Duqu,Stuxnet Built on Common Platform With Other Similar Super-Malware
By: Fahmida Y. Rashid,2011-12-31
Bài được đưa lênInternet ngày: 31/12/2011
Lờingười dịch: Alex Gostev, người đứng đầu của độiphân tích và nghiên cứu toàn cầu tại Phòng thí nghiệmKaspersky đã viết vào ngày 28/12 trên blog Securelistrằng các sâu Windows Stuxnet và Duqu có cùng một nềntảng là Tilded và do cùng một đội các lập trình viênphát triển nhưng có những mục đích khác nhau và ban đầuđược phát triển vào những năm 2007 hoặc đầu 2008 vàhiện nay những biến thể khác có thể đang có mặt ởđâu đó nhưng chưa bị phát hiện. “Các lập trìnhviên đang vặn vẹo các tệp đã được làm xong thay vìviệc tạo mới các trình điều khiển từ đầu, mà chophép họ tạo ra tùy ý bao nhiêu tệp trình điều khiểnkhác nhau theo họ muốn, mỗi cái chính xác có cùng chứcnăng và ngày tạo ra, Gostev nói. Những tệp này cũng đượcchỉ định với các chứng thực số hợp pháp và đượcđóng gói trong những biến thể khác nhau”. Vì các sâunày hiện chỉ có thể chạy trên Windows, nên nhữngngười sử dụng Windows chắc còn được trải nghiệmnhững phần mềm độc hại chết người này.
Các nhà nghiên cứucủa Phòng thí nghiệm Kaspersky tin tưởng nền tảng y hệtnhau đã được sử dụng để xây dựng các Trojan Duqu vàStuxnet có thể được sử dụng để phát triển các biếnthể tương tự khác.
Phân tích xa hơn củaTrojan Duqu đã phát hiện rằng nền tảng đã được sửdụng để phát triển Stuxnet và Duqu có thể đã đượcsử dụng để tạo ra các Trojan tương tự, theo Phòng thínghiệm Kaspersky.
Bằng việc phân tíchcác trình điều khiển phần mềm được sử dụng củacả Stuxnet và Duqu, các nhà nghiên cứu của Kaspersky đãxác định rằng cả 2 Trojan từng được xây dựng trêncùng một nền tảng, mà hãng an ninh đã gọi là “Tilded”(Dấu ngã), Alex Gostev, người đứng đầu của đội phântích và nghiên cứu toàn cầu tại Phòng thí nghiệmKaspersky đã viết vào ngày 28/12 trên blog Securelist.
CảStuxnet và Duqu dường như đã được tạo ra từ cuối năm2007 hoặc đầu 2008, và các mẩu phần mềm độc hại cácvới các khả năng tương tự đã được xây dựng trêncùng nền tảng này, Gostev nói.
Gostev đã nghiên cứu2 trình điều khiển và các biến thể không được biếttới đối với những thứ được sử dụng. Không chỉcùng y hệt nhóm những người đó phát triển Stuxnet vàDuqu, mà họ có lẽ đã làm việc cùng một lúc trên nhiềubiến thể, Gostev nói. Những mẩu kháccó thể có trong tự nhiên và còn chưa bị phát hiện,hoặc các lập trình viên có thể đã quyết định khôngtung chúng ra, ông nói.
“Stuxnetvà Duqu là 2 trong số chúng - có thể còn những thứ khác,mà cho tới bây giờ vẫn còn chưa được biết. Nền tảngđó tiếp tục phát triển, mà chỉ có thể có nghĩa mộtthứ - chúng ta có lẽ sẽ thấy nhiều biến thể hơntrong tương lai”, Gostev viết.
KasperskyLab researchers believe the same platform that was used to build theDuqu and Stuxnet Trojans may have been used to develop other similarvariants.
Furtheranalysis of the Duqu Trojan has revealed that the platform that wasused to develop Stuxnet and Duqu may have been used to cre-ate similarTrojans, according to Kaspersky Lab.
Byanalyzing the software drivers used by both Stuxnet and Duqu,Kaspersky researchers determined that both Trojans were built on thesame platform, which the security firm has dubbed "Tilded,"Alex Gostev, head of the global research and analysis team atKasperskyLab wrote Dec. 28 on the Securelistblog.
BothStuxnet and Duqu appear to have been cre-atedback in late 2007 or early 2008, and other pieces of malware withsimilar capabilities were built on the same platform, Gostev said.
Gostevexamined two key drivers and variants that were used in both Stuxnetand Duqu, as well as two previously unknown drivers that were similarto the ones used. Not only did the same group of people developStuxnet and Duqu, but they likely worked simultaneously on multiplevariants, Gostev said. The other pieces may be in the wild and notyet detected, or the developers may have decided not to release them,he said.
"Stuxnetand Duqu are two of them—there could have been others, which fornow remain unknown. The platform continues to develop, which can onlymean one thing—we’re likely to see more modifications in thefuture," Gostev wrote.
