அறிமுகம்
செப்டம்பர் 1, 2011 அன்று, ஹங்கேரியில் இருந்து ~DN1.tmp என்ற கோப்பு VirusTotal இணையதளத்திற்கு அனுப்பப்பட்டது. அந்த நேரத்தில், கோப்பு தீங்கிழைக்கும் என இரண்டு வைரஸ் தடுப்பு இயந்திரங்களால் மட்டுமே கண்டறியப்பட்டது - BitDefender மற்றும் AVIRA. டுகுவின் கதை இப்படித்தான் தொடங்கியது. முன்னோக்கிப் பார்க்கும்போது, டுகு மால்வேர் குடும்பம் இந்த கோப்பின் பெயரிடப்பட்டது என்று சொல்ல வேண்டும். இருப்பினும், இந்த கோப்பு கீலாக்கர் செயல்பாடுகளைக் கொண்ட முற்றிலும் சுயாதீனமான உளவு தொகுதி ஆகும், இது தீங்கிழைக்கும் டிராப்பர் டவுன்லோடரின் உதவியுடன் நிறுவப்பட்டிருக்கலாம், மேலும் அதன் செயல்பாட்டின் போது Duqu மால்வேரால் பதிவிறக்கம் செய்யப்பட்ட "பேலோட்" என்று மட்டுமே கருத முடியும், ஆனால் ஒரு ஒருங்கிணைந்த அல்ல. Duqu இன் பகுதி (தொகுதி). Duqu கூறுகளில் ஒன்று செப்டம்பர் 9 ஆம் தேதி மட்டுமே Virustotal சேவைக்கு அனுப்பப்பட்டது. சி-மீடியாவிலிருந்து டிஜிட்டல் கையொப்பத்துடன் கையொப்பமிடப்பட்ட இயக்கி அதன் தனித்துவமான அம்சமாகும். சில வல்லுநர்கள் உடனடியாக தீம்பொருளின் மற்றொரு நன்கு அறியப்பட்ட உதாரணத்துடன் ஒப்புமைகளை வரையத் தொடங்கினர் - ஸ்டக்ஸ்நெட், இது கையொப்பமிடப்பட்ட இயக்கிகளையும் பயன்படுத்தியது. உலகெங்கிலும் உள்ள பல்வேறு வைரஸ் தடுப்பு நிறுவனங்களால் கண்டறியப்பட்ட டுகுவால் பாதிக்கப்பட்ட மொத்த கணினிகளின் எண்ணிக்கை பத்துகளில் உள்ளது. ஈரான் மீண்டும் முக்கிய இலக்கு என்று பல நிறுவனங்கள் கூறுகின்றன, ஆனால் நோய்த்தொற்றுகளின் விநியோகத்தின் புவியியல் மூலம் ஆராயும்போது, இதை உறுதியாகக் கூற முடியாது.
இந்த விஷயத்தில், ஒருவர் நம்பிக்கையுடன் மற்றொரு நிறுவனத்தைப் பற்றி ஒரு புதிய வார்த்தையுடன் பேச வேண்டும் (மேம்பட்ட தொடர்ச்சியான அச்சுறுத்தல்).
