Duqu2.0 ressurge

O malware mundialmente conhecido como Stuxnet causou grande alarde no mundo em 2010. Inicialmente ele foi confeccionado para atacar os sistemas Siemens que executavam SCADA, tendo algumas variações que causaram uma série de paralisações e prejuízos em todo mundo.

A segunda versão do Stuxnet foi descoberta em 1 de setembro de 2011 pelo time da CrySyS Lab agora conhecido por Duqu. Ambos os malwares tinham o mesmo objetivo, atacar a rede nuclear do Iran. No dia 09 de Junho, a Kaspersky Lab publicou um paper explicando qual é a nova versão do Duqu, chamado de Duqu 2.0. O malware é classificado como extremamente sofisticado e utilizava alguns 0days, como CVE-2014-4148 que foi corrigido com a atualização MS14-058. Uma nova variação do Duqu foi identificada e explorava um outro 0day CVE-2015-2360 que teve a sua correção publicada no dia 09 de Junho pela Microsoft referente ao patch MS15-061.

No dia 10 de Junho, a Kaspersky Lab informou em seu blog que teria sido alvo do Duqu 2.0 e que atualmente está investigando a ação do malware.

No Tweet da empresa ela se pronunciou com a seguinte frase:

 #Duqu2 tried to steal @kaspersky technologies and snoop on ongoing investigations to stay under the radar 

De forma a tornar o entendimento mais claro sobre o funcionamento do malware é importante que alguns conceitos estejam claros. Para isso segue uma explicação de alguns pontos.

Mecanismos de command and control

Um servidor de comando e controle (C&C server) é um computador que centraliza os comandos das botnests (exército de máquinas zombies) e recebem e enviam comandos para os computadores membros.

Em uma botnet tradicional, que inclui servidores C&C, os bots são tipicamente computadores que são infectados por Trojans e subsequentemente se comunicam com um servidor central utilizando IRC. A botnet pode ser utilizada para diversos fins, como coleta de informações, disparo de spam ou iniciar um DDoS (negação de serviço distribuída).

Dependendo da topologia, uma botnet pode ter múltiplos servidores C&C.

Forma de propagação

Duqu 2.0 utiliza um mecanismo de serviço de comando e controle (C&C) sofisticado e altamente flexível que construído sobre uma variação de 2011, com novos recursos que parecem ter sido inspiradas por outro malware primeira classe como Regin.

Dentro de uma LAN do Windows, os clientes recém-infectadas podem não ter um C&C codificado em seus pacotes de instalação MSI. Sem um C&C, eles estão em estado "adormecido" e podem ser ativados pelos atacantes através de conexões SMB com um pacote especial TCP/IP que contém a cadeia mágica "tttttttttttttttt". Se um C&C é incluído na parte do ficheiro de configuração MSI, este pode ser um endereço de IP local, o qual serve como um ponto de salto para um endereço IP externo. Como estratégia geral para a infecção, os atacantes identificam servidores com alto uptime e os definem como pontos intermediárias de C&C. Assim, uma máquina infectada pode saltar entre vários servidores internos na LAN antes de chegar à Internet.

Para se conectar nos servidores C&C, ambas as versões de 2011 e 2014/2015 do Duqu podem se esconder no tráfego de dados criptografados como anexos inofensivos de um arquivo de imagem. A versão de 2011 usava arquivos do tipo JPEG, já a nova versão pode usar um arquivo GIF ou um arquivo JPEG. Veja como esses arquivos de imagem olhar como:

Outra modificação na versão 2014/2015 foi a adição de múltiplos user agents para realizar a comunicação HTTP. Atualmente a nova variação seleciona randomicamente entre 53 tipos diferentes.

Outro mecanismo de C&C incomum depende de mecanismos de drivers que são utilizados para a realização de comunicação de túnel cifrado para realizar a comunicação entre o C&C e a rede RDP/SMB ativa. Através de um mecanismo de knocking code, um atacante consegue ativar o mecanismo de tradução através do tunel IP diretamente através da LAN. Uma vez fora da LAN, o trafego pode ser mascarado através da porta 443, dentro da LAN, ele pode redirecionar o tráfego SMB/RDP para um IP falso para o endereço 8.8.8.8(DNS do Google).

Tal como representado na imagem a seguir:

Alvos

Atualmente as vítimas do Duqu 2.0 estão localizadas em diversos lugares, incluindo países ocidentais, no Oriente Médio e Ásia. Outros tipos de alvos deste novo ataque são chamados alvos "utilitários". Apesar do malware ter fins hackivismo, os equipamentos corporativos podem ser utilizados como amplificador do ataque.

Consequências

A forma descrita de ataque do Duqu 2.0 é a exploração da falha do Kernel da Microsoft (CVE-2015-2360) que se eleva para SYSTEM e descomprime uma biblioteca chamada “KMART.dll” e que passa a ser executada pelo Kernel do sistema que disponibiliza novas funções para serem utilizadas por outros programas maliciosos que também são inseridos na máquina, como o “avp.exe” que toma o lugar do antivírus da máquina desativando assim a sua monitoração.

Recomendações gerais

Desta forma, a Tempest Security Intelligence recomenda fortemente a aplicação de todo o pacote de atualização da Microsoft referente a junho de 2015, tendo uma maior ênfase para a atualização MS15-061 por já estar sendo explorada por malwares.

Referencias

Comentários
Aceita-se formatação à la TWiki. HTML e scripts são filtrados. Máximo 15KiB.

 
Enviando... por favor aguarde...
Comentário enviado com suceso -- obrigado.
Ele aparecerá quando os moderadores o aprovarem.
Houve uma falha no envio do formulário!
Deixei uma nota para os admins verificarem o problema.
Perdoe-nos o transtorno. Por favor tente novamente mais tarde.