|
Amaliy ish №2.
Mavzu: Wiper zararkunanda dasturi
Ushbu amaliy mashg’ulot jarayonida Wiper zararkunanda dasturining ishlash hususiyatlari va usullarini nazariy hamda amaliy tahlil qilishdan iborat.
Nazariy qism:
Wiperning birinchi ko’rinishi 2012 yil Erondagi o’nlab tashkilotlarning ma’lumotlarini o’chirish bilan boshladi. Ushbu dastur o’zining nojo’ya amallarinibajargandan keyin, uning nusxasi yoki u haqida xech qanday iz qolmagan. Xalqaroelektr aloqa birlashmasi bu zararkunanda dasturni topish va uni bartaraf etishni“Kaspersky” laboratoriyasidan so’raydi. “Kaspersky” laboratoriyasi Wiperzararkunanda dasturi bilan zararlangan bir nechta qattiq disklarni tahlil qiladi vahisobot tayyorlaydi.
Ushbu loyihadagi tahlillashning asosiy maqsadi – Wiper zararkunandadasturini tarqatuvchilarini, uning maqsadini va qanday kriptografik usullardanfoydalanganligini aniqlashdan iborat edi. Tadqiqotlar natijasida ushbu dasturning2012 yilda xujumlarda qo’llanilganligi ayon bo’ldi. Shu bilan bir vaqtda Flame vaGauss deb nomlangan zararkunanda dasturlar aniqlangan.
Wiper zararkunanda dasturining maqsadi – qattiq diskdagi fayllarni qaytatiklamasdan o’chirishga qaratilgan. Wiper zararkunanda dasturi o’z faoliyatiniamalga oshirgandan keyin xech qanday iz qoldirmaydi. Shuning uchun xam Wiperzararkunanda dasturi xujumi bo’lgan joyda aynan qaysi zararkunanda dasturtizimga xavf solganini aniqlash mushkul.
“Kaspersky” laboratoriyasi muataxassislari bir diskda xujumdan keyinqolgan ma’lumot orqali reestrning bir qismini qayta tiklab olishadi. Undazararkunanda drayver yoki avtomatik ishga tushuvchi kalit mavjud emasdi.
Tekshirishda uyidagi natijaga ega bo’lindi.
Qiziq bir fakt 22 aprelda yangi kalit yaratilgan, lekin keyin reestrning aniqbir kaliti o’chirilgan. Bu kalit RAHDAUD64 deb nomlangan tashkilotgajo’natilgan. U C:\WINDOWS\TEMP papkasidagi ~DF78. tmp faylini ko’rsatdi.Bu faylni qayta tiklashga urinishganida, disk keraksiz ma’lumotlar bilanto’ldirilganligi ayon bo’lindi. RAHDAUD64 tizimidagi fayl nomlari ~DF11. tmpva ~DF3C. tmp ko’rinishidagi xar xil nomlar bilan ko’rsatilgan. Fayl nomlaritasodifiy ko’rinishda generatsiya qilingan. Ular diskda fayllarni almashtiribquyidagi ko’rinishda musor yaratadi.
Bu shablon barcha almashtirilgan fayllarda takrorlanadi. Agar faylningo’lchami katta bo’lsa, uning ma’lum xajmi va nomi almashtiriladi. Bu kattamiqdordagi ma’lumotlarni tez o’chishiga olib keladi.
Ushbu almashtirish amali bajarilgan fayllarni olib “Kaspersky”laboratoriyasida tahlillaganimizda quyidagi natijaga ega bo’lindi:
1. Kengaytmasiga qarab fayllarni topish va almashtirish. Asosiy e’tiborPNF(rasm formati) fayllarga qaratilgan. Bu fayl Duqu va Stuxnet zararkunandadasturlarida ham asosiy faylni berkitish maqsadida qo’llanilgan.
2. Barcha fayllar aniq manzillarda(Documents and Settings, Windows, ProgramFiles) va USB xotiralarda qidiriladi va almashtirish amalga oshiriladi.
3. Diskning sektorlarini almashtiradi.
Yuqorida keltirilgan algoritmlar qayta tiklash imkoniyatini bermasdanfayllarni almashtirishga yo’naltirilgan.
Misol sifatida ko’radigan bo’lsak, katta e’tibor talab etiladigan joylarda entropiya(almashtirish extimolligi) katta bo’ladi. Bunda Shennonning 256 kb li
entropiyasi qo’llanilgan. Qizil maydonlar katta entropiyaga ega.
Wiper diskdagi ma’lumotlarning katta qismini egallab oladi. Rasmdagi
yuqori qismi qizil soha bo’lib Wiper zararlash extimolligi katta bo’lgan hududdir.
Zararkunanda dastur diskni keraksiz ma’lumotlar bilan to’ldiradi. Ushbu jarayon
diskning kirish qismidan boshlanadi, keyin o’rta qismiga o’tadi va oxiriga yetishi
bilan disk xizmat ko’rsatishdan vos kechadi.
Disk %PNG / iHDR shablonlari bilan to’ldiriladi. Quyidagi rasmda qizil soha
almashtirilgan qism hisoblanadi.
Wiper zararkunanda dasturi zararlayotgan diskning 75%ini qayta tiklanmas
qilib, shikastlaydi.
Wiper 64 bitli operatsion tizimni zararlay olmaydi, lekin %TEMP%
papkasida PNG/iHDR tanish termin paydo bo’lgan, shuningdek, disk xam butun.
Masalan:
Bu ikki fayl %TEMP% papkasidagi minglab fayllar ichidan Wiper uchun
muhim o’rin tutishi mumkin. Bu fayllarning tizimdagi xajmi 20 kb. Shuningdek,
~DF820A. tmp va ~DF9FAF. tmp nomli 512 bayt o’lchamli fayllar bilan
almashtirilgan. Bu fayllar esa, qayta tiklanmaydigan qilib almashtirilgan.
Uning ishlashi birinchi navbatda zararkunanda dasturning o’zi almashtiriladi,
keyin fayllarga o’tadi. Uni aniqlash murakkab, zararlagan diskni qayta tiklashning
imkoni yo’q zararkunanda dasturdir. U yaratgan . tmp faylining ko’rinishi
quyidagicha:
“Kaspersky” laboratoriyasi Wiperning shifrlangan fayllarini deshifrlashga
erishdi, ammo bundan foyda chiqmadi. O’sha kuni mssecmgr. ocx, EF_trace. log
va to961. tmp nomli fayllar aniqlandi. Shundan keyin Flame zararkunanda
dasturining tarixi boshlandi.
Foydalanilgan adabiyotlar
1. Practical Malware Analysis. Copyright © 2012 by Michael Sikorski and
Andrew Honig.
2. С. К. Ғаниев, М. М. Каримов, К. А. Ташев Ахборот хавфсизлиги.
“ALOQACHI” – 2008. -381 бет.
3. Malware Analyst’s Cookbook and DVD: Tools and Techniques for Fighting
Malicious Code, First Edition (2010): Michael Ligh, Steven Adair, Blake Hartstein,
and Matthew Richard. ISBN-10: 0470613033, ISBN-13: 978-0470613030. Wiley
Publications.
4. Исследовательский проект. Вредоносные программы нового поколения:
источники разработки, цели, характер, особенности и последствия их
применения. Москва – 201
Do'stlaringiz bilan baham: | 