அமைப்பில் செயல்படுத்தும் செயல்முறை
ஹங்கேரிய நிறுவனமான CrySyS (புடாபெஸ்ட் தொழில்நுட்பம் மற்றும் பொருளாதாரப் பல்கலைக்கழகத்தின் ஹங்கேரிய கிரிப்டோகிராஃபி மற்றும் சிஸ்டம் செக்யூரிட்டியின் ஹங்கேரிய ஆய்வகம்) நிபுணர்களால் நடத்தப்பட்ட விசாரணையில், கணினி பாதிக்கப்பட்டுள்ள ஒரு நிறுவி (ட்ராப்பர்) கண்டுபிடிக்கப்பட்டது. இது TTF எழுத்துரு ரெண்டரிங் எஞ்சினுக்குப் பொறுப்பான win32k.sys இயக்கியின் (MS11-087, நவம்பர் 13, 2011 அன்று மைக்ரோசாப்ட் விவரித்த) பாதிப்பைக் கொண்ட மைக்ரோசாஃப்ட் வேர்ட் கோப்பாகும். சுரண்டலின் ஷெல்கோடு, 'டெக்ஸ்டர் ரெகுலர்' என்ற ஆவணத்தில் உட்பொதிக்கப்பட்ட எழுத்துருவைப் பயன்படுத்துகிறது, மேலும் ஷோடைம் இன்க். நீங்கள் பார்க்க முடியும் என, Duqu இன் படைப்பாளிகள் நகைச்சுவை உணர்வுக்கு அந்நியமானவர்கள் அல்ல: டெக்ஸ்டர் ஒரு தொடர் கொலையாளி, அதே பெயரில் தொலைக்காட்சி தொடரின் ஹீரோ, ஷோடைம் படமாக்கப்பட்டது. டெக்ஸ்டர் குற்றவாளிகளை (முடிந்தால்) மட்டுமே கொல்கிறார், அதாவது சட்டத்தின் பெயரில் சட்டத்தை மீறுகிறார். ஒருவேளை, இந்த வழியில், Duqu இன் டெவலப்பர்கள் அவர்கள் நல்ல நோக்கங்களுக்காக சட்டவிரோத நடவடிக்கைகளில் ஈடுபட்டுள்ளனர் என்று முரண்படுகிறார்கள். மின்னஞ்சல் மூலம் கடிதங்களை அனுப்புவது வேண்டுமென்றே மேற்கொள்ளப்பட்டது. அனுப்புவதற்கு, பெரும்பாலும், சமரசம் செய்யப்பட்ட (ஹேக் செய்யப்பட்ட) கணினிகள் கண்காணிப்பை கடினமாக்குவதற்கு ஒரு இடைத்தரகராகப் பயன்படுத்தப்பட்டன.
வேர்ட் ஆவணம் பின்வரும் கூறுகளைக் கொண்டிருந்தது:
- உரை உள்ளடக்கம்;
- உட்பொதிக்கப்பட்ட எழுத்துரு;
- பட்டுக்கோட்டை சுரண்டவும்;
- இயக்கி;
- நிறுவி (DLL).
வெற்றிகரமாக செயல்படுத்தப்பட்டால், சுரண்டலின் ஷெல்கோடு பின்வரும் செயல்பாடுகளைச் செய்தது (கர்னல் பயன்முறையில்):
- மறு-தொற்றுக்கான சோதனை செய்யப்பட்டது, இதற்காக, 'HKEY_LOCAL_MACHINESOFTWAREMmicrosoftWindowsCurrentVersionInternet SettingsZones4' இல் உள்ள பதிவேட்டில் 'CF1D' விசையின் இருப்பு சரிபார்க்கப்பட்டது, அது உண்மையாக இருந்தால், ஷெல்கோடு அதன் செயல்பாட்டை நிறைவு செய்தது;
- இரண்டு கோப்புகள் மறைகுறியாக்கப்பட்டன - இயக்கி (sys) மற்றும் நிறுவி (dll);
- சேவைகள்.exe செயல்முறையில் இயக்கி செலுத்தப்பட்டு நிறுவியை துவக்கியது;
- முடிவில், ஷெல்கோடு நினைவகத்தில் பூஜ்ஜியங்களுடன் தன்னைத் துடைத்துக் கொண்டது.
Win32k.sys ஐ ரூட் பயனர் 'சிஸ்டம்' ஆக இயக்குவதன் மூலம், Duqu இன் டெவலப்பர்கள் அங்கீகரிக்கப்படாத வெளியீடு மற்றும் உயரம் ஆகிய இரண்டின் சிக்கலையும் நேர்த்தியாகத் தீர்த்தனர் (குறைந்த சலுகைகளுடன் பயனர் கணக்கின் கீழ் இயங்குகிறது).
நிறுவி, கட்டுப்பாட்டைப் பெற்ற பிறகு, நினைவகத்தில் மூன்று தரவுத் தொகுதிகளை மறைகுறியாக்கியது:
- கையொப்பமிட்ட இயக்கி (sys);
- முக்கிய தொகுதி (dll);
- நிறுவி கட்டமைப்பு தரவு (pnf).
