Тайна Duqu: часть десятая

В конце прошлого года авторы Duqu попытались уничтожить все следы своей деятельности. Как мы знаем, были очищены все серверы, которые они использовали как минимум с 2009 года.

В 2012 никаких признаков Duqu в Сети не обнаруживалось. Но несколько дней назад коллеги из Symantec сообщили об обнаружении в «дикой природе» нового драйвера, практически аналогичного тем, которые ранее использовались в Duqu. Однако известные ранее драйверы были созданы 3 ноября 2010 и 17 октября 2011 года, а новый драйвер — 23 февраля 2012 года.

После четырех месяцев перерыва авторы Duqu вновь вернулись к работе.

Duqu вернулся

Новый драйвер Duqu совпадает по функциональности с предыдущими известными нам версиями. Отличия в коде незначительные, но свидетельствуют о проделанной «работе над ошибками», направленной на противодействие детектированию файла.

  • Изменены настройки оптимизации компилятора и/или атрибуты разворачивания (inline) функций.
  • На 32 байта увеличен размер EXE файла-заглушки, который используется для внедрения PNF DLL в процессы.
  • В LoadImageNotifyRoutine сравнение имени модуля “KERNEL32.DLL” производится сравнением хеш-сумм; предыдущие версии сравнивали строки.
  • Размер зашифрованного блока увеличен с 428 байт до 574 байт. Количество полей в блоке не изменилось, но при этом увеличен буфер, в котором хранится имя значения реестра «FILTER». Скорее всего, в этой версии драйвера это имя будет меняться.
  • Изменилась функция расшифровки крипто-блока, ключа реестра и PNF. Это третья известная нам версия алгоритма шифрования в драйверах Duqu.
  • Изменилась функция хеширования API функций, соответственно, и все хеши, которые используются для получения их адресов.

Старая функция, используемая во всех предыдущих версиях драйвера:

Новая функция:

То, что данный драйвер был обнаружен в Иране, еще раз подтверждает, что большинство инцидентов Duqu связано с этой страной.

Количество инцидентов

Всего, основываясь на наших данных и данных, полученных от коллег из Symantec, мы зафиксировали 21 инцидент Duqu.

Некоторые из модификаций Duqu, которые будут описаны ниже, несмотря на разные файлы, были обнаружены в ходе расследования одних и тех же инцидентов. Соответственно, такие модификации мы объединяли в один инцидент.

В нескольких инцидентах нами не были обнаружены основные модули Duqu, однако мы нашли файлы, создаваемые шпионским модулем в ходе работы – такие как “~DQ”, “~DF”, “~DO” и т.п. Еще о нескольких инцидентах нам стало известно в ходе анализа информации, полученной нами с захваченных серверов управления Duqu. Такие инциденты также включены в общее число зафиксированных.

Большинство жертв Duqu находится в Иране.

Географическое распределение инцидентов Duqu

Анализ деятельности организаций-жертв и характер информации, интересовавшей авторов Duqu, свидетельствует, что основной целью атакующих в иранских инцидентах была любая информация о системах управления производством в различных отраслях промышленности Ирана, а также информация о торговых отношениях ряда иранских организаций.

Несомненно, что число атакованных Duqu больше, однако мы полагаем, что оно вряд ли превышает несколько десятков.

Известные модификации Duqu

Информация обо всех известных нам модификациях Duqu приведена в таблице. Зеленым цветом выделены файлы, которые имеются у нас. Красным – те, которые так и не были обнаружены. В ряде случаев мы знаем, какие должны были быть имена и размеры у отсутствующих файлов.

# File name Size Date Country 1st level C&C 2nd level C&C Discovered by
a cmi4432.sys 29568 03.11.2010 Hungary India Philippines Crysys
cmi4432.pnf 192512 17.07.2011
cmi4463.pnf
b jminet7.sys 24960 03.11.2010 Hungary India Philippines Crysys
netp191.pnf 232448 04.11.2010
netp192.pnf
c igdkmd16b.sys 25088 03.11.2010 Iran Vietnam Germany Kaspersky
netp794.pnf 232448 16.02.2011
netq795.pnf
c2 igdkmd16b.sys 25088 17.10.2011 Iran Vietnam Germany Kaspersky
netp794.pnf 240640 18.10.2011
netq795.pnf
d iraid18.sys 24960 Iran Kaspersky
ird18.pnf
ird182.pnf
e e1g61i32.sys 24960 03.11.2010 Sudan Kaspersky
e1g62i32.pnf 192512
e1g61i32.pnf
f adp95xx.sys 24960 03.11.2010 Sudan Netherlands South Korea Kaspersky
adp95xx.pnf 248320 17.04.2011
adp96xx.pnf
g bpmsg.sys 24832 Iran Kaspersky
main pnf unknown
config pnf unknown
h allide1.sys Europe Belgium ? Symantec
iddr021.pnf 232448 04.11.2010
iddr022.pnf
i nfrd965.sys 24960 17.10.2011 Austria/Indonesia? Vietnam ? VirusTotal/Symantec
netf1.pnf 240640 18.10.2011
netf2.pnf
i2 nfrd965.sys 24960 03.11.2010 Austria/Indonesia? Symantec
j iastor451.sys 24960 03.11.2010 South Korea? VirusTotal
main pnf unknown
config pnf unknown
k adpu321.sys 24960 17.10.2011 UK VirusTotal
main pnf unknown
config pnf unknown
k2 adpu321.sys 24960 03.11.2010 ? systemexplorernet
main pnf unknown
config pnf unknown
l jminet1.sys 24960 03.11.2010 Iran Kaspersky
netq793.pnf
netq794.pnf
m ql50xx.pnf 24960 03.11.2010 Sudan Kaspersky
main pnf unknown
ql50xz.pnf
n battd.sys 24960 03.11.2010 Iran Kaspersky
battd771.pnf
battd772.pnf
o mcd9x86.sys 24320 23.02.2012 Iran Symantec
main pnf unknown
config pnf unknown

Таким образом, общее число имеющихся у нас драйверов составляет 14, включая один с цифровой подписью (cmi4432.sys), при этом нам известно о существовании еще 4 драйверов, которые не были обнаружены.

Основных модулей Duqu (main pnf) в нашем распоряжении 7. Они взаимодействуют с пятью различными серверами первого уровня, которые уже закрыты в результате действий нашей компании и компании Symantec. Кроме того, были закрыты некоторые из серверов второго уровня.

Заключение

Возвращение Duqu в феврале 2012 года, после 4 месяцев затишья, говорит о том, что наши изначальные предположения были правильными. Когда в проект инвестировано столько средств, сколько их было инвестировано в разработку Duqu и Stuxnet, невозможно просто взять и прекратить операцию. Вместо этого киберпреступники сделали то же, что делали всегда – изменили код так, чтобы обойти детектирование, и продолжили атаки.

При менее чем пятидесяти жертвах по всему миру, Duqu остается самым загадочным троянцем из всех, когда-либо обнаруженных. Его нацеленность на Иран указывает на наличие у его хозяев четкого и ясного плана постоянных атак. Сложность и многослойные уровни защиты троянца показывают, насколько важно для этого проекта оставаться незамеченным. Можно предположить, что в дальнейшем платформа “Tilded” будет развиваться именно в этом направлении.

Постинги на схожие темы 

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *