Szkodliwe programy Stuxnet/Duqu a platforma "Tilded"
2012-01-05 11:00
Konwencjonalna architektura platformy dla Stuxneta i Duqu © fot. mat. prasowe
Nowe informacje dotyczące trojanów Duqu i Stuxnet potwierdzają, że za tą rodziną szkodliwych programów stoi jednak grupa cyberprzestępców. Pozwalają również założyć, że w obu przypadkach wykorzystano tę samą platformę, która może być dostosowywana do określonych celów. Ponadto, istnieje możliwość, że platforma ta powstała na długo przed epidemią Stuxneta i była wykorzystywana o wiele aktywniej niż sądzono do tej pory. Do takiego wniosku doszli eksperci z Kaspersky Lab na podstawie szczegółowej analizy sterowników wykorzystywanych przez Duqu oraz Stuxneta do infekowania systemów.
Przeczytaj także: Ukierunkowane ataki trojana Duqu
Od dwóch miesięcy badamy trojana Duqu, próbując ustalić, w jaki sposób pojawił się ten szkodnik, w jakich miejscach był rozprzestrzeniany i w jaki sposób działa. Mimo ogromnej ilości uzyskanych danych (z których większość nie została jeszcze opublikowana) nadal nie znamy odpowiedzi na podstawowe pytanie – kto stoi za Duqu?Istnieją również inne kwestie, w większości dotyczące stworzenia tego trojana lub raczej platformy wykorzystywanej do implementacji Duqu oraz Stuxneta.
Pod względem architektury platforma wykorzystana do stworzenia Duqu i Stuxneta jest taka sama. Jest to plik sterownika, który ładuje główny moduł w postaci zaszyfrowanej biblioteki. Jednocześnie istnieje osobny plik konfiguracyjny dla całego szkodliwego „zespołu” oraz zaszyfrowany blok w rejestrze systemowym, który określa lokalizację ładowanego modułu i nazwę procesu do wstrzyknięcia.
fot. mat. prasowe
Konwencjonalna architektura platformy dla Stuxneta i Duqu
Konwencjonalna architektura platformy dla Stuxneta i Duqu
Platformę można określić nazwą ‘Tilded’, ponieważ z jakichś powodów jej autorzy stosują nazwy plików rozpoczynające się od znaku tyldy i litery d: "~d".
Uważamy, że Duqu i Stuxnet stanowiły równoległe projekty wspierane przez ten sam zespół twórców.
Na jaw wyszły również inne szczegóły sugerujące, że w latach 2007-2008 istniał prawdopodobnie jeszcze jeden moduł spyware oparty na tej samej platformie oraz kilka innych programów, których funkcjonalność nie była jasna między 2008, a 2010 rokiem.
Fakty te w poważnym stopniu podważają „oficjalną” historię Stuxneta. Postaramy się przytoczyć je w tym artykule, najpierw jednak podsumujemy to, co wiadomo na temat tego szkodnika.
„Oficjalna” historia Stuxneta
Zacznijmy od pytania: jak wiele plików sterowników Stuxneta jest znanych? Na dzień dzisiejszy odpowiedź brzmi: cztery. Więcej informacji na ich temat zawiera tabela poniżej.
fot. mat. prasowe
Ilość plików sterowników Stuxneta
Ilość plików sterowników Stuxneta
Pierwsza modyfikacja robaka Stuxnet, stworzona w 2009 roku, wykorzystywała tylko jeden plik sterownika - mrxcls.sys bez podpisu cyfrowego.
W 2010 roku autorzy szkodnika stworzyli drugi sterownik mrxnet.sys (w celu ukrycia plików komponentów robaka na urządzeniach USB) i wyposażyli sterowniki mrxnet.sys oraz mrxcls.sys w cyfrowe certyfikaty Realtek. Sterownik mrxnet.sys nie odgrywa znaczącej roli w naszej opowieści, ponieważ jest to oddzielny moduł, który nie stanowi części ogólnej architektury platformy.
Przeczytaj także:
![Nowy trojan Duqu]( "Nowy trojan Duqu")
Nowy trojan Duqu
Nowy trojan Duqu
oprac. : Katarzyna Sikorska / eGospodarka.pl
Więcej na ten temat:
Stuxnet, Duqu, ataki hakerskie, zagrożenia internetowe, szkodliwe programy, złośliwe oprogramowanie
Przeczytaj także
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (0)
Jacy freelancerzy są najbardziej poszukiwani?
