듀쿠

Duqu
2015년에 발표된 악성 프로그램 버전은 Duqu 2.0을 참조하십시오.

Duqu는 2011년 9월 1일에 발견된 컴퓨터 멀웨어 모음입니다.Kaspersky Labs는 Stuxnet[1] 웜과 관련된 것으로 Unit 8200[2][better source needed]의해 작성된 것으로 생각됩니다.Duqu는 Microsoft Windows의 제로 데이 취약성이용했습니다.헝가리 부다페스트 공과경제대학의 암호 및 시스템 보안 연구소(CrySyS [3]Lab)는 위협을 발견하고 멀웨어를 분석하여 위협 Duqu라는 [5]이름의 60페이지[4] 분량의 보고서를 작성했습니다.Duqu는 작성하는 [6]파일의 이름에 붙이는 접두사 "~DQ"에서 이름을 따왔습니다.

명명법

Duqu라는 용어는 다양한 의미로 사용됩니다.

  • Duqu 멀웨어는 공격자에게 서비스를 제공하는 다양한 소프트웨어 구성 요소입니다.현재 여기에는 정보 도용 기능과 백그라운드에서 커널 드라이버 및 주입 도구가 포함됩니다.이 멀웨어의 일부는 "Duqu 프레임워크"라고 불리는 알 수 없는 고급 프로그래밍 [7]언어로 작성됩니다.C++, Python, Ada, Lua 및 기타 많은 체크 언어가 아닙니다.다만, Duqu는 커스텀 오브젝트 지향 프레임워크와 함께 C로 작성되어 Microsoft Visual Studio [8]2008에서 컴파일되었을 가능성이 있습니다.
  • Duqu 결함은 악성 파일에서 Duqu의 멀웨어 구성 요소를 실행하는 데 사용되는 마이크로소프트 윈도우즈의 결함입니다.현재 알려진 결함 중 하나는 의 TrueType-Font 관련 문제입니다.win32k.sys.
  • 듀크 작전은 알려지지 않은 목표에 대해서만 듀크를 사용하는 과정이다.이 작업은 Stuxnet 작업과 관련이 있을 수 있습니다.

Stuxnet과의 관계

Symantec은 Dr.Thibault Gainche가 관리하는 CrySyS 팀을 기반으로 위협 분석을 계속하여 "Stuxnet과 거의 동일하지만 완전히 다른 목적을 가지고 있다"고 평가했으며, 이에 대한 자세한 기술 문서를 [6][9]부록으로 발행했습니다.Symantec은 Duqu가 Stuxnet과 동일한 저자에 의해 작성되었거나 저자가 Stuxnet의 소스 코드에 액세스할 수 있었다고 믿고 있습니다.이 웜은 Stuxnet과 마찬가지로 유효하지만 악용된 디지털 서명을 가지고 있으며 [6][10]향후 공격에 대비하기 위해 정보를 수집합니다.F-Secure의 최고 조사 책임자 Mikko Hyppönen은 Duqu의 커널 드라이버인 JMINET7을 말했다.SYS는 Stuxnet의 MRXCLS와 매우 유사했습니다.F-Secure의 백엔드 시스템이 Stuxnet인 줄 알았던 SYS.Hyppönen은 또한 듀쿠의 디지털 서명(한 건에서만 관찰)을 만드는 데 사용된 키가 대만 타이베이에 위치한 C-Media에서 도난당했다고 말했다.증명서는 2012년 8월 2일에 만료될 예정이었으나 [9]Symantec에 따르면 2011년 10월 14일에 취소되었습니다.

다른 소스인 Dell SecureWorks는 Duqu가 Stuxnet과 [11]관련이 없을 수 있다고 보고하고 있습니다.그러나 Duqu가 Stuxnet과 밀접하게 관련되어 있다는 증거가 상당히 많아지고 있다.

전문가들이 유사점을 비교한 결과, 세 가지 흥미로운 점이 발견되었습니다.

  • 설치 관리자는 제로 데이 윈도우즈 커널 취약성을 이용합니다.
  • 컴포넌트는 도난당한 디지털 키로 서명됩니다.
  • 두쿠와 스턱스넷은 둘 다 이란의 핵 프로그램과 매우 관련이 깊고 매우 관련이 있다.

Microsoft Word 제로 데이 악용

Duqu는 Stuxnet과 마찬가지로 제로 데이 취약성을 사용하여 Microsoft Windows 시스템을 공격합니다.CrySyS Lab에 의해 복구되어 공개된 최초의 기존 설치(AKA 드로퍼) 파일은 Win32k TrueType 글꼴 해석 엔진을 이용하여 [12]실행할 수 있는 Microsoft Word 문서를 사용합니다.Duqu dropper는 폰트 삽입과 관련되어 있기 때문에 T2EMBED에 대한 접근을 제한하는 회피책과 관련되어 있습니다.DLL. 2011년 12월에 Microsoft에 의해 출시된 패치가 아직 [13]설치되지 않은 경우 TrueType 글꼴 해석 엔진입니다.위협의 Microsoft 식별자는 MS11-087(2011년 [14]11월 13일 첫 번째 권고 발행)입니다.

