Троян Duqu использует уязвимость нулевого дня в ядре Windows

Тема в разделе "Новости информационной безопасности", создана пользователем Severnyj, 3 ноя 2011.

  1. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.837
    Симпатии:
    8.591
    По данным компании Symantec, опасный троян Duqu заражает системы, используя ранее не известную уязвимость в ядре Windows. В своём блоге Symantec сообщила, что венгерская исследовательская фирма CrySys, обнаружившая Duqu в прошлом месяце, идентифицировала файл-установщик трояна.

    Этот файл представляет собой документ Microsoft Word, созданный таким образом, чтобы использовать уязвимость нулевого дня в ядре Windows для исполнения вредоносного кода, который затем загружает и устанавливает основные файлы Duqu на скомпрометированную систему.

    По информации от Symantec, вредоносный документ Word был создан специально для конкретной организации, причём создан он был таким образом, чтобы установить Duqu на компьютеры этой организации в определённый восьмидневный период в августе.

    На данный момент не существует способа самостоятельно изолировать обнаруженную уязвимость, которую использует Duqu. Обнаруженный установщик (файл Word) является одним из нескольких установщиков, которые могут использоваться для распространения этого трояна. По мнению Symantec, вполне возможно, что кроме документов Word могут использоваться и другие методы распространения.

    После того, как троян попадает в организацию, ему могут удалённо дать команду на дальнейшее распространение. Так, в одной из шести организаций, заражённых этим трояном, Duqu получил команду на распространение в локальной сети по протоколу SMB.

    На некоторых компьютерах вредоносная программа не имела возможности связаться с командным сервером и самостоятельно пыталась найти другой заражённый компьютер, у которого такая возможность была. "Таким образом Duqu создаёт связи между внутренними серверами сети и командным сервером. Это позволяло атакующим получить доступ к инфицированным Duqu компьютерам в безопасной зоне", - поясняют в Symantec.

    Исследователи на данный момент обнаружили два командных сервера, использовавшихся для связи с компьютерами, заражёнными Duqu. Один из них расположен в Индии, другой - в Бельгии. Оба сервера уже обезврежены.

    По данным Symantec, заражению подверглись шесть организаций в восьми странах - Франции, Индии, Иране, Нидерландах, Швейцарии, Судане, Украине и Вьетнаме. Неподтверждёнными остаются сообщения о заражениях в Венгрии, Индонезии и Великобритании.

    Джерри Брайан, руководитель группы Trustworthy Computing компании Microsoft, сообщил, что работа по закрытию уязвимости уже идёт. "Microsoft сотрудничает со своими партнёрами с целью предоставления защиты от уязвимости, используемой в целенаправленных попытках заразить компьютеры вредоносным кодом Duqu", - сообщил Брайан. По его словам, для закрытия уязвимости компания выпустит соответствующее обновление безопасности.

    По мнению Дона Джексона, исследователя из компании Dell SecureWorks, из описания Symantec неясно, где именно присутствует уязвимость - в ядре Windows, в Word или и там и там. Обнаружение и использование уязвимости нулевого дня в ядре Windows предполагает наличие довольно высокого уровня технической подготовки у разработчиков Duqu и их неплохое финансирование. Джексон отметил, что в подпольных магазинах информация об уязвимостях в ядре Windows может стоить свыше $10000.

    Источник
     
    2 пользователям это понравилось.
  2. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.601
    Duqu атаковал каждую свою жертву уникальным файлом и с уникального сервера

    Согласно отчету, опубликованному в пятницу, создатели Duqu, который проник в системы промышленных компаний как минимум в восьми странах, использовал для каждой атаки уникальные эксплойты, контрольные серверы и документы-ловушки Microsoft Word.

    Кроме того, у двух драйверов, которые модульный руткит применял для одной из атак, даты компиляции – 2007 и 2008 год, сказал Александр Гостев, эксперт лаборатории Касперского и автор отчета. Если эти даты – не подделка, значит, разработчики потратили последние четыре года на создание зловреда.

    Так же, как следователи судмедэкспертизы прочесывают место убийства в поисках мельчайших улик, исследователи безопасности по всему миру проверяют каждый email и компьютерный файл, связанный с Duqu, ради зацепок, которые помогли бы понять, кто и с какой целью его создал. Еще предстоит установить прямую связь со Stuxnet, который саботировал работу иранских заводов по обогащению урана, но картины, которая сейчас складывается, достаточно, чтобы понять, что как и Stuxnet, Duqu разрабатывался командой обученных и хорошо финансируемых специалистов мирового класса.

