Duqu (Virus Informatico)


Duqu

Duqu es un gusano descubierto el 1 de septiembre de 2011, cree que está relacionada con elStuxnet gusano. El Laboratorio de Criptografía y Seguridad de Sistema (CrySyS) [1] de laUniversidad de Budapest de Tecnología y Economía de Hungría , que descubrió la amenaza, analizó los programas maliciosos y escribió un informe de 60 páginas [2] , nombrando a los Duqu amenaza. [3 ] Duqu obtuvo su nombre del prefijo “~ DQ” que da a los nombres de los archivos que crea.

El término Duqu

El término Duqu identifica varios significados:

  • Duqu malware es una variedad de componentes de software que en conjunto proporcionan servicios a los atacantes. Actualmente, este incluye las capacidades de robo de información y en el fondo de los controladores del núcleo y las herramientas de inyección.
  • Duqu defecto es la falla en Microsoft Windows que se utiliza en los archivos maliciosos para ejecutar los componentes de malware de Duqu. En la actualidad se conoce un defecto, un problema relacionado con TTF en win32k.sys.
  • Operación Duqu es el proceso de utilización de Duqu de metas desconocidas. La operación podría estar relacionada con Stuxnet operación.

Relación con Stuxnet

Symantec , basado en el informe CrySyS, continuó el análisis de la amenaza, que se llama “casi idéntica a Stuxnet, pero con un propósito completamente diferente”, y publicó un documento técnico detallado sobre ella con una versión reducida de la original de laboratorio informe como un apéndice. [5] [4] Symantec cree que Duqu fue creado por los mismos autores como Stuxnet, o que los autores tuvieron acceso al código fuente de Stuxnet. El gusano, al igual que Stuxnet, ha forjado un certificado digital, y contiene información para prepararse para ataques futuros. [4] [6] Mikko Hyppönen , director de investigación de F-Secure , dijo que el conductor Duqu del núcleo, JMINET7.SYS, era tan similar a MRXCLS.SYS Stuxnet que back-end de F-Secure sistema de pensamiento que se Stuxnet. Además, dijo que Hyppönen propio certificado digital Duqu fue robado de C-Media , ubicado en Taipei, Taiwán. Los certificados debían expirar el 2 de agosto de 2012, pero fueron revocadas el 14 de octubre de 2011, según Symantec. [5]

Otra fuente, Dell SecureWorks , informa que Duqu no puede estar relacionada con Stuxnet. [7]

Microsoft Word de día cero explotar

Microsoft Word (. Doc) de día cero explotar

Como Stuxnet , Duqu ataques de Windows los sistemas que utilizan una vulnerabilidad de día cero . El instalador conocido (AKA gotero) archivo recuperado y divulgada por CrySyS Lab utiliza un Microsoft Word (. doc) que aprovecha el Win32k fuente TrueType motor de análisis y permite la ejecución. [8] gotero Duqu se relaciona con la incrustación de fuentes, por lo que se refiere al la solución para restringir el acceso a T2EMBED.DLL, que es un motor de análisis de fuentes TrueType.[9] “Microsoft está colaborando con nuestros socios para proporcionar la protección para una vulnerabilidad utilizado en los intentos destinados a infectar los ordenadores con el malware Duqu. Estamos trabajando diligentemente para abordar esta cuestión y dará a conocer una actualización de seguridad para clientes a través de nuestro proceso de boletín de seguridad “, Jerry Bryant, gerente de grupo de comunicaciones de respuesta en el grupo de Informática Fiable de Microsoft, dijo en un comunicado el 3 de noviembre de 2011. [10] Sin embargo, Microsoft no incluyó un parche para la vulnerabilidad en el conjunto de parches publicado el 8 de noviembre de 2011. [11]

Propósito

Duqu utiliza el peer-to-peer protocolo SMB para moverse en las redes de seguridad de las zonas menos seguras de la zona de seguridad. [4]De acuerdo con McAfee , una de las acciones Duqu es robar los certificados digitales de las computadoras atacadas para ayudar a los virus en el futuro aparecen como seguros software. [12] Duqu utiliza un 54 × 54 píxeles archivo jpeg (364,5 bytes) y los archivos encriptados ficticio como contenedores para el contrabando de los datos de su centro de mando y control. Los expertos en seguridad todavía están analizando el código para determinar qué información contienen las comunicaciones. La investigación inicial indica que el virus automáticamente se elimina después de 36 días, lo que limitaría su detección. [5]

Los puntos clave son:

  • Ejecutables desarrollados después de Stuxnet con el código fuente de Stuxnet se han descubierto.
  • Los ejecutables están diseñados para capturar la información, tales como pulsaciones de teclado y la información del sistema.
  • El análisis actual no muestra el código relacionado con los sistemas de control industrial, explotación o autorreplicación.
  • Los ejecutables se han encontrado en un número limitado de organizaciones, incluidos los que participan en la fabricación de sistemas de control industrial.
  • Los datos exfiltraron se puede utilizar para hacer posible un futuro Stuxnet-como el ataque.

Recursos adicionales

Adicional de hasta hasta la fecha las referencias incluyen los informes técnicos, blogs, artículos, herramientas, etc también están disponibles en el sitio web SCADAhacker en este enlace . Este sitio es mantenido por un grupo de profesionales enfocados en la seguridad cibernética en lo que respecta a los sistemas de control industrial (SCADA aka) y la forma en que se utilizan para infraestructura de comando y de control crítico.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s