Duqu
exploits previously unknown vulnerability in Windows kernel
2 November 2011, 16:11
Bài được đưa lên
Internet ngày: 02/11/2011
Lời người dịch:
“Symantec nói rằng trong ít nhất một
trường hợp, những kẻ tấn công đã dạy Duqu
lan truyền thông qua những chia sẻ mạng. Điều này đã
cho phép bot này làn truyền thông qua mạng của công ty và
thậm chí lây nhiễm cả các hệ
thống mà không có truy cập trực tiếp tới Internet.
Cái sau đã cung cấp những chỉ thị từ máy chủ chỉ
huy và kiểm soát từ các bót mà đã có sự truy cập
Internet... Symantec đã xác định những lây nhiễm có khả
năng tại 6 công ty hoạt động tại Pháp,
Hà Lan, Thụy Sỹ, Ukraine, Ấn Độ, Iran, Sudan và Việt
Nam. Các công ty an ninh khác nói
đã phát hiện những lây nhiễm tại Anh, Úc và
Indonesia... Một lĩnh vực trong đó Duqu đã được triển
khai là tiến hành gián điệp chống
lại các nhà sản xuất các hệ thống kiểm soát công
nghiệp”. Xem thêm [01],
[02].
Microsoft đã khẳng
định một báo cáo từ Phòng thí nghiệm Mật mã và An
ninh Hệ thống (CrySyS) có trụ sở tại Budapest, nói rằng
bot Duqu lan truyền bằng việc khai thác một chỗ bị tổn
thương ngày số 0 trong nhân Windows. Nó lan truyền thế nào
trước đó còn chưa được rõ. CrySyS đã phát hiện chỗ
bị tổn thương của Windows trong khi phân tích trình cài
đặt. Bot này, mà hãng phần mềm chống virus Symantec tin
tưởng có liên quan tới Stuxnet, gây lây nhiễm cho các hệ
thống đích bằng việc sử dụng một tệp Word lừa đảo
tiêm phần mềm độc hại vào hệ thống có sử dụng một
khai thác nhân. Microsoft đang làm việc để có một bản
vá.
Symantec
nói rằng trong ít nhất một trường hợp, những kẻ tấn
công đã dạy Duqu lan truyền thông qua những chia sẻ mạng.
Điều này đã cho phép bot này làn truyền thông qua mạng
của công ty và thậm chí lây nhiễm cả các hệ thống mà
không có truy cập trực tiếp tới Internet. Cái sau đã
cung cấp những chỉ thị từ máy chủ chỉ huy và kiểm
soát từ các bót mà đã có sự truy cập Internet.
Cho
tới nay, Duqu được cho là chỉ được sử dụng cho những
cuộc tấn công có chủ đích. Trình cài đặt được
Symantec kiểm tra đã được thiết lập để hoạt động
trong một cửa sổ 8 ngày hồi tháng 8. Symantec đã xác
định những lây nhiễm có khả năng tại 6 công ty hoạt
động tại Pháp, Hà Lan, Thụy Sỹ, Ukraine, Ấn Độ, Iran,
Sudan và Việt Nam. Các công ty an ninh khác nói đã phát
hiện những lây nhiễm tại Anh, Úc và Indonesia. Tới
nay, Duqu còn chưa được xác định tại các công ty Đức.
Văn phòng Liên bang Đức về An ninh (BSI) đã yêu cầu đặc
biệt các doanh nghiệp thông báo điều này về bất kỳ
trường hợp lây nhiễm nào.
Một
lĩnh vực trong đó Duqu đã được triển khai là tiến
hành gián điệp chống lại các nhà sản xuất các hệ
thống kiểm soát công nghiệp. Điều này gợi ý
rằng những kẻ tấn công có thể sử dụng những thông
tin ăn cắp được để lên kế hoạch cho các cuộc tấn
công mới vào các hệ thống kiểm soát công nghiệp, như
những hệ thống được sử dụng trong các nhà mấy điện.
Stuxnet từng ban đầu được triển khai để phá hoại
chương trình hạt nhân của Iran. Stuxnet cũng đã khai thác
những chỗ bị tổn thương trước đó còn chưa biết
trong Windows.
Trong khi chờ đợi,
các chuyên gia an ninh từ Đơn vị Tính toán Đe dọa (CTU)
SecureWork của Dell đã bày tỏ sự nghi ngờ liệu Duqu có
thực sự có liên quan tới Stuxnet hay không. Họ nói rằng
dù cả 2 mẩu phần mềm độc hại đều sử dụng các kỹ
thuật rootkit tương tự một cách phổ biến, như trình
điều khiển nhân mà ban đầu giải mã một DLL được mã
hóa và sau đó tiêm nó vào trong các tiến trình khác, thì
những kỹ thuật này bây giờ là thực tiễn tiêu chuẩn
và được nhiều mẩu phần mềm độc hại không có liên
quan tới Stuxnet sử dụng. Tải của Duqu, theo Dell, không
có liên quan tới của Stuxnet và không gợi ý một mối
quan hệ giữa 2 loại này.
Microsoft
has confirmed
a report from
Budapest-based Laboratory of Cryptography and System Security
(CrySyS), which claimed that the Duqu
bot spreads by exploiting a zero day vulnerability in the Windows
kernel. How it spreads had previously been unknown. CrySyS discovered
the Windows vulnerability whilst analysing the installer. The bot,
which anti-virus software firm Symantec believes is related to
Stuxnet,
infects target systems using a specially crafted Word file which
injects the malware into the system using a kernel exploit. Microsoft
is already working
on a patch.
Symantec
says
that in at least one case, attackers have already taught Duqu to
spread via network shares. This allowed the bot to spread through the
company network and even infect systems with no direct internet
access. The latter were then supplied with instructions from the
command and control server by bots which did have internet access.
Until
now, Duqu has reportedly only been used for targeted attacks. The
installer examined by Symantec was set to be active during an
eight-day window in August, only. Symantec has already identified
possible infections at six companies operating in France, The
Netherlands, Switzerland, the Ukraine, India, Iran, Sudan and
Vietnam. Other security companies claim to have discovered infections
in the UK, Austria and Indonesia. To date, Duqu has not been
identified at German companies. The German Federal Office for
Information Security (BSI)
has specifically asked businesses to inform it of any cases of
infection.
One
area in which Duqu has been deployed is to carry out espionage
against manufacturers of industrial control systems. This suggests
that the attackers may be using the stolen information to plan new
attacks on industrial control systems, such as those used in power
plants. Stuxnet was initially deployed to sabotage Iran's nuclear
programme. Stuxnet also exploited previously unknown vulnerabilities
in Windows.
In
the meantime, security specialists from Dell's SecureWorks Counter
Threat Unit (CTU) have expressed
doubt as to whether Duqu is really related to Stuxnet. They report
that although both pieces of malware utilise broadly similar rootkit
techniques, such as a kernel driver which first decrypts an encrypted
DLL and then injects it into other processes, these techniques are
now standard practice and are used by many pieces of malware
unrelated to Stuxnet. Duqu's payload, according to Dell, bears no
relation to Stuxnet's and does not suggest a relationship between the
two.
(crve)
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.