Security

duqu_címlap
Forrás: rashmanly.wordpress.com

A Word-ön keresztül támad a Duqu

Eddig ismeretlen, de már orvosolt nulladik napú (zero day) sebezhetőséget használ ki a Stuxnet utódjának tartott szuperkártevő, a magyarok által felfedezett Duqu.

Azt már eddig is tudni lehetett, hogy a Duqu nem közönséges rosszindulatú kód: nem a közvetlen károkozás a célja, hanem elsősorban adatokat és információkat -- például tervezési dokumentációkat -- gyűjt annak érdekében, hogy megkönnyítse egy későbbi támadás végrehajtását más szervezetek ellen.

Azt még nem tudni, kik állnak a háttérben
Azt még nem tudni, kik állnak a háttérben
A kódot felfedező csapat, a BME-n működő CrySys Adat- és Rendszerbiztonsági Laboratórium azóta is dolgozott a kódon, és sikerült megfejteni továbbterjedési mechanizmusát: megtalálták azt a telepítő állományt (dropper), amely aztán a tényleges kártevőt elhelyezi a gépen. A csapat, ahogy eddig is, most is a Symantecen keresztül hozta nyilvánosságra az információt. A biztonsági cég hivatalos blogjában közzétettek szerint a telepítő egy Microsoft Word (.doc formátumú) állomány, amely egy korábban ismeretlen kernelhibát kihasználva képes kódokat futtatni. Maga a telepítés egy meglehetősen bonyolult, soklépcsős folyamat. A dokumentum megnyitása indítja el a folyamatot; ennek során a kártevő először kibontja a rosszindulatú kód telepítőjét (egy dll. állományt), amely ezek után kibont három másik állományt, és átadja a vezérlést a főkomponensnek.

A CrySys információ szerint a Word dokumentumot úgy alakították ki, hogy kimondottan a címzett szervezeteket támadja meg. A telepítő elemzése során kiderült, hogy a Duqu a fent említett módon csak egy augusztusi adott nyolcnapos periódusban települ fel a fertőzött számítógépekre. Ugyanakkor a felfedezők is hangsúlyozzák: könnyen lehet, hogy más, eddig még felderítetlen telepítési módozatokat is kidolgoztak a készítők. A Microsoft már kiadott egy biztonsági figyelmeztetést és gyorsjavítással is szolgál, hogy miként lehet elkerülni a fertőzést, de érdemes a hagyományos módszereket is bevetni, például hogy nem nyitunk meg ismeretlen feladótól érkező csatolmányokat. Ugyanakkor a biztonsági szoftverek döntő többsége már észleli a feltelepedett Duqu kártevőt, és blokkolni képes annak tevékenységét, tehát a támadás kivédhető.

Az eddigi kutatások szerint a Duqu legalább hat szervezetet fertőzött meg nyolc országban, mégpedig egymástól igen távol eső országokban (Franciaország, Hollandia, Svájc, Ukrajna, India, Irán, Szudán és Vietnam). Meg nem erősített hírek szerint egyébként már Magyarországon is találtak fertőzött rendszereket. Különösen veszélyessé teszi a kártevőt azon funkciója, hogy a megfertőzött gépeket proxyként használva olyan gépeket is elér a szervezeteken belül, amelyek egyébként nem is kapcsolódnak az internetre, és képes azokat is az irányítása alá vonni. A vizsgálatok során az eddig is ismert indiai irányító (C&C) szerveren kívül egy másikat is azonosítottak: ezt a belgiumi gépet is lekapcsolták azóta.