Силен Д уку очень
Легальные цифровые подписи
·1
1 -~ "i§.
!..-.• ; ·-
~-~ ь,. .?J
Модульная архитектура
да
да
Внедрение в SСАDА-системы
да
нет
н ет
да
да
да
да
нет
rМодуль-кейлоггер Обход антивирусной защиты
lен -- r==:::: .
1
1
r:::-1-,---'--;
Использованиеуязвимастей
1-day
Использование уязвимастей
0-day
Внедрение в системные процессы
1
~ И<non""'"" RPC-np""'"' Хранение модулей в секции ресурсов
Рис .
Использование методологии ООП
11. RPC в Duqu
жени я с учетом ко нф игура ционны х данных др о пп ера. Один набор
Обработка ошибок (в том числе и в шеллкоде)
сэмплов, который имелся в нашем распоряжении , также должен был удалиться через
36 дней,
а вот второй - уже через
30 . Конфи 11.08.2011, системе 36
Высокая стабильность кода
да
гурационный файл, в ко т ором указаны дата заражения его время
7:50 :01
и п ерио д су щ ествова ни я троя нц а в
дней, представлен н а рисунке 9, а конфигурационный файл с датой
18.08.20 11 , временем 7:29:07 RРС-ПРОТОКОЛ
и пери о дом
30 дней-
на рисунке
10.
Использование компилятора
Использование библиотеки шаблонов Использование упаковщика
DUQU VS STUXNET
Особенности реализации RРС-протокола е щ е раз подтв ерж дают
Visual С++
Функциональность
да
ATL
да
UPX
да
Stuxnet vs. Duqu
сходство кода Duqu и St uxnet. RРС-прот окол пр едставляе т собой одну из сам ы х интересных частей Stuxnet. В Duqu это т nротокол , который nодробно о пи са н в нашем исследовании <<Stuxne t undeг
RpcHandler_ '- запускает процесс п осредством вызова
the Mi cгoscope» lстр.
CгeatePгocessll;
56-57),
ре ализован н е nолностью. Пр оа нали
зировав реализацию локальной части пр отоко л а RPC в о дн ом из
RрсНаndlег_S -читает содержимое указа н ного файла (например,
комnоне нт ов Duqu и сравнив дв е основные проц едуры в BinDiff, мы
кон фига);
получили интересные результаты !рисунок
RрсНаndlег_6 -записывает данные в указанный файл;
11).
Код оказался практически идентичным, за исключением н есу
RрсНаndlег_7- удал яетуказанный файл из системы.
щественных артефактов, которые nоявились после его рекомпиля
Д екомп илиров ан ный ко д обработчика, кото рый возвращает
ции в сос таве Duqu . Сам RPC имеет сле д ую щий функционал:
RpcHandler_1- возвращаетустановленную вер с ию; RpcHandler_2 - вы п о лняет инж ект модуля в указанный
н омер версии, представлен н а рисунке проц есс и
12.
И с п о ль зова ни е RРС - про ток ол а п озво ля ет троянцу оставаться
вызываетуказанную функцию экспорта;
незамеченным и н е вызывать подозрений со стороны разли ч н ого
RрсНаndlеr_З- загружает модуль и выполняет его с точки входа;
защитного ПО .
ЗАЧЕМ ЭТО ВСЕ? В рамках одн ой статьи не представляется во з можным рассказать обо всех технических нюансах этой вредоносной пр ог рамм ы-один
наш а н алити ч еский отчет по Stuxnet за нял более
80
страниц: ) ,
поэтому в завершение я предлагаю тебе за д аться вечным философ ским во пр осом <<зачем?>>. Уже н и для кого н е секре т, что многие г осударс тв а формирую т с п е ци ал ьны е военные подразделения для соз дания сре д ств
нападения в киберпространстве. Разрабатываются доктрины, регламентирующие п осле дов атель но сть де йс твий во время
кибервойны. Во зможно, что история со Stuxпet, а т е п е рь и с Duqu представляет собой как раз результат работы о дн ого из таких вот подразделе ний . Сейчас сложно сказать, какова истинная цель и предназначение Duqu, т ак как в этой истории еще слишком много белых пятен, тем более что функционал этой вредоносной про граммы може т различаться для разных целей , а дополнительно за гружаемьrе модули расширяют ее возможности. Н а данный момент также обнаружен мо д уль -к ейлоггер, который устанавливался на некоторые зараженные машины . Но это уже тема для отд ельной статьи, а те , к т о хотят разобраться во всем самостоятельно, смогут Рис .
12. Декомпилированный
ХАКЕР
01 /156/2012
код обработчика, который возвращает номер версии
найти некоторые ком п оне нты Duqu в Сети. ::Х:
www.epidemz.net
083