深度剖析信息窃工具DUQU2.docxVIP

深度剖析信息窃取工具DUQU2.0木马  0x00 前言 今年年初，卡巴斯基实验室在安全扫描过程中，检测到了几个影响了自家内部系统的网络入侵行为。 接着我们大范围调查了这些入侵事件。我们分析发现了一个全新的木马平台，这个平台出自Duqu APT小组之手。Duqu APT小组是世界上最神秘，水平最高的APT小组。这个小组从2012年开始销声匿迹，直到今天又卷土重来。我们分析了这新一轮攻击，结果表明这是2011年Duqu木马的升级版，怀疑与Stuxnet木马有关。我们把这个新木马和相关的平台命名为Duqu 2.0。 Duqu利用了0-day漏洞CVE-2015-2360(WindowsKernel中的漏洞)和另外两个0-day漏洞，攻击了卡巴斯基实验室。微软在2015年6月9日修复了第一个漏洞，另两个漏洞在近期也得到了修复。 0x01 木马剖析 Filename:随机 / 根据具体样本而定 MD5 (根据具体样本而定):df9f6e77fa5c9a3288bd5ee Size: 503,296 bytes 文件属性 MSI文件具有一下属性 Composite Document File V2 Document Little Endian OS: Windows, Version 6.1 Code page: 1252 Title: {7080A304-67F9-4363-BBEB-4CD7DB43E19D} (randomly generated GUIDs) Subject: {7080A304-67F9-4363-BBEB-4CD7DB43E19D} Author: {7080A304-67F9-4363-BBEB-4CD7DB43E19D} Keywords: {7080A304-67F9-4363-BBEB-4CD7DB43E19D} Comments: {7080A304-67F9-4363-BBEB-4CD7DB43E19D} Template: Intel;1033 Last Saved By: {7080A304-67F9-4363-BBEB-4CD7DB43E19D} Revision Number: {4ADA4205-2E5B-45B8-AAC2-D11CFD1B7266} Number of Pages: 100 Number of Words: 8 Name of Creating Application: Windows Installer XML (3.0.5419.0) Security: 4 其他攻击中使用的MSI文件可能具有另外一些属性。例如，我们还发现了另外几个字段： Vendor: Microsoft or InstallShield Version: or or 在Windows资源管理器的文件属性对话框中，可以查看某些字段。 这个MSI数据包中有两个二进制文件： ActionDll是一个dll文件，ActionData0是一个经过Camellia加密，LZJB压缩的数据payload(不同情况下的加密算法和压缩算法也不同)。实际上，经过加密或压缩的二进制数据块中，会有好几层可执行代码。 在后面的文章中，我们详细地说明了这些组件。 第一层：ActionDLL(msi.dll) 原文件名: msi.dll MD5: e8eaec1f021a564b82b824af1dbe6c4d Size: 17’920 bytes Link时间: 2004.02.12 02:04:50 (GMT) 类型: 64-bit PE32+ executable DLL for MS Windows 这个DLL只有一个StartAction导出函数，msiexec.exe进程的上下文会调用这个函数。当这个函数被调用时，这个函数就会获取一个MSI属性-PROP，并用这个值来解密actionData0包。 接下来，这段代码会遍历12个需要解密并启动的payload。这些payload是MSI的一部分，可能会包含以下名称：ActionData0, ActionData1, ActionData2。 我们的这个数据包中只包含一个paylioad-“ActionData0”。 第二层：ActionData0 主代码会被压缩和加密到这个二进制数据包中。这个二进制的组成包括可执行程序，位置无关代码块，和内嵌的数据对象。这些代码似乎遵循着某种框架，使用了很多辅助结构。辅助结构中包含了一些系统API的指针和内部数据块的偏移量。这些结构能反映出开发者的风格。当代码初始化时，一个字段(一般是前四个字节)中的magic值就会识别结构的状态和类型。 这名编码员还喜欢根据模块和输出名称的哈希来导入系统API。在可执