První věcí, první, musím poukázat na chybu v předchozím textu.
Při analýze čtvrtou incidentu v Íránu, jsme konstatovali, že existují dva síťové útoky na počítač oběti z IP adresy 63.87.255.149. Mohlo by to být exkluzivní verze Duqu, ale to se ukázalo být velkou chybou.
Posuďte sami - Duqu kontroluje připojení k Internetu a snaží se dosáhnout serverukasperskychk.dyndns.org , která by měla být umístěna v 68.132.129.18 . Analýza informací na této adrese ukazuje, že se nachází na stejném datovém centru jako 63.87.255.149 IP adresu, že jsme "objevili"!
Ve skutečnosti jsem však udělal chybu při převodu na projev, který byl výsledkem jediné chybějící 'mínus' znamení: Čísla "1062731669" a "-1062731669" . V prvním případě přechodu na IP adresu 63.87.255.149 dostaneme, ale v druhém jsme si místní adresu 192.168.0.107, který, samozřejmě, není v zájmu našeho výzkumu whatsoever: (
Kapátko a 0-day.
Nyní se z nějakého mnohem více zajímavých novinek. Ukázalo se, že pokračující výzkum maďarské laboratoři Crysys vedla k odhalení hlavního chybějící článek - kapátka, které provedla počáteční systémové infekce.
Jak jsme očekávali, chyba byla na vině. MS Word doc soubor byl zjistil, že byl poslán do jedné z obětí, které lidé za Duqu. Soubor obsahoval exploit pro dříve neznámé zranitelnosti ve Windows, které extrahovány a zahájila komponenty Duqu.
Symantec a Microsoft ještě neučinil skutečný kapací soubor k dispozici na jiné antivirové společnosti zatím ani oni poskytli informace o tom, které součástí systému Windows obsahuje chybu zabezpečení, která vede k eskalaci práv. Však nepřímé důkazy naznačují, že chyba je v Win32k.sys .
Objevili jsme podobnou chybu (viz MS10-073 ), před rokem při analýze Stuxnet červa. Dalším zajímavým problémem v Win32k.sys ( MS11-077 ) byla stanovena společností Microsoft dne 11. října tohoto roku - spuštění kódu, než je možné využít prostřednictvím souborů s písmy.
Microsoft uvedl, že pracoval na zranitelnosti používaného Duqu, i když to vypadá, že oprava nebude mít k dispozici v listopadových změnách.
Detekce kapátkem a cesta použité proniknout systému (cílený útok proti konkrétní oběti vedené prostřednictvím e-mailu) dokazuje naši teorii, že Duqu útoky jsou namířeny proti velmi malého počtu obětí a v každém případě mohou využít jedinečné sady souborů.
Infikovat ostatní počítače v síti, Duqu Zdá se, že pomocí naplánované úlohy, což je postup, který jsme také viděli v Stuxnet a je preferovanou volbou Apts. Ty, spolu s dalšími dosud známých informací posilují teorii, že Stuxnet a Duqu byly vytvořeny stejnými lidmi.
Dodatečné informace ukazují, že útočníci pracovali pečlivě s dotčenými systémy, pečlivě sbírat data z každého počítače, pronikat hlouběji a hlouběji do lokální sítě obětí. Stejně jako unikátní sadu souborů Duqu pro každou oběť, může být i unikátní příkaz server (C2) pro každý subjekt, který byl napaden.
Náš výzkum ukazuje, že k incidentům Zjistili jsme, zahrnující Duqu v Súdánu a Íránu jsou ve skutečnosti větší, než se původně myslelo. V současné době jsme zaznamenali tři oběti v Súdánu a čtyři v Íránu.Jsme již pracuje s některými z nich odhalit všechny Duqu komponenty a určit cestu k původní infekce.
Očekáváme, že se tyto výsledky ve velmi blízké budoucnosti a je zveřejní v příštím splátky "The Mystery of Duqu".
Žádné komentáře:
Okomentovat