Español | English
rss facebook linkedin Twitter

DUQU: Una nueva amenaza

Información General

Según el informe presentado por Symantec este troyano fue detectado por primera vez el día 14 de octubre y posteriormente se ha comprobado que existen muestras del driver subidas a VirusTotal con fecha 7 de septiembre.

Según Symantec puede tratarse del precursor de un ataque similar a Stuxnet, escrito por los mismos autores o al menos por programadores con acceso al código fuente. Sin embargo, este troyano no contiene código relacionados con sistemas de control industrial.

El objetivo principal de esta nueva amenaza es conseguir información de empresas fabricantes de sistemas de control industrial, que ayude a preparar un ataque posterior a una tercera empresa.

Duqu es básicamente un RAT (Remote Admin Trojan), que una vez introducido en el sistema funciona como downloader de otros troyanos.

Consiste en un Driver, una DLL y un archivo de configuración. Cabe destacar que estos archivos son instalados por otro ejecutable que todavía no ha sido descubierto. Este instalador registra el driver como un servicio para que se ejecute en la inicialización del sistema. Una vez en ejecución el driver inyecta la DLL en el proceso services.exe y si la inyección se realiza con éxito, la DLL extrae otros componentes que son inyectados a su vez en otros procesos.

Duqu utiliza un certificado digital valido, que fue revocado el día 14 de octubre. Además espera 15 minutos antes de comenzar su actividad una vez llega a una nueva maquina (probablemente para evitar ser detectado en sandboxes) y está diseñado para auto eliminarse después de 36 días.


En este sentido, la teoría de McAfee es diferente, ellos defienden que Duqu esta siendo usado para robar certificados a CAs de Europa, África y Asia, para posteriormente ser utilizados para firmar código malicioso.


Resumen de comportamiento

El malware abre una puerta trasera en el sistema infectado permitiendo a los atacantes obtener la siguiente información del equipo comprometido:

  • Una lista de los procesos en ejecución, los detalles de la cuenta de usuario y la información del dominio.
  • Nombre de las unidades e información relacionada, como las unidades compartidas.
  • Capturas de pantalla.
  • Información de la red (tablas de enrutamiento, objetos compartidos, etc.).
  • Pulsaciones de teclado. (Keylogger)
  • Nombre de todas las ventanas abiertas.
  • Enumeración de los recursos compartidos.
  • Exploración de archivos de todas las unidades, incluidas las unidades removibles.
  • Lista de equipos en el dominio (a través de NetServerEnum)
  • Nombre del módulo actual, PID, ID de sesión, directorio de Windows, directorio Temp.
  • Versión del SO, incluido si es 64-bit.
  • Información de los adaptadores de red
  • Información hora local, incluyendo la franja horaria.

Finalmente el malware envía toda la información recopilada de forma cifrada a un panel de control predeterminado (206.183.111.97) permitiendo además la descarga de más contenido de carácter malicioso desde el panel de control.


Posibles indicadores para la detección

Trafico de Red

Duqu utiliza los protocolos HTTP y HTTPS para comunicarse con el servidor del panel de control (C&C) alojado en la IP 206.183.111.97. Este servidor esta localizado en la India, y ha sido deshabilitado por el ISP (Web Werks WEBWRKS-PHLA1).

Se han reportado también comunicaciones al siguiente rango de IPs:

206.53.48-61.*

Es altamente recomendable revisar en los logs la aparición de comunicaciones a esta IP o a cualquier IP de los rangos indicados en los dispositivos de comunicación.


Detección en maquinas infectadas

Symantec ha proporcionado los siguientes hashes y nombres de archivo, que han sido identificados como parte de la amenaza.

MD5

Nombre

Propósito

0a566b1616c8afeef214372b1a0580c7

cmi4432.pnf

DLL principal

94c4ef91dfcd0c53a96fdc387f9f9c35

netp192.pnf

Archivo de configuración

e8d6b4dadb96ddb58775e6c85b10b6cc

cmi4464.PNF

Archivo de configuración

b4ac366e24204d821376653279cbad86

netp191.PNF

DLL principal

4541e850a228eb69fd0f0e924624b245

cmi4432.sys

Driver

0eecd17c6c215b358b7b872b74bfd800

jminet7.sys

Driver

9749d38ae9b9ddd81b50aad679ee87ec

[TEMP FILENAME]

Infostealer

c9a31ea148232b201fe7cb7db5c75f5e

Dropper

Además se han detectado también drivers de Duqu utilizando los siguientes nombres de archivo, que no están incluidos en el informe de Symantec:

nfrd965.sys
adpu321.sys

La carga del driver se realiza añadiendo alguna de las siguiente claves al registro de Windows:

HKEY _ LOCAL _ MACHINE\SYSTEM\CurrentControlSet\Services\JmiNET3
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmi4432

Detectar estas entradas de registro en un sistema Windows es un claro indicativo de que la maquina esta infectada por Duqu.

Equipo de S21sec e-crime

2 comentarios:

Anónimo dijo...

Parece que ahora se propaga mediante ficheros Word anexos a un correo electrónico. Por aquello que comentáis de que el ejecutable instalador de los ficheros maliciosos aún no ha sido descubierto.

S21sec e-crime dijo...

Hola Anónimo,

como bien dices, parece haberse usado un documento word con una vulnerabilidad no descubierta hasta el momento (0-day, CVE-2011-3402) para elevar privilegios en el sistema e instalar Duqu. Sin embargo, se trata de un malware con unos objetivos muy específicos, por lo que no creo que se haya realizado una propagación masiva, como puede ser el caso de ZeuS, por ejemplo.

Puedes consultar los siguientes enlaces que incluyen más información al respecto:

http://www.symantec.com/connect/w32-duqu_status-updates_installer-zero-day-exploit
http://technet.microsoft.com/en-us/security/advisory/2639658
http://www.f-secure.com/weblog/archives/00002264.html

Un saludo!


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login