அறிமுகம்
செப்டம்பர் 1, 2011 அன்று, ~DN1.tmp என்ற கோப்பு ஹங்கேரியிலிருந்து VirusTotal-க்கு சமர்ப்பிக்கப்பட்டது. அந்த நேரத்தில், இந்தக் கோப்பு BitDefender மற்றும் AVIRA ஆகிய இரண்டு வைரஸ் தடுப்பு இயந்திரங்களால் மட்டுமே தீங்கிழைக்கும் என்று கண்டறியப்பட்டது. இவ்வாறு Duqu கதை தொடங்கியது. எதிர்காலத்தில், Duqu தீம்பொருள் குடும்பம் இந்தக் கோப்பின் பெயரிடப்பட்டது என்பதைக் கவனத்தில் கொள்ள வேண்டும். இருப்பினும், இந்தக் கோப்பு கீலாக்கிங் செயல்பாட்டைக் கொண்ட முற்றிலும் சுயாதீனமான ஸ்பைவேர் தொகுதி ஆகும், இது தீங்கிழைக்கும் பதிவிறக்கி-டிராப்பர் வழியாக நிறுவப்பட்டிருக்கலாம், மேலும் Duqu தீம்பொருளால் அதன் செயல்பாட்டின் போது பதிவிறக்கம் செய்யப்பட்ட "பேலோட்" என்று மட்டுமே கருத முடியும், Duqu இன் ஒருங்கிணைந்த பகுதி (தொகுதி) அல்ல. Duqu கூறுகளில் ஒன்று செப்டம்பர் 9 அன்று மட்டுமே VirusTotal-க்கு சமர்ப்பிக்கப்பட்டது. அதன் தனித்துவமான அம்சம் C-Media ஆல் டிஜிட்டல் முறையில் கையொப்பமிடப்பட்ட இயக்கி. சில வல்லுநர்கள் உடனடியாக மற்றொரு மோசமான தீம்பொருள் மாதிரியான Stuxnet உடன் ஒப்பிட்டுப் பார்க்கத் தொடங்கினர், இது கையொப்பமிடப்பட்ட இயக்கிகளையும் பயன்படுத்தியது. உலகெங்கிலும் உள்ள பல்வேறு வைரஸ் தடுப்பு நிறுவனங்களால் கண்டறியப்பட்ட Duqu-பாதிக்கப்பட்ட கணினிகளின் மொத்த எண்ணிக்கை டஜன் கணக்கில் உள்ளது. பல நிறுவனங்கள் ஈரான் மீண்டும் முதன்மை இலக்காக இருப்பதாகக் கூறுகின்றன, ஆனால் தொற்றுநோய்களின் புவியியல் பரவலைக் கருத்தில் கொண்டு, இதை உறுதிப்படுத்த முடியாது.
இந்த விஷயத்தில், ஒருவர் நம்பிக்கையுடன் மற்றொரு நிறுவனத்தைப் பற்றி மட்டுமே புதிய வார்த்தையுடன் பேச வேண்டும். (மேம்பட்ட தொடர்ச்சியான அச்சுறுத்தல்).
