image

Moederschip Duqu-malware nog steeds spoorloos

donderdag 20 oktober 2011, 14:21 door Redactie, 2 reacties

Onderzoekers hebben nog steeds geen idee hoe de zeer geavanceerde Duqu-malware zich verspreidt, en of deze "Stuxnet-voorganger" ook zero-day beveiligingslekken gebruikt. Symantec onthulde dinsdagavond het bestaan van de supermalware, die door hetzelfde team is ontwikkeld als de makers van de Stuxnetworm, door velen omschreven als de meest complexe malware tot nu toe waargenomen. Volgens Symantec probeerde Duqu informatie over industriële systemen te verzamelen, om later een Stuxnet-achtige aanval mogelijk te maken.

McAfee liet in een eigen verslag over de malware weten dat Certificate Authorities het werkelijke doelwit waren. Het Russische anti-virusbedrijf Kaspersky Lab merkt op dat hier nog geen aanwijzingen voor zijn, maar dat de malware in principe alles op een systeem kan stelen. Wel is het duidelijk dat Duqu geen PLC (Programmable Logic Controllers) en SCADA (supervisory control and data acquisition) apparatuur kan infecteren.

Industrie
Beveiligingsonderzoeker Ralph Langner, die uitgebreid onderzoek naar de Stuxnetworm deed, ligt dan ook niet wakker van Duqu, aangezien het geen controlesystemen infecteert. Ook Dale Peterson van Digital Bond ziet dit keer een splitsing tussen anti-virusbedrijven en de industrie. "Voor een organisatie zoals Symantec, lijkt Duqu op Stuxnet, omdat de manier waarop het computers infecteert hetzelfde is." Voor veel ICS-partijen (Industrial Control Systems) lijkt het helemaal niet op Stuxnet, omdat het geen PLC of processen aanvalt.

Kaspersky Lab zette een uitgebreide FAQ over de malware online. Daarin staat dat er alleen nog sporen van besmette systemen zijn aangetroffen, maar niet het onderdeel waardoor de malware het systeem infecteert. "Het lijkt erop dat er een dropper is, een 'moederschip' voor Duqu, die computers infecteert. Hiervan hebben we nog geen exemplaar."

Niemand zou deze dropper al hebben gevonden. "Dat is de eerste link in de infectieketen, verantwoordelijk voor zowel de driver als DLL-installatie. Dit bestand is mogelijk een worm die verschillende exploits gebruikt."

Zero-day
Ook is het nog onbekend of de malware zich via zero-day lekken verspreidt. Stuxnet gebruikte vier zero-day kwetsbaarheden in Windows. "Maar het onderzoek loopt nog. De kwaadaardige code is behoorlijk complex en de analyse neemt veel tijd in beslag." De eerste publieke melding over Duqu is afkomstig van een Hongaarse blogger, die mogelijk ook besmet is. Hij plaatste informatie over certificaat online waarmee de driver is gesigneerd. Uiteindelijk verwijderde deze blogger het bericht. Kasperksy plaatste geen link naar het blog, maar in de Google cache is die nog te vinden.

Deze blogger werkt zeer waarschijnlijk voor Data Contact, een Hongaarse internetprovider/hoster en Certificate Authority in Boedapest. Waarschijnlijk vond het bedrijf de met Duqu-besmette bestanden op de eigen computers of die van een klant. Eén bedrijf in Hongarije zou doelwit van de malware zijn, maar vanwege het onderzoek moet de naam nog geheim blijven. Een tweede variant van de Duqu-driver werd ook naar VirusTotal gestuurd en is waarschijnlijk ook uit Hongarije afkomstig. Verdere bestanden werden vanuit Indonesië, Oostenrijk en Groot-Brittannië verstuurd.

Stuxnet
Net als voor F-Secure staat het ook voor Kaspersky Lab vast dat de Stuxnet-makers achter de malware zitten. "Opmerkelijk genoeg lijken ze in astronomie geinteresseerd te zijn; het uitvoerbare bestand van de infostealer heeft een gedeelte van een JPEG-bestand dat door de Hubble telescoop is gemaakt." Nadat de virusbestrijder de modules van de malware aan de virusscanner toevoegde, werd er wereldwijd slechts één infectie gevonden, zo blijkt uit deze analyse. Welk land het is wil de virusbestrijder niet zeggen, maar het zou om een zeer specifiek land gaan.

Volgens het Roemeense anti-virusbedrijf BitDefender is Duqu helemaal geen "zoon" van Stuxnet en is het ook niet door hetzelfde team gemaakt. Stuxnet zou namelijk voor militaire sabotage zijn gebruikt, terwijl Duqu een ander doel heeft. Daarnaast komt het hergebruik van code voor. De Stuxnet-rootkit zou maanden geleden al gereverse engineered zijn, waarbij de code op het internet is te vinden. Deze code heeft nog wel wat werk nodig merkt BitDefender op, maar een ervaren malwaremaker zou het als inspiratie kunnen gebruiken. De virusbestrijder zette deze tool online om de malware te verwijderen.

Exemplaren van de malware zijn verkrijgbaar via beveiligingsonderzoekster Mila Parkour

Reacties (2)
20-10-2011, 18:38 door [Account Verwijderd]
[Verwijderd]
20-10-2011, 23:28 door bulldog
yep bij mij ook niet !
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.