ProHoster > Blog > ахбори интернет > Дуку матрешкаи бадкасдона аст

Дуку матрешкаи бадкасдона аст

Муқаддима

1 сентябри соли 2011 файле бо номи ~DN1.tmp аз Маҷористон ба вебсайти VirusTotal фиристода шуд. Он вақт, файлро танҳо ду муҳаррики антивирус - BitDefender ва AVIRA ҳамчун зараровар муайян карданд. Саргузашти Дуку хамин тавр cap шуд. Ба пеш нигоҳ карда, бояд гуфт, ки оилаи нармафзори Duqu пас аз ин файл номгузорӣ шудааст. Бо вуҷуди ин, ин файл як модули ҷосусии комилан мустақил бо функсияҳои keylogger мебошад, ки эҳтимол бо кӯмаки зеркашии dropper зараровар насб карда шудааст ва онро танҳо ҳамчун "борбор" ҳисоб кардан мумкин аст, ки аз ҷониби нармафзори зараровар Duqu дар ҷараёни фаъолияташ бор карда шудааст, аммо интеграл нест. қисми (модули) Duqu . Яке аз ҷузъҳои Duqu танҳо 9 сентябр ба хидмати Virustotal фиристода шуд. Хусусияти фарқкунандаи он ронандаест, ки бо имзои рақамии C-Media имзо шудааст. Бархе аз коршиносон дарҳол ба муқоиса бо як мисоли маъруфи нармафзори зараровар - Stuxnet шурӯъ карданд, ки дар он драйверҳои имзошуда низ истифода мешуданд. Шумораи умумии компютерҳое, ки аз Duqu сироят ёфтаанд, аз ҷониби ширкатҳои гуногуни антивирусӣ дар саросари ҷаҳон ошкор шуда, даҳҳо нафарро ташкил медиҳад. Бисёре аз ширкатҳо иддао доранд, ки Эрон боз ҳадафи аслӣ аст, аммо аз рӯи ҷуғрофиёи паҳншавии сироятҳо, инро дақиқ гуфта намешавад.
Дуку матрешкаи бадкасдона аст
Дар ин ҳолат, шумо бояд танҳо дар бораи як ширкати дигар бо калимаи навбунёд сухан гӯед APT (таҳдиди пешрафтаи доимӣ).

Тартиби татбиқ дар система

Тадқиқоте, ки аз ҷониби мутахассисони созмони Маҷористонии CrySyS (Лабораторияи криптография ва амнияти системаҳои Донишгоҳи Технология ва Иқтисоди Будапешт) анҷом дода шуд, боиси кашфи насбкунанда (дроппер) гардид, ки тавассути он система сироят ёфтааст. Ин як файли Microsoft Word бо истисмор барои осебпазирии драйвери win32k.sys (MS11-087, ки аз ҷониби Microsoft дар 13 ноябри соли 2011 тавсиф шудааст) буд, ки барои муҳаррики коркарди шрифти TTF масъул аст. Рамзи shell-и эксплоит шрифтеро истифода мебарад, ки дар ҳуҷҷат бо номи 'Dexter Regular' ҷойгир шудааст ва Showtime Inc. ҳамчун созандаи шрифт ҳисоб карда мешавад. Тавре ки шумо мебинед, эҷодкорони Дуку ба ҳисси юмор бегона нестанд: Декстер қотили силсилавӣ, қаҳрамони сериали телевизионии ҳамон ном аст, ки аз ҷониби Showtime наворбардорӣ шудааст. Декстер танҳо ҷинояткоронро мекушад (агар имконпазир бошад), яъне қонунро аз номи қонун вайрон мекунад. Эхтимол, бо хамин рох тахиякунандагони Дуку хандаоваранд, ки бо максадхои нек ба корхои гайриконунй машгул мешаванд. Фиристодани мактубхо ба воситаи почтаи электронй максаднок ба рох монда шуд. Барои фиристодан, эҳтимолан, компютерҳои осебдида (хакершуда) ҳамчун миёнарав барои душвор кардани пайгирӣ истифода мешуданд.
Ҳамин тариқ, ҳуҷҷати Word ҷузъҳои зеринро дар бар мегирад:

  • мундариҷаи матн;
  • шрифти воридшуда;
  • истифода бурдани рамзи абрешим;
  • ронанда;
  • насбкунанда (DLL).

