دوکیو - ویکیپدیا، دانشنامهٔ آزاد
دوکیو (به انگلیسی: Duqu) مجموعهای از بدافزارهای رایانهای است که در ۱ سپتامبر ۲۰۱۱ کشف شد. آزمایشگاه کسپرسکی تصور میکرد که مربوط به کرم استاکسنت[۱] است و توسط یگان ۸۲۰۰ ایجاد شدهاست.[۲][منبع بهتری نیاز است]دوکیو از آسیبپذیری حمله روز صفر مایکروسافت ویندوز استفاده کردهاست. آزمایشگاه رمزنگاری و امنیت سیستم (CrySyS Lab)[۳] دانشگاه فناوری و اقتصاد بوداپست در مجارستان تهدید را کشف کرد و بدافزار را تجزیه و تحلیل و گزارشی ۶۰ صفحه ای دربارهٔ آن نوشت[۴] و نام تهدید را دوکیو گذاشت.[۵] دوکیو نام خود را از پیشوند نام پروندههایی که ایجاد میکند یعنی «~DQ» گرفتهاست.[۶]
اصطلاحات
[ویرایش]اصطلاح دوکیو به روشهای مختلفی استفاده میشود:
- بدافزار دوکیو مجموعهای از اجزای نرمافزاری است که با هم خدماتی را به مهاجمان ارائه میکنند. در حال حاضر این شامل قابلیتهای سرقت اطلاعات و در پسزمینه، درایورهای کرنل (هسته) و ابزارهای تزریق است. بخشی از این بدافزار به زبان برنامهنویسی سطح بالا ناشناخته نوشته شدهاست،[۷] که «چارچوب دوکیو» نام دارد. درواقع زبانهای C++, Python, Ada, Lua و بسیاری دیگر از زبانهای بررسی شده نبودند. با این حال، پیشنهاد شده که دوکیو ممکن است به زبان C با یک چارچوب شی گرا سفارشی نوشته شده باشد و در مایکروسافت ویژوال استودیو ۲۰۰۸ کامپایل شده باشد.[۸]
- نقص دوکیو نقصی در ویندوز مایکروسافت است که در فایلهای مخرب برای اجرای اجزای بدافزار دوکیو استفاده میشود. در حال حاضر یک نقص شناخته شده مربوط به فونت تروتایپ درwin32k.sys
- عملیات دوکیو تنها فرایند استفاده از دوکیو برای اهداف ناشناخته است. این عملیات ممکن است مربوط به عملیات استاکسنت باشد.
ارتباط با استاکسنت
[ویرایش]سیمانتک، بر اساس تیم CrySyS که توسط گزارش دکتر تیبو گینچ اداره میشود آن را «تقریباً مشابه استاکسنت، اما با هدفی کاملاً متفاوت» خوانده و یک مقاله فنی دقیق در مورد آن منتشر کردهاست. نسخه پایین گزارش آزمایشگاه اصلی به عنوان ضمیمه فنی منتشر شدهاست.[۶] سیمانتک معتقد است که دوکیو توسط همان نویسندگان استاکسنت ایجاد شده یا نویسندگان به کد منبع استاکسنت دسترسی داشتهاند. این کرم مانند استاکسنت دارای امضای دیجیتال معتبر اما مورد سوء استفاده شده قرار گرفتهاست و اطلاعاتی را برای آماده شدن برای حملات آینده جمعآوری میکند.[۶][۹] میکو هیپونن، مدیر ارشد تحقیقات افسکیور گفت که درایور هسته دوکیو JMINET7.SYS بسیار شبیه هسته MRXCLS.SYS استاکسنت است و سیستم بکاند افسکیور فکر میکرد استاکسنت بودهاست. هیپونن همچنین گفت که کلید مورد استفاده برای ساخت امضای دیجیتال خود دوکیو (فقط در یک مورد مشاهده شد) از سی-مدیا واقع در تایپه، تایوان به سرقت رفتهاست. گواهینامهها قرار بود در ۲ اوت ۲۰۱۲ منقضی شوند اما طبق گفته سیمانتک در ۱۴ اکتبر ۲۰۱۱ لغو شدند.[۱۰]
منبع دیگری مثل سکیورورکز، گزارش میدهد که دوکیو ممکن است با استاکسنت مرتبط نباشد.[۱۱] با این حال، شواهد قابل توجه و فزاینده ای وجود دارد که نشان میدهد دوکیو با استاکسنت ارتباط نزدیک داشتهاست.
