Son
of Stuxnet Found in the Wild on Systems in Europe
- By Kim Zetter October 18, 2011, 3:54 pm |
- Categories: Stuxnet
Bài được đưa lên
Internet ngày: 18/10/2011
Lời
người dịch: Theo hãng Symantec, thì họ đã tìm ra Stuxnet
con, dù rất giống nhưng cũng có những điểm khác biệt
so với Stuxnet từng bị phát hiện ra hơn 1 năm trước
trong các cuộc tấn công nhằm triệt hạ chương trình hạt
nhân của Iran, phần mềm độc hại này có tên là Duqu.
Duqu lấy chứng thực số của một công ty Đài Loan là C-
Media Electronics Incorporation để giả như là phần mềm hợp
pháp để gây lây nhiễm trong các lĩnh vực hạ tầng sống
còn và sản xuất. Còn nhiều điều Symantec còn đang
nghiên cứu về nó, nhưng hãng đã đưa ra những tài liệu
đầu tiên về Duqu ở
đây. Như một sự đương nhiên, Duqu chỉ dành riêng
cho các máy tính chạy Windows!!!
Nhiều hơn 1 năm một
chút sau khi sâu Stuxnet phá hủy hạ tầng đã được phát
hiện trong các hệ thống máy tính tại Iran, một mẩu mới
phần mềm độc hại có sử dụng cùng y hệt các kỹ
thuật đã được tìm thấy lây nhiễm các hệ thống tại
châu Âu, theo các nhà nghiên cứu tại hãng an ninh Symantec.
Phần mềm độc hại
mới này, gọi là “Duqu” [dü-kyü], chứa các phần gần
như y hệt Stuxnet và dường như được viết với cùng
các tác giả đứng đằng sau Stuxnet, hoặc ít nhất ai đó
đã có được sự truy cập trực tiếp tới mã nguồn của
Stuxnet, Liam O Murchu nói. Ông là một trong những chuyên gia
hàng đầu về Stuxnet, người đã giới
thiệu phân tích bao quát về sâu đó với 2 đồng nghiệp
của Symantec vào năm ngoái và đã đưa
ra một tài liệu chi tiết phân tích Duqu tới nay.
Duqu, giống như
Stuxnet, tự ngụy trang bản thân như mã nguồn hợp pháp
có sử dụng một tệp trình điều khiển được ký bằng
một chứng thực số hợp lệ. Chứng thực này thuộc về
một công ty có trụ sở ở Đài Loan, mà Symantec đã từ
chối xác định. F-Secure, một hãng an ninh nằm ở Phần
Lan, đã xác định công ty Đài Loan này là C- Media
Electronics Incorporation. Chứng thực này đã được thiết
lập hết hạn vào ngày 02/08/2012, nhưng các nhà chức
trách đã loại bỏ nó hôm 14/10, ngay sau khi Symantec đã
điều tra được phần mềm độc hại này.
A
little more than one year after the infrastructure-destroying Stuxnet
worm was discovered on computer systems in Iran, a new piece of
malware using some of the same techniques has been found infecting
systems in Europe, according to researchers at security firm
Symantec.
The
new malware, dubbed “Duqu” [dü-kyü], contains parts that are
nearly identical to Stuxnet and appears to have been written by the
same authors behind Stuxnet, or at least by someone who had direct
access to the Stuxnet source code, says Liam O Murchu. He’s one of
the leading experts on Stuxnet who produced
extensive analysis of that worm with two of his Symantec colleagues
last year and has posted
a paper detailing the Duqu analysis to date.
Duqu,
like Stuxnet, masks itself as legitimate code using a driver file
signed with a valid digital certificate. The certificate belongs to a
company headquartered in Taipei, Taiwan, which Symantec has declined
to identify. F-Secure, a security firm based in Finland, has
identified the Taipei company as C-Media Electronics Incorporation.
The certificate was set to expire on August 2, 2012, but authorities
revoked it on Oct. 14, shortly after Symantec began examining the
malware.
Mã nguồn mở không
tự nhân bản được để tự lan truyền - và vì thế
không phải là một sâu. Nó cũng không chứa một tải phá
hủy để gây hại cho phần cứng như cách mà Stuxnet đã
làm. Thay vào đó, nó dường như là một điềm báo trước
sẽ có một cuộc tấn công giống Stuxnet, được thiết
kế để tiến hành trinh sát trong một hệ thống kiểm
soát công nghiệp còn chưa được rõ và thu thập tình báo
mà có thể sau này được sử dụng để tiến hành một
cuộc tấn công có chủ đích.
“Khi chúng tôi đã
nói về Stuxnet trước đó, chúng tôi đã mong đợi đã có
thành phần khác của Stuxnet mà chúng tôi đã chưa thấy
nó thu thập các thông tin về cách mà nhà máy đã được
bày ra”, O Murchu nói. “Nhưng chúng tôi đã chưa từng
thấy bao giờ một thành phần như thế này [trong Stuxnet].
Đây có thể là thành phần đó”.
Mặc dù Duqu đã được
tạo ra sau Stuxnet đôi chút, thì thành phần tương tự như
nó có thể đã được những kẻ tấn công Stuxnet sử
dụng để thu thập tình báo cho tải trọng [phá hủy] của
nó.
Duqu dường như đã
làm việc được ít nhất 1 năm. Dựa vào ngày tháng trong
các tệp nhị phân đã được biên dịch, Symantec nói các
cuộc tấn công có sử dụng phần mềm độc hại có thể
đã được tiến hành vào đầu tháng 12/2010, khoảng 5
tháng sau khi Stuxnet đã bị phát hiện, và khoảng 18 tháng
sau khi Stuxnet đã được tin tưởng có được tung vào lần
đầu trên các máy tính tại Iran.
“Điều ngạc nhiên
thực sự cho chúng tôi là những người này vẫn đang
hoạt động”, O Murchu nói. “Chúng tôi nghĩ những người
này có thể đã ra đi sau khi tất cả công khai xung quanh
Stuxnet. Điều đó rõ ràng không phải thế. Họ rõ ràng
đã và đang hoạt động suốt năm ngoái. Hoàn toàn giống
như là thông tin họ đang thu thập được là sẽ được
sử dụng cho một cuộc tấn công mới. Chúng tôi hoàn
toàn sốc khi chúng tôi thấy điều này”.
The
new code does not self-replicate in order to spread itself — and is
therefore not a worm. Nor does it contain a destructive payload to
damage hardware in the way that Stuxnet did. Instead, it appears to
be a precursor to a Stuxnet-like attack, designed to conduct
reconnaissance on an unknown industrial control system and gather
intelligence that can later be used to conduct a targeted attack.
“When
we talked about Stuxnet before, we expected there was another
component of Stuxnet we didn’t see that was gathering information
about how a plant was laid out,” O Murchu says. “But we had never
seen a component like that [in Stuxnet]. This may be that component.”
Although
Duqu was created some time after Stuxnet, a component similar to it
could have been used by Stuxnet’s attackers to gather intelligence
for their payload.
Duqu
appears to have been operative for at least a year. Based on the
dates the binary files were compiled, Symantec says attacks using the
malware may have been conducted as early as December 2010, about five
months after Stuxnet was discovered, and about 18 months after
Stuxnet was believed to have first been launched on computers in
Iran.
“The
real surprising thing for us is that these guys are still operating,”
O Murchu says. “We thought these guys would be gone after all the
publicity around Stuxnet. That’s clearly not the case. They’ve
clearly been operating over the last year. It’s quite likely that
the information they are gathering is going to be used for a new
attack. We were just utterly shocked when we found this.”
Symantec đã nhận được
2 biến thể của phần mềm độc hại này vào ngày 14/10
từ một phòng thí nghiệm nghiên cứu không được nêu
tên “với những quan hệ quốc tế mạnh”.
“Chắc chắn đây là
một chủ đề nhạy cảm, và vì bất kỳ lý do gì, họ
đã quyết định tại thời điểm này họ không muốn
được nêu tên”, O Murchu nói, tham chiếu tới sự tin
tưởng trước đó về Stuxnet đã được một nhà nước
quốc gia tạo ra với mục tiêu phá hoại chương trình hạt
nhân của Iran.
Symantec đã nhận được
2 biến thể của phần mềm độc hại, cả 2 đã gây lây
nhiễm cho cùng một máy. Kể từ đó, O Murchu và các đồng
nghiệp của anh ta đã thấy những ví dụ khác trong khoảng
10 máy. Các nhà nghiên cứu thấy, sau khi tìm kiếm kho phần
mềm độc hại của riêng họ đối với các tệp y hệt,
thì đó là một trong những biến thể lần đầu tiên bắt
được bởi hệ thống dò tìm mối đe dọa của Symantec
vào ngày 01/09/2011. Symantec đã từ chối nêu tên các quốc
gia nơi mà phần mềm độc hại này được tìm thấy,
hoặc xác định chính xác nền công nghiệp nào bị lây
nhiễm, ngoài việc nói chúng là trong các lĩnh vực hạ
tầng sống còn và sản xuất.
Dù đa số những lây
nhiễm của Stuxnet đã nằm ở Iran, thì O Murchu nói những
lây nhiễm của Duqu được tìm ra cho tới nay lại không
được nhóm trong bất kỳ vùng địa lý nào. Ông nói, tuy
nhiên, điều này có thể thay đổi nếu những lây nhiễm
mới sẽ được phát hiện.
Cái tên được đưa
ra cho phần mềm độc hại này dựa vào tiếp đầu ngữ
“~DQ” mà phần mềm độc hại sử dụng trong tên của
các tệp mà nó tạo ra trong một hệ thống bị lây nhiễm.
O Murchu nói phần mềm độc hại sử dụng 5 tệp. Chúng
bao gồm một tệp nhỏ giọt mà nhỏ tất cả các thành
phần vào một hệ thống bị lây nhiễm mà phần mềm độc
hại này sẽ cần làm công việc của nó; một trình tải
đặt các tệp đó vào bộ nhớ khi máy tính khởi động;
một Trojan truy cập từ xa phục vụ như một cửa hậu
trong các hệ thống bị lây nhiễm để truyền các dữ
liệu từ đó; một trình tải khác làm chạy Trojan, và
một trình ghi lại những cái gõ bàn phím.
Symantec
received two variants of the malware on Oct. 14 from an unidentified
research lab “with strong international connections.”
“Obviously
this is a sensitive topic, and for whatever reason, they’ve decided
at this point they don’t want to be identified,” O Murchu says,
referring to earlier beliefs about Stuxnet had been created by a
nation state with the aim of sabotaging Iran’s nuclear program.
Symantec
received two variants of the malware, both of which had infected the
same machine. Since then, O Murchu and his colleagues have found
other samples on about 10 machines. The researchers found, after
searching their own malware archive for similar files, that one of
the variants was first captured by Symantec’s threat detection
system on Sept. 1, 2011. Symantec has declined to name the countries
where the malware was found, or to identify the specific industries
infected, other than to say they are in the manufacturing and
critical infrastructure sectors.
Although
the vast majority of Stuxnet infections were based in Iran, O Murchu
says the Duqu infections that have been discovered so far are not
grouped in any geographical region. He said, however, that this could
change if new infections are discovered.
The
name given to the malware is based on a prefix “~DQ” that the
malware uses in the names of files that it creates on an infected
system. O Murchu says the malware uses five files. These include a
dropper file that drops all of the components onto an infected system
that the malware will need to do its work; a loader that places the
files into memory when the computer starts; a remote access Trojan
that serves as a backdoor on infected systems to siphon data from it;
another loader that executes the Trojan; and a keystroke logger.
Giống như Stuxnet,
Duqu sử dụng một kỹ thuật phức tạp và độc nhất vô
nhị để ẩn dấu các thành phần của nó trong bộ nhớ
máy tính, hơn là trong ổ đĩa cứng, để tránh bị các
máy diệt virus dò tìm ra, và cũng lừa hệ thống trong
việc tải các tệp từ bộ nhớ thay vì từ đĩa cứng.
Kỹ thuật này từng là một trong những cờ đỏ đầu
tiên mà Symantec đã tìm ra trong Stuxnet, đã chỉ ra nó từng
làm gì đó vượt ra khỏi các dạng phần mềm độc hại
khác mà họ đã từng thấy trước đó.
Phần mềm độc hại
này được thiết lập cấu hình để chạy cho 36 ngày,
sau đó nó tự động loại trừ chính mình khỏi một hệ
thống bị lây nhiễm.
O Murchu nói họ còn
không biết làm thế nào mà Duqu đã được phân phối tới
các hệ thống bị lây nhiễm. Stuxnet ban đầu đã sử
dụng một chỗ bị tổn thương ngày số 0, cho phép nó
lan truyền tới các hệ thống thông qua một USB bị lây
nhiễm.
“Có một thành phần
của trình cài đặt [đối với Duqu] mà chúng tôi đã
chưa thấy”, O Murchu nói. “CHúng tôi chưa biết liệu
trình cài đặt đó có tự nhân bản được không. Đó là
một mẩu của trò chơi lắp hình mà chúng tôi còn chưa
tìm ra ngay lúc này”.
Các biến thể là
khoảng 300 kbyte về kích thước - so với 500 kb của
Stuxnet - và sử dụng một giao thức phổ biến để giao
tiếp giữa hệ thống bị lây nhiễm và một máy chủ chỉ
huy - kiểm soát để truyền dữ liệu từ một máy bị
lây nhiễm và tải các thành phần mới vào đó. Theo O
Murchu, phần mềm độc hại này cố ngụy trang giao tiếp
độc hại của nó bằng việc nối thêm nó vào một tệp
jpeg 100x100 pixel. Các dữ liệu được nối thêm này được
mã hóa, và các nhà nghiên cứu vẫn đang phân tích mã
nguồn để xác định xem giao tiếp chứa đựng cái gì.
Like
Stuxnet, Duqu uses a sophisticated and unique technique to hide its
components in the memory of a machine, rather than on the hard drive,
to avoid detection by anti-virus engines, and also tricks the system
into loading files from memory instead of from hard disk. This
technique was one of the first red flags Symantec had found in
Stuxnet that indicated it was doing something beyond other types of
malware they had seen before.
The
malware is configured to run for 36 days, after which it
automatically removes itself from an infected system.
O
Murchu says they still have no idea how Duqu was delivered to
infected systems. Stuxnet primarily used a zero-day vulnerability
that allowed it to spread to systems via an infected USB stick.
“There’s
an installer component [to Duqu] we haven’t seen,” O Murchu saus.
“We don’t know if the installer is self-replicating. That’s a
piece of the jigsaw that we’re missing right now.”
The
variants are about 300 kilobytes in size — compared to Stuxnet’s
500 kb — and use a custom protocol to communicate between an
infected system and a command-and-control server to siphon data from
an infected machine and load new components onto it. According to O
Murchu, the malware tries to disguise its malicious communication by
appending it to a 100 x 100 pixel jpeg file. The appended data is
encrypted, and the researchers are still analyzing the code to
determine what the communication contains.
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.