در تاريخ 14 اكتبر 2011 نمونه اي از يك كد مشكوك با ارتباطات بين المللي توسط لابراتوارهاي سيمانتك دريافت شد كه شباهت بسياري با كرم اينترنتي stuxnet (ژوئن 2010) داشت. اين حمله بنام W32.Duqu (ديوكيو) نامگذاري شد زيرا فايلهايي با پيشوند (~DQ) ايجاد مي كرد. اين حمله از يك سازمان اروپايي گزارش شده بود.
تحقيقات مشخص كرد كه اين حمله تقريباً مشابه stuxnet است اما با يك هدف كاملاً متفاوت .
Duqu لزوماً ممكن است يك مقدمه اي براي حملات مشابه stuxnet در آينده باشد. اين كد توسط همان كد نويسان stuxnet و يا افرادي كه به متن سورس stuxnet دسترسي داشته اند نوشته شده است و به نظر مي رسد بعد از كشف آخرين فايل stuxnet توسعه يافته است.
هدف Duqu جمع آوري اطلاعات و داراييهاي اطلاعاتي نهادهايي مانند سازندگان سيستم هاي كنترل صنعتي براي آماده سازي زمينه در حملات آتي به شركتهاي ثالث (3rd Party) است.
حمله كنندگان در جستجوي اطلاعاتي از قبيل مدارك طراحي هستند كه مي تواند آنها را در پياده سازي واجراي يك حمله گسترده برعليه تاسيسات كنترل صنعتي كمك نمايد.
Duqu هيچگونه كدي مرتبط با سيستم هاي كنترل صنعتي در درون خود حمل نمي كند و در نگاه اول يك تروجان دسترسي از راه دور (RAT) به نظر مي رسد. اين تهديد بصورت خود انتشار (self-replicate) نمي باشد. بازرسيهاي سيمانتك نشان داده است كه اين تهديد اصولا تعداد محدودي از سازمانها را با دارائيهايي ويژه هدف قرارداده است.
حمله كنندگان از Duqu به منظور نصب يك infostealer (سرقت كننده اطلاعات) استفاده مي كنند كه قابليت ضبط كليدهاي صفحه كليد و جمع آوري اطلاعات سيستمي را دارد.
Duqu شامل يك فايل درايور (راه انداز)، يك DLL (كه شامل تعداد زيادي فايل نهفته است) و يك فايل پيكربندي (configuration) است. اين فايل ها بايستي توسط يك فايل اجرايي ثانويه (installer) بر روي سيستم نصب شوند كه تا اين تاريخ اين فايل هنوز شناسايي نشده است.
فايل نصب كننده (installer) فايل درايور را تحت عنوان يك سرويس در سيستم عامل رجيستر كرده و در نتيجه اين سرويس در هر بوت اجرا مي شود. سپس درايور DLL اصلي را در فايل (services.exe) تزريق (inject) مي كند. از اين به بعد، DLL اصلي وظيفه extract (بازگشايي) ساير اجزاي نهفته در خود را به عهده مي گيرد و آنها را در ساير پروسس ها تزريق مي كند.
دو نوع مختلف از Duqu مشاهده شده است: كه فايلهاي راه انداز يكي از اين دو نوع داراي يك امضاي ديجيتال معتبر بود كه در تاريخ 2 آگوست 2012 باطل مي شد. اين گواهي ديجيتال به يك شركت با منشأ Taipei در تايوان مربوط بوده است كه اين گواهي در تاريخ 14 اكتبر 2011 ساقط شد.
Duqu از پروتكهاي HTTP و HTTPS به منظور برقراري ارتباط با سرور كنترل كننده به آدرس 206.X.X.97 (در كشور هند) استفاده مي كند. در خلال اين برقراري ارتباط، حمله كنندگان قادر بودند كه فايلهاي اجرايي مشابه و يا اضافي را دانلود كنند كه قابليت انجام اموري مانند ضبط كليدهاي صفحه كليد، جمع آوري اطلاعات سيستمي و يا شناسايي شبكه را داشته باشند. اين اطلاعات بصورت محلي (local) بر روي سيستم آلوده بصورت فشرده و كدگذاري شده ذخيره مي شوند و سپس خارج مي گردند.
اين تهديد از يك پروتكل انحصاري جهت اجراي دستورهاي كنترلي، دانلود و آپلود استفاده مي كند. درزمان دانلود / آپلود فايلهاي در حال انتقال بصورت فايلهاي تصويري (jpg) منتقل مي شوند.
علاوه بر انتقال فايلهاي اطلاعاتي بصورت تصوير(jpg)، اطلاعات بيشتري نيز از سيستم استخراج شده و بصورت كدگذاري شده ارسال و يا دريافت مي شوند.
در نهايت تهديد به نحوي پيكربندي شده است كه فقط به مدت 36 روز فعال باشد، و بعد از آن تهديد بصورت خودكار از سيستم پاك مي شود.
Duqu و Stuxnet در متن كد مشابهت زيادي دارند ولي داراي payload كاملاً متفاوتي هستند. برخلاف Stuxnet كه بمنظور صدمه به سيستم كنترل صنعتي طراحي شده بود در Duqu هدف بدست آوردن دسترسي از راه دور است.
Duqu شامل سه فايل اصلي است :
- يك درايور (راه انداز)
- يك DLL اصلي
- يك فايل پيكربندي
در داخل فايل DLL اصلي يك منبع به نام 302 وجود دارد كه در حقيقت يك DLL ثانويه است.
جداول زير مشخصات اين فايلها را در دونوع شناخته شده نشان مي دهند :
علاوه بر اين، يك سرقت كننده اطلاعات (infostealer) از سيستم آلوده كشف شد كه بنظر مي رسد توسط Duqu و از طريق سرور كنترل كننده بر روي سيستم آلوده دانلود شده است:
معماري اجزاي تشكيل دهنده :
تهديد در زمان بوت سيستم و توسط يك درايور (JMINET7.SYS يا CMI4432.SYS) شروع مي شود. سپس درايور DLL اصلي (CMI4432.PNF يا NETP191.PNF) را در (Services.exe) تزريق مي كند. سپس DLL اصلي با استفاده ازفايل پيكربندي (CMI4432.PNF يا NETP192.PNF) فايل جاسازي شده درخود را (resource 302) بازگشايي (extract) مي كند.
(resource 302) يك DLL است كه حاوي ساير قستمهاي جاسازي شده (.zdata) است كه كليه قابليتهاي تهديد را پياده سازي و اجرا مي كند.
دياگرام ذيل ارتباط بين اجزاي تشكيل دهنده را نشان مي دهد :
در خاتمه جدول مقايسه دو تهديد Duqu و Stuenet بصورت خلاصه ارائه مي شود:
فهرست منابع :
[EsetMicroscope] Stuxnet Under the Microscope – ESET
http://www.eset.com/resources/white?papers/Stuxnet_Under_the_Microscope.pdf
[Chappell 2010] Chappell, Geoff. The MRXCLS.SYS Malware Loader . October 14. 2010.
http://www.geoffchappell.com/viewer.htm?doc=notes/security/stuxnet/mrxcls.htm
[SymantecDossier] Symantec, W32.Stuxnet Dossier, v. 1.2
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf
[ThabetMrxCls] MrxCls –Amr Thabet: Stuxnet Loader Driver
[LangnerCSM] Csmonitor, Mark Clayton, Ralph Langner. From the man who discovered Stuxnet, dire warnings one year later
http://www.csmonitor.com/USA/2011/0922/From-the-man-who-discovered-Stuxnet-dire-warnings-one-year-later/%28page%29/1
