پرو ہوسٹر > بلاگ > انٹرنیٹ کی خبریں > ڈوکو ایک بدنیتی پر مبنی ماتریوشکا ہے۔

ڈوکو ایک بدنیتی پر مبنی ماتریوشکا ہے۔

تعارف

1 ستمبر 2011 کو، ~DN1.tmp نامی فائل ہنگری سے VirusTotal ویب سائٹ پر بھیجی گئی۔ اس وقت، فائل کو صرف دو اینٹی وائرس انجنوں - BitDefender اور AVIRA کے ذریعہ بدنیتی کے طور پر پتہ چلا تھا۔ یوں دق کی کہانی شروع ہوئی۔ آگے دیکھتے ہوئے، یہ کہنا ضروری ہے کہ Duqu میلویئر فیملی کا نام اس فائل کے نام پر رکھا گیا تھا۔ تاہم، یہ فائل ایک مکمل طور پر خودمختار سپائیویئر ماڈیول ہے جس میں keylogger کے فنکشنز ہیں، انسٹال کیے گئے ہیں، شاید، ایک نقصان دہ ڈاؤنلوڈر ڈراپر کا استعمال کرتے ہوئے، اور اسے صرف ایک "پے لوڈ" کے طور پر سمجھا جا سکتا ہے جو اس کے آپریشن کے دوران Duqu میلویئر کے ذریعے لوڈ کیا گیا ہے، نہ کہ ایک جزو کے طور پر ( ماڈیول) Duqu کا۔ Duqu اجزاء میں سے ایک صرف 9 ستمبر کو Virustotal سروس کو بھیجا گیا تھا۔ اس کی مخصوص خصوصیت C-Media کے ذریعے ڈیجیٹل طور پر دستخط شدہ ڈرائیور ہے۔ کچھ ماہرین نے فوری طور پر میلویئر کی ایک اور مشہور مثال - Stuxnet، جس میں دستخط شدہ ڈرائیور بھی استعمال کیے جاتے تھے، کے ساتھ مشابہت پیدا کرنا شروع کردی۔ دنیا بھر میں مختلف اینٹی وائرس کمپنیوں کے ذریعے دریافت کیے گئے Duqu سے متاثرہ کمپیوٹرز کی کل تعداد درجنوں میں ہے۔ بہت سی کمپنیوں کا دعویٰ ہے کہ ایران ایک بار پھر اصل ہدف ہے، لیکن انفیکشن کی جغرافیائی تقسیم کو دیکھتے ہوئے یہ یقینی طور پر نہیں کہا جا سکتا۔
ڈوکو ایک بدنیتی پر مبنی ماتریوشکا ہے۔
اس صورت میں، آپ کو اعتماد کے ساتھ صرف کسی اور کمپنی کے بارے میں بات کرنی چاہئے جس میں ایک نیا لفظ ہے۔ اے پی ٹی (اعلی درجے کا مستقل خطرہ)۔

نظام کے نفاذ کا طریقہ کار

ہنگری کی تنظیم CrySyS (Budapest University of Technology and Economics میں ہنگری کی لیبارٹری آف کرپٹوگرافی اینڈ سسٹم سیکیورٹی) کے ماہرین کی طرف سے کی گئی ایک تحقیقات کے نتیجے میں انسٹالر (ڈراپر) کی دریافت ہوئی جس کے ذریعے سسٹم متاثر ہوا تھا۔ یہ ایک مائیکروسافٹ ورڈ فائل تھی جس میں win32k.sys ڈرائیور کی کمزوری (MS11-087، جسے مائیکروسافٹ نے 13 نومبر 2011 کو بیان کیا تھا) کا استحصال کیا تھا، جو TTF فونٹ رینڈرنگ میکانزم کے لیے ذمہ دار ہے۔ ایکسپلائٹ کا شیل کوڈ دستاویز میں ایمبیڈڈ 'ڈیکسٹر ریگولر' نامی فونٹ استعمال کرتا ہے، جس میں شو ٹائم انکارپوریشن فونٹ کے تخلیق کار کے طور پر درج ہے۔ جیسا کہ آپ دیکھ سکتے ہیں، ڈوکو کے تخلیق کار مزاح کے احساس کے لیے کوئی اجنبی نہیں ہیں: ڈیکسٹر ایک سیریل کلر ہے، اسی نام کی ٹیلی ویژن سیریز کا ہیرو، جسے شو ٹائم نے تیار کیا ہے۔ ڈیکسٹر صرف (اگر ممکن ہو) مجرموں کو مارتا ہے، یعنی وہ قانونی حیثیت کے نام پر قانون توڑتا ہے۔ شاید، اس طرح، Duqu ڈویلپرز ستم ظریفی ہیں کہ وہ اچھے مقاصد کے لیے غیر قانونی سرگرمیوں میں مصروف ہیں۔ ای میل بھیجنا جان بوجھ کر کیا گیا تھا۔ کھیپ میں غالباً سمجھوتہ شدہ (ہیک کیے گئے) کمپیوٹرز کو ایک بیچوان کے طور پر استعمال کیا گیا تاکہ ٹریکنگ کو مشکل بنایا جا سکے۔
اس طرح ورڈ دستاویز میں درج ذیل اجزاء شامل تھے:

  • متن کا مواد؛
  • بلٹ ان فونٹ؛
  • شیل کوڈ کا استحصال؛
  • ڈرائیور؛
  • انسٹالر (DLL لائبریری)۔

اگر کامیاب ہو تو، ایکسپلائٹ شیل کوڈ نے درج ذیل آپریشنز کیے (کرنل موڈ میں):

  • دوبارہ انفیکشن کے لیے ایک چیک کیا گیا؛ اس کے لیے، 'CF4D' کلید کی موجودگی کو رجسٹری میں 'HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZones1' پر چیک کیا گیا؛ اگر یہ درست تھا، تو شیل کوڈ نے اپنا عمل مکمل کرلیا؛
  • دو فائلوں کو ڈکرپٹ کیا گیا تھا - ڈرائیور (sys) اور انسٹالر (dll)؛
  • ڈرائیور کو services.exe کے عمل میں داخل کیا گیا اور انسٹالر کو لانچ کیا گیا۔
  • آخر میں، شیل کوڈ نے میموری میں زیرو کے ساتھ خود کو مٹا دیا۔

اس حقیقت کی وجہ سے کہ win32k.sys کو مراعات یافتہ صارف 'سسٹم' کے تحت عمل میں لایا جاتا ہے، Duqu کے ڈویلپرز نے غیر مجاز لانچ اور حقوق میں اضافہ (محدود حقوق کے ساتھ صارف اکاؤنٹ کے تحت چل رہا ہے) دونوں کے مسئلے کو خوبصورتی سے حل کیا ہے۔
کنٹرول حاصل کرنے کے بعد، انسٹالر نے میموری میں اس میں موجود ڈیٹا کے تین بلاکس کو ڈکرپٹ کیا، جن میں شامل ہیں:

  • دستخط شدہ ڈرائیور (sys)؛
  • مین ماڈیول (dll)؛
  • انسٹالر کنفیگریشن ڈیٹا (pnf)۔

انسٹالر کنفیگریشن ڈیٹا میں تاریخ کی حد متعین کی گئی تھی (دو ٹائم اسٹیمپ کی شکل میں - آغاز اور اختتام)۔ انسٹالر نے چیک کیا کہ آیا موجودہ تاریخ اس میں شامل تھی، اور اگر نہیں، تو اس نے اس پر عمل درآمد مکمل کیا۔ نیز انسٹالر کنفیگریشن ڈیٹا میں وہ نام تھے جن کے تحت ڈرائیور اور مین ماڈیول کو محفوظ کیا گیا تھا۔ اس صورت میں، مرکزی ماڈیول کو ڈسک پر انکرپٹڈ شکل میں محفوظ کیا گیا تھا۔

ڈوکو ایک بدنیتی پر مبنی ماتریوشکا ہے۔

Duqu کو آٹو سٹارٹ کرنے کے لیے، ڈرائیور فائل کا استعمال کرتے ہوئے ایک سروس بنائی گئی تھی جس نے رجسٹری میں محفوظ کیز کا استعمال کرتے ہوئے فلائی پر مرکزی ماڈیول کو ڈکرپٹ کیا تھا۔ مرکزی ماڈیول میں اپنا کنفیگریشن ڈیٹا بلاک ہوتا ہے۔ جب پہلی بار لانچ کیا گیا تو اسے ڈکرپٹ کیا گیا، اس میں انسٹالیشن کی تاریخ درج کی گئی، جس کے بعد اسے دوبارہ انکرپٹ کیا گیا اور مرکزی ماڈیول کے ذریعے محفوظ کر لیا۔ اس طرح، متاثرہ سسٹم میں، کامیاب انسٹالیشن پر، تین فائلیں محفوظ ہو گئیں - ڈرائیور، مین ماڈیول اور اس کی کنفیگریشن ڈیٹا فائل، جبکہ آخری دو فائلیں ڈسک پر انکرپٹڈ شکل میں محفوظ کی گئیں۔ تمام ضابطہ کشائی کے طریقہ کار صرف میموری میں کیے گئے تھے۔ تنصیب کا یہ پیچیدہ طریقہ کار اینٹی وائرس سافٹ ویئر کے ذریعے پتہ لگانے کے امکان کو کم کرنے کے لیے استعمال کیا گیا تھا۔

مرکزی ماڈیول

مین ماڈیول (وسائل 302) کے مطابق معلومات کمپنی Kaspersky Lab، خالص C میں MSVC 2008 کا استعمال کرتے ہوئے لکھا گیا، لیکن آبجیکٹ پر مبنی نقطہ نظر کا استعمال کرتے ہوئے۔ بدنیتی پر مبنی کوڈ تیار کرتے وقت یہ نقطہ نظر غیر معمولی ہے۔ ایک اصول کے طور پر، اس طرح کا کوڈ C میں لکھا جاتا ہے تاکہ سائز کو کم کیا جا سکے اور C++ میں موجود مضمر کالوں سے چھٹکارا حاصل کیا جا سکے۔ یہاں ایک خاص علامت ہے۔ اس کے علاوہ، ایک واقعہ پر مبنی فن تعمیر کا استعمال کیا گیا تھا. کاسپرسکی لیب کے ملازمین اس نظریہ کی طرف مائل ہیں کہ مرکزی ماڈیول ایک پری پروسیسر ایڈ آن کا استعمال کرتے ہوئے لکھا گیا تھا جو آپ کو آبجیکٹ کے انداز میں C کوڈ لکھنے کی اجازت دیتا ہے۔
مین ماڈیول آپریٹرز سے کمانڈ وصول کرنے کے طریقہ کار کے لیے ذمہ دار ہے۔ Duqu تعامل کے کئی طریقے فراہم کرتا ہے: HTTP اور HTTPS پروٹوکول کا استعمال کرتے ہوئے، نیز نام کے پائپوں کا استعمال۔ HTTP(S) کے لیے، کمانڈ سینٹرز کے ڈومین نام بتائے گئے تھے، اور پراکسی سرور کے ذریعے کام کرنے کی صلاحیت فراہم کی گئی تھی - ان کے لیے صارف کا نام اور پاس ورڈ متعین کیا گیا تھا۔ آئی پی ایڈریس اور اس کا نام چینل کے لیے بیان کیا گیا ہے۔ مخصوص ڈیٹا مین ماڈیول کنفیگریشن ڈیٹا بلاک (انکرپٹڈ شکل میں) میں محفوظ کیا جاتا ہے۔
نامزد پائپوں کو استعمال کرنے کے لیے، ہم نے اپنا اپنا RPC سرور نفاذ شروع کیا۔ اس نے درج ذیل سات افعال کی حمایت کی۔

  • انسٹال شدہ ورژن واپس کریں؛
  • dll کو مخصوص عمل میں داخل کریں اور مخصوص فنکشن کو کال کریں۔
  • لوڈ dll؛
  • CreateProcess() کو کال کرکے ایک عمل شروع کریں؛
  • دی گئی فائل کے مواد کو پڑھیں؛
  • مخصوص فائل میں ڈیٹا لکھیں؛
  • مخصوص فائل کو حذف کریں۔

ڈوکو سے متاثرہ کمپیوٹرز کے درمیان اپ ڈیٹ شدہ ماڈیولز اور کنفیگریشن ڈیٹا کو تقسیم کرنے کے لیے مقامی نیٹ ورک کے اندر نامزد پائپوں کا استعمال کیا جا سکتا ہے۔ اس کے علاوہ، Duqu دوسرے متاثرہ کمپیوٹرز کے لیے ایک پراکسی سرور کے طور پر کام کر سکتا ہے (جن میں گیٹ وے پر فائر وال سیٹنگز کی وجہ سے انٹرنیٹ تک رسائی نہیں تھی)۔ Duqu کے کچھ ورژن میں RPC کی فعالیت نہیں تھی۔

معروف "پے لوڈز"

سیمنٹیک نے کم از کم چار قسم کے پے لوڈ دریافت کیے جو ڈوکو کنٹرول سینٹر سے کمانڈ کے تحت ڈاؤن لوڈ کیے گئے تھے۔
مزید یہ کہ ان میں سے صرف ایک رہائشی تھا اور ایک قابل عمل فائل (exe) کے طور پر مرتب کیا گیا تھا، جسے ڈسک میں محفوظ کیا گیا تھا۔ باقی تین کو dll لائبریریوں کے طور پر لاگو کیا گیا تھا۔ وہ متحرک طور پر لوڈ کیے گئے تھے اور ڈسک میں محفوظ کیے بغیر میموری میں ان پر عمل درآمد کیا گیا تھا۔

رہائشی "پے لوڈ" ایک جاسوس ماڈیول تھا (infostealer) keylogger افعال کے ساتھ۔ اسے VirusTotal پر بھیج کر ہی Duqu تحقیق پر کام شروع ہوا۔ جاسوسی کی اصل فعالیت وسائل میں تھی، جس میں سے پہلے 8 کلو بائٹس میں کہکشاں NGC 6745 (کیموفلاج کے لیے) کی تصویر کا حصہ تھا۔ یہاں یہ یاد رہے کہ اپریل 2012 میں کچھ ذرائع ابلاغ نے یہ معلومات شائع کی تھیں (http://www.mehrnews.com/en/newsdetail.aspx?NewsID=1297506) کہ ایران میں کچھ بدنیتی پر مبنی سافٹ ویئر "ستاروں" کا انکشاف ہوا ہے، جبکہ تفصیلات واقعہ ظاہر نہیں کیا گیا تھا. شاید یہ صرف Duqu "پے لوڈ" کا ایک ایسا نمونہ تھا جو اس وقت ایران میں دریافت ہوا تھا، اس لیے اسے "ستارے" کا نام دیا گیا تھا۔
جاسوس ماڈیول نے درج ذیل معلومات اکٹھی کی:

  • چلانے کے عمل کی فہرست، موجودہ صارف اور ڈومین کے بارے میں معلومات؛
  • منطقی ڈرائیوز کی فہرست، بشمول نیٹ ورک ڈرائیوز؛
  • اسکرین شاٹس؛
  • نیٹ ورک انٹرفیس ایڈریس، روٹنگ ٹیبلز؛
  • کی بورڈ کی اسٹروک کی لاگ فائل؛
  • کھلی ایپلیکیشن ونڈوز کے نام؛
  • دستیاب نیٹ ورک وسائل کی فہرست (شیئرنگ وسائل)؛
  • تمام ڈسکوں پر موجود فائلوں کی مکمل فہرست، بشمول ہٹنے والی فائلز؛
  • "نیٹ ورک ماحول" میں کمپیوٹرز کی فہرست۔

ایک اور جاسوسی ماڈیول (infostealer) اس کا ایک تغیر تھا جو پہلے سے بیان کیا گیا تھا، لیکن اسے dll لائبریری کے طور پر مرتب کیا گیا تھا؛ ایک keylogger کے افعال، فائلوں کی فہرست مرتب کرنا اور ڈومین میں شامل کمپیوٹرز کی فہرست کو اس سے ہٹا دیا گیا تھا۔
اگلا ماڈیول (جاسوسی) جمع کردہ نظام کی معلومات:

  • آیا کمپیوٹر ڈومین کا حصہ ہے؛
  • ونڈوز سسٹم ڈائریکٹریز کے راستے؛
  • آپریٹنگ سسٹم ورژن؛
  • موجودہ صارف کا نام؛
  • نیٹ ورک اڈاپٹر کی فہرست؛
  • نظام اور مقامی وقت کے ساتھ ساتھ ٹائم زون۔

آخری ماڈیول (عمر بڑھانے والا) کام مکمل ہونے تک باقی دنوں کی تعداد کی قدر (مین ماڈیول کنفیگریشن ڈیٹا فائل میں محفوظ) بڑھانے کے لیے ایک فنکشن نافذ کیا۔ پہلے سے طے شدہ طور پر، یہ قدر Duqu ترمیم کے لحاظ سے 30 یا 36 دنوں پر سیٹ کی گئی تھی، اور ہر دن ایک کی کمی واقع ہوئی تھی۔

کمانڈ سینٹرز

20 اکتوبر 2011 کو (اس دریافت کے بارے میں معلومات پھیلانے کے تین دن بعد)، Duqu آپریٹرز نے کمانڈ سینٹرز کے کام کے نشانات کو ختم کرنے کا طریقہ کار انجام دیا۔ کمانڈ سینٹرز دنیا بھر میں ہیک کیے گئے سرورز پر واقع تھے - ویتنام، ہندوستان، جرمنی، سنگاپور، سوئٹزرلینڈ، برطانیہ، ہالینڈ، جنوبی کوریا میں۔ دلچسپ بات یہ ہے کہ تمام شناخت شدہ سرور CentOS ورژن 5.2، 5.4 یا 5.5 چلا رہے تھے۔ OS 32 بٹ اور 64 بٹ دونوں تھے۔ اس حقیقت کے باوجود کہ کمانڈ سینٹرز کے آپریشن سے متعلق تمام فائلوں کو حذف کر دیا گیا تھا، کاسپرسکی لیب کے ماہرین سست جگہ سے LOG ​​فائلوں سے کچھ معلومات بازیافت کرنے میں کامیاب رہے۔ سب سے دلچسپ حقیقت یہ ہے کہ سرورز پر حملہ آوروں نے ہمیشہ پہلے سے طے شدہ OpenSSH 4.3 پیکیج کو ورژن 5.8 کے ساتھ تبدیل کیا۔ یہ اس بات کی نشاندہی کر سکتا ہے کہ OpenSSH 4.3 میں ایک نامعلوم خطرے کا استعمال سرورز کو ہیک کرنے کے لیے کیا گیا تھا۔ تمام سسٹمز کو کمانڈ سینٹرز کے طور پر استعمال نہیں کیا گیا تھا۔ کچھ، بندرگاہوں 80 اور 443 کے لیے ٹریفک کو ری ڈائریکٹ کرنے کی کوشش کرتے وقت sshd لاگز میں غلطیوں کو دیکھتے ہوئے، اختتامی کمانڈ سینٹرز سے منسلک ہونے کے لیے بطور پراکسی سرور استعمال کیے گئے۔

تاریخیں اور ماڈیولز

اپریل 2011 میں تقسیم کی گئی ایک ورڈ دستاویز، جس کا کیسپرسکی لیب نے معائنہ کیا، اس میں 31 اگست 2007 کی تالیف کی تاریخ کے ساتھ انسٹالر ڈاؤن لوڈ ڈرائیور موجود تھا۔ اسی طرح کے ڈرائیور (سائز - 20608 بائٹس، MD5 - EEDCA45BD613E0D9A9E5C69122007F17) CrySys لیبارٹریز میں ملنے والی ایک دستاویز میں 21 فروری 2008 کی تالیف کی تاریخ تھی۔ اس کے علاوہ، Kaspersky Lab کے ماہرین نے 19968 جنوری 5 کی تاریخ کے ساتھ آٹورن ڈرائیور rndismpc.sys (سائز - 9 بائٹس، MD6 - 10AEC5E9C05EE93221544C783BED20C2008E) پایا۔ 2009 کے نشان والے کوئی اجزاء نہیں ملے۔ Duqu کے انفرادی حصوں کی تالیف کے ٹائم اسٹیمپ کی بنیاد پر، اس کی ترقی 2007 کے اوائل تک ہوسکتی ہے۔ اس کا ابتدائی مظہر ~DO قسم کی عارضی فائلوں کی کھوج سے منسلک ہے (شاید اسپائی ویئر ماڈیولز میں سے ایک کے ذریعہ تخلیق کیا گیا ہے)، جس کی تخلیق کی تاریخ 28 نومبر 2008 ہے (مضمون "Duqu & Stuxnet: دلچسپ واقعات کی ایک ٹائم لائن")۔ Duqu سے وابستہ تازہ ترین تاریخ 23 فروری 2012 تھی، جو مارچ 2012 میں Symantec کے ذریعے دریافت کردہ انسٹالر ڈاؤن لوڈ ڈرائیور میں موجود تھی۔

استعمال شدہ معلومات کے ذرائع:

مضامین کی سیریز کاسپرسکی لیب سے ڈوکو کے بارے میں؛
سیمنٹیک تجزیاتی رپورٹ "W32.Duqu اگلے Stuxnet کا پیش خیمہ"، ورژن 1.4، نومبر 2011 (پی ڈی ایف)۔

ماخذ: www.habr.com

نیا تبصرہ شامل کریں