Duqu

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до навігації Перейти до пошуку

Duqu — це зібрання шкідливих програмних засобів виявлених 1 вересня 2011, яке вважається, пов'язаним із хробаком Стакснет. Лабораторія криптографії та системи безпеки (CrySyS Lab[en])[1] Будапештського університету технології та економіки (Угорщині) виявили та проаналізували загрозу цього шкідливого ПО у вигляді 60-сторінкової доповіді[2], давши назву Duqu.[3] Duqu отримав свою назву від префікса «~ DQ» яка є в іменах файлів, ним створених.[4]

Номенклатура[ред. | ред. код]

Термін Дуку використовується у багатьох значеннях:

  • Комп'ютерний вірус Дуку — це набір програм які комплексно використовуються при вірусній атаці. На цей момент він включає до себе здатність до крадіжки особистих даних у фоновому режимі. Частина вірусу була написана на невідомій мові програмування високого рівня.[5] Названий «Duqu framework». Багато мов було перевірено, в тому числі: C++, Python, Ada, Lua. Однак результати нещодавніх досліджень дозволяють припустити, що Дуку міг бути написаний на об'єктно-орієнтованому С (ОО С) та скомпільований в Microsoft Visual Studio 2008.
  • Недолік Дуку — це недолік в Microsoft Windows який використовується в інфікованих файлах для того щоб виконати вірусні компоненти Дуку. На цей момент відома одна хиба, яка відноситься до TTF в win32k.sys.
  • Операція Дуку — це процес в якому використовується лише тільки Дуку, цілі якої невідомі. Можливо ця операція відноситься до операції Стакснет.

Відношення до Стакснет[ред. | ред. код]

Symantec, базуючись на звіті Лабораторія Криптографії та Систем Безпеки, продовжує аналізувати загрозу, яку вони називають «майже ідентичною до Стакснет, але з зовсім іншою метою», та опублікували технічний документ з неї, в якій використали первинний звіт в урізаній формі як додаток.[4][6] Symantec вважає, що Дуку був створений тією самою людиною, що й Стакснет, чи автор мав доступ до вихідного коду Стакснет. Черв'як подібний до Стакснет: має вірний, але неправильно вживаний цифровий підпис, та збирає інформацію для майбутніх атак.[4][7]. Мікко Хіпонен[en], головний дослідницький офіцер F-Secure сказав, що драйвер ядра Дуку JMINET7.SYS, настільки подібний до драйвера ядра Стакснет MRXCLS.SYS, що система бекенду визначила його як Стакснет. Також він заявив, що ключ який був використано для створення власного цифрового підпису Дуку був вкрадений у C-Media, розміщеної в Тайпей, Тайвань. Термін дії сертифікату мав добігти кінця 2 серпня 2012 року, але був відкликаний 14 жовтня 2011 згідно з даними Symantec.[6]

Інше джерело, SecureWorks[en], повідомляє, що Дуку може не відноситися до Стакснет. Хоче існують переконливі докази, що Дуку відноситься до родини Стакснет.[8]

У ході порівняння було виявлено три подібності:

  • Інсталятор використовує zero-day уразливість в ядрі Windows.
  • Компоненти підписані вкраденим цифровим ключем.
  • Дуку та Стакснет націлені на ядерні програми Ірану.

Мета[ред. | ред. код]

Duqu шукає інформацію, яка може бути корисна в нападах на промислові системи управління. Його мета не полягає в тому, щоб бути руйнівним, відомі компоненти намагаються збирати інформацію.[9] Проте, на основі модульної структури Duqu, спеціальний модуль може бути використаний, щоб атакувати будь-який тип комп'ютерних систем за допомогою будь-яких засобів і, таким чином кібер-фізичні атаки, засновані на Duqu, можуть бути можливими. Проте, використовування на системах персональних комп'ютерів призводило до видалення всієї нещодавньої інформації, а в деяких випадках повного стирання інформації з жорсткого диску комп'ютера. Внутрішні комунікації Duqu проаналізовані Symantec,[4] але фактичний та точний метод, як він дублюється всередині мережі ще не повністю відомий. Згідно McAfee, одним з пріоритетів Duqu є викрадання цифрових сертифікатів(та відповідно приватних ключів, які використовують відкриті криптографічні ключі) з уражених комп'ютерів, за допомогою яких майбутні віруси з'являються як безпечне програмне забезпечення.[10] Duqu використовує 54× 54 JPEG файл і зашифровані фіктивні файли як контейнери для передачі даних його серверу керування. Експерти з безпеки ще аналізують код, щоб визначити, яка інформація міститься в передачах. Первинне дослідження показало, що первинний зразок вірусу автоматично видаляє себе після 36 днів (вірус зберігає цей параметр в файлах конфігурації), що обмежує його виявлення.[6]

Ключові моменти:

  • Вірус було розроблено після Стакснет, використовуючи первинний код, який був виявлений у Стакснет.
  • Вірус розроблено для збору інформації, такої як натискання клавіш та системної інформації.
  • Поточний аналіз показує, що код не пов'язаний з промисловими системами управління або з самовідтворенням.
  • Виконувані файли були знайдені в обмеженій кількості організацій, в тому числі тих, що беруть участь у виробництві промислових систем управління.
  • Відфільтрована інформація може бути використана для майбутніх, подібних до Стакснет атак або, можливо, вже була використана з цією метою.

Ботнети[ред. | ред. код]

Деякі з ботнетів Duqu були проаналізовані. Здається, що керівники, віддавали перевагу серверам CentOS 5.x, внаслідок чого деякі дослідники вважають, що вони повинні були мати уразливість zero-day. Ботнети розкидані в різних країнах, у тому числі Німеччини, Бельгії, Філіппін, Індії та Китаю. Kaspersky опублікував кілька блогпостів та ботнетів.[11]

Див. також[ред. | ред. код]

Примітки[ред. | ред. код]

  1. Laboratory of Cryptography and System Security (CrySyS). Процитовано 4 November 2011. 
  2. Duqu: A Stuxnet-like malware found in the wild, technical report. Laboratory of Cryptography of Systems Security (CrySyS). 14 October 2011. 
  3. Statement on Duqu's initial analysis. Laboratory of Cryptography of Systems Security (CrySyS). 21 October 2011. Архів оригіналу за 3 жовтень 2012. Процитовано 25 October 2011. 
  4. а б в г W32.Duqu – The precursor to the next Stuxnet (Version 1.4). Symantec. 23 November 2011. Процитовано 30 December 2011. 
  5. Shawn Knight (2012) Duqu Trojan contains mystery programming language in Payload DLL
  6. а б в Zetter, Kim (18 October 2011). Son of Stuxnet Found in the Wild on Systems in Europe. Wired. Процитовано 21 October 2011. 
  7. Virus Duqu alarmiert IT-Sicherheitsexperten. Die Zeit. 19 October 2011. Процитовано 19 October 2011. 
  8. Spotted in Iran, trojan Duqu may not be "son of Stuxnet" after all. Процитовано 27 October 2011. 
  9. Steven Cherry, with Larry Constantine (December 14, 2011). Sons of Stuxnet. IEEE Spectrum. 
  10. Venere, Guilherme; Szor, Peter (18 October 2011). The Day of the Golden Jackal – The Next Tale in the Stuxnet Files: Duqu. McAfee. Процитовано 19 October 2011. 
  11. The mystery of Duqu part six: The command and control servers. 30 November 2011. Процитовано 30 November 2011.