关于Duqu木马病毒的常见问题与答案
推荐麦田守望者 - 网络安全
Duqu是一种复杂的木马,有迹象表明其制造者与臭名昭著的Stuxnet蠕虫创建者为同一人。与Stuxnet比起来,Duqu更像是系统中的后门程序,主要目的是为私密信息的盗取提供便利。而Stuxnet则被用来进行工业破坏。还有一点很重要的是,Stuxnet能够运用各种方法将自己从一台计算机复制到另一台计算机上,而Duqu只是一种木马,目前没有发现自我复制的行为。
Duqu是否攻击PLC/SCADA设备?它的攻击目标究竟是谁?我们了解吗?
与Stuxnet不同,尽管Duqu的一些子程序可以用来盗取与工业生产设备相关的信息,但它并不会直接攻击PLC/SCADA设备。从其表现来看,Duqu被创建的目的是用来收集与其攻击目标有关的情报,包括受攻击设备中所有以数字格式保存的信息。
Duqu是如何感染计算机的?它能否通过USB设备传播?
根据我们已经分析的案例来看,Duqu通过对Word文档的CVE-2011-3402漏洞发起针对性攻击,进而感染计算机。该漏洞是在Windows核心组件Win32k.sys中的零日漏洞,它使得攻击者可以以最高级别权限运行代码,并绕过Windows或安全软件的大部分保护机制。从我们掌握的情况来看,Duqu是唯一一个利用该漏洞来感染计算机的恶意软件。卡巴斯基实验室所有的安全解决方案于2011年11月6日起就能够检测到这种名为Exploit.Win32.CVE-2011-3402.a的漏洞。
Duqu中是否有漏洞攻击代码,特别是零日漏洞?
在最初的阶段,Duqu的确利用了零日漏洞对计算机进行感染。为此,微软已经发布了相关的基本信息和补救措施的建议(2639658)。
反病毒厂商是怎么发现这个威胁的?谁最先报告的?
Duqu最开始引起了匈牙利研究实验室CrySyS的安全社区人员的注意,他们最先指出了Duqu与Stuxnet有相似之处,并开展了迄今为止最全面的恶意软件分析工作。
该威胁是什么时候被首次发现的?
首个Duqu攻击最早于2011年4月中旬被发现。之后,攻击持续了几个月,直到10月18日,有关Duqu的新闻被公开。
Duqu有多少个变种?各变种之间有什么主要的区别?
就目前看,Duqu至少有7个驱动程序变种,以及少量其它组件。这些变种被不同的反病毒公司检测到后,都被定义了不同的名字,所以,好像看上去有很多的变种。就当前而言,我们已经确认了两种以信息盗取为主的变种程序,以及7种驱动程序变种。此外,我们怀疑至少还存在一种信息盗取变种程序,这种程序具备直接在受攻击设备上搜索和盗取文档的能力。
关于专门攻击证书授权机构这样的说法,是否属实?
的确有一些报告指出,Duqu的主要目的是从证书授权机构中盗取信息,但目前并没有确凿的证据来支持这个说法。与之相反,我们相信Duqu的主要目的恰恰不是这样,而证书授权机构只不过是其次要的目标。
赛门铁克指出该病毒专门针对特定组织,很可能是以搜集特定信息并用于在将来发起攻击为目的的。那它们到底是要搜集什么样的信息呢?将来有可能进行什么样的攻击?
有一种猜测是,Duqu只是被用来从证书认证机构中盗取证书,而这些证书可以用作为恶意代码进行数字签名,使其更难被发现。Duqe中的后门功能相当复杂,并且用途也更广。基本上,Duqe可以盗取一切信息,然而,从其发动的攻击情况来看,它似乎只对收集密码、抓取桌面截图(暗中监视用户的操作)、盗取各类文件感兴趣。
Duqe使用的指令与控制服务器是否还在继续运行?当受感染的机器与指令与控制中心联系时会发生什么?
最初的Duqu指令与控制服务器(C&C)主机位于印度,现在已经不再运行了。跟Stuxnet事件一样,当事件曝光后,服务器立刻进入关闭状态。除此之外,我们知道在比利时有另一台C&C,但也很快不再运行。事实上,每一次Duqu发起的针对性攻击都使用不同的C&C服务器。
为何Duqu的运行时间是36天?
也许创建者对平方数很痴迷吧,比如6x6? 事实上,Duqu在系统中的运行时间由其配置文件来决定,而在不同的攻击中,设置的时间也是不同的。我们已经发现在有些攻击事件中其运行时间被设置为30天。
谁是此次攻击的幕后主谋?
与Stuxnet是同一个幕后集团。很奇怪的是,他们看起来对天文学很有兴趣;在信息窃贼的可执行文件中包含了一个JPEG文件,是一张哈勃望远镜拍摄的照片(“相互作用的星系系统NGC6745”)。
目标系统中究竟是什么被盗取了?