நிறுவி உள்ளமைவுத் தரவில், தேதிகளின் வரம்பு குறிப்பிடப்பட்டுள்ளது (இரண்டு நேர முத்திரைகள் வடிவில் - தொடக்கம் மற்றும் முடிவு). தற்போதைய தேதி அதில் உள்ளதா என்பதை நிறுவி சரிபார்த்தது, இல்லையென்றால், அது அதன் செயல்பாட்டை நிறைவு செய்தது. மேலும், நிறுவி உள்ளமைவு தரவுகளில், இயக்கி மற்றும் முக்கிய தொகுதி சேமிக்கப்பட்ட பெயர்கள் சுட்டிக்காட்டப்பட்டன. இந்த வழக்கில், முக்கிய தொகுதி மறைகுறியாக்கப்பட்ட வடிவத்தில் வட்டில் சேமிக்கப்பட்டது.
டுகுவை ஆட்டோஸ்டார்ட் செய்ய, ரெஜிஸ்ட்ரியில் சேமிக்கப்பட்ட விசைகளைப் பயன்படுத்தி, பறக்கும்போது பிரதான தொகுதியை டிக்ரிப்ட் செய்யும் இயக்கி கோப்பைப் பயன்படுத்தும் ஒரு சேவை உருவாக்கப்பட்டது. முக்கிய தொகுதி அதன் சொந்த கட்டமைப்பு தரவு தொகுதி கொண்டுள்ளது. முதல் தொடக்கத்தில், அது மறைகுறியாக்கப்பட்டது, நிறுவல் தேதி அதில் உள்ளிடப்பட்டது, அதன் பிறகு அது மீண்டும் குறியாக்கம் செய்யப்பட்டு பிரதான தொகுதி மூலம் சேமிக்கப்பட்டது. எனவே, பாதிக்கப்பட்ட கணினியில், வெற்றிகரமான நிறுவலின் போது, மூன்று கோப்புகள் சேமிக்கப்பட்டன - இயக்கி, முக்கிய தொகுதி மற்றும் அதன் கட்டமைப்பு தரவு கோப்பு, அதே நேரத்தில் கடைசி இரண்டு கோப்புகள் குறியாக்கப்பட்ட வடிவத்தில் வட்டில் சேமிக்கப்பட்டன. அனைத்து மறைகுறியாக்க நடைமுறைகளும் நினைவகத்தில் மட்டுமே மேற்கொள்ளப்பட்டன. இந்த சிக்கலான நிறுவல் செயல்முறை வைரஸ் தடுப்பு மென்பொருள் மூலம் கண்டறியும் சாத்தியத்தை குறைக்க பயன்படுத்தப்பட்டது.
முக்கிய தொகுதி
முதன்மை தொகுதி (வளம் 302), மூலம் காஸ்பர்ஸ்கி ஆய்வகத்தால், MSVC 2008 ஐப் பயன்படுத்தி தூய C இல் எழுதப்பட்டது, ஆனால் ஒரு பொருள் சார்ந்த அணுகுமுறையைப் பயன்படுத்துகிறது. தீங்கிழைக்கும் குறியீட்டை உருவாக்கும் போது இந்த அணுகுமுறை இயல்பற்றது. ஒரு விதியாக, அத்தகைய குறியீடு C இல் எழுதப்பட்ட அளவைக் குறைக்கவும், C ++ இல் உள்ளார்ந்த அழைப்புகளை அகற்றவும். இங்கே ஒரு கூட்டுவாழ்வும் உள்ளது. கூடுதலாக, நிகழ்வு சார்ந்த கட்டிடக்கலை பயன்படுத்தப்பட்டது. காஸ்பர்ஸ்கி லேப் ஊழியர்கள், பிரதான தொகுதி முன்-செயலி செருகு நிரலைப் பயன்படுத்தி எழுதப்பட்டது என்ற கோட்பாட்டிற்கு சாய்ந்துள்ளது, இது ஒரு பொருள் பாணியில் C இல் குறியீட்டை எழுத உங்களை அனுமதிக்கிறது.
