Za prvé, máme pocit, že je nezbytné vyjasnit některé z nejasností kolem souborů a jejich názvy související s tímto incidentem. Chcete-li získat celkový přehled o situaci potřebujete pouze vědět, že mluvíme o pouhé dva škodlivými programy zde (minimálně) - hlavní modul a keylogger. Vše, co bylo uvedeno v posledních 24 hodinách o spojení mezi Duqu a Stuxnet souvisí především s první - hlavní modul.
Hlavní modul se skládá ze tří složek:
- ovladač, který vstřikuje DLL do systémových procesů;
- DLL, která má další modul a pracuje s C a &C;
- konfigurační soubor.
Modul je velmi podobný Stuxnet - a to jak ve struktuře a chování. Nicméně, jméno Duqu nemá téměř žádnou spojitost s ním. Tento název je založen na názvy souborů, které se vztahují k úplně jiným škodlivým špionážní program!
Tento druhý škodlivý program, který je v podstatě keylogger (ale je také schopen shromažďovat i jiné typy informací) byl objeven na systému jedné z obětí, spolu s hlavním modulem je popsáno výše.Vzhledem k této skutečnosti plus hlavního modulu možnost stahovat další součásti, se předpokládalo, že hlavní modul a keylogger nějak příbuzný každému jiný. Při práci v systému, Keylogger ukládá shromažďovat data v souborech s názvy jako souboru ~ DQx.tmp . Takže jméno hlavního modulu - Duqu - byl dán na základě těchto souborů.
Ale ve skutečnosti kód z Trojan-Spy částečně dokazuje spojení mezi ním a hlavním modulem, a to byl pravděpodobně stažen z hlavního modulu někdy dříve. Ale podle jeho funkce , je nezávislá škodlivý aplikace schopné pracovat bez hlavního modulu. Ve stejné době, hlavní modul je schopen pracovat bez Trojan-Spy. Nicméně, spojení mezi keylogger a Stuxnet není tak zřejmý, a to je důvod, proč je to možné - v kuse - to snad nazvat vnouče z Stuxnet, ale rozhodně ne jeho dítě :)
Před rokem v naší analýze jsme dospěli k závěru, že Stuxnet se skládá ze dvou částí: nosné platformy a samostatný modul odpovědný za PLC. Ve skutečnosti, Stuxnet je spíše jako v reálném životě rakety s modulem přetaktování odst. červ sám) a hlavici PLC modul).
Navrhli jsme, že Stuxnet byl vyvinut asi dvěma různými skupinami lidí, kteří nemusejí vědět o existenci toho druhého nebo hlavním cílem projektu.
Část Stuxnet odpovědné za jeho šíření a systémové infekce mohou být znovu použity, ale s jednotlivými "hlavice".
A to je podobné tomu, co se stalo s Duqu. Nicméně, měl Duqu ne 'hlavice', ale to bylo možné nainstalovat veškeré 'hlavici "V každém okamžiku a zaměřit ji na nějaký cíl.
Je zapotřebí vyjasnit sledu událostí, které jsou známé a které mohou být zveřejněny.
Historie souboru Discovery Duqu je i detekce
Trojan-Spy
První "datum" mezi Duqu a antivirové prodejci se konala 1. září 2011, kdy se někdo z Maďarska poslal soubor s názvem ~ DN1.tmp na VirusTotal pro skenování.
Název souboru naznačuje, že to bylo pravděpodobně nalezeno v nakaženém stroji. Soubor není součástí hlavního modulu, ale Trojan-Spy, a byl pravděpodobně instalován na již infikovaných Duqu.
Soubor byl zjištěn v době předkládání čtyř produktů - ve skutečnosti jen dva motory: BitDefender antivirus (jako Gen: Trojan.Heur.FU.fuW @ aGOd0Wpi ) a Avira (jako TR/Crypt.XPACK.Gen3 ), F -Secure a G-DATA použití BitDefender je motor.
To je velmi zajímavé. To znamená, že autoři Duqu nebyli všichni, že strach o detekci tohoto modulu konkrétně tyto čtyři antivirových programů. Nicméně, tyto detekce pomohla odhalit modul.
