Duqu - Уикипедия - Duqu

2015 жылы жарияланған зиянды бағдарламалық жасақтама нұсқасын қараңыз Duqu 2.0.

Дуку - бұл компьютерлер жиынтығы зиянды бағдарлама 2011 жылдың 1 қыркүйегінде табылған, деп санайды Stuxnet құрт және оны жасаған Бірлік 8200.[1] Криптография және жүйенің қауіпсіздігі зертханасы (CrySyS зертханасы )[2] туралы Будапешт технология және экономика университеті жылы Венгрия қатерді анықтады, зиянды бағдарламаны талдады және 60 беттік есеп жазды[3] қауіп-қатерге Дюк деп ат қою[4] Duqu өз атын «~ DQ» префиксінен алды, ол өзі жасайтын файлдардың аттарына береді.[5]

Номенклатура

Duqu термині әртүрлі тәсілдермен қолданылады:

  • Duqu зиянды бағдарламасы - бұл шабуылдаушыларға бірге қызмет көрсететін әртүрлі бағдарламалық жасақтама компоненттері. Қазіргі уақытта бұған ақпаратты ұрлау мүмкіндіктері, фонда, ядро ​​драйверлері және инъекция құралдары кіреді. Бұл зиянды бағдарламаның бөлігі белгісіз жоғары деңгейлі бағдарламалау тілінде жазылған,[6] «Duqu frame» деп аталды. Бұл C ++, Python, Ada, Lua және басқа көптеген тексерілген тілдер емес. Алайда Duqu-де жазылған болуы мүмкін деген болжам бар C әдетпен объектіге бағытталған жақтау және құрастырылған Microsoft Visual Studio 2008.[7]
  • Екі кемшілік зиянды файлдарда Duqu бағдарламасының зиянды компоненттерін орындау үшін қолданылатын Microsoft Windows-тегі кемшілік. Қазіргі уақытта бір кемшілік белгілі, а TrueType -қаріпке байланысты проблема win32k.sys.
  • Duqu операциясы бұл тек Duqu-ны белгісіз мақсаттарға пайдалану процесі. Әрекет Stuxnet операциясымен байланысты болуы мүмкін.

Stuxnet-пен байланыс

Symantec, доктор Тибо Гайншенің есебімен басқарылатын CrySyS тобына сүйене отырып, «Stuxnet-пен бірдей, бірақ мүлде басқа мақсатта» деп аталған қауіп-қатерді талдауды жалғастырды және оған қысқартылған егжей-тегжейлі техникалық құжат жариялады. қосымша ретінде зертханалық есептің түпнұсқасы.[5][8] Symantec Дукені сол авторлар жасаған деп санайды Stuxnet немесе авторлардың Stuxnet бастапқы кодына қол жеткізуі. Құрт, Stuxnet сияқты, жарамды, бірақ теріс пайдаланылған ЭЦҚ, және болашақ шабуылдарға дайындалу үшін ақпарат жинайды.[5][9] Mikko Hyppönen, Үшін бас ғылыми қызметкер F-қауіпсіз, Duqu ядросының драйвері, JMINET7.SYS, Stuxnet-ке ұқсас болды MRXCLS.SYS F-Secure-дің артқы жүйесі оны Stuxnet деп ойлады. Хиппёнен бұдан әрі Duqu-дің жеке цифрлық қолтаңбасын жасау үшін қолданылатын кілт ұрланғанын айтты (тек бір жағдайда ғана байқалады). C-медиа, Тайваньда орналасқан Тайвань. Сертификаттардың мерзімі 2012 жылдың 2 тамызында аяқталуы керек еді, бірақ 2011 жылдың 14 қазанында Symantec сәйкес жойылды.[8]

Тағы бір ақпарат көзі, Dell SecureWorks, Duqu Stuxnet-пен байланысты болмауы мүмкін деп хабарлайды.[10] Дегенмен, Дукудың Stuxnet-пен тығыз байланысты екендігі туралы айтарлықтай және өсіп келе жатқан дәлелдер бар.

Сарапшылар ұқсастықтарды салыстырып, үш қызығушылықты анықтады:

  • Орнатушы пайдаланады нөлдік күн Windows ядросының осалдығы.
  • Компоненттер ұрланған сандық кілттермен қол қойылады.
  • Duqu және Stuxnet - бұл Иранның ядролық бағдарламасына қатысты және өте мақсатты.

Microsoft Word нөлдік күндік пайдалану

Ұнайды Stuxnet, Duqu шабуылдары Microsoft Windows a қолданатын жүйелер нөлдік күндік осалдық. CrySyS зертханасы қалпына келтірген және ашқан алғашқы танымал орнатушы (AKA тамшылатқышы) файлын a қолданады Microsoft Word Win32k-ті пайдаланатын құжат TrueType қарпі қозғалтқышты талдау және орындауға мүмкіндік береді.[11] Duqu тамшылатқышы қаріп ендіруге қатысты, осылайша қол жетімділікті шектейтін уақытша шешімге қатысты T2EMBED.DLL, егер ол 2011 жылдың желтоқсанында Microsoft шығарған патч әлі орнатылмаған болса, бұл TrueType қаріпті талдау механизмі.[12]Қауіптің Microsoft идентификаторы - MS11-087 (алғашқы кеңес 2011 жылғы 13 қарашада шығарылған).[13]

Мақсаты

Дуку шабуылда пайдалы болуы мүмкін ақпаратты іздейді өндірістік басқару жүйелері. Оның мақсаты жойқын емес, белгілі компоненттер ақпарат жинауға тырысады.[14] Алайда, Duqu модульдік құрылымына сүйене отырып, кез-келген тәсілмен кез-келген компьютерлік жүйеге шабуыл жасау үшін арнайы пайдалы жүктеме қолданылуы мүмкін, сондықтан Duqu негізіндегі киберфизикалық шабуылдар болуы мүмкін. Дегенмен, жүйеге енгізілген барлық ақпаратты, ал кейбір жағдайларда компьютердің қатты дискісін мүлдем жою үшін дербес компьютерлік жүйелерде қолдану анықталды. Duqu ішкі байланыстарын Symantec талдайды,[5] бірақ шабуылдалған желіде қалай көшірілетіні туралы нақты және нақты әдіс әлі толық белгілі емес. Сәйкес Макафи, Duqu-тің әрекеттерінің бірі - цифрлық сертификаттарды (және сәйкесінше жеке кілттерді) ұрлау ашық кілтпен криптография ) болашақ вирустардың қауіпсіз бағдарламалық қамтамасыздандыруға көмектесу үшін шабуылдаған компьютерлерден.[15] Duqu 54 × 54 пикселді пайдаланады JPEG файлдар және шифрланған муляжды файлдар оның басқару және басқару орталығына деректерді өткізуге арналған контейнерлер ретінде. Қауіпсіздік саласының мамандары кодексті әлі де талдап, хабарламада қандай ақпарат бар екенін анықтайды. Бастапқы зерттеулер зиянды бағдарламаның түпнұсқалық үлгісі 36 күннен кейін автоматты түрде жойылатынын көрсетеді (зиянды бағдарлама бұл параметрді конфигурация файлдарында сақтайды), бұл оның анықталуын шектейді.[8]

Негізгі мәселелер:

  • Stuxnet-тен кейін ашылған Stuxnet бастапқы кодын қолдана отырып орындалатын файлдар.
  • Орындалатын файлдар пернелерді басу және жүйелік ақпарат сияқты ақпаратты алуға арналған.
  • Ағымдағы талдау өндірістік басқару жүйелеріне, эксплуатацияға немесе өзін-өзі шағылыстыруға қатысты кодты көрсетпейді.
  • Орындалатын бағдарламалар шектеулі санда, соның ішінде өндірістік бақылау жүйелерін шығарумен айналысатын ұйымдарда табылды.
  • Эксфильтрацияланған деректер болашақ Stuxnet шабуылын қосу үшін пайдаланылуы мүмкін немесе Stuxnet шабуылының негізі ретінде қолданылған болуы мүмкін.

Серверлерді басқару және басқару

Кейбір командалық-басқару серверлері Duqu-ға талдау жасалды. Шабуыл жасайтын адамдарда бейімділік болған сияқты CentOS 5.x серверлер, бұл кейбір зерттеушілердің а[16] нөлдік күндік пайдалану ол үшін. Серверлер көптеген елдерде, соның ішінде көптеген елдерде шашыраңқы Германия, Бельгия, Филиппиндер, Үндістан және Қытай. Касперский командалық және басқару серверлерінде бірнеше блогпосттарды жариялады.[17]

Сондай-ақ қараңыз

Әдебиеттер тізімі

  1. ^ NSA, Unit 8200 және зиянды бағдарламалардың таралуы 20KLeague.com сайтындағы басты кеңесші Джеффри КаррFollow; Костюмдар мен спуктардың негізін қалаушы; «Inside Cyber ​​Warfare (O'Reilly Media, 2009, 2011), 25 тамыз 2016 ж
  2. ^ «Криптография және жүйенің қауіпсіздігі зертханасы (CrySyS)». Алынған 4 қараша 2011.
  3. ^ «Duqu: жабайы табиғаттан табылған Stuxnet тәрізді зиянды бағдарлама, техникалық есеп» (PDF). Жүйелік қауіпсіздік криптографиясының зертханасы (CrySyS). 14 қазан 2011 ж.
  4. ^ «Duqu алғашқы талдауы туралы мәлімдеме». Жүйелік қауіпсіздік криптографиясының зертханасы (CrySyS). 21 қазан 2011. мұрағатталған түпнұсқа 2012 жылғы 3 қазанда. Алынған 25 қазан 2011.
  5. ^ а б c г. «W32.Duqu - келесі Stuxnet (1.4 нұсқасы) ізашары» (PDF). Symantec. 23 қараша 2011 ж. Алынған 30 желтоқсан 2011.
  6. ^ Шон Найт (2012) Duqu троянында Payload DLL-де құпия бағдарламалау тілі бар
  7. ^ http://www.securelist.com/kz/blog/677/The_mystery_of_Duqu_Framework_solved
  8. ^ а б c Цеттер, Ким (18 қазан 2011). «Stuxnet ұлы Еуропадағы жүйелерден жабайы табиғатта табылды». Сымды. Алынған 21 қазан 2011.
  9. ^ «Virus Duqu alarmiert IT-Sicherheitsexperten». Die Zeit. 19 қазан 2011 ж. Алынған 19 қазан 2011.
  10. ^ «Иранда анықталған троян Дуку» Stuxnet ұлы «болмауы мүмкін». Алынған 27 қазан 2011.
  11. ^ «Microsoft Duqu нөлдік күніне уақытша» түзету «шығарады». Алынған 5 қараша 2011.
  12. ^ «Microsoft қауіпсіздік жөніндегі кеңес (2639658)». Қаріптерді TrueType талдаудағы осалдық артықшылықтың жоғарылауына жол беруі мүмкін. 3 қараша 2011. Алынған 5 қараша 2011.
  13. ^ «Microsoft Security Bulletin MS11-087 - маңызды». Алынған 13 қараша 2011.
  14. ^ Стивен Чери, Ларри Константинмен (14 желтоқсан 2011). «Stuxnet ұлдары». IEEE спектрі.
  15. ^ Венере, Гильерме; Szor, Peter (18 қазан 2011). «Алтын шакал күні - стуксеттік файлдардағы келесі ертегі: Дуку». Макафи. Алынған 19 қазан 2011.
  16. ^ Гармон, Мэттью. «Бұйрықта және бақылаудан тыс». Мэтт Гармон. DIG.
  17. ^ «Duqu құпиясының құпиясы: командалық-басқару серверлері». 30 қараша 2011 ж. Алынған 30 қараша 2011.