Duqu出現
Duqu最早出現在2011年9月,是繼Stuxnet蠕蟲後最為惡性的一種可竊取信息的蠕蟲,大多數Duqu出現在工控系統中。
Duqu蠕蟲是Stuxnet之後最受關注的惡意程式。對原始碼的最新分析顯示程式設計師有點幽默感。卡巴斯基安全研究人員在代碼中發現了復活節彩蛋,它包含了一行著作權聲明“Copyright (c) 2003 Showtime Inc. All rights reserved. DexterRegularDexter”,Dexter是指美劇《嗜血法醫》,在Showtime電視台放映。
代碼分析還顯示Duqu可能有4年歷史,它載入的一個驅動的編譯時間是2007年8月31日。不過這可能並不正確,因為Duqu是一種定製攻擊框架,它的不同組件是在不同時間創造的。研究人員還發現,Duqu最常攻擊的時間發生在周三,這可能意味著它確實是一種軍用類型的惡意程式。攻擊者非常謹慎,每組不同的檔案使用不同的命令和控制伺服器。
Duqu&Stuxnet
Duqu木馬造成網路犯罪增多,它是之前有名的工業惡意軟體Stuxnet的姊妹惡意軟體。它們都採用了各種各樣的加密密鑰 - 包括一些在Duqu之前,還未曾公開過的密鑰,注入技術,零日漏洞,以及使用偷來的證書做為其驅動程式進行簽名。但與Stuxnet不同的是,Stuxnet的主要目的是造成工業破壞,而Duqu木馬則被用來收集與其攻擊目標有關的各種情報。
Duqu的影響
可以說,Duqu木馬可以盜取目標系統中的所有信息,然而,從其發動的攻擊情況來看,它似乎只對收集密碼、抓取桌面截圖(暗中監視用戶的操作)、盜取各類檔案感興趣。這些行為預示著網路罪犯使用的技術將開啟一個新的時代,網路犯罪將有足夠的能力成功執行工業間諜活動,甚至綁架與勒索。
目前,業界針對Duqu木馬最大的疑團是該惡意程式感染計算機後,是如何同命令控制中心(C&C)進行通訊的。Duqu木馬用於同C&C通訊的模組是其有效負荷DLL的一部分。對該有效負荷DLL進行全面的分析後,卡巴斯基實驗室的研究者發現該DLL中存在一段特定採用一種未知程式語言編寫的代碼,其唯一功能就是同C&C進行通訊。卡巴斯基實驗室的研究人員將這一段未知代碼命名為“Duqu架構”。事件驅動架構是作為Duqu框架的一部分或者是"OO C"的擴展而開發。
同Duqu木馬的其它組件不同,Duqu架構並不是採用C++編寫,也沒有使用微軟的Visual C++ 2008進行編譯,很可能其編寫者使用了一種內部架構,生成了媒介C代碼,或者他們使用了一種完全不同的程式語言。此外,卡巴斯基實驗室研究人員已經確認該語言為面向對象式語言,並且能夠自行執行其相關行為,而且適合網路套用的開發。
Duqu架構所使用的語言高度專業化,能夠讓有效負荷DLL同其它Duqu模組獨立,通過多種途徑包括Windows HTTP、網路連線埠和代理伺服器同C&C建立連線。還能夠讓有效負荷DLL直接處理來自C&C的HTTP伺服器請求,甚至可以在網路中的其它計算機上傳播輔助惡意代碼,實現可控制並且隱蔽的感染手段,殃及其它計算機。