středa 25. dubna 2012

Tajemství Duqu: Část druhá


Náš výzkum a výzkum malwaru Duqu pokračuje. V naší předchozí zprávě jsme se dva body:
  • existuje více řidičů, než se dříve myslelo;
  • je možné, že existují další moduly.
Vedle těchto klíčových bodech, jsme dospěli k závěru, že na rozdíl od masivních Stuxnet infekcí, jsou Duqu útoky omezena na extrémně malý počet cílů.
Ale dříve, než informovat vás o našich nových poznatků, rád bych vzdát hold maďarské výzkumné laboratoře Crysys pro jejich práci. Oni byli první, kdo analyzoval Duqu komponenty a tvořil vynikající zprávu. To bylo později poskytnuta antivirových výrobců a stal se základem dalšího šetření. (Bohužel, naše společnost nebyla první, kdo obdrží tuto zprávu, ale teď je to ještě zajímavější zjistit vše o Duqu)
Naši odborníci nadále provádět důkladnou analýzu všech komponent Duqu, a zjišťují, že další důkazy o podobnosti mezi Duqu a Stuxnet. Podrobná zpráva s analýzou našich odborníků souborů a jejich struktura je ve vývoji a bude zveřejněna později. Tato část našeho výzkumu není nejnaléhavější. To je mnohem důležitější pro pochopení podrobnosti o útocích a skutečnosti, které budou diskutovány zde.

Skutečné události

V našem předchozím blogu , jsme se zmínili, že v posledních 24 hodinách, jsme našli pouze jeden jediný skutečný incident, po přidání detekci všech známých složek Duqu. Od toho incidentu, jsme objevili víc, a to nám umožňuje některé závěry o útoku sám.
Je důležité zmínit, že můžeme potvrdit ani popřít, informace od jiných dodavatelů AV o hlášených případů ve Velké Británii, USA a případně v Rakousku a Indonésie. Děláme žádný komentář o možných incidentů v Maďarsku. Zaměřme se pouze na případy, které jsme objevili s pomocí Kaspersky Security Network.

Incident # 1: Súdán

Jeden z prvních skutečných případů infekce proběhla v poněkud výrazným regionu, tak jsme potvrdili dříve. Stalo se to v Súdánu.
V tomto případě jsme našli zcela nový ovladač, který se liší od předchozích variant jak v názvu a MD5.
Na základě našeho zjištění, že hlavní Duqu modul se skládá ze tří částí (řidič, DLL knihovny a konfigurační soubor), můžeme spekulovat, že další dva soubory jsou součástí balení. Ale my jsme nebyly pozorovány žádné detekci v našich zákazníků s naší současnou detekci souboru. To znamená, že tyto soubory se liší od známých příkladů ( netp191/192.pnf , cmi4432/cmi4464.pnf ).
Bohužel jsme nebyli schopni se spojit s infikovaným uživatele na základě podrobné analýzy a výzkumné úsilí na tomto incidentu. Také nemáme kopii adp55xx.sys řidiče. Víme, že pouze název souboru, velikost a kontrolní součet na tomto místě.

Incident # 2: Írán

V současné době byly nejvyšší počet incidentů Duqu bylo zaznamenáno v Íránu. Tato skutečnost nás přivádí zpět k Stuxnet příběhu a vyvolává řadu otázek. Ale nejdříve se podívejme na některé detaily.
Vidíme stejné situaci: nový jedinečný název souboru ( iraid18.sys ), již známa velikost souboru (24960 bytes) a nový kontrolní součet. Ale kromě těchto tří souborů statických vlastností, tam jsou některé rozdíly. Našli jsme nejen nový ovladač, ale i nový konfigurační soubor ird182.pnf . Nepochybně, je to podobně jako známé soubory (stejné velikosti 6570 bajtů), ale některé z obsahu je jiný, takže tento soubor jedinečné. Ukládá informace o infekce dnem, aby mohla kontrolovat další odinstalovat procesů.
Další řidič je ještě zajímavější. Nebyli jsme schopni obnovit jeho původní jméno. A přesto, že stejná velikost jako u předchozích ovladačů Duqu, to je také odlišné od iraid18.sys , který byl také nacházejí na infikované místo. To se liší od všech dosud známých ovladačů.
Na tomto místě, vidíme téměř kompletní novou sadu modulů s podobnými názvy: iraid18.sys + ird182.pnf+ neznámého hlavní DLL knihovna (které máme podezření může mít název jako ird181.pnf ).