Дар сурати бомуваффақият иҷро кардани коди эксплоит, амалиёти зеринро анҷом дод (дар реҷаи ядро):

  • санҷиши сирояти дубора анҷом дода шуд, барои ин мавҷудияти калиди 'CF4D' дар реестри 'HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZones1' санҷида шуд, агар ин дуруст бошад, рамзи shell иҷрои худро анҷом дод;
  • ду файл рамзкушо карда шуданд - драйвер (sys) ва насбкунанда (dll);
  • ронанда ба раванди services.exe ворид карда шуд ва насбкунандаро оғоз кард;
  • дар охир, рамзи shellcode худро бо сифрҳо дар хотира пок кард.

Бо иҷро кардани win32k.sys ҳамчун корбари решаи "Система", таҳиягарони Duqu мушкилоти ҳам беиҷозат ва ҳам баландшавиро ҳал карданд (дар зери ҳисоби корбарӣ бо имтиёзҳои маҳдуд кор мекунанд).
Насбкунанда, пас аз гирифтани назорат, се блоки маълумотро дар хотира рамзкушоӣ кард, ки дорои:

  • ронандаи имзошуда (sys);
  • модули асосӣ (dll);
  • маълумоти конфигуратсияи насбкунанда (pnf).

Дар маълумоти конфигуратсияи насбкунанда як қатор санаҳо муайян карда шуданд (дар шакли ду тамғаи вақт - оғоз ва анҷом). Насбкунанда санҷид, ки оё санаи ҷорӣ ба он рост меояд, агар не, иҷрои онро анҷом дод. Инчунин, дар маълумоти конфигуратсияи насбкунанда, номҳое, ки дар зери он драйвер ва модули асосӣ захира карда шудаанд, нишон дода шудаанд. Дар ин ҳолат, модули асосӣ дар диск дар шакли рамзгузорӣ захира карда шуд.

Дуку матрешкаи бадкасдона аст

Барои худкор оғоз кардани Duqu, хидмате сохта шуд, ки файли драйверро истифода мебарад, ки бо истифода аз калидҳои дар реестр нигоҳ дошташуда модули асосиро дар парвоз рамзкушо мекунад. Модули асосӣ блоки додаҳои конфигуратсияи худро дар бар мегирад. Дар оғози аввал, он рамзкушо карда шуд, санаи насбкунӣ ба он ворид карда шуд, пас аз он дубора рамзгузорӣ карда шуд ва аз ҷониби модули асосӣ захира карда шуд. Ҳамин тариқ, дар системаи зарардида, ҳангоми насби бомуваффақият, се файл захира карда шуданд - драйвер, модули асосӣ ва файли конфигуратсияи он, дар ҳоле ки ду файли охирин дар диск дар шакли рамзгузорӣ нигоҳ дошта мешуданд. Ҳама расмиёти рамзкушоӣ танҳо дар хотира анҷом дода мешуданд. Ин тартиби мураккаби насбкунӣ барои кам кардани эҳтимолияти ошкор кардани нармафзори антивирус истифода шудааст.

Модули асосӣ

Модули асосӣ (манбаи 302), аз ҷониби маълумот аз ҷониби Lab Касперский, ки бо истифода аз MSVC 2008 дар C холис навишта шудааст, аммо бо истифода аз равиши ба объект нигаронидашуда. Ин равиш ҳангоми таҳияи коди зараровар хос нест. Чун қоида, чунин код дар C навишта шудааст, то андозаро кам кунад ва аз зангҳои номуайяне, ки ба C++ хос аст, халос шавад. Дар ин ҷо ҳам симбиоз вуҷуд дорад. Илова бар ин, меъмории ба рӯйдод нигаронидашуда истифода шудааст. Кормандони Лабораторияи Касперский ба назария майл доранд, ки модули асосӣ бо истифода аз иловаи пеш аз протсессор навишта шудааст, ки ба шумо имкон медиҳад кодро дар C бо услуби объект нависед.
Модули асосӣ барои тартиби қабули фармонҳо аз операторҳо масъул аст. Duqu якчанд роҳҳои мутақобиларо пешниҳод мекунад: бо истифода аз протоколҳои HTTP ва HTTPS, инчунин истифодаи қубурҳои номбаршуда (қубур). Барои HTTP(S) номҳои доменҳои марказҳои фармондиҳӣ муайян карда мешаванд, дар ҳоле ки кор тавассути сервери прокси имконпазир буд - ба онҳо номи корбар ва парол дода шуд. Ба канал суроғаи IP ва номи канал дода мешавад. Маълумоти муайяншуда дар блоки конфигуратсиявии модули асосӣ нигоҳ дошта мешавад (рамзкунонидашуда).
Барои истифодаи қубурҳои номбаршуда, татбиқи фармоишии сервери RPC оғоз шуд. Он ҳафт функсияи зеринро дастгирӣ мекард:

  • версияи насбшударо баргардонед;
  • dll-ро ба раванди муайяншуда ворид кунед ва функсияи муайяншударо даъват кунед;
  • dll бор кунед;
  • оғоз кардани раванд тавассути даъват CreateProcess();
  • хондани мундариҷаи файли додашуда;
  • навиштани маълумот ба файли муайян;
  • файли додашударо нест кунед.

Қубурҳои номбаршуда метавонанд дар дохили шабакаи маҳаллӣ барои паҳн кардани модулҳои навшуда ва маълумоти конфигуратсия байни компютерҳои аз Duqu сироятшуда истифода шаванд. Илова бар ин, Duqu метавонад ҳамчун сервери прокси барои дигар компютерҳои сироятшуда амал кунад (ки бо сабаби танзими девори девор дар шлюз дастрасӣ ба Интернет надошт). Баъзе версияҳои Duqu функсияи RPC надоштанд.

"Сарбории" маълум

Symantec ҳадди аққал чаҳор "борбори" -ро муайян кард, ки бо фармони маркази идоракунии Duqu бор карда шудаанд.
Аммо, танҳо яке аз онҳо резидент буд ва ҳамчун файли иҷрошаванда (exe) тартиб дода шуд, ки дар диск захира карда шуд. Се боқимонда ҳамчун китобхонаҳои dll амалӣ карда шуданд. Онҳо ба таври динамикӣ бор карда шуданд ва дар хотира бидуни сабт дар диск иҷро карда шуданд.

Резиденти "борбор" як модули ҷосусӣ буд (маълумотдуздӣ) бо функсияҳои keylogger. Маҳз бо фиристодани он ба VirusTotal кор дар таҳқиқоти Дуку оғоз ёфт. Функсияи асосии ҷосусӣ дар захира буд, ки 8 килобайти аввал як қисми акси галактикаи NGC 6745 (барои ниқобкунӣ) буд. Лозим ба ёдоварист, ки дар моҳи апрели соли 2012 баъзе расонаҳо маълумот нашр карданд (http://www.mehrnews.com/en/newsdetail.aspx?NewsID=1297506), ки Эрон ба як навъ нармафзори зараровари Stars дучор шудааст, дар ҳоле ки ҷузъиёти ҳодиса ифшо нашудааст. Эҳтимол дорад, ки маҳз ҳамин гуна намунаи «бор»-и Дуқу он замон дар Эрон пайдо шуда бошад, аз ин рӯ номи «Ситораҳо» (ситораҳо) гирифта шудааст.
Модули ҷосусӣ маълумоти зеринро ҷамъ овард:

  • рӯйхати равандҳои иҷрошаванда, маълумот дар бораи корбари ҷорӣ ва домен;
  • рӯйхати дискҳои мантиқӣ, аз ҷумла дискҳои шабакавӣ;
  • скриншотҳо;
  • суроғаҳои интерфейсҳои шабакавӣ, ҷадвалҳои масир;
  • файли сабти тугмаҳои клавиатура;
  • номҳои равзанаҳои барномаҳои кушода;
  • номгӯи захираҳои дастраси шабакавӣ (захираҳои мубодила);
  • рӯйхати пурраи файлҳо дар ҳама дискҳо, аз ҷумла дискҳои ҷудошаванда;
  • рӯйхати компютерҳо дар "муҳити шабакавӣ".

Модули дигари ҷосусӣ (маълумотдуздӣ) як варианти аллакай тавсифшуда буд, аммо ҳамчун китобхонаи dll тартиб дода шудааст, аз он вазифаҳои keylogger, тартиб додани рӯйхати файлҳо ва номбар кардани компютерҳои ба домен дохилшуда хориҷ карда шуданд.
Модули навбатӣ (паноҳгоҳ) маълумоти ҷамъшудаи система:

  • оё компютер ҷузъи домен аст;
  • роҳҳо ба феҳристҳои системаи Windows;
  • версияи системаи амалиётӣ;
  • номи корбари ҷорӣ;
  • рӯйхати адаптерҳои шабакавӣ;
  • система ва соати маҳаллӣ, инчунин минтақаи вақт.

