Duqu

A Duqu a kártékony programok közé tartozik, és a világon az egyik legismertebb ilyen kártevő. A Duqu felfedezője és első analizálója a Budapesti Műszaki Egyetem Híradástechnikai Tanszékén működő CrySyS Adat- és Rendszerbiztonság Laboratórium (CrySyS Lab),[1] a felfedezés híre bejárta a világsajtót. A laboratórium, amelyik a Duqu nevet adta a kártevőnek, az ügy kapcsán kezdetben egyedül, titokban dolgozva egy 60 oldalas tanulmányt hozott létre.[2] Ennek a tanulmánynak a lerövidített, kb. 35 oldalas tanulmánya került be az első nyilvános jelentésbe a kártevőről, amelyet a Symantec publikált[3] Később a CrySyS Labor elismerte, hogy az ő kutatócsoportjuk áll a kártevő első analízise, felfedezése és elnevezése mögött.[4] A Duqu kártevő a nevét arról kapta, hogy az információ lopó komponense "~DQ" kezdetű fájlneveket használ a rögzített adatok tárolására.

Nómenklatúra

[szerkesztés]

A Duqu kifejezés több dolgot is jelent az ügy vonatkozásában:

  • A Duqu kártevő elnevezés használatos az ügy kapcsán felfedezett különféle programkomponensek vonatkozásában, melyek közé tartoznak információ gyűjtő komponensek, kernel driver, kód beinjektáló eszköz, stb. A Duqu kártevő egyfajta moduláris programkészlet, az egyes moduloknak több egyedi változata létezik kis módosításokkal, a szokásos számítógépes kártevőkhöz képest így besorolása nehezebb.
  • A Duqu biztonsági rés (Duqu flaw, Duqu exploit) a Microsoft Windows azon hibájára utal, amelyet az eddig megismert két ún. dropper használt. A dropper felelős a többi programkomponens telepítéséért és a többi komponens futtatásáért. A megismert két dropper A Microsoft Windows TTF fontkezelésének hibáját használja ki a win32k.sys operációs rendszer komponensben..
  • Duqu hadművelet (Operation Duqu) arra a célzott támadássorozatra utal, amelyet ismeretlen támadók a Duqu segítségével indítottak, és amely vélhetően kapcsolódik a Stuxnet támadássorozathoz.

Stuxnet kapcsolat

[szerkesztés]

A számítógépes biztonsági iparban elsőként a Symantec folytatta az ügy kutatását a CrySyS analízis alapján és a kártevőt a "Stuxnettel majdnem teljesen azonos, de teljesen eltérő célú" kártevőnek nevezte.[5] A Symantec vizsgálat egyértelmű megállapítása, hogy a Duqu kártevőt vagy a Stuxnet szerzői készítették, vagy hozzáfértek a Stuxnet forráskódjához. A Duqu, a Stuxnethez hasonlóan valódi digitális aláírással ellátott kernel drivert használ.[3][6] Mikko Hyppönen, az F-Secure vezető kutatója elmondta, hogy a Duqu kernel driver JMINET7.SYS olyan mértékben hasonlít a Stuxnet MRXCLS.SYS komponenséhez, hogy az F-Secure's back-end rendszerei Stuxnet komponensnek azonosították. A kernel aláírásához használt tanúsítvány a C-Media tajvani céghez tartozik. A tanúsítvány 2012. augusztus 2-án járt volna le, de visszavonásra került 2011. október 14-én.[5] A Dell SecureWorks azon az állásponton áll, hogy a Duqu esetleg nincs kapcsolatban a Stuxnet kártevővel.[7]

A kutatók szerint a következő három legfontosabb hasonlóság támasztja alá Stuxnet és a Duqu közvetlen kapcsolatát:

  • A dropper (telepítő) által kihasznált hibák (zero-day Windows hibák).
  • Komponensek, melyek lopott kulcsokkal kerültek digitálisan aláírásra
  • Nagymértékű célzottság, amely összefüggésbe hozható Irán atomprogramjával.

Microsoft Word zero-day exploit (korábban nem ismert sérülékenységet kihasználó támadó programrész)

[szerkesztés]

A Stuxnet kártevőhöz hasonlóan, a Duqu Microsoft Windows rendszerek ellen zero-day sérülékenység felhasználásával tud támadást indítani. A Duqu első ismert telepítőjét (más néven a dropper module) a CrySyS Labor azonosította és elemezte elsőként. A támadó adat egy Microsoft Word (.doc) dokumentum amely kihasználja a Win32k windows module TrueType betűtípust feldolgozó magjának hibáját és azon keresztül kód futtatását teszi lehetővé.[8]

A támadás a beágyazott fontokkal kapcsolatos, és nemcsak .doc kiterjesztésű fájlokat érinthet. Ideiglenes megoldásként a Microsoft a T2EMBED.DLL jogosultságainak megváltoztatásával a beágyazott fontok kezelésének letiltását javasolta a később megjelent teljes hibajavítás telepítéséig.[9] A hiba kapcsán a Microsoft MS11-087 néven publikált hibajelentést 2011. november 13-án.[10]

A Duqu célja

[szerkesztés]

A Duqu készítőiről és a támadássorozat pontos céljáról nincs megbízható adat. A feltárt célpontok alapján elmondható, hogy a Duqu információszerzés céljára került bevetésre ipari vezérlőrendszerekkel összefüggő környezetben. A Duqu moduláris felépítése folytán bármilyen speciális feladatra is képes lehet, de eddig megismert komponensei nem tartalmaztak közvetlen károkozó programmodult, mint pl. a Stuxnet esetében a PLC átprogramozó komponens.[11] A vezérlése során a Duqu egy 54×54 pixel méretű jpeg fájlt (364.5 bytes) és további rejtjelezett bináris adatokat használ a kommunikáció leplezésére. A Duqu automata önmegsemmisítéssel is rendelkezik, az első minta esetében a telepítéstől számított 36. napon törli magát, hogy megnehezítse a detektálását.[5]

Command and control kiszolgálók

[szerkesztés]

A Duqu támadások során több command and control vezérlőkiszolgálót sikerült analizálni. Valamilyen oknál fogva több kiszolgáló CentOS 5.x verziójú operációs rendszerre épült, így egyes kutatók azt gyanítják, hogy esetleg egy korábban nem ismert operációs rendszer hiba állhat ennek hátterében. A legtöbb kutatást a C&C kiszolgálók kapcsán a Kaspersky Labs végzett. C&C vezérlőket találtak több országban, így pl. Németország, Belgium, Fülöp-szigetek és Kína területén.[12]

Források

[szerkesztés]
  1. Laboratory of Cryptography and System Security (CrySyS). (Hozzáférés: 2011. november 4.)
  2. Duqu: A Stuxnet-like malware found in the wild, technical report. Laboratory of Cryptography of Systems Security (CrySyS), 2011. október 14.
  3. a b W32.Duqu – The precursor to the next Stuxnet (Version 1.4). Symantec, 2011. november 23. [2012. március 11-i dátummal az eredetiből archiválva]. (Hozzáférés: 2011. december 30.)
  4. Statement on Duqu's initial analysis. Laboratory of Cryptography of Systems Security (CrySyS), 2011. október 21. [2012. október 3-i dátummal az eredetiből archiválva]. (Hozzáférés: 2011. október 25.)
  5. a b c Zetter, Kim: Son of Stuxnet Found in the Wild on Systems in Europe, 2011. október 18. (Hozzáférés: 2011. október 21.)
  6. Virus Duqu alarmiert IT-Sicherheitsexperten”, Die Zeit , 2011. október 19. (Hozzáférés: 2011. október 19.) 
  7. Spotted in Iran, trojan Duqu may not be "son of Stuxnet" after all. (Hozzáférés: 2011. október 27.)
  8. Microsoft issues temporary 'fix-it' for Duqu zero-day. (Hozzáférés: 2011. november 5.)
  9. (2011. november 3.) „Microsoft Security Advisory (2639658)”. Vulnerability in TrueType Font Parsing Could Allow Elevation of Privilege. (Hozzáférés: 2011. november 5.) 
  10. Microsoft Security Bulletin MS11-087 - Critical. (Hozzáférés: 2011. november 13.)
  11. Steven Cherry, with Larry Constantine: Sons of Stuxnet. IEEE Spectrum, 2011. december 14.
  12. The mystery of Duqu part six: The command and control servers, 2011. november 30. [2014. június 7-i dátummal az eredetiből archiválva]. (Hozzáférés: 2011. november 30.)