Trojan Duqu - nowe wątki

Przeczytaj także: Ukierunkowane ataki trojana Duqu

W naszym wariancie zakres ten wynosił od 17 sierpnia 2010 r. do 18 lipca 2012 r. W próbce droppera wykrytego przez CrySyS zakres był inny: 17 sierpnia 2005 r. – 2 listopada 2023 r.

Następnie dropper ładuje część PNF (DLL) i przekazuje kontrolę funkcji eksportowanej jako Nr 4. Funkcja ta odpowiada za instalowanie w systemie i uruchomienie sterownika trojana oraz zaszyfrowanej biblioteki (PNF DLL), wraz z plikiem konfiguracyjnym. Plik konfiguracyjny zawiera datę infekcji oraz okres działania trojana w systemie (domyślnie jest to 30 dni, jednak okres ten może się zmienić w zależności od poleceń z centrum kontroli).

Jak zakłądano wcześniej, w incydencie tym wykorzystano unikatowy zestaw plików, który różni się od wcześniej znanych zestawów. Najważniejsza różnica polega na tym, że główny moduł trojana (plik konfiguracyjny DLL) posiadał datę utworzenia 17 kwietnia – ten sam dzień, w którym miał miejsce pierwszy atak na ofiarę. To oznacza, że autorzy tego szkodnika tworzą oddzielny zestaw plików dla każdej ofiary tuż przed atakiem.

Różnice w rozmiarze głównej biblioteki DLL (znaleziono na różnych komputerach w jednym incydencie) można wyjaśnić tym, że w pierwszym wariancie DLL komponent, który współdziała z centrum kontroli, jest przechowywany w bibliotece DLL PNF jako zasób 302; natomiast w drugim wariancie komponent ten znajduje się w skompresowanej sekcji “.zdata” biblioteki loadera, która jest przechowywana jako zasób 302. Zakładamy, że kompresja miała miejsce po utworzeniu zestawu, przy pomocy którego został zaatakowany inny komputer w sieci.

Wykorzystywany w tym zestawie serwer kontroli (C2) również różnił się od tych, które zostały wykryte wcześniej w Indiach i Belgii. W omawianym incydencie centrum kontroli było zlokalizowane w innym państwie; jednak ze względu na trwające dochodzenie nie możemy ujawniać publicznie tej daty. Poza tym wiadomo nam o jeszcze innym centrum kontroli wykorzystanym w innym incydencie; ono również jest analizowane. Informacje te zostaną opublikowane w najbliższym czasie. To również sugeruje, że osoby atakujące wykorzystywały inne centrum C&C dla każdego ataku.

Etap II: Zbieranie informacji

Podczas dochodzenia dotyczącego tego incydentu okazało się, że w jednej organizacji zhakowane zostały dwa komputery. Pierwszy z nich stanowił źródło infekcji z 21 kwietnia; drugi został zhakowany później, pod koniec maja. Infekcja drugiego komputera została przeprowadzona za pośrednictwem sieci lokalnej.

Po zainfekowaniu systemu oraz ustanowieniu połączenia z serwerem kontroli nie ma wątpliwości, że został załadowany i zainstalowany dodatkowy moduł znany jako keylogger, który potrafił zbierać informacje o systemie, wykonywać zrzuty ekranu, wyszukiwać pliki, przechwytywać hasła itd. Do dnia dzisiejszego potwierdzono istnienie przynajmniej dwóch wariantów danego modułu – jeden został znaleziony przez Crysys Lab (data kompilacji: 1 czerwca 2011 r.), drugi przez Symanteca (data kompilacji: 10 sierpnia 2011 r.). W omawianym incydencie nie zdołaliśmy znaleźć podobnego modułu; jednak możemy stwierdzić, że istniał jeszcze w maju 2011 r.