Мэр

Duqu — это набор компьютерных вредоносных программ , обнаруженных 1 сентября 2011 года, которые, по мнению «Лаборатории Касперского», связаны с Stuxnet. червем ^[1] и быть созданным Отрядом 8200 . ^[2]^{[ нужен лучший источник ]} Duqu воспользовался в Microsoft Windows уязвимостью нулевого дня . Лаборатория криптографии и системной безопасности ( CrySyS Lab ) ^[3] из Будапештского университета технологии и экономики в Венгрии обнаружили угрозу, проанализировали вредоносное ПО и написали 60-страничный отчет ^[4] назвав угрозу Дуку. ^[5] Duqu получил свое название от префикса «~DQ», который он присваивает именам создаваемых файлов. ^[6]

Номенклатура [ править ]

Термин Дуку используется по-разному:

Вредоносное ПО Duqu — это различные программные компоненты, которые вместе предоставляют услуги злоумышленникам. В настоящее время это включает в себя возможности кражи информации, а также в фоновом режиме драйверы ядра и инструменты внедрения. Часть этого вредоносного ПО написана на неизвестном языке программирования высокого уровня. ^[7] получивший название «фреймворк Duqu». Это не C++, Python, Ada, Lua и многие другие проверенные языки. Однако предполагается, что Duqu мог быть написан на C с использованием специальной объектно-ориентированной среды и скомпилирован в Microsoft Visual Studio 2008 . ^[8]
Уязвимость Duqu — это уязвимость в Microsoft Windows, которая используется во вредоносных файлах для запуска вредоносных компонентов Duqu. В настоящее время известен один недостаток — проблема, связанная с шрифтом TrueType в win32k.sys .
Операция Дуку — это процесс использования Дуку только для неизвестных целей. Эта операция может быть связана с операцией Stuxnet.

Связь со Stuxnet [ править ]

Symantec на базе команды CrySyS под руководством доктора Тибо Гаинша продолжила анализ угрозы, которую она назвала «почти идентичной Stuxnet, но с совершенно другой целью», и опубликовала по ней подробный технический документ с вырезками. сокращенную версию исходного лабораторного отчета в виде приложения. ^[6]^[9] Symantec полагает, что Duqu был создан теми же авторами, что и Stuxnet , или что авторы имели доступ к исходному коду Stuxnet. Червь, как и Stuxnet, имеет действительную, но использованную цифровую подпись и собирает информацию для подготовки к будущим атакам. ^[6]^[10] Микко Хиппёнен , директор по исследованиям F-Secure , сказал, что драйвер ядра Duqu, JMINET7.SYS был очень похож на Stuxnet. MRXCLS.SYS означает, что серверная система F-Secure считает, что это Stuxnet. Хиппёнен также сообщил, что ключ, использованный для создания собственной цифровой подписи Дуцю (наблюдался только в одном случае), был украден у компании C-Media , расположенной в Тайбэе, Тайвань. Срок действия сертификатов должен был истечь 2 августа 2012 года, но, по данным Symantec, они были отозваны 14 октября 2011 года. ^[9]

Другой источник, Dell SecureWorks , сообщает, что Duqu может не иметь отношения к Stuxnet. ^[11] Однако появляется все больше свидетельств того, что Duqu тесно связан со Stuxnet.

Эксперты сравнили сходства и обнаружили три интересных момента:

Установщик использует уязвимости ядра Windows нулевого дня .
Компоненты подписаны украденными цифровыми ключами.
Duqu и Stuxnet являются объектами серьезной атаки и связаны с ядерной программой Ирана.

нулевого дня в Эксплойт Microsoft Word

Как и Stuxnet , Duqu атакует системы Microsoft Windows, используя уязвимость нулевого дня . Первый известный файл установщика (AKA dropper), восстановленный и раскрытый CrySyS Lab, использует документ Microsoft Word , который использует механизм анализа шрифтов Win32k TrueType и допускает выполнение. ^[12] Дроппер Duqu относится к внедрению шрифтов и, таким образом, относится к обходному пути ограничения доступа к T2EMBED.DLL — механизм анализа шрифтов TrueType, если исправление, выпущенное Microsoft в декабре 2011 года, еще не установлено. ^[13]Идентификатор угрозы Microsoft — MS11-087 (первая рекомендация выпущена 13 ноября 2011 г.). ^[14]

Цель [ править ]

