2011年安全专家检测到Stuxnet病毒的一个新型变种—Duqu木马病毒,这种病毒比Stuxnet病毒更加聪明、强大。与Stuxnet不同的是,Duqu木马不是为了破坏工业控制系统,而是潜伏并收集攻击目标的各种信息,以供未来网络袭击之用。据专家介绍,Duqu木马病毒包含两部分,一部分用于信息侦测,另一部分用于信息传送。已有企业宣称他们的设施中发现了Duqu代码。
2015年6月Duqu 2.0爆发,甚至入侵到网络安全厂商卡巴斯基的内网和伊核谈判地点的会议酒店。其技术实力不容小觑。
Duqu是一种复杂的木马。它的主要目的是为私密信息的*取盗**提供便利。根据其创建文件的前缀该病毒被命名为“Duqu”。2011年9月,布达佩斯技术经济大学的密码学与系统安全(CrySyS)实验室发现并分析了这一新型病毒,基于这个报告,赛门铁克继续了该研究并称Win32.Duqu“和Stuxnet非常相似,但是用于完全不同的目的”。赛门铁克发布了详细的技术论文。泄漏出来的数据可能会被利用发起类似震网的攻击。2011年卡巴斯基实验室全球研发总监对路透社说,研究结果表明Stuxnet和Duqu基于共同的“Tilded”平台,它始于2007年,研究表明基于这一平台至少有三个恶意软件的变种。Duqu 和Stuxnet 共享了大量的代码,但有效载荷完全不同。Duqu用通用的远程访问能力替代了震网中对ICS系统破坏的代码。Duqu的开发者访问了震网的源代码,而不仅仅是二进制代码。攻击者试图利用这样的能力从私人公司搜集情报也许会为将来对第三方的攻击提供帮助。在2011年4月伊朗官员有过类似的报告被称为“Star”,也许那就是Duqu。
Duqu的企图是从工业设施和系统厂商获取情报数据为今后实施针对第三方的攻击提供便利。攻击者寻找设计文件用于今后对各种行业包括对工业控制系统设施的攻击。Duqu 不包括任何与工业控制系统相关的代码,它主要还是一个远程访问的木马(RAT)病毒本身不能自我复制。目前Duqu的攻击对象有限,但采用类似的方法用目前还没有发现的变种来攻击其他目标也是有可能的。预示着网络罪犯使用的技术在震网病毒之后又开启了一个新的时代,网络犯罪将有足够的能力成功实施工业间谍活动,甚至绑架与勒索。
在一个例子中,攻击者使用带有特定微软Word文件的定向邮件。该Word文件包括当时还未公布的”零日”核心漏洞,这个漏洞能够安装Duqu。攻击者是否在其他案例里使用同样的方法和相同的”零日”漏洞还不得而知。关于”零日”漏洞更多的信息会在问题得到修补的时候发布。
攻击者使用Duqu安装另一个恶意软件,该软件能记录击键和收集系统信息。攻击者正找寻在未来攻击中能够使用的信息资产。在一个例子中,攻击者显然没有能成功地偷到任何敏感信息,但还不知道在其他情况下的细节。
在重新检查提交档案时,最初发现了两个变种。第一个攻击发生记录是2011年4月。然而基于文件编译的时间,使用这些变种的攻击是在2010年11月。另一个变种是2011年10月17日,新的有效载荷*载下**的时间是在2011年10月18日。也就是说发现攻击时,攻击者还在活动。
Duqu包括一个驱动文件,一个动态连接库(DLL,包括很多嵌入文件)和一个配置文件。这些文件必须由另一个可执行文件安装程序安装。安装程序注册驱动文件为一个服务,这样系统初始化时就可以启动。然后驱动程序注入主DLL到service*ex.e**。从这里开始DLL就开始提取其他组件,这些组件就被注入其它的处理过程。这个处理过程隐藏了Duqu的活动并可以允许特定行为绕开一些安全产品。
一个变种驱动文件在2012年8月2日签署了有效的数字证书。这个数字证书是颁发给总部在台北的一家公司,并于2011年10月14日撤销。赛门铁克认为产生证书的私钥被从该公司窃取。有了合法的证书使Duqu绕过了对未知驱动的限制和其它通用的安全措施。
Duqu使用HTTP和HTTPs与命令控制(C&C)服务器通信。Duqu也代理已知路由,但是这些显然不是默认使用。每次攻击使用一个或多个C&C服务器。目前已知的C&C服务器包括在印度的206.183.111.97、比利时的77.241.93.160和越南的123.30.137.117等地址的托管服务器。所有这些IP地址都是非激活态。C&C服务器配置所有端口80和443的流量到其它服务器。这些服务器也许会流向更远的服务器,鉴定和恢复实际的C&C服务器是困难的。流量转发的C&C服务器在2011年10月20日被废止,所以只有有限的信息回复。由于它们有限的目的就是转发信息,即使服务器不被废止也没有可用的信息能找到。
通过C&C服务器,攻击者能够加载额外的可执行文件,包括一个可以执行枚举网络。记录击键和收集系统信息的恶意软件。这些信息被稍微加密并压缩成本地文件,然后一定会被悄悄发送出去。除了这个恶意软件以外,10月18日3个以上的DLL文件被C&C服务器推送出去。
这个病毒使用定制的命令和控制协议,主要是*载下**或上载看起来像.jpg的文件,但是除了传输dummy.jpg文件之外,额外的加密数据附着在.jpg文件上流出,同样地,使用.jpg文件可以简单地绕过网络传输限制。
这个病毒不自我复制,但是基于对感染计算机的取证分析,病毒一旦得到指示将使用C&C服务器,通过网络共享复制到网络上另外的计算机。
那些已感染计算机会创建一个非默认的配置文件,引导病毒不要使用外部的C&C服务器,而是使用端到端C&C模式。在这样的例子中,新近已感染的计算机被引导去感染一台代理所有C&C流量到外部C&C服务器的计算机。使用端到端模式就使得病毒访问计算机不会被连接到外部的Internet,从而避免了针对来自多台电脑与外部可疑流量所进行的检查。
最终,这个病毒被配置成默认运行30天,30天以后它将自动地从系统中删除。然而,Duqu已经*载下**了额外可以延迟天数的组件。因此如果攻击者被发现并且他们失去了控制被感染计算机的能力(比如C&C服务器关机),病毒将最终自动删除。根据赛门铁克2011年11月的报告,当时确认有8个国家的6个组织报告发现Duqu病毒。包括法国,荷兰,瑞典,乌克兰,印度,伊朗,苏丹和越南。
2015年6月媒体报道了Duqu 2.0感染了位于瑞士和奥地利酒店的计算机,这些酒店是进行伊朗核计划和经济制裁国际谈判的地点。不仅如此, Duqu2.0甚至还攻破了卡巴斯基的内网,另外,Duqu2.0也影响了欧洲和北非各一家电信运营商,一家东南亚电子设备厂商,以及美国、英国、瑞典、印度和中国香港的企业。卡巴斯基经过大量调查,发现这是又一次精心组织、精密实施的APT攻击,只有国家支持的团队才有能力做到,他们明确指认幕后黑手就是2011年名噪一时的Duqu背后组织。因此卡巴斯基将此次攻击命名为Duqu 2.0。
卡巴斯基发现了该恶意软件,赛门铁克也证实了他们的发现。该恶意软件是Duqu的变种,而Duqu是STUXNET的变种。该恶意软件使用了Verysign颁发的合法富士康数字证书,而Windows相信带有富士康数字证书签名的代码,因此操作系统*载下**并安装了Duqu2.0的64位核心驱动但没有进行任何报警。恶意软件完全控制了被感染的计算机。据称该软件利用了3个”零日”漏洞,但目前还没有这三个”零日”漏洞的细节。根据现有的资料Duqu2.0只存在与计算机内存中,没有对硬盘进行写数据的操作。
Duqu 2.0的最大特点是恶意代码只驻留在被感染机器的内存里,硬盘里不留痕迹,某台机器重启时恶意代*会码**被短暂清洗,但只要它还会连上内部网络,恶意代码就会从另一台感染机器传过来。这一手法是前所未见的。恶意代码利用了一个Windows内核的0day漏洞。在四、五月份卡巴斯基就向微软报告了这一漏洞,以色列军方相关机构也通告了这一漏洞,现在已被修补,编号为CVE-2015-2360。卡巴斯基称这一攻击的理念与思路比之前的APT(包括2月份发现的Equation)要领先一代。开发成本估计达到5000万美元。
Duqu 2.0执行恶意代码的方式也很妙,使用Windows Installer的MSI安装包加载恶意代码所需的资源并解密,再将执行权限交给内存中的代码,这样反病毒产品也很容易被骗过。唯一在硬盘中存在的是与互联网相连的网络服务器上的一些Windows设备驱动程序,当网络里Duqu 2.0都被清洗时,攻击者还可以通过向这些服务器发送魔术字符串,让设备驱动程序重新*载下**Duqu主引擎,再次感染网络。因此想要完全清除Duqu 2.0,必须所有机器同时断电同时重启,而且在重启前还要找到那些有恶意驱动程序机器上,把它们干掉。
此外,Duqu 2.0还有很多妙招。比如和Duqu一代那样,在图片文件里隐藏加密数据。
