dinsdag 18 oktober 2011

Duqu, versie twee van CyberWar

Waar stuxnet de allereerste vorm van CyberWar bleek te zijn. Lijkt er nu een opvolger ten tonele te zijn verschenen. Genaamd: Duqu. Dit omdat bestandsnamen met de prefix "~DQ" gecreeërd worden.

Dit virus lijkt vooral op een RAT. Met als voornaamste doel intelligence verzamelen over grote Industrial Control Facilities. Je zou het dus kunnen beschouwen als een inlichtingen bron, om mogelijk in de toekomst dergelijke Industrial Control Facilities aan te kunnen vallen.

De code vertoont zeer grote gelijkenis met Stuxnet. Nu slingerd de decompilatie code van Stuxnet overal op internet rond. Echter zit er een verschil in de werkelijke source code en de decompilatie ervan. Deze personen lijken toegang te hebben tot de werkelijke source code. Een erg opmerkelijk feit. Stuxnet toonde aan van ongekend hoog niveau te zijn. Het is onmogelijk door een individu gecreëerd, alleen een staat lijkt hiertoe de capaciteit te bezitten. Zie mijn vorige blogs over Stuxnet.

Op dit moment is Duqu aangetroffen bij 2 bedrijven in Europa. Het lijkt hierbij te gaan om twee verschillende versies en slechts één hiervan is geanalyseerd. Opmerkelijk hieraan is dat het is aangetroffen bij Europese bedrijven. De twee verschillende versies hebben verschillende compilatie datums, en mogelijk is het virus dus in de loop der tijd aangepast.

Het virus gebruikt enkele drivers die gesigned zijn door een bedrijf in Taipei, Taiwan te weten C-media corporation. Inmiddels is dit certificaat ingetrokken. Het officieel signen van een dergelijke driver behoort zo goed als onmogelijk te zijn. En geeft daarom aan dat dit een 'serieus' virus is. Het certificaat is aangevraagd op 3 augustus 2009, en gebruikt SHA1. Wat aangeeft dat het niet mogelijk is dit cerificaat te vervalsen.
Waar RealTek uit Taiwan was gebruikt voor het signen van Stuxnet. Is C-media gebruikt voor Duqu, beide bedrijven liggen in Taiwan.

Duqu gebruikt een Command and Control server welke resolvde naar een ip adres 206.[DEL].97 in India. Tevens gebruikte het twee adressen om te controleren of het geinfecteerde systeem internet connectiviteit heeft. Als eerste resolvt het microsoft.com, maar ook gebruikte het kasperskychk.dyndns.org en verwachtte het dat dit adres resolvde naar het ip adres: 68.132.129.18 een server in Amerika. Echter was destijds dit adres niet geregistreerd bij dyndns. Dyndns.org is een gratis DNS dienst welke veel bij RAT's gebruikt wordt en door script kiddies, immers: gratis. Dyndns.org staat er ook om bekend dat ze zeer snel optreden bij vermoeden van misbruik, en accounts blokkeren. Dyndns.org staat er ook om bekend dat ze alle data loggen: login ip-adressen, email adressen en alle changes binnen de DNS configuratie. dyndns.org werkt nauw samen met de FBI en overhandigt zeer gemakkelijk gegevens aan deze organisatie. Het feit dat hetip-adres van de Command and Control server resolved naar een adres in India is frapant, evenals dat het gebruik van dyndns opzichzelf ook vreemd is. De gekozen naam bij dyndns is ook opvallen: kasperskychk.dyndns.org. Kasperskychk suggererende dat het een check is voor kaspersky. Een erg amateuristische misleiding in ieder geval.

Om te communiseren gebruikt Duqu een speciaal protocol. Wat het doet is informatie op zo'n manier verpakken dat het erop lijkt alsof er .jpg plaatjes over en weer worden verzonden. Dit wordt gedaan om firewalls en IDS systemen te misleiden. Of in ieder geval zo min mogelijk alarm bellen te laten afgaan.

Hieronder de reden waarom Stuxnet en Duqu mogelijk van dezelfde makers zijn.

1 opmerking: