పరిచయం
సెప్టెంబరు 1, 2011న, హంగరీ నుండి వైరస్టోటల్ వెబ్సైట్కి ~DN1.tmp పేరుతో ఫైల్ పంపబడింది. ఆ సమయంలో, ఫైల్ కేవలం రెండు యాంటీవైరస్ ఇంజిన్ల ద్వారా హానికరమైనదిగా గుర్తించబడింది - BitDefender మరియు AVIRA. డుకు కథ ఇలా మొదలైంది. మున్ముందు చూస్తే, ఈ ఫైల్కు Duqu మాల్వేర్ కుటుంబం పేరు పెట్టబడిందని చెప్పాలి. అయితే, ఈ ఫైల్ కీలాగర్ ఫంక్షన్లతో పూర్తిగా స్వతంత్ర గూఢచారి మాడ్యూల్, బహుశా హానికరమైన డ్రాపర్ డౌన్లోడ్ సహాయంతో ఇన్స్టాల్ చేయబడి ఉంటుంది మరియు దాని ఆపరేషన్ సమయంలో Duqu మాల్వేర్ ద్వారా డౌన్లోడ్ చేయబడిన “పేలోడ్”గా మాత్రమే పరిగణించబడుతుంది, కానీ సమగ్రమైనది కాదు. Duqu యొక్క భాగం (మాడ్యూల్) . Duqu భాగాలలో ఒకటి సెప్టెంబర్ 9న మాత్రమే Virustotal సేవకు పంపబడింది. C-మీడియా నుండి డిజిటల్ సంతకంతో సంతకం చేయబడిన డ్రైవర్ దీని ప్రత్యేక లక్షణం. కొంతమంది నిపుణులు వెంటనే మాల్వేర్ యొక్క మరొక ప్రసిద్ధ ఉదాహరణతో సారూప్యతలను గీయడం ప్రారంభించారు - Stuxnet, ఇది సంతకం చేసిన డ్రైవర్లను కూడా ఉపయోగించింది. ప్రపంచవ్యాప్తంగా వివిధ యాంటీవైరస్ కంపెనీలు గుర్తించిన Duqu ద్వారా సోకిన మొత్తం కంప్యూటర్ల సంఖ్య పదుల సంఖ్యలో ఉంది. చాలా కంపెనీలు ఇరాన్ మళ్లీ ప్రధాన లక్ష్యం అని వాదించాయి, అయితే అంటువ్యాధుల పంపిణీ యొక్క భౌగోళిక శాస్త్రం ప్రకారం, ఇది ఖచ్చితంగా చెప్పలేము.
ఈ సందర్భంలో, ఒక కొత్త వింత పదంతో మరొక కంపెనీ గురించి మాత్రమే నమ్మకంగా మాట్లాడాలి
వ్యవస్థలో అమలు విధానం
హంగేరియన్ ఆర్గనైజేషన్ CrySyS (హంగేరియన్ లాబొరేటరీ ఆఫ్ క్రిప్టోగ్రఫీ అండ్ సిస్టమ్ సెక్యూరిటీ ఆఫ్ బుడాపెస్ట్ యూనివర్శిటీ ఆఫ్ టెక్నాలజీ అండ్ ఎకనామిక్స్) నుండి నిపుణులచే నిర్వహించబడిన పరిశోధనలో సిస్టమ్ ఇన్ఫెక్షన్ సోకిన ఇన్స్టాలర్ (డ్రాపర్) కనుగొనబడింది. ఇది TTF ఫాంట్లను రెండరింగ్ చేయడానికి బాధ్యత వహించే win32k.sys డ్రైవర్ (MS11-087, నవంబర్ 13, 2011న మైక్రోసాఫ్ట్ వివరించిన) దుర్బలత్వంతో కూడిన మైక్రోసాఫ్ట్ వర్డ్ ఫైల్. దోపిడీ యొక్క షెల్కోడ్ 'డెక్స్టర్ రెగ్యులర్' అనే డాక్యుమెంట్లో పొందుపరిచిన ఫాంట్ను