Labels

dinsdag 18 oktober 2011

Duqu, versie twee van CyberWar

Waar stuxnet de allereerste vorm van CyberWar bleek te zijn. Lijkt er nu een opvolger ten tonele te zijn verschenen. Genaamd: Duqu. Dit omdat bestandsnamen met de prefix "~DQ" gecreeërd worden.

Dit virus lijkt vooral op een RAT. Met als voornaamste doel intelligence verzamelen over grote Industrial Control Facilities. Je zou het dus kunnen beschouwen als een inlichtingen bron, om mogelijk in de toekomst dergelijke Industrial Control Facilities aan te kunnen vallen.

De code vertoont zeer grote gelijkenis met Stuxnet. Nu slingerd de decompilatie code van Stuxnet overal op internet rond. Echter zit er een verschil in de werkelijke source code en de decompilatie ervan. Deze personen lijken toegang te hebben tot de werkelijke source code. Een erg opmerkelijk feit. Stuxnet toonde aan van ongekend hoog niveau te zijn. Het is onmogelijk door een individu gecreëerd, alleen een staat lijkt hiertoe de capaciteit te bezitten. Zie mijn vorige blogs over Stuxnet.

Op dit moment is Duqu aangetroffen bij 2 bedrijven in Europa. Het lijkt hierbij te gaan om twee verschillende versies en slechts één hiervan is geanalyseerd. Opmerkelijk hieraan is dat het is aangetroffen bij Europese bedrijven. De twee verschillende versies hebben verschillende compilatie datums, en mogelijk is het virus dus in de loop der tijd aangepast.

Het virus gebruikt enkele drivers die gesigned zijn door een bedrijf in Taipei, Taiwan te weten C-media corporation. Inmiddels is dit certificaat ingetrokken. Het officieel signen van een dergelijke driver behoort zo goed als onmogelijk te zijn. En geeft daarom aan dat dit een 'serieus' virus is. Het certificaat is aangevraagd op 3 augustus 2009, en gebruikt SHA1. Wat aangeeft dat het niet mogelijk is dit cerificaat te vervalsen.
Waar RealTek uit Taiwan was gebruikt voor het signen van Stuxnet. Is C-media gebruikt voor Duqu, beide bedrijven liggen in Taiwan.

Duqu gebruikt een Command and Control server welke resolvde naar een ip adres 206.[DEL].97 in India. Tevens gebruikte het twee adressen om te controleren of het geinfecteerde systeem internet connectiviteit heeft. Als eerste resolvt het microsoft.com, maar ook gebruikte het kasperskychk.dyndns.org en verwachtte het dat dit adres resolvde naar het ip adres: 68.132.129.18 een server in Amerika. Echter was destijds dit adres niet geregistreerd bij dyndns. Dyndns.org is een gratis DNS dienst welke veel bij RAT's gebruikt wordt en door script kiddies, immers: gratis. Dyndns.org staat er ook om bekend dat ze zeer snel optreden bij vermoeden van misbruik, en accounts blokkeren. Dyndns.org staat er ook om bekend dat ze alle data loggen: login ip-adressen, email adressen en alle changes binnen de DNS configuratie. dyndns.org werkt nauw samen met de FBI en overhandigt zeer gemakkelijk gegevens aan deze organisatie. Het feit dat hetip-adres van de Command and Control server resolved naar een adres in India is frapant, evenals dat het gebruik van dyndns opzichzelf ook vreemd is. De gekozen naam bij dyndns is ook opvallen: kasperskychk.dyndns.org. Kasperskychk suggererende dat het een check is voor kaspersky. Een erg amateuristische misleiding in ieder geval.

Om te communiseren gebruikt Duqu een speciaal protocol. Wat het doet is informatie op zo'n manier verpakken dat het erop lijkt alsof er .jpg plaatjes over en weer worden verzonden. Dit wordt gedaan om firewalls en IDS systemen te misleiden. Of in ieder geval zo min mogelijk alarm bellen te laten afgaan.

Hieronder de reden waarom Stuxnet en Duqu mogelijk van dezelfde makers zijn.

3 opmerkingen:

  1. Have used Kaspersky security for a couple of years, and I recommend this anti virus to all you.

    BeantwoordenVerwijderen
  2. I want to appreciate and sincerely thank blackhatthacker@gmail.com for her service...She saved me from the lies of my cheating husband. She was able to hack his whatssp messages, listen to every call he either made or receive, hacked his email passwords and Facebook ...i know there are lots of people out there looking for proof and evidence about one thing or the other . Be open and real with her so she can even be at the best of her service to you. Do contact her by email on blackhatthacker@gmail.com

    BeantwoordenVerwijderen
  3. Hey Guys !

    USA Fresh & Verified SSN Leads along with DL Number, AVAILABLE with 99.9% connectivity
    All Leads have genuine & valid information.

    **HEADERS IN LEADS**
    First Name | Last Name | SSN | Dob | DL Number | Address | City | State | Zip | Phone Number | Account Number | Bank Name | Employee Details | IP Address

    *Price for SSN lead $2
    *You can ask for sample before any deal
    *If anyone buy in bulk, we can negotiate
    *Sampling is just for serious buyers

    ==>ACTIVE, FRESH CC & CVV FULLZ AVAILABLE<==
    ->$5 PER EACH

    ->Hope for the long term deal
    ->Interested buyers will be welcome

    **Contact 24/7**
    Whatsapp > +923172721122
    Email > leads.sellers1212@gmail.com
    Telegram > @leadsupplier
    ICQ > 752822040

    BeantwoordenVerwijderen