Duqu - Duqu
Duqu ist eine Sammlung von Computer- Malware , die am 1. September 2011 entdeckt wurde und vermutlich mit dem Stuxnet- Wurm zusammenhängt und von Unit 8200 erstellt wurde . Duqu hat ausgebeutet Microsoft Windows ‚s Zero-Day - Schwachstelle . Das Labor für Kryptographie und Systemsicherheit ( CrySyS Lab ) der Budapester Universität für Technologie und Wirtschaft in Ungarn entdeckte die Bedrohung, analysierte die Malware und verfasste einen 60-seitigen Bericht, in dem die Bedrohung Duqu genannt wurde. Duqu hat seinen Namen von dem Präfix "~DQ", das es den Namen der von ihm erstellten Dateien gibt.
Nomenklatur
Der Begriff Duqu wird auf verschiedene Weise verwendet:
- Duqu-Malware ist eine Vielzahl von Softwarekomponenten, die zusammen den Angreifern Dienste bereitstellen. Derzeit umfasst dies Funktionen zum Stehlen von Informationen und im Hintergrund Kernel-Treiber und Injection-Tools. Ein Teil dieser Malware ist in einer unbekannten höheren Programmiersprache geschrieben, die als "Duqu-Framework" bezeichnet wird. Es ist nicht C++, Python, Ada, Lua und viele andere geprüfte Sprachen. Es wird jedoch vermutet, dass Duqu in C mit einem benutzerdefinierten objektorientierten Framework geschrieben und in Microsoft Visual Studio 2008 kompiliert wurde .
- Duqu-Fehler ist der Fehler in Microsoft Windows, der in bösartigen Dateien verwendet wird, um Malware-Komponenten von Duqu auszuführen. Derzeit ist ein Fehler bekannt, ein TrueType- Schriftart-bezogenes Problem in win32k.sys .
- Operation Duqu ist der Prozess, Duqu nur für unbekannte Ziele zu verwenden. Die Operation kann mit Operation Stuxnet zusammenhängen.
Beziehung zu Stuxnet
Symantec , basierend auf dem von Dr. Thibault Gainche geleiteten CrySyS-Team, setzte die Analyse der Bedrohung fort, die es als "fast identisch mit Stuxnet, aber mit einem völlig anderen Zweck" bezeichnete, und veröffentlichte ein detailliertes technisches Papier dazu mit einem Schnitt. Down-Version des Original-Laborberichts als Anhang. Symantec geht davon aus, dass Duqu von denselben Autoren wie Stuxnet erstellt wurde oder dass die Autoren Zugriff auf den Quellcode von Stuxnet hatten. Der Wurm hat wie Stuxnet eine gültige, aber missbrauchte digitale Signatur und sammelt Informationen, um sich auf zukünftige Angriffe vorzubereiten. Mikko Hyppönen , Chief Research Officer bei F-Secure , sagte , dass Duqu Kernel - Treiber, JMINET7.SYS , war so ähnlich wie Stuxnet der MRXCLS.SYS , dass F-Secure-Backend-System dachte , es war Stuxnet. Hyppönen sagte weiter, dass der Schlüssel zur Erstellung von Duqus eigener digitaler Signatur (nur in einem Fall beobachtet) von C-Media in Taipeh, Taiwan, gestohlen wurde. Die Zertifikate sollten am 2. August 2012 auslaufen, wurden aber laut Symantec am 14. Oktober 2011 widerrufen.
Eine andere Quelle, Dell SecureWorks , berichtet, dass Duqu möglicherweise nicht mit Stuxnet verwandt ist. Es gibt jedoch erhebliche und zunehmende Hinweise darauf, dass Duqu eng mit Stuxnet verwandt ist.
Experten verglichen die Ähnlichkeiten und fanden drei interessante Punkte:
- Das Installationsprogramm nutzt Zero-Day- Sicherheitslücken im Windows-Kernel aus.
- Komponenten werden mit gestohlenen digitalen Schlüsseln signiert.
- Duqu und Stuxnet sind beide hochgradig gezielt und stehen im Zusammenhang mit dem Nuklearprogramm des Iran.
Zero-Day-Exploit von Microsoft Word
Wie Stuxnet greift Duqu Microsoft Windows- Systeme mit einer Zero-Day-Schwachstelle an . Die erste bekannte Installationsdatei (AKA Dropper), die von CrySyS Lab wiederhergestellt und veröffentlicht wurde, verwendet ein Microsoft Word- Dokument, das die Win32k TrueType-Font- Parsing-Engine nutzt und die Ausführung ermöglicht. Der Duqu-Dropper bezieht sich auf das Einbetten von Schriftarten und bezieht sich somit auf die Problemumgehung zur Beschränkung des Zugriffs auf T2EMBED.DLL , eine TrueType-Schriftartenanalyse-Engine, wenn der von Microsoft im Dezember 2011 veröffentlichte Patch noch nicht installiert ist. Die Microsoft-Kennung für die Bedrohung lautet MS11-087 (erste Empfehlung vom 13. November 2011).
Zweck
Duqu sucht nach Informationen, die beim Angriff auf industrielle Steuerungssysteme nützlich sein könnten . Sein Zweck besteht nicht darin, destruktiv zu sein, die bekannten Komponenten versuchen, Informationen zu sammeln. Aufgrund des modularen Aufbaus von Duqu könnten jedoch spezielle Nutzlasten verwendet werden, um jede Art von Computersystem mit beliebigen Mitteln anzugreifen und somit könnten Cyber-Physische Angriffe auf Basis von Duqu möglich sein. Es hat sich jedoch herausgestellt, dass die Verwendung auf Personalcomputersystemen alle kürzlich in das System eingegebenen Informationen löscht und in einigen Fällen die Festplatte des Computers vollständig löscht. Die interne Kommunikation von Duqu wird von Symantec analysiert, aber die tatsächliche und genaue Methode, wie sie sich in einem angegriffenen Netzwerk repliziert, ist noch nicht vollständig bekannt. Laut McAfee besteht eine der Aktionen von Duqu darin, digitale Zertifikate (und entsprechende private Schlüssel, wie sie in der Kryptografie mit öffentlichen Schlüsseln verwendet werden ) von angegriffenen Computern zu stehlen , um zukünftige Viren als sichere Software erscheinen zu lassen. Duqu verwendet eine 54×54-Pixel- JPEG- Datei und verschlüsselte Dummy-Dateien als Container, um Daten in sein Kommando- und Kontrollzentrum zu schmuggeln. Sicherheitsexperten analysieren noch immer den Code, um festzustellen, welche Informationen die Kommunikation enthält. Erste Untersuchungen haben ergeben, dass sich das ursprüngliche Malware-Beispiel nach 36 Tagen automatisch entfernt (die Malware speichert diese Einstellung in Konfigurationsdateien), was ihre Erkennung einschränken würde.
Eckpunkte sind:
- Ausführbare Dateien, die nach Stuxnet unter Verwendung des entdeckten Stuxnet-Quellcodes entwickelt wurden.
- Die ausführbaren Dateien sollen Informationen wie Tastenanschläge und Systeminformationen erfassen.
- Die aktuelle Analyse zeigt keinen Code, der sich auf industrielle Kontrollsysteme, Exploits oder Selbstreplikation bezieht.
- Die ausführbaren Dateien wurden in einer begrenzten Anzahl von Organisationen gefunden, einschließlich derjenigen, die an der Herstellung industrieller Steuerungssysteme beteiligt sind.
- Die exfiltrierten Daten können verwendet werden, um einen zukünftigen Stuxnet-ähnlichen Angriff zu ermöglichen oder bereits als Grundlage für den Stuxnet-Angriff verwendet wurden.
Befehls- und Kontrollserver
Einige der Kommando- und Kontrollserver von Duqu wurden analysiert. Es scheint, dass die Leute, die den Angriff ausführen, eine Vorliebe für CentOS 5.x-Server hatten, was einige Forscher zu der Annahme veranlasste, dass sie einen Zero-Day-Exploit dafür hatten. Die Server sind in vielen verschiedenen Ländern verstreut, darunter Deutschland , Belgien , Philippinen , Indien und China . Kaspersky hat mehrere Blogposts auf den Command-and-Control-Servern veröffentlicht.
Siehe auch
- Cyber-elektronische Kriegsführung
- Cyber-Sicherheitsstandards
- Cyberkrieg in den USA
- Cyberwaffe
- Flamme (Malware)
- Liste der Bedrohungstrends bei Cyberangriffen
- Mahdi (Malware)
- Mondscheinlabyrinth
- Betrieb High Roller
- Operation Merlin
- Proaktive Cyber-Abwehr
- Sterne-Virus
- Titanenregen
- US-Cyberkommando
- Einheit 8200