ఉపయోగిస్తుంది మరియు షోటైమ్ ఇంక్. ఫాంట్ సృష్టికర్తగా ఘనత పొందింది. మీరు చూడగలిగినట్లుగా, డుకు యొక్క సృష్టికర్తలు హాస్యం యొక్క భావానికి పరాయివారు కాదు: డెక్స్టర్ ఒక సీరియల్ కిల్లర్, షోటైమ్ ద్వారా చిత్రీకరించబడిన అదే పేరుతో టెలివిజన్ సిరీస్ యొక్క హీరో. డెక్స్టర్ నేరస్థులను (వీలైతే) మాత్రమే చంపుతాడు, అంటే చట్టం పేరుతో చట్టాన్ని ఉల్లంఘిస్తాడు. బహుశా, ఈ విధంగా, దుక్కు డెవలపర్లు మంచి ప్రయోజనాల కోసం చట్టవిరుద్ధమైన కార్యకలాపాలకు పాల్పడుతున్నారని వ్యంగ్యంగా ఉన్నారు. ఇ-మెయిల్ ద్వారా లేఖలు పంపడం ఉద్దేశపూర్వకంగా జరిగింది. పంపడం కోసం, చాలా మటుకు, రాజీపడిన (హ్యాక్ చేయబడిన) కంప్యూటర్లు ట్రాకింగ్ కష్టతరం చేయడానికి మధ్యవర్తిగా ఉపయోగించబడ్డాయి.
వర్డ్ డాక్యుమెంట్ ఈ క్రింది భాగాలను కలిగి ఉంది:
- టెక్స్ట్ కంటెంట్;
- ఎంబెడెడ్ ఫాంట్;
- సిల్క్కోడ్ను దోపిడీ చేయండి;
- డ్రైవర్;
- ఇన్స్టాలర్ (DLL).
విజయవంతంగా అమలు చేయబడిన సందర్భంలో, దోపిడీ యొక్క షెల్కోడ్ క్రింది కార్యకలాపాలను (కెర్నల్ మోడ్లో) నిర్వహిస్తుంది:
- తిరిగి ఇన్ఫెక్షన్ కోసం తనిఖీ నిర్వహించబడింది, దీని కోసం, 'HKEY_LOCAL_MACHINESOFTWAREMmicrosoftWindowsCurrentVersionInternet SettingsZones4' వద్ద 'CF1D' కీ ఉనికిని రిజిస్ట్రీలో తనిఖీ చేసారు, అది నిజమైతే, షెల్కోడ్ దాని అమలును పూర్తి చేస్తుంది;
- రెండు ఫైల్లు డీక్రిప్ట్ చేయబడ్డాయి - డ్రైవర్ (sys) మరియు ఇన్స్టాలర్ (dll);
- డ్రైవర్ సర్వీస్లు.exe ప్రాసెస్లోకి ఇంజెక్ట్ చేయబడింది మరియు ఇన్స్టాలర్ను ప్రారంభించింది;
- చివర్లో, షెల్కోడ్ మెమరీలో సున్నాలతో తుడిచిపెట్టుకుపోయింది.
win32k.sysని రూట్ యూజర్ 'సిస్టమ్'గా అమలు చేయడం ద్వారా, Duqu డెవలపర్లు అనధికారిక లాంచ్ మరియు ఎలివేషన్ (పరిమిత అధికారాలతో వినియోగదారు ఖాతా కింద నడుస్తోంది) రెండింటి సమస్యను చక్కగా పరిష్కరించారు.
ఇన్స్టాలర్, నియంత్రణను స్వీకరించిన తర్వాత, మెమరీలో మూడు డేటా బ్లాక్లను డీక్రిప్ట్ చేసింది:
- సంతకం చేసిన డ్రైవర్ (sys);
- ప్రధాన మాడ్యూల్ (dll);
- ఇన్స్టాలర్ కాన్ఫిగరేషన్ డేటా (pnf).