அமைப்பில் செயல்படுத்துவதற்கான நடைமுறை
ஹங்கேரிய அமைப்பான CrySyS (ஹங்கேரிய கிரிப்டோகிராஃபி மற்றும் சிஸ்டம் செக்யூரிட்டி லேபரேட்டரி ஆஃப் தி புடாபெஸ்ட் யுனிவர்சிட்டி ஆஃப் டெக்னாலஜி அண்ட் எகனாமிக்ஸ்) இன் நிபுணர்களால் நடத்தப்பட்ட விசாரணையில், சிஸ்டத்தை பாதிக்கப் பயன்படுத்தப்படும் இன்ஸ்டாலர் (டிராப்பர்) கண்டுபிடிக்கப்பட்டது. இது மைக்ரோசாப்ட் வேர்டு கோப்பாகும், இது ட்விட்டர் எழுத்துரு ரெண்டரிங் பொறிமுறைக்கு பொறுப்பான win32k.sys டிரைவரில் (MS11-087, மைக்ரோசாப்ட் நவம்பர் 13, 2011 அன்று விவரித்தது) ஒரு பாதிப்புக்கான சுரண்டலைக் கொண்டுள்ளது. சுரண்டலின் சில்க் குறியீடு 'டெக்ஸ்டர் ரெகுலர்' எனப்படும் உட்பொதிக்கப்பட்ட எழுத்துருவைப் பயன்படுத்துகிறது, இது ஷோடைம் இன்க் உருவாக்கியது. பார்க்க முடியும் என, டியூக்கின் படைப்பாளர்களுக்கு நகைச்சுவை உணர்வு உள்ளது: டெக்ஸ்டர் ஒரு தொடர் கொலையாளி, அதே பெயரில் ஷோடைம் தொலைக்காட்சி தொடரின் ஹீரோ. டெக்ஸ்டர் குற்றவாளிகளை மட்டுமே கொல்கிறார் (முடிந்தவரை அவர் நீதியின் பெயரில் சட்டத்தை மீறுகிறார்), அதாவது அவர் நீதியின் பெயரில் சட்டத்தை மீறுகிறார். நல்ல நோக்கத்துடன் அவர்கள் சட்டவிரோத நடவடிக்கையில் ஈடுபடுகிறார்கள் என்று டியூக் முரண்பாடாகக் கூறும் வழி இதுவாக இருக்கலாம். மின்னஞ்சல்கள் வேண்டுமென்றே அனுப்பப்பட்டன, கண்காணிப்பைத் தடுக்க இடைத்தரகர்களாக சமரசம் செய்யப்பட்ட (ஹேக் செய்யப்பட்ட) கணினிகளைப் பயன்படுத்தியிருக்கலாம்.
இவ்வாறு வேர்டு ஆவணம் பின்வரும் கூறுகளைக் கொண்டிருந்தது:
- உரை உள்ளடக்கம்;
- உட்பொதிக்கப்பட்ட எழுத்துரு;
- ஷெல்கோடைப் பயன்படுத்திக் கொள்ளுங்கள்;
- ஓட்டுநர்;
- நிறுவி (DLL நூலகம்).
வெற்றிகரமாக செயல்படுத்தப்பட்டால், சுரண்டல் ஷெல் குறியீடு பின்வரும் செயல்பாடுகளைச் செய்தது (கர்னல் பயன்முறையில்):
- மீண்டும் தொற்று ஏற்பட்டதற்கான சோதனை செய்யப்பட்டது; இதற்காக, 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones4' என்ற முகவரியில் பதிவேட்டில் 'CF1D' விசையின் இருப்பு சரிபார்க்கப்பட்டது; இது உண்மையாக இருந்தால், ஷெல் குறியீடு அதன் செயல்பாட்டை நிறுத்தியது;
- இரண்டு கோப்புகள் மறைகுறியாக்கப்பட்டன - இயக்கி (sys) மற்றும் நிறுவி (dll);
- இயக்கி services.exe செயல்பாட்டில் செலுத்தப்பட்டு நிறுவியைத் தொடங்கியது;
- இறுதியில், ஷெல் குறியீடு பூஜ்ஜியங்களுடன் நினைவகத்திலிருந்து தன்னை அழித்துக்கொண்டது.
சலுகை பெற்ற 'சிஸ்டம்' பயனராக win32k.sys ஐ செயல்படுத்துவதன் மூலம், Duqu இன் டெவலப்பர்கள் அங்கீகரிக்கப்படாத துவக்கம் மற்றும் சலுகை அதிகரிப்பு (வரையறுக்கப்பட்ட உரிமைகளைக் கொண்ட பயனர் கணக்கிலிருந்து இயங்குதல்) ஆகிய இரண்டின் சிக்கலையும் நேர்த்தியாகத் தீர்த்துள்ளனர்.
கட்டுப்பாட்டைப் பெற்ற பிறகு, நிறுவி அதன் நினைவகத்தில் அமைந்துள்ள மூன்று தரவுத் தொகுதிகளை மறைகுறியாக்கியது, இதில் பின்வருவன அடங்கும்:
- கையொப்பமிடப்பட்ட இயக்கி (sys);
- முக்கிய தொகுதி (dll);
- நிறுவி உள்ளமைவு தரவு (pnf).
