ProHoster > Blog > internet yangiliklari > Duqu - zararli matryoshka

Duqu - zararli matryoshka

kirish

1-yil 2011-sentabrda VirusTotal veb-saytiga Vengriyadan ~DN1.tmp nomli fayl yuborildi. O'sha paytda fayl faqat ikkita antivirus dvigateli - BitDefender va AVIRA tomonidan zararli deb topilgan. Duquning hikoyasi shunday boshlandi. Oldinga qarab, Duqu zararli dasturlari oilasi ushbu fayl nomi bilan atalganligini aytish kerak. Biroq, bu fayl butunlay mustaqil josuslarga qarshi dastur moduli boʻlib, u keylogger funksiyalariga ega boʻlib, zararli yuklab oluvchi-tomchil yordamida oʻrnatilgan boʻlib, uni komponent sifatida emas, balki faqat Duqu zararli dasturining ishlashi davomida yuklagan “foydali yuk” sifatida koʻrib chiqish mumkin. moduli) Duqu. Duqu komponentlaridan biri Virustotal xizmatiga faqat 9-sentabrda yuborilgan. Uning o'ziga xos xususiyati - C-Media tomonidan raqamli imzolangan haydovchi. Ba'zi ekspertlar darhol zararli dasturlarning yana bir mashhur misoli - Stuxnet bilan o'xshashlik qilishni boshladilar, u ham imzolangan drayverlardan foydalangan. Dunyo bo'ylab turli antivirus kompaniyalari tomonidan aniqlangan Duqu virusi bilan zararlangan kompyuterlarning umumiy soni o'nlab. Ko'pgina kompaniyalar Eron yana asosiy maqsad deb da'vo qilmoqdalar, ammo infektsiyalarning geografik tarqalishiga qarab, buni aniq aytish mumkin emas.
Duqu - zararli matryoshka
Bunday holda, siz faqat yangi so'z bilan boshqa kompaniya haqida ishonch bilan gapirishingiz kerak APT (ilg'or doimiy tahdid).

Tizimni amalga oshirish tartibi

Vengriyaning CrySyS (Budapesht texnologiya va iqtisodiyot universiteti qoshidagi kriptografiya va tizim xavfsizligi boʻyicha Vengriya laboratoriyasi) mutaxassislari tomonidan olib borilgan tekshiruv natijasida tizimga zarar yetkazilgan oʻrnatuvchi (tomchiluvchi) topildi. Bu TTF shriftini ko'rsatish mexanizmi uchun mas'ul bo'lgan win32k.sys drayverining zaifligi (MS11-087, Microsoft tomonidan 13 yil 2011 noyabrda tasvirlangan) uchun ekspluatatsiyaga ega Microsoft Word fayli edi. Exploitning qobiq kodi hujjatga o'rnatilgan "Dexter Regular" deb nomlangan shriftdan foydalanadi, Showtime Inc. shrift yaratuvchisi sifatida ko'rsatilgan. Ko'rib turganingizdek, Duqu ijodkorlari hazil tuyg'usiga begona emas: Dekster - serial qotil, Showtime tomonidan ishlab chiqarilgan xuddi shu nomdagi teleserial qahramoni. Dekster faqat (iloji bo'lsa) jinoyatchilarni o'ldiradi, ya'ni qonuniylik nomidan qonunni buzadi. Ehtimol, shu tarzda, Duqu ishlab chiquvchilari yaxshi maqsadlar uchun noqonuniy faoliyat bilan shug'ullanayotganliklarini kinoya qilishadi. Elektron pochta xabarlarini yuborish maqsadli amalga oshirildi. Yuk tashish kuzatuvni qiyinlashtirish uchun vositachi sifatida buzilgan (buzilgan) kompyuterlardan foydalangan.
Shunday qilib, Word hujjatida quyidagi komponentlar mavjud edi:

  • matn tarkibi;
  • o'rnatilgan shrift;
  • qobiq kodidan foydalanish;
  • haydovchi;
  • o'rnatuvchi (DLL kutubxonasi).

