ProHoster > Блог > ayelujara iroyin > Duqu - ọmọlangidi itẹ-ẹiyẹ irira

Duqu - ọmọlangidi itẹ-ẹiyẹ irira

Ifihan

Ni Oṣu Kẹsan Ọjọ 1, Ọdun 2011, faili kan ti a npè ni ~DN1.tmp ni a fi ranṣẹ si oju opo wẹẹbu VirusTotal lati Hungary. Ni akoko yẹn, faili naa jẹ irira nipasẹ awọn ẹrọ ọlọjẹ meji nikan - BitDefender ati AVIRA. Bayi ni itan Duqu ṣe bẹrẹ. Ni wiwa niwaju, o gbọdọ sọ pe idile Duqu malware ni orukọ lẹhin orukọ faili yii. Bibẹẹkọ, faili yii jẹ module spyware ti o ni ominira patapata pẹlu awọn iṣẹ keylogger, ti fi sori ẹrọ, boya, ni lilo olugbasilẹ irira-dropper, ati pe o le gba bi “ẹru isanwo” ti o kojọpọ nipasẹ Duqu malware lakoko iṣẹ rẹ, kii ṣe gẹgẹ bi paati kan ( module) ti Duqu. Ọkan ninu awọn paati Duqu ni a firanṣẹ si iṣẹ Virustotal nikan ni Oṣu Kẹsan ọjọ 9. Ẹya iyasọtọ rẹ jẹ awakọ oni-nọmba ti o fowo si nipasẹ C-Media. Diẹ ninu awọn amoye lẹsẹkẹsẹ bẹrẹ lati fa awọn afiwe pẹlu apẹẹrẹ olokiki miiran ti malware - Stuxnet, eyiti o tun lo awọn awakọ ti o fowo si. Nọmba apapọ awọn kọnputa Duqu ti o ni akoran ti a rii nipasẹ ọpọlọpọ awọn ile-iṣẹ antivirus ni ayika agbaye wa ninu awọn dosinni. Ọpọlọpọ awọn ile-iṣẹ sọ pe Iran tun jẹ ibi-afẹde akọkọ, ṣugbọn adajọ nipasẹ pinpin agbegbe ti awọn akoran, eyi ko le sọ ni idaniloju.
Duqu - ọmọlangidi itẹ-ẹiyẹ irira
Ni idi eyi, o yẹ ki o ni igboya sọrọ nikan nipa ile-iṣẹ miiran pẹlu ọrọ tuntun APT (irokeke jubẹẹlo ilọsiwaju).

Ilana imuse eto

Iwadii ti a ṣe nipasẹ awọn alamọja lati ile-iṣẹ Hungarian CrySyS (Laboratory Hungary ti Cryptography ati Aabo Eto ni Budapest University of Technology and Economics) yori si wiwa ti insitola (dropper) nipasẹ eyiti eto naa ti ni akoran. O jẹ faili Ọrọ Microsoft kan pẹlu ilokulo fun ailagbara awakọ win32k.sys (MS11-087, ti Microsoft ṣapejuwe ni Oṣu kọkanla ọjọ 13, Ọdun 2011), eyiti o jẹ iduro fun siseto ẹda TTF font. Awọn koodu ikarahun nilokulo nlo fonti ti a pe ni 'Dexter Regular' ti a fi sinu iwe, pẹlu Showtime Inc. Gẹgẹbi o ti le rii, awọn olupilẹṣẹ ti Duqu kii ṣe alejò si ori ti efe: Dexter jẹ apaniyan ni tẹlentẹle, akọni ti jara tẹlifisiọnu ti orukọ kanna, ti a ṣe nipasẹ Showtime. Dexter pa nikan (ti o ba ṣeeṣe) awọn ọdaràn, iyẹn ni, o ṣẹ ofin ni orukọ ofin. Boya, ni ọna yii, awọn olupilẹṣẹ Duqu jẹ ironic pe wọn ṣe awọn iṣẹ arufin fun awọn idi to dara. Fifiranṣẹ awọn imeeli ni idi. O ṣeese ki gbigbe naa lo awọn kọnputa ti o gbogun (gepa) bi agbedemeji lati jẹ ki ipasẹ le nira.
Iwe Ọrọ naa nitorina ni awọn paati wọnyi ninu:

  • akoonu ọrọ;
  • fonti ti a ṣe sinu;
  • lo nilokulo shellcode;
  • awako;
  • insitola (ile-ikawe DLL).

