Duqu - Stuxnet 2

[ktośtam]

Laboratorium F-Secure wykryło nowego backdoora, napisanego w oparciu o kod źródłowy Stuxnet, co nasuwa podejrzenia, że za stworzeniem nowego szkodnika stoją Ci sami ludzie, którzy stworzyli Stuxnet.
Wskazuje na to między innymi podobieństwo sterownika jądra Duqu (JMINET7.SYS) do sterownika Stuxnetu (MRXCLS.SYS). Są one na tyle podobne do siebie, że Duqu jest wykrywany jako Stuxnet:

[Aby zobaczyć linki, zarejestruj się tutaj]

Zasadnicza różnicą pomiędzy szkodnikami, jest natomiast metodologia działania. Duqu nie atakuje instalacji przemysłowych tak jak Stuxnet a jedynie gromadzi informacje systemowe, które mogą zostać wykorzystane do późniejszego ataku.

Dokładniejsza analiza Duqu została wykonana również przez laboratorium Symantec, które opublikowało

[Aby zobaczyć linki, zarejestruj się tutaj]

traktujący o nowym zagrożeniu.

Źródło:

[Aby zobaczyć linki, zarejestruj się tutaj]

[ichito]

Wiedziałem...wiedziałem, że napiszesz i nie zdążę samemu dać zajawki o tym A propos już Duqu/DuQu/Duku/DQ (pod tyloma nazwami funkcjonuje to zagrożenie)...Symantec po analizie zagrożenia poinformował, że funkcjonowało ono już prawdopodobnie od grudnia 2010. Poza tym zasadnicze wyniki tej obszernej analizy streszcza tak

Kod:

Key points:

•Executables using the Stuxnet source code have been discovered. They appear to have been developed since the last Stuxnet file was recovered.
•The executables are designed to capture information such as keystrokes and system information.
•Current analysis shows no code related to industrial control systems, exploits, or self-replication.
•The executables have been found in a limited number of organizations, including those involved in the manufacturing of industrial control systems.
•The exfiltrated data may be used to enable a future Stuxnet-like attack.

[Aby zobaczyć linki, zarejestruj się tutaj]

Ciekawą informację znalazłem jeszcze na temat zachowania Duqu...wynika z niej, że samoczynnie ulega destrukcji dokładnie po 36 dniach

The mysterious Duku is designed to leave the back door open for precisely 36 days, and then self-destruct.

[Aby zobaczyć linki, zarejestruj się tutaj]

Poniższy diagram przedstawia architekturę zagrożenia

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

a tu te same powiązania, ale nieco w innej formie tym razem autorstwa MacAfee...w ogóle to tytuł tego artykułu jest zabójczy - "The Day of the Golden Jackal – The Next Tale in the Stuxnet Files: Duqu"

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[morphiusz]

Najlepsze jest akcja symanteca: poinformowało o próbce, która byław ich rękach od 1 września.
Nowy trojan ala stuxnet podpisany był skradzionym certyfikatem verisign (w posiadaniu symanteca).
Zajęło im aż 44 dni aby cofnąć ten certyfikat
W tym czasie malware krążyło sobie po sieci i infekowało systemy... symantec wiedział o podpisie, ale dopiero po 44 dniach go cofnął.
Hmmm.... :crazy:

[ichito]

Najlepsze jest akcja symanteca: poinformowało o próbce, która była w ich rękach od 1 września.
Nowy trojan ala stuxnet podpisany był skradzionym certyfikatem verisign (w posiadaniu symanteca).
Zajęło im aż 44 dni aby cofnąć ten certyfikat

Nie wiem czemu uogólniasz wnioski, żeby nie powiedzieć próbujesz zmienić fakty...skąd masz takie informacje, bo na razie wygląda to na czyste spekulacje oparte na spostrzeżeniach dokonanych przez kilku niezależnych badaczy, którzy kiedyś próbowali analizować dogłębnie infekcję Stuxnetem? Z kilku artykułów, które przejrzałem wynika, że
- Symantec wiedział, że niektóre z plików są podpisane skradzionymi prywatnymi kluczami związanymi z certyfikatami do klienta Symanteca i przeprowadził dochodzenie w związku z tym, z którego wynikło że klucze zostały skradzione, co powinno wykluczyć wszelkie spekulacje na temat ewentualnych powiązań firmy z Duqu. Piszą o tym na swoim blogu, ale tylko niektóre, wyrwane z kontekstu fragmenty są cytowane i w pewien sposób zniekształcają obraz. Sami piszą o tym otwarcie na swoim blogu i można się z tym bez kłopotów zapoznać

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

- firmą gdzie skradziono te certyfikaty była firma z Tajwanu...tu cytat za komunikatem F-secure, który linkowany był na samym początku wątku
"Duqu has a driver signed with a stolen certificate belonging to a Taiwanese company called C-Media Electronics Incorporation.
The driver still claims to be from JMicron, though."
- Symantec miał próbki plików Duqu, ale były one skojarzone z atakiem Stuxneta z grudnia 2010
- Symantec jako pierwsza firma zabezpieczająca otrzymała powiadomienie o nowej nieznanej infekcji...w piątek 14 października...i tego samego dnia odwołała/unieważniła te certyfikaty
- F-secure samo zauważyło, że Duqu jest tak podobny do Stuxneta, że nawet ich program tak identyfikował to nowe zagrożenie...to słowa wypowiedziane na Tweeterze przez Mikko Hypponena (F-Secure''s Chief Research Officer)
"Duqu''s kernel driver is so similar to Stuxnet''s driver that our back-end systems actually thought it was Stuxnet"
- artykuł na Wired.com, który sam cytowałem jest tylko artykułem wtórnym, a nie analitycznym a cytowane w nim wypowiedzi O Murchusą po części speckulacjami, a nie wnioskami opartymi na fakatch
- sprawa jest bardzo delikatna ze względów polityczno-gospodarczych i chyba nie do końca poznamy z oczywistych względów kulisy całej sprawy.
---------------------
edit:
widzę info i dyskusję na ten temat na DP...o ile sam artykuł jest OK, to dyskusja...szkoda słów...

---

Dodano: 21 paź 2011, 2011 13:41

Nie wiem czy Bitdefender to jest pierwsza firma, która wypuściła narzędzie do usuwanie Duqu, ale znalazłem informację o takim narzędziu

[Aby zobaczyć linki, zarejestruj się tutaj]

A tu jest samo narzędzie do pobrania

[Aby zobaczyć linki, zarejestruj się tutaj]

Im dalej w czasie od pierwszych informacji, tym więcej niejasności i różnych interpretacji dotyczących pochodzenia, daty wykrycia, przypuszczalnych celów infekcji...w grę zaangażowani sa poza Symantekiem również McAfee, wskazując na zupełnie inne certyfikaty, a F-secure inaczej interpretuje celowość ataków założoną dla Duqu

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Na razie...tak się wydaje...wszystko jest spekulacją poza raportem Symanteka.

[ktośtam]

Garść kolejnych informacji o Duqu. Tym razem z laboratorium Kaspersky-ego:

[Aby zobaczyć linki, zarejestruj się tutaj]

Jeden z najciekawszych faktów dotyczących Duqu, o jakich wspomina Kaspersky Lab:

...na chwilę obecną nikomu nie udało się wykryć pliku instalacyjnego, który musi być pierwszym ogniwem w łańcuchu infekcji i jest odpowiedzialny za instalację sterownika oraz biblioteki DLL.

[ichito]

Ktosiu dzięki...świetny artykuł i pokazuje znacznie więcej, niż wszystkie pozostałe. Co prawda nie da się oprzeć wrażeniu, że celowo pominięto konkurencję w postaci Symanteka, niemniej analiza historyczna jest kapitalna i bardzo wiele tłumaczy. Wracając do oskarżeń wobec Symanteka...fakty przedstawione przez Kaspersky Lab doskonale pokazują...wg mnie...że wielu innych dostawców była w takim samym stopniu zaangażowanych w sprawę, ale ze względu na rozsianie w czasie wychwytywania kolejnych fragmentów Duqu trudno bardzo było zgrać ze sobą działania zarówno badawcze, jak i te sumujące w efekcie, co miało wpływ z pewnością na spóźniony w miarę pełny obraz z czym teraz mamy do czynienia. Do tego dochodzi oczywiście cały podtekst polityczno-gospodarczy związany z zachowaniem pewnych faktów w tajemnicy, bo jak widać po niektórych artykułach agencje rządowe i wywiadowcze niektórych państw już są nagabywane w temacie.

[morphiusz]

Ichito.... ja myślę, że ty mi próbujesz inputować w moje wypowiediz jakieś cudaki.