Po počátečním odhalení, byl soubor přidal mnoho antivirových společností na svých databází - od 9. září do 19. většinou. Společnost Kaspersky Lab přidán tento soubor do databáze jakoTrojan.Win32.Inject.bjyg 14. září. Ve stejný den, Microsoft přidal taky ( Trojan: Win32/Hideproc.G ).
Mohlo by to bylo možné se domnívat, že podpis detekce tohoto souboru několika antivirových programů znamenalo, že Duqu hlavní modul by měl být detekován. Nicméně, situace byla úplně jiná.
Řidič
První "skutečné" Duqu soubor byl také poslal pro skenování do VirusTotal, pravděpodobně také z Maďarska. Toto se konalo 9. září.
Soubor byl poslán s původním názvem cmi4432.sys , a to znamená variantu řidiče, který má C-Media digitální podpis.| 1 | Vydavatel | C-Media Electronics Začlenění |
| 2 | Produkt | C-Media Electronics Začlenění |
| 3 | Interní název | cmi4432.sys |
| 4 | Verze souboru | 4.2.0.15 |
| 5 | Původní název | cmi4432.sys |
| 6 | Signatáři | C-Media Electronics Založení společnosti VeriSign třída 3 podepisování kódu 2009-2 CA třídy 3 veřejné primární certifikační autority |
| 7 | Popis | Palubní Sound Driver |
| 8 | Velikost | 29568 bytů |
Žádný z 43 VirusTotal antivirových programů zjištěna to - ani na 9. září (první podání hlavního modulu na VirusTotal), ani na 17. října (kdy byla zveřejněna informace o Duqu). Všechny detekce byly přidány po vydání.
Tato nesporná skutečnost dokazuje, že je Duqu autoři byli velmi opatrní při jejím vytváření. I přes podobnost s Stuxnet, byli schopni změnit kód a obejít odhalení všech oblíbených antivirových programů.
Je zajímavé sledovat korelaci mezi přesného času podání souboru v Maďarsku na VirusTotal a veřejné informace o souborech, které byly k dispozici dříve. Co jsme mluvili o tom tady jsou příspěvky od maďarské blogger (viz www.securelist.com/en/blog/208193178/Duqu_FAQ~~dobj ), zejména těch, 8. září, kde se uvádí, MD5 souboru: hlavní modul a Trojan-Spy!
Hledáte přátel nepřátelé 9749d38ae9b9ddd81b50aad679ee87ec se mluví o. Víš, co myslím. Víte proč. 0eecd17c6c215b358b7b872b74bfd800 je také zajímavé.b4ac366e24204d821376653279cbad86?
Zkoumali jsme tuto situaci a dospěl k závěru, že maďarský blogger pravděpodobně pracuje pro údajů Kontakt odst. www.dc.hu), ISP / hoster a certifikační orgán v Budapešti. Pravděpodobně tato společnost nebo její klienti najít tyto soubory na svých počítačích.
Upřímně řečeno, my, stejně jako někteří další výrobci antivirových programů, znát alespoň jednu další společnost, v Maďarsku, která se stala obětí Duqu. Ale v okamžiku, kdy tato informace nemůže být zveřejněny.
Druhá varianta řidiče byl také předložen VirusTotal a byl pravděpodobně také z Maďarska. To se stalo 18. září a soubor jeho původní jméno je jminet7.sys .
Tato varianta nemá digitální podpis a předává se jako soubor od JMicron.
| 1 | Vydavatel | JMicron Technology Corporation |
| 2 | Produkt | JMicron Objem snímek |
| 3 | Popis | JMicron Objem snímek Driver |
| 4 | Verze souboru | 2.1.0.14 |
| 5 | Původní název | jminet7.sys |
| 6 | Interní název | jminet7.sys |
| 7 | Velikost | 24960 bytů |
A opět, jako tomu bylo v případě prvního jezdce, jsme neviděli žádné detekci na VirusTotal až do 18. října.
Žádné PNF soubory, které jsou šifrované DLL a konfigurační soubory pro řidiče byly nalezeny na VirusTotal a žádné antivirové prodejci sehnal tyto soubory až do prvního oficiálního publikace o Duqu.
Příběh pokračuje ...
Vzhledem k tomu, shromáždění všech informací o Duqu a publikování, nové soubory tohoto malwaru byl nalezen. To znamená, že se autoři Duqu monitorování situace, reagují na události, a nebudete k zastavení.
Třetí Driver
Nový ovladač byl nalezen na 18. října - s novým datem vytvoření nového souboru a informace. Dne 19. října byl tento spis předložený VirusTotal od dvou různých zdrojů - v Rakousku a v Indonésii - téměř ve stejnou dobu v 18-minutový interval)!
Nová varianta projde sám sebe jako řidiče IBM:
| 1 | Vydavatel | IBM Corporation (c) |
| 2 | Produkt | IBM ServeRAID Contoller |
| 3 | Popis | IBM ServeRAID řadič |
| 4 | Verze souboru | 4.33.0.12 |
| 5 | Původní název | nfrd965.sys |
| 6 | Interní název | nfrd965.sys |
| 7 | Velikost | 24960 bytů |
To nemá digitální podpis a byl sestaven na 17. října.
Čtvrtý Driver
Dostali jsme nový ovladač přes VirusTotal v noci z 20. října, který je odlišný od těch předchozích. To byl poslán z Velké Británie.
To také nemá digitální podpis a také byl sestaven v říjnu 17 odst. stejné datum jako řidič IBM).
| 1 | Vydavatel | Adaptec Inc (c) |
| 2 | Produkt | Adaptec Windows 321 Family Driver |
| 3 | Popis | Adaptec Ultra321 SCSI ovladače Storport |
| 4 | Verze souboru | 2.1.0.14 |
| 5 | Původní název | adpu321.sys |
| 6 | Interní název | adpu321.sys |
| 7 | Velikost | 24960 bytů |
Podívejte se na název souboru: adpu321.sys . To se stává významné a zajímavé v další části tohoto příběhu ...
Cíl: Celý svět?
Připomeňme si Stuxnet příběh. My i ostatní antivirové firmy spatřen desítky tisíc infekcí (zejména v Íránu), hned po jeho objevu a detekce. Toto dalo spíše unambiguos údaj o předpokládané cíle, a dále šetření potvrdilo, tuto teorii.
Ale co infekce mapě Duqu je? Jsme použili tzv. cloud-based Kaspersky Security Network , která nám umožňuje sledovat všechny škodlivé činnosti na systémech klientů.
Výsledky jsou překvapivé. Našli jsme jen jeden skutečný infekci v 24 hodin po přidání detekci všech modulů!
A v zemi, kde vychází infikovaný uživatel je velmi specifické a zcela odlišné od všech zemí uvedených v této zprávě výše (Maďarsko, Rakousko, Indonésie, Spojené království).
V současné době se snaží kontaktovat uživatele, aby mohli provést hlubší průzkum a hledání pohřešovaných Duqu komponent, které jsou pravděpodobně v infikovaném systému. Pro tuto chvíli můžeme jen poukázat na to, že nebezpečný řidič, který byl nalezen tam má úplně jiný název -adp95xx.sys (podobné adpu321.sys ). To znamená, že TŘI různé Duqu ovladače byly nalezeny v posledních 48 hodinách. A je možné, že existuje více z nich.
Je nezbytné zmínit, že můžeme pozorovat pouze jednu Duqu hlavní modul infekci, nevidíme žádné Trojan-Spy infekcí. To znamená, že:
- Klient je napaden neznámým škodlivým modulu, nebo
- neexistuje "hlavice" v tomto případě.
De facto to znamená, že Duqu mohou existovat v různých variantách, např. nemusí být nutně s keylogger, který se prohlašoval, že je jediný známý škodlivý modul. V našich modulů zobrazit další - jsou schopny se za každou cenu - může existovat.
Na rozdíl od Stuxnet, který infikované mnoho systémů, ale vypadala na konkrétní cíl, Duqu infikuje velmi malý počet velmi specifických systémů po celém světě, ale může použít úplně jiné moduly pro každý systém.
Navíc v tuto chvíli nikdo našel instalační soubor (kapátko), který má být prvním článkem v řetězci infekce - odpovídá za řidiče a DLL instalace.
Tento soubor může být červ a používat různé exploity.
Tento soubor je klíčem k řešení puzzle Duqu.
Naše hledání pokračuje ...
UPDATE
Žádné komentáře:
Okomentovat