ஆபரேட்டர்களிடமிருந்து கட்டளைகளைப் பெறுவதற்கான நடைமுறைக்கு முக்கிய தொகுதி பொறுப்பாகும். Duqu தொடர்புகொள்வதற்கான பல வழிகளை வழங்குகிறது: HTTP மற்றும் HTTPS நெறிமுறைகளைப் பயன்படுத்துதல், அத்துடன் பெயரிடப்பட்ட குழாய்கள் (குழாய்) ஆகியவற்றைப் பயன்படுத்துதல். HTTP(S) க்கு, கட்டளை மையங்களின் டொமைன் பெயர்கள் குறிப்பிடப்பட்டுள்ளன, ப்ராக்ஸி சர்வர் மூலம் வேலை செய்ய முடியும் - அவர்களுக்கு பயனர்பெயர் மற்றும் கடவுச்சொல் வழங்கப்பட்டது. சேனலுக்கு ஐபி முகவரி மற்றும் சேனல் பெயர் கொடுக்கப்பட்டுள்ளது. குறிப்பிடப்பட்ட தரவு பிரதான தொகுதியின் (குறியாக்கப்பட்ட) உள்ளமைவு தரவுத் தொகுதியில் சேமிக்கப்படுகிறது.
பெயரிடப்பட்ட குழாய்களைப் பயன்படுத்த, RPC சேவையகத்தின் தனிப்பயன் செயலாக்கம் தொடங்கப்பட்டது. இது பின்வரும் ஏழு செயல்பாடுகளை ஆதரித்தது:
- நிறுவப்பட்ட பதிப்பை திரும்பவும்;
- குறிப்பிட்ட செயல்பாட்டில் dll ஐ செலுத்தி, குறிப்பிட்ட செயல்பாட்டை அழைக்கவும்;
- dll ஐ ஏற்றவும்;
- CreateProcess() ஐ அழைப்பதன் மூலம் ஒரு செயல்முறையைத் தொடங்கவும்;
- கொடுக்கப்பட்ட கோப்பின் உள்ளடக்கங்களைப் படிக்கவும்;
- குறிப்பிட்ட கோப்பில் தரவை எழுதவும்;
- கொடுக்கப்பட்ட கோப்பை நீக்கவும்.
Duqu-பாதிக்கப்பட்ட கணினிகளுக்கு இடையே புதுப்பிக்கப்பட்ட தொகுதிகள் மற்றும் உள்ளமைவுத் தரவை விநியோகிக்க உள்ளூர் நெட்வொர்க்கில் பெயரிடப்பட்ட குழாய்கள் பயன்படுத்தப்படலாம். கூடுதலாக, Duqu மற்ற பாதிக்கப்பட்ட கணினிகளுக்கான ப்ராக்ஸி சேவையகமாக செயல்பட முடியும் (இது நுழைவாயிலில் உள்ள ஃபயர்வால் அமைப்புகளின் காரணமாக இணைய அணுகலைக் கொண்டிருக்கவில்லை). Duqu இன் சில பதிப்புகளில் RPC செயல்பாடு இல்லை.
அறியப்பட்ட "பேலோடுகள்"
Duqu கட்டுப்பாட்டு மையத்தில் இருந்து கட்டளை ஏற்றப்பட்ட குறைந்தபட்சம் நான்கு "பேலோடுகளை" Symantec அடையாளம் கண்டுள்ளது.
இருப்பினும், அவற்றில் ஒன்று மட்டுமே வசிப்பிடமாக இருந்தது மற்றும் இயக்கக்கூடிய கோப்பாக (exe) தொகுக்கப்பட்டது, இது வட்டில் சேமிக்கப்பட்டது. மீதமுள்ள மூன்று dll நூலகங்களாக செயல்படுத்தப்பட்டன. அவை மாறும் முறையில் ஏற்றப்பட்டு, வட்டில் சேமிக்கப்படாமல் நினைவகத்தில் செயல்படுத்தப்பட்டன.
குடியிருப்பாளர் "பேலோட்" ஒரு உளவு தொகுதி (infostealer) கீலாக்கர் செயல்பாடுகளுடன். அதை VirusTotal க்கு அனுப்பியதன் மூலம் தான் Duqu ஆராய்ச்சிக்கான பணி தொடங்கியது. முக்கிய உளவு செயல்பாடு வளத்தில் இருந்தது, இதில் முதல் 8 கிலோபைட்டுகள் கேலக்ஸி NGC 6745 இன் புகைப்படத்தின் ஒரு பகுதியைக் கொண்டிருந்தன (மறைப்பதற்கு). ஏப்ரல் 2012 இல், சில ஊடகங்கள் (http://www.mehrnews.com/en/newsdetail.aspx?NewsID=1297506) ஈரான் சில வகையான ஸ்டார்ஸ் மால்வேர்களுக்கு ஆளாகியதாகத் தகவல் வெளியிட்டதை இங்கு நினைவுகூர வேண்டும். சம்பவம் வெளியிடப்படவில்லை. ஈரானில் டுகு "பேலோட்" இன் அத்தகைய மாதிரி கண்டுபிடிக்கப்பட்டிருக்கலாம், எனவே "ஸ்டார்ஸ்" (நட்சத்திரங்கள்) என்று பெயர்.
உளவு தொகுதி பின்வரும் தகவல்களைச் சேகரித்தது:
- இயங்கும் செயல்முறைகளின் பட்டியல், தற்போதைய பயனர் மற்றும் டொமைன் பற்றிய தகவல்கள்;
- பிணையம் உட்பட தருக்க இயக்கிகளின் பட்டியல்;
- திரைக்காட்சிகள்;
- பிணைய இடைமுகங்களின் முகவரிகள், ரூட்டிங் அட்டவணைகள்;
- விசைப்பலகை விசை அழுத்தங்களின் பதிவு கோப்பு;
- திறந்த பயன்பாட்டு சாளரங்களின் பெயர்கள்;
- கிடைக்கக்கூடிய பிணைய ஆதாரங்களின் பட்டியல் (வளங்களைப் பகிர்தல்);
- நீக்கக்கூடியவை உட்பட அனைத்து டிரைவ்களிலும் உள்ள கோப்புகளின் முழுமையான பட்டியல்;
- "நெட்வொர்க் செய்யப்பட்ட சூழலில்" கணினிகளின் பட்டியல்.
மற்றொரு உளவு தொகுதி (infostealer) ஏற்கனவே விவரிக்கப்பட்ட ஒரு மாறுபாடு, ஆனால் ஒரு dll நூலகமாக தொகுக்கப்பட்டது, கீலாக்கரின் செயல்பாடுகள், கோப்புகளின் பட்டியலைத் தொகுத்தல் மற்றும் டொமைனில் சேர்க்கப்பட்டுள்ள கணினிகளைக் கணக்கிடுதல் ஆகியவை அதிலிருந்து அகற்றப்பட்டன.
அடுத்த தொகுதி (உளவு) சேகரிக்கப்பட்ட கணினி தகவல்:
- கணினி ஒரு டொமைனின் பகுதியாக உள்ளதா;
- விண்டோஸ் சிஸ்டம் கோப்பகங்களுக்கான பாதைகள்;
- இயக்க முறைமை பதிப்பு;
- தற்போதைய பயனரின் பெயர்;
- பிணைய அடாப்டர்களின் பட்டியல்;
- அமைப்பு மற்றும் உள்ளூர் நேரம், அத்துடன் நேர மண்டலம்.
கடைசி தொகுதி (ஆயுள் நீட்டிப்பு) வேலை முடிவடையும் வரை மீதமுள்ள நாட்களின் மதிப்பை (முக்கிய தொகுதியின் உள்ளமைவு தரவு கோப்பில் சேமிக்கப்படும்) அதிகரிக்க ஒரு செயல்பாட்டை செயல்படுத்தியது. இயல்பாக, Duqu இன் மாற்றத்தைப் பொறுத்து இந்த மதிப்பு 30 அல்லது 36 நாட்களுக்கு அமைக்கப்பட்டது, மேலும் ஒவ்வொரு நாளும் ஒன்று குறையும்.
