image

Mysterieuze taal Duqu-virus geïdentificeerd

maandag 19 maart 2012, 15:26 door Redactie, 13 reacties

Met behulp van programmeurs is de mysterieuze programmeertaal van het Duqu-virus geïdentificeerd. Op 7 maart stelde het Russische anti-virusbedrijf Kaspersky Lab dat het supervirus, ontwikkeld om bij een zeer select aantal organisaties gevoelige gegevens te stelen, deels met een onbekende programmeertaal was gemaakt. Het ging om de aanwezigheid van een onbekend codefragment binnen een gedeelte van de payload-DLL van dit kwaadaardige programma.

Het gedeelte met onbekende code, dat het "Duqu Framework" wordt genoemd, vormde een onderdeel van de payload-DLL die verantwoordelijk was voor de communicatie met de Command & Control (C&C)-servers nadat het Trojaanse paard de computer van een slachtoffer had geïnfecteerd. Aangezien de analisten van de Russische virusbestrijder de programmeertaal niet herkenden, werd er een beroep op de gemeenschap van programmeurs gedaan.

Dankzij de feedback stellen analist "met een hoge mate van zekerheid" vast dat het Duqu Framework uit "C"-broncode bestaat. Deze code is gecompileerd met Microsoft Visual Studio 2008 en bevat speciale opties voor het optimaliseren van de codeomvang en inline uitbreiding. De code werd daarnaast geschreven met een aangepaste extensie die in de meeste gevallen "OO C" wordt genoemd en het mogelijk maakt om objectgeoriënteerd programmeren te combineren met C.

Geavanceerd
Dit type intern ontwikkelde programmatuur is uiterst geavanceerd en wordt normaliter aangetroffen binnen complexe ‘civiele’ softwareprojecten in plaats van moderne malware. Hoewel er geen eenvoudige verklaring is voor het feit dat het Duqu Framework gebruikmaakte van OO in plaats van C++, zijn er volgens Kaspersky Lab twee mogelijke redenen aan te wijzen. Ten eerste meer controle over de code.

Toen C++ werd gepubliceerd, besloten veel ‘old school’ programmeurs om deze taal te vermijden vanwege twijfels over de geheugentoewijzing en andere obscure functies die ervoor zorgen dat code op indirecte wijze wordt uitgevoerd. OO C zou een betrouwbaarder framework bieden met minder kans op dergelijk onverwacht gedrag.

De andere mogelijkheid is de hoge overdraagbaarheid: Zo’n 10 tot 12 jaar geleden was C++ nog niet volledig gestandaardiseerd, waardoor de kans bestond dat de code van deze taal niet compatibel was met elke compiler. Het gebruik van C biedt programmeurs een uiterst hoge mate van overdraagbaarheid, omdat deze taal op elk gewenst moment ondersteuning biedt voor elk bestaand platform, zonder gebukt te gaan onder de beperkingen van C++.

Old school
"Deze twee verklaringen doen vermoeden dat de code is geschreven door een team van ervaren ‘old school’ ontwikkelaars die een aangepast framework wilden creëren ter ondersteuning van een uiterst flexibel en aanpasbaar aanvalsplatform. De kans bestaat dat deze code voor eerdere cyberaanvallen is gebruikt en vervolgens is aangepast voor integratie in de Duqu Trojan", aldus malware-expert Igor Soumenkov.

"Maar één ding is zeker: deze technieken worden normaliter gebruikt door softwareontwikkelaars die tot de elite behoren, en worden vrijwel nooit aangetroffen in de malware die momenteel in omloop is."

Reacties (13)
19-03-2012, 15:49 door Anoniem
Zou het niet ook "gewoon" Objective-C kunnen zijn?

Dat is zo links en rechts nog behoorlijk in gebruik
(http://developer.apple.com/library/mac/#documentation/Cocoa/Conceptual/ObjectiveC/Introduction/introObjectiveC.html)
Er zijn fix wat libraries voor en zo te zien aan artikeltjes als deze
http://jayes-dev.blogspot.com/2010/12/asynchronous-downloadrequest-with.html
ook geschikt voor asynchrone (socket) communicatie.

Vraag me dus af waar de "old skool" in deze vandaan komt.
Want een "C" compiler met alle optimalisatie registers open, zal er inderdaad al snel
voor kiezen om een willekeurige, dus ook een this-, pointer in registers te stoppen
die voor addressering/indirectie gebruikt kunnen worden.
Wat het er al snel ingewikkelder laat uitzien dan het eigenlijk is.
19-03-2012, 15:52 door Jvds1987
hmmmm... klinkt als een flink gefinancierde en georganiseerde actie .... Pentagon ? China? Iran ter vergelding van stuxnet ?
hier zit duidelijk meer achter dan een paar script kiddies die n weekend over hadden....
19-03-2012, 16:02 door Anoniem
Door St0n3D: hmmmm... klinkt als een flink gefinancierde actie .... pentagon ? China? Iran ter vergelding van stuxnet ?
wie t weet mag t zeggen :P

Of gewoon een stelletje werkloze hackers met teveel vrije tijd.
19-03-2012, 16:10 door Anoniem
Door St0n3D: hmmmm... klinkt als een flink gefinancierde en georganiseerde actie .... Pentagon ? China? Iran ter vergelding van stuxnet ?
hier zit duidelijk meer achter dan een paar script kiddies die n weekend over hadden....