Дуку ищет информацию, которая может быть полезна при атаке на промышленные системы управления . Его цель не разрушительная, известные компоненты пытаются собрать информацию. ^[15] Однако, благодаря модульной структуре Duqu, специальная полезная нагрузка может использоваться для атаки на любой тип компьютерной системы любыми способами, и, таким образом, могут быть возможны киберфизические атаки на основе Duqu. Однако было обнаружено, что использование персональных компьютерных систем приводит к удалению всей последней информации, введенной в систему, а в некоторых случаях к полному удалению жесткого диска компьютера. Внутренние коммуникации Duqu анализируются Symantec, ^[6] но реальный и точный метод его репликации внутри атакованной сети еще полностью не известен. По словам McAfee , одним из действий Duqu является кража цифровых сертификатов (и соответствующих закрытых ключей, используемых в криптографии с открытым ключом ) с атакованных компьютеров, чтобы помочь будущим вирусам выглядеть как безопасное программное обеспечение. ^[16] Duqu использует файл JPEG размером 54×54 пикселя и зашифрованные фиктивные файлы в качестве контейнеров для переправки данных в свой центр управления и контроля. Эксперты по безопасности все еще анализируют код, чтобы определить, какую информацию содержат сообщения. Первоначальные исследования показывают, что исходный образец вредоносного ПО автоматически удаляется через 36 дней (вредоносное ПО сохраняет этот параметр в файлах конфигурации), что ограничивает его обнаружение. ^[9]

Ключевые моменты:

Исполняемые файлы, разработанные после Stuxnet с использованием обнаруженного исходного кода Stuxnet.
Исполняемые файлы предназначены для сбора такой информации, как нажатия клавиш и системная информация.
Текущий анализ не выявил кода, связанного с промышленными системами управления, эксплойтами или самовоспроизведением.
Исполняемые файлы были обнаружены в ограниченном числе организаций, в том числе занимающихся производством промышленных систем управления.
Украденные данные могут быть использованы для реализации будущей атаки типа Stuxnet или уже могут быть использованы в качестве основы для атаки Stuxnet.

Серверы управления и контроля [ править ]

некоторые серверы управления и контроля Были проанализированы Дуку. Похоже, что люди, организовавшие атаку, имели пристрастие к серверам CentOS 5.x, что заставило некоторых исследователей полагать, что у них была ^[17] эксплойт нулевого дня для него. Серверы разбросаны по разным странам, включая Германию , Бельгию , Филиппины , Индию и Китай . Касперский опубликовал несколько сообщений в блогах на серверах управления. ^[18]

См. также [ править ]

Ссылки [ править ]

^ Как Израиль поймал российских хакеров, обыскивающих мир в поисках секретов США , New York Times.
^ АНБ, подразделение 8200 и распространение вредоносного ПО. Архивировано 25 октября 2017 г. в Wayback Machine Джеффри Карр, главный консультант 20KLeague.com; Основатель Костюмов и Призраков; Автор книги «Inside Cyber Warfare» (O'Reilly Media, 2009, 2011), medium.com, 25 августа 2016 г.
^ «Лаборатория криптографии и системной безопасности (CrySyS)» . Проверено 4 ноября 2011 г.
^ «Duqu: обнаруженная в дикой природе вредоносная программа, похожая на Stuxnet, технический отчет» (PDF) . Лаборатория криптографии системной безопасности (CrySyS). 14 октября 2011 г.
^ «Заявление о первоначальном анализе Дуку» . Лаборатория криптографии системной безопасности (CrySyS). 21 октября 2011 года. Архивировано из оригинала 4 октября 2012 года . Проверено 25 октября 2011 г.
^ Jump up to: Перейти обратно: ^а ^б ^с ^д «W32.Duqu — предшественник следующего Stuxnet (версия 1.4)» (PDF) . Симантек . 23 ноября 2011 г. Архивировано из оригинала (PDF) 13 декабря 2011 г. . Проверено 30 декабря 2011 г.
^ Шон Найт (2012) Троян Duqu содержит загадочный язык программирования в DLL полезной нагрузки.
^ «Securelist | Исследования и отчеты Касперского об угрозах» . 12 сентября 2023 г.
^ Jump up to: Перейти обратно: ^а ^б ^с Зеттер, Ким (18 октября 2011 г.). «Сын Stuxnet, обнаруженный в системах в Европе» . Проводной . Проверено 21 октября 2011 г.
^ «Вирус Duqu тревожит экспертов по ИТ-безопасности» . Время . 19 октября 2011 года . Проверено 19 октября 2011 г.
^ «Обнаруженный в Иране троян Duqu, возможно, в конце концов не является «сыном Stuxnet» . 27 октября 2011 года . Проверено 27 октября 2011 г.
^ «Microsoft выпускает временное исправление для Duqu нулевого дня» . ЗДНет . Проверено 5 ноября 2011 г.
^ «Рекомендации Microsoft по безопасности (2639658)» . Уязвимость в анализе шрифтов TrueType может сделать возможным несанкционированное получение прав . 3 ноября 2011 года . Проверено 5 ноября 2011 г.
^ «Бюллетень по безопасности Microsoft MS11-087 — критично» . Проверено 13 ноября 2011 г.
^ Стивен Черри с Ларри Константином (14 декабря 2011 г.). «Сыны Стакснета» . IEEE-спектр .
^ Венере, Гильерме; Сзор, Питер (18 октября 2011 г.). «День Золотого Шакала — следующая история в файлах Stuxnet: Дуку» . Макафи . Архивировано из оригинала 31 мая 2016 года . Проверено 19 октября 2011 г.
^ Гармон, Мэтью. «В команде и вне контроля» . Мэтт Гармон . КОПАТЬ.
^ Камлюк, Виталий (30 ноября 2011 г.). «Тайна Дуку: Часть шестая (Серверы управления и контроля)» . Securelist от Касперского . Архивировано из оригинала 7 июня 2022 года . Проверено 7 июня 2022 г.

