~~~~~~~~~~~~~~~~~~~~ Arc.Ask3.Ru ~~~~~~~~~~~~~~~~~~~~~ 
Номер скриншота №:
✰ 629F4E13E4299D3FE64CBC2D0C326D7E__1714419540 ✰
Заголовок документа оригинал.:
✰ Duqu - Wikipedia ✰
Заголовок документа перевод.:
✰ Дуку — Википедия ✰
Снимок документа находящегося по адресу (URL):
✰ https://en.wikipedia.org/wiki/Duqu ✰
Адрес хранения снимка оригинал (URL):
✰ https://arc.ask3.ru/arc/aa/62/7e/629f4e13e4299d3fe64cbc2d0c326d7e.html ✰
Адрес хранения снимка перевод (URL):
✰ https://arc.ask3.ru/arc/aa/62/7e/629f4e13e4299d3fe64cbc2d0c326d7e__translat.html ✰
Дата и время сохранения документа:
✰ 23.06.2024 21:43:04 (GMT+3, MSK) ✰
Дата и время изменения документа (по данным источника):
✰ 29 April 2024, at 22:39 (UTC). ✰ 

~~~~~~~~~~~~~~~~~~~~~~ Ask3.Ru ~~~~~~~~~~~~~~~~~~~~~~ 
Сервисы Ask3.ru: 
 Архив документов (Снимки документов, в формате HTML, PDF, PNG - подписанные ЭЦП, доказывающие существование документа в момент подписи. Перевод сохраненных документов на русский язык.)https://arc.ask3.ruОтветы на вопросы (Сервис ответов на вопросы, в основном, научной направленности)https://ask3.ru/answer2questionТоварный сопоставитель (Сервис сравнения и выбора товаров) ✰✰
✰ https://ask3.ru/product2collationПартнерыhttps://comrades.ask3.ru


Совет. Чтобы искать на странице, нажмите Ctrl+F или ⌘-F (для MacOS) и введите запрос в поле поиска.
Arc.Ask3.ru: далее начало оригинального документа

Дуку — Википедия Jump to content

Мэр

Из Википедии, бесплатной энциклопедии
Версию вредоносного ПО, анонсированную в 2015 году, см. в Duqu 2.0 .

Duqu — это набор компьютерных вредоносных программ , обнаруженных 1 сентября 2011 года, которые, по мнению «Лаборатории Касперского» , связаны с Stuxnet . червем [1] и быть созданным Отрядом 8200 . [2] [ нужен лучший источник ] Duqu воспользовался Microsoft Windows в уязвимостью нулевого дня . Лаборатория криптографии и системной безопасности ( CrySyS Lab ) [3] из Будапештского университета технологии и экономики в Венгрии обнаружили угрозу, проанализировали вредоносное ПО и написали 60-страничный отчет [4] назвав угрозу Дуку. [5] Duqu получил свое название от префикса «~DQ», который он присваивает именам создаваемых файлов. [6]

Номенклатура [ править ]

Термин Дуку используется по-разному:

  • Вредоносное ПО Duqu — это различные программные компоненты, которые вместе предоставляют услуги злоумышленникам. В настоящее время это включает в себя возможности кражи информации, а также в фоновом режиме драйверы ядра и инструменты внедрения. Часть этого вредоносного ПО написана на неизвестном языке программирования высокого уровня. [7] получивший название «фреймворк Duqu». Это не C++, Python, Ada, Lua и многие другие проверенные языки. Однако предполагается, что Duqu мог быть написан на C с использованием специальной объектно-ориентированной среды и скомпилирован в Microsoft Visual Studio 2008 . [8]
  • Уязвимость Duqu — это уязвимость в Microsoft Windows, которая используется во вредоносных файлах для запуска вредоносных компонентов Duqu. В настоящее время известен один недостаток — проблема, связанная с шрифтом TrueType в win32k.sys .
  • Операция Дуку — это процесс использования Дуку только для неизвестных целей. Эта операция может быть связана с операцией Stuxnet.

Связь со Stuxnet [ править ]

Symantec на базе команды CrySyS под руководством доктора Тибо Гейнча продолжила анализ угрозы, которую она назвала «почти идентичной Stuxnet, но с совершенно другой целью», и опубликовала по ней подробный технический документ с вырезками. сокращенную версию исходного лабораторного отчета в виде приложения. [6] [9] Symantec полагает, что Duqu был создан теми же авторами, что и Stuxnet , или что авторы имели доступ к исходному коду Stuxnet. Червь, как и Stuxnet, имеет действительную, но использованную цифровую подпись и собирает информацию для подготовки к будущим атакам. [6] [10] Микко Хиппёнен , директор по исследованиям F-Secure , сказал, что драйвер ядра Duqu, JMINET7.SYS был очень похож на Stuxnet. MRXCLS.SYS означает, что серверная система F-Secure считает, что это Stuxnet. Хиппёнен также сообщил, что ключ, использованный для создания собственной цифровой подписи Дуцю (наблюдался только в одном случае), был украден у компании C-Media , расположенной в Тайбэе, Тайвань. Срок действия сертификатов должен был истечь 2 августа 2012 года, но, по данным Symantec, они были отозваны 14 октября 2011 года. [9]

Другой источник, Dell SecureWorks , сообщает, что Duqu может не иметь отношения к Stuxnet. [11] Однако появляется все больше свидетельств того, что Duqu тесно связан со Stuxnet.

Эксперты сравнили сходства и обнаружили три интересных момента:

  • Установщик использует нулевого дня . уязвимости ядра Windows
  • Компоненты подписаны украденными цифровыми ключами.
  • Duqu и Stuxnet являются объектами серьезной атаки и связаны с ядерной программой Ирана.

нулевого дня в Microsoft Эксплойт Word

Как и Stuxnet , Duqu атакует системы Microsoft Windows , используя уязвимость нулевого дня . Первый известный файл установщика (AKA dropper), восстановленный и раскрытый CrySyS Lab, использует документ Microsoft Word , который использует механизм анализа шрифтов Win32k TrueType и допускает выполнение. [12] Дроппер Duqu относится к внедрению шрифтов и, таким образом, относится к обходному пути ограничения доступа к T2EMBED.DLL — механизм анализа шрифтов TrueType, если исправление, выпущенное Microsoft в декабре 2011 года, еще не установлено. [13] Идентификатор угрозы Microsoft — MS11-087 (первая рекомендация выпущена 13 ноября 2011 г.). [14]

Цель [ править ]

Дуку ищет информацию, которая может быть полезна при атаке на промышленные системы управления . Его цель не разрушительная, известные компоненты пытаются собрать информацию. [15] Однако, благодаря модульной структуре Duqu, специальная полезная нагрузка может использоваться для атаки любого типа компьютерной системы любыми способами, и, таким образом, могут быть возможны киберфизические атаки на основе Duqu. Однако было обнаружено, что использование персональных компьютерных систем приводит к удалению всей последней информации, введенной в систему, а в некоторых случаях к полному удалению жесткого диска компьютера. Внутренние коммуникации Duqu анализируются Symantec, [6] но реальный и точный метод его репликации внутри атакованной сети еще полностью не известен. По словам McAfee , одним из действий Duqu является кража цифровых сертификатов (и соответствующих закрытых ключей, используемых в криптографии с открытым ключом ) с атакованных компьютеров, чтобы помочь будущим вирусам выглядеть как безопасное программное обеспечение. [16] Duqu использует файл JPEG размером 54×54 пикселя и зашифрованные фиктивные файлы в качестве контейнеров для переправки данных в свой центр управления и контроля. Эксперты по безопасности все еще анализируют код, чтобы определить, какую информацию содержат сообщения. Первоначальные исследования показывают, что исходный образец вредоносного ПО автоматически удаляется через 36 дней (вредоносное ПО сохраняет этот параметр в файлах конфигурации), что ограничивает его обнаружение. [9]

Ключевые моменты:

  • Исполняемые файлы, разработанные после Stuxnet с использованием обнаруженного исходного кода Stuxnet.
  • Исполняемые файлы предназначены для сбора такой информации, как нажатия клавиш и системная информация.
  • Текущий анализ не выявил кода, связанного с промышленными системами управления, эксплойтами или самовоспроизведением.
  • Исполняемые файлы были обнаружены в ограниченном числе организаций, в том числе занимающихся производством промышленных систем управления.
  • Украденные данные могут быть использованы для реализации будущей атаки типа Stuxnet или уже могут быть использованы в качестве основы для атаки Stuxnet.

Серверы управления и контроля [ править ]

некоторые серверы управления и контроля Были проанализированы Дуку. Похоже, что люди, организовавшие атаку, имели пристрастие к серверам CentOS 5.x, что заставило некоторых исследователей полагать, что у них была [17] эксплойт нулевого дня для него. Серверы разбросаны по разным странам, включая Германию , Бельгию , Филиппины , Индию и Китай . Касперский опубликовал несколько сообщений в блогах на серверах управления. [18]

См. также [ править ]

Ссылки [ править ]

  1. ^ Как Израиль поймал российских хакеров, обыскивающих мир в поисках секретов США , New York Times.
  2. ^ АНБ, подразделение 8200 и распространение вредоносного ПО. Архивировано 25 октября 2017 г. в Wayback Machine Джеффри Карр, главный консультант 20KLeague.com; Основатель Костюмов и Призраков; Автор книги «Inside Cyber ​​Warfare» (O'Reilly Media, 2009, 2011), medium.com, 25 августа 2016 г.
  3. ^ «Лаборатория криптографии и системной безопасности (CrySyS)» . Проверено 4 ноября 2011 г.
  4. ^ «Duqu: обнаруженная в дикой природе вредоносная программа, похожая на Stuxnet, технический отчет» (PDF) . Лаборатория криптографии системной безопасности (CrySyS). 14 октября 2011 г.
  5. ^ «Заявление о первоначальном анализе Дуку» . Лаборатория криптографии системной безопасности (CrySyS). 21 октября 2011 года. Архивировано из оригинала 4 октября 2012 года . Проверено 25 октября 2011 г.
  6. ^ Перейти обратно: а б с д «W32.Duqu — предшественник следующего Stuxnet (версия 1.4)» (PDF) . Симантек . 23 ноября 2011 г. Архивировано из оригинала (PDF) 13 декабря 2011 г. . Проверено 30 декабря 2011 г.
  7. ^ Шон Найт (2012) Троян Duqu содержит загадочный язык программирования в DLL полезной нагрузки.
  8. ^ «Securelist | Исследования и отчеты Касперского об угрозах» . 12 сентября 2023 г.
  9. ^ Перейти обратно: а б с Зеттер, Ким (18 октября 2011 г.). «Сын Stuxnet, обнаруженный в системах в Европе» . Проводной . Проверено 21 октября 2011 г.
  10. ^ «Вирус Duqu тревожит экспертов по ИТ-безопасности» . Время . 19 октября 2011 года . Проверено 19 октября 2011 г.
  11. ^ «Обнаруженный в Иране троян Duqu, возможно, в конце концов не является «сыном Stuxnet» . 27 октября 2011 года . Проверено 27 октября 2011 г.
  12. ^ «Microsoft выпускает временное исправление для Duqu нулевого дня» . ЗДНет . Проверено 5 ноября 2011 г.
  13. ^ «Рекомендации Microsoft по безопасности (2639658)» . Уязвимость в анализе шрифтов TrueType может сделать возможным несанкционированное получение прав . 3 ноября 2011 года . Проверено 5 ноября 2011 г.
  14. ^ «Бюллетень по безопасности Microsoft MS11-087 — критично» . Проверено 13 ноября 2011 г.
  15. ^ Стивен Черри с Ларри Константином (14 декабря 2011 г.). «Сыны Стакснета» . IEEE-спектр .
  16. ^ Венере, Гильерме; Сзор, Питер (18 октября 2011 г.). «День Золотого Шакала — следующая история в файлах Stuxnet: Дуку» . Макафи . Архивировано из оригинала 31 мая 2016 года . Проверено 19 октября 2011 г.
  17. ^ Гармон, Мэтью. «В команде и вне контроля» . Мэтт Гармон . КОПАТЬ ЗЕМЛЮ.
  18. ^ Камлюк, Виталий (30 ноября 2011 г.). «Тайна Дуку: Часть шестая (Серверы управления и контроля)» . Securelist от Касперского . Архивировано из оригинала 7 июня 2022 года . Проверено 7 июня 2022 г.
Retrieved from "https://en.wikipedia.org/w/index.php?title=Duqu&oldid=1221433416"
Arc.Ask3.Ru: конец оригинального документа.
Arc.Ask3.Ru
Номер скриншота №: 629F4E13E4299D3FE64CBC2D0C326D7E__1714419540
URL1:https://en.wikipedia.org/wiki/Duqu
Заголовок, (Title) документа по адресу, URL1:
Duqu - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть, любые претензии не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, денежную единицу можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)