Incident # 3: Írán

Tento incident je jedním z nejzajímavějších. Zde máme infekce dvou systémů připojených k sobě navzájem. Kromě toho, že tyto systémy jsou v jedné síti, oni byli také infikováni stejným řidičem odst. nové znovu) - igdkmd16b.sys . Podařilo se nám získat kopii tohoto souboru:
1VydavatelIntel Corporation
2ProduktIntel Graphics Accelerator
3PopisIntel Graphics Kernel Mode Driver
4Verze souboru2.2.0.15
5Původní názevigdkmd16b.sys
6Interní názevigdkmd16b.sys
7Velikost25088 bytů
8Datum sestavení17 říjen 2011

Všimněte si, že před tímto incidentem jsme nikdy neviděl soubor s byty velikosti 25088. Až do této věci, my jsme jen viděli ovladače s velikosti 24960 bajtů (bez digitálního podpisu) nebo 29568 bajtů (s elektronickým podpisem).
Kromě toho jsme zjistili další dva soubory na jednom ze systémů (bohužel jsme nebyli schopni získat kopii těchto souborů). První soubor je konfigurační soubor s názvem netq795.pnf a druhý soubor je neznámý řidič se stejnou velikosti 25088 bajtů, ale s jiným kontrolním součtem.
Stejně jako v případu č. 2, zde máme také téměř kompletní novou sadu modulů: igdkmd16b.sys +netq795.pnf + neznámého hlavní DLL knihovna (které jsme podezření, že může mít název jakonetq794.pnf ).

Incident # 4: Írán

Stejně jako ve všech výše popsaných událostí je unikátní ovladač, který se liší od těch předchozích a to jak ve jménu odst. bpmgs.sys ) a ve velikosti (24832 bytes). Bohužel jsme nebyli schopni získat kopii souboru a jeho obsah je stále záhadou. Totéž platí pro jeho odpovídající konfigurační soubor.
Ve stejné době jsme objevili, že je pravděpodobně nesouvisí s Duqu tomto případě. ALE!
Tento počítač byl nedávno vystaven útokům ze sítě na 4. října a 16. října. Oba útoky používal exploit zneužívá zranitelnost MS08-067 (např. který byl používán Kido a Stuxnet).
IP adresa útočníka je 63.87.255.149 (v obou případech). To je vlastněno MCI Communications Services, Inc rozdělení na společnosti Verizon Business.
Tak si představte situaci. Dva útoky v 12-ti denní lhůty od jedné IP adresy. Jaká je pravděpodobnost, že tento útok byl automaticky provedena Kido? To je možné v případě jednoho útoku. Je nemožné v případě dvou útoků. To silně naznačuje, že tyto útoky nebyly náhodné, ale cílená. Je možné, že útočník využít nejen MS08-067, ale i další hrdinské činy, které nebyly dohledat.

Závěry a fakta

  1. Máme jen zaznamenány incidenty v Súdánu a Íránu;
  2. Nemáme žádné informace, spojující oběti íránského jaderného programu, CAS nebo některá průmyslová odvětví;
  3. Je zřejmé, že každý případ je jedinečný Duqu s vlastními jedinečnými souborů pomocí různých jmen a kontrolní součty;
  4. Duqu se používá pro cílených útoků s pečlivě vybraných obětí (APT Termín byl používán k popisu, ale nelíbí se mi tento výraz, a nechcete používat);
  5. Víme, že existuje nejméně 13 různých ovladačů souborů (a my máme pouze 6 z nich);
  6. Nenašli jsme veškeré 'keylogger Hasičské použití modulu. Buď to nikdy bylo použité v tomto konkrétním souboru incidentů, nebo to bylo zakódováno, nebo byl odstraněn ze systémů;
  7. Analýza ovladače igdkmd16b.sys ukazuje, že existuje nový šifrovací klíč, což znamená, že stávající metody detekce známých PNF soubory DLL nebo hlavním) jsou k ničemu. Je zřejmé, že DLL je jinak zakódované v každém útoku. Stávající metody detekce od většiny AV prodejců jsou schopni úspěšně rozpoznat Duqu ovladače. Ale to je téměř 100% jisté, že hlavní složkou DLL (PNF) se zůstat nepovšimnuto.
  8. Duqu je multifunkční rámec, který je schopen pracovat s libovolným počtem jakýchkoliv modulů.Duqu je vysoce modulární a univerzální;
  9. Hlavní knihovna (PNF) je schopen (export 5), aby plně překonfigurovat a znovu nainstalovat balíček.Je schopen nainstalovat ovladače a vytvořit další komponenty, vše záznam v registru atd. To znamená, že pokud je připojení k aktivnímu C & C a příkazů, pak Duqu infrastruktura na konkrétním systému může být naprosto změnil;
  10. Duqu autorů byli schopni instalovat aktualizace modulů na infikovaných systémech těsně předtím, než byla informace o tomto malware zveřejněna, protože jsme i nadále objevovat nové Duqu ovladače vytvořené na 17. října 2011. Nemůžeme vyloučit možnost, že by byli schopni změnit C &C;
  11. Nemůžeme vyloučit, že znám C & C v Indii byla použita pouze v prvním známém incidentu (viz původní zprávu Crysys Lab) a že jsou jedinečné C & Cs pro každého cíle, včetně cíle nalezených u nás;
  12. Zprávy, které Duqu pracuje na infikovaných systémech pouze 36 dní nejsou zcela správné. I tento bod je přizpůsobené údaje: pouze jminet7.sys/netp191.pnf využívá 36-denní počítadlo. Sada modulů cmi4432.sys/cmi4432.pnf odstraní sám po 30 dnech.
Vystavil v
Štítky:

Žádné komentáře:

Okomentovat

Přihlásit se k odběru: Komentáře k příspěvku (Atom)