Spotted
in Iran, trojan Duqu may not be "son of Stuxnet" after all
By Jon Brodkin |
Published about 14 hours ago
Bài được đưa lên
Internet ngày: 28/10/2011
Lời
người dịch: Cho tới nay, những nghiên cứu về trojan mới
Duqu vẫn được tiếp tục dù các công ty an ninh phần mềm
khác nhau có những đánh giá khác nhau về trojan này. Có
những bằng chứng cho thấy Duqu là khác biệt với Stuxnet
và Duqu dù có ít sự lây nhiễm vẫn chứng tỏ là được
nhằm sẵn vào một mục tiêu tấn công được định sẵn
có chủ đích. Xem thêm [01].
Một năm sau khi sâu
Stuxnet đã nhằm vào các hệ thống công nghiệp tại Iran
và gây ngạc nhiên cho các nhà nghiên cứu an ninh với sự
phức tạp của nó, một Trojan mới có tên là Duqu đã lan
truyền như cỏ dại trong khi đang được gọi là “Con
của Stuxnet” và một “điềm báo trước một cuộc tấn
công như Stuxnet trong tương lai”. Các nhà nghiên cứu từ
Symantecs nói Duqu và Stuxnet hình như được viết từ cùng
các tác giả và dựa trên cùng mã nguồn.
Nhưng các phân tích
xa hơn của các nhà nghiên cứu an ninh từ Dell gợi ý Duqu
và Stuxnet có thể hoàn toàn không có liên quan gần gũi gì
với nhau. Điều đó không nói được là Duqu không nghiêm
trọng, khi mà các cuộc tấn công đã được báo cáo tại
Sudan và Iran. Nhưng Duqu có thể không hoàn toàn là nòi
giống mới, với một mục tiêu cuối cùng vẫn còn chưa
được biết tới.
Một báo cáo ngày hôm
qua từ Dell SecureWorks phân tích mối quan hệ với Stuxnet
đưa ra nghi ngờ về ý tưởng rằng Duqu có liên quan. Ví
dụ, Dell nói:
- Duqu và Stuxnet đều sử dụng một trình điều khiển nhân để giải mã và tải các tệp DLL (thư viện tải động) được mã hóa. Các trình điều khiển nhân phục vụ như một động cơ “tiêm” để tải những DLL này vào một qui trình đặc biệt. Kỹ thuật này không phải là độc nhất cho cả Duqu lẫn Stuxnet và từng được quan sát trong các mối đe dọa không có liên quan khác.
- Các trình điều khiển nhân cho cả Stuxnet và Duqu sử dụng nhiều kỹ thuật tương tự cho mã hóa và giấu giếm, như một rootkit để ẩn dấu các tệp. Một lần nữa, các kỹ thuật này không phải là độc nhất cho cả Duqu hoặc Stuxnet và đã được thấy trong các mối đe dọa không có liên quan khác.
Và trong khi Stuxnet và
Duqu mỗi thứ “có những biến thể nơi mà tệp trình
điều khiển nhân được ký số có sử dụng ký chứng
thực bằng phần mềm”, thì Dell nói sự phổ biến này
là bằng chứng không đủ của một sự kết nối “vì
việc ký các chứng thực bị tổn thương có thể giành
được từ một số các nguồn”.
A
year after the Stuxnet
worm targeted industrial systems in Iran and surprised security
researchers with its sophistication, a new
Trojan called Duqu has spread through the wild while being called
the “Son of Stuxnet” and a “precursor to a future Stuxnet-like
attack.” Researchers from Symantec say Duqu and Stuxnet were likely
written by the same authors and based on the same code.
But
further analyses by security researchers from Dell suggest Duqu and
Stuxnet may not be closely related after all. That’s not to say
Duqu isn’t serious, as attacks have been reported in Sudan and
Iran. But Duqu may be an entirely new breed, with an ultimate
objective that is still unknown.
A
report yesterday from Dell
SecureWorks analyzing the relationship to Stuxnet casts doubt on
the idea that Duqu is related. For example, Dell says:
- Duqu and Stuxnet both use a kernel driver to decrypt and load encrypted DLL (Dynamic Load Library) files. The kernel drivers serve as an "injection" engine to load these DLLs into a specific process. This technique is not unique to either Duqu or Stuxnet and has been observed in other unrelated threats.
- The kernel drivers for both Stuxnet and Duqu use many similar techniques for encryption and stealth, such as a rootkit for hiding files. Again, these techniques are not unique to either Duqu or Stuxnet and have been observed in other unrelated threats.
And
while Stuxnet and Duqu each “have variants where the kernel driver
file is digitally signed using a software signing certificate,”
Dell says this commonality is insufficient evidence of a connection
“because compromised signing certificates can be obtained from a
number of sources.”
Trong khi Stuxnet lan
truyền thông qua các đầu USB và các tệp PDF, thì phương
pháp lây nhiễm của Duqu vẫn còn chưa rõ, Dell nói. Không
giống như Stuxnet, Duqu không có mã nguồn đặc biệt nhằm
vào các thành phần SCADA (kiểm soát giám sát và truy cập
dữ liệu). Duqu cung cấp cho các kẻ tấn công sự truy cập
ở xa tới các máy tính bị tổn thương bằng khả năng
chạy các chương trình tùy ý, và có thể về mặt lý
thuyết được sử dụng để nhằm tới bất kỳ tổ chức
nào, Dell nói.
“Cả Duqu và Stuxnet
đều là các chương trình phức tạp cao với nhiều thành
phần”, Dell nói. “Tất cả những sự giống nhau từ
một quan điểm phần mềm là trong thành phần 'tiêm' được
trình điều khiển nhân triển khai. Các tải cuối cùng
của Duqu và Stuxnet khác nhau và không có liên quan đáng
kể. Một người có thể đoán các thành phần tiêm chia
sẻ một nguồn chung, nhưng bằng chứng hỗ trợ là tường
tận nhất và không đủ để khẳng định một mối quan
hệ trực tiếp. Những sự việc được quan sát thấy
thông qua phân tích phần mềm không kết luận được
trong thời gian xuất bản về việc chứng minh mối quan hệ
trực tiếp giữa Duqu và Stuxnet ở bất kỳ mức độ
nào”.
Nhà bán hàng an ninh
Bitdefender cũng đưa ra nghi vấn về sự liên kết có thể
của Duqu/Stuxnet trên blog Malwarecity của mình. “Chúng tôi
tin tưởng rằng đội đứng đằng sau vụ Duqu không có
liên quan tới đội đã đưa ra Stuxnet vào năm 2010, vì một
số lý do”, Bogdan Botezatu của BitDefender viết. Trong khi
một trình điều khiển rootkit được sử dụng trong Duqu
là tương tự như được xác định trong Stuxnet, thì điều
đó không có nghĩa là nó dựa trên mã nguồn của Stuxnet.
“Một khía cạnh ít
biết tới là việc rootkit của Stuxnet đã được kỹ
thuật nghịch đảo và được đưa lên Internet”, Botezatu
viết. “Đúng là mã nguồn đã được mở vẫn cần một
số vặn vẹo, nhưng một người viết phần mềm độc
hại có kinh nghiệm có thể sử dụng nó như sự truyền
cảm hứng cho các dự án của riêng họ”. Thực tế là
Stuxnet và Duqu dường như nhằm vào các hệ thống khác
nhau và thực tế là việc sử dụng lại mã nguồn có thể
là một động thái thông minh cho lý lẽ của những kẻ
tấn công đối với một liên kết, ông tiếp tục.
While
Stuxnet spread through USB sticks and PDF files, the Duqu infection
method is still unknown, Dell said. Unlike Stuxnet, Duqu doesn’t
have specific code targeting SCADA (supervisory control and data
acquisition) components. Duqu provides attackers with remote access
to compromised computers with the ability to run arbitrary programs,
and can theoretically be used to target any organization, Dell said.
“Both
Duqu and Stuxnet are highly complex programs with multiple
components,” Dell says. “All of the similarities from a software
point of view are in the ‘injection’ component implemented by the
kernel driver. The ultimate payloads of Duqu and Stuxnet are
significantly different and unrelated. One could speculate the
injection components share a common source, but supporting evidence
is circumstantial at best and insufficient to confirm a direct
relationship. The facts observed through software analysis are
inconclusive at publication time in terms of proving a direct
relationship between Duqu and Stuxnet at any other level.”
The
security vendor Bitdefender has also cast doubt on the supposed
Duqu/Stuxnet link in its Malwarecity
blog. “We believe that the team behind the Duqu incident are
not related to the ones that released Stuxnet in 2010, for a number
of reasons,” BitDefender’s Bogdan Botezatu writes. While a
rootkit driver used in Duqu is similar to one identified in Stuxnet,
that doesn’t mean it’s based on the Stuxnet source code.
“A
less known aspect is that the Stuxnet rootkit has been
reverse-engineered and posted on the Internet,” Botezatu writes.
“It’s true that the open-sourced code still needs some tweaking,
but an experienced malware writer could use it as inspiration for
their own projects.” The fact that Stuxnet and Duqu seem to be
targeting different systems and the fact that reusing code would not
be a smart move for attackers argue against a link, he continues.
“Sử dụng lại mã
nguồn là một thực tế tồi trong nền công nghiệp, đặc
biệt khi mã nguồn này ban đầu đã được xem trong những
mối đe dọa số như truyền thuyết với Stuxnet”, ông
viết. “Cho tới bây giờ, tất cả các nhà bán hàng
chống virus đã phát triển những giải pháp mạnh qua thử
nghiệm và các thủ tục dò tìm khác chống lại những
thứ nặng đối với nền công nghiệp như Stuxnet hoặc
Downadup. Bất kỳ biến thể nào của một mối đe dọa số
phổ biến có lẽ sẽ kết thúc bị tóm bởi những thủ
tục thường lệ, nên tiếp cận chung là 'đánh một lân,
sau đó diệt mã nguồn'”.
