Duqu khai thác chỗ bị tổn thương trước đó chưa được biết trong nhân Windows

Duqu exploits previously unknown vulnerability in Windows kernel

2 November 2011, 16:11

Theo: http://www.h-online.com/security/news/item/Duqu-exploits-previously-unknown-vulnerability-in-Windows-kernel-1370369.html

Bài được đưa lên Internet ngày: 02/11/2011

Lời người dịch: “Symantec nói rằng trong ít nhất một trường hợp, những kẻ tấn công đã dạy Duqu lan truyền thông qua những chia sẻ mạng. Điều này đã cho phép bot này làn truyền thông qua mạng của công ty và thậm chí lây nhiễm cả các hệ thống mà không có truy cập trực tiếp tới Internet. Cái sau đã cung cấp những chỉ thị từ máy chủ chỉ huy và kiểm soát từ các bót mà đã có sự truy cập Internet... Symantec đã xác định những lây nhiễm có khả năng tại 6 công ty hoạt động tại Pháp, Hà Lan, Thụy Sỹ, Ukraine, Ấn Độ, Iran, Sudan và Việt Nam. Các công ty an ninh khác nói đã phát hiện những lây nhiễm tại Anh, Úc và Indonesia... Một lĩnh vực trong đó Duqu đã được triển khai là tiến hành gián điệp chống lại các nhà sản xuất các hệ thống kiểm soát công nghiệp”. Xem thêm [01], [02].

Microsoft đã khẳng định một báo cáo từ Phòng thí nghiệm Mật mã và An ninh Hệ thống (CrySyS) có trụ sở tại Budapest, nói rằng bot Duqu lan truyền bằng việc khai thác một chỗ bị tổn thương ngày số 0 trong nhân Windows. Nó lan truyền thế nào trước đó còn chưa được rõ. CrySyS đã phát hiện chỗ bị tổn thương của Windows trong khi phân tích trình cài đặt. Bot này, mà hãng phần mềm chống virus Symantec tin tưởng có liên quan tới Stuxnet, gây lây nhiễm cho các hệ thống đích bằng việc sử dụng một tệp Word lừa đảo tiêm phần mềm độc hại vào hệ thống có sử dụng một khai thác nhân. Microsoft đang làm việc để có một bản vá.

Symantec nói rằng trong ít nhất một trường hợp, những kẻ tấn công đã dạy Duqu lan truyền thông qua những chia sẻ mạng. Điều này đã cho phép bot này làn truyền thông qua mạng của công ty và thậm chí lây nhiễm cả các hệ thống mà không có truy cập trực tiếp tới Internet. Cái sau đã cung cấp những chỉ thị từ máy chủ chỉ huy và kiểm soát từ các bót mà đã có sự truy cập Internet.

Cho tới nay, Duqu được cho là chỉ được sử dụng cho những cuộc tấn công có chủ đích. Trình cài đặt được Symantec kiểm tra đã được thiết lập để hoạt động trong một cửa sổ 8 ngày hồi tháng 8. Symantec đã xác định những lây nhiễm có khả năng tại 6 công ty hoạt động tại Pháp, Hà Lan, Thụy Sỹ, Ukraine, Ấn Độ, Iran, Sudan và Việt Nam. Các công ty an ninh khác nói đã phát hiện những lây nhiễm tại Anh, Úc và Indonesia. Tới nay, Duqu còn chưa được xác định tại các công ty Đức. Văn phòng Liên bang Đức về An ninh (BSI) đã yêu cầu đặc biệt các doanh nghiệp thông báo điều này về bất kỳ trường hợp lây nhiễm nào.

Một lĩnh vực trong đó Duqu đã được triển khai là tiến hành gián điệp chống lại các nhà sản xuất các hệ thống kiểm soát công nghiệp. Điều này gợi ý rằng những kẻ tấn công có thể sử dụng những thông tin ăn cắp được để lên kế hoạch cho các cuộc tấn công mới vào các hệ thống kiểm soát công nghiệp, như những hệ thống được sử dụng trong các nhà mấy điện. Stuxnet từng ban đầu được triển khai để phá hoại chương trình hạt nhân của Iran. Stuxnet cũng đã khai thác những chỗ bị tổn thương trước đó còn chưa biết trong Windows.

Trong khi chờ đợi, các chuyên gia an ninh từ Đơn vị Tính toán Đe dọa (CTU) SecureWork của Dell đã bày tỏ sự nghi ngờ liệu Duqu có thực sự có liên quan tới Stuxnet hay không. Họ nói rằng dù cả 2 mẩu phần mềm độc hại đều sử dụng các kỹ thuật rootkit tương tự một cách phổ biến, như trình điều khiển nhân mà ban đầu giải mã một DLL được mã hóa và sau đó tiêm nó vào trong các tiến trình khác, thì những kỹ thuật này bây giờ là thực tiễn tiêu chuẩn và được nhiều mẩu phần mềm độc hại không có liên quan tới Stuxnet sử dụng. Tải của Duqu, theo Dell, không có liên quan tới của Stuxnet và không gợi ý một mối quan hệ giữa 2 loại này.

Microsoft has confirmed a report from Budapest-based Laboratory of Cryptography and System Security (CrySyS), which claimed that the Duqu bot spreads by exploiting a zero day vulnerability in the Windows kernel. How it spreads had previously been unknown. CrySyS discovered the Windows vulnerability whilst analysing the installer. The bot, which anti-virus software firm Symantec believes is related to Stuxnet, infects target systems using a specially crafted Word file which injects the malware into the system using a kernel exploit. Microsoft is already working on a patch.

Symantec says that in at least one case, attackers have already taught Duqu to spread via network shares. This allowed the bot to spread through the company network and even infect systems with no direct internet access. The latter were then supplied with instructions from the command and control server by bots which did have internet access.

Until now, Duqu has reportedly only been used for targeted attacks. The installer examined by Symantec was set to be active during an eight-day window in August, only. Symantec has already identified possible infections at six companies operating in France, The Netherlands, Switzerland, the Ukraine, India, Iran, Sudan and Vietnam. Other security companies claim to have discovered infections in the UK, Austria and Indonesia. To date, Duqu has not been identified at German companies. The German Federal Office for Information Security (BSI) has specifically asked businesses to inform it of any cases of infection.

One area in which Duqu has been deployed is to carry out espionage against manufacturers of industrial control systems. This suggests that the attackers may be using the stolen information to plan new attacks on industrial control systems, such as those used in power plants. Stuxnet was initially deployed to sabotage Iran's nuclear programme. Stuxnet also exploited previously unknown vulnerabilities in Windows.

In the meantime, security specialists from Dell's SecureWorks Counter Threat Unit (CTU) have expressed doubt as to whether Duqu is really related to Stuxnet. They report that although both pieces of malware utilise broadly similar rootkit techniques, such as a kernel driver which first decrypts an encrypted DLL and then injects it into other processes, these techniques are now standard practice and are used by many pieces of malware unrelated to Stuxnet. Duqu's payload, according to Dell, bears no relation to Stuxnet's and does not suggest a relationship between the two.

(crve)

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com