Duqu,
Stuxnet Built on Common Platform With Other Similar Super-Malware
By: Fahmida Y. Rashid,
2011-12-31
Bài được đưa lên
Internet ngày: 31/12/2011
Lời
người dịch: Alex Gostev, người đứng đầu của đội
phân tích và nghiên cứu toàn cầu tại Phòng thí nghiệm
Kaspersky đã viết vào ngày 28/12 trên blog Securelist
rằng các sâu Windows Stuxnet và Duqu có cùng một nền
tảng là Tilded và do cùng một đội các lập trình viên
phát triển nhưng có những mục đích khác nhau và ban đầu
được phát triển vào những năm 2007 hoặc đầu 2008 và
hiện nay những biến thể khác có thể đang có mặt ở
đâu đó nhưng chưa bị phát hiện. “Các lập trình
viên đang vặn vẹo các tệp đã được làm xong thay vì
việc tạo mới các trình điều khiển từ đầu, mà cho
phép họ tạo ra tùy ý bao nhiêu tệp trình điều khiển
khác nhau theo họ muốn, mỗi cái chính xác có cùng chức
năng và ngày tạo ra, Gostev nói. Những tệp này cũng được
chỉ định với các chứng thực số hợp pháp và được
đóng gói trong những biến thể khác nhau”. Vì các sâu
này hiện chỉ có thể chạy trên Windows, nên những
người sử dụng Windows chắc còn được trải nghiệm
những phần mềm độc hại chết người này.
Các nhà nghiên cứu
của Phòng thí nghiệm Kaspersky tin tưởng nền tảng y hệt
nhau đã được sử dụng để xây dựng các Trojan Duqu và
Stuxnet có thể được sử dụng để phát triển các biến
thể tương tự khác.
Phân tích xa hơn của
Trojan Duqu đã phát hiện rằng nền tảng đã được sử
dụng để phát triển Stuxnet và Duqu có thể đã được
sử dụng để tạo ra các Trojan tương tự, theo Phòng thí
nghiệm Kaspersky.
Bằng việc phân tích
các trình điều khiển phần mềm được sử dụng của
cả Stuxnet và Duqu, các nhà nghiên cứu của Kaspersky đã
xác định rằng cả 2 Trojan từng được xây dựng trên
cùng một nền tảng, mà hãng an ninh đã gọi là “Tilded”
(Dấu ngã), Alex Gostev, người đứng đầu của đội phân
tích và nghiên cứu toàn cầu tại Phòng thí nghiệm
Kaspersky đã viết vào ngày 28/12 trên blog Securelist.
Cả
Stuxnet và Duqu dường như đã được tạo ra từ cuối năm
2007 hoặc đầu 2008, và các mẩu phần mềm độc hại các
với các khả năng tương tự đã được xây dựng trên
cùng nền tảng này, Gostev nói.
Gostev đã nghiên cứu
2 trình điều khiển và các biến thể không được biết
tới đối với những thứ được sử dụng. Không chỉ
cùng y hệt nhóm những người đó phát triển Stuxnet và
Duqu, mà họ có lẽ đã làm việc cùng một lúc trên nhiều
biến thể, Gostev nói. Những mẩu khác
có thể có trong tự nhiên và còn chưa bị phát hiện,
hoặc các lập trình viên có thể đã quyết định không
tung chúng ra, ông nói.
“Stuxnet
và Duqu là 2 trong số chúng - có thể còn những thứ khác,
mà cho tới bây giờ vẫn còn chưa được biết. Nền tảng
đó tiếp tục phát triển, mà chỉ có thể có nghĩa một
thứ - chúng ta có lẽ sẽ thấy nhiều biến thể hơn
trong tương lai”, Gostev viết.
Kaspersky
Lab researchers believe the same platform that was used to build the
Duqu and Stuxnet Trojans may have been used to develop other similar
variants.
Further
analysis of the Duqu Trojan has revealed that the platform that was
used to develop Stuxnet and Duqu may have been used to create similar
Trojans, according to Kaspersky Lab.
By
analyzing the software drivers used by both Stuxnet and Duqu,
Kaspersky researchers determined that both Trojans were built on the
same platform, which the security firm has dubbed "Tilded,"
Alex Gostev, head of the global research and analysis team at
Kaspersky
Lab wrote Dec. 28 on the Securelist
blog.
Both
Stuxnet and Duqu appear to have been created
back in late 2007 or early 2008, and other pieces of malware with
similar capabilities were built on the same platform, Gostev said.
Gostev
examined two key drivers and variants that were used in both Stuxnet
and Duqu, as well as two previously unknown drivers that were similar
to the ones used. Not only did the same group of people develop
Stuxnet and Duqu, but they likely worked simultaneously on multiple
variants, Gostev said. The other pieces may be in the wild and not
yet detected, or the developers may have decided not to release them,
he said.
