Jak jsme vás informovali již dříve, jsme v poslední době provádění šetření do několika incidentů v souvislosti s infekcí trojan Duqu. Naštěstí jsme byli schopni udělat nějaký pokrok v tom, do spodní části Duqu a dát dohromady několik prvků, aniž by předtím neměla, které bylo obtížné pochopit, co se skutečně děje.
První věcí, první, rádi bychom vyjádřili naše upřímné poděkování odborníků na CERT Súdánu. Už se nám poskytli neocenitelné pomoci v našem šetření, a ukázal nejvyšší profesionalitu - zcela v souladu s hodnotami a cíli všech CERT po celém světě. Naše spolupráce se súdánskou CERT probíhá a bude zahrnovat další tři incidenty nalezené v této zemi.
Naším hlavním úspěchem bylo při vyšetřování incidentu považována za číslo # 1, popsal ve svémdruhém příspěvku o Duqu. Podařilo se nám nejen najít všechny dříve neobjevené soubory této variantě Duqu, ale také najít i zdroj infekce a soubor, který obsahuje kapací exploit zranitelnosti v Win32k.sys(CVE-2011-3402).
Srovnáme-li údaje, které jsme nepokryté s informacemi jinými výzkumníky a antivirové společnosti, jsme vyvolal různé společné rysy, které odhalily přibližné časové osy a celkové metody používané autory Duqu je.
Termíny incidentu korelují s historií objevu v Íránu viru s názvem Stars . V té době íránští specialisté nesdílel vzorky objevil virus se některý z antivirových společností, a to, že musí být řečeno, byla závažná chyba, která vedla do všech následných událostí v této sáze. S největší pravděpodobností, Íránci našel keylogger modul, který byl vložen do systému a který obsahoval fotografie NGC 6745 galaxie. To by mohlo vysvětlovat titul hvězdičky , který mu.
Je možné, že íránský specialisté zjistili jen keylogger, zatímco hlavní Duqu modul a kapátko (včetně dokumentů, které obsahovaly pak-neznámý zranitelnost) může být pryč nepozorovaně.
Fáze 1: Penetrace, E-mail
Útoku došlo na předem vybrané cíle. Z pochopitelných důvodů nemůžeme prozradit název společnosti, která byla zaměřena na incidentu č. 1, #. Stejně jako u incidentu vyšetřován CrySyS Lab, byl útok zahájen prostřednictvím e-mailu.
Objekt byl napaden dvakrát - 17. dubna a 21. 2011.
První pokus ukázal být neúspěšný (e-mail z útočníků skončil v Nevyžádaná pošta), po kterém opakoval útok o čtyři dny později, kterým se mění předmět tohoto e-mailu mírně.
Pan B. Jason , zda byl oddaný a vytrvalý. Nebyla to masový spam-out, protože jak předmět a název souboru, zmínil konkrétně napadla společnost.
V obou e-mail byl odeslán z jedné a téže IP-adresy, se sídlem v Soulu, Jižní Korea. Počítáme, že tento počítač byl napaden dříve nějakou škodlivého programu a byl používán nevědomky (na majitele) jako proxy.
Druhý útok se ukázalo úspěšný: adresát otevřít přiložený soubor, který obsahoval DOC zranitelnosti využít, a instalační Trojan.
Útočníci použili zajímavou lest v této fázi. Poté, co adresát soubor otevřel exploit zahájila svou činnost: to se stalo aktivním, s bydlištěm v paměti, ale neudělali nic! Mezitím se oba mohli původní soubor a slovo samo byly uzavřeny.
Toto období trvalo asi nečinnosti deset minut, po které exploit čekal uživatele činnosti zastaví (bez klávesnice nebo myši aktivity). Teprve pak kapátko kop do akce.
Varianta kapátkem, že jsme našli poněkud liší od kapátkem zjištěné maďarských laboratorních Crysys a popsáno od firmy Symantec. Nicméně, tyto rozdíly se týkají zejména velikosti a data vytvoření složky při malé změně kódu.
Celkové uspořádání v této fázi vypadala takto:
Exploit -> jádro -> ovladač v jádře -> dll loader v Services.exe -> velká pnf v Services.exe -> velká pnf instalaci z Lsass nebo AV procesu.
