Duqu - Duqu

2015'te duyurulan kötü amaçlı yazılımın sürümü için bkz. Duqu 2.0.

Duqu bir bilgisayar koleksiyonudur kötü amaçlı yazılım 1 Eylül 2011 tarihinde keşfedilen, Stuxnet solucan ve tarafından yaratılmış Birim 8200.[1] Kriptografi ve Sistem Güvenliği Laboratuvarı (CrySyS Laboratuvarı )[2] of Budapeşte Teknoloji ve Ekonomi Üniversitesi içinde Macaristan tehdidi keşfetti, kötü amaçlı yazılımı analiz etti ve 60 sayfalık bir rapor yazdı[3] Tehdit Duqu olarak adlandırılıyor.[4] Duqu adını, oluşturduğu dosyaların adlarına verdiği "~ DQ" önekinden almıştır.[5]

İsimlendirme

Duqu terimi çeşitli şekillerde kullanılmaktadır:

  • Duqu kötü amaçlı yazılım saldırganlara birlikte hizmet sağlayan çeşitli yazılım bileşenleridir. Şu anda bu, bilgi çalma yeteneklerini ve arka planda çekirdek sürücülerini ve enjeksiyon araçlarını içerir. Bu kötü amaçlı yazılımın bir kısmı bilinmeyen yüksek seviyeli programlama dilinde yazılmış,[6] "Duqu çerçevesi" olarak adlandırılır. C ++, Python, Ada, Lua ve diğer birçok kontrol edilen dil değildir. Ancak, Duqu'un şu dilde yazılmış olabileceği önerilmektedir. C bir gelenekle nesne odaklı çerçeve ve derlenmiş Microsoft Visual Studio 2008.[7]
  • Duqu kusuru Kötü amaçlı dosyalarda Duqu'un kötü amaçlı yazılım bileşenlerini çalıştırmak için kullanılan Microsoft Windows'daki kusurdur. Şu anda bir kusur biliniyor, bir TrueType yazı tipiyle ilgili sorun win32k.sys.
  • Duqu Operasyonu Duqu'u yalnızca bilinmeyen hedefler için kullanma sürecidir. Operasyon Stuxnet Operasyonu ile ilgili olabilir.

Stuxnet ile İlişki

Symantec, Dr Thibault Gainche raporuna göre yönetilen CrySyS ekibine dayanarak, "Stuxnet ile neredeyse aynı, ancak tamamen farklı bir amaçla" dediği tehdidin analizine devam etti ve bununla ilgili ayrıntılı bir teknik makale kısaltarak yayınladı. Ek olarak orijinal laboratuvar raporunun sürümü.[5][8] Symantec, Duqu'un aynı yazarlar tarafından yaratıldığına inanıyor. Stuxnet veya yazarların Stuxnet'in kaynak koduna erişimi olduğunu. Solucan, Stuxnet gibi, geçerli, ancak kötüye kullanılan bir elektronik imza ve gelecekteki saldırılara hazırlanmak için bilgi toplar.[5][9] Mikko Hyppönen, Baş Araştırma Görevlisi F-Secure, Duqu'un çekirdek sürücüsünün JMINET7.SYS, Stuxnet'inkine çok benziyordu MRXCLS.SYS F-Secure'un arka uç sistemi, onu Stuxnet sandı. Hyppönen ayrıca, Duqu'un kendi dijital imzasını yapmak için kullanılan anahtarın (yalnızca bir vakada görülür) C-Media Taipei, Tayvan'da bulunan. Symantec'e göre sertifikaların süresi 2 Ağustos 2012'de dolacaktı ancak 14 Ekim 2011'de iptal edildi.[8]

Başka bir kaynak, Dell SecureWorks, Duqu'un Stuxnet ile ilgili olmayabileceğini bildiriyor.[10] Bununla birlikte, Duqu'un Stuxnet ile yakından ilişkili olduğuna dair önemli ve artan kanıtlar vardır.

