Duqu

[bullvar_katip]

Duqu, 1 Eylül 2011'de keşfedilen ve Stuxnet solucanı ile ilgili olduğu ve Unit 8200 tarafından yaratıldığı düşünülen bir bilgisayar virüsüdür. Macaristan'daki Budapeşte Teknoloji ve Ekonomi Üniversitesi Kriptografi ve Sistem Güvenliği Laboratuvarı (CrySyS Lab) tehdidi keşfetti, analiz etti ve Duqu tehdidini tanımlayan 60 sayfalık bir rapor yazdı. Duqu, adını yarattığı dosyaların isimlerine verdiği "~DQ" ön ekinden almıştır. Terminoloji Duqu terimi çeşitli şekillerde kullanılır: Duqu malware, birlikte saldırganlara hizmet sağlayan çeşitli yazılım bileşenleridir. Şu anda bu bilgi çalma yeteneklerini ve arka planda, çekirdek sürücülerini ve enjeksiyon araçlarını içerir. Bu kötü amaçlı yazılımın bir kısmı bilinmeyen bir üst düzey programlama dilinde yazılmıştır ve "Duqu framework" olarak adlandırılmıştır. C++, Python, Ada, Lua ve diğer kontrol edilen dillerde yazılmamıştır. Bununla birlikte, son kanıtlar Duqu'nun C'ye özel bir nesne yönelimli çerçeveyle yazılmış ve Microsoft Visual Studio 2008'de derlenmiş olabileceğini göstermektedir. Duqu açığı, Microsoft Windows'un kötü amaçlı dosyalarda Duqu'un kötü amaçlı yazılım bileşenlerini yürütmesini sağlamak için kullanılan kusurudur. Şu anda Win32k.SYS'de TrueType yazı tipiyle alakalı bir açık olduğu bilinmektedir. Duqu işlemi, bilinmeyen hedefler için yalnızca Duqu kullanma işlemidir. İşlem Stuxnet Operasyonu ile ilgili olabilir. Stuxnet ile ilişkisii Dr. Thibault Gainche tarafından yönetilen CrySyS ekibine dayanan Symantec, "Stuxnet'le neredeyse aynı, ancak tamamen farklı bir amacı var" olarak adlandırdığı tehdidin analizini sürdürdü ve hakkında detaylı bir teknik makale yayınladı. Symantec, Duqu'un Stuxnet ile aynı yazarlar tarafından oluşturulduğuna veya yazarların Stuxnet'in kaynak koduna erişimi olduğuna inanıyor. Stuxnet gibi solucanın da geçerli ancak istismara uğramış bir dijital imzası vardır ve gelecekteki saldırılara hazırlanmak için bilgi toplar. F-Secure Araştırma Sorumlusu Mikko Hyppönen, Duqu'nun çekirdek sürücüsü JMINET7.SYS'in Stuxnet'in MRXCLS.SYS'ine çok benzediğini söyledi. F-Secure'un arka uç sistemi saldırının Stuxnet olduğunu düşünüyordu. Hyppönen ayrıca Duqu'un kendi dijital imzasını yapmak için kullanılan anahtarın (sadece bir durumda gözlendi) Tayvan'ın Taipei kentinde bulunan C-Media'dan çalındığını söyledi. Sertifikaların 2 Ağustos 2012'de sona ermesi gerekiyordu ancak Symantec'e göre 14 Ekim 2011'de iptal edildi. Başka bir kaynak olan Dell SecureWorks, Duqu'nun Stuxnet ile ilişkili olmayabileceğini bildirdi. Bununla birlikte, Duqu'nun Stuxnet ile yakından ilgili olduğuna dair kayda değer ve gittikçe artan kanıtlar vardır. Uzmanlar benzerlikleri karşılaştırdı ve üç ilgi alanı buldu: Yükleyici, zero-day Windows çekirdek güvenlik açıklarından yararlanır. Parçalar çalınan dijital anahtarlarla imzalanmıştır. Duqu ve Stuxnet, Direkt olarak İran'ın nükleer programını hedef almıştır. Microsoft Word zero-day açığı Stuxnet gibi Duqu da zero-day açığını kullanarak Microsoft Windows sistemlerine saldırıyor. İlk bilinen yükleyici (dropper) dosyası, CrySyS Lab tarafından kurtarıldı ve Win32k TrueType yazı tipi ayrıştırma motorunu kullanan ve çalıştırmaya izin veren bir Microsoft Word belgesi kullandığını belirledi. Duqu damlalığı yazı tipi gömme işlemiyle ilgilidir ve bu nedenle Microsoft tarafından Aralık 2011'de yayımlanan düzeltme eki henüz yüklenmediyse TrueType yazı tipi haritalama motoru olan T2EMBED.DLL'ye erişimi kısıtlamak için geçici çözümler uygulayabilir. Microsoft, tehdidi MS11-087 olarak tanımlıyor. Amaç Duqu, endüstriyel kontrol sistemlerine saldırmada faydalı olabilecek bilgileri arar. Amacı yıkıcı olmak değil, bilinen bileşenler bilgi toplamaya çalışmaktadır. Bununla birlikte, Duqu'un modüler yapısına dayanarak, herhangi bir şekilde bir bilgisayar sistemine saldırmak için özel bir taşıma yükü kullanılabilir ve bu nedenle Duqu'ya dayalı siber-fiziksel saldırılar mümkün olabilir. Bununla birlikte, kişisel bilgisayar sistemlerinde kullanımın, sisteme girilen tüm bilgileri silmek ve bazı durumlarda bilgisayarın sabit diskini tamamen silmek için olduğu tespit edilmiştir. Duqu'nun dahili iletişimi Symantec tarafından analiz edildi, ancak saldırıya uğramış bir ağ içinde nasıl çoğaldığı gerçek ve kesin yöntem henüz tam olarak bilinmemektedir. McAfee'ye göre, Duqu'nun eylemlerinden biri, gelecekteki virüslerin güvenli yazılım olarak görünmesine yardımcı olmak için saldırıya uğramış bilgisayarlardan dijital sertifikaları (ve genel anahtar şifrelemesinde kullanılan ilgili özel anahtarları) çalmaktır. Duqu, 54×54 piksel JPEG dosya kullanır ve sahte dosyaları komuta ve kontrol merkezine gizlemek için şifreli olarak kullanır. Güvenlik uzmanları, iletişimin hangi bilgileri içerdiğini belirlemek için hâla kodu incelemektedir. İlk araştırma, orijinal kötü amaçlı yazılım örneğinin 36 gün sonra otomatik olarak kendisini kaldırdığını (kötü amaçlı yazılım bu ayarı yapılandırma dosyalarında saklar) gösterir, bu da algılanmasını zorlaştırır. Anahtar noktalar şunlardır: Çalıştırılabilir uygulamalar Stuxnet'ten sonra keşfedilen Stuxnet kaynak kodunu kullanarak geliştirilmiştir. Çalıştırılabilir uygulamalar tuş basmaları ve sistem bilgileri gibi bilgileri yakalamak için tasarlanmıştır. Mevcut analiz; endüstriyel kontrol sistemleri, istismarlar veya kendi kendini çoğaltma ile ilgili hiçbir kod göstermemektedir. Çalıştırılabilir uygulamalar; endüstriyel kontrol sistemlerinin imalatına dahil olanlar dahil, sınırlı sayıda kuruluşta bulunmuştur. Çıkarılan veriler gelecekteki Stuxnet benzeri bir saldırıyı sağlamak için kullanılabilir veya Stuxnet saldırısı için temel olarak kullanılmış olabilir. Komuta ve kontrol sunucuları Duqu'nun bazı botnetleri analiz edildi. Saldırıyı yapan insanların CentOS 5.x sunucularda buldukları bir açık için o işletim sistemine sahip sunucuları kullandıkları gözüküyor. Sunucular Almanya, Belçika, Filipinler, Hindistan ve Çin dahil olmak üzere pek çok farklı ülkede dağınık durumda. Kaspersky, komut ve kontrol sunucularında birden fazla blog yayınladı. Ayrıca bakınız Flame (malware) Titan Rain Unit 8200 Kaynakça Kategori:2010'larda hacking Kategori:Siber savaş Kategori:Kriptografik saldırılar Kategori:Kök kullanıcı takımları Kategori:Bilgisayar virüsleri