Internet kaspersky_lab_internet_security_2011

Objavljeno marec 11th, 2012 | Avtor admin

Strokovnjaki podjetja Kaspersky so odkrili neznan programski jezik v trojanskem programu Duqu

Strokovnjaki za zlonamerno programsko opremo podjetja Kaspersky Lab so odkrili, da je bil del Trojanskega programa Duqu napisan v neznanem programskem jeziku.

Duqu je sofisticiran trojanski program, katerega je ustanovila ista skupina posameznikov, ki je ustvarila zloglasnega Stuxnet črva, ki deluje kot stranski vhod v sistem in omogoča krajo zasebnih podatkov. Trojanski program Duqu so zaznali septembra 2011, vendar so po podatkih Kaspersky Laba prvo sled škodljive programske opreme povezane z Duqu zasledili že avgusta 2007. Strokovnjaki Kaspersky Laba so zabeležili že več kot ducat žrtev povezanih s programom Duqu. Velika večina žrtev pa se nahaja v Iranu. Glede na analizo dejavnosti žrtev in naravo podatkov je jasno, da je bil glavni cilj napadov kraja informacij o industrijskih nadzornih sistemih, ki so v uporabi v številnih panogah in pridobivanje komercialnih informacij o številnih iranskih organizacijah.

Nerešena skrivnost programa Duqu se nanaša na to kako zlonamerni program komunicira s strežniki poveljevanja in kontrole (Command and Control) v trenutku, ko okuži računalnik. Modul Duqu, ki je bil odgovoren za interakcijo s strežniki poveljevanja in kontrole je del njegove Payload DLL. Po celoviti analizi Payload DLL so Kaspersky Labovi raziskovalci odkrili, da je bil znotraj nje poseben oddelek, ki komunicira izključno s strežniki poveljevanja in kontrole napisan v neznanem programskem jeziku, ki so ga Kaspersky Lab raziskovalci poimenovali »Duqu Framework«.

Za razliko od ostalega programa, »Duqu Framework« ni napisan v C++ in ni pripravljen z Microsoft Visual C++ 2008. Obstaja možnost, da so njeni avtorji za ustvarjanje vmesne kode C uporabili interni okvir ali popolnoma drug programski jezik. Kaspersky Labovi raziskovalci so potrdili, da je ta jezik objektno usmerjen in opravlja svoj nabor dejavnosti, ki so primerni za omrežne aplikacije.

Jezik v okviru trojanskega programa Duqu je specializiran. Payload DLL omogoča delovanje neodvisno od drugih Duqu modulov in se povezuje s svojim namenskim poveljevanjem in kontrolo po nekaj poteh, vključno z Windows HTTP, omrežnimi vtičnicami in namestniškimi strežniki. Prav tako omogoča koristni vsebini gonilnikov obdelavo HTTP (protokola za izmenjavo nadbesedil ter grafičnih, zvočnih in drugih večpredstavnostnih vsebin na spletu), strežniških zahtev neposredno iz poveljevanja in kontrole, skrivaj pošilja kopije ukradenih podatkov iz okuženega računalnika na poveljevanje in kontrolo ter lahko distribuira dodatno zlonamerno koristno vsebino drugih naprav na omrežju, kar omogoča nadzorovano in diskretno širjenje okužbe na druge računalnike. Podroben opis analize in z njo povezanih podatkov lahko najdete na Securelist, spletni strani Kaspersky Laba.

»Glede na velikost projekta Duqu, je povsem možno, da je za ustvarjanje Framework Duqu odgovorna povsem druga skupina ljudi kot je ustvarila gonilnike in napisala sistem okužbe izkoriščevalske programske kode«, pravi Alexander Gostev, glavni strokovnjak za varnost na Kaspersky Labu.

»Z izredno visoko stopnjo prilagoditve in ekskluzivnosti, s katero je bil programski jezik ustvarjen, obstaja tudi možnost, da ni bil ustvarjen le za preprečevanje razumevanja operacije kiber-vohunstva pred zunanjimi akterji in interakcijo s poveljevanjem in kontrolo, ampak tudi, da se loči od drugih notranjih Duqu skupin, ki so bile odgovorne za pisanje dodatnih delov zlonamernih programov.«

Po besedah Alexandra Gosteva, ustanovitev namenskega programskega jezika dokazuje, kako visoko usposobljeni so razvijalci, ki delajo na projektu in opozarja na veliko količino finančnih vložkov in dela vloženega za zagotovitev izvedbe projekta.

Podjetje Kaspersky Lab naproša člane programske skupnosti, ki prepoznajo okvir, orodja ali programski jezik, ki lahko ustvarja podobne konstrukcije kode, naj se obrnejo na strokovnjake Kaspersky Laba.

Na Kaspersky Labu so prepričani, da bodo z vašo pomočjo lahko rešili to veliko skrivnost v zgodbi Duqu.

Celotno različico »Framework Duqu« analize Igorja Soumenkova in Costina Raiua lahko najdete na povezavi: http://www.securelist.com/en/blog/667/The_Mystery_of_the_Duqu_Framework

Tags:


O avtorju

Pisec bloga had, soustanovitelj startupa Oust.me, ljubitelj internetov, tišine in sovražnik mokrih čevljev. Idejni vodja projekta digital hell.



Na vrh ↑