当Duqu被激活后, Duqu的主程序会连接C&C服务器,从而下载更新和补充模块。其中一个模块就是Duqu“信息窃贼”,该程序的两种版本已被确认,而其它的版本也应该在一定时期内在不同阶段出现过。
“信息窃贼”模块会被下载到内存中并通过Stuxnet和Duqu所使用的进程注入技术执行,以避免创建临时文件。这么做的目的是为了确保“信息窃贼”(以及其它Duqu更新程序)不会被拦截或遗留在受感染设备中。这也意味着这些病毒程序的生命十分有限,基本上到下次系统重启时,程序生命期就结束了。
“信息窃贼”最强大的版本拥有拦截键盘输入的能力,能截取全屏图像(第一次)和活动窗口的图像,收集IE浏览器历史记录以及与系统网络配置相关的各种数据。除此之外,它还具有可以浏览网络共享的代码。所有这些信息被巧妙的压缩到一个文档中,并默认写入%TEMP%(临时)文件夹,成为格式为BZIP2的压缩文档,正是由于这种BZIP2的压缩,使得文档的体积比常规压缩小得多。
我们目前已知“信息窃贼”通常创建后缀名为“~DQx.tmp”的文件。除此之外,我们还发现其它名为“~DFxxxxx.tmp”和“~DOxxxxx.tmp”的文件。“DF”和“DO”具有相似的格式,可能是由早期版本的“信息窃贼”生成的。但他们还包含更多的信息,包括各种各样有关受感染PC的文件,如Word或Excel文档。由于额外的文件内容,“~DF”文件体积通常更大些。
在所有的情况中,通过内容为“ABh91AY&SY”的文件头就可以轻易识别这些文件。如果您在您的计算机中发现了这样的文件,那的计算机很可能已经被Duqu感染。如果您想要在您的系统中扫描此类文件,热心的CrySyS人员会为您提供一系列实用的工具。
有传闻说Duqu与Stuxnet的制造者是同一人,但也有传闻说Duqu和Stuxnet是分别由不同的人制造的。到底哪个才是事实?
Duqu与Suxnet有太多的相似之处。它们都采用了各种各样的加密密钥 - 包括一些在Duqu之前,还未曾公开过的密钥,注入技术,零日漏洞,以及使用偷来的证书做为其驱动程序进行签名。所有这些特点都让我们相信,两者由同一个团队制造。
那么,这究竟意味着什么呢?简言之,也许不同的人分别创建了Duqu和Suxnet,但是他们都是为同一个“机构”工作的。如果你想要找出它们的类似之处,那就是Duqu与Stuxnet都很喜欢Windows和Office,而这两个攻击对象均来自微软公司,当然,背后操作的人员并不一定相同。
Duqu与Showtime热播电视剧《嗜血判官》又有什么联系?
在我们分析的事件中,Duqu以Microsoft Word文档的形式潜入系统,而文档包含一个称为CVE-2011-3402漏洞探测程序。这是在win32k.sys中处理TrueType字体的功能的一个缓冲区漏洞。要针对该漏洞实施攻击,攻击者需要编制一种特别的TrueType字体,并将其植入到像Word这样的文档中。
有关这二者之间的联系,在我们分析的事件中(对于其它已知事件也适用),攻击者使用的字体大概被称为“嗜血判官标准版”,Showtime公司出品,(c) 2003。显然,这是Duqu创建者编造的另一个恶作剧。因为Showtime是一家有限广播公司,旗下出品的电视连续剧《嗜血判官》,讲述了一名CSI探员同时又是一名非法惩治罪犯的连环杀手的故事,该剧可以说是早期由Charles Bronson在《Death Wish》中所塑造角色的后现代版本。
那么,Duqu的创建者是否是对计算机恶意软件感兴趣的反社会连环杀手?
我们希望他们仅仅是《嗜血判官》的剧迷而已。
Stuxnet包含一个指向1979年5月9日的特殊变量,在这天,一名叫做Habib Elghanian的显赫犹太商人在德黑兰被一只行刑队处决。在Duqu中是否也有这样的日期?
有意思的是,Duqu中也发现了同样的内容。匈牙利CrySyS实验室是第一个指出Duqu中使用了0xAE790509的机构。在Stuxnet事件中,0x19790509这个整数被用来检测感染的情况。而在Duqu中,所使用的常量是0xAE790509。
我们尚未了解的是0xAE790509是否曾经在Stuxnet中被使用过。不管怎样,在Duqu出现之前,我们熟悉的各种公开分析报告没有涉及到这一方面。
在Duqu和Stuxnet中,还有很多地方使用到了常量0xAE。
最后,Duqu还使用了常量0xAE240682作为一种已知PNF文件解密程序中的一部分。