[Aby zobaczyć linki, zarejestruj się tutaj]

"sample that appeared to be very similar to Stuxnet" - juz wiedziano wtedy, ze próbka była bardzo podobna do stuxneta.

"first recording of one of the binaries was on September 1, 2011" - 1 września otrzymano (zarejestrowano) plik.

"The certificate was revoked on October 14, 2011"- dopiero po 44 dniach cofnięto skardziony certyfikat dla tego pliku.

[Aby zobaczyć linki, zarejestruj się tutaj]

"As a result of this intelligence Symantec is able to take action very quickly. "- aż 44 dni!

[Aby zobaczyć linki, zarejestruj się tutaj]

"According to Vikram Thakur of Symantec, the organization decided not to come forward because it wanted to protect the identity of the victim organization"

Może by pomyślano o ochronie użytkowników?

[Eugeniusz]

Cofnięcie certyfikatu nie ograniczyłoby szybkości "rozprzestrzeniania się" (bo w przypadku takich zagrożeń ciężko nazwać to rozprzestrzenianiem, raczej inteligentnym dobieraniem sobie celu, pamiętajmy że celem ataku takiego zagrożenia są instytycje państwowe i firmy) zwłaszcza w przypadku użytkowników domowych.
Może i firmy sprawdzają czy certyfikaty są prawidłowe, ale czy domowi użytkownicy?? Ja nie sprawdzam, robi to za mnie oprogramowanie zabezpieczające.

W tym czasie malware krążyło sobie po sieci i infekowało systemy... symantec wiedział o podpisie, ale dopiero po 44 dniach go cofnął.

No właśnie, co by to dało? To nie jest aplikacja internetowa, w której unieważnienie certyfikatu ma wpływ na stan bezpieczeństwa aplikacji. Comodo (a raczej resellerzy Comodo) winni wiedzieć o tym najlepiej

Jeżeli coś źle zrozumiałem lub nie znam się na czymś to proszę o wyjaśnienie .

[morphiusz]

A więc malware sobie chodził z podpisem, i obchodził takie progsy jak Kaspersky.

Co do Comodo - gdy odkryją jakiś błąd ze swojej strony, to raczej nie trzeba czekać długo, nie mówiąc o 44 dniach


Pozdrawiam!

[zord]

1 września został wysłany na virustotali nie był podpisany

[morphiusz]

Czyli symantec kłamie? Czy cofnal certyfikat widmo?

[zord]

1 września został została wykryta tylko część Duqu plik ten nie był podpisany, plik z podpisem został wykryty później

[morphiusz]

A kiedy wykryto?
Bo jestem na prawde bardzo ciekwy ile dni czy tygodni potrzebowalo CA do cofniecia certyfikatu

[zord]

9 września został przesłany na virustotal a że nie wykrył go żaden skaner przeszedł bez echa
14 października został przesłany do labu symanteca
17 października nadal nie wykrywał go żaden program

[ktośtam]

O Duqu pisze nawet

[Aby zobaczyć linki, zarejestruj się tutaj]

I jeszcze mały dodatek:

[Aby zobaczyć linki, zarejestruj się tutaj]

.

[ichito]

Dwa nowe artykuły na temat Duqu na "ThreatPost.com"

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Z tego drugiego fragment - podsumowanie

Conclusions and fact

We only have recorded incidents in Sudan and Iran;
We have no information linking the victims to Iran’s nuclear program, CAs or specific industries;
It is obvious that every single Duqu incident is unique with its own unique files using different names and checksums;
Duqu is used for targeted attacks with carefully selected victims (The term APT has been used to describe this, but I don’t like this expression and prefer not to use it);
We know that there are at least 13 different driver files (and we have only 6 of them);
We haven’t found any ‘keylogger’ module usage. Either it has never been used in this particular set of incidents, or it has been encrypted, or it has been deleted from the systems;
Analysis of driver igdkmd16b.sys shows that there is a new encryption key, which means that existing detection methods of known PNF files (main DLL) are useless. It is obvious that the DLL is differently encoded in every single attack. Existing detection methods from the majority of AV vendors are able to successfully detect Duqu drivers. But it is almost 100% certain that the main DLL component (PNF) will go undetected.
Duqu is a multifunctional framework which is able to work with any number of any modules. Duqu is highly customizable and universal;
The main library (PNF) is able (export 5) to fully reconfigure and reinstall the package. It is able to install drivers and create additional components, record everything in the registry, etc. It means that if there is a connection to active the C&C and commands, then Duqu’s infrastructure on a particular system might be changed completely;
Duqu’s authors were able to install updated modules on infected systems just before the information about this malware was published because we continue to discover new Duqu drivers created on October 17, 2011. We cannot rule out the possibility that they were able to change the C&C;
We cannot rule out that the known C&C in India was used only in the first known incident (see original report from Crysys Lab) and that there are unique C&Cs for every single target, including targets found by us;
Reports that Duqu works on infected systems for only for 36 days are not entirely correct. Even this data point is customized: only jminet7.sys/netp191.pnf uses its 36-day counter. The set of modules cmi4432.sys/cmi4432.pnf will remove itself after 30 days.

