Azərbaycanca AzərbaycancaБеларускі БеларускіDansk DanskDeutsch DeutschEspañola EspañolaFrançais FrançaisIndonesia IndonesiaItaliana Italiana日本語 日本語Қазақ ҚазақLietuvos LietuvosNederlands NederlandsPortuguês PortuguêsРусский Русскийසිංහල සිංහලแบบไทย แบบไทยTürkçe TürkçeУкраїнська Українська中國人 中國人United State United StateAfrikaans Afrikaans
Підтримка
www.wikidata.uk-ua.nina.az

Duqu це зібрання шкідливих програмних засобів виявлених 1 вересня 2011 яке вважається пов язаним із хробаком Стакснет Ла

Duqu

Duqu

Duqu — це зібрання шкідливих програмних засобів виявлених 1 вересня 2011, яке вважається, пов'язаним із хробаком Стакснет. Лабораторія криптографії та системи безпеки ([en]) Будапештського університету технології та економіки (Угорщина) виявили та проаналізували загрозу цього шкідливого ПО у вигляді 60-сторінкової доповіді, давши назву Duqu. Duqu отримав свою назву від префікса «~ DQ» яка є в іменах файлів, ним створених.

Номенклатура

Термін Дуку використовується у багатьох значеннях:

  • Комп'ютерний вірус Дуку — це набір програм які комплексно використовуються при вірусній атаці. На цей момент він включає до себе здатність до крадіжки особистих даних у фоновому режимі. Частина вірусу була написана на невідомій мові програмування високого рівня. Названий «Duqu framework». Багато мов було перевірено, в тому числі: , Python, Ada, Lua. Однак результати нещодавніх досліджень [ 7 жовтня 2014 у Wayback Machine.] дозволяють припустити, що Дуку міг бути написаний на об'єктно-орієнтованому С (ОО С) та скомпільований в Microsoft Visual Studio 2008.
  • Недолік Дуку — це недолік в Microsoft Windows який використовується в інфікованих файлах для того щоб виконати вірусні компоненти Дуку. На цей момент відома одна хиба, яка належить до TTF в win32k.sys.
  • Операція Дуку — це процес в якому використовується лише тільки Дуку, цілі якої невідомі. Можливо ця операція належить до операції Стакснет.

Відношення до Стакснет

Symantec, базуючись на звіті Лабораторія Криптографії та Систем Безпеки, продовжує аналізувати загрозу, яку вони називають «майже ідентичною до Стакснет, але з зовсім іншою метою», та опублікували технічний документ з неї, в якій використали первинний звіт в урізаній формі як додаток. Symantec вважає, що Дуку був створений тією самою людиною, що й Стакснет, чи автор мав доступ до вихідного коду Стакснет. Черв'як подібний до Стакснет: має вірний, але неправильно вживаний цифровий підпис, та збирає інформацію для майбутніх атак.. [en], головний дослідницький офіцер F-Secure сказав, що драйвер ядра Дуку JMINET7.SYS, настільки подібний до драйвера ядра Стакснет MRXCLS.SYS, що система бекенду визначила його як Стакснет. Також він заявив, що ключ який був використано для створення власного цифрового підпису Дуку був вкрадений у C-Media, розміщеної в Тайпей, Тайвань. Термін дії сертифікату мав добігти кінця 2 серпня 2012 року, але був відкликаний 14 жовтня 2011 згідно з даними Symantec.

Інше джерело, [en], повідомляє, що Дуку може не належати до Стакснет. Хоче існують переконливі докази, що Дуку належить до родини Стакснет.

У ході порівняння було виявлено три подібності:

  • Інсталятор використовує zero-day уразливість в ядрі Windows.
  • Компоненти підписані вкраденим цифровим ключем.
  • Дуку та Стакснет націлені на ядерні програми Ірану.