ఇన్స్టాలర్ కాన్ఫిగరేషన్ డేటాలో, తేదీల పరిధి పేర్కొనబడింది (రెండు టైమ్స్టాంప్ల రూపంలో - ప్రారంభం మరియు ముగింపు). ఇన్స్టాలర్ ప్రస్తుత తేదీ దానిలోకి వస్తుందో లేదో తనిఖీ చేసింది, కాకపోతే, అది దాని అమలును పూర్తి చేసింది. అలాగే, ఇన్స్టాలర్ కాన్ఫిగరేషన్ డేటాలో, డ్రైవర్ మరియు ప్రధాన మాడ్యూల్ సేవ్ చేయబడిన పేర్లు సూచించబడ్డాయి. ఈ సందర్భంలో, ప్రధాన మాడ్యూల్ గుప్తీకరించిన రూపంలో డిస్క్లో సేవ్ చేయబడింది.
Duquను ఆటోస్టార్ట్ చేయడానికి, రిజిస్ట్రీలో నిల్వ చేయబడిన కీలను ఉపయోగించి ఫ్లైలో ప్రధాన మాడ్యూల్ను డీక్రిప్ట్ చేసే డ్రైవర్ ఫైల్ను ఉపయోగించే ఒక సేవ సృష్టించబడింది. ప్రధాన మాడ్యూల్ దాని స్వంత కాన్ఫిగరేషన్ డేటా బ్లాక్ను కలిగి ఉంది. మొదటి ప్రారంభంలో, ఇది డీక్రిప్ట్ చేయబడింది, ఇన్స్టాలేషన్ తేదీ దానిలో నమోదు చేయబడింది, దాని తర్వాత అది మళ్లీ గుప్తీకరించబడింది మరియు ప్రధాన మాడ్యూల్ ద్వారా సేవ్ చేయబడింది. అందువల్ల, ప్రభావిత సిస్టమ్లో, విజయవంతమైన ఇన్స్టాలేషన్ సమయంలో, మూడు ఫైల్లు సేవ్ చేయబడ్డాయి - డ్రైవర్, ప్రధాన మాడ్యూల్ మరియు దాని కాన్ఫిగరేషన్ డేటా ఫైల్, చివరి రెండు ఫైల్లు డిస్క్లో ఎన్క్రిప్టెడ్ రూపంలో నిల్వ చేయబడ్డాయి. అన్ని డిక్రిప్షన్ విధానాలు మెమరీలో మాత్రమే నిర్వహించబడ్డాయి. యాంటీవైరస్ సాఫ్ట్వేర్ ద్వారా గుర్తించే అవకాశాన్ని తగ్గించడానికి ఈ సంక్లిష్ట ఇన్స్టాలేషన్ విధానం ఉపయోగించబడింది.
ప్రధాన మాడ్యూల్
ప్రధాన మాడ్యూల్ (వనరు 302), ద్వారా
ప్రధాన మాడ్యూల్ ఆపరేటర్ల నుండి ఆదేశాలను స్వీకరించే విధానానికి బాధ్యత వహిస్తుంది. Duqu పరస్పర చర్య చేయడానికి అనేక మార్గాలను అందిస్తుంది: HTTP మరియు HTTPS ప్రోటోకాల్లను ఉపయోగించడం, అలాగే పేరున్న పైపులను (పైపు) ఉపయోగించడం. HTTP(S) కోసం, కమాండ్ సెంటర్ల డొమైన్ పేర్లు పేర్కొనబడ్డాయి, అయితే ప్రాక్సీ సర్వర్ ద్వారా పని చేయడం సాధ్యమవుతుంది - వాటికి వినియోగదారు పేరు మరియు పాస్వర్డ్ ఇవ్వబడింది. ఛానెల్కు IP చిరునామా మరియు ఛానెల్ పేరు ఇవ్వబడింది. పేర్కొన్న డేటా ప్రధాన మాడ్యూల్ (ఎన్క్రిప్టెడ్) యొక్క కాన్ఫిగరేషన్ డేటా బ్లాక్లో నిల్వ చేయబడుతుంది.