[ktośtam]

[Aby zobaczyć linki, zarejestruj się tutaj]

Wnioski i fakty:

Zarejestrowaliśmy incydenty tylko w Sudanie i Iranie;
Nic nam nie wiadomo o związkach ich ofiar z irańskim programem nuklearnym czy Instytucjami Certyfikującymi;
Nie ma wątpliwości, że każdy incydent Duqu jest unikatowy (unikatowe pliki o różnych nazwach i sumach kontrolnych);
Duqu jest wykorzystywany do przeprowadzania ataków ukierunkowanych, których ofiary są starannie wyselekcjonowane;
Zgodnie z naszą wiedzą na chwilę obecną, istnieje co najmniej 13 różnych plików sterowników (jesteśmy w posiadaniu tylko 6 z nich);
Nie wykryliśmy wykorzystania żadnego modułu keyloggera. To oznacza, że albo w ogóle nie został użyty w tych incydentach, albo został zaszyfrowany, albo został usunięty z zainfekowanych systemów;
Analiza sterownika igdkmd16b.sys wykazała, że istnieje nowy klucz szyfrowania, co oznacza, że istniejące metody wykrywania znanych plików PNF (główna biblioteka DLL) są bezużyteczne. Biblioteka DLL została inaczej zakodowana w każdym ataku. Istniejące metody wykrywania Duqu, stosowane przez większość producentów oprogramowania antywirusowego, zapewniają wykrywanie sterowników Duqu. Jednak prawdopodobieństwo ominięcia głównej biblioteki DLL (PNF) jest bliskie 100%;
Duqu to wielofunkcyjny “szkielet”, który potrafi współpracować z każdą ilością dowolnych modułów. Duqu jest wysoce spersonalizowany i uniwersalny;
Główna biblioteka (PNF) potrafi całkowicie przekonfigurować i przeinstalować pakiet. Potrafi instalować sterowniki i tworzyć dodatkowe komponenty, zapisywać wszystko w rejestrze itd. To oznacza, że jeżeli istnieje połączenie z aktywnym centrum kontroli (C&C), infrastruktura Duqu na danym systemie może zostać całkowicie zmieniona;
Autorzy Duqu zdołali zainstalować uaktualnione moduły w zainfekowanych systemach, zanim zostały opublikowane informacje o tym szkodliwym programie. Świadczy o tym fakt, że nadal wykrywamy nowe sterowniki Duqu stworzone 17 października 2011. Niewykluczone, że potrafili również zmienić centrum kontroli (C&C);
Istnieje prawdopodobieństwo, że znane centrum kontroli w Indiach zostało wykorzystane tylko w pierwszym incydencie (przeczytajcie raport Crysys Lab) oraz że istnieją unikatowe centra kontroli dla każdego celu, łącznie z tymi, które wykryliśmy;
Doniesienia o tym, że Duqu działa na zainfekowanych systemach tylko przez 36 dni, nie są zupełnie zgodne z prawdą. Tylko jminet7.sys/netp191.pnf wykorzystuje 36-dniowy licznik. Z kolei zestaw modułów cmi4432.sys/cmi4432.pnf usuwa się po 30 dniach.

Praktycznie to samo co podał ichito , ale po polsku.

[Waves]

Może nie jestem aż tak rozwięty w sprawach malware jednak proszę o małe wyjaśnienie:
- Duqu miał podpis Symanteca i Symantec nic z Tym nie zrobił przez 44 dni?

[zord]

nie miał podpisu Symanteca miał podpis C-Media Electronics wystawiony w 2009 roku przez VeriSign który został skradziony
i nie było to 44 dni a 3 dni Symantec dostał podpisaną próbkę 14 października i unieważnił podpis 17 października

[Waves]

Oke dzięki. Dałbym reputa ale nie mogę