நிறுவி உள்ளமைவுத் தரவு ஒரு தேதி வரம்பைக் குறிப்பிட்டது (இரண்டு நேர முத்திரைகளாக - ஒரு தொடக்கம் மற்றும் ஒரு முடிவு). தற்போதைய தேதி இந்த வரம்பிற்குள் வருகிறதா என்பதை நிறுவி சரிபார்த்தது; இல்லையென்றால், அது நிறுத்தப்பட்டது. நிறுவி உள்ளமைவுத் தரவு இயக்கி மற்றும் பிரதான தொகுதி சேமிக்கப்பட்ட பெயர்களையும் குறிப்பிட்டது. பிரதான தொகுதி மறைகுறியாக்கப்பட்ட வடிவத்தில் வட்டில் சேமிக்கப்பட்டது.
Duqu-வை தானாகத் தொடங்க, பதிவேட்டில் சேமிக்கப்பட்ட விசைகளைப் பயன்படுத்தி பிரதான தொகுதியை உடனடியாக மறைகுறியாக்கும் இயக்கி கோப்பைப் பயன்படுத்தி ஒரு சேவை உருவாக்கப்பட்டது. பிரதான தொகுதி அதன் சொந்த உள்ளமைவு தரவுத் தொகுதியைக் கொண்டுள்ளது. ஆரம்ப துவக்கத்தில், அது மறைகுறியாக்கப்பட்டு, நிறுவல் தேதி உள்ளிடப்பட்டது, பின்னர் அது மீண்டும் குறியாக்கம் செய்யப்பட்டு பிரதான தொகுதியால் சேமிக்கப்பட்டது. இவ்வாறு, வெற்றிகரமான நிறுவலின் போது, பாதிக்கப்பட்ட கணினியில் மூன்று கோப்புகள் சேமிக்கப்பட்டன: இயக்கி, பிரதான தொகுதி மற்றும் அதன் உள்ளமைவு தரவு கோப்பு. பிந்தைய இரண்டு கோப்புகள் வட்டில் குறியாக்கம் செய்யப்பட்டன. அனைத்து மறைகுறியாக்க நடைமுறைகளும் நினைவகத்தில் மட்டுமே செய்யப்பட்டன. வைரஸ் தடுப்பு மென்பொருளால் கண்டறிதலைக் குறைக்க இந்த சிக்கலான நிறுவல் செயல்முறை பயன்படுத்தப்பட்டது.
முக்கிய தொகுதி
முதன்மை தொகுதி (வளம் 302), ஆல் காஸ்பர்ஸ்கி ஆய்வகத்தின் தீம்பொருள் MSVC 2008 ஐப் பயன்படுத்தி தூய C இல் எழுதப்பட்டது, ஆனால் ஒரு பொருள் சார்ந்த அணுகுமுறையுடன். தீங்கிழைக்கும் குறியீடு உருவாக்கத்தில் இந்த அணுகுமுறை அசாதாரணமானது. பொதுவாக, அத்தகைய குறியீடு அளவைக் குறைத்து C++ இல் உள்ளார்ந்த மறைமுக அழைப்புகளை அகற்ற C இல் எழுதப்படுகிறது. இங்கே, ஒரு குறிப்பிட்ட கூட்டுவாழ்வு காணப்படுகிறது. மேலும், ஒரு நிகழ்வு சார்ந்த கட்டமைப்பு பயன்படுத்தப்பட்டது. காஸ்பர்ஸ்கி ஆய்வக ஊழியர்கள், C குறியீட்டை ஒரு பொருள் சார்ந்த பாணியில் எழுத அனுமதிக்கும் ஒரு முன்செயலி துணை நிரலைப் பயன்படுத்தி பிரதான தொகுதி எழுதப்பட்டது என்று நம்ப முனைகிறார்கள்.
பிரதான தொகுதி, ஆபரேட்டர்களிடமிருந்து கட்டளைகளைப் பெறுவதற்குப் பொறுப்பாகும். Duqu பல தொடர்பு முறைகளை ஆதரிக்கிறது: HTTP மற்றும் HTTPS நெறிமுறைகள், அத்துடன் பெயரிடப்பட்ட குழாய்கள். HTTP(S) க்கு, கட்டளை மையங்களின் டொமைன் பெயர்கள் குறிப்பிடப்பட்டுள்ளன, மேலும் பயனர்பெயர் மற்றும் கடவுச்சொல்லைக் குறிப்பிடுவதன் மூலம் ப்ராக்ஸி சேவையகம் மூலம் வேலை செய்வதற்கான ஏற்பாடு செய்யப்பட்டது. IP முகவரி மற்றும் குழாய் பெயர் பைப்பிற்கு குறிப்பிடப்பட்டுள்ளன. இந்தத் தரவு பிரதான தொகுதியின் உள்ளமைவு தரவுத் தொகுதியில் (குறியாக்கப்பட்ட வடிவத்தில்) சேமிக்கப்படுகிறது.