Muvaffaqiyatli bo'lsa, ekspluatatsiya shellkodi quyidagi operatsiyalarni amalga oshirdi (yadro rejimida):

  • qayta infektsiya uchun tekshiruv o'tkazildi, buning uchun "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZones4" manzilidagi registrda "CF1D" kalitining mavjudligi tekshirildi; agar bu to'g'ri bo'lsa, qobiq kodi o'z bajarilishini yakunladi;
  • ikkita fayl shifrlangan - drayver (sys) va o'rnatuvchi (dll);
  • drayver services.exe jarayoniga kiritildi va o'rnatuvchini ishga tushirdi;
  • Nihoyat, shellcode xotirada nol bilan o'zini o'chirib tashladi.

Win32k.sys "Tizim" imtiyozli foydalanuvchisi ostida amalga oshirilganligi sababli, Duqu ishlab chiquvchilari ruxsatsiz ishga tushirish va huquqlarning kuchayishi (cheklangan huquqlarga ega foydalanuvchi hisobi ostida ishlaydi) muammosini nafis tarzda hal qilishdi.
Nazoratni qabul qilgandan so'ng, o'rnatuvchi xotirada joylashgan uchta ma'lumot blokini shifrladi:

  • imzolangan drayver (sys);
  • asosiy modul (dll);
  • o'rnatuvchi konfiguratsiya ma'lumotlari (pnf).

O'rnatuvchining konfiguratsiya ma'lumotlarida sana oralig'i ko'rsatilgan (ikki vaqt belgisi shaklida - boshlanish va tugatish). O'rnatuvchi joriy sana kiritilganligini tekshirdi va agar bo'lmasa, u bajarilishini yakunladi. Shuningdek, o'rnatuvchi konfiguratsiya ma'lumotlarida drayver va asosiy modul saqlangan nomlar mavjud edi. Bunday holda, asosiy modul diskda shifrlangan shaklda saqlangan.

Duqu - zararli matryoshka

Duqu-ni avtomatik ishga tushirish uchun ro'yxatga olish kitobida saqlangan kalitlar yordamida asosiy modulni tezda shifrlangan haydovchi fayli yordamida xizmat yaratildi. Asosiy modul o'zining konfiguratsiya ma'lumotlar blokini o'z ichiga oladi. Birinchi marta ishga tushirilganda, u shifrlangan, o'rnatish sanasi kiritilgan, shundan so'ng u yana shifrlangan va asosiy modul tomonidan saqlanadi. Shunday qilib, ta'sirlangan tizimda, muvaffaqiyatli o'rnatishdan so'ng, uchta fayl - haydovchi, asosiy modul va uning konfiguratsiya ma'lumotlari fayli, oxirgi ikkita fayl diskda shifrlangan shaklda saqlangan. Barcha dekodlash jarayonlari faqat xotirada amalga oshirildi. Ushbu murakkab o'rnatish protsedurasi antivirus dasturi tomonidan aniqlash imkoniyatini minimallashtirish uchun ishlatilgan.

Asosiy modul

Asosiy modul (resurs 302), ko'ra axborot kompaniyasi Kasperskiy laboratoriyasi, MSVC 2008 yordamida sof C tilida yozilgan, lekin ob'ektga yo'naltirilgan yondashuvdan foydalangan holda. Zararli kodni ishlab chiqishda bu yondashuv xos emas. Qoidaga ko'ra, bunday kod hajmini kamaytirish va C++ ga xos bo'lgan yashirin qo'ng'iroqlardan xalos bo'lish uchun C tilida yoziladi. Bu erda ma'lum bir simbioz mavjud. Bundan tashqari, hodisaga asoslangan arxitektura ishlatilgan. Kasperskiy laboratoriyasi xodimlari asosiy modul C kodini ob'ekt uslubida yozish imkonini beruvchi protsessordan oldingi plagin yordamida yozilgan degan nazariyaga moyil.
Asosiy modul operatorlardan buyruqlarni qabul qilish tartibi uchun javobgardir. Duqu o'zaro ta'sir qilishning bir nechta usullarini taqdim etadi: HTTP va HTTPS protokollaridan foydalanish, shuningdek, nomlangan quvurlardan foydalanish. HTTP(S) uchun buyruq markazlarining domen nomlari belgilandi va proksi-server orqali ishlash imkoniyati taqdim etildi - ular uchun foydalanuvchi nomi va parol ko'rsatilgan. Kanal uchun IP manzili va uning nomi ko'rsatilgan. Belgilangan ma'lumotlar asosiy modul konfiguratsiyasi ma'lumotlar blokida (shifrlangan shaklda) saqlanadi.
Nomlangan quvurlardan foydalanish uchun biz o'z RPC serverimizni ishga tushirdik. U quyidagi etti funktsiyani qo'llab-quvvatladi:

  • o'rnatilgan versiyani qaytarish;
  • dll faylini belgilangan jarayonga kiriting va belgilangan funktsiyani chaqiring;
  • dll-ni yuklash;
  • CreateProcess() ni chaqirish orqali jarayonni boshlang;
  • berilgan faylning mazmunini o'qish;
  • belgilangan faylga ma'lumotlarni yozish;
  • belgilangan faylni o'chiring.

Nomlangan quvurlardan mahalliy tarmoq ichida yangilangan modullar va konfiguratsiya ma'lumotlarini Duqu bilan zararlangan kompyuterlar o'rtasida tarqatish uchun foydalanish mumkin. Bundan tashqari, Duqu boshqa zararlangan kompyuterlar (shlyuzdagi xavfsizlik devori sozlamalari tufayli Internetga kirish imkoni bo'lmagan) uchun proksi-server vazifasini bajarishi mumkin edi. Duquning ba'zi versiyalarida RPC funksiyasi yo'q edi.

Ma'lum "foydali yuklar"

Symantec kompaniyasi Duqu boshqaruv markazi buyrug'i ostida yuklab olingan kamida to'rt turdagi foydali yuklarni topdi.
Bundan tashqari, ulardan faqat bittasi rezident bo'lib, diskda saqlangan bajariladigan fayl (exe) sifatida tuzilgan. Qolgan uchtasi dll kutubxonalari sifatida amalga oshirildi. Ular dinamik ravishda yuklangan va diskda saqlanmasdan xotirada bajarilgan.

Rezident "foydali yuk" josuslik moduli edi (ma'lumot o'g'irligi) keylogger funksiyalari bilan. Uni VirusTotal-ga yuborish orqali Duqu tadqiqoti ustida ish boshlandi. Asosiy josuslik funksiyasi resursda edi, uning dastlabki 8 kilobaytida NGC 6745 galaktikasi suratining bir qismi (kamuflyaj uchun) mavjud edi. Eslatib o‘tamiz, 2012-yilning aprel oyida ba’zi OAVlar Eron “Stars” zararli dasturlariga duchor bo‘lgani haqida (http://www.mehrnews.com/en/newsdetail.aspx?NewsID=1297506) ma’lumotlarni e’lon qilgan edi. voqea oshkor etilmagan. Ehtimol, aynan shunday namuna bo'lgan Duqu "foydali yuk" o'sha paytda Eronda topilgan, shuning uchun "Yulduzlar" nomi.
Ayg'oqchi modul quyidagi ma'lumotlarni to'pladi:

  • ishlaydigan jarayonlar ro'yxati, joriy foydalanuvchi va domen haqida ma'lumot;
  • mantiqiy drayverlar ro'yxati, shu jumladan tarmoq drayverlari;
  • skrinshotlar;
  • tarmoq interfeysi manzillari, marshrutlash jadvallari;
  • klaviatura tugmalarini bosish jurnali fayli;
  • ochiq dastur oynalarining nomlari;
  • mavjud tarmoq resurslari ro'yxati (almashish resurslari);
  • barcha disklardagi, shu jumladan olinadigan fayllarning to'liq ro'yxati;
  • "tarmoq muhiti" dagi kompyuterlar ro'yxati.

Boshqa josuslik moduli (ma'lumot o'g'irligi) allaqachon tasvirlangan narsaning o'zgarishi edi, lekin DLL kutubxonasi sifatida tuzilgan; undan keylogger, fayllar ro'yxatini tuzish va domenga kiritilgan kompyuterlarni ro'yxatga olish funktsiyalari olib tashlandi.
Keyingi modul (razvedka) to'plangan tizim ma'lumotlari:

  • kompyuter domenning bir qismimi yoki yo'qmi;
  • Windows tizim kataloglariga yo'llar;
  • operatsion tizim versiyasi;
  • joriy foydalanuvchi nomi;
  • tarmoq adapterlari ro'yxati;
  • tizim va mahalliy vaqt, shuningdek, vaqt mintaqasi.

