精确定位Duqu的起源和预期目标:辩论继续......

  • 时间:
  • 浏览:35
  • 来源:it300
精确定位Duqu的起源和预期目标:辩论继续......

上周,Duqu,迈向下一代Stuxnet的下一步,由研究人员揭晓,虽然它的血统和目标仍然是争论的主题。

Stuxnet,如果你已经去年一直在洞穴里,是一个改变游戏规则的恶意软件,它首先通过当时零日的DLL漏洞攻击Windows系统,然后一旦系统被感染,就会感染Siemens PCS 7系统上的可编程逻辑控制器。那是新颖的。 PCL系统是特定的,在这种情况下,由伊朗的核电系统使用。目标行业的想法继续通过工业控制系统社区发出冲击波。

因此被称为“Stuxnet之子”的Duqu很有意思。据赛门铁克称,Duqu使用部分Stuxnet源代码。为此,作者需要访问源代码。 Duqu的样本表明该木马可能早在2010年11月3日,Stuxnet爆发后不久就已存在。第一次脸红表明Stuxnet的作者是Duqu的作者,但情况可能并非如此。

其他研究人员已经注意到Duqu中的代码并不完全是原始的源代码,而是接近Stuxnet中的那个。 F-Secure的Mikko Hypponen发推文“Duqu的内核驱动程序(JMINET7.SYS)与Stuxnet的驱动程序(MRXCLS.SYS)非常相似,我们的后端系统实际上认为它是Stuxnet。”如果Duqu的作者不是最初的Stuxnet作者,那么他们是如何获得代码的?

观看点播网络广播:“Duqu-前驱到Next Stuxnet,“由赛门铁克提交

在SCADAhacker上撰写,研究员John Langill提出了一个案例,即反编译工具,它可以反编译可执行代码,肯定存在.Langill在他的博客中进一步建议在去年2月HB加里联邦袭击事件发生后,被解编的Stuxnet代码可能已经被匿名组织泄露。无论如何到达,Langill说它现在可以上网了。

[123与此同时,卡巴斯基的研究人员认为,虽然Duqu很相似,但它与Stuxnet非常不同。戴尔SecureWorks在周三的博客中进一步指出,所使用的Windows DLL中的相似之处以及软件签名证书的通用性“证据不足以得出结论样品是相关的因为com承诺的签名证书可以从许多来源获得。“他们进一步声明,大部分代码都包含以前在野外看到过的恶意软件。

撇开其血统的问题,杜曲的目标可能是什么?研究人员赛门铁克羞怯地建议它针对不同的行业而不是Stuxnet,但没有任何名称。卡巴斯基的研究人员表示,他们所看到的袭击主要针对的是伊朗和苏丹。作为回应,周三,F-Secure的Hypponen在推特上发布了美国国务院支持恐怖主义的国家名单包括伊朗,苏丹,叙利亚和古巴。卡巴斯基研究人员没有评论在英国,美国,奥地利和印度尼西亚报道的Duqu报道。在最初阶段,Stuxnet影响了几个国家,但它是高感染伊朗的离子率证明它是最终的目标,所以可能只有时间会告诉杜曲。

尽管如此,最古怪的神秘(没有双关语)是JPG图像的选择。隐藏收集信息的传输。这张照片是由哈勃太空望远镜拍摄的两个星系,称为国家通用目录(NGC)6745。网上提供了几种高分辨率图像。而F-Secure表示,Duqu正在将图像中的信息发送到服务器206.183.111.97,也称为canoyragomez.rapidns.com,它与印度有一些联系。

Duqu真正起源的线索可能存在于其他地方。例如,一些Duqu变体使用数字证书集于2012年8月2日到期,由台湾台北的一家公司发行。中号cAfee表示该证书是从台湾的C-Media窃取的。赛门铁克称该证书于2011年10月14日被撤销。其他版本的Duqu使用其他证书。

所有这些都可能是Red Herrings。

即使有很多人看着Duqu,尽可能多的指纹,仍然无法确定谁做了什么。但是我们已经得到充分的警告,这样的代码将来会更常见。有证据表明有人可以复制类似Stuxnet的品质。希望我们能够采用一种安全环境,使这些新感染不会很快变得平常。

猜你喜欢

希腊最高法院批准俄罗斯对比特币嫌疑人的请求

希腊最高法院批准俄罗斯对比特币嫌疑人的请求希腊最高法院上周五表示,一名据称使用比特币数字货币洗钱40亿美元的俄罗斯人应该被引渡到俄罗斯,一位法院消息人士说。AlexanderV

2019-02-01

塑造美国网络防御的创造性破坏和自满情绪

塑造美国网络防御的创造性破坏和自满情绪创造性的破坏,思维的范式转换取代现有的秩序,可能是一个难以捉摸的概念,但它作为人类行为驱动力的力量是不可否认的。在硅谷和其他美国的高层科技

2019-02-01

为什么我(非常)担心PRISM

为什么我(非常)担心PRISM美国国家安全局正在利用我们的数字生活,监控语音电话,电子邮件,社交媒体以及谁知道什么。美国国家安全局方面的人说,这是为了国家安全;它已经停止了恐怖

2019-02-01

先发优势:为什么新的恶意软件最初会打败反恐

先发优势:为什么新的恶意软件最初会打败反恐虽然反病毒解决方案可以有效对抗广泛使用的恶意软件,但是有一个很好的机会,新的恶意软件会躲过那些解决方案。最近有重大安全事件的报告激增,

2019-02-01

台湾银行抢劫与朝鲜黑客有关

台湾银行抢劫与朝鲜黑客有关最近针对台湾一家银行的网络抢劫事件已被安全研究人员联系到一个据信在朝鲜境外活动的臭名昭着的威胁组织。黑客利用SWIFT全球金融网络大致窃取来自台湾远东

2019-02-01