Home |

اطلاعات بيشتر در مورد کرم اينترنتي W32.Duqu

در تاريخ 14 اکتبر 2011 نمونه اي از يک کد مشکوک با ارتباطات بين المللي توسط لابراتوارهاي سيمانتک دريافت شد که شباهت بسياري با کرم اينترنتي stuxnet (ژوئن 2010) داشت. اين حمله بنام W32.Duqu (ديوکيو) نامگذاري شد زيرا فايلهايي با پيشوند (~DQ) ايجاد مي کرد. اين حمله از يک سازمان اروپايي گزارش شده بود.
تحقيقات مشخص کرد که اين حمله تقريباً مشابه stuxnet است اما با يک هدف کاملاً متفاوت .
Duqu لزوماً ممکن است يک مقدمه اي براي حملات مشابه stuxnet در آينده باشد. اين کد توسط همان کد نويسان stuxnet و يا افرادي که به متن سورس stuxnet دسترسي داشته اند نوشته شده است و به نظر مي رسد بعد از کشف آخرين فايل stuxnet توسعه يافته است.

هدف Duqu جمع آوري اطلاعات و داراييهاي اطلاعاتي نهادهايي مانند سازندگان سيستم هاي کنترل صنعتي براي آماده سازي زمينه در حملات آتي به شرکتهاي ثالث (3rd Party) است.
حمله کنندگان در جستجوي اطلاعاتي از قبيل مدارک طراحي هستند که مي تواند آنها را در پياده سازي واجراي يک حمله گسترده برعليه تاسيسات کنترل صنعتي کمک نمايد.
Duqu هيچگونه کدي مرتبط با سيستم هاي کنترل صنعتي در درون خود حمل نمي کند و در نگاه اول يک تروجان دسترسي از راه دور (RAT) به نظر مي رسد. اين تهديد بصورت خود انتشار (self-replicate) نمي باشد. بازرسيهاي سيمانتک نشان داده است که اين تهديد اصولا تعداد محدودي از سازمانها را با دارائيهايي ويژه هدف قرارداده است.
حمله کنندگان از Duqu به منظور نصب يک infostealer (سرقت کننده اطلاعات) استفاده مي کنند که قابليت ضبط کليدهاي صفحه کليد و جمع آوري اطلاعات سيستمي را دارد.
Duqu شامل يک فايل درايور (راه انداز)، ‌يک DLL (که شامل تعداد زيادي فايل نهفته است) و يک فايل پيکربندي (configuration) است. اين فايل ها بايستي توسط يک فايل اجرايي ثانويه (installer) بر روي سيستم نصب شوند که تا اين تاريخ اين فايل هنوز شناسايي نشده است.
فايل نصب کننده (installer) فايل درايور را تحت عنوان يک سرويس در سيستم عامل رجيستر کرده و در نتيجه اين سرويس در هر بوت اجرا مي شود. سپس درايور DLL اصلي را در فايل (services.exe) تزريق (inject) مي کند. از اين به بعد، DLL اصلي وظيفه extract (بازگشايي) ساير اجزاي نهفته در خود را به عهده مي گيرد و آنها را در ساير پروسس ها تزريق مي کند.
دو نوع مختلف از Duqu مشاهده شده است: که فايلهاي راه انداز يکي از اين دو نوع داراي يک امضاي ديجيتال معتبر بود که در تاريخ 2 آگوست 2012 باطل مي شد. اين گواهي ديجيتال به يک شرکت با منشأ Taipei در تايوان مربوط بوده است که اين گواهي در تاريخ 14 اکتبر 2011 ساقط شد.
Duqu از پروتکهاي HTTP و HTTPS به منظور برقراري ارتباط با سرور کنترل کننده به آدرس 206.X.X.97 (در کشور هند) استفاده مي کند. در خلال اين برقراري ارتباط، حمله کنندگان قادر بودند که فايلهاي اجرايي مشابه و يا اضافي را دانلود کنند که قابليت انجام اموري مانند ضبط کليدهاي صفحه کليد، جمع آوري اطلاعات سيستمي و يا شناسايي شبکه را داشته باشند. اين اطلاعات بصورت محلي (local) بر روي سيستم آلوده بصورت فشرده و کدگذاري شده ذخيره مي شوند و سپس خارج مي گردند.
اين تهديد از يک پروتکل انحصاري جهت اجراي دستورهاي کنترلي، دانلود و آپلود استفاده مي کند. درزمان دانلود / آپلود فايلهاي در حال انتقال بصورت فايلهاي تصويري (jpg) منتقل مي شوند.
علاوه بر انتقال فايلهاي اطلاعاتي بصورت تصوير(jpg)، اطلاعات بيشتري نيز از سيستم استخراج شده و بصورت کدگذاري شده ارسال و يا دريافت مي شوند.
در نهايت تهديد به نحوي پيکربندي شده است که فقط به مدت 36 روز فعال باشد، و بعد از آن تهديد بصورت خودکار از سيستم پاک مي شود.
Duqu و Stuxnet در متن کد مشابهت زيادي دارند ولي داراي payload کاملاً متفاوتي هستند. برخلاف Stuxnet که بمنظور صدمه به سيستم کنترل صنعتي طراحي شده بود در Duqu هدف بدست آوردن دسترسي از راه دور است.
Duqu شامل سه فايل اصلي است :
- يک درايور (راه انداز)
- يک DLL اصلي
- يک فايل پيکربندي
در داخل فايل DLL اصلي يک منبع به نام 302 وجود دارد که در حقيقت يک DLL ثانويه است.
جداول زير مشخصات اين فايلها را در دونوع شناخته شده نشان مي دهند :

