ProHoster > blog > habari za mtandao > Duqu - mwanasesere mbaya wa kiota

Duqu - mwanasesere mbaya wa kiota

Utangulizi

Mnamo Septemba 1, 2011, faili inayoitwa ~DN1.tmp ilitumwa kwa tovuti ya VirusTotal kutoka Hungaria. Wakati huo, faili iligunduliwa kuwa mbaya na injini mbili tu za antivirus - BitDefender na AVIRA. Hivi ndivyo hadithi ya Duqu ilivyoanza. Kuangalia mbele, ni lazima kusema kwamba familia ya Duqu malware iliitwa baada ya jina la faili hii. Walakini, faili hii ni moduli inayojitegemea kabisa ya spyware na kazi za keylogger, iliyosanikishwa, labda, kwa kutumia kiboreshaji cha upakuaji mbaya, na inaweza kuzingatiwa tu kama "mzigo wa malipo" uliopakiwa na programu hasidi ya Duqu wakati wa operesheni yake, na sio kama sehemu. moduli) ya Duqu . Moja ya vifaa vya Duqu ilitumwa kwa huduma ya Virustotal mnamo Septemba 9 tu. Kipengele chake cha kipekee ni kiendeshi kilichotiwa saini kidijitali na C-Media. Wataalam wengine mara moja walianza kuchora analogi na mfano mwingine maarufu wa programu hasidi - Stuxnet, ambayo pia ilitumia madereva yaliyosainiwa. Jumla ya idadi ya kompyuta zilizoambukizwa na Duqu zilizogunduliwa na makampuni mbalimbali ya antivirus duniani kote iko katika kadhaa. Kampuni nyingi zinadai kuwa Iran ndio lengo kuu tena, lakini kwa kuzingatia usambazaji wa kijiografia wa maambukizo, hii haiwezi kusemwa kwa uhakika.
Duqu - mwanasesere mbaya wa kiota
Katika kesi hii, unapaswa kuzungumza kwa ujasiri tu juu ya kampuni nyingine iliyo na neno jipya APT (tishio la juu la kuendelea).

Utaratibu wa utekelezaji wa mfumo

Uchunguzi uliofanywa na wataalamu kutoka shirika la Hungary CrySyS (Maabara ya Kihungari ya Cryptography na Usalama wa Mfumo katika Chuo Kikuu cha Teknolojia na Uchumi cha Budapest) ulisababisha kugunduliwa kwa kisakinishi (dropper) ambayo mfumo huo uliambukizwa. Ilikuwa ni faili ya Microsoft Word iliyo na matumizi kwa ajili ya kuathiriwa kwa kiendesha win32k.sys (MS11-087, iliyofafanuliwa na Microsoft mnamo Novemba 13, 2011), ambayo inawajibika kwa utaratibu wa utoaji wa fonti ya TTF. Msimbo wa shell wa matumizi hutumia fonti iitwayo 'Dexter Regular' iliyopachikwa kwenye hati, na Showtime Inc. imeorodheshwa kama waundaji wa fonti. Kama unavyoona, waundaji wa Duqu sio wageni kwa hali ya ucheshi: Dexter ni muuaji wa serial, shujaa wa safu ya runinga ya jina moja, iliyotolewa na Showtime. Dexter huua tu (ikiwezekana) wahalifu, yaani, anavunja sheria kwa jina la uhalali. Pengine, kwa njia hii, watengenezaji wa Duqu ni kejeli kwamba wanajihusisha na shughuli haramu kwa madhumuni mazuri. Kutuma barua pepe kulifanyika kwa makusudi. Usafirishaji una uwezekano mkubwa ulitumia kompyuta zilizoathiriwa (zilizodukuliwa) kama mpatanishi ili kufanya ufuatiliaji kuwa mgumu.
Kwa hivyo hati ya Neno ilikuwa na sehemu zifuatazo:

  • maudhui ya maandishi;
  • font iliyojengwa;
  • kutumia shellcode;
  • dereva;
  • kisakinishi (maktaba ya DLL).

Ikifaulu, msimbo wa kutumia shell ulifanya shughuli zifuatazo (katika hali ya kernel):

  • ukaguzi wa kuambukizwa tena ulifanyika; kwa hili, uwepo wa ufunguo wa 'CF4D' ulikaguliwa kwenye sajili kwa anwani 'HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZones1'; ikiwa hii ilikuwa sahihi, msimbo wa shell ulikamilisha utekelezaji wake;
  • faili mbili zilifutwa - dereva (sys) na kisakinishi (dll);
  • dereva aliingizwa kwenye mchakato wa services.exe na kuzindua kisakinishi;
  • Mwishowe, msimbo wa ganda ulijifuta na sufuri kwenye kumbukumbu.

Kutokana na ukweli kwamba win32k.sys inatekelezwa kwa niaba ya 'Mfumo' wa mtumiaji aliyebahatika, wasanidi programu wa Duqu wametatua kwa umaridadi tatizo la uzinduzi usioidhinishwa na upanuzi wa haki (zinazoendeshwa chini ya akaunti ya mtumiaji yenye haki chache).
Baada ya kupokea udhibiti, kisakinishi kilitenganisha vizuizi vitatu vya data iliyomo ndani yake kwenye kumbukumbu, iliyo na:

  • dereva aliyesainiwa (sys);
  • moduli kuu (dll);
  • data ya usanidi wa kisakinishi (pnf).

Masafa ya tarehe yalibainishwa katika data ya usanidi wa kisakinishi (katika mfumo wa mihuri miwili ya muda - mwanzo na mwisho). Kisakinishi kilikagua ikiwa tarehe ya sasa ilijumuishwa ndani yake, na ikiwa sivyo, ilikamilisha utekelezaji wake. Pia katika data ya usanidi wa kisakinishi kulikuwa na majina ambayo dereva na moduli kuu zilihifadhiwa. Katika kesi hii, moduli kuu ilihifadhiwa kwenye diski katika fomu iliyosimbwa.

Duqu - mwanasesere mbaya wa kiota

Ili kuanzisha Duqu kiotomatiki, huduma iliundwa kwa kutumia faili ya kiendeshi ambayo ilisimbua moduli kuu kwenye nzi kwa kutumia funguo zilizohifadhiwa kwenye Usajili. Moduli kuu ina kizuizi chake cha data ya usanidi. Ilipozinduliwa kwa mara ya kwanza, ilifutwa, tarehe ya ufungaji iliingizwa ndani yake, baada ya hapo ilisimbwa tena na kuokolewa na moduli kuu. Kwa hivyo, katika mfumo ulioathiriwa, juu ya usakinishaji uliofanikiwa, faili tatu zilihifadhiwa - dereva, moduli kuu na faili yake ya data ya usanidi, wakati faili mbili za mwisho zilihifadhiwa kwenye diski katika fomu iliyosimbwa. Taratibu zote za kusimbua zilifanywa kwa kumbukumbu tu. Utaratibu huu tata wa ufungaji ulitumiwa ili kupunguza uwezekano wa kugunduliwa na programu ya antivirus.

Moduli kuu

Moduli kuu (rasilimali 302), kulingana na habari kampuni ya Kaspersky Lab, iliyoandikwa kwa kutumia MSVC 2008 katika C safi, lakini kwa kutumia mbinu inayolenga kitu. Mbinu hii haina tabia wakati wa kuunda msimbo hasidi. Kama sheria, nambari kama hiyo imeandikwa kwa C ili kupunguza saizi na kuondoa simu zisizo wazi katika C++. Kuna symbiosis fulani hapa. Zaidi ya hayo, usanifu unaoendeshwa na tukio ulitumiwa. Wafanyikazi wa Kaspersky Lab wana mwelekeo wa nadharia kwamba moduli kuu iliandikwa kwa kutumia programu-jalizi ya kichakataji ambayo hukuruhusu kuandika nambari ya C kwa mtindo wa kitu.
Moduli kuu inawajibika kwa utaratibu wa kupokea amri kutoka kwa waendeshaji. Duqu hutoa njia kadhaa za mwingiliano: kutumia itifaki za HTTP na HTTPS, na pia kutumia bomba zilizopewa jina. Kwa HTTP(S), majina ya kikoa ya vituo vya amri yalibainishwa, na uwezo wa kufanya kazi kupitia seva ya wakala ulitolewa - jina la mtumiaji na nenosiri zilibainishwa kwao. Anwani ya IP na jina lake zimebainishwa kwa kituo. Data iliyobainishwa imehifadhiwa katika kizuizi kikuu cha data ya usanidi wa moduli (katika fomu iliyosimbwa).
Ili kutumia mabomba yaliyotajwa, tulizindua utekelezaji wetu wa seva ya RPC. Ilisaidia kazi saba zifuatazo:

  • rudisha toleo lililosanikishwa;
  • ingiza dll katika mchakato maalum na piga kazi maalum;
  • mzigo dll;
  • anza mchakato kwa kupiga CreateProcess();
  • soma yaliyomo kwenye faili iliyopewa;
  • andika data kwa faili maalum;
  • kufuta faili maalum.

Mabomba yaliyopewa jina yanaweza kutumika ndani ya mtandao wa ndani ili kusambaza moduli zilizosasishwa na data ya usanidi kati ya kompyuta zilizoambukizwa na Duqu. Kwa kuongezea, Duqu inaweza kufanya kama seva ya proksi kwa kompyuta zingine zilizoambukizwa (ambazo hazikuwa na ufikiaji wa Mtandao kwa sababu ya mipangilio ya ngome kwenye lango). Baadhi ya matoleo ya Duqu hayakuwa na utendakazi wa RPC.

Inajulikana "mizigo"

Symantec iligundua angalau aina nne za mizigo iliyopakuliwa chini ya amri kutoka kwa kituo cha udhibiti cha Duqu.
Kwa kuongezea, ni mmoja tu kati yao aliyekaa na kukusanywa kama faili inayoweza kutekelezwa (exe), ambayo ilihifadhiwa kwenye diski. Tatu zilizobaki zilitekelezwa kama maktaba za dll. Walipakiwa kwa nguvu na kutekelezwa kwenye kumbukumbu bila kuhifadhiwa kwenye diski.

"Mzigo" wa mkazi ulikuwa moduli ya kijasusi (infostealer) na vitendaji vya keylogger. Ilikuwa kwa kuituma kwa VirusTotal ambapo kazi ya utafiti wa Duqu ilianza. Utendaji kuu wa kupeleleza ulikuwa kwenye rasilimali, kilobytes 8 za kwanza ambazo zilikuwa na sehemu ya picha ya gala NGC 6745 (ya kuficha). Ikumbukwe hapa kwamba mnamo Aprili 2012, baadhi ya vyombo vya habari vilichapisha habari (http://www.mehrnews.com/en/newsdetail.aspx?NewsID=1297506) kwamba Iran ilifichuliwa na programu hasidi ya "Stars", huku maelezo ya tukio hilo halikuwekwa wazi. Labda ilikuwa tu sampuli kama hiyo ya "pakiaji" ya Duqu ambayo iligunduliwa wakati huo huko Irani, kwa hivyo jina "Nyota".
Moduli ya kijasusi ilikusanya taarifa zifuatazo:

  • orodha ya michakato inayoendesha, habari kuhusu mtumiaji wa sasa na kikoa;
  • orodha ya anatoa mantiki, ikiwa ni pamoja na anatoa mtandao;
  • picha za skrini;
  • anwani za interface ya mtandao, meza za uelekezaji;
  • faili ya logi ya vibonye vya kibodi;
  • majina ya madirisha wazi ya programu;
  • orodha ya rasilimali zilizopo za mtandao (rasilimali za kugawana);
  • orodha kamili ya faili kwenye diski zote, ikiwa ni pamoja na zinazoweza kutolewa;
  • orodha ya kompyuta katika "mazingira ya mtandao".

Moduli nyingine ya kupeleleza (infostealer) ilikuwa tofauti ya yale ambayo tayari yameelezewa, lakini yaliyotungwa kama maktaba ya dll; utendakazi wa kirekodi habari, kuandaa orodha ya faili na kuorodhesha kompyuta zilizojumuishwa kwenye kikoa ziliondolewa kutoka kwayo.
Moduli inayofuata (upelelezi) taarifa za mfumo zilizokusanywa:

  • ikiwa kompyuta ni sehemu ya kikoa;
  • njia za saraka za mfumo wa Windows;
  • toleo la mfumo wa uendeshaji;
  • jina la mtumiaji wa sasa;
  • orodha ya adapta za mtandao;
  • mfumo na wakati wa ndani, pamoja na eneo la saa.

