lethathamo la lits'ebetso tse sebetsang, tlhahisoleseling mabapi le mosebelisi oa hajoale le sebaka sa marang-rang;
  • lethathamo la li-drive tse utloahalang, ho kenyelletsa le li-drive tsa marang-rang;
  • skrini;
  • liaterese tsa marang-rang, litafole tsa litsela;
  • faele ea log ea likonopo tsa keyboard;
  • mabitso a lifensetere tse bulehileng tsa kopo;
  • lethathamo la lisebelisoa tsa marang-rang tse fumanehang (ho arolelana lisebelisoa);
  • lenane le felletseng la lifaele ho li-disk tsohle, ho kenyeletsoa le tse ka tlosoang;
  • lenane la likhomphutha sebakeng sa "network environment".

Mojule o mong oa lihloela (infostealer) e ne e le phapang ea se neng se se se hlalositsoe, empa se hlophisitsoe e le laebrari ea dll; mesebetsi ea keylogger, ho bokella lethathamo la lifaele le ho thathamisa lik'homphieutha tse kenyelelitsoeng sebakeng sa marang-rang li ile tsa tlosoa ho eona.
Mojule o latelang (kamohelo) boitsebiso bo bokelitsoeng ba tsamaiso:

  • hore na komporo ke karolo ea sebaka sa marang-rang;
  • litsela tsa ho litsamaiso tsa tsamaiso ea Windows;
  • mofuta oa sistimi e sebetsang;
  • lebitso la hajoale la mosebelisi;
  • lethathamo la li-adapter tsa marang-rang;
  • tsamaiso le nako ea sebaka, hammoho le sebaka sa nako.

Mojule oa ho qetela (bolelele ba bophelo) e kentse ts'ebetso ea ho eketsa boleng (e bolokiloeng faeleng ea data ea tlhophiso ea module) ea palo ea matsatsi a setseng ho fihlela mosebetsi o phetheloa. Ka tloaelo, boleng bona bo ne bo behiloe ho matsatsi a 30 kapa a 36 ho latela phetoho ea Duqu, 'me bo fokotsehile ka letsatsi le le leng.

Litsi tsa litaelo

Ka la 20 October, 2011 (matsatsi a mararo ka mor'a hore tlhahisoleseding e mabapi le ho sibolloa e phatlalatsoe), basebetsi ba Duqu ba ile ba etsa mokhoa oa ho senya mekhoa ea ts'ebetso ea litsi tsa litaelo. Litsi tsa litaelo li ne li le ho li-server tse utsoitsoeng lefatšeng ka bophara - Vietnam, India, Jeremane, Singapore, Switzerland, Great Britain, Holland le Korea Boroa. Ho khahlisang, li-server tsohle tse khethiloeng li ne li sebelisa mefuta ea CentOS 5.2, 5.4 kapa 5.5. Li-OS li ne li le 32-bit le 64-bit. Ho sa tsotellehe taba ea hore lifaele tsohle tse amanang le ts'ebetso ea litsi tsa litaelo li ile tsa hlakoloa, litsebi tsa Kaspersky Lab li ile tsa khona ho fumana boitsebiso bo bong ho tsoa lifaeleng tsa LOG sebakeng se fokolang. Taba e khahlisang haholo ke hore bahlaseli ba li-server ba ne ba lula ba nkela sebaka sa kamehla sa OpenSSH 4.3 sebaka ka mofuta oa 5.8. Sena se ka bonts'a hore ts'oaetso e sa tsejoeng ho OpenSSH 4.3 e sebelisitsoe ho senya li-server. Ha se litsamaiso tsohle tse neng li sebelisoa e le litsi tsa litaelo. Ba bang, ho ahlola ka liphoso tsa sshd logs ha ba leka ho tsamaisa sephethephethe bakeng sa li-port 80 le 443, ba ne ba sebelisoa e le seva sa proxy ho hokahanya le litsi tsa taelo ea ho qetela.

Matsatsi le li-module

Tokomane ea Lentsoe e phatlalalitsoeng ka Mmesa 2011, e ileng ea hlahlojoa ke Kaspersky Lab, e ne e e-na le mokhanni oa download e kenyang letsatsi la ho kopanya la la 31 Phato 2007. Mokhanni ea ts'oanang (boholo - 20608 bytes, MD5 - EEDCA45BD613E0D9A9E5C69122007F17) tokomaneng e fumanoeng lilaboratoring tsa CrySys e na le letsatsi la ho kopanya la 21 Hlakola 2008. Ntle le moo, litsebi tsa Kaspersky Lab li fumane mokhanni oa autorun rndismpc.sys (boholo - 19968 bytes, MD5 - 9AEC6E10C5EE9C05BED93221544C783E) ka letsatsi la la 20 Pherekhong 2008. Ha ho likarolo tse tšoailoeng 2009 tse fumanoeng. Ho ipapisitsoe le litempe tsa linako tsa ho bokelloa ha likarolo tse ikemetseng tsa Duqu, nts'etsopele ea eona e ka qala ho tloha qalong ea 2007. Ponahatso ea eona ea pele e amahanngoa le ho fumanoa ha lifaele tsa nakoana tsa mofuta ~ DO (mohlomong e entsoe ke e 'ngoe ea li-module tsa spyware), letsatsi la pōpo e leng la 28 November, 2008.sehlooho "Duqu & Stuxnet: Nako ea Liketsahalo Tse Khahlehang"). Letsatsi la morao-rao le amanang le Duqu e ne e le la 23 Hlakola, 2012, le neng le le ho mokhanni oa ho jarolla sehokelo se fumanoeng ke Symantec ka Hlakubele 2012.

Mehloli ea lintlha tse sebelisitsoeng:

letoto la lihlooho mabapi le Duqu ho tloha Kaspersky Lab;
Symantec tlaleho ea tlhahlobo "W32.Duqu Selelekela sa Stuxnet e latelang", phetolelo ea 1.4, November 2011 (pdf).

Source: www.habr.com

Eketsa ka tlhaloso