Duqu khai thác chỗ bị tổn thương trước đó chưa được biết trong nhân Windows

Duquexploits previously unknown vulnerability in Windows kernel

2 November 2011, 16:11

Theo:http://www.h-online.com/security/news/item/Duqu-exploits-previously-unknown-vulnerability-in-Windows-kernel-1370369.html

Bài được đưa lênInternet ngày: 02/11/2011

Lời người dịch:“Symantec nói rằng trong ít nhất mộttrường hợp, những kẻ tấn công đã dạy Duqulan truyền thông qua những chia sẻ mạng. Điều này đãcho phép bot này làn truyền thông qua mạng của công ty vàthậm chí lây nhiễm cả các hệthống mà không có truy cập trực tiếp tới Internet.Cái sau đã cung cấp những chỉ thị từ máy chủ chỉhuy và kiểm soát từ các bót mà đã có sự truy cậpInternet... Symantec đã xác định những lây nhiễm có khảnăng tại 6 công ty hoạt động tại Pháp,Hà Lan, Thụy Sỹ, Ukraine, Ấn Độ, Iran, Sudan và ViệtNam. Các công ty an ninh khác nóiđã phát hiện những lây nhiễm tại Anh, Úc vàIndonesia... Một lĩnh vực trong đó Duqu đã được triểnkhai là tiến hành gián điệp chốnglại các nhà sản xuất các hệ thống kiểm soát côngnghiệp”. Xem thêm [01],[02].

Microsoft đã khẳngđịnh một báo cáo từ Phòng thí nghiệm Mật mã và Anninh Hệ thống (CrySyS) có trụ sở tại Budapest, nói rằngbot Duqu lan truyền bằng việc khai thác một chỗ bị tổnthương ngày số 0 trong nhân Windows. Nó lan truyền thế nàotrước đó còn chưa được rõ. CrySyS đã phát hiện chỗbị tổn thương của Windows trong khi phân tích trình càiđặt. Bot này, mà hãng phần mềm chống virus Symantec tintưởng có liên quan tới Stuxnet, gây lây nhiễm cho các hệthống đích bằng việc sử dụng một tệp Word lừa đảotiêm phần mềm độc hại vào hệ thống có sử dụng mộtkhai thác nhân. Microsoft đang làm việc để có một bảnvá.

Symantecnói rằng trong ít nhất một trường hợp, những kẻ tấncông đã dạy Duqu lan truyền thông qua những chia sẻ mạng.Điều này đã cho phép bot này làn truyền thông qua mạngcủa công ty và thậm chí lây nhiễm cả các hệ thống màkhông có truy cập trực tiếp tới Internet. Cái sau đãcung cấp những chỉ thị từ máy chủ chỉ huy và kiểmsoát từ các bót mà đã có sự truy cập Internet.

Chotới nay, Duqu được cho là chỉ được sử dụng cho nhữngcuộc tấn công có chủ đích. Trình cài đặt đượcSymantec kiểm tra đã được thiết lập để hoạt độngtrong một cửa sổ 8 ngày hồi tháng 8. Symantec đã xácđịnh những lây nhiễm có khả năng tại 6 công ty hoạtđộng tại Pháp, Hà Lan, Thụy Sỹ, Ukraine, Ấn Độ, Iran,Sudan và Việt Nam. Các công ty an ninh khác nói đã pháthiện những lây nhiễm tại Anh, Úc và Indonesia. Tớinay, Duqu còn chưa được xác định tại các công ty Đức.Văn phòng Liên bang Đức về An ninh (BSI) đã yêu cầu đặcbiệt các doanh nghiệp thông báo điều này về bất kỳtrường hợp lây nhiễm nào.

Mộtlĩnh vực trong đó Duqu đã được triển khai là tiếnhành gián điệp chống lại các nhà sản xuất các hệthống kiểm soát công nghiệp. Điều này gợi ýrằng những kẻ tấn công có thể sử dụng những thôngtin ăn cắp được để lên kế hoạch cho các cuộc tấncông mới vào các hệ thống kiểm soát công nghiệp, nhưnhững hệ thống được sử dụng trong các nhà mấy điện.Stuxnet từng ban đầu được triển khai để phá hoạichương trình hạt nhân của Iran. Stuxnet cũng đã khai thácnhững chỗ bị tổn thương trước đó còn chưa biếttrong Windows.

Trong khi chờ đợi,các chuyên gia an ninh từ Đơn vị Tính toán Đe dọa (CTU)SecureWork của Dell đã bày tỏ sự nghi ngờ liệu Duqu cóthực sự có liên quan tới Stuxnet hay không. Họ nói rằngdù cả 2 mẩu phần mềm độc hại đều sử dụng các kỹthuật rootkit tương tự một cách phổ biến, như trìnhđiều khiển nhân mà ban đầu giải mã một DLL được mãhóa và sau đó tiêm nó vào trong các tiến trình khác, thìnhững kỹ thuật này bây giờ là thực tiễn tiêu chuẩnvà được nhiều mẩu phần mềm độc hại không có liênquan tới Stuxnet sử dụng. Tải của Duqu, theo Dell, khôngcó liên quan tới của Stuxnet và không gợi ý một mốiquan hệ giữa 2 loại này.

Microsofthas confirmeda report f-romBudapest-based Laboratory of Cryptography and System Security(CrySyS), which claimed that the Duqubot spreads by exploiting a zero day vulnerability in the Windowskernel. How it spreads had previously been unknown. CrySyS discoveredthe Windows vulnerability whilst analysing the installer. The bot,which anti-virus software firm Symantec believes is related toStuxnet,infects target systems using a specially crafted Word file whichinjects the malware into the system using a kernel exploit. Microsoftis already workingon a patch.

Symantecsaysthat in at least one case, attackers have already taught Duqu tospread via network shares. This allowed the bot to spread through thecompany network and even infect systems with no direct internetaccess. The latter were then supplied with instructions f-rom thecommand and control server by bots which did have internet access.

Untilnow, Duqu has reportedly only been used for targeted attacks. Theinstaller examined by Symantec was set to be active during aneight-day window in August, only. Symantec has already identifiedpossible infections at six companies operating in France, TheNetherlands, Switzerland, the Ukraine, India, Iran, Sudan andVietnam. Other security companies claim to have discovered infectionsin the UK, Austria and Indonesia. To date, Duqu has not beenidentified at German companies. The German Federal Office forInformation Security (BSI)has specifically asked businesses to inform it of any cases ofinfection.

Onearea in which Duqu has been deployed is to carry out espionageagainst manufacturers of industrial control systems. This suggeststhat the attackers may be using the stolen information to plan newattacks on industrial control systems, such as those used in powerplants. Stuxnet was initially deployed to sabotage Iran's nuclearprogramme. Stuxnet also exploited previously unknown vulnerabilitiesin Windows.

Inthe meantime, security specialists f-rom Dell's SecureWorks CounterThreat Unit (CTU) have expresseddoubt as to whether Duqu is really related to Stuxnet. They reportthat although both pieces of malware utilise broadly similar rootkittechniques, such as a kernel driver which first decrypts an encryptedDLL and then injects it into other processes, these techniques arenow standard practice and are used by many pieces of malwareunrelated to Stuxnet. Duqu's payload, according to Dell, bears norelation to Stuxnet's and does not suggest a relationship between thetwo.

(crve)

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com