Stuxnet lần đầu đãđược phát hiện vào tháng 06/2010 khi nó đã tấn công vàgây hại cho phần mềm và thiết bị được sử dụngtrong các cơ sở hạt nhân của Iran. Stuxnet tận dụngnhiều chỗ bị tổn thương ngày số 0 trong MicrosoftWindows, bao gồm cả một lỗi leo thang quyền ưu tiên vàđã khai thác chức năng AutoRun của Microsoft để lan truyềntới các máy tính thông qua các đầu USB bị lây nhiễm.
Duqu đã được cácnhà nghiên cứu tại phòng thí nghiệm CruSyS ở Đại họcCông nghệ và Kinh tế Budapest phát hiện vào tháng 09/2011và đã gây lây nhiễm cho các máy tính tại nhiều quốcgia trên thế giới, bao gồm cả Pháp, Ukraine và Sudan. Duqucũng tận dụng được một chỗ bị tổn thương ngày số0 trong nhân Microsoft Windows. Không giống như Stuxnet, Duqudường như không được chỉ định để tấn công các hệthống kiểm soát công nghiệp, mà là ăn cắp thông tin.
“Chúngtôi tin tưởng Duqu và Stuxnet từng là các dự án tươngtự được đội các lập trình viên y hệt hỗ trợ”,Gostve viết.
Kiến trúc được sửdụng để tạo ra Duqu và Stuxnet dường như là y hệtnhau, dựa vào một tệp trình điều khiển tải mộtmodule chính được thiết kế như một thư viện đượcmã hóa, theo nhà phân tích này. Cũng có một tệp cấuhình riêng rẽ cho toàn bộ gói độc hại, cũng như mộtkhối được mã hóa trong đăng ký hệ thống mà nó xácđịnh địa điểm của module đang được tải lên.
Gostevnói “với một mức độ khá chắc chắn” rằng nềntảng Tilded đã được tạo ra vào khoảng những năm 2007hoặc đầu năm 2008 và đã trải qua những thay đổi đángkể vào mùa hè và mùa thu năm 2010. Các lập trình viêncủa phần mềm độc hại này đã biên dịch một phiênbản mới của một tệp trình điều khiển vài lần trongmột năm, và đã sử dụng tệp tham chiếu mới đượctạo ra đó để tải và chạy module chính của một sốphần mềm độc hại khác, theo Gostev.
Cáclập trình viên đang vặn vẹo các tệp đã được làmxong thay vì việc tạo mới các trình điều khiển từđầu, mà cho phép họ tạo ra tùy ý bao nhiêu tệp trìnhđiều khiển khác nhau theo họ muốn, mỗi cái chính xáccó cùng chức năng và ngày tạo ra, Gostev nói. Những tệpnày cũng được chỉ định với các chứng thực số hợppháp và được đóng gói trong những biến thể khác nhau.
Stuxnetwas first discovered in June 2010 when it attacked and damagedsoftware and equipment used in Iranian nuclear facilities. Stuxnettook advantage of multiple zero-day vulnerabilities in MicrosoftWindows, including an escalation-of-privilege flaw and exploitedMicrosoft's AutoRun functionality to spread across computers viainfected USB drives.
Duquwas discovered by researchers at CrySyS lab at the BudapestUniversity of Technology and Economics in September and has infectedmachines in various countries around the world, including France, theUkraine and Sudan. Duqu also took advantage of a zero-dayvulnerability in the Microsoft Windows kernel. Unlike Stuxnet,Duqu doesn't appear to have been designed to attack industrialcontrol systems, but to steal information.
"Webelieve Duqu and Stuxnet were simultaneous projects supported by thesame team of developers," Gostev wrote.
Thearchitecture used to cre-ate Duqu and Stuxnet appears to be the same,relying on a driver file that loads a main module designed as anencrypted library, according to the analysis. There is also aseparate configuration file for the whole malicious package, as wellas an encrypted block in the system registry that defines thelocation of the module being loaded.
Gostevsaid "with a fair degree of certainty" that the Tildedplatform had been cre-ated around the end of 2007 or early 2008 andunderwent significant changes in the summer and autumn of 2010. Themalware developers had compiled a new version of a driver file a fewtimes a year, and used the newly cre-ated reference file to load andexecute the main module of some other malicious software, accordingto Gostev.
Thedevelopers are tweaking ready-made files instead of creating newdrivers f-rom scratch, which allows them to make as many differentdriver files as they like, each having exactly the same functionalityand creation date, Gostev said. These files can also be signed withlegitimate digital certificates and packaged into different variants.
Dịch tài liệu: LêTrung Nghĩa
Ý kiến bạn đọc
Những tin mới hơn
Những tin cũ hơn
Blog này được chuyển đổi từ http://blog.yahoo.com/letrungnghia trên Yahoo Blog sang sử dụng NukeViet sau khi Yahoo Blog đóng cửa tại Việt Nam ngày 17/01/2013.Kể từ ngày 07/02/2013, thông tin trên Blog được cập nhật tiếp tục trở lại với sự hỗ trợ kỹ thuật và đặt chỗ hosting của nhóm phát triển...