Analisis Duqu dan Alat Deteksi oleh NSS Labs

chmood


NSS Labs telah membangun baru, perangkat gratis yang dapat mendeteksi driver yang diketahui dan baru dibuat Duqu yang telah menyusup sistem, sehingga memungkinkan para ahli keamanan untuk menganalisis lebih lanjut "fungsi, kemampuan dan tujuan akhir dari Duqu.". Alat ini tersedia gratis.

Duqu adalah worm terkenal yang mengeksploitasi Windows Zero-hari Kerentanan. Microsoft merilis memperbaiki sementara kemarin untuk kerentanan ini. Menurut tes, alat NSS Tingkat keberhasilan adalah 100%, nol Positivies palsu. Pengembang mengatakan itu adalah menggunakan teknik pengenalan pola canggih, juga mampu mendeteksi driver baru karena mereka discovered.Two driver baru ditemukan setelah alat selesai, dan keduanya terdeteksi oleh alat NSS tanpa update diperlukan.

Tampaknya Duqu berisi kode yang sama dan menggunakan teknik yang mirip dengan Stuxnet. Lebih tepatnya, itu tampaknya membuat penggunaan sertifikat digital yang muncul sebagai sah, tapi itu terlalu dini untuk menggambarkannya sebagai Stuxnet 2.
Info lebih lanjut :
Duqu berisi kode yang mirip dengan yang digunakan oleh Stuxnet.
Duqu menggunakan teknik yang mirip dengan Stuxnet, khususnya penggunaan driver yang ditandatangani oleh "sah" sertifikat digital. Hal ini tidak diketahui apakah mereka sertifikat dicuri atau diproduksi oleh penyerang mengikuti kompromi dari otoritas sertifikat (CA)
Duqu tidak mereplikasi diri (meskipun beberapa berteori bahwa hal itu dapat diperintahkan untuk mereplikasi dirinya sendiri di jaringan berbagi); memerlukan penggunaan sebuah berbasis mengeksploitasi "dropper" untuk menginstalnya pada sistem.
Installer, yang digunakan kernel nol hari mengeksploitasi disampaikan melalui dokumen Microsoft Word, sekarang telah pulih dan saat ini sedang dianalisis.
Duqu menginstal keylogger untuk merekam keystrokes dan mengumpulkan informasi sistem lainnya.
Informasi yang dicuri dikemas dalam dien

kripsi dan dikompresi file gambar untuk exfiltration berikutnya.
Duqu berkomunikasi melalui HTTP / HTTPS dengan servernya perintah Secara dini dan kontrol (CC) di India; protokol kustom CC dilaksanakan menggunakan file gambar yang sudah dimodifikasi. Pada tulisan ini, server CC telah dinonaktifkan.
Duqu awalnya dikonfigurasi dengan kehidupan tetap, diatur untuk menonaktifkan setelah 36 hari, meskipun komponen tambahan dapat diinstal untuk memperpanjang ini sebagai diperlukan.

Download open-source scanner tool

Category
Komentar