    Версию Duqu, которая была рассмотрена в пятничном отчете, обнаружила суданская команда Computer Emergency Response Team на компьютерах неназванной компании, которую атаковали ранее. Как и в случае других целей, эта атака была запущена с помощью документа Microsoft Word, содержавшего ловушку, рассчитанную на эту конкретную организацию и эксплуатирующую ранее неизвестную уязвимость в ядре всех поддерживаемых версий Windows.

    Первая попытка атаки провалилась, потому что письмо с файлом попало в папку для спама. 21 мая, через 4 дня после первой попытки, атакующие попробовали снова уже со слегка измененным сообщением. Тема письма и название прикрепленного файла имели отношение конкретно к этой компании. Интересно, что DLL-файл, который служил главным модулем трояна, был датирован 17 апреля. Это день, когда состоялась первая попытка атаки.

    Когда получатель второго письма открыл документ, зловред моментально взломал компьютер, но оставался в состоянии покоя еще около 10 минут, сказал Гостев. Эксплойт не устанавливал шпионских компонентов до тех пор, пока пользователь не отлучился от компьютера. Зараженный компьютер использовал командно-контрольный сервер, которого исследователи раньше никогда не видели. На данный момент они обнаружили 4 подобных сервера, и каждый из них использовался для того, чтобы посылать и получать данные лишь от одной определенной цели.

    В конце мая второй компьютер в атаке, изученной Лабораторией Касперского, был заражен через локальную сеть компании. Гостев не сказал, каким образом Duqu распространялся. В другом исследовании, проведенном Symantec, предполагается, что Duqu распространялся через SMB-соединения, используемые для обмена файлами между машинами.

    Кроме умений и тщательного подхода к делу, атакующие продемонстрировали еще и интригующее чувство юмора. Вредоносный шелл-код для эксплойта был встроен в вымышленный шрифт под названием "Dexter regular" и содержал строку "Copyright (c) 2003 Showtime Inc". Спрятанное сообщение – это очевидная отсылка к сериалу "Декстер", в котором рассказывается о серийном убийце, работающем исследователем мест преступлений в полиции Майами.

    "Это еще одна шутка от авторов Duqu", - сказал Гостев.


    источник
     
    4 пользователям это понравилось.
  3. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.837
    Симпатии:
    8.591
    Руткит Duqu и червь Stuxnet - сходства и различия

    Сходство недавно выпущенного Duqu и знаменитого червя Stuxnet, вызвавшего всеобщий переполох более года назад, сильно преувеличено. К такому выводу пришла компания Dell SecureWorks

    Оба образца имеют руткитоподобные элементы, включая способ реализации драйвера уровня ядра и загрузки зашифрованных DLL файлов. Поразительно, но оба зловреда используют сертификат драйвера от одной и той же тайваньской компании, JMicron, для одного из своих файлов ядра.

    "Общий сертификат подписи не является доказательством родства образцов, ибо сертификаты подписи можно получить из различных источников", - сказали исследователи. "Чтобы сделать окончательный вывод в пользу родства зловредов, нужно сначала доказать, что сертификаты для них получены из одних и тех же источников".

    Stuxnet разрабатывался для атак на специфические системы ПО, вроде тех, которые используются для промышленного контроля. А действия Duqu больше походят на действия обычного трояна в связке с кейлоггером, хотя и очень продвинутым.

    В отличие от Stuxnet, Duqu не использует уязвимостей нулевого дня и не способен размножаться (из-за чего Stuxnet и стал популярен именно как червь). Что самое важное, Duqu, с точки зрения Dell SecureWorks, не выбирает своей целью какой-то специфический сектор, что значительно снижает вероятность того, что он задумывался как низкоуровневый нацеленный зловред, и не дает повода называть его продвинутой постоянной угрозой.

    "Можно спекулировать на тему единого источника в компоненте инжектирования. Но доказательства этого в лучшем случае косвенные, и не способны подтвердить прямую связь".

    Если коротко, все сходства – это, скорее всего, лишь случайное стечение обстоятельств. И они являются показателем того, что зловреды создаются похожими друг на друга в угоду более эффективным методам атак.

    Основанием для подозрения Duqu является тот факт, что его методы заражения до сих пор остаются тайной. Это очень странно для массовой вредоносной программы, которая очень часто использует e-mail и drive-by атаки на сайты. Исследователям еще предстоит найти программу установки, которая поможет больше узнать о происхождении Duqu. Duqu удаляется через 36 дней после установки, что также очень необычно.

    Symantec на прошлой неделе опубликовал анализ в котором утверждается, что оба зловреда делят общий исходный код, что говорит о том, что их создатели, как минимум, имели доступ к одной и той же кодовой базе. Компания также утверждает, что Duqu атаковал компании того же секторе, что и Stuxnet, однако данные, которые могли бы это доказать, очень скудны.

    Источник
     

Поделиться этой страницей