Duqu - это набор компьютерных вредоносных программ, обнаруженных 1 сентября 2011 года, подумал [ кем? ], который был связан с червем Stuxnet и был создан Unit 8200 . [1] [ лучший источник нуждался ] Duqu эксплуатировал MS Windows «s нулевого дня уязвимости . Лаборатория криптографии и системы безопасности ( CrySyS Lab ) [2] из Будапештского университета технологии и экономик в Венгрии обнаружила угрозу, анализировала вредоносные программы, а также написала отчет о 60-страничном [3]назвав угрозу Duqu. [4] Duqu получил свое название от префикса "~ DQ", который он дает именам файлов, которые он создает. [5]
Номенклатура
Термин Duqu используется по-разному:
- Вредоносные программы Duqu - это различные программные компоненты, которые вместе предоставляют злоумышленникам услуги. В настоящее время это включает в себя возможности кражи информации и в фоновом режиме, драйверы ядра и инструменты для внедрения. Часть этой вредоносной программы написана на неизвестном языке программирования высокого уровня [6], получившем название «Duqu framework». Это не C ++, Python, Ada, Lua и многие другие проверенные языки. Однако предполагается, что Duqu мог быть написан на C с использованием пользовательской объектно-ориентированной среды и скомпилирован в Microsoft Visual Studio 2008 . [7]
- Недостаток Duqu - это недостаток в Microsoft Windows, который используется во вредоносных файлах для запуска вредоносных компонентов Duqu. В настоящее время один недостаток известно, TrueType -font связанной с проблемой в win32k.sys .
- Операция Duqu - это процесс использования Duqu только для неизвестных целей. Операция может быть связана с операцией Stuxnet.
Отношение к Stuxnet
Symantec , основанная на команде CrySyS под руководством доктора Тибо Гайнша, продолжила анализ угрозы, которую назвала «почти идентичной Stuxnet, но с совершенно другой целью», и опубликовала подробный технический документ по ней с сокращением. версия исходного лабораторного отчета в качестве приложения. [5] [8] Symantec считает, что Duqu был создан теми же авторами, что и Stuxnet , или что авторы имели доступ к исходному коду Stuxnet. Червь, как и Stuxnet, имеет действительную, но использованную цифровую подпись , и собирает информацию для подготовки к будущим атакам. [5] [9] Микко Хиппёнен , директор по исследованиям F-Secure , сказал, что драйвер ядра Duqu, JMINET7.SYS был так похож на Stuxnet MRXCLS.SYS, что внутренняя система F-Secure думала, что это Stuxnet. Hyppönen также сказал, что ключ, используемый для создания собственной цифровой подписи Duqu (наблюдаемый только в одном случае), был украден из C-Media , расположенного в Тайбэе, Тайвань. Срок действия сертификатов должен был истечь 2 августа 2012 года, но, по данным Symantec, 14 октября 2011 года они были отозваны. [8]
Другой источник, Dell SecureWorks , сообщает, что Duqu может не иметь отношения к Stuxnet. [10] Однако появляется все больше свидетельств того, что Duqu тесно связан со Stuxnet.
Эксперты сравнили сходство и обнаружили три интересных момента:
- Программа установки использует уязвимости ядра Windows нулевого дня .
- Компоненты подписаны украденными цифровыми ключами.
- Duqu и Stuxnet имеют высокую степень нацеливания и имеют отношение к ядерной программе Ирана.
Эксплойт нулевого дня в Microsoft Word
Как и Stuxnet , Duqu атакует системы Microsoft Windows , используя уязвимость нулевого дня . Первый известный установщик (AKA dropper), восстановленный и раскрытый CrySyS Lab, использует документ Microsoft Word, который использует механизм синтаксического анализа шрифтов Win32k TrueType и разрешает выполнение. [11] Дроппер Duqu относится к встраиванию шрифтов и, таким образом, относится к обходному пути для ограничения доступа к T2EMBED.DLL , который является механизмом синтаксического анализа шрифтов TrueType, если исправление, выпущенное Microsoft в декабре 2011 года, еще не установлено. [12] Идентификатор угрозы Microsoft - MS11-087 (первое уведомление от 13 ноября 2011 г.). [13]
Цель
Duqu ищет информацию, которая может быть полезна при атаке на промышленные системы управления . Его цель - не быть деструктивным, известные компоненты пытаются собрать информацию. [14] Однако, основываясь на модульной структуре Duqu, специальная полезная нагрузка может использоваться для атаки любого типа компьютерной системы любыми средствами, и, таким образом, возможны киберфизические атаки, основанные на Duqu. Однако было обнаружено, что в системах персональных компьютеров можно удалить всю последнюю информацию, введенную в систему, а в некоторых случаях и полностью удалить жесткий диск компьютера. Внутренние коммуникации Duqu анализируются Symantec [5], но фактический и точный метод репликации внутри атакуемой сети еще полностью не известен. Согласно McAfee , одним из действий Duqu является кража цифровых сертификатов (и соответствующих закрытых ключей, используемых в криптографии с открытым ключом ) с атакованных компьютеров, чтобы будущие вирусы выглядели как безопасное программное обеспечение. [15] Duqu использует файл JPEG размером 54 × 54 пикселей и зашифрованные фиктивные файлы в качестве контейнеров для переправки данных в свой центр управления и контроля. Эксперты по безопасности все еще анализируют код, чтобы определить, какую информацию содержат сообщения. Первоначальное исследование показывает, что исходный образец вредоносного ПО автоматически удаляется через 36 дней (вредоносное ПО сохраняет этот параметр в файлах конфигурации), что ограничивает его обнаружение. [8]
Ключевые моменты:
- Исполняемые файлы, разработанные после Stuxnet с использованием обнаруженного исходного кода Stuxnet.
- Исполняемые файлы предназначены для сбора такой информации, как нажатия клавиш и системная информация.
- Текущий анализ не показывает кода, связанного с промышленными системами управления, эксплойтами или самовоспроизведением.
- Исполняемые файлы были обнаружены в ограниченном количестве организаций, в том числе занимающихся производством промышленных систем управления.
- Извлеченные данные могут быть использованы для включения будущей атаки, подобной Stuxnet, или уже могли быть использованы в качестве основы для атаки Stuxnet.
Серверы управления и контроля
Некоторые из командных серверов Duqu были проанализированы. Похоже, что люди, проводившие атаку, имели пристрастие к серверам CentOS 5.x, что привело некоторых исследователей к мысли, что у них есть [16] эксплойт нулевого дня для этого. Серверы разбросаны по разным странам, включая Германию , Бельгию , Филиппины , Индию и Китай . Kaspersky опубликовал несколько сообщений в блогах о серверах управления и контроля. [17]
Смотрите также
- Киберэлектронная война
- Стандарты кибербезопасности
- Кибервойна в США
- Кибероружие
- Flame (вредоносное ПО)
- Список тенденций угроз кибератак
- Махди (вредоносное ПО)
- Лунный лабиринт
- Операция High Roller
- Операция Мерлин
- Проактивная киберзащита
- Звездный вирус
- Титановый дождь
- Киберкомандование США
- Блок 8200
Рекомендации
- ^ АНБ, подразделение 8200 и распространение вредоносных программ Джеффри Карр, главный консультант 20KLeague.com; Основатель Suits and Spooks; Автор «Inside Cyber Warfare (O'Reilly Media, 2009, 2011)», medium.com, 25 августа 2016 г.
- ^ "Лаборатория криптографии и безопасности систем (CrySyS)" . Проверено 4 ноября 2011 года .
- ^ «Duqu: Вредоносное ПО, похожее на Stuxnet, обнаружено в дикой природе, технический отчет» (PDF) . Лаборатория криптографии безопасности систем (CrySyS). 14 октября 2011 г.
- ^ «Заявление о первоначальном анализе Duqu» . Лаборатория криптографии безопасности систем (CrySyS). 21 октября 2011 года Архивировано из оригинала 3 октября 2012 года . Проверено 25 октября 2011 года .
- ^ а б в г «W32.Duqu - предшественник следующего Stuxnet (версия 1.4)» (PDF) . Symantec . 23 ноября 2011 . Проверено 30 декабря 2011 года .
- ^ Шон Найт (2012) Duqu Trojan содержит загадочный язык программирования в Payload DLL
- ^ http://www.securelist.com/en/blog/677/The_mystery_of_Duqu_Framework_solved
- ^ а б в Зеттер, Ким (18 октября 2011 г.). «Сын Stuxnet, найденный в дикой природе в системах в Европе» . Проводной . Проверено 21 октября 2011 года .
- ^ «Вирус Duqu alarmiert IT-Sicherheitsexperten» . Die Zeit . 19 октября 2011 . Проверено 19 октября 2011 года .
- ^ «Обнаруженный в Иране троян Duqu, возможно, вовсе не является« сыном Stuxnet »» . Проверено 27 октября 2011 года .
- ^ «Microsoft выпускает временную« fix-it »для Duqu нулевого дня» . Проверено 5 ноября 2011 года .
- ^ «Рекомендации по безопасности Microsoft (2639658)» . Уязвимость в синтаксическом анализе шрифтов TrueType делает возможным несанкционированное получение прав . 3 ноября 2011 . Проверено 5 ноября 2011 года .
- ^ «Бюллетень по безопасности Microsoft MS11-087 - критический» . Проверено 13 ноября 2011 года .
- ^ Стивен Черри и Ларри Константин (14 декабря 2011 г.). «Сыновья Стакснета» . IEEE Spectrum .
- ^ Венере, Гильерме; Сор, Питер (18 октября 2011 г.). «День Золотого Шакала - Следующая сказка в файлах Stuxnet: Duqu» . McAfee . Проверено 19 октября 2011 года .
- ^ Гармон, Мэтью. «Под командованием и вне контроля» . Мэтт Гармон . КОПАТЬ.
- ^ «Тайна Дуку, часть шестая: Командные и управляющие серверы» . 30 ноября 2011 . Проверено 30 ноября 2011 года .