பெயரிடப்பட்ட குழாய்களைப் பயன்படுத்த, ஒரு தனிப்பயன் RPC சேவையக செயல்படுத்தல் தொடங்கப்பட்டது. இது பின்வரும் ஏழு செயல்பாடுகளை ஆதரித்தது:
- நிறுவப்பட்ட பதிப்பை மீட்டமை;
- குறிப்பிட்ட செயல்பாட்டில் ஒரு dll ஐ செலுத்தி, குறிப்பிட்ட செயல்பாட்டை அழைக்கவும்;
- dll ஐ ஏற்றவும்;
- CreateProcess() ஐ அழைப்பதன் மூலம் ஒரு செயல்முறையைத் தொடங்கவும்;
- குறிப்பிட்ட கோப்பின் உள்ளடக்கங்களைப் படிக்கவும்;
- குறிப்பிட்ட கோப்பில் தரவை எழுது;
- குறிப்பிட்ட கோப்பை நீக்கவும்.
Duqu-பாதிக்கப்பட்ட கணினிகளுக்கு இடையில் புதுப்பிக்கப்பட்ட தொகுதிகள் மற்றும் உள்ளமைவுத் தரவை விநியோகிக்க உள்ளூர் நெட்வொர்க்கிற்குள் பெயரிடப்பட்ட குழாய்களைப் பயன்படுத்தலாம். Duqu பாதிக்கப்பட்ட பிற கணினிகளுக்கு (கேட்வேயில் உள்ள ஃபயர்வால் அமைப்புகள் காரணமாக இணைய அணுகல் இல்லாத) ப்ராக்ஸி சேவையகமாகவும் செயல்பட முடியும். Duqu-வின் சில பதிப்புகளில் RPC செயல்பாடு இல்லை.
அறியப்பட்ட சுமைகள்
டியூக் கட்டளை மையத்திலிருந்து கட்டளை மூலம் பதிவிறக்கம் செய்யப்பட்ட குறைந்தது நான்கு வகையான பேலோடுகளை சைமென்டெக் கண்டுபிடித்தது.
அவற்றில் ஒன்று மட்டுமே உள்ளமைக்கப்பட்டு, வட்டில் சேமிக்கப்பட்ட ஒரு செயல்படுத்தக்கூடிய கோப்பாக (.exe) தொகுக்கப்பட்டது. மற்ற மூன்றும் DLL நூலகங்களாக செயல்படுத்தப்பட்டன. அவை மாறும் வகையில் ஏற்றப்பட்டு வட்டில் சேமிக்கப்படாமல் நினைவகத்தில் செயல்படுத்தப்பட்டன.
குடியிருப்பாளர் "பேலோட்" ஒரு உளவு தொகுதி (infostealer) கீலாக்கிங் செயல்பாட்டுடன். அதை வைரஸ் டோட்டலுக்கு அனுப்புவதன் மூலம்தான் டுக் விசாரணை தொடங்கியது. முதன்மை ஸ்பைவேர் செயல்பாடு ஒரு வளத்தில் இருந்தது, அதில் முதல் 8 கிலோபைட்டுகள் NGC 6745 விண்மீனின் பகுதி புகைப்படம் (மறைப்புக்காக) கொண்டிருந்தது. ஏப்ரல் 2012 இல், சில ஊடகங்கள் (http://www.mehrnews.com/en/newsdetail.aspx?NewsID=1297506) ஈரான் "ஸ்டார்ஸ்" என்ற தீங்கிழைக்கும் நிரலுக்கு ஆளாகியுள்ளதாக செய்தி வெளியிட்டன, இருப்பினும் சம்பவம் குறித்த எந்த விவரங்களும் வெளியிடப்படவில்லை. டுக்வின் "பேலோடின்" இந்த குறிப்பிட்ட மாதிரி அந்த நேரத்தில் ஈரானில் கண்டுபிடிக்கப்பட்டிருக்கலாம், எனவே இதற்கு "ஸ்டார்ஸ்" என்று பெயர்.
