Duqu
Trojan revealed to be shape-shifting serial killer
Embedded in the code are
humorous references to the Showtime show 'Dexter'
By Paul Wagenseil
updated 11/11/2011
Bài được đưa lên
Internet ngày: 11/11/2011
Lời
người dịch: Chuyên gia an ninh của Kaspersky Lab cho rằng
Duqu có nhiều biến thể khác nhau và mỗi biến thể nhằm
vào một đích cụ thể khác nhau và chúng đã có từ năm
2007, nghĩa là khoảng hơn 4 năm về trước. Duqu dấu mình
trong một máy tính cá nhân PC thông qua một phông
chữ được nhúng vào trong một tài liệu Word.
(Chỗ bị tổn thương của
Windows, đã không được biết trước đó, còn chưa được
vá, dù đã có một sự
khắc phục) và cũng có ý định
đánh vào các hạ tầng công nghiệp. Xem thêm [01],
[02],
[03].
Các nhà phân tích an
ninh đã thấy các chi tiết huyền bí hơn nhưng cũng thú
vị trong Trojan Duqu, cái gọi là “con của Stuxnet” được
phát hiện chỉ 2 tháng trước.
Kaspersky Lab tại
Moscow đã có được một biến thể khác của Duqu so với
bản gốc, và thấy rằng những kẻ tạo ra Trojan này
không chỉ có thể đã và đang làm việc về Duqu từ năm
2007, mà dường như còn có cả khiếu hài hước nữa.
Theo Alexander Gostev của
Kaspersky, thì vật trung gian gây lây nhiễm của Duqu được
tùy biến cho từng mục tiêu, và mã nguồn của nó có
chứa một tham chiếu đùa tới “Dexter”, loạt chương
trình TV dài kỳ về một kẻ giết người hàng loạt mơ
hồ về đạo đức.
Kaspersky đã phân tích
một thư điện tử dạng phishing nhằm vào một công ty
không được tiết lộ danh tính, đã bị Duqu tấn công 2
lần vào giữa tháng 4 năm nay nhưng đã không nhận thức
được thứ gì đã đánh hãng cho tới gần đây.
Như với phiên bản
sớm của Duqu được thấy vào tháng 9 trong phòng thí
nghiệm CrySyS của Hungary, biến thể của Kaspersky đã sử
dụng một “trình nhỏ giọt” - một mẩu phần mềm độc
hại riêng biệt - dấu mình trong một máy tính cá nhân PC
thông qua một phông chữ được nhúng vào trong một tài
liệu Word. (Chỗ bị tổn thương của Windows, đã không
được biết trước đó, còn chưa được vá, dù đã có
một sự
khắc phục).
Phông chữ giả tưởng
này có tên là “Dexter Regular”. Ẩn mình trong mã nguồn
của trình nhỏ giọt là một xâu văn bản, "Copyright
2003 Showtime Inc. All rights reserved. Dexter Regular version 1.00.
Dexter is a registered trademark of Showtime Inc." ("Dexter"
thực sự được phát ra lần đầu vào năm 2006. Không có
gì của điều này ngụ ý rằng Showtime đứng đằng sau
Trojan Duqu).
Security
analysts have found more mysterious but fascinating details in the
Duqu Trojan, the so-called "son of Stuxnet" discovered just
two months ago.
Moscow's
Kaspersky Lab got hold of a different variant of Duqu than the
original, and found that the Trojan's creators not only may have been
working on Duqu since 2007, but seem to have a sense of humor as
well.
According
to Kaspersky's
Alexander Gostev, the Duqu infection vector is customized for
each target, and its code contains a joking reference to "Dexter,"
the long-running Showtime TV series about a morally ambiguous serial
killer.
Kaspersky
analyzed a spear-phishing email directed at an undisclosed company,
which was attacked by Duqu twice in mid-April of this year but did
not realize what hit it until recently.
As
with the earlier
version of Duqu found in September by Hungary's CrySyS lab, the
Kaspersky variant used a "dropper" — a separate piece of
malware — to burrow into PCs via a font embedded in a Word
document. (The Windows vulnerability, which had not previously been
known of, has not yet been patched, but there
is a workaround.)
The
fictitious font is named "Dexter Regular." Buried in the
dropper code is the text string, "Copyright 2003 Showtime Inc.
All rights reserved. Dexter Regular version 1.00. Dexter is a
registered trademark of Showtime Inc." ("Dexter"
actually was first broadcast in 2006. None of this implies that
Showtime is behind the Duqu Trojan.)
Bước tiếp sau trong
mẫu lây nhiễm Duqu là để tải một trình điều khiển
vào nhân Windows. Kaspersky đã thấy rằng trình điều khiển
này đã được biên dịch vào tháng 8/2007, trong khi một
cái được Crysys tìm thấy là vào tháng 3/2008.
“Nếu thông tin này
là đúng, thì các tác giả của Duqu phải đã và đang làm
trong dự án này đã hơn 4 năm rồi!”, Gostev đã viết.
Nếu điều đó đúng,
thì Duqu, còn có tên là “con của Stuxnet” vì sự tương
đồng làm hoảng hốt đối với sâu mức quân sự mà đã
gây lây nhiễm và đánh què các cơ sở hạt nhân của
Iran vào năm 2010, thực suwjcos thể là cha của sâu nổi
tiếng hơn kia.
Còn có một sự kết
nối khác nữa của Iran, theo Gostev. Các cuộc tấn công
hồi tháng 4 vào công ty không được nêu tên đã diễn ra
chỉ trước khi Iran công bố rằng nước này đã bị tấn
công bởi một mẩu thứ 2 phần mềm độc hại, mà các
nhà nghiên cứu của Iran đã gọi là sâu “Stars”.
Không may, Iran không
bao giờ chia sẻ những ví dụ về sâu Stars, mà đã dẫn
tới một số người ở phương Tây nghi ngờ đó chỉ là
sự tuyên truyền từ quốc gia đạo Hồi này. (Những ví
dụ của Stuxnet đã được phân bổ khắp thế giới vì
một nhà nghiên cứu an ninh của Iran đã gửi thư điện
tử một bản sao cho một đồng nghiệp cũ tại Ukraine).
Nhưng Gostev nghĩ những
người Iran có lẽ đã tìm thấy Duqu mà không nhận thức
được nó.
“Rất có thể, những
người Iran đã thấy một module ghi bàn phím mà đã được
tải vào một máy tính”, ông viết. “Có khả năng là
các chuyên gia Iran đã chỉ thấy trình ghi bàn phím, trong
khi module chính Duqu và trình nhỏ giọt (bao gồm cả các
tài liệu mà có chứa chỗ bị tổn thương còn chưa được
biết tới) có thể đã không được dò tìm ra”.
The
next step in the Duqu infection pattern is to load a driver into the
Windows kernel. Kaspersky found that its driver was compiled in
August 2007, while the one found by Crysys was dated March 2008.
"If
this information is correct, then the authors of Duqu must have been
working on this project for over four years!" Gostev wrote.
If
that's true, then Duqu, dubbed the "son of Stuxnet" because
of its startling similarity to the military-grade worm that infected
and disrupted Iranian nuclear facilities in 2010, may actually be
the father of the more famous bug.
There's
another Iranian connection as well, according to Gostev. The April
attacks on the unnamed company took place just before Iran announced
that it had been attacked by a second piece of malware, which Iranian
researchers called the "Stars" worm.
Unfortunately,
Iran never shared samples of the Stars worm, which led some in the
West to suspect it was mere propaganda from the Islamic Republic.
(Samples of Stuxnet were distributed worldwide because an Iranian
security researcher emailed a copy to a former colleague in the
Ukraine.)
But
Gostev thinks the Iranians might have found Duqu without realizing
it.
"Most
probably, the Iranians found a keylogger module that had been loaded
onto a system," he wrote. "It's possible that the Iranian
specialists found just the keylogger, while the main Duqu module and
the dropper (including the documents that contained the then-unknown
vulnerability) may have gone undetected."
Có lẽ điềm xấu
nhất, có đủ những khác biệt giữa các biến thể của
Duqu để dẫn Gostev tới nghi ngờ rằng những kẻ tạo ra
Trojan này đang chỉnh sửa một cách cẩn thận gói phần
mềm độc hại đó cho từng mục tiêu đặc thù khi cần,
nếu ngày tháng biên dịch trong thành phần chính của
Trojan là chính xác.
“Yếu tố này chỉ
ra rằng các tác giả đã xây dựng một tập hợp riêng
rẽ các tệp cho từng nạn nhân cụ thể, và làm đúng
như vậy trước khi tấn công”, Gostev viết.
Sự tinh chỉnh như
vậy có thể làm cho Duqu và những người tạo ra nó tinh
vi phức tạp và kiên cường hơn các cuộc tấn công được
gọi là “mối đe dọa dai dẳng tiên tiến” - được
giả thiết rộng rãi tới từ Trung Quốc - mà đã thâm
nhập vào các công ty phương Tây vài năm qua.
Trong các trường hợp
đó, thì các thư điện tử dạng phishing cũng cung cấp
vật trung gian lây nhiễm, nhưng phần mềm độc hại được
cài đặt không khác biệt từ một đích này sang đích
khác.
Perhaps
most ominously, there are enough differences among the known variants
of Duqu to lead Gostev to suspect that the Trojan's creators are
carefully tailoring the malware package for each specific target as
needed, if the compilation dates on the main Trojan component are
accurate.
"This
fact shows that the authors build a separate set of files for each
specific victim, and do so right before the attack," Gostev
wrote.
Such
fine-tuning would make Duqu and its creators more sophisticated and
persistent that the so-called "advanced
persistent threat" attacks — widely assumed to be coming
from China — that have penetrated Western companies over the past
few years.
In
those cases, spear-phishing emails also provide the infection vector,
but the installed malware does not vary from one target to the next.
Dịch tài liệu: Lê
Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.