Тайна Duqu: часть третья

Прежде всего я должен сообщить об ошибке, допущенной в прошлом тексте.

При анализе 4-го инцидента в Иране мы констатировали факт двух сетевых атак на машину жертвы с IP-адреса 63.87.255.149. Это могло бы стать отличной версией происхождения Duqu, но оказалось потрясающей ошибкой.

Судите сами – Duqu в своей работе проверяет наличие подключения к интернету и пытается обратиться к серверу kasperskychk.dyndns.org, который должен находиться по адресу 68.132.129.18. Анализ информации по этому адресу показывает, что он находится в том же самом дата-центре, что и «обнаруженный» нами 63.87.255.149!

Но увы, на самом деле я ошибся при конвертации адреса. Ошибка была вызвана одним единственным аргументом – сравните “1062731669” и “-1062731669”. В первом случае это дает нам 63.87.255.149, а во втором – локальный адрес 192.168.0.107 – в котором, конечно, нет ничего интересного для нашего исследования :(

Дроппер и 0-day

Теперь перейдем к гораздо более интересным новостям. Как стало известно, продолжающееся расследование, проводимое венгерской лабораторией Crysys, привело к обнаружению главного недостающего звена – дроппера, который и проводил первоначальное заражение систем.

Как нами и ожидалось – здесь не обошлось без использования уязвимости. Был обнаружен MS Word doc-файл, который был направлен хакерами одной из жертв. Файл содержит в себе эксплоит ранее неизвестной уязвимости Windows, в результате использования которой из файла извлекались и запускались компоненты Duqu.

В настоящий момент Symantec и Microsoft все еще не предоставили другим антивирусным компаниям ни сам файл дроппер, ни информации о том, в каком компоненте Windows содержится уязвимость, приводящая к повышению привилегий, однако по косвенным признакам, мы можем предположить уязвимость в win32k.sys.

Похожая уязвимость, MS10-073, была обнаружена нами год назад, в ходе анализа червя Stuxnet. Еще одна аналогичная проблема в win32k.sys (MS11-077) была исправлена 11 октября этого года.

Компания Microsoft сообщила, что работает над исправлением новой уязвимости, однако похоже, что патч не будет доступен в ноябрьском обновлении.

Важно отметить, что обнаружение дроппера и пути его проникновения в систему (целевая атака на выбранную жертву, по электронной почте) доказывает правильность нашего предположения о том, что атаки Duqu нацелены на крайне малое число жертв и в каждом случае могут использоваться уникальные наборы файлов.

Для заражения других компьютеров в сети, Duqu использует создание на удаленной машине задач в Планировщике Windows (Scheduler). Точно такую же технику мы уже видели в Stuxnet и это один из любимых трюков атакующих при проведении целевых атак. Все это, вместе с другими уже известными деталями, усиливает теорию о том, что Stuxnet и Duqu были созданы одними и теми же людьми

Дополнительная информация показывает, что атакующие активно взаимодействовали с пораженными системами, тщательно собирая информацию с каждого компьютера и проникая все глубже и глубже в локальную сеть пострадавших. Также мы не исключаем того, что помимо уникального набора файлов Duqu для каждой жертвы – используются и уникальные сервера управления (C2), отдельный для каждого атакованного объекта.

Наше исследование зафиксированных нами инцидентов с Duqu в Судане и Иране продолжается. На данный момент мы насчитываем 3 пострадавших в Судане и 4 в Иране. С некоторыми из них мы уже ведем работу по обнаружению всех компонент Duqu и установлению путей первоначального заражения.

Мы ожидаем этих результатов в самое ближайшее время и опубликуем их в очередных выпусках Mystery of Duqu.