Shell kód z zneužití byla obsažena v vloženého písma zpracovávaných Win32k.sys systému. Písmo bylo nazýváno Dexter Pravidelné a jeho tvůrci jsou zobrazeny jako Showtime Inc
To je další žert přitáhl autory Duqu, protože Showtime Inc kabelové vysílání společnost za televizním seriálu Dexter , o lékaře, CSI, který se stane také být sériový vrah, který pomstí zločinci v některých post-moderní zvrácenosti charakteru Charles Bronson je V Death Wish .
Řidič načten exploitu do jádra systému měla kompilace datum 31. srpna 2007. Analogické Řidič našel v kapátkem z CrySyS byl datován 21. února 2008. Pokud je tato informace správná, pak autoři Duqu musí být práce na tomto projektu více než čtyři roky!
Řidič vložen do Services.exe procesu knihovny, který byl také umístěn v těle exploitu - hlavní modul z kapátka - a běžel svůj kód.
V této fázi kapátko se pokusí ověřit v registru následující klíč:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ Zones \ 4 \ "CF1D"
Je třeba poznamenat, že v dokumentu zveřejněného společností Symantec proměnné CFID je uveden klíč, ale může to být překlep.
Kapátko načte ze svého těla Obsah ". init" sekce, v níž je hlavička s magickou identifikátor CIGH , plus nastavení, PNF (. DLL) a ovladač, který se instaluje v systému. Po rozbalení obsahu části se zkouška provádí na korespondenci k aktuálnímu datu s rozsahem instalovaných v záhlaví . "init" části kapátkem.Pokud datum nespadá do tohoto rozsahu se Trojan není nainstalován.
V naší variantě, tento rozsah byl od 17. srpna 2010 do 18. července 2012. Ve vzorku kapátka zjištěné CrySyS řada byla jiná: 17. srpna 2005 do 2. listopadu 2023.
Dále kapátko načte PNF (DLL) část a předá řízení na funkci vyváženého č.4. Tato funkce je zodpovědný za instalaci do systému a zahájení řidiče Trojan a šifrované knihovny DLL (PNF), spolu s konfigurační soubor. Konfigurační soubor obsahuje datum infekce a doba práce Trojan v systému (ve výchozím nastavení - 30 dní, ale tato doba může měnit v závislosti na příkazy z řídicího centra).
V tomto incidentu, jak jsme předpokládali dříve, byl unikátní soubor používá soubory, které se liší od dříve známých souborů. Nejdůležitější rozdíl je, že hlavní modul Trojan (DLL soubor PNF) měl datum vytvoření 17. dubna - stejný den jako první útok na oběť. Tato skutečnost ukazuje, že autoři vybudovat samostatnou sadu souborů pro každý konkrétní oběti, a to těsně před útokem.
Soubory Objevili jsme částku na následující kolekci:
| Řidič | Velikost | Datum | Hlavní DLL | Velikost | Datum | Config |
| adp55xx.sys | 24960 | 03.11.2010 | apd95xx.pnf | 248320 | 17.04.2011 | adp96xx.pnf |
| apd95xx.pnf | 192512 | 17.04.2011 |
Rozdíly ve velikosti hlavního DLL (které byly nalezeny na různých počítačích v jednom incidentu) se vysvětlit tím, že v první variantě DLL je součástí interakce s řídícím centrem uloženy v DLL PNF jako zdroj číslovaná 302, a ve druhé variantě je tato složka zahrnuta do komprimovaných ". zdata" část Loader knihovny, která je uložena jako zdroj 302. Předpokládáme, že komprese proběhla na formování sadu za útok na jiný počítač v síti.
Control Server (C2) v tomto souboru také lišily od dříve objevených ty v Indii a Belgii. V tomto incidentubylo řídící centrum se nachází v jiné zemi , ale nemůžeme veřejně vyhlásit údaje kvůli pokračující povaze vyšetřování. Kromě toho víme o dalším řídícím centrem používané v jiném incidentu, ale příliš se v současné době analyzuje. Tyto informace budou zveřejněny v nejbližší době. To také naznačuje, že útočníci použili samostatný C & C pro každou jedinečnou útoku.
Fáze II: Sběr informací
Během našeho vyšetřování nehody bylo zjištěno, že dva počítače byly ohroženy v jedné organizaci.Prvním z nich byl zdrojem nákazy od 21. dubna, druhá byla ohrožena později, na konci května. Infekce v druhém počítači došlo po lokální síti.
Po infekci systému a zřízení spojení s řídící server, je jasné, že další modul známý jako keylogger byl načten a instalaci, který byl schopen shromažďovat informace o systému, se screenshoty, hledání souborů, získat hesla, atd. K dnešnímu dni je existence alespoň dvou variant daného modulu potvrdil - že najít Crysys Lab (kompilace datum 01.6.2011) a že nalezený Symantec (kompilace datum 10.8.2011).Nebyli jsme schopni najít podobný modul v daném incidentu, ale můžeme oznámit, že to existovalo jako daleká záda jako v květnu 2011.
Na obou počítačích byly nalezeny stopy provozu špionážní modulu, tj. pojmenované soubory ~ DFxxxxx.tmp (např. ~ DF1EF83.tmp ) a ~ DQx.tmp (např. ~ DQ2C6.tmp ).
Název formát souboru ~ DF [pět HEX číslo] se liší od jména dočasných souborů vytvořených MS Word, které používají formát~ DF [čtyři číslice Hex] .
~~~HEAD=NNS DF soubory obsahují komprimované identifikátor infikovaného systému a začít s onlineABh91AY a SY . ~~~HEAD=NNS DQ soubory obsahují získaných informací (seznamy procesů, screenshoty, informace o aplikacích). Tyto soubory jsou komprimovány a obsahují podobnou značku, se lišit pouze o jeden symbol: AEh91AY a SY .
V současné době nevíme, co modul vytváří ~~~HEAD=NNS~~HEAD=dobj DF soubory (dále jen ~~~HEAD=NNS DQ soubory jsou známé špionážní modulu), nebo co je jejich přesný cíl. Na prvním počítači byly tyto soubory ze dne 27. dubna - tři dny po datu infekce.
25. května 2011, špionážní modul vytvořili soubor ~ DQ181.tmp
V něm jsou obsaženy informace o síťovém okolí původně infikované počítače. Na druhý den, bylo zaznamenáno 26 květen 2011, infekce v druhém počítači v síti. Na ní byl soubor vytvořen identifikátor~~~HEAD=dobj DF .
Co je zajímavé, je skutečnost, že později na druhém počítači byla vytvořena další ~~~HEAD=dobj DF soubor. K tomu došlo dne 2. června 2011. Toto datum se shoduje s datem sestavení známé špionážní modulu (1. června 2011). Je možné, že v tomto období června 1-2 autoři Duqu nainstalovat tuto novou verzi modulu na všech infikovaných počítačů přes C & C serverem.
Stopy práce tohoto modulu jsou viditelné v existenci souboru ~ DQ4.tmp , vytvořený na 29. června.
Našli jsme tři ~~~HEAD=NNS~~HEAD=dobj DQ typu souborů, vytvořené na 25. května, 29. června a 24. srpna. Všimli jsme si, že všechny tři termíny jsou středy. To by mohlo být jen náhoda, možná ne. Přesto na základě tohoto 'náhodou' to je možné vyjmenovat skupinu za Duqu jako Gang středečním :)
Trojan byl přítomný v infekce systémů od 21. dubna až do konce října 2011. Jeho konfigurační soubory byly nainstalovány po dobu alespoň minimálně 121 dní, reinstalace hlavního modulu došlo opět na konci června 2011.
Během celé této doby se útočníci pravidelně instalovat nové moduly, infikovaného jiného počítače v síti, a shromážděné informace.
Závěr
V rámci vyšetřování daného incidentu jsme zavedou vstupní body pro proniknutí do systémů, data událostí a několik skutečností týkajících se chování útočníků. Tato informace umožňuje, aby jeden doposud jeden z vlny útoku na střední-k-konec dubna 2011. Důležitá zjištění patří:
- Pro každou oběť, byla vytvořena samostatná sada útoku souborů;
- Každý unikátní soubor souborů použít samostatný kontrolní serveru;
Vzhledem k důvodu ochrany osobních údajů a ochrany identity oběti, nemůžeme sdílet zdroje. DOC soubor s jinými stranami.
Také nejsme v současné době zveřejňování adresu řídícího serveru pro tuto variantu Duqu, ale myslíme si, že to nefunguje teď a všechny důležité informace o něm již byl odstraněn ze strany útočníků. To je také případ jedné větší kontrolu serveru jsme objevili. Informace o řízení serverů bude zveřejněn později.
Můžeme říci, že existuje nejméně 12 unikátních sad souborů Duqu známe v současnosti. Varianta je uvedeno v této funkci byl jmenován varianta F . Podrobné informace o jiných variantách budou zveřejněny později.
Žádné komentáře:
Okomentovat