Uzmanlar benzerlikleri karşılaştırdı ve üç ilgi çekici nokta buldu:

  • Yükleyici istismar eder sıfır gün Windows çekirdek güvenlik açıkları.
  • Bileşenler çalınan dijital anahtarlarla imzalanır.
  • Duqu ve Stuxnet, İran'ın nükleer programıyla hem yüksek düzeyde hedeflenmiş hem de ilişkilidir.

Microsoft Word sıfır gün istismarı

Sevmek Stuxnet, Duqu saldırıları Microsoft Windows kullanan sistemler sıfır gün güvenlik açığı. CrySyS Lab tarafından kurtarılan ve ifşa edilen ilk bilinen yükleyici (AKA dropper) dosyası bir Microsoft Word Win32k'yi kullanan belge TrueType yazı tipi ayrıştırma motoru ve yürütülmesine izin verir.[11] Duqu damlalığı, yazı tipi yerleştirmeyle ilgilidir ve bu nedenle erişimi kısıtlamak için geçici çözümle ilgilidir. T2EMBED.DLL, Microsoft tarafından Aralık 2011'de yayınlanan yama henüz yüklenmemişse bir TrueType yazı tipi ayrıştırma motoru olan.[12]Tehdit için Microsoft tanımlayıcısı MS11-087'dir (ilk danışma belgesi 13 Kasım 2011'de yayınlanmıştır).[13]

Amaç

Duqu, saldırıda yararlı olabilecek bilgileri arar endüstriyel kontrol sistemleri. Amacı yıkıcı olmak değil, bilinen bileşenler bilgi toplamaya çalışıyor.[14] Bununla birlikte, Duqu'un modüler yapısına bağlı olarak, herhangi bir şekilde herhangi bir bilgisayar sistemine saldırmak için özel yük kullanılabilir ve bu nedenle Duqu tabanlı siber-fiziksel saldırılar mümkün olabilir. Bununla birlikte, kişisel bilgisayar sistemlerinde kullanımın sisteme girilen tüm son bilgileri ve bazı durumlarda bilgisayarın sabit sürücüsünün tamamen silinmesini sağladığı bulunmuştur. Duqu'un dahili iletişimleri Symantec tarafından analiz edilir,[5] ancak saldırıya uğramış bir ağ içinde nasıl çoğaldığı gerçek ve kesin yöntem henüz tam olarak bilinmemektedir. Göre McAfee Duqu'un eylemlerinden biri, dijital sertifikaları (ve ilgili özel anahtarları, açık anahtarlı şifreleme ) saldırıya uğrayan bilgisayarlardan gelecekteki virüslerin güvenli yazılım olarak görünmesine yardımcı olmak için.[15] Duqu, 54 × 54 piksel kullanır JPEG komuta ve kontrol merkezine veri kaçırmak için kapsayıcılar olarak dosya ve şifrelenmiş sahte dosyalar. Güvenlik uzmanları, iletişimin hangi bilgileri içerdiğini belirlemek için hala kodu analiz ediyor. İlk araştırma, orijinal kötü amaçlı yazılım örneğinin 36 gün sonra kendini otomatik olarak kaldırdığını (kötü amaçlı yazılım, bu ayarı yapılandırma dosyalarında saklar) ve bu durumun tespitini sınırladığını gösterir.[8]

Anahtar noktalar şunlardır:

  • Stuxnet'ten sonra, keşfedilen Stuxnet kaynak kodu kullanılarak geliştirilen yürütülebilir dosyalar.
  • Yürütülebilir dosyalar, tuş vuruşları ve sistem bilgileri gibi bilgileri yakalamak için tasarlanmıştır.
  • Mevcut analiz, endüstriyel kontrol sistemleri, açıklardan yararlanma veya kendi kendini kopyalama ile ilgili hiçbir kod göstermez.
  • Yürütülebilir dosyalar, endüstriyel kontrol sistemlerinin üretimiyle ilgili olanlar da dahil olmak üzere sınırlı sayıda kuruluşta bulunmuştur.
  • Sızdırılan veriler gelecekteki Stuxnet benzeri bir saldırıyı etkinleştirmek için kullanılabilir veya Stuxnet saldırısı için zaten temel olarak kullanılmış olabilir.