Мета

Duqu шукає інформацію, яка може бути корисна в нападах на промислові системи управління. Його мета не полягає в тому, щоб бути руйнівним, відомі компоненти намагаються збирати інформацію. Проте, на основі модульної структури Duqu, спеціальний модуль може бути використаний, щоб атакувати будь-який тип комп'ютерних систем за допомогою будь-яких засобів і, таким чином кібер-фізичні атаки, засновані на Duqu, можуть бути можливими. Проте, використовування на системах персональних комп'ютерів призводило до видалення всієї нещодавньої інформації, а в деяких випадках повного стирання інформації з жорсткого диску комп'ютера. Внутрішні комунікації Duqu проаналізовані Symantec, але фактичний та точний метод, як він дублюється всередині мережі ще не повністю відомий. Згідно McAfee, одним з пріоритетів Duqu є викрадання цифрових сертифікатів(та відповідно приватних ключів, які використовують відкриті криптографічні ключі) з уражених комп'ютерів, за допомогою яких майбутні віруси з'являються як безпечне програмне забезпечення. Duqu використовує 54× 54 JPEG файл і зашифровані фіктивні файли як контейнери для передачі даних його серверу керування. Експерти з безпеки ще аналізують код, щоб визначити, яка інформація міститься в передачах. Первинне дослідження показало, що первинний зразок вірусу автоматично видаляє себе після 36 днів (вірус зберігає цей параметр в файлах конфігурації), що обмежує його виявлення.

Ключові моменти:

  • Вірус було розроблено після Стакснет, використовуючи первинний код, який був виявлений у Стакснет.
  • Вірус розроблено для збору інформації, такої як натискання клавіш та системної інформації.
  • Поточний аналіз показує, що код не пов'язаний з промисловими системами управління або з самовідтворенням.
  • Виконувані файли були знайдені в обмеженій кількості організацій, в тому числі тих, що беруть участь у виробництві промислових систем управління.
  • Відфільтрована інформація може бути використана для майбутніх, подібних до Стакснет атак або, можливо, вже була використана з цією метою.

Ботнети

Деякі з ботнетів Duqu були проаналізовані. Здається, що керівники, віддавали перевагу серверам CentOS 5.x, внаслідок чого деякі дослідники вважають, що вони повинні були мати уразливість zero-day. Ботнети розкидані в різних країнах, у тому числі Німеччини, Бельгії, Філіппін, Індії та Китаю. Kaspersky опублікував кілька блогпостів та ботнетів.

Див. також

Примітки

  1. . Архів оригіналу за 7 серпня 2019. Процитовано 4 November 2011.
  2. (PDF). Laboratory of Cryptography of Systems Security (CrySyS). 14 October 2011. Архів оригіналу (PDF) за 21 квітня 2019. Процитовано 4 листопада 2014.
  3. Statement on Duqu's initial analysis. Laboratory of Cryptography of Systems Security (CrySyS). 21 October 2011. Архів оригіналу за 3 жовтень 2012. Процитовано 25 October 2011.
  4. (PDF). Symantec. 23 листопада 2011. Архів оригіналу (PDF) за 11 березня 2012. Процитовано 30 грудня 2011.
  5. Shawn Knight (2012) [ 24 грудня 2017 у Wayback Machine.] Duqu Trojan contains mystery programming language in Payload DLL
  6. Zetter, Kim (18 October 2011). . Wired. Архів оригіналу за 20 жовтня 2011. Процитовано 21 October 2011.
  7. . Die Zeit. 19 жовтня 2011. Архів оригіналу за 20 жовтня 2011. Процитовано 19 жовтня 2011.
  8. . Архів оригіналу за 28 жовтня 2011. Процитовано 27 October 2011.
  9. Steven Cherry, with Larry Constantine (14 грудня 2011). . IEEE Spectrum. Архів оригіналу за 25 грудня 2018. Процитовано 4 листопада 2014.
  10. Venere, Guilherme; Szor, Peter (18 жовтня 2011). . McAfee. Архів оригіналу за 31 травня 2016. Процитовано 19 жовтня 2011.
  11. . 30 листопада 2011. Архів оригіналу за 7 червня 2014. Процитовано 30 листопада 2011.

Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет

Duqu ce zibrannya shkidlivih programnih zasobiv viyavlenih 1 veresnya 2011 yake vvazhayetsya pov yazanim iz hrobakom Staksnet Laboratoriya kriptografiyi ta sistemi bezpeki en Budapeshtskogo universitetu tehnologiyi ta ekonomiki Ugorshina viyavili ta proanalizuvali zagrozu cogo shkidlivogo PO u viglyadi 60 storinkovoyi dopovidi davshi nazvu Duqu Duqu otrimav svoyu nazvu vid prefiksa DQ yaka ye v imenah fajliv nim stvorenih NomenklaturaTermin Duku vikoristovuyetsya u bagatoh znachennyah Komp yuternij virus Duku ce nabir program yaki kompleksno vikoristovuyutsya pri virusnij ataci Na cej moment vin vklyuchaye do sebe zdatnist do kradizhki osobistih danih u fonovomu rezhimi Chastina virusu bula napisana na nevidomij movi programuvannya visokogo rivnya Nazvanij Duqu framework Bagato mov bulo perevireno v tomu chisli C Python Ada Lua Odnak rezultati neshodavnih doslidzhen 7 zhovtnya 2014 u Wayback Machine dozvolyayut pripustiti sho Duku mig buti napisanij na ob yektno oriyentovanomu S OO S ta skompilovanij v Microsoft Visual Studio 2008 Nedolik Duku ce nedolik v Microsoft Windows yakij vikoristovuyetsya v infikovanih fajlah dlya togo shob vikonati virusni komponenti Duku Na cej moment vidoma odna hiba yaka nalezhit do TTF v win32k sys Operaciya Duku ce proces v yakomu vikoristovuyetsya lishe tilki Duku cili yakoyi nevidomi Mozhlivo cya operaciya nalezhit do operaciyi Staksnet Vidnoshennya do StaksnetSymantec bazuyuchis na zviti Laboratoriya Kriptografiyi ta Sistem Bezpeki prodovzhuye analizuvati zagrozu yaku voni nazivayut majzhe identichnoyu do Staksnet ale z zovsim inshoyu metoyu ta opublikuvali tehnichnij dokument z neyi v yakij vikoristali pervinnij zvit v urizanij formi yak dodatok Symantec vvazhaye sho Duku buv stvorenij tiyeyu samoyu lyudinoyu sho j Staksnet chi avtor mav dostup do vihidnogo kodu Staksnet Cherv yak podibnij do Staksnet maye virnij ale nepravilno vzhivanij cifrovij pidpis ta zbiraye informaciyu dlya majbutnih atak en golovnij doslidnickij oficer F Secure skazav sho drajver yadra Duku JMINET7 SYS nastilki podibnij do drajvera yadra Staksnet MRXCLS SYS sho sistema bekendu viznachila jogo yak Staksnet Takozh vin zayaviv sho klyuch yakij buv vikoristano dlya stvorennya vlasnogo cifrovogo pidpisu Duku buv vkradenij u C Media rozmishenoyi v Tajpej Tajvan Termin diyi sertifikatu mav dobigti kincya 2 serpnya 2012 roku ale buv vidklikanij 14 zhovtnya 2011 zgidno z danimi Symantec Inshe dzherelo en povidomlyaye sho Duku mozhe ne nalezhati do Staksnet Hoche isnuyut perekonlivi dokazi sho Duku nalezhit do rodini Staksnet U hodi porivnyannya bulo viyavleno tri podibnosti Instalyator vikoristovuye zero day urazlivist v yadri Windows Komponenti pidpisani vkradenim cifrovim klyuchem Duku ta Staksnet nacileni na yaderni programi Iranu MetaDuqu shukaye informaciyu yaka mozhe buti korisna v napadah na promislovi sistemi upravlinnya Jogo meta ne polyagaye v tomu shob buti rujnivnim vidomi komponenti namagayutsya zbirati informaciyu Prote na osnovi modulnoyi strukturi Duqu specialnij modul mozhe buti vikoristanij shob atakuvati bud yakij tip komp yuternih sistem za dopomogoyu bud yakih zasobiv i takim chinom kiber fizichni ataki zasnovani na Duqu mozhut buti mozhlivimi Prote vikoristovuvannya na sistemah personalnih komp yuteriv prizvodilo do vidalennya vsiyeyi neshodavnoyi informaciyi a v deyakih vipadkah povnogo stirannya informaciyi z zhorstkogo disku komp yutera Vnutrishni komunikaciyi Duqu proanalizovani Symantec ale faktichnij ta tochnij metod yak vin dublyuyetsya vseredini merezhi she ne povnistyu vidomij Zgidno McAfee odnim z prioritetiv Duqu ye vikradannya cifrovih sertifikativ ta vidpovidno privatnih klyuchiv yaki vikoristovuyut vidkriti kriptografichni klyuchi z urazhenih komp yuteriv za dopomogoyu yakih majbutni virusi z yavlyayutsya yak bezpechne programne zabezpechennya Duqu vikoristovuye 54 54 JPEG fajl i zashifrovani fiktivni fajli yak kontejneri dlya peredachi danih jogo serveru keruvannya Eksperti z bezpeki she analizuyut kod shob viznachiti yaka informaciya mistitsya v peredachah Pervinne doslidzhennya pokazalo sho pervinnij zrazok virusu avtomatichno vidalyaye sebe pislya 36 dniv virus zberigaye cej parametr v fajlah konfiguraciyi sho obmezhuye jogo viyavlennya Klyuchovi momenti Virus bulo rozrobleno pislya Staksnet vikoristovuyuchi pervinnij kod yakij buv viyavlenij u Staksnet Virus rozrobleno dlya zboru informaciyi takoyi yak natiskannya klavish ta sistemnoyi informaciyi Potochnij analiz pokazuye sho kod ne pov yazanij z promislovimi sistemami upravlinnya abo z samovidtvorennyam Vikonuvani fajli buli znajdeni v obmezhenij kilkosti organizacij v tomu chisli tih sho berut uchast u virobnictvi promislovih sistem upravlinnya Vidfiltrovana informaciya mozhe buti vikoristana dlya majbutnih podibnih do Staksnet atak abo mozhlivo vzhe bula vikoristana z ciyeyu metoyu BotnetiDeyaki z botnetiv Duqu buli proanalizovani Zdayetsya sho kerivniki viddavali perevagu serveram CentOS 5 x vnaslidok chogo deyaki doslidniki vvazhayut sho voni povinni buli mati urazlivist zero day Botneti rozkidani v riznih krayinah u tomu chisli Nimechchini Belgiyi Filippin Indiyi ta Kitayu Kaspersky opublikuvav kilka blogpostiv ta botnetiv Div takozhFlame virus Proaktivnij zahist Kiberkomanduvannya SShAPrimitki Arhiv originalu za 7 serpnya 2019 Procitovano 4 November 2011 PDF Laboratory of Cryptography of Systems Security CrySyS 14 October 2011 Arhiv originalu PDF za 21 kvitnya 2019 Procitovano 4 listopada 2014 Statement on Duqu s initial analysis Laboratory of Cryptography of Systems Security CrySyS 21 October 2011 Arhiv originalu za 3 zhovten 2012 Procitovano 25 October 2011 PDF Symantec 23 listopada 2011 Arhiv originalu PDF za 11 bereznya 2012 Procitovano 30 grudnya 2011 Shawn Knight 2012 24 grudnya 2017 u Wayback Machine Duqu Trojan contains mystery programming language in Payload DLL Zetter Kim 18 October 2011 Wired Arhiv originalu za 20 zhovtnya 2011 Procitovano 21 October 2011 Die Zeit 19 zhovtnya 2011 Arhiv originalu za 20 zhovtnya 2011 Procitovano 19 zhovtnya 2011 Arhiv originalu za 28 zhovtnya 2011 Procitovano 27 October 2011 Steven Cherry with Larry Constantine 14 grudnya 2011 IEEE Spectrum Arhiv originalu za 25 grudnya 2018 Procitovano 4 listopada 2014 Venere Guilherme Szor Peter 18 zhovtnya 2011 McAfee Arhiv originalu za 31 travnya 2016 Procitovano 19 zhovtnya 2011 30 listopada 2011 Arhiv originalu za 7 chervnya 2014 Procitovano 30 listopada 2011

Дата публікації:
Топ