最近发现的Duqu木马受到了安全研究界的高度关注。原因如下。什么是杜曲?它是一种远程访问特洛伊木马 (RAT),旨在从其感染的计算机中窃取数据。原来是由布达佩斯大学密码学和系统安全实验室 (CrySys) 开发。
如今,RAT 非常常见。为何杜曲如此受关注?Duqu 被认为是由撰写《Duqu》的同一个人创作的,该蠕虫去年被用来扰乱伊朗纳坦兹核设施的运行。许多安全分析师认为,它是下一个 Stuxnet 的前身,对管理发电厂和水处理设施等关键基础设施设备的工业控制系统构成严重威胁。
Stuxnet 和 Duqu 之间到底有什么联系?Duqu 和 Stuxnet 共享许多通用代码和功能。虽然 Stuxnet 二进制文件已经流传了一段时间,但实际的源代码本身尚未公开。 Duqu 包含 Stuxnet 代码这一事实让一些人相信 Duqu 的作者要么可以直接访问 Stuxnet 代码,要么就是 Stuxnet 的作者。 Duqu 还使用了一个安装驱动程序,该驱动程序是使用台湾 JMicron 公司窃取或伪造的数字证书进行签名的。 Stuxnet 使用属于同一公司的证书。
那么,Duqu是针对工业控制系统的吗?有点像,但与震网不太一样。 Duqu 似乎旨在窃取工业控制系统供应商的信息。它是一个情报收集代理。另一方面,Stuxnet 的设计目的是对工业控制系统造成实际的物理损坏。安全供应商赛门铁克和其他公司认为 Duqu 被用来窃取信息,这些信息最终可用于制作另一个震网病毒。
Duqu 真正构成的威胁有多严重?这取决于你问的是谁。赛门铁克和卡巴斯基等公司将 Duqu 描述为一种高度复杂的恶意软件,可能是由某个民族国家出于特定目的而创建的。。来自伊朗的消息可能会加剧这些担忧,称该国的计算机已成为 Duqu 的攻击目标。
但并不是每个人都同意这个观点,对吗?正确的。有些人认为恐惧是。美国ICS计算机应急响应小组最初向关键基础设施所有者发出警告,要求他们对Duqu保持警惕。然而,后来它发布了最新消息,称工业控制系统 (ICS) 和供应商/制造商都不是 Duqu 的目标(下载 PDF)。
Duqu 感染了多少系统?目前尚不清楚,但受 Duqu 影响的实际公司数量据信很少。赛门铁克声称已在法国、印度、伊朗、苏丹和越南等八个国家的至少六个组织的计算机上发现了 Duqu。匈牙利、印度尼西亚和英国也有 Duqu 目击报告 根据安全供应商的现有估计,至少目前受感染系统的数量似乎不到 50 个。
它到底是如何感染系统的?Duqu 以目前尚不完全了解的方式感染系统。在一个实例中,Duqu 安装程序利用了 0day 内核级漏洞在易受攻击的计算机上安装恶意软件。该恶意软件通过格式错误的 Word 文档进行传播,该文档以电子邮件附件的形式发送给目标组织。单击该文档会触发漏洞利用。
一旦安装,恶意软件就会与命令和控制服务器进行通信,然后指示它下载其他数据窃取恶意软件或通过网络共享将自身传播到同一网络上的其他计算机。 Duqu 并非旨在自行传播。它还被编程为在 36 天后从受感染的计算机中删除自身。
Microsoft 是否发布了针对零日漏洞 Duqu 漏洞的补丁?还没有。但该公司正在努力解决这个问题。在补丁可用之前,公司可以通过阻止对 T2EMBED.DLL(与嵌入字体技术相关的动态链接库)的访问来实现威胁。
它如何传递系统中被盗的数据?窃取的数据被加密,然后以 JPG 图像文件的形式发送到 C&C 服务器。
杜曲背后是谁?这确实是个大问题。 Duqu 的复杂程度及其利用 Windows 内核级缺陷的事实表明,其作者要么资金雄厚,要么技术精湛,或者两者兼而有之。大多数人认为它是由一个民族国家创建的;事实上,它是由一个民族国家创建的。哪个是任何人的猜测。
我如何知道我的硬件是否被感染?CrySys 发布了一个免费的、可下载的工具包,用于查找系统或整个网络上的 Duqu 感染。该工具旨在查找可疑文件和 Duqu 的某些已知指标。但在大多数情况下,Duqu 高度针对 ICS 供应商,因此除非您的公司是其中之一,否则应该没问题。
杰库玛·维贾扬涵盖数据安全和隐私问题、金融服务安全和电子投票计算机世界。在 Twitter 上关注 Jaikumar:@jaivijayan或订阅Jaikumar 的 RSS 源。他的电子邮件地址是[email protected]。