Tuy nhiên, Symantec,
dường như bị thuyết phục có liên quan tới Stuxnet.
“Duqu về cơ bản là điềm báo trước một cuộc tấn
công giống như Stuxnet trong tương lai”, Symantec nói. “Mối
đe dọa đã được viết từ cùng các tác giả (hoặc
những người mà đã có sự truy cập tới mã nguồn của
Stuxnet) và dường như được tạo ra kể từ khi tệp
Stuxnet cuối cùng được phát hiện. Mục tiêu của Duqu là
thu thập các dữ liệu tình báo và các tài sản từ các
thực thể, như các nhà sản xuất các hệ thống kiểm
soát công nghiệp, để tiến hành dễ dàng hơn một cuộc
tấn công trong tương lai chống lại bên thứ 3 khác. Những
kẻ tấn công đang tìm kiếm thông tin như các tài liệu
thiết kế có thể giúp chúng tiến hành một cuộc tấn
công trong tương lai vào một cơ sở kiểm soát công
nghiệp”. Symantec đã nhấn mạnh trường hợp của mình
bằng việc lưu ý rằng việc có thể thực hiện được
được thiết kế để ghi lại việc gõ bàn phím và thông
tin hệ thống “có sử dụng mã nguồn Stuxnet” đã được
phát hiện.
Kaspersky Lab đồng ý
rằng Stuxnet và Duqu là tương tự và trong thực tế nói
yếu tố khác biệt chính giữa 2 loại này là “sự dò
tìm ra chỉ rất ít những lây nhiễm của Duqu”. Một
nhúm các lây nhiễm đã được tìm thấy, bao gồm một
tại Sudan và 3 tại Iran. Nhưng mục tiêu của Duqu còn chưa
rõ.
Lãnh đạo của
Kaspersky Lab Alexander Gostev nói trong một tuyên bố, “bất
chấp thực tế là địa điểm các hệ thống bị Duqu tấn
công nằm ở Iran, tới nay không có bằng chứng nào về
có các hệ thống nào có liên quan tới chương trình hạt
nhân hoặc công nghiệp. Vì thế, không có khả năng để
khẳng ddienhj rằng mục tiêu của chương trình độc hại
mới này là y hệt như của Stuxnet. Tuy nhiên, còn chưa rõ
mỗi sự lây nhiễm của Duqu có là độc nhất hay không.
Thông tin này cho phép một người nói với sự chắc chắn
rằng Duqu là đang dựa vào các cuộc tấn công có chủ
đích vào các mục tiêu được xác định trước”.
Các nhà nghiên cứu
sẽ không nghi ngờ gì tiết lộ thêm các thông tin về
Duqu trong những tuần tới và đi với các phương pháp cản
trở các cuộc tấn công của Duqu. Microsoft, trong số nhiều
thứ khác, đã đưa ra các cập nhật chữ ký chống virus
bao trùm các biến thể của Duqu Trojan.
“Code
reuse is a bad practice in the industry, especially when this code
has been initially seen in legendary e-threats such as Stuxnet,” he
writes. “By now, all antivirus vendors have developed strong
heuristics and other detection routines against industry
heavy-weights such as Stuxnet or Downadup. Any variant of a known
e-threat would likely end up caught by generic routines, so the
general approach is ‘hit once, then dispose of the code.’”
Symantec,
however, seems
convinced of the link to Stuxnet. “Duqu is essentially the
precursor to a future Stuxnet-like attack,” Symantec writes. “The
threat was written by the same authors (or those that have access to
the Stuxnet source code) and appears to have been created since the
last Stuxnet file was recovered. Duqu's purpose is to gather
intelligence data and assets from entities, such as industrial
control system manufacturers, in order to more easily conduct a
future attack against another third party. The attackers are looking
for information such as design documents that could help them mount a
future attack on an industrial control facility.” Symantec bolsters
its case by noting that executables designed to capture keystrokes
and system information “using the Stuxnet source code” have been
discovered.
Kaspersky
Lab agrees that Stuxnet and Duqu are similar and in fact says the
main distinguishing factor between the two is the “detection of
only a very few [Duqu] infections.” A handful of infections have
been found, including one in Sudan and three in Iran. But the Duqu
end game is unknown.
Kaspersky
Lab Chief Security Expert Alexander Gostev says in a statement,
“Despite the fact that the location of the systems attacked by Duqu
are located in Iran, to date there is no evidence of there being
industrial or nuclear program-related systems. As such, it is
impossible to confirm that the target of the new malicious program is
the same as that of Stuxnet. Nevertheless, it is clear that every
infection by Duqu is unique. This information allows one to say with
certainty that Duqu is being used for targeted attacks on
pre-determined objects.”
Researchers
will no doubt uncover more information about Duqu in the coming weeks
and come up with methods of thwarting Duqu-based attacks. Microsoft,
among many others, has released antivirus
signature updates covering variants of the Duqu Trojan.
Dịch tài liệu: Lê
Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.