목적

Duqu는 산업 통제 시스템을 공격하는 데 유용할 수 있는 정보를 찾습니다.그 목적은 파괴가 아니라 기존의 컴포넌트가 정보를 [15]수집하려고 하는 것입니다.그러나 Duqu의 모듈식 구조를 기반으로 특수 페이로드를 사용하여 어떤 종류의 컴퓨터 시스템도 공격할 수 있으므로 Duqu를 기반으로 한 사이버 물리적 공격이 가능할 수 있습니다.다만, PC 시스템에서 사용하는 것으로, 시스템에 입력된 최신의 모든 정보가 삭제되고, 경우에 따라서는 컴퓨터의 하드 드라이브가 완전하게 삭제됩니다.Duqu의 내부 통신은 [6]Symantec에 의해 분석되지만 공격받은 네트워크 내에서 어떻게 복제되는지는 아직 완전히 알려지지 않았습니다.McAfee에 따르면 Duqu의 행동 중 하나는 공격받은 컴퓨터에서 디지털 인증서(및 공개 키 암호화에 사용되는 해당 개인 키)를 훔쳐서 미래의 바이러스가 안전한 [16]소프트웨어로 인식되도록 하는 것입니다.Duqu는 54×54 픽셀의 JPEG 파일과 암호화된 더미 파일을 컨테이너로 사용하여 데이터를 명령 및 제어 센터로 밀반입합니다.보안 전문가들은 통신에 포함된 정보를 확인하기 위해 여전히 코드를 분석하고 있습니다.초기 조사에 따르면 원래 멀웨어 샘플은 36일 후에 자동으로 제거되므로(멀웨어는 이 설정을 구성 파일에 저장), [9]탐지가 제한됩니다.

요점은 다음과 같습니다.

  • 발견된 Stuxnet 소스 코드를 사용하여 Stuxnet 이후에 개발된 실행 파일.
  • 실행 파일은 키 입력 및 시스템 정보 등의 정보를 캡처하도록 설계되었습니다.
  • 현재 분석 결과 산업용 제어 시스템, 악용 또는 자가 복제와 관련된 코드가 없습니다.
  • 실행 파일은 산업 제어 시스템 제조에 관여하는 조직 등 제한된 수의 조직에서 발견되었습니다.
  • 유출된 데이터는 향후 Stuxnet과 유사한 공격을 활성화하기 위해 사용될 수도 있고 Stuxnet 공격의 기반으로 이미 사용되었을 수도 있습니다.

명령 및 제어 서버

Duqu의 명령제어 서버 중 일부가 분석되었습니다.공격을 실시한 사람들은 CentOS 5.x 서버를 선호하고 있었던 것 같습니다.그 때문에, 일부의 연구자는, CentOS 5.x 서버를 제로 데이 악용하고 있었다고[17] 생각하고 있습니다.서버는 독일, 벨기에, 필리핀, 인도, 중국 , 많은 나라에 분산되어 있습니다.Kaspersky는 명령 및 제어 [18]서버에 여러 블로그 포스트를 게시했습니다.

「 」를 참조해 주세요.

레퍼런스

  1. ^ 이스라엘이 미국 기밀을 찾아 세계를 뒤지는 러시아 해커들을 어떻게 잡았는가, 뉴욕타임즈
  2. ^ NSA, Unit 8200 및 악성코드 확산, Jeffrey Carr, 20KLeague.com의 수석 컨설턴트, 슈트와 스푸크의 설립자, "인사이드 사이버 워페어(O'Reilly Media, 2009, 2011)"의 저자, medium.com, 2016년 8월 25일
  3. ^ "Laboratory of Cryptography and System Security (CrySyS)". Retrieved 4 November 2011.
  4. ^ "Duqu: A Stuxnet-like malware found in the wild, technical report" (PDF). Laboratory of Cryptography of Systems Security (CrySyS). 14 October 2011.
  5. ^ "Statement on Duqu's initial analysis". Laboratory of Cryptography of Systems Security (CrySyS). 21 October 2011. Archived from the original on 4 October 2012. Retrieved 25 October 2011.
  6. ^ a b c d "W32.Duqu – The precursor to the next Stuxnet (Version 1.4)" (PDF). Symantec. 23 November 2011. Retrieved 30 December 2011.
  7. ^ Shawn Knight (2012) Duqu Trojan은 페이로드 DLL에 미스터리 프로그래밍 언어를 포함하고 있습니다.
  8. ^ "Securelist Kaspersky's threat research and reports".
  9. ^ a b c Zetter, Kim (18 October 2011). "Son of Stuxnet Found in the Wild on Systems in Europe". Wired. Retrieved 21 October 2011.
  10. ^ "Virus Duqu alarmiert IT-Sicherheitsexperten". Die Zeit. 19 October 2011. Retrieved 19 October 2011.
  11. ^ "Spotted in Iran, trojan Duqu may not be "son of Stuxnet" after all". 27 October 2011. Retrieved 27 October 2011.
  12. ^ "Microsoft issues temporary 'fix-it' for Duqu zero-day". ZDNet. Retrieved 5 November 2011.
  13. ^ "Microsoft Security Advisory (2639658)". Vulnerability in TrueType Font Parsing Could Allow Elevation of Privilege. 3 November 2011. Retrieved 5 November 2011.
  14. ^ "Microsoft Security Bulletin MS11-087 - Critical". Retrieved 13 November 2011.
  15. ^ Steven Cherry, with Larry Constantine (14 December 2011). "Sons of Stuxnet". IEEE Spectrum.
  16. ^ Venere, Guilherme; Szor, Peter (18 October 2011). "The Day of the Golden Jackal – The Next Tale in the Stuxnet Files: Duqu". McAfee. Retrieved 19 October 2011.
  17. ^ Garmon, Matthew. "In Command & Out of Control". Matt Garmon. DIG.
  18. ^ Kamluk, Vitaly (30 November 2011). "The Mystery of Duqu: Part Six (The Command and Control servers)". Securelist by Kaspersky. Archived from the original on 7 June 2022. Retrieved 7 June 2022.