Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Tajemnica Duqu: część trzecia

Aleksander Gostiew
Kaspersky Lab Expert
Dodany 4 listopada 2011, 09:05 CET
Tagi:

Na początek muszę wskazać pomyłkę, jaką zawiera poprzedni tekst.

Podczas analizy czwartego incydentu w Iranie stwierdziliśmy, że na maszynę ofiary zostały przeprowadzone dwa ataki sieciowe z adresu IP 63.87.255.149, co wskazuje na odrębną wersję Duqu. Później okazało się, że to pomyłka.

Oceńcie sami – Duqu sprawdza połączenia internetowe i próbuje „dotrzeć do” serwera kasperskychk.dyndns.org, który powinien być zlokalizowany pod adresem 68.132.129.18. Z analizy informacji znajdujących się pod tym adresem wynika, że jest on zlokalizowany w tym samym centrum danych co “wykryty przez nas” adres IP 63.87.255.149!

Okazuje się, że podczas konwertowania adresu popełniłem błąd wynikający z pominięcia jednego znaku “-” (“1062731669” oraz “-1062731669”). W pierwszym przypadku, podczas konwersji do adresu IP uzyskujemy 63.87.255.149, jednak w drugim przypadku uzyskujemy lokalny adres 192.168.0.107, który, naturalnie, nie ma żadnego związku z naszym badaniem :(

Dropper i 0-day

A teraz nieco ciekawsze wiadomości. Badanie prowadzone przez węgierskie laboratorium Crysys doprowadziło do wykrycia głównego brakującego ogniwa – droppera, który dokonał początkowej infekcji systemu. Tak jak się spodziewaliśmy, było to możliwe dzięki istnieniu luki w zabezpieczeniach. Wykryto plik dokumentowy MS Word, który został wysłany jednej z ofiar przez osoby odpowiedzialne za Duqu. Plik ten zawierał exploita wykorzystującego nieznaną wcześniej lukę w systemie Windows, który rozpakowywał i uruchamiał komponenty Duqu.

Symantec i Microsoft nie udostępnili jeszcze pliku droppera innym firmom antywirusowym, jak również nie poinformowali, który komponent Windowsa zawiera tę lukę (która umożliwia eskalację uprawnień). Jednak pośrednie dowody sugerują, że luka została zidentyfikowana w win32k.sys. Podobną lukę (MS10-073) wykryliśmy rok temu, podczas analizy robaka Stuxnet. Inny problem dotyczący win32k.sys (MS11-077) został usunięty przez Microsoft 11 października tego roku – była to luka umożliwiająca wykonanie kodu, która może być wykorzystana przez pliki czcionki.

Microsoft poinformował, że pracuje nad usunięciem luki wykorzystywanej przez Duqu, jednak wygląda na to, że łata nie zostanie udostępniona wraz z listopadowymi uaktualnieniami.

Wykrycie droppera i ustalenie, w jaki sposób przeniknął do systemu (ukierunkowany atak na określoną ofiarę przeprowadzany za pośrednictwem poczty e-mail), potwierdza naszą teorię, zgodnie z którą ataki Duqu są wymierzone przeciwko bardzo niewielkiej liczbie ofiar i w każdym z nich mogą być wykorzystywane unikatowe zestawy plików.

Wygląda na to, że w celu zainfekowania innych komputerów w sieci Duqu wykorzystuje zaplanowane zadania - technikę, którą stosował również Stuxnet. Fakt ten, wraz z innymi znanymi wcześniej szczegółami, potwierdza teorię, według której Stuxnet i Duqu zostały stworzone przez te same osoby.

Dodatkowe informacje wskazują na to, że osoby stojące za atakiem ściśle „współpracowały” z zainfekowanymi systemami, gromadząc dane z każdego komputera i przenikając coraz głębiej do lokalnej sieci ofiar. Oprócz unikatowego zestawu plików Duqu dla każdej ofiary, dla każdego atakowanego celu może również istnieć unikatowy serwer kontroli (C2).

Nasze badanie pokazuje, że incydenty spowodowane przez Duqu, które zostały wykryte w Sudanie i Iranie, są w rzeczywistości większe niż początkowo sądzono. Na chwilę obecną odnotowaliśmy trzy ofiary w Sudanie i cztery w Iranie. Współpracujemy z nimi w celu wykrycia wszystkich komponentów Duqu oraz ustalenia ścieżki pierwotnej infekcji.

Wkrótce będziemy mieć wyniki, których nie omieszkamy opublikować w kolejnym odcinku “Tajemnicy Duqu”.