Duqu
Duqu je počítačový červ objevil 1. září 2011, myšlenka být příbuzný s Stuxnetčerva. Laboratoř kryptografie a bezpečnostní systém ( CrySyS Lab ) [ 1 ] nabudapešťské univerzitě technologie a ekonomiky v Maďarsku objevil hrozbu, analyzoval malware , a psal 60-stránková zpráva [ 2 ] pojmenování hrozeb Duqu.[ 3 ] Duqu dostal jeho jméno z předpony "~ DQ" dává na názvy souborů, které vytváří. [ 4 ]
Termín Duqu je používán v mnoha různými způsoby:
Duqu malware je řada softwarových komponent, které společně poskytují služby pro útočníky. V současné době zahrnuje informace krást schopností a na pozadí, jádra ovladače a vstřikovacích nástrojů. Část této malware je napsán v neznámém jazyce vysoké úrovni programování, [ 5 ] daboval "Duqu rámec". To není C + +, Python, Ada, Lua a mnoho dalších kontroluje jazyků. Nicméně, nedávný důkaz navrhne, že Duqu může být napsán v objektově orientovaného C (OO C) a sestavené v Microsoft Visual Studio 2008.
Duqu chyba je chyba v Microsoft Windows, která se používá v škodlivých souborů provádět škodlivé složky Duqu. V současné době o jednu vadu, je známo, TTF související problém v souboru Win32k.sys .
Provoz Duqu je proces pouze pomocí Duqu pro neznámé cíle. Operace může být v souvislosti s provozem Stuxnet.
Symantec , založené na zprávě CrySyS, pokračoval analýzu ohrožení, které se nazývá "téměř totožná s Stuxnet, ale s úplně jiným účelem", a zveřejnila podrobný technický dokument o tom s cut-dole verze původního laboratoře Zpráva jako příloha. [ 4 ] [ 6 ] Symantec věří, že Duqu byl vytvořen stejnými autory jako Stuxnet , nebo že autoři měli přístup ke zdrojovému kódu Stuxnet.Červ je stejně jako Stuxnet, má platnou, ale týrané digitální podpis, a shromažďuje informace k přípravě na budoucí útoky. [ 4 ] [ 7 ] Mikko Hypponen , vedoucí výzkumný pracovník pro F-Secure , řekl, že Duqu je kernel driver,JMINET7.SYS , byl tak podobný Stuxnet je MRXCLS.SYS , že F-Secure back-end systém myslel, že je Stuxnet. Hypponen dále uvedl, že klíčem používá k výrobě Duqu vlastní digitální podpis (pozorovány pouze v jednom případě) byl ukraden z C-Media , který se nachází v Taipei, Taiwan. Certifikáty byly skončit ze dne 2. srpna 2012, ale byla zrušena dne 14. října 2011 podle společnosti Symantec. [ 6 ]
Dalším zdrojem, Dell SecureWorks , uvádí, že Duqu nemusí být spojené s Stuxnet. [ 8 ] Nicméně, tam je značný a rostoucí důkazy, že Duqu úzce souvisí s Stuxnet.
Odborníci ve srovnání podobnosti a našel tři zajímavé:
Instalátor využívá zero-day zranitelnost Windows jádra.
Komponenty jsou podepsány s ukradenými digitálními tlačítky.
Duqu a Stuxnet jsou oba vysoce cílené a vztahující se k jadernému programu Íránu.
Stejně jako Stuxnet , Duqu napadá Microsoft Windows systémy pomocí nulové denní zranitelnost . První známý installer (AKA kapátko) soubor obnoven a zveřejnit CrySyS Lab používá aplikace Microsoft Word (. doc), který zneužíváWin32k TrueType písma rozebrat motor a umožňuje provádět. [ 9 ] kapátko Duqu týká vkládání písem, a tudíž se týká k zástupného řešení pro omezení přístupu k T2EMBED.DLL , což je TrueType písma parsing engine-li se náplast uvolní Microsoft v prosinci 2011 ještě není nainstalován. [ 10 ] Microsoft identifikátor pro ohrožení je MS11-087 (první poradní vydaný dne 13.listopadu 2011). [ 11 ]
Duqu looks for information that could be useful in attacking industrial control systems. Its purpose is not to be destructive, the known components are trying to gather information.[12] However, based on the modular structure of Duqu, special payload could be used to attack any type of computer systems by any means and thus cyber-physical attacks based on Duqu might be possible. However, use on personal computer systems has been found to delete all recent information entered on the system, and in some cases total deletion of the computer's hard drive. Internal communications of Duqu are analysed by Symantec [4], but the actual and exact method how it replicates inside an attacked network is not yet fully known. According to McAfee, one of Duqu's actions is to steal digital certificates (and corresponding private keys, in contrast to public-key cryptography) from attacked computers to help future viruses appear as secure software.[13] Duqu uses a 54×54 pixel jpeg file and encrypted dummy files as containers to smuggle data to its command and control center. Security experts are still analyzing the code to determine what information the communications contain. Initial research indicates that the original malware sample automatically removes itself after 36 days (the malware stores this setting in configuration files), which would limit its detection.[6]
Key points are:
Executables developed after Stuxnet using the Stuxnet source code that have been discovered.
The executables are designed to capture information such as keystrokes and system information.
Current analysis shows no code related to industrial control systems, exploits, or self-replication.
The executables have been found in a limited number of organizations, including those involved in the manufacturing of industrial control systems.
The exfiltrated data may be used to enable a future Stuxnet-like attack or might already have been used as basis for the Stuxnet attack.
Some of the command and control servers of Duqu have been analysed. It seems that the people running the attack had a predilection for CentOS 5.x servers, leading some researchers to believe that they had a zero-day exploit for it. Servers are scattered in many different countries, including Germany,Belgium, Philippines and China. Kaspersky published multiple blogposts on the command and control servers.[14]