Ti o ba ṣaṣeyọri, lo nilokulo shellcode ṣe awọn iṣẹ wọnyi (ni ipo ekuro):

  • A ṣe ayẹwo kan fun atunkokoro; nitori eyi, wiwa bọtini 'CF4D' ni a ṣayẹwo ni iforukọsilẹ ni adirẹsi 'HKEY_LOCAL_MACHINESOFTWAREMIcrosoftWindowsCurrentVersionInternet SettingsZones1'; ti eyi ba jẹ deede, shellcode ti pari ipaniyan rẹ;
  • Awọn faili meji ni idinku - awakọ (sys) ati insitola (dll);
  • awakọ naa ni itasi sinu ilana awọn iṣẹ.exe ati ṣe ifilọlẹ insitola;
  • Ni ipari, koodu ikarahun nu ararẹ pẹlu awọn odo ni iranti.

Nitori otitọ pe win32k.sys ti wa ni ṣiṣe labẹ olumulo ti o ni anfani 'System', awọn Difelopa Duqu ti yangan yanju iṣoro mejeeji ti ifilọlẹ laigba aṣẹ ati igbega awọn ẹtọ (nṣiṣẹ labẹ akọọlẹ olumulo kan pẹlu awọn ẹtọ to lopin).
Lẹhin gbigba iṣakoso, insitola naa kọ awọn bulọọki mẹta ti data ti o wa ninu iranti, ti o ni:

  • awakọ fowo si (sys);
  • module akọkọ (dll);
  • data iṣeto ni insitola (pnf).

Iwọn ọjọ kan jẹ pato ninu data atunto insitola (ni irisi awọn akoko akoko meji - ibẹrẹ ati ipari). Insitola ṣayẹwo boya ọjọ lọwọlọwọ wa ninu rẹ, ati pe bi ko ba ṣe bẹ, o pari ipaniyan rẹ. Paapaa ninu data iṣeto insitola ni awọn orukọ labẹ eyiti awakọ ati module akọkọ ti fipamọ. Ni idi eyi, module akọkọ ti wa ni ipamọ lori disiki ni fọọmu ti paroko.

Duqu - ọmọlangidi itẹ-ẹiyẹ irira

Lati bẹrẹ Duqu laifọwọyi, iṣẹ kan ti ṣẹda nipa lilo faili awakọ kan ti o sọ module akọkọ lori fo nipa lilo awọn bọtini ti o fipamọ sinu iforukọsilẹ. Awọn ifilelẹ ti awọn module ni awọn oniwe-ara iṣeto ni data Àkọsílẹ. Nigbati o ti ṣe ifilọlẹ akọkọ, o ti decrypted, ọjọ fifi sori ẹrọ ti tẹ sinu rẹ, lẹhin eyi ti o ti paroko lẹẹkansi ati fipamọ nipasẹ module akọkọ. Nitorinaa, ninu eto ti o kan, lori fifi sori aṣeyọri, awọn faili mẹta ti fipamọ - awakọ, module akọkọ ati faili data iṣeto rẹ, lakoko ti awọn faili meji ti o kẹhin ti wa ni ipamọ lori disiki ni fọọmu ti paroko. Gbogbo awọn ilana iyipada ni a ṣe ni iranti nikan. Ilana fifi sori ẹrọ eka yii ni a lo lati dinku iṣeeṣe wiwa nipasẹ sọfitiwia antivirus.

module akọkọ

Main module (oluşewadi 302), gẹgẹ bi awọn alaye ile-iṣẹ Kaspersky Lab, ti a kọ ni lilo MSVC 2008 ni mimọ C, ṣugbọn lilo ọna ti o ni nkan. Ọna yii jẹ aibikita nigba idagbasoke koodu irira. Gẹgẹbi ofin, iru koodu bẹẹ ni a kọ sinu C lati dinku iwọn ati ki o yọkuro awọn ipe ti ko tọ si ni C ++. Symbiosis kan wa nibi. Pẹlupẹlu, faaji ti o dari iṣẹlẹ ni a lo. Awọn oṣiṣẹ Kaspersky Lab ni itara si imọ-jinlẹ pe a ti kọ module akọkọ nipa lilo afikun-isise-iṣaaju ti o fun ọ laaye lati kọ koodu C ni aṣa ohun kan.
Ipele akọkọ jẹ iduro fun ilana fun gbigba awọn aṣẹ lati ọdọ awọn oniṣẹ. Duqu n pese awọn ọna ibaraenisepo pupọ: lilo HTTP ati awọn ilana HTTPS, ati lilo awọn paipu oniwa. Fun HTTP(S), awọn orukọ ìkápá ti awọn ile-iṣẹ aṣẹ ni pato, ati pe agbara lati ṣiṣẹ nipasẹ olupin aṣoju ti pese - orukọ olumulo ati ọrọ igbaniwọle ni pato fun wọn. Adirẹsi IP ati orukọ rẹ jẹ pato fun ikanni naa. Awọn pàtó data ti wa ni fipamọ ni akọkọ module iṣeto ni data Àkọsílẹ (ni ìpàrokò fọọmu).
Lati lo oniwa oniho, a ṣe ifilọlẹ imuse olupin RPC tiwa. O ṣe atilẹyin awọn iṣẹ meje wọnyi:

  • pada ẹya ti a fi sii;
  • fi dll sinu ilana ti a sọ ki o pe iṣẹ ti a sọ;
  • fifuye dll;
  • bẹrẹ ilana kan nipa ipe CreateProcess ();
  • ka awọn akoonu ti a fi fun faili;
  • kọ data si faili pàtó kan;
  • pa awọn pàtó faili.

Awọn paipu oniwa le ṣee lo laarin nẹtiwọọki agbegbe kan lati kaakiri awọn modulu imudojuiwọn ati data iṣeto ni laarin awọn kọnputa Duqu ti o ni akoran. Ni afikun, Duqu le ṣe bi olupin aṣoju fun awọn kọnputa miiran ti o ni ikolu (eyiti ko ni iwọle si Intanẹẹti nitori awọn eto ogiriina lori ẹnu-ọna). Diẹ ninu awọn ẹya ti Duqu ko ni iṣẹ ṣiṣe RPC.

Awọn “awọn ẹru isanwo” ti a mọ

Symantec ṣe awari o kere ju awọn oriṣi mẹrin ti awọn ẹru isanwo ti a ṣe igbasilẹ labẹ aṣẹ lati ile-iṣẹ iṣakoso Duqu.
Pẹlupẹlu, ọkan ninu wọn nikan ni o jẹ olugbe ati pe o ṣajọ bi faili ti o ṣiṣẹ (exe), eyiti o fipamọ si disk. Awọn mẹta ti o ku ni a ṣe imuse bi awọn ile-ikawe dll. Wọn ti kojọpọ ni agbara ati ṣiṣe ni iranti laisi fifipamọ si disk.

“ẹrù isanwo” olugbe jẹ module Ami (infostealer) pẹlu awọn iṣẹ keylogger. O jẹ nipa fifiranṣẹ si VirusTotal pe iṣẹ lori iwadi Duqu bẹrẹ. Iṣẹ ṣiṣe Ami akọkọ wa ni orisun, 8 kilobytes akọkọ eyiti o ni apakan ti fọto ti galaxy NGC 6745 (fun camouflage). O yẹ ki o ranti nibi pe ni Oṣu Kẹrin ọdun 2012, diẹ ninu awọn media ṣe atẹjade alaye (http://www.mehrnews.com/en/newsdetail.aspx?NewsID=1297506) pe Iran ti farahan si diẹ ninu sọfitiwia irira “Stars”, lakoko awọn alaye ti iṣẹlẹ naa ko ṣe afihan. Boya o jẹ iru apẹẹrẹ ti Duqu “payload” ti a ṣe awari lẹhinna ni Iran, nitorinaa orukọ “Awọn irawọ”.
Module Ami gba alaye wọnyi:

  • atokọ ti awọn ilana ṣiṣe, alaye nipa olumulo lọwọlọwọ ati agbegbe;
  • atokọ ti awọn awakọ ọgbọn, pẹlu awọn awakọ nẹtiwọọki;
  • awọn sikirinisoti;
  • awọn adirẹsi wiwo nẹtiwọki, awọn tabili ipa-ọna;
  • log faili ti awọn bọtini itẹwe bọtini;
  • awọn orukọ ti awọn window ohun elo ṣiṣi;
  • atokọ ti awọn orisun nẹtiwọọki ti o wa (awọn orisun pinpin);
  • atokọ pipe ti awọn faili lori gbogbo awọn disiki, pẹlu awọn yiyọ kuro;
  • atokọ ti awọn kọnputa ni “agbegbe nẹtiwọki”.

Module Ami miiran (infostealer) jẹ iyatọ ti ohun ti a ti ṣapejuwe tẹlẹ, ṣugbọn ti a ṣajọ bi ile-ikawe dll; awọn iṣẹ ti keylogger kan, ṣiṣe akojọpọ awọn faili ati atokọ awọn kọnputa ti o wa ninu agbegbe ni a yọkuro kuro ninu rẹ.
module atẹle (iyasọtọAlaye eto ti a gba:

  • boya kọmputa jẹ apakan ti agbegbe;
  • awọn ọna si awọn ilana eto Windows;
  • ẹya ẹrọ iṣẹ;
  • orukọ olumulo lọwọlọwọ;
  • akojọ awọn oluyipada nẹtiwọki;
  • eto ati akoko agbegbe, bakanna bi agbegbe aago.

module ti o kẹhin (igbesi aye extender) ṣe iṣẹ kan lati mu iye sii (ti o fipamọ sinu faili data atunto module akọkọ) ti nọmba awọn ọjọ ti o ku titi iṣẹ yoo fi pari. Nipa aiyipada, iye yii ti ṣeto si awọn ọjọ 30 tabi 36 da lori iyipada Duqu, ati pe o dinku nipasẹ ọkan lojoojumọ.