[1] Как Израиль поймал российских хакеров, обыскивающих мир в поисках секретов США , New York Times.

[2] АНБ, подразделение 8200 и распространение вредоносного ПО. Архивировано 25 октября 2017 г. в Wayback Machine Джеффри Карр, главный консультант 20KLeague.com; Основатель Костюмов и Призраков; Автор книги «Inside Cyber Warfare» (O'Reilly Media, 2009, 2011), medium.com, 25 августа 2016 г.

[3] «Лаборатория криптографии и системной безопасности (CrySyS)» . Проверено 4 ноября 2011 г.

[4] «Duqu: обнаруженная в дикой природе вредоносная программа, похожая на Stuxnet, технический отчет» (PDF) . Лаборатория криптографии системной безопасности (CrySyS). 14 октября 2011 г.

[5] «Заявление о первоначальном анализе Дуку» . Лаборатория криптографии системной безопасности (CrySyS). 21 октября 2011 года. Архивировано из оригинала 4 октября 2012 года . Проверено 25 октября 2011 г.

[syamantecduqu-6] Jump up to: Перейти обратно: ^а ^б ^с ^д «W32.Duqu — предшественник следующего Stuxnet (версия 1.4)» (PDF) . Симантек . 23 ноября 2011 г. Архивировано из оригинала (PDF) 13 декабря 2011 г. . Проверено 30 декабря 2011 г.

[7] Шон Найт (2012) Троян Duqu содержит загадочный язык программирования в DLL полезной нагрузки.

[8] «Securelist | Исследования и отчеты Касперского об угрозах» . 12 сентября 2023 г.

[Son_of_Stuxnet-9] Jump up to: Перейти обратно: ^а ^б ^с Зеттер, Ким (18 октября 2011 г.). «Сын Stuxnet, обнаруженный в системах в Европе» . Проводной . Проверено 21 октября 2011 г.

[10] «Вирус Duqu тревожит экспертов по ИТ-безопасности» . Время . 19 октября 2011 года . Проверено 19 октября 2011 г.

[11] «Обнаруженный в Иране троян Duqu, возможно, в конце концов не является «сыном Stuxnet» . 27 октября 2011 года . Проверено 27 октября 2011 г.

[12] «Microsoft выпускает временное исправление для Duqu нулевого дня» . ЗДНет . Проверено 5 ноября 2011 г.

[13] «Рекомендации Microsoft по безопасности (2639658)» . Уязвимость в анализе шрифтов TrueType может сделать возможным несанкционированное получение прав . 3 ноября 2011 года . Проверено 5 ноября 2011 г.

[14] «Бюллетень по безопасности Microsoft MS11-087 — критично» . Проверено 13 ноября 2011 г.

[15] Стивен Черри с Ларри Константином (14 декабря 2011 г.). «Сыны Стакснета» . IEEE-спектр .

[16] Венере, Гильерме; Сзор, Питер (18 октября 2011 г.). «День Золотого Шакала — следующая история в файлах Stuxnet: Дуку» . Макафи . Архивировано из оригинала 31 мая 2016 года . Проверено 19 октября 2011 г.

[Suspected_Vulnerability-17] Гармон, Мэтью. «В команде и вне контроля» . Мэтт Гармон . КОПАТЬ.

[18] Камлюк, Виталий (30 ноября 2011 г.). «Тайна Дуку: Часть шестая (Серверы управления и контроля)» . Securelist от Касперского . Архивировано из оригинала 7 июня 2022 года . Проверено 7 июня 2022 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]