கட்டளை மையங்கள்
அக்டோபர் 20, 2011 அன்று (கண்டுபிடிப்பு பகிரங்கப்படுத்தப்பட்ட மூன்று நாட்களுக்குப் பிறகு), டுகு ஆபரேட்டர்கள் கட்டளை மையங்களின் செயல்பாட்டின் தடயங்களை அழிக்க ஒரு நடைமுறையை நடத்தினர். வியட்நாம், இந்தியா, ஜெர்மனி, சிங்கப்பூர், சுவிட்சர்லாந்து, கிரேட் பிரிட்டன், ஹாலந்து, தென் கொரியா ஆகிய நாடுகளில் உள்ள ஹேக் செய்யப்பட்ட சர்வர்களில் கட்டளை மையங்கள் நடத்தப்பட்டன. சுவாரஸ்யமாக, அடையாளம் காணப்பட்ட அனைத்து சேவையகங்களும் CentOS பதிப்புகள் 5.2, 5.4 அல்லது 5.5 ஐ இயக்குகின்றன. OSகள் 32-பிட் மற்றும் 64-பிட் ஆகிய இரண்டும் இருந்தன. கட்டளை மையங்களின் செயல்பாடு தொடர்பான அனைத்து கோப்புகளும் நீக்கப்பட்ட போதிலும், Kaspersky Lab வல்லுநர்கள் LOG கோப்புகளில் உள்ள சில தகவல்களை மந்தமான இடத்திலிருந்து மீட்டெடுக்க முடிந்தது. மிகவும் சுவாரஸ்யமான உண்மை என்னவென்றால், சேவையகங்களில் தாக்குபவர்கள் எப்போதும் இயல்புநிலை OpenSSH 4.3 தொகுப்பை பதிப்பு 5.8 உடன் மாற்றியுள்ளனர். OpenSSH 4.3 இல் அறியப்படாத பாதிப்பு சர்வர்களை ஹேக் செய்ய பயன்படுத்தப்பட்டது என்பதை இது குறிக்கலாம். எல்லா அமைப்புகளும் கட்டளை மையங்களாகப் பயன்படுத்தப்படவில்லை. சில, 80 மற்றும் 443 போர்ட்களுக்கான போக்குவரத்தை திசைதிருப்ப முயலும் போது, sshd பதிவுகளில் உள்ள பிழைகளை வைத்து, இறுதி கட்டளை மையங்களுடன் இணைக்க ப்ராக்ஸி சேவையகமாகப் பயன்படுத்தப்பட்டது.
தேதிகள் மற்றும் தொகுதிகள்
ஏப்ரல் 2011 இல் விநியோகிக்கப்பட்ட ஒரு வேர்ட் ஆவணம், காஸ்பர்ஸ்கி ஆய்வகத்தால் ஆய்வு செய்யப்பட்டது, ஆகஸ்ட் 31, 2007 தொகுக்கப்பட்ட தேதியுடன் நிறுவி பதிவிறக்க இயக்கி உள்ளது. CrySys ஆய்வகத்தில் பெறப்பட்ட ஆவணத்தில் இதேபோன்ற இயக்கி (அளவு - 20608 பைட்டுகள், MD5 - EEDCA45BD613E0D9A9E5C69122007F17) பிப்ரவரி 21, 2008 இல் தொகுக்கப்பட்ட தேதியைக் கொண்டிருந்தது. கூடுதலாக, Kaspersky Lab நிபுணர்கள் ஜனவரி 19968, 5 தேதியிட்ட ஆட்டோரன் இயக்கி rndismpc.sys (அளவு - 9 பைட்டுகள், MD6 - 10AEC5E9C05EE93221544C783BED20C2008E) கண்டுபிடித்தனர். 2009 எனக் குறிக்கப்பட்ட கூறுகள் எதுவும் காணப்படவில்லை. Duqu இன் தனிப்பட்ட பகுதிகளின் தொகுப்பு நேர முத்திரைகளின் அடிப்படையில், அதன் வளர்ச்சி 2007 இன் தொடக்கத்தில் இருந்திருக்கலாம். அதன் ஆரம்ப வெளிப்பாடு ~DO (அநேகமாக ஸ்பைவேர் ஒன்றால் உருவாக்கப்பட்ட) படிவத்தின் தற்காலிக கோப்புகளைக் கண்டறிவதோடு தொடர்புடையது, இது நவம்பர் 28, 2008 (உருவாக்கம்) "Duqu & Stuxnet: A Timeline of Interesting Events"). Duqu தொடர்பான மிகச் சமீபத்திய தேதி பிப்ரவரி 23, 2012 ஆகும், இது மார்ச் 2012 இல் Symantec ஆல் கண்டுபிடிக்கப்பட்ட நிறுவி பதிவிறக்க இயக்கியில் உள்ளது.
பயன்படுத்திய தகவல் ஆதாரங்கள்:
காஸ்பர்ஸ்கி ஆய்வகத்தில் இருந்து Duqu பற்றி;
சைமென்டெக் ஆய்வாளர் அறிக்கை , பதிப்பு 1.4, நவம்பர் 2011 (pdf).
ஆதாரம்: www.habr.com