کارشناسان شباهتها را مقایسه کردند و سه نکته جالب را یافتند:
- نصب کننده از آسیبپذیریهای هسته ویندوز روز صفر سوء استفاده میکند.
- اجزا با کلیدهای دیجیتال دزدیده شده امضا میشوند.
- دوکیو و استاکسنت هر دو بسیار هدفمند و مرتبط با برنامه هسته ای ایران هستند.
بهرهبرداری روز صفر مایکروسافت ورد
[ویرایش]همانند استاکسنت، دوکیو با استفاده از یک آسیبپذیری روز صفر به سیستمهای ویندوز مایکروسافت حمله میکند. اولین فایل نصب کننده شناخته شده (AKA dropper) که توسط آزمایشگاه CrySyS بازیابی و فاش شدهاست از یک سند ماکروسافت ورد استفاده میکند که از موتور تجزیه فونت تروتایپ بهرهبرداری میکند و امکان اجرا را به آن میدهد.[۱۲] چکاننده دوکیو مربوط به جاسازی فونت است و بنابراین به راه حل محدود کردن دسترسی به T2EMBED.DLL است که اگر پچ منتشر شده توسط مایکروسافت در دسامبر ۲۰۱۱ هنوز نصب نشده باشد یک موتور تجزیه فونت تروتایپ است.[۱۳] شناسه مایکروسافت برای این تهدید MS11-087 است (اولین توصیه در ۱۳ نوامبر ۲۰۱۱ صادر شد).[۱۴]
هدف
[ویرایش]دوکیو به دنبال اطلاعاتی است که میتواند در حمله به سیستمهای کنترل صنعتی مفید باشد. هدف آن مخرب بودن نیست، اجزای شناخته شده سعی در جمعآوری اطلاعات دارند.[۱۵] با این حال، بر اساس ساختار مدولار دوکیو، محموله ویژه میتواند برای حمله به هر نوع سیستم کامپیوتری به هر وسیله ای مورد استفاده قرار گیرد و در نتیجه ممکن است حملات سایبری-فیزیکی مبتنی بر دوکیو امکانپذیر باشد. با این حال، استفاده در سیستمهای رایانه شخصی برای حذف تمام اطلاعات تازهوارد شده در سیستم و در برخی موارد حذف کامل هارد دیسک رایانه مشاهده شدهاست. ارتباطات داخلی دوکیو توسط سیمنتک تجزیه و تحلیل میشود،[۶] روش واقعی و دقیق نحوه تکثیر آن در داخل شبکه مورد حمله هنوز بهطور کامل شناخته نشدهاست. به گفته مکافی، یکی از اقدامات دوکیو سرقت گواهیهای دیجیتال (و کلیدهای خصوصیای که در رمزنگاری کلید عمومی استفاده میشود) از رایانههای مورد حمله برای کمک به ویروسهای آینده به عنوان نرمافزار امن است.[۱۶] دوکیو از یک فایل JPEG 54×۵۴ پیکسل و فایلهای ساختگی رمزگذاری شده به عنوان کانتینر برای قاچاق دادهها به مرکز فرماندهی و کنترل خود استفاده میکند. کارشناسان امنیتی هنوز در حال تجزیه و تحلیل کد هستند تا مشخص کنند که ارتباطات حاوی چه اطلاعاتی است. تحقیقات اولیه نشان میدهد که نمونه بدافزار اصلی پس از ۳۶ روز بهطور خودکار خود را حذف میکند (بدافزار این تنظیمات را در فایلهای پیکربندی ذخیره میکند) که این موضوع تشخیص آن را محدود میکند.
نکات کلیدی عبارتند از:
- برنامههای اجرایی پس از استاکسنت با استفاده از کد منبع استاکسنت که کشف شدهاست توسعه یافتهاند.
- فایلهای اجرایی برای گرفتن اطلاعاتی مانند ضربه زدن کلید و اطلاعات سیستم طراحی شدهاند.
- تجزیه و تحلیل فعلی هیچ کدی مربوط به سیستمهای کنترل صنعتی، اکسپلویتها یا خود تکراری را نشان نمیدهد.
- موارد اجرایی در تعداد محدودی از سازمانها، از جمله سازمانهایی که در ساخت سیستمهای کنترل صنعتی درگیر هستند، یافت شدهاند.
