Злоумышленники использовали украденный цифровой сертификат для вредоносной кампании Duqu2

Тема в разделе "Новости информационной безопасности", создана пользователем regist, 21 июн 2015.

  1. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Несколько дней назад в нашу антивирусную лабораторию поступил исполняемый PE-файл (драйвер), который содержал действительную цифровую подпись. Мы добавили его в базу как Win64/Duqu.AC. Сертификат был выдан известной тайваньской компании Foxconn (Hon Hai Precision Industry Co.), которая специализируется на производстве электроники, а также является одной из крупнейших компаний, занимающейся производством компонентов флагманских устройств таких известных компаний как Apple, Canon, Sony.

    572dc86718c24bffbff25c78f763b80a.jpg

    Ранее мы уже писали про эту вредоносную кампанию, в которой злоумышленники использовали новую версию state-sponsored вредоносного ПО Duqu (Duqu2, Duqu.B), а также про другие обнаружения этой вредоносной программы со стороны наших AV продуктов. Указанный драйвер имеет небольшой размер (27 448 байт) и используется атакующими для манипулирования сетевым трафиком на уровне NDIS в скомпрометированной системе.

    d5fcc6bd869746e19fa220b867ca5185.png
    Рис. Название объекта-устройства, а также символьной ссылки, которые вредоносный драйвер создает в системе (индикатор заражения).

    Уже по информации об импортах драйвера (ndis.sys) видно, что он специализируется на работе с сетевым трафиком на уровне NDIS.

    1cd1abe8d1414441a82987922beab898.png
    Рис. Часть импортируемых Win64/Duqu.AC функций.

    b258fd224b9f4ea1921d4181c640431b.png
    Рис. Действительная цифровая подпись Win64/Duqu.AC. Скомпрометированный сертификат был еще действителен.

    fb19853f35a64840bb53c5ef193063fe.png
    Рис. Свойства вредоносного файла.

    Кража цифрового сертификата роднит вредоносную кампанию по распространению Duqu2 с другой вредоносной компанией по распространению известного червя Stuxnet, его драйверы также содержали цифровую подпись, причем сертификаты также были похищены у технологических компаний: JMicron и Realtek. Снабжение вредоносного драйвера цифровой подписью является стопроцентным решением обеспечить загрузку такого драйвера в 64-битной версии Windows.

    Указанный драйвер имеет следующие отпечатки:

    MD5: 92e724291056a5e30eca038ee637a23f
    SHA1: 478c076749bef74eaf9bed4af917aee228620b23
    SHA256: bc4ae56434b45818f57724f4cd19354a13e5964fd097d1933a30e2e31c9bdfa5

     
    ScriptMakeR, Kиpилл и orderman нравится это.
  2. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    интересно каким образом он попал, уже несколько дней как открыто ходит по сети. Не удивлюсь, если в вирлаб Эбсет его прислал какой-то пользователь после, того как протестировал на своём компе, что Nod его не видит.
     

Поделиться этой страницей