"Stuxnet
and Duqu are two of them—there could have been others, which for
now remain unknown. The platform continues to develop, which can only
mean one thing—we’re likely to see more modifications in the
future," Gostev wrote.
Stuxnet lần đầu đã
được phát hiện vào tháng 06/2010 khi nó đã tấn công và
gây hại cho phần mềm và thiết bị được sử dụng
trong các cơ sở hạt nhân của Iran. Stuxnet tận dụng
nhiều chỗ bị tổn thương ngày số 0 trong Microsoft
Windows, bao gồm cả một lỗi leo thang quyền ưu tiên và
đã khai thác chức năng AutoRun của Microsoft để lan truyền
tới các máy tính thông qua các đầu USB bị lây nhiễm.
Duqu đã được các
nhà nghiên cứu tại phòng thí nghiệm CruSyS ở Đại học
Công nghệ và Kinh tế Budapest phát hiện vào tháng 09/2011
và đã gây lây nhiễm cho các máy tính tại nhiều quốc
gia trên thế giới, bao gồm cả Pháp, Ukraine và Sudan. Duqu
cũng tận dụng được một chỗ bị tổn thương ngày số
0 trong nhân Microsoft Windows. Không giống như Stuxnet, Duqu
dường như không được chỉ định để tấn công các hệ
thống kiểm soát công nghiệp, mà là ăn cắp thông tin.
“Chúng
tôi tin tưởng Duqu và Stuxnet từng là các dự án tương
tự được đội các lập trình viên y hệt hỗ trợ”,
Gostve viết.
Kiến trúc được sử
dụng để tạo ra Duqu và Stuxnet dường như là y hệt
nhau, dựa vào một tệp trình điều khiển tải một
module chính được thiết kế như một thư viện được
mã hóa, theo nhà phân tích này. Cũng có một tệp cấu
hình riêng rẽ cho toàn bộ gói độc hại, cũng như một
khối được mã hóa trong đăng ký hệ thống mà nó xác
định địa điểm của module đang được tải lên.
Gostev
nói “với một mức độ khá chắc chắn” rằng nền
tảng Tilded đã được tạo ra vào khoảng những năm 2007
hoặc đầu năm 2008 và đã trải qua những thay đổi đáng
kể vào mùa hè và mùa thu năm 2010. Các lập trình viên
của phần mềm độc hại này đã biên dịch một phiên
bản mới của một tệp trình điều khiển vài lần trong
một năm, và đã sử dụng tệp tham chiếu mới được
tạo ra đó để tải và chạy module chính của một số
phần mềm độc hại khác, theo Gostev.
Các
lập trình viên đang vặn vẹo các tệp đã được làm
xong thay vì việc tạo mới các trình điều khiển từ
đầu, mà cho phép họ tạo ra tùy ý bao nhiêu tệp trình
điều khiển khác nhau theo họ muốn, mỗi cái chính xác
có cùng chức năng và ngày tạo ra, Gostev nói. Những tệp
này cũng được chỉ định với các chứng thực số hợp
pháp và được đóng gói trong những biến thể khác nhau.
Stuxnet
was first discovered in June 2010 when it attacked and damaged
software and equipment used in Iranian nuclear facilities. Stuxnet
took advantage of multiple zero-day vulnerabilities in Microsoft
Windows, including an escalation-of-privilege flaw and exploited
Microsoft's AutoRun functionality to spread across computers via
infected USB drives.
Duqu
was discovered by researchers at CrySyS lab at the Budapest
University of Technology and Economics in September and has infected
machines in various countries around the world, including France, the
Ukraine and Sudan. Duqu also took advantage of a zero-day
vulnerability in the Microsoft Windows kernel. Unlike Stuxnet,
Duqu doesn't appear to have been designed to attack industrial
control systems, but to steal information.
"We
believe Duqu and Stuxnet were simultaneous projects supported by the
same team of developers," Gostev wrote.
The
architecture used to create Duqu and Stuxnet appears to be the same,
relying on a driver file that loads a main module designed as an
encrypted library, according to the analysis. There is also a
separate configuration file for the whole malicious package, as well
as an encrypted block in the system registry that defines the
location of the module being loaded.
Gostev
said "with a fair degree of certainty" that the Tilded
platform had been created around the end of 2007 or early 2008 and
underwent significant changes in the summer and autumn of 2010. The
malware developers had compiled a new version of a driver file a few
times a year, and used the newly created reference file to load and
execute the main module of some other malicious software, according
to Gostev.
The
developers are tweaking ready-made files instead of creating new
drivers from scratch, which allows them to make as many different
driver files as they like, each having exactly the same functionality
and creation date, Gostev said. These files can also be signed with
legitimate digital certificates and packaged into different variants.
Dịch tài liệu: Lê
Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.