Крестовый поход против «Зевса»

В конце прошлого года авторы Duqu попытались уничтожить все следы своей деятельности. Как мы знаем, были очищены все серверы, которые они использовали как минимум с 2009 года.

В 2012 практически никаких признаков Duqu в Сети не обнаруживалось. Но несколько дней назад коллеги из Symantec сообщили об обнаружении в «дикой природе» нового драйвера, практически подобного тем, которые ранее использовались в Duqu. Однако знаменитые ранее драйверы были созданы 3 ноября 2010 и 17 октября 2011 года, а новый драйвер — 23 февраля 2012 года.

После четырех месяцев перерыва авторы Duqu опять вернулись к работе.

Duqu вернулся

Новый драйвер Duqu совпадает по функциональности с предыдущими знаменитыми нам версиями. Отличия в коде незначительные, но свидетельствуют о проделанной «работе над ошибками», направленной на противодействие детектированию файла.

Изменены настройки оптимизации компилятора и/или атрибуты разворачивания (inline) функций.

На 32 байта увеличен размер EXE файла-заглушки, который используется для внедрения PNF DLL в процессы.

В LoadImageNotifyRoutine сравнение имени модуля “KERNEL32.DLL” производится сравнением хеш-сумм; предыдущие версии сравнивали строки.

Размер зашифрованного блока увеличен с 428 байт до 574 байт. Количество полей в блоке не изменилось, но при этом увеличен буфер, в котором хранится имя значения реестра «FILTER». Скорее всего, в этой версии драйвера это имя будет меняться.

Изменилась функция расшифровки крипто-блока, ключа реестра и PNF. Это третья знаменитая нам версия алгоритма шифрования в драйверах Duqu.

Изменилась функция хеширования API функций, соответственно, и все хеши, которые используются для получения их адресов.

Старая функция, используемая во всех предыдущих версиях драйвера:

Новая функция:

То, что данный драйвер был обнаружен в Иране, еще раз подтверждает, что основная масса инцидентов Duqu связано с этой страной.

Количество инцидентов

Всего, основываясь на наших данных и данных, полученных от коллег из Symantec, мы зафиксировали 21 инцидент Duqu.

Некоторые из модификаций Duqu, которые будут описаны ниже, несмотря на разные файлы, были обнаружены в ходе расследования одних и тех же инцидентов. Соответственно, такие модификации мы объединяли в один инцидент.

В нескольких инцидентах нами не были обнаружены основные модули Duqu, однако мы нашли файлы, создаваемые шпионским модулем в ходе работы – такие как “~DQ”, “~DF”, “~DO” и т.п. Еще о нескольких инцидентах нам стало известно в ходе анализа информации, полученной нами с захваченных серверов управления Duqu. Такие инциденты также включены в общее число зафиксированных.



Большинство жертв Duqu находится в Иране.


Географическое распределение инцидентов Duqu

Анализ деятельности организаций-жертв и характер информации, интересовавшей авторов Duqu, свидетельствует, что главной,главный целью атакующих в иранских инцидентах была любая информация о системах управления производством в различных отраслях промышленности Ирана, а также информация о торговых отношениях ряда иранских организаций.

Несомненно, что число атакованных Duqu больше, однако мы полагаем, что оно вряд ли превышает несколько десятков.

Известные модификации Duqu

Информация обо всех знаменитых нам модификациях Duqu приведена в таблице. Зеленым цветом выделены файлы, которые имеются у нас. Красным – те, которые так и не были обнаружены. В ряде случаев мы знаем, какие должны были быть имена и размеры у отсутствующих файлов.