உளவு தொகுதி பின்வரும் தகவல்களைச் சேகரித்தது:
- இயங்கும் செயல்முறைகளின் பட்டியல், தற்போதைய பயனர் மற்றும் டொமைன் பற்றிய தகவல்கள்;
- நெட்வொர்க் டிரைவ்கள் உட்பட தருக்க டிரைவ்களின் பட்டியல்;
- திரைக்காட்சிகள்;
- பிணைய இடைமுக முகவரிகள், ரூட்டிங் அட்டவணைகள்;
- விசைப்பலகை விசை அழுத்த பதிவு கோப்பு;
- திறந்த பயன்பாட்டு சாளரங்களின் பெயர்கள்;
- கிடைக்கக்கூடிய பிணைய வளங்களின் பட்டியல் (பகிர்வு வளங்கள்);
- நீக்கக்கூடியவை உட்பட அனைத்து வட்டுகளிலும் உள்ள கோப்புகளின் முழுமையான பட்டியல்;
- "நெட்வொர்க் சுற்றுப்புறத்தில்" உள்ள கணினிகளின் பட்டியல்.
மற்றொரு உளவு தொகுதி (infostealer) என்பது ஏற்கனவே விவரிக்கப்பட்ட ஒன்றின் மாறுபாடாகும், ஆனால் DLL நூலகமாக தொகுக்கப்பட்டது; டொமைனில் சேர்க்கப்பட்டுள்ள கீலாக்கர் செயல்பாடுகள், கோப்பு பட்டியல் மற்றும் கணினிகளின் பட்டியல் அதிலிருந்து அகற்றப்பட்டன.
அடுத்த தொகுதி (உளவு) சேகரிக்கப்பட்ட கணினி தகவல்:
- கணினி ஒரு டொமைனின் ஒரு பகுதியாக உள்ளதா;
- விண்டோஸ் சிஸ்டம் டைரக்டரிகளுக்கான பாதைகள்;
- இயக்க முறைமை பதிப்பு;
- தற்போதைய பயனர் பெயர்;
- பிணைய அடாப்டர்களின் பட்டியல்;
- அமைப்பு மற்றும் உள்ளூர் நேரம், அத்துடன் நேர மண்டலம்.
கடைசி தொகுதி (ஆயுட்கால நீட்டிப்பான்) பணிநிறுத்தம் வரை மீதமுள்ள நாட்களின் எண்ணிக்கையை அதிகரிக்க ஒரு செயல்பாட்டை செயல்படுத்தியது (முக்கிய தொகுதியின் உள்ளமைவு தரவு கோப்பில் சேமிக்கப்படுகிறது). முன்னிருப்பாக, இந்த மதிப்பு Duqu பதிப்பைப் பொறுத்து 30 அல்லது 36 நாட்களாக அமைக்கப்பட்டு, ஒவ்வொரு நாளும் ஒன்று குறைக்கப்பட்டது.
கட்டளை மையங்கள்
அக்டோபர் 20, 2011 அன்று (கண்டுபிடிப்பு அறிவிக்கப்பட்ட மூன்று நாட்களுக்குப் பிறகு), டியூக் ஆபரேட்டர்கள் கட்டளை மையங்களின் அனைத்து தடயங்களையும் அழித்தார்கள். கட்டளை மையங்கள் உலகம் முழுவதும் - வியட்நாம், இந்தியா, ஜெர்மனி, சிங்கப்பூர், சுவிட்சர்லாந்து, இங்கிலாந்து, நெதர்லாந்து மற்றும் தென் கொரியாவில் - சமரசம் செய்யப்பட்ட சேவையகங்களில் அமைந்திருந்தன. சுவாரஸ்யமாக, அடையாளம் காணப்பட்ட அனைத்து சேவையகங்களும் CentOS பதிப்புகள் 5.2, 5.4 அல்லது 5.5 ஐ இயக்குகின்றன. இயக்க முறைமைகள் 32-பிட் மற்றும் 64-பிட் இரண்டும் ஆகும். கட்டளை மையங்களுடன் தொடர்புடைய அனைத்து கோப்புகளும் நீக்கப்பட்ட போதிலும், காஸ்பர்ஸ்கி ஆய்வக நிபுணர்கள் ஸ்லாக் இடத்திலிருந்து சில பதிவு கோப்பு தகவல்களை மீட்டெடுக்க முடிந்தது. மிகவும் சுவாரஸ்யமாக, தாக்குபவர்கள் எப்போதும் சேவையகங்களில் இயல்புநிலை OpenSSH 4.3 தொகுப்பை பதிப்பு 5.8 உடன் மாற்றினர். இது சேவையகங்களை ஹேக் செய்ய OpenSSH 4.3 இல் அறியப்படாத பாதிப்பைப் பயன்படுத்துவதைக் குறிக்கலாம். எல்லா அமைப்புகளும் கட்டளை மையங்களாகப் பயன்படுத்தப்படவில்லை. சில, போர்ட்கள் 80 மற்றும் 443 க்கான போக்குவரத்தை திருப்பிவிட முயற்சிக்கும்போது sshd பதிவுகளில் உள்ள பிழைகளைக் கொண்டு, இறுதி கட்டளை மையங்களுடன் இணைக்க ப்ராக்ஸி சேவையகமாகப் பயன்படுத்தப்பட்டன.
தேதிகள் மற்றும் தொகுதிகள்
ஏப்ரல் 2011 இல் விநியோகிக்கப்பட்டு, காஸ்பர்ஸ்கி ஆய்வகத்தால் பகுப்பாய்வு செய்யப்பட்ட ஒரு வேர்டு ஆவணத்தில், ஆகஸ்ட் 31, 2007 என்ற தொகுப்பு தேதியுடன் கூடிய நிறுவி பதிவிறக்க இயக்கி இருந்தது. CrySys ஆய்வகங்களால் பெறப்பட்ட ஆவணத்தில் இதேபோன்ற இயக்கி (அளவு 20608 பைட்டுகள், MD5 - EEDCA45BD613E0D9A9E5C69122007F17) பிப்ரவரி 21, 2008 என்ற தொகுப்பு தேதியைக் கொண்டிருந்தது. கூடுதலாக, காஸ்பர்ஸ்கி ஆய்வக நிபுணர்கள் ஜனவரி 20, 2008 தேதியுடன் கூடிய ஒரு ஆட்டோரன் இயக்கி rndismpc.sys (அளவு 19968 பைட்டுகள், MD5 - 9AEC6E10C5EE9C05BED93221544C783E) ஐக் கண்டறிந்தனர். 2009 தேதியுடன் கூடிய எந்த கூறுகளும் காணப்படவில்லை. டூக்கின் தனிப்பட்ட பகுதிகளின் தொகுப்பு நேர முத்திரைகளின் அடிப்படையில், அதன் வளர்ச்சி 2007 ஆம் ஆண்டின் தொடக்கத்தில் இருந்திருக்கலாம். அதன் ஆரம்பகால வெளிப்பாடு ~DO வகையின் தற்காலிக கோப்புகளைக் கண்டுபிடிப்பதோடு தொடர்புடையது (அநேகமாக உளவு தொகுதிகளில் ஒன்றால் உருவாக்கப்பட்டது), அதன் உருவாக்க தேதி நவம்பர் 28, 2008 ஆகும் ( "Duqu & Stuxnet: சுவாரஸ்யமான நிகழ்வுகளின் காலவரிசை"). Duqu உடன் தொடர்புடைய சமீபத்திய தேதி பிப்ரவரி 23, 2012 ஆகும், இது மார்ச் 2012 இல் Symantec ஆல் கண்டுபிடிக்கப்பட்ட ஒரு நிறுவி துவக்க இயக்கியில் உள்ளது.
பயன்படுத்தப்படும் தகவல் ஆதாரங்கள்:
காஸ்பர்ஸ்கி ஆய்வகத்திலிருந்து டூக் பற்றி;
சைமென்டெக்கின் பகுப்பாய்வு அறிக்கை , பதிப்பு 1.4, நவம்பர் 2011 (pdf).
ஆதாரம்: www.habr.com