Модули охирин (дарозкунандаи умр) функсияи зиёд кардани арзиш (дар файли конфигуратсияи модули асосӣ нигоҳ дошта мешавад) шумораи рӯзҳои боқимондаи то анҷоми кор амалӣ карда шуд. Бо нобаёнӣ, ин арзиш вобаста ба тағир додани Duqu ба 30 ё 36 рӯз муқаррар карда шуда буд ва ҳар рӯз як маротиба коҳиш ёфт.

марказҳои фармондеҳӣ

20 октябри соли 2011 (се рӯз пас аз эълони ин кашфиёт), операторони Дуку расмиёти нобуд кардани осори амалиёти марказҳои фармондеҳӣ анҷом доданд. Марказҳои фармондеҳӣ дар серверҳои ҳакерӣ дар саросари ҷаҳон ҷойгир буданд - дар Ветнам, Ҳиндустон, Олмон, Сингапур, Швейтсария, Британияи Кабир, Ҳолланд, Кореяи Ҷанубӣ. Ҷолиб он аст, ки ҳама серверҳои муайяншуда версияҳои CentOS 5.2, 5.4 ё 5.5-ро иҷро мекарданд. OS ҳам 32-бит ва 64-бит буданд. Сарфи назар аз он, ки ҳамаи файлҳои марбут ба фаъолияти марказҳои фармондеҳӣ нест карда шуданд, мутахассисони лабораторияи Касперский тавонистанд, ки баъзе маълумотро дар файлҳои LOG аз фазои суст барқарор кунанд. Далели ҷолибтарин ин аст, ки ҳамлагарон дар серверҳо ҳамеша бастаи пешфарзи OpenSSH 4.3-ро бо версияи 5.8 иваз мекарданд. Ин метавонад нишон диҳад, ки осебпазирии номаълум дар OpenSSH 4.3 барои шикастани серверҳо истифода шудааст. На ҳама системаҳо ҳамчун марказҳои фармондеҳӣ истифода мешуданд. Баъзеҳо аз рӯи хатогиҳо дар гузоришҳои sshd ҳангоми кӯшиши масири интиқоли трафик барои портҳои 80 ва 443, ҳамчун сервери прокси барои пайвастшавӣ ба марказҳои фармони ниҳоӣ истифода мешуданд.

Санаҳо ва модулҳо

Ҳуҷҷати Word, ки моҳи апрели соли 2011 паҳн шудааст, ки аз ҷониби лабораторияи Касперский тафтиш карда шуд, дорои драйвери зеркашии насбкунанда бо санаи тартиб додани санаи 31 августи соли 2007 буд. Як ронандаи шабеҳ (андоза - 20608 байт, MD5 - EEDCA45BD613E0D9A9E5C69122007F17) дар ҳуҷҷате, ки ба лабораторияи CrySys ворид шудааст, санаи тартиб додани санаи 21 феврали соли 2008 дошт. Илова бар ин, коршиносони лабораторияи Касперский драйвери autorun rndismpc.sys (андоза - 19968 байт, MD5 - 9AEC6E10C5EE9C05BED93221544C783E) аз 20 январи соли 2008 пайдо карданд. Ягон ҷузъе, ки соли 2009 нишон дода шудааст, ёфт нашуд. Бар асоси мӯҳлатҳои таҳияи қисмҳои алоҳидаи Дуку, рушди он метавонад ба аввали соли 2007 рост ояд. Аввалин зуҳуроти он бо ошкор кардани файлҳои муваққатии шакли ~DO (эҳтимолан яке аз нармафзори ҷосусӣ сохта шудааст) алоқаманд аст, ки санаи таъсиси он 28 ноябри соли 2008 мебошад (мақола "Duqu & Stuxnet: Ҷадвали рӯйдодҳои ҷолиб"). Санаи охирини марбут ба Duqu 23 феврали соли 2012 мебошад, ки дар драйвери зеркашии насбкунанда аз ҷониби Symantec дар моҳи марти соли 2012 кашф шудааст.

Сарчашмаҳои иттилооти истифодашуда:

силсилаи мақолаҳо дар бораи Duqu аз лабораторияи Касперский;
Гузориши таҳлилгари Symantec "W32.Duqu Пешгузаштаи Stuxnet оянда", версияи 1.4, ноябри соли 2011 (pdf).

Манбаъ: will.com

Илова Эзоҳ