పేరున్న పైపులను ఉపయోగించడానికి, RPC సర్వర్ యొక్క అనుకూల అమలు ప్రారంభించబడింది. ఇది క్రింది ఏడు ఫంక్షన్లకు మద్దతు ఇచ్చింది:
- ఇన్స్టాల్ చేసిన సంస్కరణను తిరిగి ఇవ్వండి;
- పేర్కొన్న ప్రక్రియలో dllని ఇంజెక్ట్ చేయండి మరియు పేర్కొన్న ఫంక్షన్కు కాల్ చేయండి;
- లోడ్ dll;
- CreateProcess()కి కాల్ చేయడం ద్వారా ప్రక్రియను ప్రారంభించండి;
- ఇచ్చిన ఫైల్ యొక్క కంటెంట్లను చదవండి;
- పేర్కొన్న ఫైల్కు డేటాను వ్రాయండి;
- ఇచ్చిన ఫైల్ను తొలగించండి.
Duqu-సోకిన కంప్యూటర్ల మధ్య నవీకరించబడిన మాడ్యూల్స్ మరియు కాన్ఫిగరేషన్ డేటాను పంపిణీ చేయడానికి స్థానిక నెట్వర్క్లో పేరున్న పైపులను ఉపయోగించవచ్చు. అదనంగా, Duqu ఇతర సోకిన కంప్యూటర్లకు ప్రాక్సీ సర్వర్గా పని చేస్తుంది (గేట్వేపై ఫైర్వాల్ సెట్టింగ్ల కారణంగా ఇంటర్నెట్కు ప్రాప్యత లేదు). Duqu యొక్క కొన్ని సంస్కరణలు RPC కార్యాచరణను కలిగి లేవు.
తెలిసిన "పేలోడ్లు"
Duqu నియంత్రణ కేంద్రం నుండి కమాండ్పై లోడ్ చేయబడిన కనీసం నాలుగు "పేలోడ్లను" Symantec గుర్తించింది.
అయినప్పటికీ, వాటిలో ఒకటి మాత్రమే నివాసి మరియు డిస్క్లో సేవ్ చేయబడిన ఎక్జిక్యూటబుల్ ఫైల్ (exe) వలె కంపైల్ చేయబడింది. మిగిలిన మూడు dll లైబ్రరీలుగా అమలు చేయబడ్డాయి. అవి డైనమిక్గా లోడ్ చేయబడ్డాయి మరియు డిస్క్లో సేవ్ చేయబడకుండా మెమరీలో అమలు చేయబడ్డాయి.
నివాసి "పేలోడ్" ఒక గూఢచారి మాడ్యూల్ (ఇన్ఫోస్టీలర్) కీలాగర్ ఫంక్షన్లతో. దీన్ని వైరస్టోటల్కు పంపడంతోనే డుకు పరిశోధనపై పని ప్రారంభమైంది. ప్రధాన గూఢచారి కార్యాచరణ వనరులో ఉంది, వీటిలో మొదటి 8 కిలోబైట్లు గెలాక్సీ NGC 6745 (మాస్కింగ్ కోసం) ఫోటోలో కొంత భాగాన్ని కలిగి ఉన్నాయి. ఏప్రిల్ 2012లో, కొన్ని మీడియా ఇరాన్ ఒకరకమైన స్టార్స్ మాల్వేర్కు గురైందని (http://www.mehrnews.com/en/newsdetail.aspx?NewsID=1297506) సమాచారాన్ని ప్రచురించిన విషయాన్ని ఇక్కడ గుర్తు చేసుకోవాలి. సంఘటన బహిర్గతం కాలేదు. ఇరాన్లో డుకు “పేలోడ్” యొక్క అటువంటి నమూనా కనుగొనబడే అవకాశం ఉంది, అందుకే దీనికి “స్టార్స్” (నక్షత్రాలు) అని పేరు వచ్చింది.
