Фреймворк Duqu поставил «Лабораторию Касперского» в тупик

Тема в разделе "Новости информационной безопасности", создана пользователем Mila, 12 мар 2012.

  1. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.601
    Эксперты «Лаборатории Касперского» обратились к сообществу с просьбой помочь разобраться, как работает программный код, который составляет значительную часть в основном компоненте Duqu, то есть в payload DLL, и вообще — на каком языке программирования написан этот код?

    На диаграмме секция с таинственным программным кодом обозначена красным цветом, специалисты «Лаборатории Касперского» назвали её «Фреймворком Duqu» (именно так, с большой буквы).

    [​IMG]

    Вот что пишет Игорь Суменков, эксперт «Лаборатории Касперского»:

    Далее эксперты «лаборатории Касперского» пытаются разобраться, каким образом работает объектно-ориентированный язык во фреймворке Duqu. Они отмечают, что весь функционал в коде реализуют объекты, все они являются экземплярами какого-либо класса, всего в коде обнаружено 60 различных классов. Таблица функций объекта находится непосредственно в его памяти и может быть изменена в процессе выполнения. Во фреймворке активно используется парадигма так называемого событийно-ориентированного программирования.

    [​IMG]

    Специалисты «Лаборатории Касперского» с ноября 2011 года потратили много времени на анализ кода и делают вывод, что фреймворк Duqu написан не на Visual C++, а загадочный язык программирования — определённо не C++, не Objective C, не Java, не Python, не Ada, не Lua и ещё не 30 других языков программирования, которые они проверили. «Лаборатория Касперского» обратились за помощью к самым опытным профессионалам по реверс-инжинирингу, которых смогла найти, но те тоже ничем не смогли помочь.



    источник
     
    10 пользователям это понравилось.
  2. Rins
    Оффлайн

    Rins Активный пользователь

    Сообщения:
    370
    Симпатии:
    50
    В чем загвоздка и фишка?
    Имея достаточные знания, любой способный на это может свой язык программирования написать. Более того, стандартные инструменты разработчика помогут это сделать.
    В чем соль статьи? Какой то "хитрый план" продолжения пиара линейки продуктов 2012 от касперского?
    Сенсация для обывателей?
    Не могу вникнуть в суть. Интересует именно разработчик и название его инструментов?
    Для чего, ради чего обратилась за помощью?
     
  3. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.432
    Симпатии:
    13.941
  4. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.601
    "Лаборатория Касперского": троянец Duqu был написан программистами "старой школы"

    Некоторое время назад «Лаборатория Касперского» обратилась к сообществу программистов за помощью в решении одной из наиболее сложных задач, связанных с исследовании троянца Duqu: определении неизвестного фрагмента кода, расположенного внутри его библиотеки с основным кодом (Payload DLL). Обозначенный антивирусными экспертами как Фреймворк Duqu, данный фрагмент является частью Payload DLL и отвечает за взаимодействие с командным сервером (C&C) после заражения компьютера-жертвы.

    Проанализировав большое количество сообщений, полученных от программистов со всего мира, эксперты «Лаборатории Касперского» пришли к выводу, что Фреймворк Duqu состоит из исходного кода, написанного на языке C, скомпилированного и оптимизированного с помощью Microsoft Visual Studio 2008. Кроме того, при разработке использовалось объектно-ориентированная надстройка С (ОО С). Подобный стиль программирования присущ серьезным «гражданским» программным проектам и не встречается в современном вредоносном ПО.

    Точный ответ на вопрос, почему для Фреймворка Duqu использовали OO C, а не С++ пока не найден. Однако, по мнению экспертов «Лаборатории Касперского» наиболее вероятными причинами могут являться следующие:

    · Больший контроль над кодом. Когда появился язык С++, многие программисты «старой школы» отказались от его использования из-за неявного управления памятью и сложных конструкций, вызывавших неявное исполнение кода. ОО С обеспечивает наличие более стабильного фреймворка с меньшей вероятностью непредсказуемого поведения.

    · Высокая совместимость. Многие годы не существовало общего для всех компиляторов стандарта С++, из-за чего могли возникать проблемы совместимости с компиляторами различных производителей. Использование языка С позволяет писать код под любую существующую платформу и не имеет ограничений С++.

    «Проведенное нами исследование, важную роль в котором сыграли наши коллеги программисты, дает все основания полагать, что код был написан командой опытных разработчиков «старой школы». Их целью было создание легко модифицируемой и портируемой платформы для проведения кибератак. Этот код мог быть использован ранее, а затем модифицирован и применен в троянец Duqu, – уверен Игорь Суменков, антивирусный эксперт «Лаборатории Касперского». – Подобная методика обычно используется высококлассными профессиональными разработчиками и почти никогда не встречается в обычных вредоносных программах».



    источник
     
    6 пользователям это понравилось.

Поделиться этой страницей