#

File name

Size

Date

Country

1st level C&C

2nd level C&C

Discovered by

a

cmi4432.sys

29568

03.11.2010

Hungary

India

Philippines

Crysys

cmi4432.pnf

192512

17.07.2011

cmi4463.pnf

 

 

 

b

jminet7.sys

24960

03.11.2010

Hungary

India

Philippines

Crysys

netp191.pnf

232448

04.11.2010

netp192.pnf

 

 

 

c

igdkmd16b.sys

25088

03.11.2010

Iran

Vietnam

Germany

Kaspersky

netp794.pnf

232448

16.02.2011

netq795.pnf

 

 

 

c2

igdkmd16b.sys

25088

17.10.2011

Iran

Vietnam

Germany

Kaspersky

netp794.pnf

240640

18.10.2011

netq795.pnf

 

 

 

d

iraid18.sys

24960

 

Iran

 

 

Kaspersky

ird18.pnf

 

 

ird182.pnf

 

 

 

e

e1g61i32.sys

24960

03.11.2010

Sudan

 

 

Kaspersky

e1g62i32.pnf

192512

 

e1g61i32.pnf

 

 

 

f

adp95xx.sys

24960

03.11.2010

Sudan

Netherlands

South Korea

Kaspersky

adp95xx.pnf

248320

17.04.2011

adp96xx.pnf

 

 

 

g

bpmsg.sys

24832

 

Iran

 

 

Kaspersky

main pnf unknown

 

 

config pnf unknown

 

 

 

h

allide1.sys

 

 

Europe

Belgium

?

Symantec

iddr021.pnf

232448

04.11.2010

iddr022.pnf

 

 

 

i

nfrd965.sys

24960

17.10.2011

Austria/Indonesia?

Vietnam

?

VirusTotal/Symantec

netf1.pnf

240640

18.10.2011

netf2.pnf

 

 

 

i2

nfrd965.sys

24960

03.11.2010

Austria/Indonesia?

 

 

Symantec

 

j

iastor451.sys

24960

03.11.2010

South Korea?

 

 

VirusTotal

main pnf unknown

 

 

config pnf unknown

 

 

 

k

adpu321.sys

24960

17.10.2011

UK

 

 

VirusTotal

main pnf unknown

 

 

config pnf unknown

 

 

 

k2

adpu321.sys

24960

03.11.2010

?

 

 

systemexplorernet

main pnf unknown

 

 

config pnf unknown

 

 

 

l

jminet1.sys

24960

03.11.2010

Iran

 

 

Kaspersky

netq793.pnf

 

 

netq794.pnf

 

 

 

m

ql50xx.pnf

24960

03.11.2010

Sudan

 

 

Kaspersky

main pnf unknown

 

 

ql50xz.pnf

 

 

 

n

battd.sys

24960

03.11.2010

Iran

 

 

Kaspersky

battd771.pnf

 

 

battd772.pnf

 

 

 

o

mcd9x86.sys

24320

23.02.2012

Iran

 

 

Symantec

main pnf unknown

 

 

config pnf unknown

 

 

Таким образом, общее число имеющихся у нас драйверов составляет 14, включая один с цифровой подписью (cmi4432.sys), при этом нам знаменито о существовании еще 4 драйверов, которые не были обнаружены.

Основных модулей Duqu (main pnf) в нашем распоряжении 7. Они взаимодействуют с пятью различными серверами первого уровня, которые теснее закрыты в результате действий нашей компании и компании Symantec. Кроме того, были закрыты некоторые из серверов второго уровня.

Заключение

Возвращение Duqu в феврале 2012 года, после 4 месяцев затишья, говорит о том, что наши изначальные предположения были правильными. Когда в проект инвестировано столько средств, какое колличество их было инвестировано в разработку Duqu и Stuxnet, невозможно просто взять и прекратить операцию. Вместо этого киберпреступники сделали то же, что делали всегда – изменили код так, чтобы обойти детектирование, и продолжили атаки.

При менее чем пятидесяти жертвах по всему миру, Duqu остается самым загадочным троянцем из всех, когда-либо обнаруженных. Его нацеленность на Иран указывает на наличие у его владельцев четкого и ясного плана постоянных атак. Сложность и многослойные уровни защиты троянца показывают, насколько главно для этого проекта оставаться незамеченным. Можно предположить, что в дальнейшем платформа “Tilded” будет развиваться именно в этом направлении.



Пинг не поддерживается.

Оставить комментарий