Moduli ya mwisho (kuongeza muda wa maisha) ilitekeleza kazi ya kuongeza thamani (iliyohifadhiwa kwenye faili kuu ya data ya usanidi wa moduli) ya idadi ya siku zilizobaki hadi kazi ikamilike. Kwa chaguomsingi, thamani hii iliwekwa kuwa siku 30 au 36 kulingana na urekebishaji wa Duqu, na ilipungua kwa moja kila siku.

Vituo vya amri

Mnamo Oktoba 20, 2011 (siku tatu baada ya habari kuhusu ugunduzi huo kusambazwa), waendeshaji wa Duqu walifanya utaratibu wa kuharibu athari za utendaji wa vituo vya amri. Vituo vya amri vilipatikana kwenye seva zilizodukuliwa kote ulimwenguni - huko Vietnam, India, Ujerumani, Singapore, Uswizi, Uingereza, Uholanzi, na Korea Kusini. Jambo la kufurahisha ni kwamba, seva zote zilizotambuliwa zilikuwa zinatumia matoleo ya CentOS 5.2, 5.4 au 5.5. OS zote zilikuwa 32-bit na 64-bit. Licha ya ukweli kwamba faili zote zinazohusiana na uendeshaji wa vituo vya amri zilifutwa, wataalamu wa Kaspersky Lab waliweza kurejesha baadhi ya habari kutoka kwa faili za LOG kutoka kwa nafasi ya slack. Jambo la kufurahisha zaidi ni kwamba washambuliaji kwenye seva kila wakati walibadilisha kifurushi chaguo-msingi cha OpenSSH 4.3 na toleo la 5.8. Hii inaweza kuonyesha kwamba athari isiyojulikana katika OpenSSH 4.3 ilitumiwa kudukua seva. Sio mifumo yote iliyotumiwa kama vituo vya amri. Baadhi, kwa kuzingatia hitilafu katika kumbukumbu za sshd wakati wa kujaribu kuelekeza upya trafiki kwa bandari 80 na 443, zilitumika kama seva mbadala kuunganisha kwenye vituo vya amri ya mwisho.

Tarehe na moduli

Hati ya Neno iliyosambazwa mnamo Aprili 2011, ambayo ilichunguzwa na Kaspersky Lab, ilikuwa na kiendeshaji cha upakuaji wa kisakinishi chenye tarehe ya mkusanyiko wa Agosti 31, 2007. Dereva sawa (ukubwa - 20608 byte, MD5 - EEDCA45BD613E0D9A9E5C69122007F17) katika hati iliyopatikana katika maabara ya CrySys ilikuwa na tarehe ya kukusanywa ya Februari 21, 2008. Kwa kuongeza, wataalam wa Kaspersky Lab walipata dereva wa autorun rndismpc.sys (ukubwa - 19968 bytes, MD5 - 9AEC6E10C5EE9C05BED93221544C783E) na tarehe 20 Januari 2008. Hakuna vipengele vilivyowekwa alama 2009 vilivyopatikana. Kulingana na alama za nyakati za ujumuishaji wa sehemu mahususi za Duqu, uundwaji wake unaweza kuanza mapema 2007. Udhihirisho wake wa kwanza unahusishwa na ugunduzi wa faili za muda za aina ~DO (labda iliyoundwa na moduli za spyware), tarehe ya uundaji ambayo ni Novemba 28, 2008 (makala "Duqu & Stuxnet: Rekodi ya Matukio ya Kuvutia"). Tarehe ya hivi majuzi zaidi inayohusishwa na Duqu ilikuwa Februari 23, 2012, iliyo katika kiendeshaji cha kupakua kisakinishi kilichogunduliwa na Symantec Machi 2012.

Vyanzo vya habari vilivyotumika:

mfululizo wa makala kuhusu Duqu kutoka Kaspersky Lab;
Ripoti ya uchambuzi ya Symantec "W32.Duqu Mtangulizi wa Stuxnet inayofuata", toleo la 1.4, Novemba 2011 (pdf).

Chanzo: mapenzi.com

Kuongeza maoni