它可能对工业控制系统构成严重威胁
最近发现的 Duqu 木马病毒引起了安全研究界的极大关注。原因如下。Duqu 是什么?这是一种远程访问木马 (RAT),旨在窃取受感染计算机的数据。由布达佩斯大学密码与系统安全实验室 (CrySys) 开发。
老鼠病毒如今非常普遍。为什么 Duqu 受到如此关注?杜曲被认为是由写作《去年,该蠕虫病毒曾用于破坏伊朗纳坦兹核设施的运行。许多安全分析师认为,它是下一个震网病毒的前身,对管理发电厂和水处理设施等关键基础设施设备的工业控制系统构成了严重威胁。
Stuxnet 和 Duqu 之间到底有何联系?Duqu 和 Stuxnet 共享许多共同的代码和功能。尽管 Stuxnet 二进制文件已经流传了一段时间,但实际源代码本身尚未公开。Duqu 包含 Stuxnet 代码这一事实让一些人相信,Duqu 的作者要么可以直接访问 Stuxnet 代码,要么就是 Stuxnet 的作者。Duqu 还使用了一个安装驱动程序,该驱动程序使用一家名为 JMicron 的台湾公司的被盗或伪造的数字证书进行签名。Stuxnet 使用的证书属于同一家公司。
那么,Duqu 针对的是工业控制系统吗?有点像,但方式与 Stuxnet 不同。Duqu 似乎旨在窃取工业控制系统供应商的信息。它是一种情报收集代理。而 Stuxnet 则旨在对工业控制系统造成实际的物理损坏。安全供应商赛门铁克和其他公司认为,Duqu 被用来窃取信息,这些信息最终可用于制造另一个 Stuxnet。
Duqu 到底构成了多严重的威胁?这取决于你问谁。赛门铁克和卡巴斯基等公司将 Duqu 描述为一种高度复杂的恶意软件,可能由一个民族国家出于特定目的而创建. 来自伊朗的新闻可能会加剧这些担忧,伊朗称该国计算机已成为 Duqu 攻击的目标。
但并不是所有人都同意这个观点,对吧?正确。有些人认为恐惧是。美国 ICS 计算机应急响应小组最初向关键基础设施所有者发出警告,要求他们警惕 Duqu。但后来,该小组又发布最新消息称,工业控制系统 (ICS) 和供应商/制造商均不是 Duqu 的目标(下载 PDF)。
Duqu 感染了多少系统?目前尚不清楚,但据信实际受 Duqu 感染的公司数量并不多。赛门铁克声称,至少有 6 个组织在 8 个国家的计算机上发现了 Duqu,这些组织包括法国、印度、伊朗、苏丹和越南。匈牙利、印度尼西亚和英国也报告了 Duqu 的踪迹。根据安全供应商提供的估计,目前至少受感染的系统数量似乎不到 50 个。
它究竟是如何感染系统的?Duqu 感染系统的方式目前尚不完全清楚。有一次,Duqu 安装程序利用了在易受攻击的计算机上安装恶意软件。恶意软件通过格式错误的 Word 文档传播,该文档以电子邮件附件的形式发送给目标组织。单击该文档会触发漏洞。
安装后,该恶意软件会与命令和控制服务器通信,然后命令它下载更多数据窃取恶意软件或通过网络共享将自身传播到同一网络上的其他计算机。Duqu 的设计并不是为了自行传播。它还被编程为在 36 天后从受感染的计算机中删除自身。
微软是否已发布针对 Duqu 零日漏洞的补丁?还没有。但该公司正在努力修复。在补丁发布之前,公司可以通过阻止对与嵌入式字体技术相关的动态链接库 T2EMBED.DLL 的访问来抵御威胁。
它是如何传递系统中窃取的数据的?被盗数据被加密,然后以 JPG 图像文件的形式发送到 C&C 服务器。
Duqu 的背后是谁?这确实是一个大问题。Duqu 的复杂程度以及它利用 Windows 内核级漏洞的事实表明,它的作者要么资金雄厚,要么技术高超,或者两者兼而有之。大多数人认为它是由一个民族国家创建的;至于哪一个,谁也说不准。