Awọn ile-iṣẹ pipaṣẹ

Ni Oṣu Kẹwa Ọjọ 20, Ọdun 2011 (ọjọ mẹta lẹhin alaye nipa wiwa ti tan kaakiri), awọn oniṣẹ Duqu ṣe ilana kan lati run awọn ipasẹ ti iṣẹ ti awọn ile-iṣẹ aṣẹ. Awọn ile-iṣẹ aṣẹ wa lori awọn olupin ti a gepa ni ayika agbaye - ni Vietnam, India, Germany, Singapore, Switzerland, Great Britain, Holland, ati South Korea. O yanilenu, gbogbo awọn olupin ti a damọ ti nṣiṣẹ awọn ẹya CentOS 5.2, 5.4 tabi 5.5. Awọn OS jẹ mejeeji 32-bit ati 64-bit. Bíótilẹ o daju pe gbogbo awọn faili ti o ni ibatan si iṣẹ ti awọn ile-iṣẹ aṣẹ ti paarẹ, awọn alamọja Kaspersky Lab ni anfani lati gba diẹ ninu alaye pada lati awọn faili LOG lati aaye aipe. Otitọ ti o nifẹ julọ ni pe awọn ikọlu lori olupin nigbagbogbo rọpo package OpenSSH 4.3 aiyipada pẹlu ẹya 5.8. Eyi le fihan pe ailagbara aimọ ni OpenSSH 4.3 ni a lo lati gige awọn olupin. Kii ṣe gbogbo awọn eto ni a lo bi awọn ile-iṣẹ aṣẹ. Diẹ ninu awọn, ṣiṣe idajọ nipasẹ awọn aṣiṣe ninu awọn iwe sshd nigbati o n gbiyanju lati ṣe atunṣe ijabọ fun awọn ibudo 80 ati 443, ni a lo gẹgẹbi olupin aṣoju lati sopọ si awọn ile-iṣẹ aṣẹ ipari.

Awọn ọjọ ati awọn modulu

Iwe Ọrọ ti a pin ni Oṣu Kẹrin ọdun 2011, eyiti Kaspersky Lab ṣe ayẹwo, ni awakọ igbasilẹ insitola kan ninu pẹlu ọjọ akopọ ti Oṣu Kẹjọ Ọjọ 31, Ọdun 2007. Awakọ ti o jọra (iwọn - 20608 awọn baiti, MD5 - EEDCA45BD613E0D9A9E5C69122007F17) ninu iwe ti a rii ni awọn ile-iṣẹ CrySys ni ọjọ akopọ ti Kínní 21, 2008. Ni afikun, awọn amoye Kaspersky Lab rii awakọ autorun rndismpc.sys (iwọn - 19968 baiti, MD5 - 9AEC6E10C5EE9C05BED93221544C783E) pẹlu ọjọ January 20, 2008. Ko si awọn paati ti o samisi 2009 ti a rii. Da lori awọn ami akoko ti akopọ ti awọn apakan kọọkan ti Duqu, idagbasoke rẹ le ṣe ọjọ pada si ibẹrẹ 2007. Ifihan akọkọ rẹ ni nkan ṣe pẹlu wiwa awọn faili igba diẹ ti iru ~ DO (o ṣee ṣe nipasẹ ọkan ninu awọn modulu spyware), ọjọ ẹda eyiti o jẹ Oṣu kọkanla ọjọ 28, Ọdun 2008 (nkan "Duqu & Stuxnet: Ago ti Awọn iṣẹlẹ ti o nifẹ"). Ọjọ aipẹ julọ ti o ni nkan ṣe pẹlu Duqu jẹ Kínní 23, 2012, ti o wa ninu awakọ igbasilẹ insitola ti a ṣe awari nipasẹ Symantec ni Oṣu Kẹta ọdun 2012.

Awọn orisun alaye ti a lo:

jara ìwé nipa Duqu lati Kaspersky Lab;
Symantec analitikali Iroyin "W32.Duqu The ṣaaju si tókàn Stuxnet", version 1.4, Kọkànlá Oṣù 2011 (pdf).

orisun: www.habr.com

Fi ọrọìwòye kun