- دادههای استخراجشده ممکن است برای فعال کردن یک حمله استاکسنت مانند آینده استفاده شوند یا ممکن است قبلاً به عنوان مبنایی برای حمله استاکسنت استفاده شده باشند.
کارسازهای فرمان و کنترل
[ویرایش]برخی از سرورهای فرمان و کنترل دوکیو مورد تجزیه و تحلیل قرار گرفتهاست. به نظر میرسد افرادی که این حمله را انجام میدهند، تمایل زیادی به کارسازهای سنتاواس ۵.x داشتند، که باعث شد برخی از محققان بر این باور باشند که یک[۱۷] بهرهبردار روز صفر برای آن دارند. کارسازها در بسیاری از کشورهای مختلف از جمله آلمان، بلژیک، فیلیپین، هند و چین پخش شدهاند. کسپرسکی چندین پست وبلاگ را در کارسازهای فرمان و کنترل آن منتشر کردهاست.[۱۸]
جستارهای وابسته
[ویرایش]منابع
[ویرایش]- ↑ How Israel Caught Russian Hackers Scouring the World for U.S. Secrets, New York Times
- ↑ NSA, Unit 8200, and Malware Proliferation بایگانیشده در ۲۰۱۷-۱۰-۲۵ توسط Wayback Machine Jeffrey Carr, Principal consultant at 20KLeague.com; Founder of Suits and Spooks; Author of “Inside Cyber Warfare (O’Reilly Media, 2009, 2011), medium.com, Aug 25, 2016
- ↑ "Laboratory of Cryptography and System Security (CrySyS)". Retrieved 4 November 2011.
- ↑ "Duqu: A Stuxnet-like malware found in the wild, technical report" (PDF). Laboratory of Cryptography of Systems Security (CrySyS). 14 October 2011.
- ↑ "Statement on Duqu's initial analysis". Laboratory of Cryptography of Systems Security (CrySyS). 21 October 2011. Archived from the original on 4 October 2012. Retrieved 25 October 2011.
- ↑ ۶٫۰ ۶٫۱ ۶٫۲ ۶٫۳ "W32.Duqu – The precursor to the next Stuxnet (Version 1.4)" (PDF). Symantec. 23 November 2011. Retrieved 30 December 2011.
- ↑ «Duqu Trojan contains mystery programming language in Payload DLL». TechSpot (به انگلیسی). ۲۰۱۲-۰۳-۰۹. دریافتشده در ۲۰۲۴-۱۰-۰۵.
- ↑ "Securelist | Kaspersky's threat research and reports".
- ↑ "Virus Duqu alarmiert IT-Sicherheitsexperten". Die Zeit. 19 October 2011. Retrieved 19 October 2011.
- ↑ خطای یادکرد: خطای یادکرد:برچسب
<ref>
غیرمجاز؛ متنی برای یادکردهای با نامSon_of_Stuxnet
وارد نشده است. (صفحهٔ راهنما را مطالعه کنید.). - ↑ "Spotted in Iran, trojan Duqu may not be "son of Stuxnet" after all". 27 October 2011. Retrieved 27 October 2011.
- ↑ "Microsoft issues temporary 'fix-it' for Duqu zero-day". ZDNet. Retrieved 5 November 2011.
- ↑ "Microsoft Security Advisory (2639658)". Vulnerability in TrueType Font Parsing Could Allow Elevation of Privilege. 3 November 2011. Retrieved 5 November 2011.
- ↑ "Microsoft Security Bulletin MS11-087 - Critical". Retrieved 13 November 2011.
- ↑ Steven Cherry, with Larry Constantine (14 December 2011). "Sons of Stuxnet". IEEE Spectrum.
- ↑ Venere, Guilherme; Szor, Peter (18 October 2011). "The Day of the Golden Jackal – The Next Tale in the Stuxnet Files: Duqu". McAfee. Archived from the original on 31 May 2016. Retrieved 19 October 2011.
- ↑ Garmon, Matthew. "In Command & Out of Control". Matt Garmon. DIG. Archived from the original on 8 August 2018. Retrieved 5 December 2022.
- ↑ Kamluk, Vitaly (30 November 2011). "The Mystery of Duqu: Part Six (The Command and Control servers)". Securelist by Kaspersky. Archived from the original on 7 June 2022. Retrieved 7 June 2022.