Mellékleteink: HUP | Gamekapocs
Keres

CrySyS: 0-day sebezhetőséget használ a Duqu

Gálffy Csaba, 2011. november 02. 11:42
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

A CrySyS újra nagyot alkotott, világelsőként bukkantak rá a Duqu után annak telepítőjére is. A kártevő méltó maradt gyorsan szerzett hírnevéhez, településéhez 0-day sebezhetőséget használtak.

A Duqu után annak telepítőjét, a droppert is sikerrel azonosította a CrySyS, a Budapesti Műszaki Egyetem biztonságtechnikai laborja. A csapat a korábbiakhoz hasonlóan a Symantec-kel együttműködve hozta nyilvánosságra az eredményeket, így a részletes információk most is a biztoságtechnikai cég Duqu-dokumentumában találhatóak. Az információk szerint a Duqu egy, a Windows kernelében található 0-day sebezhetőséget használ ki.

Friss hiba

A nagy előd?

A Stuxnet hatalmas port kavart az IT-biztonsággal foglalkozó cégek és az általuk védett szervezetek körében - a rendkívül kifinomult kártevő ugyanis korábban hallatlan fejlettséggel és célzott módon lépett működésbe, kihasználva több foltozatlan (0-day) sebezhetőséget. A Stuxnet rendkívüli voltára utal, hogy a visszafogott becslések szerint is legalább 15-20 magasan képzett szakértő közös munkájának eredménye lehetett, akik a megcélzott ipari vezérlőrendszerek felépítésében is részletes tapasztalattal bírnak. A többi már történelem: a továbbra is rejtélyes támadók sikeresen szabotálták az iráni urándúsító centrifugákat, azonban számtalan indonéziai és indiai ipari rendszer is fertőzötté vált.

A CrySyS és a Symantec elemzése szerint a felfedezett esetben a Duqu telepítéséért egy speciális Word-állomány volt felelős. Ahogy a kártevő a szervezet belső hálózatát eléri, az irányító szerver felé megküldi a hálózat felépítését a rajta lévő gépekkel együtt, majd a visszakapott utasításoknak megfelelően egyes célgépeket megfertőz az SMB-megosztásokon keresztül. Érdekesség, hogy egyes esetekben a megfertőzött gép a kiszolgálóhoz nem közvetlenül az interneten keresztül, hanem valamelyik másik fertőzött gépen keresztül kapcsolódik. Ezt feltehetőleg az tette szükségessé, hogy egyes célgépek nem rendelkeztek internetkapcsolattal, csupán a belső hálózathoz voltak képesek kapcsolódni - a kémprogram által gyűjtött adatok kijuttatásához így közvetítőre volt szükség. A megoldás nyomán a korábban biztonságosnak hitt zónák is kiszolgáltatottá váltak.

A korábbi sejtéseknek megfelelően a CrySyS által vizsgált, Duqu-val végrehajtott támadás pontosan meghatározott célpontra irányult. Erre utal a speciális, tartalmában is a célponthoz igazított tartalmú .doc állomány, illetve az is, hogy a támadás végrehajtásához valamiért egy nyolc napos (augusztusi) periódust határozott meg a készítő. Ennek megfelelően nagy a gyanú, hogy ezt a droppert csak ebben az egy esetben használták, más megtámadott szervezetek esetében más telepítő működhetett - esetlegesen más sebezhetőséget kihasználva.

A szakértők körében (elsősorban Twitteren) az a pletyka járja, hogy a sebezhetőség újra a Windows-oldalon keresendő, a betűtípusokat kezelő parser hibáját használhatták ki. Egy ilyen sebezhetőségcsomagot már foltozott július folyamán a Microsoft, akkor 15 különböző hibát javítottak ki, volt köztük jogosultság emelésére alkalmas is. Egy lehetséges forgatókönyv, hogy a támadók ezután alaposabban szemügyre vették a parsert és analóg, de javítatlan hibákat találtak benne.

Nagy leleplezés

Ahogy arról korábban a HWSW részletesen beszámolt, a Budapesti Műszaki Egyetem Híradástechnikai Tanszékén működő CrySyS Adat- és Rendszerbiztonság labor talált rá és írta le elsőként az új kártevőt, amelyet a labor munkatársai Duqu névre kereszteltek. A Duqu fontosságát az adja, hogy bináris állományai rendkívüli hasonlóságot mutatnak a Stuxnettel, ami arra utal, hogy a Duqu készítőinek birtokában van a Stuxnet forráskódja is.

Piros: a Symantec által megerősített fertőzések, narancs: egyéb pozitív találatok

Ahogy a nagy vírusirtók felvették adatbázisukba a Duqu mintáját, számos helyről érkezett pozitív találat. Ennek alapján a Symantec egyelőre hat (meg nem nevezett) szervezetet azonosított célpontként, ezek közül egy Franciaországban, Hollandiában, Svájcban és Ukrajnában is támadás alá került. Két szervezet Iránban, egy-egy pedig Indiában, Szudánban illetve Vietnámban jelezte a kártevő jelenlétét rendszerében. Más biztonsági cégek találtak fertőzéseket Ausztriában, Magyarországon, Indonéziában, az Egyesült Királyságban illetve egy harmadik iráni szervezetnél is.

Az első körben felfedezett Duqu-változatok mindegyike egyetlen indiai szerverrel kommunikált, akkor azt szinte azonnal sikerült leállítani. A Symantec azonban arról számol be, hogy közben találtak egy újabb irányító szervert Belgiumban, ezt mára szintén sikerült lekapcsolni, a macska-egér játék azonban tovább folytatódik a jövőben.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.