Lol, er zijn er wel meer.
Ze worden niet perse in die landen gemaakt ;-)?
19-03-2012, 17:04 door [Account Verwijderd]
[Verwijderd]
19-03-2012, 19:56 door Security Scene Team
Door Peter V: Dat vermoeden van mij is dus nu wel bevestigd.

Dit is geen scriptkiddy-troep, maar zeer professioneel programmeerwerk.

No offence, maar kom je daar nu pas achter?
19-03-2012, 20:00 door Security Scene Team
Door St0n3D: hmmmm... klinkt als een flink gefinancierde en georganiseerde actie .... Pentagon ? China? Iran ter vergelding van stuxnet ?
hier zit duidelijk meer achter dan een paar script kiddies die n weekend over hadden....

er is een interview geweest met een Oud CIA baas die onder het bush regime diende,
hij deed wel erg vaag wat mijn vermoeden heeft gesterkt dat amerika er achter zit (en israel)..

A: hij verteld wel veel over het virus, (en team) maar hij kon niet te veel in details treden omdat hij met een geheimhoudings protocol te maken heeft. (VREEMT..)

B: liegen is niet hun sterkste vak.

Lmfao

P.S. Dit is het filmpje waar ik het over heb, kijk en oordeel zelf ;)

http://www.youtube.com/watch?v=oCQqmV1LWDo
19-03-2012, 21:16 door Anoniem
ben ik al zo oud? Paar maanden terug nog wat in C geschreven. ach ja 36 is ook al eg oud
19-03-2012, 22:57 door Anoniem
Dat filmpje klinkt verdacht veel als toen ze Irak beschuldigden van massa vernietigings wapens die er natuurlijk niet waren.

Creeer een vijand en je krijgt de massa achter je om een hoop regels door te voeren.
Sheople :)
20-03-2012, 09:49 door User2048
C is tegenwoordig een mysterieuze, onbekende taal? Ik wordt zeker oud...

*User2048 heeft in een lichtgrijs verleden ook bits en bytes lopen schuiven in "oldskool" C*
20-03-2012, 10:43 door Anoniem
Main{
printf("Welcome World/n");
}


36 klinkt voor mij heel jong.

Old skool C programmeur / hacker, hier die duizend jaar geleden naar de white side is overgestapt.

Wat ik constateer en dat is ansich logisch dat de oude generatie ICTérs met pensioen gaat en een nieuwe generatie ICTérs hun plaats innemen maar de voor mij logische basiskennis missen anderzijds hoeven die ook weer niet alles te weten met die huidige geavanceerde visual compilers.

En die technieken waar ze het over hebben dat valt wel mee.

Je moet dit zien t.o.v. de kennis vd onderzoeker. Ook de onderzoekers zijn veelal van de nieuwe stempel. Een logisch gevolg wat niets zegt over het IQ v.d. onderzoekers als wel dat er kennis mist op bepaalde gebieden ..eenvoudig weg omdat ze dit nooit op school gehad hadden.

Dit is een aanzienlijk risico voor de huidige ICT.

Het overzicht, raakt kwijt.


elite..haha
20-03-2012, 14:30 door Jvds1987
Door Security Scene Team:
Door St0n3D: hmmmm... klinkt als een flink gefinancierde en georganiseerde actie .... Pentagon ? China? Iran ter vergelding van stuxnet ?
hier zit duidelijk meer achter dan een paar script kiddies die n weekend over hadden....

er is een interview geweest met een Oud CIA baas die onder het bush regime diende,
hij deed wel erg vaag wat mijn vermoeden heeft gesterkt dat amerika er achter zit (en israel)..

A: hij verteld wel veel over het virus, (en team) maar hij kon niet te veel in details treden omdat hij met een geheimhoudings protocol te maken heeft. (VREEMT..)

B: liegen is niet hun sterkste vak.

Lmfao

P.S. Dit is het filmpje waar ik het over heb, kijk en oordeel zelf ;)

http://www.youtube.com/watch?v=oCQqmV1LWDo


Dat is ook waarom ik Pentagon aangaf, wat hij zegt is dat ALS Amerika en/of Israel iets van stuxnet afweet dit zou moeten zijn goedgekeurd door het Pentagon.

overigens beticht ik niemand ergens van hoor ! laat dat ff voorop staan :P wat ik noemde kwam in me op maar beschuldig niemand ;)
20-03-2012, 21:43 door Anoniem
Een paar dagen geleden was het nog oh zo bijzonder. Er was een virus door een bijzondere compiler en een bijzondere taal ontwikkeld, heel geavanceerd allemaal.

Ok het was een oude visual C compiler.
Het was gewoon good old C.
Het was C gebruikt met een library.

Onderzoekers hadden jullie een bord voor jullie kop???
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.