గూఢచారి మాడ్యూల్ కింది సమాచారాన్ని సేకరించింది:
- నడుస్తున్న ప్రక్రియల జాబితా, ప్రస్తుత వినియోగదారు మరియు డొమైన్ గురించిన సమాచారం;
- నెట్వర్క్ వాటితో సహా లాజికల్ డ్రైవ్ల జాబితా;
- స్క్రీన్షాట్లు;
- నెట్వర్క్ ఇంటర్ఫేస్ల చిరునామాలు, రూటింగ్ పట్టికలు;
- కీబోర్డ్ కీస్ట్రోక్ల లాగ్ ఫైల్;
- ఓపెన్ అప్లికేషన్ విండోస్ పేర్లు;
- అందుబాటులో ఉన్న నెట్వర్క్ వనరుల జాబితా (వనరులను పంచుకోవడం);
- తొలగించగల వాటితో సహా అన్ని డ్రైవ్లలోని ఫైల్ల పూర్తి జాబితా;
- "నెట్వర్క్డ్ ఎన్విరాన్మెంట్"లోని కంప్యూటర్ల జాబితా.
మరొక గూఢచారి మాడ్యూల్ (ఇన్ఫోస్టీలర్) అనేది ఇప్పటికే వివరించిన దాని యొక్క వైవిధ్యం, కానీ dll లైబ్రరీగా సంకలనం చేయబడింది, కీలాగర్ యొక్క విధులు, ఫైల్ల జాబితాను కంపైల్ చేయడం మరియు డొమైన్లో చేర్చబడిన కంప్యూటర్లను లెక్కించడం వంటివి దాని నుండి తీసివేయబడ్డాయి.
తదుపరి మాడ్యూల్ (నిఘా) సేకరించిన సిస్టమ్ సమాచారం:
- కంప్యూటర్ డొమైన్లో భాగమా;
- Windows సిస్టమ్ డైరెక్టరీలకు మార్గాలు;
- ఆపరేటింగ్ సిస్టమ్ వెర్షన్;
- ప్రస్తుత వినియోగదారు పేరు;
- నెట్వర్క్ ఎడాప్టర్ల జాబితా;
- సిస్టమ్ మరియు స్థానిక సమయం, అలాగే టైమ్ జోన్.
చివరి మాడ్యూల్ (జీవితకాలం పొడిగింపు) పని ముగిసే వరకు మిగిలి ఉన్న రోజుల సంఖ్య యొక్క విలువను (ప్రధాన మాడ్యూల్ యొక్క కాన్ఫిగరేషన్ డేటా ఫైల్లో నిల్వ చేయబడుతుంది) పెంచడానికి ఒక ఫంక్షన్ను అమలు చేసింది. డిఫాల్ట్గా, ఈ విలువ Duqu యొక్క సవరణపై ఆధారపడి 30 లేదా 36 రోజులకు సెట్ చేయబడింది మరియు ప్రతిరోజూ ఒకటి తగ్గుతుంది.
కమాండ్ సెంటర్లు
అక్టోబర్ 20, 2011 న (ఆవిష్కరణ బహిరంగపరచబడిన మూడు రోజుల తర్వాత), కమాండ్ సెంటర్ల ఆపరేషన్ యొక్క జాడలను నాశనం చేయడానికి Duqu ఆపరేటర్లు ఒక విధానాన్ని నిర్వహించారు. వియత్నాం, ఇండియా, జర్మనీ, సింగపూర్, స్విట్జర్లాండ్, గ్రేట్ బ్రిటన్, హాలండ్, దక్షిణ కొరియాలో - ప్రపంచవ్యాప్తంగా హ్యాక్ చేయబడిన సర్వర్లలో కమాండ్ సెంటర్లు హోస్ట్ చేయబడ్డాయి. ఆసక్తికరంగా, గుర్తించబడిన అన్ని సర్వర్లు CentOS సంస్కరణలు 5.2, 5.4 లేదా 5.5ని అమలు చేస్తున్నాయి. OSలు 32-బిట్ మరియు 64-బిట్ రెండూ. కమాండ్ సెంటర్ల ఆపరేషన్కు సంబంధించిన అన్ని ఫైల్లు తొలగించబడినప్పటికీ, కాస్పెర్స్కీ ల్యాబ్ నిపుణులు LOG ఫైల్లలోని కొంత సమాచారాన్ని స్లాక్ స్పేస్ నుండి తిరిగి పొందగలిగారు. అత్యంత ఆసక్తికరమైన విషయం ఏమిటంటే సర్వర్లపై దాడి చేసేవారు ఎల్లప్పుడూ డిఫాల్ట్ OpenSSH 4.3 ప్యాకేజీని వెర్షన్ 5.8తో భర్తీ చేస్తారు. సర్వర్లను హ్యాక్ చేయడానికి OpenSSH 4.3లో తెలియని దుర్బలత్వం ఉపయోగించబడిందని ఇది సూచించవచ్చు. అన్ని సిస్టమ్లు కమాండ్ సెంటర్లుగా ఉపయోగించబడలేదు. కొన్ని, పోర్ట్లు 80 మరియు 443 కోసం ట్రాఫిక్ను దారి మళ్లించడానికి ప్రయత్నిస్తున్నప్పుడు sshd లాగ్లలోని లోపాలను బట్టి, తుది కమాండ్ సెంటర్లకు కనెక్ట్ చేయడానికి ప్రాక్సీ సర్వర్గా ఉపయోగించబడింది.
తేదీలు మరియు మాడ్యూల్స్
ఏప్రిల్ 2011లో పంపిణీ చేయబడిన ఒక వర్డ్ డాక్యుమెంట్, దీనిని Kaspersky Lab పరిశీలించింది, ఆగస్ట్ 31, 2007 సంకలన తేదీతో ఇన్స్టాలర్ డౌన్లోడ్ డ్రైవర్ను కలిగి ఉంది. CrySys ల్యాబొరేటరీలోకి వచ్చిన డాక్యుమెంట్లో ఇదే విధమైన డ్రైవర్ (పరిమాణం - 20608 బైట్లు, MD5 - EEDCA45BD613E0D9A9E5C69122007F17) ఫిబ్రవరి 21, 2008 సంకలన తేదీని కలిగి ఉంది. అదనంగా, Kaspersky Lab నిపుణులు జనవరి 19968, 5 నాటి ఆటోరన్ డ్రైవర్ rndismpc.sys (పరిమాణం - 9 బైట్లు, MD6 - 10AEC5E9C05EE93221544C783BED20C2008E)ని కనుగొన్నారు. 2009గా గుర్తించబడిన భాగాలు ఏవీ కనుగొనబడలేదు. Duqu యొక్క వ్యక్తిగత భాగాల సంకలన సమయ ముద్రల ఆధారంగా, దాని అభివృద్ధి 2007 ప్రారంభంలో ఉండవచ్చు. దీని తొలి అభివ్యక్తి ~DO (బహుశా స్పైవేర్లో ఒకదాని ద్వారా సృష్టించబడింది) ఫారమ్లోని తాత్కాలిక ఫైల్ల గుర్తింపుతో అనుబంధించబడింది, దీని సృష్టి తేదీ నవంబర్ 28, 2008 (
ఉపయోగించిన సమాచార వనరులు:
సిమాంటెక్ విశ్లేషకుల నివేదిక
మూలం: www.habr.com