Komuta ve kontrol sunucuları

Bazıları komuta ve kontrol sunucuları Duqu analiz edildi. Görünüşe göre saldırıyı yöneten kişilerin CentOS 5.x sunucuları, bazı araştırmacıların bir[16] sıfır gün istismarı onun için . Sunucular birçok farklı ülkeye dağılmış durumdadır: Almanya, Belçika, Filipinler, Hindistan ve Çin. Kaspersky komut ve kontrol sunucularında birden çok blog yayını yayınladı.[17]

Ayrıca bakınız

Referanslar

  1. ^ NSA, Birim 8200 ve Kötü Amaçlı Yazılımların Yayılması Jeffrey CarrFollowPrincipal danışmanı 20KLeague.com'da; Suits and Spooks'un Kurucusu; "Inside Cyber ​​Warfare (O’Reilly Media, 2009, 2011) yazarı, 25 Ağustos 2016
  2. ^ "Kriptografi ve Sistem Güvenliği Laboratuvarı (CrySyS)". Alındı 4 Kasım 2011.
  3. ^ "Duqu: Vahşi, teknik raporda bulunan Stuxnet benzeri bir kötü amaçlı yazılım" (PDF). Sistem Güvenliği Kriptografi Laboratuvarı (CrySyS). 14 Ekim 2011.
  4. ^ "Duqu'un ilk analizi hakkında açıklama". Sistem Güvenliği Kriptografi Laboratuvarı (CrySyS). 21 Ekim 2011. Arşivlenen orijinal 3 Ekim 2012'de. Alındı 25 Ekim 2011.
  5. ^ a b c d "W32.Duqu - Sonraki Stuxnet'in (Sürüm 1.4) habercisi" (PDF). Symantec. 23 Kasım 2011. Alındı 30 Aralık 2011.
  6. ^ Shawn Şövalye (2012) Duqu Trojan, Payload DLL'de gizemli programlama dili içerir
  7. ^ http://www.securelist.com/en/blog/677/The_mystery_of_Duqu_Framework_solved
  8. ^ a b c Zetter, Kim (18 Ekim 2011). "Stuxnet'in Oğlu Avrupa'da Sistemlerde Doğada Bulundu". Kablolu. Alındı 21 Ekim 2011.
  9. ^ "Virus Duqu alarmiert IT-Sicherheitsexperten". Die Zeit. 19 Ekim 2011. Alındı 19 Ekim 2011.
  10. ^ "İran'da görülen trojan Duqu, sonuçta" Stuxnet'in oğlu "olmayabilir. Alındı 27 Ekim 2011.
  11. ^ "Microsoft, Duqu sıfır günü için geçici 'düzelt-düzelt' yayınlıyor". Alındı 5 Kasım 2011.
  12. ^ "Microsoft Güvenlik Danışma Belgesi (2639658)". TrueType Yazı Tipi Ayrıştırmadaki Güvenlik Açığı Ayrıcalık Yükselmesine İzin Verebilir. 3 Kasım 2011. Alındı 5 Kasım 2011.
  13. ^ "Microsoft Güvenlik Bülteni MS11-087 - Kritik". Alındı 13 Kasım 2011.
  14. ^ Steven Cherry, Larry Constantine ile (14 Aralık 2011). "Stuxnet'in Oğulları". IEEE Spektrumu.
  15. ^ Venere, Guilherme; Szor, Peter (18 Ekim 2011). "Altın Çakal Günü - Stuxnet Dosyalarında Sonraki Hikaye: Duqu". McAfee. Alındı 19 Ekim 2011.
  16. ^ Garmon Matthew. "Komuta ve Kontrol Dışında". Matt Garmon. DIG.
  17. ^ "Duqu'un gizemi altıncı bölüm: Komuta ve kontrol sunucuları". 30 Kasım 2011. Alındı 30 Kasım 2011.