علاوه بر اين،‌ يک سرقت کننده اطلاعات (infostealer) از سيستم آلوده کشف شد که بنظر مي رسد توسط Duqu و از طريق سرور کنترل کننده بر روي سيستم آلوده دانلود شده است:

معماري اجزاي تشکيل دهنده :

تهديد در زمان بوت سيستم و توسط يک درايور (JMINET7.SYS يا CMI4432.SYS) شروع مي شود. سپس درايور DLL اصلي (CMI4432.PNF يا NETP191.PNF) را در (Services.exe) تزريق مي کند. سپس DLL اصلي با استفاده ازفايل پيکربندي (CMI4432.PNF يا NETP192.PNF) فايل جاسازي شده درخود را (resource 302) بازگشايي (extract) مي کند.
(resource 302) يک DLL است که حاوي ساير قستمهاي جاسازي شده (.zdata) است که کليه قابليتهاي تهديد را پياده سازي و اجرا مي کند.
دياگرام ذيل ارتباط بين اجزاي تشکيل دهنده را نشان مي دهد :

در خاتمه جدول مقايسه دو تهديد Duqu و Stuenet بصورت خلاصه ارائه مي شود:

فهرست منابع :

[EsetMicroscope] Stuxnet Under the Microscope – ESET
http://www.eset.com/resources/white?papers/Stuxnet_Under_the_Microscope.pdf

[Chappell 2010] Chappell, Geoff. The MRXCLS.SYS Malware Loader . October 14. 2010.
http://www.geoffchappell.com/viewer.htm?doc=notes/security/stuxnet/mrxcls.htm

[Dossier] , W32.Stuxnet Dossier, v. 1.2
content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf

[ThabetMrxCls] MrxCls –Amr Thabet: Stuxnet Loader Driver
[LangnerCSM] Csmonitor, Mark Clayton, Ralph Langner. From the man who discovered Stuxnet, dire warnings one year later
http://www.csmonitor.com/USA/2011/0922/From-the-man-who-discovered-Stuxnet-dire-warnings-one-year-later/%28page%29/1


تاريخ: پنجشنبه 12 آبان 1390  ساعت: