Aktualizováno dne 27. březen 2012 (Přejděte do dolní části)
Jedná se o aktivní vyšetřování Global Research společnosti Kaspersky Lab a Analysis Team. Budeme aktualizovat tento dokument dotazy podle potřeby.
Co přesně je Duqu? Jak je to souvisí s Stuxnet?
Duqu je sofistikovaný Trojan, který se zdá k byli napsáni stejnými lidmi, kteří vytvořili nechvalně známého červa Stuxnet. Jeho hlavním cílem je působit jako backdoor do systému a usnadní krádeže soukromých informací. To je hlavní rozdíl v porovnání s Stuxnet, který byl vytvořen k provádění průmyslové sabotáže.Je také důležité zdůraznit, že zatímco Stuxnet je schopen replikovat z jednoho počítače do druhého pomocí různých mechanismů, Duqu je Trojan, který nevypadá, že replikovat sama o sobě.
Má tohoto cíle by žádné PLC / SCADA zařízení? Přesně, kdo / co jsou cíle? Víme?
Na rozdíl od Stuxnet, Duqu se nezaměřuje na PLC / SCADA zařízení přímo, i když některé z jeho podprogramů může být použita k odcizení informací týkajících se průmyslových zařízení. Zdá se, že Duqu byl vytvořen za účelem sběru zpravodajských informací o jeho cílech, které mohou zahrnovat skoro vše, co je k dispozici v digitální podobě na počítači oběti.
Jak Duqu infikovat počítače? Může šířit prostřednictvím USB zařízení?
V případech jsme analyzovali, Duqu infikuje počítač prostřednictvím cíleného útoku zahrnující Word dokument, který užívá CVE-2011-3402 zranitelnost. To je 0-day zranitelnosti v jádře Win32k.sys součástí systému Windows, která umožňuje útočníkům spustit kód s nejvyšší úroveň oprávnění, obcházet skoro většina z ochranných mechanismů z Windows nebo bezpečnostního softwaru. Podle našich poznatků, Duqu je jediný malware pomocí této chyby zabezpečení se infikovat počítače. Všechny společnosti Kaspersky Lab bezpečnostní řešení odhalit tuto chybu zabezpečení, pod názvem Exploit.Win32.CVE-2011-3402.a z 6. listopadu 2011.
Existuje nějaký exploit, a to zejména zero-day v Duqu?
Tam je opravdu 0-day zranitelnost se používá k infikování počítačů v počáteční fázi. Společnost Microsoft vydala poradenství (2639658) se základními informacemi a zmírnění kroků .
Jak AV prodejci vědomi této hrozby? Kdo oznámil to?
Duqu byla upozorněna bezpečnostní komunity v maďarských CrySyS Research Lab . Oni byli první, kdo poukazují na podobnost s Stuxnet a provést to, co zůstává nejdůkladnější analýzu malwaru dosud.
Když byla tato hrozba poprvé spatřil?
První Duqu útoky byly spatřeny již v polovině dubna 2011. Útoky pokračovaly v následujících měsících až do 18. října, kdy byla zpráva o Duqu zveřejněny.
Kolik variant Duqu existují? Existují velké rozdíly ve variantách?
Zdá se, že existuje nejméně sedm variant řidičů Duqu, spolu s několika dalšími komponenty. To vše jsou detekovány s různými názvy od různých antivirových společností, vytváří dojem, že existuje několik různých variant. V době psaní tohoto článku, jsme si vědomi dvou Infostealer komponent a sedmi řidičů.Navíc máme podezření na existenci alespoň další Infostealer složky, která měla možnost přímo vyhledávat a krást dokumenty z oběti stroje.
Hovoří se, že to konkrétně zaměřuje na certifikační orgány . Je to pravda?
Zatímco tam jsou opravdu zprávy naznačující, že hlavním cílem je Duqu ukrást informace z CA, není tam žádný jasný důkaz v tomto okamžiku na podporu tohoto tvrzení. Naopak jsme přesvědčeni, že hlavním účelem Duqu byla jiná a CA byly jen vedlejší obětí.
Symantec tvrdí, toto je zaměřena na konkrétní organizace, případně s cílem shromáždit specifické informace, které by mohly být použity pro budoucí útoky. Jaké druhy dat jsou hledají a jaké budoucích útoků jsou možné?
Jedním z podezření, že byl použit Duqu ukrást certifikáty od certifikačních autorit, které mohou být použity k podpisu škodlivý kód, aby bylo těžší chytat. Funkčnost backdoor v Duqu je ve skutečnosti dosti složitý a může být použit pro mnohem víc. V podstatě to může ukrást všechno, ale vypadá to, že útočníci byli především zájem o sběr hesel, takže na ploše obrazovky (špehovat uživatele) a krást různé druhy dokumentů.
Je příkaz-a-Control Server používá Duqu stále aktivní? Co se stane, když nějaká infikovaný počítač kontakty C & C?
Počáteční Duqu C & C server, který moderoval v Indii již není aktivní. Stejně jako v případě Stuxnet, to bylo docela rychle vytáhl v režimu offline, jakmile novinky zlomil. Kromě toho jsme si vědomi další C & C serveru v Belgii, která byla také rychle offline. Vlastně se zdá, že každý Duqu cílený útok použít samostatný C & C server.
Proč je Duqu nakonfigurován pro spuštění na 36 dní?
Možná, že autor byl fanoušek kulatých čísel, jako je 6x6? :) Ve skutečnosti je doba, po kterou Duqu běží v systému definován v konfiguračním souboru a pohybuje se mezi útoky. Viděli jsme také případy, kdy byla doba stanovená na 30 dnů.
Kdo stojí za tímto útokem?
Stejný gang, který byl za Stuxnet. Kupodivu se zdá, že se zvedl zájem o astronomii, infostealer spustitelný soubor má část souboru JPEG zvedl o Hubble Space Telescope ("Interakce galaxie NGC 6745 System"):
Obrázek zachycuje následek přímé kolize dvou galaxií (!), Několik milionů let dříve. si můžete přečíst příběh zde .
UPDATE (15. listopadu 2011):
Otázka: Co přesně je ukraden z cílových počítačích?
Při aktivaci hlavní Duqu programu těla se připojí k jeho C & C serverem a stažení aktualizace a doplňkové moduly. Jeden takový modul je Duqu "infostealer," pro které jsou známy dvě verze a další jsou věřil k existovali v různých bodech v čase.
"Infostealer" modul je stažen do paměti a proveden prostřednictvím techniky procesu vstřikování používaného Stuxnet a Duqu, aby se zabránilo dočasné soubory. Toto je děláno s cílem zajistit, aby "infostealer" složka (a další Duqu aktualizace), nezachytí, nebo zanechali na infikovaný počítač. To také znamená, že mají omezenou životnost, v podstatě až do příštího restartu systému.
Nejsilnější verze "infostealer" má schopnost zachytit stisky kláves, to dělá screenshoty celé obrazovky (poprvé) a aktivního okna, sbírá IE historii procházení a různé údaje týkající se konfigurace systému sítě.K dispozici je také kód, který může dělat procházení sdílených položek v síti. Všechny tyto informace jsou pěkně zabalené do souboru, který je zapsán do složky TEMP%% ve výchozím nastavení. Je BZIP2 komprimovaný formát s modifikovanými záhlaví. Díky BZIP2 komprese, soubory jsou menší, než si myslíte.
Tyto "komponenty" infostealer jsme viděli vytvářet soubory s názvem "~ DQx.tmp". Kromě toho jsme si vědomi jiných souborů s názvem "souboru ~ DFxxxxx.tmp" a "~ DOxxxxx.tmp". "DF" a "DO" mají podobný formát a zdá se, byly získány od starší verze "infostealer". Oni také obsahují více informací, včetně různých souborů obětí PC, jako je Word nebo Excel dokumenty. V "~~~HEAD=NNS DF" soubory jsou obecně mnohem větší, vzhledem k jejich další obsah souborů.
Ve všech případech, které lze snadno rozeznat v záhlaví "ABh91AY & SY". Najdete-li takové soubory v počítači pak s největší pravděpodobností jste se stali obětí Duqu. Pokud chcete skenovat systém pro takové soubory, milí lidé v CrySyS mít sadu nástrojů , které mohou pomoci.
Otázka: Slyšel jsem, že Duqu a Stuxnet jsou psány stejnými lidmi. Také jsem slyšel, že Duqu a Stuxnet jsou psány různými lidmi. Jaká je pravda?
Duqu a Stuxnet mají spoustu věcí společných. Použití různých šifrovacích klíčů, včetně těch, které nebyly zveřejněny, před Duqu, vstřikovacích techniky, využití zero-day exploitu, využití odcizených certifikátů k podepisování ovladačů, to vše nás věří, jak bylo napsáno stejný tým.
Takže, co to přesně znamená? Jednoduše řečeno, různí lidé mohou pracovali na Duqu a Stuxnet, ale s největší pravděpodobností pracovali pro stejnou "nakladatelství." Pokud chcete analogii, Duqu a Stuxnet je jako Windows a Office. Oba jsou od společnosti Microsoft, i když různí lidé mohli na nich pracoval.
Otázka: Jaká je souvislost mezi Duqu a Showtime Dexter?
V incidentech jsme analyzovali, Duqu přijede do systému ve formě dokumentu aplikace Microsoft Word.Dokument obsahuje exploit pro zranitelnost známou jako CVE-2011-3402 . To je přetečení zásobníku v závislosti na Win32k.sys, které se týkají True Type fonty. Ke zneužití této konkrétní chyby, útočník potřebuje k řemeslu speciální True Type písmo a vložit ji do dokumentu, například dokumentu aplikace Word.
Nyní, na připojovací části - v incidentu jsme se analyzovat (a to platí i pro další známé události), útočníci použili písmo, pravděpodobně s názvem "Dexter Regular", a "Showtime Inc," (c) 2003 . To je další žert přitáhl autory Duqu, protože Showtime Inc kabelové vysílání společnost za televizním seriálu Dexter, o CSI lékař, který také se stane být sériový vrah, který pomstí zločinci v některých post-moderní zvrácenosti charakteru Charles Bronson je v Death Wish.
Otázka: Takže, Duqu autoři sociopat, sérioví vrazi, kteří mají zájem počítačového malware?
Doufáme, že oni jsou jen fanoušci Dexter.
Otázka: Stuxnet obsahuje konkrétní proměnnou, která ukazuje na 9. května 1979 , datum, kdy byl prominentní židovský obchodník tzv. Habib Elghanian popraven popravčí četou v Teheránu. Jsou tyto termíny v Duqu stejně?
Zajímavé je, že stejná konstanta se nachází v Duqu také. Maďarský CrySyS laboratoř byla první poukázat na využití 0xAE790509 v Duqu. V případě Stuxnet je číslo 0x19790509 použít jako infekce kontroly, v případě Duqu, konstanta je 0xAE790509.
Co je méně známo, že 0xAE790509 byl také použit v Stuxnet, ale před Duqu to nebyla zařazena do žádné z veřejných analýz jsme zvyklí.
Tam je také mnoho jiných míst, kde se používá konstantní 0xAE, a to jak v Duqu a Stuxnet.
Nakonec je konstanta 0xAE240682 používá Duqu jako součást dešifrování rutiny pro jeden z PNF známých souborů. V případě, že vás zajímá, 24. června 1982 je opravdu zajímavé datum - podívejte se na případ letu BA 9 .
* Výzkum společnosti Kaspersky Lab pro výzkum a Global Analysis Team.
Další literatura:
Podcast
Costin Raiu globálního výzkumu společnosti Kaspersky Lab a mluví Analysis Team o vyšetřování Duqu, pravděpodobnost, že to bylo napsáno ve stejném týmu jako Stuxnet, zda vláda je za jeho rozvoj a jaké chyby provedené autoři.
Stáhněte si podcast z Threatpost webu.
Žádné komentáře:
Okomentovat