Oxirgi modul (umrini uzaytiruvchi) ish tugaguniga qadar qolgan kunlar sonining qiymatini (asosiy modul konfiguratsiya maʼlumotlar faylida saqlanadi) oshirish funksiyasini amalga oshirdi. Odatiy bo'lib, bu qiymat Duqu modifikatsiyasiga qarab 30 yoki 36 kunga o'rnatildi va har kuni bittaga kamaydi.

Buyruq markazlari

20 yil 2011 oktyabrda (kashfiyot haqidagi ma'lumot tarqatilgandan uch kun o'tgach) Duqu operatorlari qo'mondonlik markazlari faoliyatining izlarini yo'q qilish jarayonini amalga oshirdilar. Qo'mondonlik markazlari butun dunyo bo'ylab buzilgan serverlarda - Vetnam, Hindiston, Germaniya, Singapur, Shveytsariya, Buyuk Britaniya, Gollandiya va Janubiy Koreyada joylashgan edi. Qizig'i shundaki, barcha aniqlangan serverlar CentOS 5.2, 5.4 yoki 5.5 versiyalarida ishlagan. Operatsion tizimlar ham 32 bit, ham 64 bitli edi. Buyruqlar markazlarining ishlashi bilan bog'liq barcha fayllar o'chirilganiga qaramay, Kasperskiy laboratoriyasi mutaxassislari bo'sh joydan LOG fayllaridagi ma'lumotlarning bir qismini tiklashga muvaffaq bo'lishdi. Eng qiziq fakt shundaki, serverlardagi tajovuzkorlar har doim standart OpenSSH 4.3 paketini 5.8 versiyasi bilan almashtirgan. Bu OpenSSH 4.3 da noma'lum zaiflik serverlarni buzish uchun ishlatilganligini ko'rsatishi mumkin. Hamma tizimlar buyruq markazlari sifatida foydalanilmagan. Ba'zilar, 80 va 443 portlari uchun trafikni qayta yo'naltirishga urinishda sshd jurnallaridagi xatolarga ko'ra, oxirgi buyruq markazlariga ulanish uchun proksi-server sifatida ishlatilgan.

Sanalar va modullar

2011-yil aprel oyida tarqatilgan va Kasperskiy laboratoriyasi tomonidan tekshirilgan Word hujjatida 31-yil 2007-avgustda tuzilgan oʻrnatuvchi yuklab olish drayveri mavjud edi. CrySys laboratoriyalarida topilgan hujjatdagi shunga o'xshash drayver (hajmi - 20608 bayt, MD5 - EEDCA45BD613E0D9A9E5C69122007F17) 21 yil 2008 fevralda tuzilgan. Bundan tashqari, Kasperskiy laboratoriyasi mutaxassislari 19968 yil 5 yanvar sanasi bilan rndismpc.sys (hajmi - 9 bayt, MD6 - 10AEC5E9C05EE93221544C783BED20C2008E) autorun drayverini topdilar. 2009 yil deb belgilangan komponentlar topilmadi. Duquning alohida qismlarini tuzish vaqt belgilariga asoslanib, uning rivojlanishi 2007 yil boshiga to'g'ri kelishi mumkin. Uning eng erta namoyon bo'lishi ~DO tipidagi vaqtinchalik fayllarni aniqlash bilan bog'liq (ehtimol josuslik dasturlari modullaridan biri tomonidan yaratilgan), yaratilish sanasi 28 yil 2008 noyabr (maqola "Duqu & Stuxnet: Qiziqarli voqealar xronologiyasi"). Duqu bilan bog'liq eng so'nggi sana 23 yil 2012 fevral bo'lib, Symantec tomonidan 2012 yil mart oyida topilgan o'rnatuvchi yuklab olish drayverida joylashgan.

Foydalanilgan ma'lumotlar manbalari:

maqolalar turkumi Kasperskiy laboratoriyasidan Duqu haqida;
Symantec tahliliy hisoboti "W32.Duqu Keyingi Stuxnet uchun kashshof", 1.4 versiyasi, 2011 yil noyabr (pdf).

Manba: www.habr.com

a Izoh qo'shish