Pull to refresh
0
Rating

Duqu: история Stuxnet продолжается…

ESET NOD32 corporate blog
На протяжении последних нескольких дней большое внимание приковано к вредоносной программе Win32/Duqu. Дело в том, что по особенностям своей реализации Win32/Duqu похож на широко известный Win32/Stuxnet. В прошлом году мы проводили довольно детальный анализ червя Win32/Stuxnet, в результате которого появился исследовательский отчет «Stuxnet Under the Microscope». И сейчас исследуем Win32/Duqu, изучив модули и механизмы их работы которого, можно утверждать, что эта вредоносная программа базируется на одних тех же исходных кодах или библиотеках, что и сам Win32/Stuxnet. Пожалуй, это даже не просто исходные коды, а некоторый framework для разработки вредоносных программ или кибероружия. Восстановленный код драйверов Duqu нам очень напомнил, то, что мы уже видели в Stuxnet. Эти драйверы практически идентичны с тем, что мы видели прошлой осенью.

С того момента, как мы начали исследовать Win32/Duqu, нас интересовал вопрос, каким образом можно идентифицировать точную дату заражения компьютера этой вредоносной программой. Такая информация, прежде всего, полезна для проведения криминалистической экспертизы и восстановления картины произошедших событий. У нас появилась идея о том, что если Duqu хранит информацию о моменте своего самоудаления, то должна быть информация, с которой начинается этот отсчет. Нам удалось обнаружить интересную вещь, на данный момент у нас есть несколько наборов сэмплов с различных зараженных машин. И оказалось, что в процессе заражения формируется так называемая main.dll (основной компонент в секции ресурсов которого хранятся другие компоненты), в которой сохраняется точная дата заражения в UTC-формате. Ниже мы приводим декомпилированный код, осуществляющий проверку даты:

image

На основании этих данных в процессе проведения криминалистической экспертизы зараженной машины можно установить точную дату и время ее заражения.

В отчете «Duqu: the precursor to the next Stuxnet» приводится время жизни Duqu на зараженной машине в 36 дней, после чего происходит автоматическое удаление. Для того, что бы узнать дату заражения сначала предстоит расшифровать конфигурационные файлы при помощи не хитрого кустарного криптоалгоритма:

image

Изучив несколько наборов сэмплов мы выяснили, что эта дата может меняться и скорее всего, устанавливается в процессе заражения на основании конфигурационных данных дроппера. У нас один набор сэмплов должен был удалится так же через 36 дней, а вот второй только через 30.

Конфигурационный файл заражения 11/08/2011 в 7:50:01 и удалением через 36 дней:

image

Конфигурационный файл заражения 18/08/2011 в 7:29:07 и удалением через 30 дней:

image

Duqu хранит в себе еще много интересных технических деталей, и мы продолжаем наше исследование.
Tags:
Hubs:
Total votes 16: ↑15 and ↓1 +14
Views 7.2K
Comments Comments 5

Information

Founded
Location
Словакия
Website
www.esetnod32.ru
Employees
1,001–5,000 employees
Registered